VBA: Dostupnost aktualizace zabezpečení MS03-037 jazyka Microsoft VBA

Překlady článku Překlady článku
ID článku: 822150 - Produkty, které se vztahují k tomuto článku.
Rozbalit všechny záložky | Minimalizovat všechny záložky

Na této stránce

Souhrn

V kódu načítání projektu jazyka Visual Basic for Applications (VBA) existuje chyba. Pokud by tato chyba byla úspěšně zneužita, mohl by útočník spustit libovolný kód v kontextu přihlášeného uživatele. K tomuto problému dochází z důvodu chyby přetečení vyrovnávací paměti při čtení vlastností dokumentu předaných hostitelskou aplikací jazykem VBA. Tato chyba může být úspěšně zneužita pouze v případě, že uživatel otevře speciálně vytvořený dokument odeslaný útočníkem. Může se jednat o libovolný dokument podporující integraci jazyka VBA.

Zklidňující fakta

  • Tato chyba může být zneužita pouze v případě, že otevřete dokument, který vám odeslal útočník.
  • Používáte-li k úpravám zpráv ve formátu HTML v aplikaci Microsoft Outlook aplikaci Word, může chybu obsahovat přímo e-mailová zpráva. Chybu je však možné zneužít, pouze pokud na poštovní zprávu odpovíte a tím ji otevřete nebo ji předáte dál.
  • Kód útočníka může být spuštěn pouze se stejnými oprávněními, která máte jako přihlášený uživatel. Konkrétní pověření pro správu, která může útočník prostřednictvím této chyby získat, tedy závisí na pověřeních pro správu udělených uživateli. Všechna omezení u vašeho účtu, například pověření pro správu použitá prostřednictvím zásad skupiny, omezují také akce libovolného kódu spuštěného díky této chybě.

Řešení

Aktualizace produktů sady Microsoft Office

Microsoft Office 2000, Microsoft Office XP, Microsoft Visio 2002

Používáte-li sadu Office 2000, Office XP, aplikaci Visio 2002 nebo jednotlivé produkty sady Office, které nebyly dříve uvedeny, je třeba použít některou z vlastních oprav zabezpečení pro tyto produkty. Tyto aktualizace jsou navrženy tak, aby byla při výběru možností Instalace na požádání a Rozpoznat a opravit v instalačním programu sady Office použita správná oprava. Společnost Microsoft doporučuje použít k aktualizaci produktů tuto metodu.

Další informace o těchto balíčcích získáte v následujícím článku databáze Microsoft Knowledge Base (Je možné, že tento článek bude k dispozici pouze v angličtině.)
822715 MS03-037: Chyba jazyka Visual Basic for Applications může povolit spuštění libovolného kódu (Je možné, že tento článek bude k dispozici pouze v angličtině.)

Sada Microsoft Works

Pokud používáte sadu Microsoft Works, doporučuje společnost Microsoft nainstalovat opravu zabezpečení pomocí webu Office Product Updates. Web Office Product Updates zjistí vaši konkrétní instalaci sady Office a vyzve vás k instalaci přesně těch součástí, které potřebujete, aby vaše instalace sady Office byla aktuální.

Další informace o webu Office Product Updates a možnost zjištění požadovaných aktualizací, které je třeba nainstalovat do počítače, najdete na následujícím webu společnosti Microsoft:
http://office.microsoft.com/ProductUpdates/default.aspx
Po dokončení zjišťování se zobrazí seznam doporučených aktualizací ke schválení. Klepnutím na položku Start Installation (Spustit instalaci) proces dokončete.

Poznámka: Používáte-li sadu Microsoft Works, můžete systém aktualizovat také opravou zabezpečení, která je k dispozici v tomto článku.

Aplikace Microsoft Visio 2000 nebo sada Microsoft Office 97

Používáte-li aplikaci Visio 2000 nebo sadu Office 97, je třeba ihned aktualizovat systém opravou zabezpečení, která je k dispozici v tomto článku.

Poznámka: Pokud používáte některý z produktů sady Microsoft Office 2003, máte již tuto opravu zabezpečení nainstalovánu a systém není třeba aktualizovat.

Informace o opravě zabezpečení

Následující oprava zabezpečení je určena pro libovolnou aplikaci, do které byl integrován jazyk VBA pomocí sady Microsoft Visual Basic for Applications Software Development Kit (VBA SDK) verze 5.0, 6.0, 6.1, 6.2 nebo 6.3. Společnost Microsoft doporučuje společnostem, které zakoupily licenci a vytvořily aplikace s povoleným používáním jazyka VBA, použít tuto opravu zabezpečení u všech nových instalací. Tyto společnosti mohou volně distribuovat tuto opravu a soubory způsobem, který je vhodný pro instalaci jejich aplikací.

Společnost Microsoft doporučuje všem klientům jazyka VBA aktualizovat modul jazyka VBA (VBE nebo VBE6) co nejdříve. Klienti, kteří používají aplikaci s povoleným používáním jazyka VBA, by měli kontaktovat výrobce aplikace a ověřit, zda je pro danou aplikaci k dispozici speciální oprava zabezpečení nebo zahrnutá aktualizace. Jestliže speciální oprava zabezpečení nebo zahrnutá aktualizace dosud není k dispozici, případně se jedná některý z dříve uvedených produktů společnosti Microsoft, je třeba stáhnout a nainstalovat následující opravu zabezpečení.

V centru pro stahování Microsoft Download Center jsou k dispozici ke stažení následující soubory:
Zmenšit tento obrázekZvětšit tento obrázek
Stáhnout
Stáhnout balíček VBA64-KB822150-X86-CSY.exe
Datum vydání: 3. září 2003

Další informace, jak stahovat soubory odborné pomoci společnosti Microsoft, naleznete v následujícím článku databáze Microsoft Knowledge Base:
119591 Jak získat soubory odborné pomoci společnosti Microsoft ze serverů služeb online
Tento soubor byl zkontrolován na výskyt virů. Společnost Microsoft použila ke kontrole tohoto souboru nejnovější antivirový software, který byl v době jeho publikování k dispozici. Po publikování je soubor uložen na zabezpečených serverech neumožňujících neoprávněné změny souborů.

Požadavky

Žádné

Informace o instalaci

Ukončete všechny aplikace používající jazyk VBA a pak spusťte aktualizaci. Zobrazí se výzva k potvrzení aktualizace. Pokud jazyk VBA nepoužívá jiný proces, je třeba restartovat počítač. Vývojáři, kteří chtějí získat verzi modulu VBE nebo VBE6 s opravou zabezpečení bez instalace této opravy zabezpečení, mohou použít příslušný instalační přepínač.

Tato oprava zabezpečení podporuje následující instalační přepínače:
  • /q: Nastaví tichý režim (Potlačí zobrazování zpráv během extrahování souborů.)
  • /q:u: Nastaví tichý režim (Uživateli se zobrazuje pouze omezený počet výzev.)
  • /q:a: Tichý režim pro správce (Nezobrazují se žádná dialogová okna.)
  • /c: Extrahuje soubory, ale nenainstaluje je. (Pokud není zadán přepínač /t, zobrazí se výzva k zadání cesty.)
  • /t:[cesta]: Cesta k extrahovaným souborům (Používá se s přepínačem /c.)
  • /r:a: Po instalaci vždy restartuje počítač.
  • /r:n: Po instalaci nerestartuje počítač.
  • /r:s: Restartuje počítač bez zobrazení výzvy.
  • /n:v: Nekontroluje verzi. (Vždy nainstaluje opravu přes stávající verzi.)
Poznámka: Tyto instalační přepínače můžete kombinovat v jednom příkazovém řádku.

Funkce odinstalování této opravy zabezpečení není k dispozici. Pokud je třeba tuto opravu zabezpečení odinstalovat, je nutné před instalací aktualizace přejmenovat existující kopie modulů VBE nebo VBE6.

Informace o souborech

Anglická verze této opravy má následující nebo vyšší atributy souborů. Data a časy jednotlivých souborů jsou uvedeny ve formátu UTC (Coordinated Universal Time). Při zobrazení informací o souboru jsou data a čas převedeny na místní čas. Rozdíl mezi místním časem a časem UTC naleznete na kartě Časové pásmo na panelu Datum a čas v okně Ovládací panely.

Aplikace používající jazyk VBA 6.0 (nebo novější)

   Datum         Čas   Verze        Velikost   Název souboru
   --------------------------------------------------------------
   4. 6. 2003  15:42                      8 725  Eula.txt
   3. 6. 2003  20:19  6.4.99.69       2 502 656  Vbe6.dll


Aplikace používající jazyk VBA 5.0

   Datum         Čas   Veze          Velikost   Název souboru
   --------------------------------------------------------------
   11. 6.2003  15:05  5.0.78.15      749 568  Vbe.dll
   4. 6. 2003  10:42                   8 725  Eula.txt

Prohlášení

Společnost Microsoft potvrzuje, že tato chyba může určitým způsobem ohrozit zabezpečení produktů uvedených na začátku tohoto článku.

Další informace

Další informace o této chybě najdete na následujícím webu společnosti Microsoft:
http://www.microsoft.com/technet/security/bulletin/MS03-037.asp
Jazyk VBA lze použít u mnoha dalších produktů, které nevyrábí společnost Microsoft a které mohou být také ohroženy. Společnost Microsoft nemá k dispozici úplný seznam produktů jiných výrobců, které používají jazyk VBA, avšak následující web obsahuje seznam nejznámějších licenčních partnerů a jejich produktů zahrnujících jazyk VBA:
http://msdn.microsoft.com/vba/companies/company.asp
Používáte-li některý z těchto produktů a neobdrželi jste aktualizaci od výrobce, je nutné spustit opravu zabezpečení uvedenou v tomto článku.

Další informace o sadě Microsoft Visual Basic for Applications SDK nebo další informace o licenci pro jazyk VBA pro vlastní aplikace získáte na následujícím webu společnosti Microsoft:
http://msdn.microsoft.com/vba/

Vlastnosti

ID článku: 822150 - Poslední aktualizace: 9. ledna 2007 - Revize: 3.4
Informace v tomto článku jsou určeny pro produkt:
  • Microsoft Access 97 Standard Edition
  • Microsoft Excel 97 Standard Edition
  • Microsoft Office 97 Standard Edition
  • Microsoft PowerPoint 97 Standard Edition
  • Microsoft Visio 2000 Enterprise Edition
  • Microsoft Visio 2000 Professional Edition
  • Microsoft Visio 2000 Standard Edition
  • Microsoft Visio 2000 Technical Edition
  • Microsoft Word 97 Standard Edition
  • Microsoft Word 98 Standard Edition
  • Microsoft Works Suite 2003 Standard Edition
  • Microsoft Works Suite 2002 Standard Edition
  • Microsoft Works Suite 2001 Standard Edition
  • Microsoft Visual Basic for Applications (VBA) Software Development Kit (SDK) 6.3
  • Microsoft Visual Basic for Applications (VBA) Software Development Kit (SDK) 6.2
  • Microsoft Visual Basic for Applications (VBA) Software Development Kit (SDK) 6.1
  • Microsoft Visual Basic for Applications (VBA) Software Development Kit (SDK) 6.0
  • Microsoft Visual Basic for Applications (VBA) Software Development Kit (SDK) 5.0
Klíčová slova: 
kbdownload kbdownload kbqfe kbsecvulnerability kbsecurity kbsecbulletin kbbug kbupdate kbfix KB822150

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com