VBA: Dostępność aktualizacji zabezpieczeń MS03-037 programu Microsoft VBA

Tłumaczenia artykułów Tłumaczenia artykułów
Numer ID artykułu: 822150 - Zobacz jakich produktów dotyczą zawarte w tym artykule porady.
Rozwiń wszystko | Zwiń wszystko

Na tej stronie

Streszczenie

Wykryto lukę w zabezpieczeniach kodu źródłowego służącego do ładowania projektów w programie Visual Basic for Applications (VBA). Korzystając z luki w zabezpieczeniach, osoba podejmująca próbę ataku sieciowego może wykonać dowolny kod źródłowy w kontekście zalogowanego użytkownika. Przyczyną tego problemu jest podatność na przepełnienie buforu podczas odczytywania przez program VBA właściwości dokumentów, przekazywanych przez aplikację hosta. Opisaną lukę w zabezpieczeniach można skutecznie wykorzystać tylko wówczas, gdy użytkownik otworzy specjalnie przygotowany dokument przesłany przez intruza sieciowego. W tym celu można wykorzystać dowolny typ dokumentu obsługujący integrację z programem VBA.

Czynniki ograniczające zagrożenie

  • Opisaną lukę w zabezpieczeniach można skutecznie wykorzystać tylko wówczas, gdy użytkownik otworzy specjalnie przygotowany dokument przesłany przez intruza sieciowego.
  • Jeżeli program Word jest używany jako edytor poczty e-mail w formacie HTML w programie Microsoft Outlook, w wiadomości pocztowej może pojawić się luka w zabezpieczeniach. Osoba nieupoważniona może jednak wykorzystać tę lukę w zabezpieczeniach tylko wówczas, gdy użytkownik odpowie na wiadomość pocztową lub prześle wiadomość dalej.
  • Kod źródłowy może być wykonywany przez osobę nieupoważnioną tylko przy użyciu uprawnień zalogowanego użytkownika. Określone poświadczenia administracyjne, które osoba nieupoważniona może uzyskać za pośrednictwem tej luki w zabezpieczeniach, są więc zależne od poświadczeń administracyjnych udzielonych zalogowanemu użytkownikowi. Wszelkie ograniczenia dotyczące konta, takie jak poświadczenia administracyjne stosowane za pośrednictwem Zasad grupy, również ograniczają zestaw akcji, które mogą być wykonywane przez szkodliwy kod źródłowy uruchamiany w przypadku wykorzystania opisanej luki w zabezpieczeniach.

Rozwiązanie

Aktualizacje produktów należących do pakietu Microsoft Office

Pakiet Microsoft Office 2000, pakiet Microsoft Office XP, program Microsoft Visio 2002

Użytkownicy korzystający z pakietu Office 2000, pakietu Office XP, programu Visio 2002 lub indywidualnych produktów należących do pakietu Office, które nie zostały wymienione na liście na początku tego artykułu, muszą zastosować jedną z niestandardowych aktualizacyjnych poprawek zabezpieczeń, przeznaczonych dla tych produktów. Te aktualizacje gwarantują stosowanie odpowiednich poprawek w przypadku korzystania z opcji Instaluj na żądanie oraz Wykryj i napraw w instalatorze pakietu Office. Firma Microsoft zaleca korzystanie z tej metody w przypadku aktualizowania tych produktów.

Aby uzyskać dodatkowe informacje, kliknij numer artykułu poniżej w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
822715 MS03-037: Luka w programie Visual Basic for Applications może umożliwić wykonanie dowolnego kodu

Pakiet Microsoft Works Suite

W przypadku korzystania z pakietu Microsoft Works Suite firma Microsoft zaleca zainstalowanie poprawki zabezpieczeń przy użyciu witryny Aktualizacje produktów pakietu Office w sieci Web. Witryna Aktualizacje produktów pakietu Office w sieci Web wykrywa określoną instalację pakietu Office, a następnie monituje o zainstalowanie odpowiedniego oprogramowania gwarantującego pełną aktualizację instalacji pakietu Office.

Aby uzyskać dodatkowe informacje dotyczące aktualizacji produktów należących do pakietu Office i wykryć wymagane aktualizacje, które należy zainstalować na danym komputerze, odwiedź następującą witrynę firmę Microsoft w sieci Web:
http://office.microsoft.com/poland/Downloads/default.aspx
Po zakończeniu wykrywania jest wyświetlana lista zalecanych aktualizacji, które powinny być zatwierdzone przez użytkownika. Należy kliknąć łącze Start Installation, aby zakończyć proces.

Uwaga: Użytkownicy korzystający z pakietu Microsoft Works Suite mogą również aktualizować system przy użyciu poprawki zabezpieczeń wskazanej w artykule.

Program Microsoft Visio 2000 lub pakiet Microsoft Office 97

Użytkownicy korzystający z programu Visio 2000 lub pakietu Office 97 muszą natychmiast zaktualizować system przy użyciu poprawki zabezpieczeń wskazanej w tym artykule.

Uwaga: Ta poprawka zabezpieczeń jest już zainstalowana na komputerach użytkowników korzystających z produktów należących do rodziny Microsoft Office 2003, dlatego aktualizacja systemu nie jest konieczna.

Informacje dotyczące poprawki zabezpieczeń

Następująca poprawka zabezpieczeń jest przeznaczona dla dowolnej aplikacji integrującej program VBA przy użyciu zestawu Software Development Kit (VBA SDK) dla programu Microsoft Visual Basic for Applications w wersji 5.0, wersji 6.0, wersji 6.1, wersji 6.2 lub wersji 6.3. Firma Microsoft zaleca stosowanie tej poprawki zabezpieczeń dla wszystkich nowych instalacji w firmach, które zakupiły licencje i zaprojektowały aplikacje obsługujące program VBA. Firmy tego typu mogą swobodnie rozpowszechniać poprawkę i pliki, zgodnie z wymaganiami dotyczącymi instalacji zaprojektowanej aplikacji.

Zgodnie z zaleceniami firmy Microsoft wszyscy klienci korzystający z programu VBA muszą niezwłocznie zaktualizować używaną wersję aparatu VBA (VBE lub VBE6). Klienci korzystający z aplikacji obsługującej program VBA muszą skontaktować się z projektantem aplikacji w celu zweryfikowania, czy specjalistyczna poprawka zabezpieczeń lub aktualizacja zbiorcza jest dostępna dla danej aplikacji. Jeżeli specjalistyczna poprawka zabezpieczeń lub zbiorcza poprawka zabezpieczeń nie jest jeszcze dostępna lub w przypadku korzystania z jednego z poprzednich produktów firmy Microsoft, należy pobrać, a następnie zainstalować następującą poprawkę zabezpieczeń.

Następujące pliki są dostępne w witrynie Microsoft – Centrum pobierania:
Zwiń ten obrazekRozwiń ten obrazek
Pobieranie
Pobierz pakiet VBA64-KB822150-X86-ENU.exe.
Data wydania: 3 września 2003

Aby uzyskać dodatkowe informacje dotyczące sposobu pobierania plików Pomocy technicznej firmy Microsoft, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
119591 Jak uzyskać pliki Pomocy technicznej Microsoft w usługach online
Firma Microsoft skanowała ten plik w poszukiwaniu wirusów. Firma Microsoft używa najnowszego oprogramowania do wykrywania wirusów, dostępnego w chwili opublikowania pliku. Plik jest przechowywany na bezpiecznych serwerach, które ułatwiają zabezpieczenie plików przez wprowadzaniem nieautoryzowanych zmian.

Wymagania wstępne

Brak.

Informacje dotyczące instalacji

Należy zamknąć wszystkie aplikacje korzystające z programu VBA, a następnie uruchomić aktualizację. Wyświetlany jest monit o potwierdzenie instalacji. Należy ponownie uruchomić komputer, jeżeli program VBA nie jest używany przez inny proces. Deweloperzy, którzy chcą uzyskać zaktualizowaną wersję aparatu VBE lub VBE6 bez konieczności instalowania poprawki zabezpieczeń, mogą wykorzystać odpowiedni przełącznik Instalatora.

Ta poprawka zabezpieczeń obsługuje następujące przełączniki Instalatora:
  • /q: Tryb dyskretny (pomijanie okien dialogowych podczas wyodrębniania plików).
  • /q:u: Tryb dyskretny (ograniczone monitowanie użytkownika).
  • /q:a: Administracyjny tryb dyskretny (okna dialogowe nie są wyświetlane).
  • /c: Wyodrębnianie plików bez instalowania (jeżeli przełącznik /t nie jest używany, użytkownik jest monitowany o określenie ścieżki).
  • /t:[ścieżka]: Ścieżka wyodrębnianych plików (ten przełącznik jest używany razem z przełącznikiem /c).
  • /r:a: Ponowne uruchamianie komputera zawsze po zakończeniu instalacji.
  • /r:n: Rezygnacja z ponownego uruchomienia komputera po instalacji.
  • /r:s: Ponowne uruchamianie komputera bez monitowania użytkownika.
  • /n:v: Rezygnacja ze sprawdzania wersji (podczas instalacji zawsze zastępowana jest istniejąca wersja).
Uwaga: Powyższe przełączniki Instalatora mogą być łączone w pojedynczym poleceniu.

Nie jest dostępna funkcja umożliwiająca usunięcie tej poprawki zabezpieczeń. Jeżeli konieczne jest wycofanie poprawki zabezpieczeń, należy zmienić nazwę istniejących kopii aparatu VBE lub VBE6 przed rozpoczęciem instalacji.

Informacje dotyczące plików

W poniższej tabeli przedstawiono atrybuty plików poprawki w wersji anglojęzycznej (mogą to być atrybuty nowsze). Daty i godziny ostatniej modyfikacji plików podano zgodnie z czasem UTC (Coordinated Universal Time). Są one zamieniane na czas lokalny po wyświetleniu informacji o pliku. Aby zobaczyć różnicę między czasem UTC i czasem lokalnym, należy skorzystać z karty Strefa czasowa narzędzia Data i godzina w Panelu sterowania.

Aplikacje korzystające z aparatu VBA w wersji 6.0 (lub nowszej)

   Data         Godzina   Wersja       Rozmiar    Nazwa pliku
   --------------------------------------------------------------
   04-Sty-2003  15:42                       8725   Eula.txt
   03-Lip-2003  20:19  6.4.99.69       2 502 656   Vbe6.dll


Aplikacje korzystające z aparatu VBA w wersji 5.0

   Data         Godzina   Wersja     Rozmiar    Nazwa pliku
   --------------------------------------------------------------
   11-Cze-2003  15:05  5.0.78.15      749 568  Vbe.dll
   04-Cze-2003  10:42                    8725  Eula.txt

Stan

Firma Microsoft potwierdziła, że ten problem może być przyczyną luki w zabezpieczeniach produktów firmy Microsoft wymienionych w sekcji "Informacje zawarte w tym artykule dotyczą".

Więcej informacji

Aby uzyskać dodatkowe informacje dotyczące opisanej luki w zabezpieczeniach, odwiedź następującą witrynę firmy Microsoft w sieci Web:
http://www.microsoft.com/technet/security/bulletin/MS03-037.asp
Aparat VBA może być używany w kilku produktach oferowanych przez firmy inne niż firma Microsoft, które również mogą być nieodpowiednio zabezpieczone przed atakami sieciowymi. Firma Microsoft nie prowadzi pełnej listy wszystkich produktów innych firm, korzystających z programu VBA, jednak w następującej witrynie sieci Web zamieszczono listę, na której uwzględniono najważniejszych partnerów licencyjnych i ich produkty integrujące program VBA:
http://msdn.microsoft.com/vba/companies/company.asp
Użytkownicy korzystający z tych produktów, którzy nie uzyskali aktualizacji od producenta, muszą zastosować poprawkę zabezpieczeń wskazaną w tym artykule.

Aby uzyskać dodatkowe informacje dotyczące zestawu SDK dla programu Microsoft Visual Basic for Applications lub dodatkowe informacje dotyczące licencjonowania programu VBA w przypadku aplikacji niestandardowych, odwiedź następującą witrynę firmy Microsoft w sieci Web:
http://msdn.microsoft.com/vba/

Właściwości

Numer ID artykułu: 822150 - Ostatnia weryfikacja: 9 stycznia 2007 - Weryfikacja: 3.11
Informacje zawarte w tym artykule dotyczą:
  • Microsoft Access 97 Standard Edition
  • Microsoft Excel 97 Standard Edition
  • Microsoft Office 97 Standard Edition
  • Microsoft PowerPoint 97 Standard Edition
  • Microsoft Visio 2000 Enterprise Edition
  • Microsoft Visio 2000 Professional Edition
  • Microsoft Visio 2000 Standard Edition
  • Microsoft Visio 2000 Technical Edition
  • Microsoft Word 97 Standard Edition
  • Microsoft Word 98 Standard Edition
  • Microsoft Works Suite 2003 Standard Edition
  • Microsoft Works Suite 2002 Standard Edition
  • Microsoft Works Suite 2001 Standard Edition
  • Zestaw Software Development Kit (SDK) 6.3 dla programu Microsoft Visual Basic for Applications (VBA)
  • Zestaw Software Development Kit (SDK) 6.2 dla programu Microsoft Visual Basic for Applications (VBA)
  • Zestaw Software Development Kit (SDK) 6.1 dla programu Microsoft Visual Basic for Applications (VBA)
  • Zestaw Software Development Kit (SDK) 6.0 dla programu Microsoft Visual Basic for Applications (VBA)
  • Zestaw Software Development Kit (SDK) 5.0 dla programu Microsoft Visual Basic for Applications (VBA)
Słowa kluczowe: 
kbqfe kbsecvulnerability kbsecurity kbsecbulletin kbbug kbupdate kbfix KB822150

Przekaż opinię

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com