VBA: Tilgjengelighet for Microsoft VBA-sikkerhetsoppdateringen MS03-037

Artikkeloversettelser Artikkeloversettelser
Artikkel-ID: 822150 - Vis produkter som denne artikkelen gjelder for.
Vis alt | Skjul alt

På denne siden

Sammendrag

Det finnes en feil i prosjektlastingskoden for Visual Basic for Applications (VBA). Hvis feilen utnyttes, kan dette gjøre det mulig for en angriper å kjøre kode i konteksten til en pålogget bruker. Problemet oppstår på grunn av en sårbarhet for bufferoverkjøring i måten VBA leser dokumentegenskaper som sendes til den av vertsprogrammet. For at sårbarheten skal kunne utnyttes må du åpne et spesielt utformet dokument som sendes til deg av en angriper. Dette dokumentet kan være en hvilken som helst type dokument som støtter VBA-integrasjon.

Begrensende faktorer

  • Du må åpne dokumentet som sendes til deg av angriper, for at denne sårbarheten skal kunne utnyttes.
  • Hvis du bruker Word som HTML-redigeringsprogram for e-post for Microsoft Outlook, kan selve e-postmeldingen inneholde feilen. Du må imidlertid svare for å åpne e-postmeldingen eller videresende e-postmeldingen for at sårbarheten skal oppstå.
  • Koden til angriperen kan bare kjøres med samme rettigheter som du har som pålogget bruker. De bestemte administrative rettighetene som angriperen kan få gjennom denne sårbarheten, avhenger derfor av de administrative rettighetene som er gitt til deg. Eventuelle begrensninger i kontoen din, for eksempel administrative rettigheter som brukes gjennom gruppepolicyer, vil også begrense handlingene til koder som kjøres gjennom denne sårbarheten.

Løsning

Oppdateringer for Microsoft Office-produkter

Microsoft Office 2000, Microsoft Office XP, Microsoft Visio 2002

Hvis du bruker Office 2000, Office XP, Visio 2002 eller individuelle Office-produkter som ikke er oppført tidligere, må du bruke en av de tilpassede sikkerhetsoppdateringene for disse produktene. Disse oppdateringene er utviklet for å sikre at det utføres korrekt oppdatering når du bruker Installasjon på forespørselog Finn og reparer i Office-installasjonen. Microsoft anbefaler at du bruker denne metoden til å oppdatere disse produktene.

Hvis du vil ha mer informasjon om disse pakkene, klikker du følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
822715 MS03-037: Feil i Visual Basic for Applications kan føre til kjøring av tilfeldig kode

Microsoft Works Suite

Hvis du bruker Microsoft Works Suite, anbefaler Microsoft at du installerer sikkerhetsoppdateringen ved å bruke webområdet Produktoppdateringer for Office. Webområdet Produktoppdateringer for Office finner ut hvilken Office-installasjon du har, og du får vite hva du trenger å installere for at din Office-installasjon skal være oppdatert.

Hvis du vil ha mer informasjon om Produktoppdateringer for Office og finne de nødvendige oppdateringene du må installere på datamaskinen, kan du gå til følgende Microsoft-webområde:
http://office.microsoft.com/ProductUpdates/default.aspx
Etter at oppdagelsesprosessen er fullført, får du en liste over anbefalte oppdateringer som du så kan godta. Klikk Start installasjon for å fullføre prosessen.

Obs! Hvis du bruker Microsoft Works Suite, kan du også oppdatere systemet med sikkerhetsoppdateringen som er tilgjengelig fra denne artikkelen.

Microsoft Visio 2000 eller Microsoft Office 97

Hvis du bruker Visio 2000 eller Office 97, må du øyeblikkelig oppdatere systemet med sikkerhetsoppdateringen som er tilgjengelig fra denne artikkelen.

Obs! Hvis du bruker et produkt i Microsoft Office 2003-serien, har du allerede denne sikkerhetsoppdateringen, og du trenger ikke oppdatere systemet.

Informasjon om sikkerhetsoppdatering

Følgende sikkerhetsoppdatering er beregnet for alle programmer som har integrert VBA ved hjelp av Microsoft Visual Basic for Applications Software Development Kit (VBA SDK) versjon 5.0, versjon 6.0, versjon 6.1, versjon 6.2 eller versjon 6.3. Microsoft anbefaler at selskaper som har lisensiert og har bygget VBA-aktiverte programmer, bruker denne sikkerhetsoppdateringen for alle nye installasjoner. Disse selskapene kan fritt distribuere feilrettingen og filene på en måte som passer for programoppsettet.

Microsoft anbefaler at alle VBA-klienter oppdaterer sine versjoner av VBA-motoren (VBE eller VBE6) så snart som mulig. Klienter som har et VBA-aktivert program, må kontakte programutvikleren for å bekrefte om en spesialisert sikkerhetsoppdatering eller en inkluderende oppdatering er tilgjengelig for det aktuelle programmet. Hvis en spesialisert sikkerhetsoppdatering eller en inkluderende oppdatering ikke er tilgjengelig ennå, eller hvis produktet er et av de tidligere Microsoft-produktene, må du laste ned og installere følgende sikkerhetsoppdatering.

Følgende filer kan lastes ned fra Microsofts nedlastingssenter:
Skjul dette bildetVis dette bildet
Last ned
Last ned VBA64-KB822150-X86-ENU.exe nå.
Utgivelsesdato: 3. september 2003

Hvis du vil ha mer informasjon om hvordan du laster ned Microsoft-støttefiler, klikker du dette artikkelnummeret for å vise artikkelen i Microsoft Knowledge Base:
119591 Slik laster du ned Microsoft-støttefiler fra elektroniske tjenester
Microsoft søkte etter virus i denne filen. Microsoft brukte det nyeste antivirusprogrammet som var tilgjengelig den datoen filen ble gjort tilgjengelig. Filen lagres på sikkerhetsforbedrede servere som forhindrer at uvedkommende gjør endringer i filen.

Forutsetninger

Ingen.

Installasjonsinformasjon

Lukk alle programmer som bruker VBA, og kjør deretter oppdateringen. Du blir bedt om å bekrefte installasjonen. Du trenger ikke starte på nytt hvis ikke VBA brukes av en annen prosess. Utviklere som vil skaffe den sikkerhetsoppdaterte versjonen av VBE eller VBE6 uten å installere sikkerhetsoppdateringen, kan gjøre det ved hjelp av den riktige kommandolinjebryteren.

Denne sikkerhetsoppdateringen støtter følgende kommandolinjebrytere for installasjonsprogrammet:
  • /q : Stille modus (skjuler dialogbokser når filer pakkes ut.)
  • /q:u : Stille modus (begrenset brukermedvirkning.)
  • /q:a : Stille administratormodus (ingen dialogbokser.)
  • /c : Pakker ut filer uten å installere dem. (Hvis /t-bryteren ikke vises, blir du bedt om å angi banen.)
  • /t:[bane] : Bane til de utpakkede filene (dette brukes med /c-bryteren.)
  • /r:a : Starter alltid datamaskinen på nytt etter installasjon.
  • /r:n : Starter aldri datamaskinen på nytt etter installasjon.
  • /r:s : Starter datamaskinen på nytt uten å spørre brukeren.
  • /n:v: Ingen versjonskontroll (installerer alltid over eksisterende versjon.)
Obs! Du kan kombinere disse kommandolinjebryterne i én kommandolinje.

Det finnes ingen funksjon for å fjerne denne sikkerhetsoppdateringen. Hvis du må tilbakestille sikkerhetsoppdateringen, må du endre navn på de eksisterende kopiene av VBE eller VBE6 før du kjører installasjonsprogrammet.

Filinformasjon

Den engelskspråklige versjonen av denne feilrettingen har filattributtene (eller senere) som er oppført i følgende tabell. Datoene og klokkeslettene for disse filene er oppført i Coordinated Universal Time (UTC). Når du viser filinformasjonen, konverteres den til lokal tid. Hvis du vil finne forskjellen mellom UTC og lokalt klokkeslett, bruker du Tidssone-kategorien i verktøyet Dato og klokkeslett i Kontrollpanel.

Programmer som bruker VBA 6.0 (eller senere)

   Dato        Tid     Versjon    Størrelse      Filnavn
   --------------------------------------------------------------
   04-jun-2003  15:42                      8,725  Eula.txt
   03-jul-2003  20:19  6.4.99.69       2,502,656  Vbe6.dll


Programmer som bruker VBA 5.0

   Dato        Tid     Versjon    Størrelse      Filnavn
   --------------------------------------------------------------
   11-jun-2003  15:05  5.0.78.15      749,568  Vbe.dll
   04-jun-2003  10:42                   8,725  Eula.txt

Status

Microsoft har bekreftet at dette problemet kan forårsake en viss sårbarhet for sikkerheten til Microsoft-produktene som er oppført i begynnelsen av denne artikkelen.

Mer informasjon

Hvis du vil ha mer informasjon om denne sårbarheten, går du til følgende Microsoft-webområde:
http://www.microsoft.com/technet/security/bulletin/MS03-037.asp
VBA kan brukes i en rekke produkter fra andre enn Microsoft, som også kan inneholde sårbarheter. Microsoft har ingen fullstendig liste over alle produkter fra tredjeparter som kan bruke VBA, men følgende webområde inneholder en liste over de vanligste lisenspartnerne og produktene som integrerer VBA:
http://msdn.microsoft.com/vba/companies/company.asp
Hvis du har noen av disse produktene og ikke har fått en oppdatering fra produsenten, må du kjøre sikkerhetsoppdateringen som gis gjennom denne artikkelen.

Hvis du vil ha mer informasjon om Microsoft Visual Basic for Applications SDK eller om lisensiering av VBA for det egendefinerte programmet, kan du gå til følgende Microsoft-webområde:
http://msdn.microsoft.com/vba/

Egenskaper

Artikkel-ID: 822150 - Forrige gjennomgang: 9. januar 2007 - Gjennomgang: 4.3
Informasjonen i denne artikkelen gjelder:
  • Microsoft Access 97 Standard Edition
  • Microsoft Excel 97 Standard Edition
  • Microsoft Office 97 Standard Edition
  • Microsoft PowerPoint 97 Standard Edition
  • Microsoft Visio 2000 Enterprise Edition
  • Microsoft Visio 2000 Professional Edition
  • Microsoft Visio 2000 Standard Edition
  • Microsoft Visio 2000 Technical Edition
  • Microsoft Word 97 Standard Edition
  • Microsoft Word 98 Standard Edition
  • Microsoft Works Suite 2003 Standard Edition
  • Microsoft Works Suite 2002 Standard Edition
  • Microsoft Works Suite 2001 Standard Edition
  • Microsoft Visual Basic for Applications (VBA) Software Development Kit (SDK) 6.3
  • Microsoft Visual Basic for Applications (VBA) Software Development Kit (SDK) 6.2
  • Microsoft Visual Basic for Applications (VBA) Software Development Kit (SDK) 6.1
  • Microsoft Visual Basic for Applications (VBA) Software Development Kit (SDK) 6.0
  • Microsoft Visual Basic for Applications (VBA) Software Development Kit (SDK) 5.0
Nøkkelord: 
kbdownload kbbug kbfix kbsecvulnerability kbqfe kbsecurity kbsecbulletin kbupdate KB822150

Gi tilbakemelding

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com