VBA: A Microsoft VBA biztonsági frissítésének elérhetősége az MS03-037. számú javításhoz

A cikk fordítása A cikk fordítása
Cikk azonosítója: 822150 - A cikkben érintett termékek listájának megtekintése.
Az összes kibontása | Az összes összecsukása

A lap tartalma

Összefoglaló

A Visual Basic for Applications (VBA) projekttöltést végző kódrészlete egy olyan hibát tartalmaz, melyet sikeresen kiaknázva a támadónak lehetősége adódhat tetszése szerinti kód futtatására valamely bejelentkezett felhasználó környezetében. A probléma oka egy puffertúlcsordulási biztonsági rés a VBA azon mechanizmusában, mely a gazdaalkalmazás által átadott dokumentumtulajdonságok olvasásáért felelős. A biztonsági rés sikeres kiaknázásához a felhasználónak meg kell nyitnia egy, a támadó által küldött, speciálisan kialakított dokumentumot. Ez bármilyen típusú olyan dokumentum lehet, amely támogatja a VBA-integrációt.

A hibát enyhítő tényezők

  • A biztonsági rés kihasználásához a felhasználónak meg kell nyitnia a támadótól kapott dokumentumot.
  • Ha a Word a Microsoft Outlook HTML formátumú e-mailjeinek szerkesztője, ez a hibás dokumentum akár maga az e-mail üzenet is lehet, azonban a biztonsági rés kihasználásához a felhasználónak meg kell nyitnia az e-mail üzenetet, azaz válaszolnia kell rá, vagy továbbítania kell azt.
  • A támadó kódja csak a bejelentkezett felhasználóéval azonos jogokkal futhat. Ennek értelmében a biztonsági rés kiaknázása révén a támadó által használható rendszergazdai hitelesítő adatok a bejelentkezett felhasználó rendszergazdai hitelesítő adataitól függenek. A felhasználói fiókra érvényes korlátozások – például a csoportházirendekkel a rendszergazdai hitelesítő adatokra megszabott megszorítások – tovább korlátozzák a biztonsági rés kihasználásával futtatható tetszőleges kód által végrehajtható műveletek körét.

A megoldás

A Microsoft Office termékek frissítései

Microsoft Office 2000, Microsoft Office XP és Microsoft Visio 2002

Az Office 2000, illetve az Office XP programcsomag vagy a Visio 2002 alkalmazás, illetve egy, a korábbiakban fel nem sorolt, különálló Office termék használata esetén az ezekhez készült egyedi biztonsági frissítések valamelyikét kell telepítenie. Ezek a frissítések garanciát nyújtanak arra, hogy az Office telepítőprogramjának Igény szerinti telepítés és Hibakeresés és javítás szolgáltatásait használva a javítás megfelelően megy végbe. A Microsoft ezt a módszert ajánlja az említett termékek frissítésére.

További információt ezekről a csomagokról a Microsoft Tudásbázis következő cikkében talál a cikk számára kattintva:
822715 MS03-037: A Visual Basic for Applications hibája tetszőleges programkód végrehajtására adhat lehetőséget

Microsoft Works Suite

Ha a Microsoft Works Suite programcsomagot használja, a Microsoft javasolja a biztonsági javítás telepítését az Office Termékfrissítések webhely segítségével. Az Office Termékfrissítések webhely felismeri a Office telepített példányát, és pontosan azokat a telepítéseket ajánlja fel, amelyekre szükség van a telepített Office rendszer teljes körű frissítéséhez.

Az Office Termékfrissítések webhellyel kapcsolatos további információkért, illetve a számítógépen telepítendő szükséges frissítések felismeréséhez látogassa meg a Microsoft alábbi webhelyét:
http://office.microsoft.com/ProductUpdates/default.aspx
A felismerés befejeztével jóváhagyását kérve megjelenik a javasolt frissítéseket tartalmazó lista. A folyamat végrehajtásához kattintson a Telepítés indítása gombra.

Megjegyzés: A Microsoft Works Suite használata esetén a cikkből elérhető biztonsági javítással is frissítheti rendszerét.

Microsoft Visio 2000 és Microsoft Office 97

Ha a Visio 2000 alkalmazást vagy az Office 97 programcsomagot használja, haladéktalanul frissítse rendszerét a cikkből elérhető biztonsági javítással.

Megjegyzés: Ha a Microsoft Office 2003 termékcsalád valamely tagját használja, már rendelkezik ezzel a biztonsági javítással, így nincs szükség a rendszer frissítésére.

Információ a biztonsági javításról

Az alábbi biztonsági javítás a VBA technológiát a Microsoft Visual Basic for Applications Software Development Kit (VBA SDK) 5.0, 6.0, 6.1, 6.2 vagy 6.3 verzióján keresztül integráló összes alkalmazáshoz ajánlott. A Microsoft ajánlja a VBA technológiát licencelő, és azt támogató alkalmazásokat fejlesztő szervezeteknek, hogy minden új telepítés esetén kötelezően alkalmazzák ezt a biztonsági javítást. Ezek a szervezetek alkalmazásaik telepítési módszereinek megfelelő módon, szabadon terjeszthetik a javítást és a kapcsolódó fájlokat.

A Microsoft javasolja továbbá a VBA technológiát használó ügyfeleknek, hogy mihamarabb frissítsék a VBA motor általuk használt verzióját (VBE vagy VBE6). A VBA technológiát támogató alkalmazással rendelkező ügyfeleknek célszerű kapcsolatba lépni az alkalmazás gyártójával, és meggyőződni arról, hogy kimondottan az adott alkalmazáshoz nem készült-e biztonsági javítás, illetve nem áll-e rendelkezésre ahhoz olyan frissítés, amely a javítást is tartalmazza. Ha még nem áll rendelkezésre ilyen speciális biztonsági javítás, sem azt tartalmazó frissítés, vagy a szóban forgó termék a Microsoft egy korábbi terméke, töltse le és telepítse az alábbi biztonsági javítást.

A következő fájlok letölthetők a Microsoft letöltőközpontból:
A kép összecsukásaA kép kibontása
Letöltés
A VBA64-KB822150-X86-ENU.exe csomag letöltése
Kiadás dátuma: 2003. szeptember 3.

További információt a Microsoft terméktámogatási fájlok letöltéséről a Microsoft Tudásbázis következő cikkében talál a cikk számára kattintva:
119591 Microsoft terméktámogatási fájlok beszerzése az online szolgáltatások segítségével
A Microsoft ellenőrizte a fájl vírusmentességét. A Microsoft a fájl ellenőrzésére a kiadás napján rendelkezésre álló legfrissebb vírusfigyelő szoftvert használja. A fájl biztonságos kiszolgálókon van tárolva, mely megakadályozza a fájl jogosulatlan módosítását.

Előfeltételek

Nincs.

Információ a telepítéshez

Lépjen ki a VBA motort használó összes alkalmazásból, majd futtassa a frissítést. A telepítő a telepítési folyamat végrehajtásának megerősítésére kéri. Újraindítás szükséges, hacsak egy másik folyamat nem használja a VBA fájljait. Azok a fejlesztők, akik a biztonsági javítás telepítése nélkül szeretnének hozzájutni a VBE vagy VBE6 biztonsági javítással ellátott verziójához, a telepítőprogram megfelelő kapcsolóival tehetik ezt meg.

A biztonsági javítás a következő kapcsolókat támogatja:
  • /q: Csendes mód (párbeszédpanelek elrejtése a fájlok kibontása közben)
  • /q:u: Csendes mód (a felhasználónak csak néhány kérdésre kell válaszolnia)
  • /q:a: Rendszergazdai csendes mód (egyáltalán nem jelennek meg párbeszédpanelek)
  • /c: Fájlok kibontása telepítés nélkül (ha a /t kapcsoló nincs megadva, a telepítő kéri az elérési utat)
  • /t:[elérési út]: A kibontott fájlok elérési útja (a /c kapcsolóval való használatra)
  • /r:a: Mindig indítsa újra a számítógépet telepítés után
  • /r:n: Soha ne indítsa újra a számítógépet telepítés után
  • /r:s: A számítógép újraindítása a felhasználó megkérdezése nélkül
  • /n:v: Verzióellenőrzés kihagyása (telepítés a meglévő verzióra)
Megjegyzés: A parancssorban egyszerre több kapcsolót is használhat.

Ez a biztonsági javítás nem távolítható el. Ha szükség van a biztonsági javítást megelőző állapot visszaállítására, még a telepítő futtatását megelőzően át kell nevezni a VBE és a VBE6 meglévő példányait.

Fájlinformáció

A javítás angol verziója a következő táblázatban található tulajdonságokkal (vagy későbbiekkel) rendelkezik. A fájlok dátumai és időpontjai egyezményes idő (UTC) szerint vannak megadva. A fájlinformációk megtekintése során ezek helyi időre konvertálódnak. A helyi idő és az egyezményes világidő közötti különbségről a Vezérlőpultról elérhető Dátum és idő párbeszédpanel Időzóna lapján tájékozódhat.

Windows XP

   Dátum            Idő    Verzió             Méret   Fájlnév
   --------------------------------------------------------------
   2003. 06. 04.    15:42                      8 725  Eula.txt
   2003. 07. 03.    20:19  6.4.99.69       2 502 656  Vbe6.dll


A VBA 5.0 összetevőt használó alkalmazások

   Dátum          Idő    Verzió          Méret   Fájlnév
   --------------------------------------------------------------
   2003. 07. 11.  15:05  5.0.78.15      749 568  Vbe.dll
   2003. 06. 04.  10:42                   8 725  Eula.txt

Állapot

A Microsoft megerősítette, hogy ez a probléma bizonyos fokú biztonsági kockázatot okozhat a cikk elején felsorolt Microsoft-termékeknél.

További információ

A biztonsági résről a Microsoft következő webhelyén talál további információt:
http://www.microsoft.com/technet/security/bulletin/MS03-037.asp
A VBA technológiát számos, nem a Microsoft által gyártott vagy forgalmazott termék is használhatja. A biztonsági rés ezen termékeknél is biztonsági kockázatot jelenthet. A Microsoft nem rendelkezik olyan listával, mely tartalmazná a külső felek által gyártott, VBA technológiát használó összes terméket, de az alábbi webhelyen felsorolja legnagyobb licencpartnereit, valamint ezek VBA technológiát integráló termékeit:
http://msdn.microsoft.com/vba/companies/company.asp
Ha használja ezen termékek valamelyikét, de a gyártótól még nem kapott frissítést, futtassa a jelen cikkben közzétett biztonsági javítást.

A Microsoft Visual Basic for Applications SDK szoftverfejlesztői készletről és a VBA saját alkalmazásához történő licenceléséről a Microsoft alábbi webhelyén talál további információt:
http://msdn.microsoft.com/vba/

Tulajdonságok

Cikk azonosítója: 822150 - Utolsó ellenőrzés: 2007. január 9. - Verziószám: 4.4
A cikkben található információ a következő(k)re vonatkozik:
  • Microsoft Access 97 Standard Edition
  • Microsoft Excel 97 Standard Edition
  • Microsoft Office 97 Standard Edition
  • Microsoft PowerPoint 97 Standard Edition
  • Microsoft Visio 2000 Enterprise Edition
  • Microsoft Visio 2000 Professional Edition
  • Microsoft Visio 2000 Standard Edition
  • Microsoft Visio 2000 Technical Edition
  • Microsoft Word 97 Standard Edition
  • Microsoft Word 98 Standard Edition
  • Microsoft Works Suite 2003 Standard Edition
  • Microsoft Works Suite 2002 Standard Edition
  • Microsoft Works Suite 2001 Standard Edition
  • Microsoft Visual Basic for Applications (VBA) Software Development Kit (SDK) 6.3
  • Microsoft Visual Basic for Applications (VBA) Software Development Kit (SDK) 6.2
  • Microsoft Visual Basic for Applications (VBA) Software Development Kit (SDK) 6.1
  • Microsoft Visual Basic for Applications (VBA) Software Development Kit (SDK) 6.0
  • Microsoft Visual Basic for Applications (VBA) Software Development Kit (SDK) 5.0
Kulcsszavak: 
kbdownload kbbug kbfix kbsecvulnerability kbqfe kbsecurity kbsecbulletin kbupdate KB822150
A Microsoft tudásbázisban szolgáltatott információkat "az adott állapotban", bárminemű szavatosság vagy garancia nélkül biztosítjuk. A Microsoft kizár mindennemű, akár kifejezett, akár vélelmezett szavatosságot vagy garanciát, ideértve a forgalomképességre és az adott célra való alkalmasságra vonatkozó szavatosságot is. A Microsoft Corporation és annak beszállítói semmilyen körülmények között nem felelősek semminemű kárért, így a közvetlen, a közvetett, az üzleti haszon elmaradásából származó vagy speciális károkért, illetve a kár következményeként felmerülő költségek megtérítéséért, még abban az esetben sem, ha a Microsoft Corporationt vagy beszállítóit az ilyen károk bekövetkeztének lehetőségére figyelmeztették. Egyes államok joga nem teszi lehetővé bizonyos károkért a felelősség kizárását vagy korlátozását, ezért a fenti korlátozások az ön esetében esetleg nem alkalmazhatók.

Visszajelzés küldése

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com