VBA: DisponibilitÓ dell'aggiornamento della protezione MS03-037 per Microsoft VBA

Traduzione articoli Traduzione articoli
Identificativo articolo: 822150 - Visualizza i prodotti a cui si riferisce l?articolo.
Espandi tutto | Chiudi tutto

In questa pagina

Sommario

Esiste un difetto nel codice di caricamento dei progetti per Visual Basic, Applications Editions (VBA) che, se sfruttato in maniera adeguata, potrebbe consentire a un utente malintenzionato di eseguire codice arbitrario nel contesto di un utente connesso. Questo problema Ŕ legato a un problema di protezione relativo a un sovraccarico del buffer al momento della lettura delle proprietÓ dei documenti passati a VBA dall'applicazione host. L'esecuzione di codice dannoso che sfrutta questo difetto pu˛ avvenire solo se l'utente apre un documento appositamente redatto e inviato da un utente malintenzionato. Qualsiasi documento che supporti l'integrazione VBA potrebbe essere sfruttato a tale scopo.

Fattori attenuanti

  • ╚ necessario aprire volontariamente il documento inviato dall'utente malintenzionato perchÚ venga eseguito il codice dannoso.
  • Se si utilizza Word come editor di posta elettronica HTML per Microsoft Outlook, il solo messaggio di posta elettronica potrebbe contenere il codice dannoso. In questo caso, tuttavia, Ŕ necessario aprire il messaggio di posta elettronica o inoltrarlo a un altro utente perchÚ venga sfruttato il problema di protezione.
  • L'esecuzione del codice dell'utente malintenzionato Ŕ legata ai diritti assegnati all'utente connesso. Le particolari credenziali amministrative che l'utente malintenzionato pu˛ ottenere attraverso questo problema di protezione dipendono pertanto dalle credenziali amministrative assegnate all'utente. Qualsiasi limite imposto all'account dell'utente connesso, quali credenziali amministrative applicate tramite i Criteri di gruppo, rappresenta un limite anche per le azioni del codice arbitrario eseguibile in questo modo.

Risoluzione

Aggiornamenti per i prodotti Microsoft Office

Microsoft Office 2000, Microsoft Office XP, Microsoft Visio 2002

Se si utilizza Office 2000, Office XP, Visio 2002 o singoli prodotti Office non elencati in questo documento, Ŕ necessario installare una delle patch di protezione per gli aggiornamenti personalizzati disponibili per questi prodotti. Tali aggiornamenti sono stati appositamente realizzati per garantire che venga applicata la giusta correzione del sistema quando si utilizza l'installazione su richiesta e lo strumento Rileva problemi e ripristina durante l'installazione di Office. Microsoft consiglia di utilizzare questo metodo per eseguire l'aggiornamento di tali prodotti.

Per ulteriori informazioni su questi pacchetti, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
822715 MS03-037: Flaw in Visual Basic for Applications Could Allow Arbitrary Code Execution (Informazioni in lingua inglese)

Microsoft Works Suite

Se si utilizza Microsoft Works Suite, Microsoft consiglia di installare la patch di protezione attraverso il sito Web Microsoft Aggiornamento prodotti Office. Durante l'accesso al sito viene rilevata automaticamente l'installazione di Microsoft Office esistente e viene presentato un elenco dei componenti che Ŕ effettivamente necessario installare per avere la certezza che l'installazione corrente di Office sia aggiornata.

Per ulteriori informazioni sul sito Web degli aggiornamenti di Office e per rilevare gli aggiornamenti da installare nel computer in uso, visitare il seguente sito Web Microsoft:

http://office.microsoft.com/italy/ProductUpdates/default.aspx

Al termine del rilevamento, verrÓ visualizzato l'elenco degli aggiornamenti consigliati. Scegliere il collegamento per avviare l'installazione ed eseguirla con attenzione.

Nota Se si utilizza Microsoft Works Suite, Ŕ possibile eseguire l'aggiornamento del sistema con la patch di protezione disponibile da questo articolo.

Microsoft Visio 2000 e Microsoft Office 97

Se si utilizza Visio 2000 o Office 97, Ŕ indispensabile eseguire immediatamente l'aggiornamento del sistema applicando la patch disponibile da questo articolo.

Nota Se si utilizza un prodotto della famiglia Microsoft Office 2003, questa patch Ŕ giÓ presente e non Ŕ necessario eseguire alcun aggiornamento del sistema.

Informazioni sulla patch di protezione

La patch di protezione descritta di seguito Ŕ stata creata per tutte le applicazioni che presentano integrazione con VBA tramite il Software Development Kit (SDK) per Microsoft Visual Basic, Applications Edition (VBA) versione 5.0, versione 6.0, versione 6.1, versione 6.2 o versione 6.3. Microsoft consiglia caldamente alle aziende che hanno costruito e/o concesso in licenza applicazioni compatibili con VBA di utilizzare questa patch di protezione per tutte le nuove installazioni. Tali aziende possono distribuire liberamente questa correzione e i relativi file secondo le modalitÓ pi¨ idonee all'installazione della propria applicazione.

Microsoft consiglia vivamente a tutti i clienti VBA di eseguire al pi¨ presto l'aggiornamento della versione del motore VBA (VBE o VBE6) installato. I clienti che utilizzano un'applicazione compatibile con VBA sono invitati a contattare il produttore dell'applicazione per verificare se Ŕ disponibile per l'applicazione una patch di protezione specifica o un aggiornamento che includa questa correzione. Se non Ŕ ancora disponibile nÚ una patch di protezione specifica nÚ un aggiornamento adeguato o se il prodotto in questione Ŕ un prodotto Microsoft precedente, eseguire il download e l'installazione della patch riportata di seguito.

I seguenti file sono disponibili per il download dall'Area download Microsoft:
Aggiornamento di Microsoft Visual Basic, Applications Edition per applicazioni host SDK
Download del pacchetto VBA64-KB822150-X86-ENU.exe
Data di rilascio: 3 settembre 2003

Per ulteriori informazioni sul download di file di supporto Microsoft, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
119591 How to Obtain Microsoft Support Files from Online Services
Il file Ŕ stato controllato e non contiene virus. Microsoft ha utilizzato il software antivirus pi¨ recente disponibile alla data di pubblicazione del file. Il file viene salvato su server con un livello di protezione avanzata che impedisce modifiche non autorizzate.

Prerequisiti

Nessuno

Informazioni sull'installazione

Chiudere tutte le applicazioni che utilizzano VBA, quindi eseguire l'aggiornamento. VerrÓ visualizzato un messaggio che chiede di confermare il comando di installazione. ╚ necessario riavviare il computer, a meno che VBA non sia in uso in un altro processo. Per gli sviluppatori che desiderano ricevere la versione di VBE o di VBE6 contenente questa correzione senza eseguire l'installazione della patch di protezione Ŕ disponibile un'apposita opzione di installazione.

Questa patch di protezione supporta le seguenti opzioni di installazione:
  • /q: modalitÓ non interattiva; non viene visualizzata alcuna finestra di dialogo durante l'estrazione dei file.
  • /q:u: modalitÓ non interattiva; visualizzazione di un numero molto limitato di finestre di dialogo.
  • /q:a: modalitÓ non interattiva amministrativa; nessuna finestra di dialogo.
  • /c: consente l'estrazione dei file, senza che vengano installati. Se non Ŕ presente l'opzione /t, sarÓ necessario specificare il percorso.
  • /t:[percorso]: percorso desiderato per l'estrazione dei file. Questa opzione va usata in abbinamento all'opzione /c.
  • /r:a: consente di imporre il riavvio del computer dopo l'installazione.
  • /r:n: consente di non riavviare mai il computer dopo l'installazione.
  • /r:s: consente il riavvio del computer dopo l'installazione senza previa richiesta.
  • /n:v: consente di non eseguire il controllo della versione installata; l'installazione viene eseguita automaticamente sulla versione esistente.
Nota Questi parametri possono essere inclusi in una stessa riga di comando.

Non esiste alcuna funzionalitÓ che consenta la rimozione di questa patch. Per avere la possibilitÓ di ripristinare il sistema allo stato precedente l'installazione di questa patch, prima di eseguire l'installazione della patch rinominare la copia esistente di VBE o di VBE6.

Informazioni sui file

La versione in lingua inglese di questa correzione presenta gli attributi di file elencati nella tabella seguente (o attributi successivi). Date e ore elencate di seguito sono espresse in UTC. Quando si visualizzano le informazioni sul file, l'ora viene convertita in ora locale. Per calcolare la differenza tra l'ora UTC e quella locale, utilizzare la scheda Fuso orario dello strumento Data e ora del Pannello di controllo.

Applicazioni che utilizzano VBA 6.0 (o versione successiva)

   Data          Ora    Versione   Dimensione  Nome file
   --------------------------------------------------------------
   04/06/2003    15.42             8.725       Eula.txt
   03/07/2003    20.19  6.4.99.69  2.502.656   Vbe6.dll


Applicazioni che utilizzano VBA 5.0

   Data          Ora    Versione   Dimensione  Nome file
   --------------------------------------------------------------
   11/07/2003    15.05  5.0.78.15    749.568   Vbe.dll
   04/06/2003    10.42                 8.725   Eula.txt

Status

Microsoft ha confermato che questo problema pu˛ determinare una certa vulnerabilitÓ nelle funzioni di protezione dei prodotti Microsoft elencati all'inizio di questo articolo.

Informazioni

Per ulteriori informazioni su questo problema di protezione, visitare il seguente sito Web Microsoft:

http://www.microsoft.com/italy/technet/solutions/security/ms03_037.asp

VBA Ŕ utilizzato in numerosi prodotti di terze parti che potrebbero pertanto essere vulnerabili. Microsoft non dispone di un elenco di tutti i prodotti di terze parti in cui Ŕ utilizzato VBA, tuttavia nei seguenti siti Web sono disponibili alcuni elenchi dei principali partner licenziatari per la tecnologia VBA e dei rispettivi prodotti in cui Ŕ integrata tale tecnologia (informazioni in lingua inglese).

http://msdn.microsoft.com/vba/companies/company.asp

Se nel computer Ŕ installato uno di questi prodotti e non si Ŕ ancora ricevuto un aggiornamento dall'azienda produttrice, eseguire la patch fornita con questo articolo.

Per ulteriori informazioni sull'SDK per Microsoft Visual Basic, Applications Edition o per informazioni sulla licenza per l'integrazione della tecnologia VBA in un'applicazione personalizzata, visitare il seguente sito Web Microsoft:

http://www.microsoft.com/italy/office/

ProprietÓ

Identificativo articolo: 822150 - Ultima modifica: martedý 9 gennaio 2007 - Revisione: 2.3
Le informazioni in questo articolo si applicano a
  • Microsoft Access 97 Standard Edition
  • Microsoft Excel 97 Standard Edition
  • Microsoft Office 97 Standard Edition
  • Microsoft PowerPoint 97 Standard Edition
  • Microsoft Visio 2000 Enterprise Edition
  • Microsoft Visio 2000 Professional Edition
  • Microsoft Visio 2000 Standard Edition
  • Microsoft Visio 2000 Technical Edition
  • Microsoft Word 97 Standard Edition
  • Microsoft Word 98 Standard Edition
  • Microsoft Works Suite 2003 Standard Edition
  • Microsoft Works Suite 2002 Standard Edition
  • Microsoft Works Suite 2001 Standard Edition
  • Software Development Kit (SDK) 6.3 per Microsoft Visual Basic, Applications Edition (VBA)
  • Software Development Kit (SDK) 6.2 per Microsoft Visual Basic, Applications Edition (VBA)
  • Software Development Kit (SDK) 6.1 per Microsoft Visual Basic, Applications Edition (VBA)
  • Software Development Kit (SDK) 6.0 per Microsoft Visual Basic, Applications Edition (VBA)
  • Software Development Kit (SDK) 5.0 per Microsoft Visual Basic, Applications Edition (VBA)
Chiavi:á
kbdownload kbdownload kbqfe kbsecvulnerability kbsecurity kbsecbulletin kbbug kbupdate kbfix KB822150
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com