VBA: Disponibilidad de la actualización de seguridad MS03-037 para Microsoft Visual Basic para Aplicaciones (VBA)

Seleccione idioma Seleccione idioma
Id. de artículo: 822150 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

En esta página

Resumen

Existe un error en el código de carga del proyecto para Visual Basic para Aplicaciones (VBA). Si se aprovecha el error, es posible que un atacante ejecute código de su elección en el entorno de un usuario que ha iniciado sesión. El problema ocurre porque existe una vulnerabilidad de desbordamiento de búfer en la manera en que VBA lee las propiedades de los documentos que recibe de la aplicación host. Para que un atacante pueda aprovecharse de la vulnerabilidad, es necesario que el usuario abra un documento especialmente elaborado que le envía el atacante. Este documento puede ser cualquier tipo de documento que admita la integración de VBA.

Factores atenuantes

  • Debe abrir el documento que reciba del atacante para que éste se aproveche de la vulnerabilidad.
  • Si utiliza Word como el editor de correo electrónico HTML para Microsoft Outlook, el mensaje de correo electrónico puede contener en sí mismo el error. Sin embargo, debe abrir el mensaje para responderlo o reenviarlo para aprovecharse de la vulnerabilidad.
  • El código del atacante sólo puede ejecutarse con los mismos derechos que el usuario que inició sesión. Las credenciales administrativas específicas que el atacante puede obtener gracias a esta vulnerabilidad dependen, por lo tanto, de las credenciales administrativas que se le hayan otorgado al usuario. Todas las limitaciones de su cuenta, como las credenciales administrativas aplicadas mediante Directivas de grupo, también limitan las acciones de cualquier código arbitrario que esta vulnerabilidad ejecute.

Solución

Actualizaciones para productos de Microsoft Office

Microsoft Office 2000, Microsoft Office XP, Microsoft Visio 2002

Si utiliza Office 2000, Office XP, Visio 2002 o productos de Office individuales no mencionados anteriormente, debe utilizar una de las revisiones de seguridad de actualización personalizada para estos productos. Estas actualizaciones están diseñadas para asegurar que la revisión se aplica si utiliza Instalación a petición y Detectar y reparar en el programa de instalación de Office. Microsoft recomienda utilizar este método para actualizar estos productos.

Para obtener información adicional acerca de estos paquetes, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
822715 MS03-037: Un error en Visual Basic para Aplicaciones podría permitir la ejecución arbitraria de código

Microsoft Works Suite

Si utiliza Microsoft Works Suite, Microsoft recomienda instalar la revisión de seguridad desde el sitio Web Actualizaciones de productos de Microsoft Office. El sitio Web Actualizaciones de productos de Microsoft Office detecta su instalación particular de Office y le pide que instale exactamente lo que debe tener para garantizar que su instalación de Office está totalmente al día.

Para obtener información adicional acerca de las actualizaciones de productos de Office y para detectar las actualizaciones necesarias que debe instalar en el equipo, visite el siguiente sitio Web de Microsoft:
http://office.microsoft.com/spain/ProductUpdates/default.aspx
Una vez completada la detección, recibirá una lista de las actualizaciones recomendadas para que las apruebe. Haga clic en Iniciar instalación para completar el proceso.

Nota: si está utilizando Microsoft Works Suite, también puede actualizar el sistema con la revisión de seguridad disponible desde este artículo.

Microsoft Visio 2000 o Microsoft Office 97

Si utiliza Visio 2000 u Office 97, debe actualizar inmediatamente el sistema con la revisión de seguridad disponible desde este artículo.

Nota: si utiliza un producto de la familia de Microsoft Office 2003, ya dispone de esta revisión de seguridad y no tiene que actualizar el sistema.

Información de la revisión de seguridad

La siguiente revisión de seguridad está destinada para cualquier aplicación con VBA integrado utilizando el Kit de desarrollo de software (SDK) de Microsoft Visual Basic para Aplicaciones (VBA) versión 5.0, versión 6.0, versión 6.1, versión 6.2 o versión 6.3. Microsoft recomienda que las compañías con aplicaciones de VBA con licencia o integradas utilicen este parche de seguridad para todas las nuevas instalaciones. Estas compañías pueden distribuir libremente la revisión y los archivos de manera adecuada para el programa de instalación de su aplicación.

Microsoft recomienda que todos los clientes de VBA actualicen su versión del motor VBA (VBE o VBE6) lo antes posible. Los clientes con una aplicación de VBA deben ponerse en contacto con el fabricante de la misma para comprobar si hay una revisión de seguridad especializada o una actualización incluida disponible para esta aplicación. Si todavía no hay una revisión de seguridad especializada o una actualización incluida disponible, o si se trata de un producto de Microsoft de una versión anterior, debe descargar y, a continuación, instalar la siguiente revisión de seguridad.

Los archivos siguientes pueden descargarse del Centro de descarga de Microsoft:
Contraer esta imagenAmpliar esta imagen
Descargar
Descargue el paquete VBA64-KB822150-X86-ENU.exe ahora.
Fecha de aparición: 3 de septiembre de 2003

Para obtener información adicional acerca de cómo descargar los archivos de soporte técnico de Microsoft, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
119591 Cómo obtener archivos de soporte técnico de Microsoft desde los servicios en línea
Microsoft exploró este archivo en busca de virus con el software de detección de virus más actual disponible en la fecha de publicación. Asimismo, el archivo se almacenó en servidores seguros que ayudan a impedir la realización de cambios no autorizados.

Requisitos previos

Ninguno.

Información de instalación

Cierre todas las aplicaciones que utilicen VBA y, a continuación, ejecute la actualización. Se le pedirá que confirme el programa de instalación. Debe reiniciar a menos que otro proceso esté utilizando VBA. Los desarrolladores que deseen obtener la versión con revisión de seguridad de VBE o VBE6 sin instalar la revisión de seguridad pueden hacerlo utilizando el modificador adecuado para la instalación.

Esta revisión de seguridad admite los siguientes modificadores de instalación:
  • /q: modo silencioso (elimina los cuadros de diálogo mientras se extraen los archivos).
  • /q:u: modo silencioso (las solicitudes de confirmación mostradas al usuario son limitadas).
  • /q:a: modo silencioso administrativo (no hay cuadros de diálogo).
  • /c: extrae los archivos sin instalarlos. (Si no se encuentra el modificador /t, se le pedirá la ruta).
  • /t:[ruta]: ruta de los archivos de extracción (se utiliza con el modificador /c).
  • /r:a: el equipo se reinicia siempre después de la instalación.
  • /r:n: el equipo no se reinicia nunca después de la instalación.
  • /r:s: el equipo se reinicia sin solicitar confirmación al usuario.
  • /n:v: no se comprueba la versión (se instala siempre sobre la versión existente).
Nota: puede combinar estos modificadores de instalación en una única línea de comandos.

No hay ninguna característica que permita eliminar esta revisión de seguridad. Si tiene que revertir la revisión de seguridad, debe cambiar el nombre de las copias existentes de VBE o VBE6 antes de ejecutar el programa de instalación.

Información de archivo

La versión en inglés de esta revisión tiene los atributos de archivo enumerados en la siguiente tabla u otros posteriores. Las fechas y las horas de estos archivos se muestran según el Horario universal coordinado (UTC). Cuando vea la información de archivo, se convertirá a la hora local. Para ver la diferencia entre la hora UTC y la hora local, utilice la ficha Zona horaria de la herramienta Fecha y hora del Panel de control.

Aplicaciones que utilizan VBA 6.0 (o posterior)

Contraer esta tablaAmpliar esta tabla
FechaHoraVersiónTamañoNombre de archivo
04-Jun-200315:428.725 Eula.txt
03-Jul-200320:196.4.99.692.502.656Vbe6.dll


Aplicaciones que utilizan VBA 5.0

Contraer esta tablaAmpliar esta tabla
FechaHoraVersiónTamañoNombre de archivo
11-Jun-200315:055.0.78.15749.568Vbe.dll
04-Jun-200310:428.725Eula.txt

Estado

Microsoft ha confirmado que se trata de un problema que puede causar un cierto grado de vulnerabilidad de la seguridad en los productos de Microsoft enumerados al principio de este artículo.

Más información

Para obtener información adicional acerca de esta vulnerabilidad, visite el siguiente sitio Web de Microsoft:
http://www.microsoft.com/spain/technet/seguridad/boletines/MS03-037-IT.asp
VBA puede utilizarse en un número de productos que no son de Microsoft y que también pueden ser vulnerables. Microsoft no mantiene una lista completa de todos los productos de terceros que utilizan VBA, pero en el siguiente sitio Web se enumeran los socios con licencia más frecuentes y sus productos que integran VBA:
http://msdn2.microsoft.com/es-es/isv/bb190538(en-us).aspx
Si tiene alguno de estos productos y no ha recibido una actualización del fabricante, debe ejecutar la revisión de seguridad proporcionada en este artículo.

Para obtener información adicional acerca del Kit de desarrollo de software (SDK) de Microsoft Visual Basic para Aplicaciones o para obtener información adicional acerca de la obtención de licencia de VBA para aplicaciones personalizadas, visite el siguiente sitio Web de Microsoft:
http://www.microsoft.com/europe/vba/

Propiedades

Id. de artículo: 822150 - Última revisión: jueves, 20 de septiembre de 2007 - Versión: 5.6
La información de este artículo se refiere a:
  • Microsoft Access 97 Standard Edition
  • Microsoft Excel 97 Standard Edition
  • Microsoft Office 97 Standard Edition
  • Microsoft PowerPoint 97 Standard Edition
  • Microsoft Visio 2000 Enterprise Edition
  • Microsoft Visio 2000 Professional Edition
  • Microsoft Visio 2000 Standard Edition
  • Microsoft Visio 2000 Technical Edition
  • Microsoft Word 97 Standard Edition
  • Microsoft Word 98 Standard Edition
  • Microsoft Works Suite 2003 Standard Edition
  • Microsoft Works Suite 2002 Standard Edition
  • Microsoft Works Suite 2001 Standard Edition
  • Microsoft Visual Basic for Applications (VBA) Software Development Kit (SDK) 6.3
  • Microsoft Visual Basic for Applications (VBA) Software Development Kit (SDK) 6.2
  • Microsoft Visual Basic for Applications (VBA) Software Development Kit (SDK) 6.1
  • Microsoft Visual Basic for Applications (VBA) Software Development Kit (SDK) 6.0
  • Microsoft Visual Basic for Applications (VBA) Software Development Kit (SDK) 5.0
Palabras clave: 
kbdownload kbbug kbfix kbsecvulnerability kbqfe kbsecurity kbsecbulletin kbupdate KB822150

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com