VBA : Disponibilité de la mise à jour de sécurité Microsoft VBA MS03-037

Traductions disponibles Traductions disponibles
Numéro d'article: 822150 - Voir les produits auxquels s'applique cet article
Agrandir tout | Réduire tout

Sommaire

Résumé

Une faille existe dans le code de chargement de projets pour Visual Basic pour Applications (VBA). Si la faille est exploitée avec succès, ceci peut permettre à un agresseur d'exécuter le code de son choix dans le contexte d'un utilisateur ayant une session ouverte. Le problème survient en raison d'une vulnérabilité de débordement de tampon dans la façon dont VBA lit les propriétés des documents qui lui sont transférés par l'application hôte. Pour que la vulnérabilité soit exploitée avec succès, vous devez ouvrir un document spécialement conçu qui vous est envoyé par un agresseur. Ce document peut être tout type de document qui prend en charge l'intégration VBA.

Facteurs atténuants

  • Vous devez ouvrir le document qui vous est envoyé par un agresseur pour que cette vulnérabilité soit exploitée.
  • Si vous utilisez Word en tant qu'éditeur de courrier électronique HTML pour Microsoft Outlook, le courrier électronique lui-même peut contenir la faille. Toutefois, vous devez répondre pour ouvrir le message ou transférer le message pour que la vulnérabilité se produise.
  • Le code de l'agresseur peut uniquement s'exécuter avec les mêmes droits que ceux que vous avez en tant qu'utilisateur ayant une session ouverte. Les informations d'identification d'administration spécifiques que l'agresseur peut acquérir par le biais de cette vulnérabilité dépendent, par conséquent, des informations d'identification d'administration qui vous sont accordées. Toutes les limitations de votre compte, telles que les informations d'identification d'administration qui sont appliquées à travers les Stratégies de groupe, limitent également les actions de tout code arbitraire exécuté par cette vulnérabilité.

Résolution

Mises à jour pour les produits Microsoft Office

Microsoft Office 2000, Microsoft Office XP, Microsoft Visio 2002

Si vous utilisez Office 2000, Office XP, Visio 2002 ou des produits Office individuels qui n'ont pas été cités précédemment, vous devez utiliser l'un des correctifs de sécurité de mise à jour personnalisés pour ces produits. Ces mises à jour sont conçues pour assurer que l'application du correctif correct s'effectue lorsque vous utilisez Installation sur demande et Détecter et réparer dans l'installation Office. Microsoft vous recommande d'utiliser cette méthode pour mettre à jour ces produits.

Pour plus d'informations sur ces packages, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
822715 MS03-037 : Une faille dans Visual Basic pour Applications pourrait permettre l'exécution de code arbitraire

Microsoft Works Suite

Si vous utilisez Microsoft Works Suite, Microsoft vous recommande d'installer le correctif de sécurité en utilisant le site Web Mises à jour de produits Microsoft Office. Le site Web Mises à jour de produits Microsoft Office analyse votre installation de Microsoft Office puis, vous invite à installer uniquement les éléments nécessaires à la mise à jour complète de votre installation de Microsoft Office.

Pour plus d'informations sur les Mises à jour de produits Microsoft Office et pour détecter les mises à jour à installer sur votre ordinateur, reportez-vous au site Web de Microsoft à l'adresse suivante :

http://office.microsoft.com/fr-fr/downloads/maincatalog.aspx

Une fois la recherche terminée, une liste des mises à jour recommandées vous est soumise pour approbation. Cliquez sur Démarrer l'installation pour terminer l'opération.

Remarque Si vous utilisez Microsoft Works Suite, vous pouvez également mettre à jour votre système avec le correctif de sécurité qui est disponible à partir de cet article.

Microsoft Visio 2000 ou Microsoft Office 97

Si vous utilisez Visio 2000 ou Office 97, vous devez immédiatement mettre à jour votre système avec le correctif de sécurité qui est disponible à partir de cet article.

Remarque Si vous utilisez un produit de la famille Microsoft Office 2003, vous disposez déjà de ce correctif de sécurité et vous n'avez pas besoin de mettre à jour votre système.

Informations relatives au correctif de sécurité

Le correctif de sécurité suivant est destiné à toute application intégrant VBA par le biais du Kit de développement logiciel Microsoft Visual Basic pour Applications (VBA SDK) version 5.0, version 6.0, version 6.1, version 6.2 ou version 6.3. Microsoft recommande aux sociétés disposant de licences et ayant créé des applications compatibles VBA d'utiliser ce correctif de sécurité pour toutes les nouvelles installations. Ces sociétés peuvent distribuer la correction et les fichiers gratuitement de la façon appropriée pour l'installation de leur application.

Microsoft recommande à tous les clients VBA de mettre à jour leur version du moteur VBA (VBE ou VBE6) dès que possible. Les clients disposant d'applications compatibles VBA doivent contacter le fabricant de l'application pour vérifier si un correctif de sécurité spécialisé ou une mise à jour incluse est disponible pour cette application. Si un correctif de sécurité spécialisé ou une mise à jour incluse n'est pas encore disponible ou si le produit est l'un des produits Microsoft précédents, vous devez télécharger et installer le correctif de sécurité suivant.

Vous pouvez télécharger les fichiers suivants à partir du Centre de téléchargement Microsoft :
Mise à jour Microsoft Visual Basic pour Applications pour les applications hôtes du Kit de développement
Réduire cette imageAgrandir cette image
Télécharger
Télécharger le package VBA64-KB822150-X86-FRA.exe maintenant.
Date de publication : 3 septembre 2003

Pour plus d'informations sur le téléchargement des fichiers du Support technique Microsoft, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
119591 Procédure pour obtenir des fichiers de support technique Microsoft auprès des services en ligne
Microsoft a analysé ce fichier en vue de détecter la présence de virus. Microsoft a utilisé les logiciels de détection de virus les plus récents disponibles à la date de publication de ce fichier. Le fichier est conservé sur des serveurs sécurisés, empêchant toute modification non autorisée du fichier.

Conditions préalables

Aucune.

Informations relatives à l'installation

Fermez toutes les applications qui utilisent VBA puis, exécutez la mise à jour. Vous êtes invité à confirmer l'installation. Vous devez redémarrer à moins que VBA ne soit utilisé par un autre processus. Les développeurs qui souhaitent obtenir le correctif de sécurité de VBE ou VBE6 sans installer le correctif de sécurité peuvent également le faire en utilisant le commutateur d'installation approprié.

Ce correctif de sécurité prend en charge les commutateurs d'installation suivants :
  • /q : Mode silencieux (supprime les boîtes de dialogue lors de l'extraction des fichiers).
  • /q:u  : Mode silencieux (invites sollicitant l'utilisateur limitées.)
  • /q:a : Mode silencieux administratif (aucune boîte de dialogue).
  • /c : Extrait les fichiers sans les installer. (Si le commutateur /t est absent, le chemin d'accès vous est demandé).
  • /t:[chemin] : Chemin d'accès aux fichiers extraits (extraction effectuée à l'aide du commutateur /c).
  • /r:a : Redémarre toujours l'ordinateur après une installation.
  • /r:n : Ne redémarre jamais l'ordinateur après une installation.
  • /r:s : Redémarre l'ordinateur sans formuler de demande auprès de l'utilisateur.
  • /n:v : Pas de vérification de version (installe toujours par-dessus la version existante).
Remarque Ces commutateurs d'installation peuvent être combinés dans une seule ligne de commande.

Il n'existe pas de fonction pour supprimer ce correctif de sécurité. Si vous devez revenir à la configuration antérieure au correctif de sécurité, vous devez renommer vos copies existantes de VBE ou VBE6 avant d'exécuter l'installation.

Informations sur les fichiers

La version anglaise de ce correctif dispose des attributs de fichier répertoriés dans le tableau suivant ou ceux d'une version ultérieure. Les dates et heures de création de ces fichiers sont indiquées par rapport à l'heure universelle (GMT). Lorsque vous affichez les informations des fichiers, les données sont converties à l'heure locale. Pour connaître le décalage entre l'heure GMT et l'heure locale, utilisez l'onglet Fuseau horaire dans l'utilitaire Date et heure du Panneau de configuration.

Applications qui utilisent VBA 6.0 (ou version ultérieure)

   Date        Heure  Version            Taille  Nom de fichier
   ------------------------------------------------------------
   04/06/2003  15:42                      8 725  Eula.txt
   03/07/2003  20:19  6.4.99.69       2 502 656  Vbe6.dll


Applications qui utilisent VBA 5.0

   Date        Heure  Version        Taille   Nom de fichier
   ---------------------------------------------------------
   11/06/2003  15:05  5.0.78.15      749 568  Vbe.dll
   04/06/2003  10:42                   8 725  Eula.txt

Statut

Microsoft a confirmé que ce problème pouvait se traduire par une certaine vulnérabilité des produits Microsoft répertoriés au début de cet article.

Plus d'informations

VBA peut être utilisé dans un certain nombre de produits non-Microsoft qui peuvent également être vulnérables. Microsoft ne tient pas à jour une liste complète de tous les produits tiers qui utilisent VBA, mais le site Web suivant répertorie les partenaires proposant des licences les plus courants et leurs produits qui intègrent VBA (en anglais).

http://msdn2.microsoft.com/fr-fr/isv/Bb190538.aspx

Si vous possédez l'un de ces produits et que vous n'avez pas reçu de mise à jour du fabricant, vous devez exécuter le correctif de sécurité fourni dans cet article.

Pour plus d'informations sur le Kit de développement Microsoft Visual Basic pour Applications ou pour plus d'informations concernant la licence VBA pour votre application personnalisée, reportez-vous au site Web de Microsoft à l'adresse suivante (en anglais) :

http://msdn2.microsoft.com/fr-fr/isv/Bb190538.aspx

Propriétés

Numéro d'article: 822150 - Dernière mise à jour: mercredi 3 octobre 2007 - Version: 2.5
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Access 97 Standard
  • Microsoft Excel 97 Standard
  • Microsoft Office 97 Standard
  • Microsoft PowerPoint 97 Standard
  • Microsoft Visio 2000 Enterprise Edition
  • Microsoft Visio 2000 Professional Edition
  • Microsoft Visio 2000 Standard Edition
  • Microsoft Visio 2000 Technical Edition
  • Microsoft Word 97 Standard Edition
  • Microsoft Word 98 Standard Edition
  • Microsoft Works Suite 2003 Standard
  • Microsoft Works Suite 2002 Standard
  • Microsoft Works Suite 2001 Standard
  • Microsoft Visual Basic for Applications (VBA) Software Development Kit (SDK) 6.3
  • Microsoft Visual Basic for Applications (VBA) Software Development Kit (SDK) 6.2
  • Microsoft Visual Basic for Applications (VBA) Software Development Kit (SDK) 6.1
  • Microsoft Visual Basic for Applications (VBA) Software Development Kit (SDK) 6.0
  • Microsoft Visual Basic for Applications (VBA) Software Development Kit (SDK) 5.0
Mots-clés : 
kbdownload kbbug kbfix kbsecvulnerability kbqfe kbsecurity kbsecbulletin kbupdate KB822150
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com