近日，国家信息安全漏洞库(CNNVD)收到关于WPS Office缓冲区错误漏洞的情况报送，并于第一时间与软件厂商“北京金山办公软件公司”进行了沟通。经金山公司确认，该漏洞存在。根据CNNVD相关规定，已对此漏洞进行收录，并分配编号CNNVD-201702-646。漏洞相关情况如下：
 

　　一、漏洞简介

　　WPS Office是北京金山办公软件公司研发的一套办公软件。该软件提供了办公软件最常用的文字、表格、演示等功能。

　　WPS Office中存在越边界读取漏洞(CNNVD-201702-646)。该漏洞是由于WPS Office文字的docReader模块在调用‘memcpy()’函数时，程序没有充分执行边界检查。导致攻击者可利用该漏洞造成拒绝服务(越边界读取)。

　　受影响版本如下：

　　1、WPS Office 2016个人版(10.1.0.6207)及之前版本;

　　2、WPS Office 2016专业版(10.8.0.5715)及之前版本。

　　二、漏洞危害

　　攻击者通过构造恶意文件，并诱导本地用户打开该文件，可造成WPS Office软件进程崩溃，同时造成部分进程数据泄露。

　　三、修复措施

　　1、目前，WPS官方暂未修复该漏洞，但已向CNNVD反馈修复进度，将于近期发布升级版本以修复该漏洞，建议受影响用户密切关注厂商公告或CNNVD网站：

　　厂商主页链接：http://www.wps.cn/

　　CNNVD漏洞链接：

　　http://www.cnnvd.org.cn/vulnerability/show/cv_id/20170206462、在该软件发布升级版本之前，建议受影响用户不要用WPS查看来历不明的文件。

　　本报告由CNNVD技术支撑单位—西安四叶草信息技术有限公司提供支持。

　　CNNVD将继续跟踪上述漏洞的相关情况，及时发布相关信息。如有需要，可与CNNVD联系。

　　联系方式: cnnvd@itsec.gov.cn

(责任编辑：宋编辑)