VBA: Διαθεσιμότητα της ενημερωμένης έκδοσης ασφαλείας της Microsoft VBA MS03-037

Μεταφράσεις άρθρων Μεταφράσεις άρθρων
Αναγν. άρθρου: 822150 - Δείτε τα προϊόντα στα οποία αναφέρεται το συγκεκριμένο άρθρο.
Ανάπτυξη όλων | Σύμπτυξη όλων

Σε αυτήν τη σελίδα

Περίληψη

Υπάρχει ένα ελάττωμα στον κώδικα φόρτωσης έργου της Visual Basic for Applications (VBA). Εάν ένας εισβολέας εκμεταλλευτεί αυτό το ελάττωμα με επιτυχία, μπορεί να εκτελέσει δικό του κώδικα στο περιβάλλον ενός συνδεδεμένου χρήστη. Το θέμα αυτό προκύπτει εξαιτίας ενός θέματος ευπάθειας υπέρβασης buffer στον τρόπο με τον οποίο η VBA διαβάζει τις ιδιότητες του εγγράφου, οι οποίες μεταβιβάζονται στο έγγραφο από την κύρια εφαρμογή. Για να γίνει επιτυχημένη αξιοποίηση της ευπάθειας, θα πρέπει να ανοίξετε ένα ειδικά δημιουργημένο έγγραφο, το οποίο σάς έχει αποστείλει κάποιος εισβολέας. Αυτό το έγγραφο μπορεί να είναι οποιοσδήποτε τύπος εγγράφου που υποστηρίζει την ενσωμάτωση VBA.

Παράγοντες που αμβλύνουν τις επιπτώσεις

  • Η αξιοποίηση αυτής της ευπάθειας μπορεί να γίνει μόνο αφού ανοίξετε το έγγραφο που σας έχει αποστείλει κάποιος εισβολέας.
  • Εάν χρησιμοποιείτε το Word ως πρόγραμμα επεξεργασίας ηλεκτρονικού ταχυδρομείου HTML για το Microsoft Outlook, το ελάττωμα μπορεί να περιέχεται στο ίδιο το μήνυμα ηλεκτρονικού ταχυδρομείου. Ωστόσο, για να προκύψει η ευπάθεια, θα πρέπει να απαντήσετε, ώστε να ανοίξετε το μήνυμα ηλεκτρονικού ταχυδρομείου ή να το προωθήσετε.
  • Ο κώδικας του εισβολέα μπορεί να εκτελεστεί μόνο με τα ίδια δικαιώματα που έχετε εσείς ως συνδεδεμένος χρήστης. Οι συγκεκριμένες πιστοποιήσεις διαχείρισης που μπορεί να αποκτήσει ο εισβολέας από αυτήν την ευπάθεια εξαρτώνται από τις δικές σας πιστοποιήσεις διαχείρισης. Οι περιορισμοί στο λογαριασμό σας, όπως οι πιστοποιήσεις διαχείρισης που εφαρμόζονται μέσω των Πολιτικών ομάδας (Group Policies), περιορίζουν επίσης τις ενέργειες κάθε αυθαίρετου κώδικα που εκτελείται εξαιτίας αυτής της ευπάθειας.

Προτεινόμενη αντιμετώπιση

Ενημερωμένες εκδόσεις για τα προϊόντα του Microsoft Office

Microsoft Office 2000, Microsoft Office XP, Microsoft Visio 2002

Εάν χρησιμοποιείτε το Office 2000, το Office XP, το Visio 2002 ή μεμονωμένα προϊόντα του Office, που δεν αναφέρονται πιο πριν, πρέπει να χρησιμοποιήσετε σε αυτά τα προϊόντα μία από τις προσαρμοσμένες ενημερωμένες εκδόσεις κώδικα ασφαλείας. Αυτές οι ενημερωμένες εκδόσεις είναι σχεδιασμένες για να επιβεβαιώσουν ότι γίνεται σωστή ενημέρωση κώδικα, όταν χρησιμοποιείτε τις επιλογές Εγκατάσταση κατ' απαίτηση (Install on Demand) και Εντοπισμός και επιδιόρθωση (Detect and Repair) κατά την εγκατάσταση του Office. Η Microsoft συνιστά να χρησιμοποιήσετε αυτήν τη μέθοδο για να ενημερώσετε τα προϊόντα.

Για πρόσθετες πληροφορίες σχετικά με αυτά τα πακέτα, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
822715 MS03-037: Ένα ελάττωμα στη Visual Basic for Applications μπορεί να προκαλέσει αυθαίρετη εκτέλεση κώδικα

Microsoft Works Suite

Εάν χρησιμοποιείτε το Microsoft Works Suite, η Microsoft συνιστά να εγκαταστήσετε την ενημερωμένη έκδοση κώδικα ασφαλείας από την τοποθεσία "Ενημερωμένες εκδόσεις προϊόντων του Office" (Office Product Updates) στο Web. Η τοποθεσία "Ενημερωμένες εκδόσεις προϊόντων του Office" (Office Product Updates) στο Web εντοπίζει τη συγκεκριμένη εγκατάσταση του Office που διαθέτετε και κατόπιν σας ζητά να εγκαταστήσετε ακριβώς ό,τι χρειάζεται, για να εξασφαλιστεί ότι η εγκατάσταση του Office είναι πλήρως ενημερωμένη.

Για περισσότερες πληροφορίες σχετικά με τις "Ενημερωμένες εκδόσεις προϊόντων του Office" (Office Product Updates) και για τον εντοπισμό των απαιτούμενων ενημερωμένων εκδόσεων που πρέπει να εγκαταστήσετε στον υπολογιστή σας, επισκεφθείτε την ακόλουθη τοποθεσία της Microsoft στο Web:
http://office.microsoft.com/ProductUpdates/default.aspx
Μετά την ολοκλήρωση του εντοπισμού, λαμβάνετε μια λίστα με τις προτεινόμενες ενημερωμένες εκδόσεις για να τις εγκρίνετε. Κάντε κλικ στο κουμπί Έναρξη εγκατάστασης (Start Installation), για να ολοκληρωθεί η διαδικασία.

Σημείωση Εάν χρησιμοποιείτε το Microsoft Works Suite, μπορείτε επίσης να ενημερώσετε το σύστημά σας με την ενημερωμένη έκδοση κώδικα ασφαλείας που διατίθεται σε αυτό το άρθρο.

Microsoft Visio 2000 ή Microsoft Office 97

Εάν χρησιμοποιείτε το Visio 2000 ή το Office 97, πρέπει να ενημερώσετε άμεσα το σύστημά σας με την ενημερωμένη έκδοση κώδικα ασφαλείας που διατίθεται σε αυτό το άρθρο.

Σημείωση Εάν χρησιμοποιείτε ένα προϊόν της οικογένειας του Microsoft Office 2003, τότε διαθέτετε ήδη αυτήν την ενημερωμένη έκδοση κώδικα ασφαλείας και δεν χρειάζεται να ενημερώσετε το σύστημά σας.

Πληροφορίες για την ενημερωμένη έκδοση κώδικα ασφαλείας

Η ακόλουθη ενημερωμένη έκδοση κώδικα ασφαλείας προορίζεται για κάθε εφαρμογή που ενσωματώνει VBA, κάνοντας χρήση του Κιτ ανάπτυξης λογισμικού της Microsoft Visual Basic for Applications (VBA SDK) έκδοση 5.0, έκδοση 6.0, έκδοση 6.1, έκδοση 6.2 ή έκδοση 6.3. Η Microsoft συνιστά στις εταιρίες που είναι νόμιμοι κάτοχοι και έχουν αναπτύξει εφαρμογές που βασίζονται στη VBA, να χρησιμοποιήσουν αυτήν την ενημερωμένη έκδοση κώδικα ασφαλείας σε κάθε καινούρια εγκατάσταση. Αυτές οι εταιρείες μπορούν να διανείμουν ελεύθερα την επιδιόρθωση και τα αρχεία, με τρόπο που ταιριάζει στην εγκατάσταση της εφαρμογής τους.

Η Microsoft συνιστά σε όλους τους πελάτες VBA να ενημερώσουν την έκδοση του μηχανισμού VBA που έχουν (VBE ή VBE6), όσο το δυνατόν γρηγορότερα. Οι πελάτες που έχουν εφαρμογή βασισμένη σε VBA πρέπει να επικοινωνήσουν με τον κατασκευαστή της εφαρμογής, για να επιβεβαιώσουν εάν διατίθεται ειδική ενημερωμένη έκδοση κώδικα ασφαλείας ή συνολική ενημερωμένη έκδοση για αυτήν την εφαρμογή. Εάν δεν διατίθεται ακόμη ειδική ενημερωμένη έκδοση κώδικα ασφαλείας ή μια συνολική ενημερωμένη έκδοση ή εάν το προϊόν είναι κάποιο από τα παλαιότερα προϊόντα της Microsoft, πρέπει να κάνετε λήψη και, κατόπιν, να εγκαταστήσετε την ακόλουθη ενημερωμένη έκδοση κώδικα ασφαλείας.

Τα ακόλουθα αρχεία είναι διαθέσιμα για λήψη από το Κέντρο λήψης της Microsoft (Microsoft Download Center):
Σύμπτυξη αυτής της εικόναςΑνάπτυξη αυτής της εικόνας
Λήψη
Άμεση λήψη του πακέτου VBA64-KB822150-X86-ENU.exe (Αγγλική έκδοση).
Ημερομηνία έκδοσης: 3 Σεπτεμβρίου 2003

Για περισσότερες πληροφορίες σχετικά με τον τρόπο λήψης αρχείων υποστήριξης της Microsoft, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
119591 Τρόπος απόκτησης αρχείων υποστήριξης της Microsoft από ηλεκτρονικές υπηρεσίες
Η Microsoft εξέτασε αυτό το αρχείο για ιούς. Η Microsoft χρησιμοποίησε το πιο πρόσφατο λογισμικό εντοπισμού ιών που ήταν διαθέσιμο κατά την ημερομηνία δημοσίευσης του αρχείου. Το αρχείο είναι αποθηκευμένο σε διακομιστές με ενισχυμένη ασφάλεια, οι οποίοι βοηθούν στην αποτροπή μη εξουσιοδοτημένων αλλαγών στο αρχείο.

Προϋποθέσεις

Καμία.

Πληροφορίες εγκατάστασης

Κλείστε όλες τις εφαρμογές που χρησιμοποιούν VBA και, κατόπιν, εκτελέστε την ενημερωμένη έκδοση. Θα σας ζητηθεί να επιβεβαιώσετε την εγκατάσταση. Πρέπει να κάνετε επανεκκίνηση, εκτός εάν η VBA χρησιμοποιείται από άλλη διαδικασία. Οι προγραμματιστές που θέλουν να αποκτήσουν την ενημερωμένη έκδοση κώδικα ασφαλείας της VBE ή της VBE6, χωρίς να εγκαταστήσουν την ενημερωμένη έκδοση κώδικα ασφαλείας, μπορούν να το πραγματοποιήσουν χρησιμοποιώντας τον κατάλληλο διακόπτη του προγράμματος Εγκατάστασης (Setup).

Αυτή η ενημερωμένη έκδοση κώδικα ασφαλείας υποστηρίζει τους εξής διακόπτες του προγράμματος Εγκατάστασης (Setup):
  • /q: Εγκατάσταση χωρίς μηνύματα (Quiet mode) (Αποκρύπτει τα παράθυρα διαλόγου, κατά την εξαγωγή των αρχείων.)
  • /q:u: Εγκατάσταση χωρίς μηνύματα (Quiet mode) (Εμφανίζεται περιορισμένος αριθμός ερωτημάτων στο χρήστη.)
  • /q:a: Εγκατάσταση διαχείρισης χωρίς μηνύματα (Administrative Quiet mode) (Δεν υπάρχουν παράθυρα διαλόγου.)
  • /c: Εξαγωγή αρχείων χωρίς εγκατάσταση. (Εάν δεν υπάρχει ο διακόπτης /t, θα σας ζητηθεί η διαδρομή.)
  • /t:[διαδρομή]: Διαδρομή των αρχείων που εξάγονται (Χρησιμοποιείται με το διακόπτη /c.)
  • /r:a: Να γίνεται πάντα επανεκκίνηση του υπολογιστή μετά την εγκατάσταση.
  • /r:n: Να μην γίνεται ποτέ επανεκκίνηση του υπολογιστή μετά την εγκατάσταση.
  • /r:s: Επανεκκίνηση του υπολογιστή χωρίς ερώτηση του χρήστη.
  • /n:v: Χωρίς έλεγχο έκδοσης (Εγκατάσταση πάντοτε επάνω από την υπάρχουσα έκδοση.)
Σημείωση Μπορείτε να συνδυάσετε αυτούς τους διακόπτες του προγράμματος Εγκατάστασης (Setup) σε μία μόνο γραμμή εντολών.

Δεν διατίθεται δυνατότητα κατάργησης αυτής της ενημερωμένης έκδοσης κώδικα ασφαλείας. Εάν πρέπει να επαναφέρετε αυτήν την ενημερωμένη έκδοση κώδικα ασφαλείας, πρέπει να μετονομάσετε τα υπάρχοντα αντίγραφα της VBE ή της VBE6, πριν να εκτελέσετε την εγκατάσταση.

Πληροφορίες αρχείου

Η αγγλική έκδοση αυτής της ενημέρωσης κώδικα έχει τα χαρακτηριστικά αρχείου (ή νεότερα) που παρατίθενται στον παρακάτω πίνακα. Οι ημερομηνίες και οι ώρες για τα αρχεία αυτά αναφέρονται σε συντονισμένη παγκόσμια ώρα (UTC). Όταν προβάλλετε τις πληροφορίες του αρχείου, αυτές μετατρέπονται στην τοπική ώρα. Για να βρείτε τη διαφορά μεταξύ της συντονισμένης παγκόσμιας ώρας (UTC) και της τοπικής ώρας, χρησιμοποιήστε την καρτέλα Ζώνη ώρας (Time Zone) στο εργαλείο "Ημερομηνία και ώρα" (Date and Time) του Πίνακα Ελέγχου (Control Panel).

Εφαρμογές που χρησιμοποιούν VBA 6.0 (ή νεότερη έκδοση)

   Ημερομηνία    Ώρα    Έκδοση         Μέγεθος  Όνομα αρχείου
   ----------------------------------------------------------
   04-Ιουν-2003  15:42                   8.725  Eula.txt
   03-Ιουλ-2003  20:19  6.4.99.69    2.502.656  Vbe6.dll


Εφαρμογές που χρησιμοποιούν VBA 5.0

   Ημερομηνία    Ώρα    Έκδοση         Μέγεθος  Όνομα αρχείου
   ----------------------------------------------------------
   11-Ιουν-2003  15:05  5.0.78.15      749.568  Vbe.dll
   04-Ιουν-2003  10:42                   8.725  Eula.txt

Κατάσταση

Η Microsoft έχει επιβεβαιώσει ότι αυτό το ζήτημα μπορεί να προκαλέσει κάποιο βαθμό ευπάθειας ασφαλείας στα προϊόντα της Microsoft που αναφέρονται στην αρχή αυτού του άρθρου.

Περισσότερες πληροφορίες

Για περισσότερες πληροφορίες σχετικά με αυτήν την ευπάθεια, επισκεφθείτε την ακόλουθη τοποθεσία της Microsoft στο Web (στα αγγλικά):
http://www.microsoft.com/technet/security/bulletin/MS03-037.mspx
Η VBA ενδέχεται να χρησιμοποιείται σε αρκετά προϊόντα που δεν ανήκουν στη Microsoft, τα οποία μπορούν επίσης να είναι ευπαθή. Η Microsoft δεν διατηρεί πλήρη λίστα όλων των προϊόντων τρίτων κατασκευαστών που χρησιμοποιούν τη VBA, αλλά η ακόλουθη τοποθεσία Web αναφέρει τους πιο συνηθισμένους συνεργάτες που παρέχουν άδειες χρήσης, καθώς και τα προϊόντά τους, τα οποία ενσωματώνουν τη VBA (στα αγγλικά):
http://msdn2.microsoft.com/en-us/isv/Bb190538.aspx
Εάν διαθέτετε κάποιο από αυτά τα προϊόντα και δεν έχετε λάβει κάποια ενημερωμένη έκδοση από τον κατασκευαστή, πρέπει να εκτελέσετε την ενημερωμένη έκδοση κώδικα ασφαλείας που παρέχεται σε αυτό το άρθρο.

Για περισσότερες πληροφορίες σχετικά με το SDK της Microsoft Visual Basic for Applications ή σχετικά με την παροχή άδειας χρήσης της VBA για την προσαρμοσμένη εφαρμογή σας, επισκεφθείτε την ακόλουθη τοποθεσία της Microsoft στο Web (στα αγγλικά):
http://msdn.microsoft.com/vba/

Ιδιότητες

Αναγν. άρθρου: 822150 - Τελευταία αναθεώρηση: Τετάρτη, 18 Ιουλίου 2007 - Αναθεώρηση: 5.6
Οι πληροφορίες σε αυτό το άρθρο ισχύουν για:
  • Microsoft Access 97 Standard Edition
  • Microsoft Excel 97 Standard Edition
  • Microsoft Office 97 Standard Edition
  • Microsoft PowerPoint 97 Standard Edition
  • Microsoft Visio 2000 Enterprise Edition
  • Microsoft Visio 2000 Professional Edition
  • Microsoft Visio 2000 Standard Edition
  • Microsoft Visio 2000 Technical Edition
  • Microsoft Word 97 Standard Edition
  • Microsoft Word 98 Standard Edition
  • Microsoft Works Suite 2003 Standard Edition
  • Microsoft Works Suite 2002 Standard Edition
  • Microsoft Works Suite 2001 Standard Edition
  • Microsoft Visual Basic for Applications (VBA) Software Development Kit (SDK) 6.3
  • Microsoft Visual Basic for Applications (VBA) Software Development Kit (SDK) 6.2
  • Microsoft Visual Basic for Applications (VBA) Software Development Kit (SDK) 6.1
  • Microsoft Visual Basic for Applications (VBA) Software Development Kit (SDK) 6.0
  • Microsoft Visual Basic for Applications (VBA) Software Development Kit (SDK) 5.0
Λέξεις-κλειδιά: 
kbdownload kbbug kbfix kbsecvulnerability kbqfe kbsecurity kbsecbulletin kbupdate KB822150

Αποστολή σχολίων

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com