VBA: Tilgængeligheden af Microsoft VBA Security Update til MS03-037

Oversættelser af artikler Oversættelser af artikler
Artikel-id: 822150 - Få vist de produkter, som denne artikel refererer til.
Udvid alle | Skjul alle

På denne side

Sammenfatning

Der er en fejl i koden til indlæsning af projektdata i VBA (Visual Basic for Applications). Hvis en hacker udnytter denne fejl, kan vedkommende få adgang til at køre egen programkode på vegne af den bruger, der aktuelt er logget på. Problemet opstår på grund af en svaghed i forbindelse med bufferoverløb i den måde, VBA læser dokumentegenskaber fra værtsprogrammet på. For at denne svaghed kan udnyttes af en hacker, skal du åbne et særligt udformet dokument, som hackeren har sendt til dig. Dette dokument kan være af en hvilken som helst type, der understøtter VBA-integration.

Formildende faktorer

  • Du skal åbne det dokument, der er sendt til dig, for at hackeren kan udnytte denne svaghed.
  • Hvis du bruger Word som e-mail-editor i HTML-format til Microsoft Outlook, kan selve meddelelsen indeholder fejlen. Du skal imidlertid besvare for at åbne e-mail-meddelelsen eller videresende e-mail-meddelelsen, før svagheden opstår.
  • Hackerens programkode kan kun køre med de rettigheder, du aktuelt har som bruger, der er logget på. De administrative rettigheder, hackeren kan opnå gennem denne svaghed, afhænger derfor af de administrative rettigheder, du som bruger har fået tildelt. Alle begrænsninger for din konto, f.eks. de administrative rettigheder, der tildeles ved hjælp af gruppepolitikker, begrænser også de handlinger, en eventuel programkode, der udnytter denne svaghed, kan udføre.

Løsning

Opdateringer til Microsoft Office-programmer

Microsoft Office 2000, Microsoft Office XP, Microsoft Visio 2002

Hvis du bruger Office 2000, Office XP, Visio 2002 eller andre Office-programmer, der ikke tidligere er nævnt, skal du bruge en af de tilpassede sikkerhedsopdateringer til de pågældende programmer. Disse opdateringer skal sikre, at der foretages en korrekt rettelse, når du bruger Installation efter behov og Find og ret fejl i Office-installationsprogrammet. Microsoft anbefaler, at du bruger denne metode til at opdatere disse programmer.

Yderligere oplysninger om disse pakker finder du ved at klikke på nedenstående artikelnummer og få vist artiklen i Microsoft Knowledge Base:
822715 MS03-037: Fejl i VBA (Visual Basic for Applications) kan tillade kørsel af vilkårlig programkode

Microsoft Works Suite

Hvis du bruger Microsoft Works Suite anbefaler Microsoft, at du installerer sikkerhedsrettelsen ved at bruge webstedet Office Produktopdateringer. Dette websted registrerer din specielle Office-installation, og du bliver derefter bedt om at installere præcis det, der er nødvendigt for at sikre, at Office-installationen er fuldstændig opdateret.

Yderligere oplysninger om Office Produktopdateringer, og hvilke nødvendige opdateringer du skal installere på computeren, finder du på følgende Microsoft-websted:
http://office.microsoft.com/ProductUpdates/default.aspx
Når registreringen er færdig, modtager du en liste over anbefalede opdateringer til godkendelse. Klik på Start Installation for at fuldføre processen.

Bemærk! Hvis du bruger Microsoft Works Suite, kan du også opdatere systemet med den sikkerhedsrettelse, der er tilgængelig fra denne artikel.

Microsoft Visio 2000 og Microsoft Office 97

Hvis du bruger Visio 2000 eller Office 97, skal du straks opdatere systemet med den sikkerhedsrettelse, der er tilgængelig fra denne artikel.

Bemærk! Hvis du bruger et program i Microsoft Office 2003-familien, har du allerede denne sikkerhedsrettelse installeret, og det er ikke nødvendigt at opdatere systemet.

Oplysninger om sikkerhedsrettelse

Den følgende sikkerhedsrettelse er beregnet på alle programmer, der har integreret VBA ved hjælp af Microsoft Visual Basic for Applications Software Development Kit (VBA SDK) version 5.0, version 6.0, version 6.1, version 6.2 eller version 6.3. Microsoft anbefaler, at firmaer, der har licensgivet og udviklet VBA-baserede programmer, bruger denne sikkerhedsrettelse til alle nye installationer. Disse firmaer kan frit distribuere programrettelsen og filerne på den måde, der passer bedst til de aktuelle forhold.

Microsoft anbefaler, at alle VBA-klienter får opdateret deres version af VBA-programmet (VBE eller VBE6) hurtigst muligt. Klienter med et VBA-baseret program skal kontakte programudvikleren for at kontrollere, om der findes en speciel sikkerhedsrettelse eller en mere omfattende opdatering til det pågældende program. Hvis der endnu ikke er en speciel sikkerhedsrettelse eller en mere omfattende opdatering tilgængelig, eller hvis der er tale om et af de førnævnte Microsoft-programmer, skal du hente og installere følgende sikkerhedsrettelse.

Følgende filer kan hentes på Microsoft Download Center:
Skjul billedetUdvid billedet
Hent
Hent VBA64-KB822150-X86-ENU.exe-pakken nu.
Udgivelsesdato: 3. september 2003

Yderligere oplysninger om, hvordan du henter filer fra Microsoft Support, finder du ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:
119591 Sådan hentes filer fra Microsoft Support på onlinetjenester
Microsoft har scannet denne fil for virus. Dertil har Microsoft anvendt de nyeste antivirusprogrammer, der var tilgængelige på det tidspunkt, da filen blev lagt ud. Filen gemmes på servere med forbedret sikkerhed, der medvirker til at forhindre uautoriserede ændringer af filen.

Forudsætninger

Ingen.

Installationsoplysninger

Luk alle programmer, der bruger VBA, og kør derefter opdateringen. Du bliver bedt om at bekræfte installationen. Du skal genstarte systemet, medmindre VBA bruges af en anden proces. Udviklere, der ønsker at få en version af VBE eller VBE6, der allerede indeholder sikkerhedsrettelsen, uden at skulle installere selve sikkerhedsrettelsen, kan gøre det ved at benytte den korrekte installationsparameter.

Denne sikkerhedsrettelse understøtter følgende installationsparametre:
  • /q: Installation uden brugerinput (undertrykker dialogbokse, mens filerne udpakkes).
  • /q:u: Installation uden brugerinput (der er kun begrænset interaktion med brugeren).
  • /q:a: Installation uden administratorinput (der vises ingen dialogbokse).
  • /c: Udpakker filerne uden at installere dem. Hvis parameteren /t mangler, bliver du bedt om at angive stien.
  • /t:[sti]: Stien til udpakningsfilerne (bruges sammen med parameteren /c).
  • /r:a: Genstart altid computeren efter installation.
  • /r:n: Genstart aldrig computeren efter installation.
  • /r:s : Genstart computeren uden at spørge brugeren.
  • /n:v: Ingen versionskontrol (overskriv altid den eksisterende version).
Bemærk! Du kan kombinere disse installationsparametre på én kommandolinje.

Der er ingen funktion, der fjerner denne sikkerhedsrettelse. Hvis du vil fjerne sikkerhedsrettelsen, efter at du har installeret den, skal du omdøbe de eksisterende kopier af VBE eller VBE6, før du kører installationsprogrammet.

Filoplysninger

Den engelske version af programrettelsen indeholder de filattributter, der er angivet i nedenstående tabel (eller nyere attributter). Dato og klokkeslæt for disse filer er angivet i UTC-format (Universal Time Coordinates). Når du får vist filoplysningerne, konverteres de til lokal tid. Brug fanen Tidszone under funktionen Dato og klokkeslæt i Kontrolpanel til at finde forskellen mellem UTC og lokal tid.

Programmer, der bruger VBA 6.0 (eller en senere version)

   Dato    Klokkeslæt  Version     Størrelse  Filnavn
   --------------------------------------------------------------
   04-06-2003   15:42              8.725  Eula.txt
   03-07-2003  20:19  6.4.99.69       2.502.656  Vbe6.dll


Programmer, der bruger VBA 5.0

   Dato    Klokkeslæt  Version     Størrelse  Filnavn
   --------------------------------------------------------------
   11-06-2003  15:05  5.0.78.15      749.568  Vbe.dll
   04-06-2003   10:42              8.725  Eula.txt

Status

Microsoft har bekræftet, at dette problem kan forårsage en vis sikkerhedssvaghed i de Microsoft-produkter, der findes på listen i starten af denne artikel.

Yderligere Information

Yderligere oplysninger om denne svaghed finder du på følgende Microsoft-websted:
http://www.microsoft.com/technet/security/bulletin/MS03-037.asp
VBA kan også være brugt i forskellige programmer fra andre leverandører end Microsoft, som derfor også kan være udsatte. Microsoft er ikke i besiddelse af en fuldstændig oversigt over alle de tredjepartsprogrammer, der bruger VBA, men på følgende websted er der en oversigt over de mest udbredte licenspartnere og de af deres programmer, som integrerer VBA:
http://msdn.microsoft.com/vba/companies/company.asp
Hvis du har et eller flere af disse programmer og ikke har modtaget en opdatering fra producenten, skal du installere den sikkerhedsrettelse, der findes i forbindelse med denne artikel.

Yderligere oplysninger om Microsoft Visual Basic for Applications SDK eller licensgivning af VBA til brugertilpassede programmer finder du på følgende Microsoft-websted:
http://msdn.microsoft.com/vba/

Egenskaber

Artikel-id: 822150 - Seneste redigering: 9. januar 2007 - Redigering: 4.4
Oplysningerne i denne artikel gælder:
  • Microsoft Access 97 Standard
  • Microsoft Excel 97 Standard
  • Microsoft Office 97 Standard
  • Microsoft PowerPoint 97 Standard
  • Microsoft Visio 2000 Enterprise Edition
  • Microsoft Visio 2000 Professional
  • Microsoft Visio 2000 Standard
  • Microsoft Visio 2000 Technical Edition
  • Microsoft Word 97 Standard
  • Microsoft Word 98 Standard
  • Microsoft Works Suite 2003 Standard Edition
  • Microsoft Works Suite 2002 Standard Edition
  • Microsoft Works Suite 2001 Standard Edition
  • Microsoft Visual Basic for Applications (VBA) Software Development Kit (SDK) 6.3
  • Microsoft Visual Basic for Applications (VBA) Software Development Kit (SDK) 6.2
  • Microsoft Visual Basic for Applications (VBA) Software Development Kit (SDK) 6.1
  • Microsoft Visual Basic for Applications (VBA) Software Development Kit (SDK) 6.0
  • Microsoft Visual Basic for Applications (VBA) Software Development Kit (SDK) 5.0
Nøgleord: 
kbdownload kbdownload kbqfe kbsecvulnerability kbsecurity kbsecbulletin kbbug kbupdate kbfix KB822150

Send feedback

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com