VBA: Verfügbarkeit des Microsoft VBA-Sicherheitsupdates MS03-037

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 822150 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
822150 VBA: Availability of the Microsoft VBA Security Update MS03-037
Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.
Alles erweitern | Alles schließen

Auf dieser Seite

Zusammenfassung

Der Code zum Laden eines Projekts in Visual Basic für Applikationen (VBA) ist fehlerhaft. Ein Angreifer könnte diesen Fehler ausnutzen, um einen Code seiner Wahl im Kontext eines angemeldeten Benutzers auszuführen. Bei diesem Problem handelt es sich um eine Sicherheitsanfälligkeit durch einen Pufferüberlauf aufgrund einer fehlerhaften Überprüfung bestimmter Dokumenteigenschaften, die von der Hostanwendung an VBA übergeben werden. Diese Sicherheitsanfälligkeit kann nur dann erfolgreich ausgenutzt werden, wenn ein speziell gestaltetes Dokument geöffnet wird, das von einem Angreifer gesendet wurde. Bei diesem Dokument kann es sich um ein beliebiges Dokument eines Typs handeln, der VBA unterstützt.

Schadensbegrenzende Faktoren

  • Die Sicherheitsanfälligkeit kann nur dann ausgenutzt werden, wenn Sie ein von einem Angreifer gesendetes Dokument öffnen.
  • Wenn Microsoft Word als HTML-E-Mail-Editor für Microsoft Outlook verwendet wird, kann dieses vom Angreifer gesendete Dokument auch eine E-Mail sein. Sie müssten jedoch auf die E-Mail-Nachricht antworten oder diese weiterleiten, damit die Sicherheitsanfälligkeit ausgenutzt werden kann.
  • Der Code des Angreifers kann nur auf der Basis der Berechtigungen ausgeführt werden, die für den angemeldeten Benutzer gelten. Daher hängen die genauen admininstrativen Rechte, die ein Angreifer durch diese Sicherheitsanfälligkeit erlangen könnte, von den Berechtigungen ab, über die der Benutzer verfügt. Alle Einschränkungen, die für das Benutzerkonto gelten (beispielsweise durch Gruppenrichtlinien festgelegte administrative Rechte), gelten auch für die möglichen Aktionen des willkürlichen Codes, der unter Ausnutzung dieser Sicherheitsanfälligkeit ausgeführt werden kann.

Lösung

Updates für Microsoft Office-Produkte

Microsoft Office 2000, Microsoft Office XP, Microsoft Visio 2002

Wenn Sie Office 2000, Office XP, Visio 2002 oder einzelne Office-Produkte verwenden, die zuvor nicht aufgelistet wurden, müssen Sie einen der benutzerdefinierten Update-Sicherheitspatches für diese Produkte anwenden. Diese Updates stellen sicher, dass die richtigen Patches angewendet werden, wenn Sie die Optionen Installation auf Anfrage und Erkennen und Reparieren in Office Setup verwenden. Microsoft empfiehlt die Anwendung dieses Verfahrens zum Aktualisieren dieser Produkte.

Weitere Informationen über diese Pakete finden Sie in folgendem Artikel der Microsoft Knowledge Base:
822715 MS03-037: Fehler in Visual Basic für Applikationen kann Ausführung von beliebigem Code ermöglichen

Microsoft Works Suite

Wenn Sie die Microsoft Works Suite verwenden, empfiehlt Microsoft die Installation des Sicherheitspatches mithilfe der Office Produktupdates-Website. Die Office Produktupdates-Website erkennt Ihre spezielle Installation von Office und bietet Ihnen dann exakt die Komponenten zur Installation an, die Sie benötigen, um Ihre Office-Installation vollständig auf dem neuesten Stand zu halten.

Weitere Informationen über Office Produktupdates und den Erkennungsvorgang für Updates, die auf Ihrem Computer installiert werden müssen, finden Sie auf folgender Website von Microsoft:
http://office.microsoft.com/ProductUpdates/default.aspx
Nachdem der Erkennungsvorgang abgeschlossen ist, wird eine Liste mit empfohlenen Updates angezeigt, die Sie einzeln bestätigen können. Klicken Sie auf Installation starten, um den Vorgang abzuschließen.

Hinweis: Wenn Sie die Microsoft Works Suite verwenden, können Sie Ihr System auch mit dem Sicherheitspatch aktualisieren, das in diesem Artikel zur Verfügung steht.

Microsoft Visio 2000 oder Microsoft Office 97

Wenn Sie Visio 2000 oder Office 97 verwenden, sollten Sie Ihr System sofort mit dem in diesem Artikel verfügbaren Sicherheitspatch aktualisieren.

Hinweis: Wenn Sie ein Produkt der Microsoft Office 2003-Familie verwenden, verfügen Sie bereits über diesen Sicherheitspatch. Sie brauchen Ihr System in diesem Fall nicht zu aktualisieren.

Sicherheitspatch-Informationen

Der folgende Sicherheitspatch ist für alle Anwendungen geeignet, die die Version 5.0, 6.0, 6.1, 6.2 oder 6.3 des Software Development Kit für Microsoft Visual Basic für Applikationen (VBA SDK) verwenden. Microsoft empfiehlt allen Unternehmen, die über lizensierte und selbst entwickelte VBA-fähige Anwendungen verfügen, diesen Sicherheitspatch bei allen neuen Installationen anzuwenden. Diese Unternehmen können das Update und die Dateien entsprechend ihren Anwendungsinstallationen beliebig verteilen.

Microsoft empfiehlt allen VBA-Benutzern, ihre Version des VBA-Moduls (VBE oder VBE6) so bald wie möglich zu aktualisieren. Kunden, die über eine VBA-fähige Anwendung verfügen, sollten sich an den jeweiligen Hersteller wenden, um zu überprüfen, ob ein besonderer Sicherheitspatch oder ein spezielles Update für diese Anwendung verfügbar ist. Wenn noch kein spezieller Sicherheitspatch und kein Update verfügbar ist, oder es sich bei dem Produkt um ein Microsoft-Produkt einer früheren Version handelt, müssen Sie den folgenden Sicherheitspatch downloaden und installieren.

Die folgenden Dateien stehen im Microsoft Download Center zum Download zur Verfügung:
Bild minimierenBild vergrößern
Download
VBA64-KB822150-X86-DEU.exe jetzt downloaden.
Datum der Freigabe: 03.09.03

Weitere Informationen über das Downloaden von Microsoft Support-Dateien finden Sie in folgendem Artikel der Microsoft Knowledge Base:
119591 So erhalten Sie Microsoft Support-Dateien im Internet
Microsoft hat diese Datei auf Viren überprüft. Microsoft hat dazu die neueste Software zur Virenerkennung verwendet, die zum Zeitpunkt der Bereitstellung verfügbar war. Die Datei befindet sich auf Servern mit verstärkter Sicherheit, wodurch nicht autorisierte Änderungen an der Datei weitestgehend verhindert werden.

Voraussetzungen

Keine.

Informationen zur Installation

Schließen Sie alle Anwendungen die VBA verwenden, und führen Sie anschließend das Update aus. Sie werden dazu aufgefordert, die Installation zu bestätigen. Sie müssen nur dann einen Neustart durchführen, wenn VBA von einem anderen Prozess verwendet wird. Entwickler, die die mit dem Sicherheitspatch aktualisierte Version von VBE oder VBE6 erhalten möchten, ohne den Sicherheitspatch zu installieren, können dies mit der geeigneten Befehlszeilenoption für das Setupprogramm erreichen.

Dieser Sicherheitspatch unterstützt die folgenden Befehlszeilenoptionen:
  • /q: Stiller Modus (unterdrückt Dialogfelder beim Extrahieren von Dateien).
  • /q:u: Stiller Modus (es werden nur begrenzt Benutzeraufforderungen angezeigt).
  • /q:a: Stiller Administratormodus (es werden keine Dialogfelder angezeigt).
  • /c: Extrahiert die Dateien, ohne sie zu installieren. (Wenn die Befehlszeilenoption /t nicht vorhanden ist, werden Sie zur Eingabe des Pfades aufgefordert.)
  • /t:[Pfad]: Pfad der extrahierten Dateien (wird zusammen mit der Befehlszeilenoption /c verwendet).
  • /r:a: Der Computer wird nach der Installation immer neu gestartet.
  • /r:n: Der Computer wird nach der Installation niemals neu gestartet.
  • /r:s: Der Computer wird neu gestartet, ohne dass der Benutzer aufgefordert wird, dies zu bestätigen.
  • /n:v: Keine Versionsprüfung (das Programm wird immer über jede beliebige ältere Version installiert).
Hinweis: Diese Befehlszeilenoptionen können in einer einzigen Befehlszeile kombiniert werden.

Es gibt keine Möglichkeit diesen Sicherheitspatch nach der Installation zu entfernen. Wenn Sie die Installation des Sicherheitspatches nachträglich rückgängig machen möchten, müssen Sie die bestehenden Kopien von VBE oder VBE6 vor der Installation umbenennen.

Dateiinformationen

Die englische Version dieses Updates weist die in der nachstehenden Tabelle aufgelisteten Dateiattribute (oder höher) auf. Datums- und Uhrzeitangaben für diese Dateien sind in der "Coordinated Universal Time" (UTC) angegeben. Wenn Sie sich die Dateiinformationen ansehen, werden diese Angaben in die lokale Zeit konvertiert. Die Abweichung zwischen UTC-Zeit und lokaler Zeit können Sie im Systemsteuerungsprogramm Datum/Uhrzeit mithilfe der Registerkarte Zeitzone ermitteln.

Anwendungen, die VBA 6.0 oder höher verwenden

   Datum        Uhrzeit   Version      Größe      Dateiname   
--------------------------------------------------------------
   04-Jun-2003  15:42                      8,725  Eula.txt
   03-Jul-2003  20:19  6.4.99.69       2,502,656  Vbe6.dll


Anwendungen, die VBA 5.0 verwenden

   Datum        Uhrzeit   Version     Größe    Dateiname
   --------------------------------------------------------------
   11-Jun-2003  15:05  5.0.78.15      749,568  Vbe.dll
   04-Jun-2003  10:42                   8,725  Eula.txt

Status

Microsoft hat bestätigt, dass dieses Problem in einem gewissen Umfang zu einer Sicherheitsanfälligkeit bei den Microsoft-Produkten führen kann, die zu Beginn dieses Artikels aufgeführt sind.

Weitere Informationen

Weitere Informationen zu dieser Anfälligkeit finden Sie auf folgender Microsoft-Website:
http://www.microsoft.com/germany/ms/technetservicedesk/bulletin/bulletinms03-037.htm
VBA kann in einer Reihe von Fremdanbieter-Produkten verwendet werden, bei denen möglicherweise ebenfalls eine Sicherheitsanfälligkeit besteht. Microsoft unterhält zwar keine vollständige Liste aller Produkte von Fremdanbietern, die VBA verwenden, auf der folgenden Website finden Sie jedoch die wichtigsten Lizenzpartner und deren Produkte, die VBA verwenden:
http://msdn.microsoft.com/vba/companies/company.asp
Wenn Sie eines dieser Produkte besitzen und kein Update vom jeweiligen Hersteller erhalten haben, müssen Sie den in diesem Artikel beschriebenen Sicherheitspatch anwenden.

Weitere Informationen über den Microsoft Visual Basic für Applikationen-SDK oder über die Lizensierung von VBA für Ihre benutzerdefinierte Anwendung finden Sie auf folgender Website von Microsoft:
http://msdn.microsoft.com/vba/

Eigenschaften

Artikel-ID: 822150 - Geändert am: Dienstag, 9. Januar 2007 - Version: 4.4
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Access 97 Standard Edition
  • Microsoft Excel 97 Standard Edition
  • Microsoft Office 97 Standard Edition
  • Microsoft PowerPoint 97 Standard Edition
  • Microsoft Visio 2000 Enterprise Edition
  • Microsoft Visio 2000 Professional Edition
  • Microsoft Visio 2000 Standard Edition
  • Microsoft Visio 2000 Technical Edition
  • Microsoft Word 97 Standard Edition
  • Microsoft Word 98 Standard Edition
  • Microsoft Works Suite 2003 Standard Edition
  • Microsoft Works Suite 2002 Standard Edition
  • Microsoft Works Suite 2001 Standard Edition
  • Microsoft Visual Basic for Applications (VBA) Software Development Kit (SDK) 6.3
  • Microsoft Visual Basic for Applications (VBA) Software Development Kit (SDK) 6.2
  • Microsoft Visual Basic for Applications (VBA) Software Development Kit (SDK) 6.1
  • Microsoft Visual Basic for Applications (VBA) Software Development Kit (SDK) 6.0
  • Microsoft Visual Basic for Applications (VBA) Software Development Kit (SDK) 5.0
Keywords: 
kbdownload kbdownload kbqfe kbsecvulnerability kbsecurity kbsecbulletin kbbug kbupdate kbfix KB822150
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com