N/A

Microsoft Office 2007 12.0.6015.5000 and MSO 12.0.6017.5000 do not sign the metadata of Office Open XML (OOXML) documents, which makes it easier for remote attackers to modify Dublin Core metadata fields, as demonstrated by the (1) LastModifiedBy and (2) creator fields in docProps/core.xml in the OOXML ZIP container.

N/A

N/A

Microsoft Office不安全文档签名漏洞

Microsoft Office是非常流行的办公软件套件。 Office允许作者使用认证的密钥数字签名文档，这样查看者就可以基于作者的公钥确认文档的完整性和来源。Office文档根据docProps/core.xml文件中的DublinCore元数据提供元数据信息，可通过Office键 -> 准备 -> 属性菜单显示或更改这些元数据信息的LastModifiedBy、creator等字段。攻击者可以未经验证签名便更改这些项，这样就可以欺骗签名文档的来源，诱骗用户信任文档。

N/A

N/A