VBA: Disponibilidade da actualização de segurança MS03-037 para o Microsoft VBA

Traduções de Artigos Traduções de Artigos
Artigo: 822150 - Ver produtos para os quais este artigo se aplica.
Expandir tudo | Reduzir tudo

Nesta página

Sumário

Existe uma falha no código de carregamento de projectos do Visual Basic for Applications (VBA). Se esta falha for explorada com êxito, pode permitir que um atacante execute um código à sua escolha no contexto do utilizador com sessão iniciada. O problema ocorre devido a uma sobrecarga da memória intermédia no modo como o VBA lê propriedades de documentos que lhe são passadas pela aplicação anfitriã. Para que a vulnerabilidade seja explorada com êxito, o utilizador tem de abrir um documento especialmente concebido, recebido do atacante. Este documento pode ser qualquer tipo de documento que suporte integração do VBA.

Factores atenuantes

  • Tem de abrir o documento recebido do atacante para que esta vulnerabilidade seja explorada.
  • Se utilizar o Word como editor de correio electrónico em HTML no Microsoft Outlook, a própria mensagem de correio electrónico pode conter a falha. No entanto, tem de responder, para abrir a mensagem, ou reencaminhar a mensagem de correio electrónico para que a vulnerabilidade ocorra.
  • O código do atacante apenas pode ser executado com os mesmos direitos do utilizador com sessão iniciada. As credenciais administrativas específicas que o atacante pode obter através desta vulnerabilidade dependem, assim, das credenciais concedidas ao utilizador. Quaisquer limitações da conta do utilizador, como as credenciais administrativas aplicadas através de políticas de grupo, também limitam as acções de qualquer código arbitrário executado por esta vulnerabilidade.

Resolução

Actualizações para produtos do Microsoft Office

Microsoft Office 2000, Microsoft Office XP, Microsoft Visio 2002

Se utilizar o Office 2000, Office XP, Visio 2002 ou produtos individuais do Office não apresentados anteriormente, tem de utilizar um dos patches de segurança de actualização personalizada para estes produtos. Estas actualizações são concebidas para garantir que é aplicado o patch correcto quando utiliza Instalação a pedido e Detectar e reparar no programa de configuração do Office. A Microsoft recomenda a utilização deste método para actualizar estes produtos.

Para obter informações adicionais sobre estes pacotes, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
822715 MS03-037: Uma falha no Visual Basic for Applications pode permitir a execução de código arbitrário

Microsoft Works Suite

Se utilizar o Microsoft Works Suite, a Microsoft recomenda a instalação do patch de segurança utilizando o Web site "Actualizações de produtos" do Office. Este Web site detecta a instalação específica do Office do utilizador e apresentar-lhe-á para instalação exactamente o que for necessário para garantir que a instalação do Office fica completamente actualizada.

Para obter informações adicionais sobre actualizações de produtos do Office e para detectar as actualizações necessárias que tem de instalar no computador, visite o seguinte Web site da Microsoft:

http://office.microsoft.com/portugal/ProductUpdates/default.aspx

Após a conclusão da detecção, receberá uma lista de actualizações recomendadas para aprovação. Clique em Iniciar instalação para concluir o processo.

Nota: se estiver a utilizar o Microsoft Works Suite, também poderá actualizar o seu sistema com o patch de segurança disponível neste artigo.

Microsoft Visio 2000 ou Microsoft Office 97

Se estiver a utilizar o Visio 2000 ou o Office 97, tem de actualizar imediatamente o sistema com o patch de segurança disponível neste artigo.

Nota: se utilizar um produto da família Microsoft Office 2003, já dispõe deste patch de segurança e não é necessário actualizar o sistema.

Informações sobre o patch de segurança

O patch de segurança que se segue destina-se a qualquer aplicação que tenha o VBA integrado utilizando o Microsoft Visual Basic for Applications Software Development Kit (VBA SDK) versão 5.0, versão 6.0, versão 6.1, versão 6.2 ou versão 6.3. A Microsoft recomenda que as empresas que tenham licenciado e criado aplicações com recurso ao VBA utilizem este patch de segurança em todas as novas instalações. As empresas podem distribuir gratuitamente esta correcção e os ficheiros da forma mais adequada ao programa de configuração da respectiva aplicação.

A Microsoft recomenda a todos os clientes de VBA a actualização da respectiva versão do motor VBA (VBE ou VBE6), assim que possível. Os clientes que tenham uma aplicação com recurso ao VBA devem contactar o fabricante da aplicação para verificar se está disponível um patch de segurança especializado ou uma actualização inclusiva para a aplicação. Se ainda não estiver disponível um patch de segurança especializado ou uma actualização inclusiva, ou se o produto for um dos produtos Microsoft anteriores, tem de transferir e instalar o seguinte patch de segurança.

Os seguintes ficheiros estão disponíveis para transferência a partir do centro de transferências da Microsoft:
Actualização do Microsoft Visual Basic for Applications
Reduzir esta imagemExpandir esta imagem
Transferir
Transferir o pacote VBA64-KB822150-X86-PTG.exe agora.
Data de edição: 3 de Setembro de 2003

Para obter informações adicionais sobre como transferir ficheiros de suporte da Microsoft, clique no seguinte número de artigo para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
119591 Como obter ficheiros de suporte da Microsoft a partir de serviços online
A Microsoft procedeu à detecção de vírus neste ficheiro. A Microsoft utilizou o software de detecção de vírus mais actual disponível na data em que o ficheiro foi publicado. O ficheiro está armazenado em servidores com segurança melhorada, que ajudam a impedir quaisquer alterações não autorizadas ao ficheiro.

Pré-requisitos

Nenhum.

Informações de instalação

Feche todas as aplicações que utilizam o VBA e, em seguida, execute a actualização. Ser-lhe-á pedido para confirmar a configuração. Tem de reiniciar, a menos que o VBA esteja a ser utilizado por outro processo. Os programadores que pretendam obter a versão do VBE ou VBE6 com o patch de segurança aplicado sem instalar o patch de segurança, podem fazê-lo utilizando o parâmetro de configuração adequado.

Este patch de segurança suporta os seguintes parâmetros de configuração:
  • /q: modo silencioso (suprime caixas de diálogo quando os ficheiros estão a ser extraídos).
  • /q:u: modo silencioso (são apresentadas algumas caixas de diálogo ao utilizador).
  • /q:a: modo silencioso administrativo (não existem caixas de diálogo).
  • /c: extrai os ficheiros sem os instalar. (se o parâmetro /t não estiver presente, é-lhe pedido o caminho).
  • /t:[caminho]: caminho dos ficheiros extraídos (é utilizado com o parâmetro /c).
  • /r:a: reinicia sempre o computador após a instalação.
  • /r:n: nunca reinicia o computador após a instalação.
  • /r:s: reinicia o computador sem solicitar a confirmação do utilizador.
  • /n:v: não verifica a versão (instala sempre sobre a versão existente).
Nota: estes parâmetros podem ser utilizados em conjunto na mesma linha de comandos.

Não existe uma funcionalidade para remover este patch de segurança. Se tiver de remover o patch de segurança, tem de mudar o nome das cópias existentes do VBE ou VBE6 antes de executar o programa de configuração.

Informações sobre os ficheiros

A versão inglesa desta correcção tem os atributos de ficheiro listados na seguinte tabela (ou posteriores). As datas e horas destes ficheiros são indicadas no formato de hora universal coordenada (UTC, Universal Coordinated Time). Ao visualizar as informações dos ficheiros, estas serão convertidas na hora local. Para determinar a diferença entre a UTC e a hora local, utilize o separador Fuso horário da ferramenta Data/Hora no Painel de controlo.

Aplicações que utilizam o VBA 6.0 (ou posterior)

   Data         Hora   Versão          Tamanho    Nome do ficheiro
   ---------------------------------------------------------------
   04-Jun-2003  15:42                      8,725  Eula.txt
   03-Jul-2003  20:19  6.4.99.69       2,502,656  Vbe6.dll


Aplicações que utilizam o VBA 5.0

   Data         Hora   Versão         Tamanho  Nome do ficheiro
   ------------------------------------------------------------
   11-Jun-2003  15:05  5.0.78.15      749,568  Vbe.dll
   04-Jun-2003  10:42                   8,725  Eula.txt

Ponto Da Situação

A Microsoft confirmou que este problema pode causar um grau de vulnerabilidade da segurança nos produtos Microsoft listados no início deste artigo.

Mais Informação

Para obter informações adicionais sobre esta vulnerabilidade, visite o seguinte Web site da Microsoft:

http://www.microsoft.com/technet/security/bulletin/MS03-037.asp

O VBA poderá ser utilizado numa série de produtos não Microsoft que também poderão estar vulneráveis. A Microsoft não mantem uma lista completa de todos os produtos de outros fabricantes que utilizam o VBA, mas o seguinte Web site lista os parceiros de licenciamento mais comuns e os respectivos produtos que integram o VBA.

http://msdn.microsoft.com/vba/companies/company.asp

Se tiver qualquer destes produtos e não tiver recebido uma actualização do fabricante, tem de executar o patch de segurança fornecido neste artigo.

Para obter informações adicionais sobre o Microsoft Visual Basic for Applications SDK ou sobre como licenciar o VBA para a sua aplicação personalizada, visite o seguinte Web site da Microsoft:

http://msdn.microsoft.com/vba/

Propriedades

Artigo: 822150 - Última revisão: 9 de janeiro de 2007 - Revisão: 2.2
A informação contida neste artigo aplica-se a:
  • Microsoft Access 97 Standard Edition
  • Microsoft Excel 97 Standard Edition
  • Microsoft Office 97 Standard Edition
  • Microsoft PowerPoint 97 Standard Edition
  • Microsoft Visio 2000 Enterprise Edition
  • Microsoft Visio 2000 Professional Edition
  • Microsoft Visio 2000 Standard Edition
  • Microsoft Visio 2000 Technical Edition
  • Microsoft Word 97 Standard Edition
  • Microsoft Word 98 Standard Edition
  • Microsoft Works Suite 2003 Standard Edition
  • Microsoft Works Suite 2002 Standard Edition
  • Microsoft Works Suite 2001 Standard Edition
  • Microsoft Visual Basic for Applications (VBA) Software Development Kit (SDK) 6.3
  • Microsoft Visual Basic for Applications (VBA) Software Development Kit (SDK) 6.2
  • Microsoft Visual Basic for Applications (VBA) Software Development Kit (SDK) 6.1
  • Microsoft Visual Basic for Applications (VBA) Software Development Kit (SDK) 6.0
  • Microsoft Visual Basic for Applications (VBA) Software Development Kit (SDK) 5.0
Palavras-chave: 
kbqfe kbsecvulnerability kbsecurity kbsecbulletin kbbug kbupdate kbfix KB822150

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com