VBA: Disponibilidade da Atualização de Segurança MS03-037 do Microsoft VBA

Traduções deste artigo Traduções deste artigo
ID do artigo: 822150 - Exibir os produtos aos quais esse artigo se aplica.
Expandir tudo | Recolher tudo

Neste artigo

Sumário

Há uma falha no código de carregamento do projeto para o VBA (Visual Basic for Applications). Se a falha for explorada corretamente, isso poderá permitir que um invasor execute o código de sua escolha no contexto de um usuário conectado. O problema ocorre devido a uma vulnerabilidade de saturação do buffer no modo como o VBA lê propriedades do documento que são passadas a ele pelo aplicativo de host. Para que a vulnerabilidade seja explorada corretamente, você precisa abrir um documento criado especialmente que você recebe de um invasor. Esse documento pode ser qualquer tipo de documento que suporte a integração do VBA.

Fatores Atenuantes

  • Você deve abrir o documento que recebe de um invasor para que essa vulnerabilidade seja explorada.
  • Se você usar o Word como o editor de e-mail HTML para o Microsoft Outlook, a própria mensagem poderá apresentar a falha. No entanto, você deve responder essa mensagem aberta ou encaminhá-la para que a vulnerabilidade ocorra.
  • O código do invasor pode ser executado somente com os mesmo direitos que você tem como usuário conectado. As credenciais administrativas específicas que o invasor pode obter por meio dessa vulnerabilidade dependem das suas credenciais administrativas. Quaisquer limitações em sua conta, como credenciais administrativas aplicadas por meio de Diretivas de Grupo, também limitam as ações de qualquer código que essa vulnerabilidade venha a executar.

Resolução

Atualizações para Produtos Microsoft Office

Microsoft Office 2000, Microsoft Office XP, Microsoft Visio 2002

Se você usar o Office 2000, Office XP, Visio 2002, ou produtos Office individuais que não foram listados anteriormente, será necessário usar um dos patches de segurança da atualização personalizada para esses produtos. Essa atualizações são criadas para garantir que o patch correto ocorra ao usar Instalação por demanda e Detectar e Reparar na instalação do Office. A Microsoft recomenda o uso desse método para atualizar esses produtos.

Para obter informações adicionais sobre o registro, clique no número abaixo para visualizar o artigo na Base de Dados de Conhecimento da Microsoft:
822715 MS03-037: Flaw in Visual Basic for Applications Could Allow Arbitrary Code Execution

Microsoft Works Suite

Se você usar o Microsoft Works Suite, a Microsoft recomenda a instalação do patch de segurança usando o site da Web das atualizações do Produto Office. O site de Atualizações de Produto Office detecta sua instalação particular do Office e solicita a instalação do que você deve fazer para garantir que ela seja completamente atualizada.

Para obter informações adicionais sobre as Atualizações de Produto do Office na Web e detectar as atualizações necessárias que você precisa instalar em seu computador, visite o seguinte site da Microsoft na Web:

http://office.microsoft.com/ProductUpdates/default.aspx

Depois que a detecção for concluída, você receberá uma lista de atualizações recomendadas para a sua aprovação. Clique em Iniciar instalação para concluir o processo.

Nota Se você estiver usando o Microsoft Works Suite, também será possível atualizar seu sistema com o patch de segurança disponível neste artigo.

Microsoft Visio 2000 ou Microsoft Office 97

Se você estiver usando o Visio 2000 ou Office 97, será necessário atualizar imediatamente seu sistema com o patch de segurança disponível neste artigo.

Nota Se você usar um produto do Microsoft Office 2003, você já possui esse patch de segurança e não precisa atualizar seu sistema.

Informações sobre o Patch de Segurança

O seguinte patch de segurança destina-se a qualquer aplicativo que integrou o VBA usando o VBA SDK (Microsoft Visual Basic for Applications Software Development Kit) versões 5.0, 6.0, 6.1, 6.2 ou 6.3. A Microsoft recomenda que as empresas que licenciaram e criaram aplicativos ativados pelo VBA usem este patch de segurança para todas as novas instalações. Essas empresas podem distribuir livremente a correção e os arquivos de modo que seja adequado para a instalação do seu aplicativo.

A Microsoft recomenda que todos os clientes VBA atualizem sua versão do mecanismo do VBA (VBE ou VBE6) o quanto antes. Clientes que possuem um aplicativo ativado pelo VBA deverão entrar em contato com o fabricante do aplicativo para verificar se há um patch de segurança especializado ou uma atualização disponível para tal aplicativo. Caso ainda não haja um patch de segurança especializado ou uma atualização disponível, ou se o produto for um dos produtos Microsoft citados anteriormente, você deverá fazer o download e então instalar o seguinte patch de segurança.

Os seguintes arquivos estão disponíveis para download no Centro de Download da Microsoft:
Microsoft Visual Basic for Applications Update para Aplicativos de Host SDK
Recolher esta imagemExpandir esta imagem
Download
Faça o download do pacote VBA64-KB822150-X86-ENU.exe agora.
Data de lançamento: 03.09.03

Para obter informações adicionais sobre como fazer o download de arquivos de Suporte da Microsoft, clique no número abaixo para consultar o artigo na Base de Dados de Conhecimento da Microsoft:
119591 Como Obter Arquivos de Suporte da Microsoft nos Serviços On-line
A Microsoft verificou esse arquivo em busca de vírus. A Microsoft utilizou o software de detecção de vírus mais recente disponível na data em que o arquivo foi publicado. O arquivo está armazenado em servidores de segurança avançada que ajudam a evitar qualquer alteração não-autorizada no arquivo.

Pré-requisitos

Nenhum.

Informações sobre a Instalação

Feche todos os aplicativos que usam o VBA e então faça a atualização. Você precisará confirmar a instalação. Você não precisará reiniciar a menos que o VBA esteja sendo usado por outro processo. Os desenvolvedores que quiserem obter a versão do patch de segurança do VBE ou VBE6 sem instalar o patch poderão fazer isso usando a opção de Instalação apropriada.

Esse patch de segurança oferece suporte às seguintes opções de Instalação:
  • /q - Modo Silencioso (Suprime caixas de diálogo quando os arquivos estão sendo extraídos.)
  • /q:u: Modo Silencioso (Há solicitação limitada ao usuário.)
  • /q:a - Modo Silencioso Administrativo (Não há caixas de diálogo.)
  • /c: Extrai arquivos sem instalá-los. (Se a opção /t não estiver presente, você precisará informar o caminho.)
  • /t:[path]: Caminho dos arquivos extraídos (É usada com a opção /c.)
  • /r:a - Sempre reinicia o computador após a instalação.
  • /r:n - Não reinicia o computador após a instalação.
  • /r:s: Reinicia o computador sem avisar o usuário.
  • /n:v: Não há verificação de versão (Sempre é instalada em uma versão existente.)
Nota Você pode combinar estas opções em uma única linha de comando.

Não há recurso para remover esse patch de segurança. Se você voltar ao patch de segurança, será necessário renomear cópias existentes do VBE e do VBE6 antes de executar a instalação.

Informações sobre o arquivo

A versão em inglês dessa correção apresenta os atributos de arquivo (ou posteriores) relacionados na seguinte tabela. As datas e horas desses arquivos estão listados em formato UTC. Quando você visualiza as informações do arquivo, elas são convertidas para a hora local. Para saber a diferença entre UTC e a hora local, use a guia Fuso horário na ferramenta Data e hora do Painel de controle.

Aplicativos Que Usam VBA 6.0 (ou posterior)

   Data         Hora   Versão      Tamanho   Nome do arquivo    
   --------------------------------------------------------------
   04-Jun-2003  15:42                      8.725  Eula.txt
   03-Jul-2003  20:19  6.4.99.69       2.502.656  Vbe6.dll


Aplicativos Que Usam VBA 5.0

   Data         Hora   Versão      Tamanho   Nome do arquivo    
   --------------------------------------------------------------
   11-Jun-2003  15:05  5.0.78.15      749.568  Vbe.dll
   04-Jun-2003  10:42                   8.725  Eula.txt

Situação

A Microsoft confirmou que esse problema pode causar um certo grau de vulnerabilidade na segurança dos produtos Microsoft listados no começo deste artigo.

Mais Informações

Para obter mais informações sobre essa vulnerabilidade, acesse o seguinte site da Microsoft na Web:

http://www.microsoft.com/technet/security/bulletin/MS03-037.asp

VBA pode ser usado em produtos que não sejam da Microsoft que também possam ser vulneráveis. A Microsoft não mantém uma lista completa de todos os produtos de terceiros que usam o VBA, mas o seguinte site da Web lista os parceiros licenciados mais cumuns e seus produtos que integram o VBA.

http://msdn.microsoft.com/vba/companies/company.asp

Se você tiver qualquer um desses produtos e não recebeu uma atualização, execute o patch de segurança fornecido aqui.

Para obter informações adicionais sobre o Microsoft Visual Basic for Applications SDK ou o licenciamento do seu aplicativo personalizado do VBA, visite o seguinte site da Microsoft na Web:

http://msdn.microsoft.com/vba/

Propriedades

ID do artigo: 822150 - Última revisão: terça-feira, 9 de janeiro de 2007 - Revisão: 2.3
A informação contida neste artigo aplica-se a:
  • Microsoft Access 97 Standard Edition
  • Microsoft Excel 97 Standard Edition
  • Microsoft Office 97 Standard Edition
  • Microsoft PowerPoint 97 Standard Edition
  • Microsoft Visio 2000 Enterprise Edition
  • Microsoft Visio 2000 Professional Edition
  • Microsoft Visio 2000 Standard Edition
  • Microsoft Visio 2000 Technical Edition
  • Microsoft Word 97 Standard Edition
  • Microsoft Word 98 Standard Edition
  • Microsoft Works Suite 2003 Standard Edition
  • Microsoft Works Suite 2002 Standard Edition
  • Microsoft Works Suite 2001 Standard Edition
  • Microsoft Visual Basic for Applications (VBA) Software Development Kit (SDK) 6.3
  • Microsoft Visual Basic for Applications (VBA) Software Development Kit (SDK) 6.2
  • Microsoft Visual Basic for Applications (VBA) Software Development Kit (SDK) 6.1
  • Microsoft Visual Basic for Applications (VBA) Software Development Kit (SDK) 6.0
  • Microsoft Visual Basic for Applications (VBA) Software Development Kit (SDK) 5.0
Palavras-chave: 
kbdownload kbqfe kbsecvulnerability kbsecurity kbsecbulletin kbbug kbupdate kbfix KB822150

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com