VBA: Обновление системы безопасности Microsoft VBA (MS03-037)

Переводы статьи Переводы статьи
Код статьи: 822150 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

В этой статье

Аннотация

В коде VBA (Visual Basic for Applications) имеется уязвимость, предоставляющая злоумышленнику те же права на запуск кода, которыми обладает текущий пользователь. Причиной уязвимости является переполнение буфера, которое может возникать при обработке системой VBA свойств документа, переданных из приложения размещения. Для успешного использования уязвимости злоумышленник должен особым образом сформировать документ, отправить его пользователю и заставить пользователя открыть данный документ. Таким документом может быть документ любого типа, поддерживающий интеграцию с VBA.

Факторы, снижающие опасность

  • Чтобы злоумышленник мог использовать уязвимость, пользователь должен открыть документ, отправленный злоумышленником.
  • При использовании Microsoft Word в качестве редактора электронной почты для Microsoft Outlook само сообщение может содержать дефект, однако для активизации программного кода сообщение необходимо открыть или переслать.
  • Злоумышленник может выполнять программный код только с правами пользователя, вошедшего в систему, поэтому права, получаемые злоумышленником, зависят от ограничений текущей учетной записи. Любые ограничения учетной записи пользователя (например, полномочия, установленные с помощью групповой политики) также ограничивают действия запущенного нарушителем программного кода.

Решение

Обновления для приложений Microsoft Office

Microsoft Office 2000, Microsoft Office XP, Microsoft Visio 2002

При использовании Microsoft Office 2000, Microsoft Office XP, Microsoft Visio 2002 или отдельных приложений Microsoft Office, не перечисленных ранее, необходимо использовать обновления системы безопасности для этих продуктов. Такие обновления служат для внесения соответствующих исправлений, когда в программе установки Office используются параметры Установить при первом вызове и Найти и восстановить. Корпорация Microsoft рекомендует использовать данный метод для обновления этих продуктов.

За дополнительной информацией об этих пакетах обратитесь к следующей статье Microsoft Knowledge Base:
822715 MS03-007: Дефект Visual Basic for Applications (VBA) может допустить запуск произвольного кода

Microsoft Works Suite

При использовании Microsoft Works Suite корпорация Microsoft рекомендует устанавливать обновления системы безопасности, используя веб-узел Office Product Updates. Веб-узел Office Product Updates автоматически определяет установленную версию Office и предлагает список обновлений, необходимых для модернизации именно этой версии.

Для получения дополнительной информации о службе Office Product Updates и необходимых обновлениях обратитесь к веб-узлу корпорации Microsoft по следующему адресу:
http://office.microsoft.com/ProductUpdates/default.aspx
После завершения процесса определения выводится список рекомендованных обновлений для подтверждения. Чтобы установить обновления, нажмите кнопку Начать установку.

Примечание. При использовании Microsoft Works Suite можно выполнить обновление, используя обновление системы безопасности, указанное в данной статье.

Microsoft Visio 2000 или Microsoft Office 97

При использовании Visio 2000 или Office 97 необходимо как можно быстрее установить обновление системы безопасности, указанное в данной статье.

Примечание. Данное исправление безопасности включено в состав продуктов пакета Microsoft Office 2003 и, следовательно, пользователям таких продуктов нет необходимости обновлять свою систему.

Сведения об исправлении безопасности

Данное исправление безопасности предназначено для всех приложений, в которых для интеграции VBA использовался пакет Microsoft Visual Basic for Applications Software Development Kit (VBA SDK) версий 5.0, 6.0, 6.1, 6.2 или 6.3. Корпорация Microsoft рекомендует всем организациям, имеющим лицензированные и откомпилированные приложения VBA, в обязательном порядке использовать данное обновление системы безопасности для всех новых установок. Такие организации могут свободно распространять это исправление и файлы любым способом, приемлемым для программ установки их приложений.

Корпорация Microsoft рекомендует при первой возможности обновить ядро VBA (VBE или VBE6) всем клиентам VBA. Пользователи приложений, использующих VBA, должны обратиться к разработчику за соответствующим исправлением безопасности для такого приложения. При отсутствии специального обновления системы безопасности или при использовании одного из продуктов корпорации Microsoft, указанных ранее, необходимо загрузить и установить следующее обновление системы безопасности.

Загрузите следующий файл с веб-узла центра загрузки корпорации Microsoft:
Свернуть это изображениеРазвернуть это изображение
Загрузка
Загрузить пакет VBA64-KB822150-X86-ENU.exe
Дата выпуска: 3 сентября 2003 года

За дополнительной информацией о загрузке файлов с узла технической поддержки корпорации Microsoft обратитесь к следующей статье Microsoft Knowledge Base:
119591 Как загрузить файлы поддержки Microsoft из Интернета
Корпорация Microsoft проверила этот файл на наличие вирусов. Корпорация Microsoft использует последние версии антивирусного программного обеспечения на момент публикации файла для проверки его на наличие вирусов. Файл хранится на закрытом сервере, предотвращающем его несанкционированное изменение.

Необходимые условия

Отсутствуют.

Информация об установке

Закройте все приложения, использующие VBA, и запустите обновление. После этого будет предложено подтвердить установку обновления. Если VBA не используется другим процессом, необходимо выполнить перезагрузку. Разработчики, желающие получить обновленные версии VBE или VBE6 без установки обновления системы безопасности, могут сделать это с помощью соответствующих параметров установки.

При запуске программы установки можно использовать следующие параметры командной строки.
  • /q Автоматический режим (отключается вывод диалоговых окон при извлечении файлов).
  • /q:u Автоматический режим (взаимодействие с пользователем ограничено)
  • /q:a Автоматический режим администратора (диалоговые окна отключены)
  • /c Извлечение файлов без установки. (Если ключ /t не задан, появится приглашение указать путь.)
  • /t:[путь] Путь для извлечения файлов (используется вместе с параметром /c).
  • /r:a Всегда перезагружать компьютер после установки.
  • /r:n Не перезагружать компьютер после установки.
  • /r:s: Перезагружать компьютер, не спрашивая пользователя.
  • /n:v: Отключить проверку версии (всегда устанавливать поверх существующей версии)
Примечание. Указанные параметры можно использовать в одной команде.

Удаление данного обновления не предусмотрено. При необходимости произвести откат, следует до установки обновления переименовать существующие копии VBE и VBE6.

Сведения о файлах

Английская версия данного исправления содержит версии файлов, приведенные в следующей таблице, или более поздние. Дата и время для файлов указаны в формате универсального глобального времени (по Гринвичу). При просмотре сведений о файле в системе происходит перевод соответствующих значений в местное время. Чтобы узнать разницу между временем по Гринвичу и местным временем, следует использовать вкладку Часовой пояс элемента панели управления «Дата и время».

Приложения, использующие VBA 6.0 (или более поздней версии)

   Дата         Время  Версия             Размер  Имя файла
   --------------------------------------------------------------
   04-июн-2003  15:42                      8 725  Eula.txt
   03-июл-2003  20:19  6.4.99.69       2 502 656  Vbe6.dll


Приложения, использующие VBA 5.0

   Дата         Время  Версия          Размер  Имя файла
   --------------------------------------------------------------
   11-июн-2003  15:05  5.0.78.15      749 568  Vbe.dll
   04-июн-2003  10:42                   8 725  Eula.txt

Статус

Данное поведение является подтвержденной уязвимостью продуктов Microsoft, перечисленных в начале данной статьи.

Дополнительная информация

За дополнительной информацией о данной уязвимости обратитесь к веб-узлу корпорации Microsoft по следующему адресу:
http://www.microsoft.com/technet/security/bulletin/MS03-037.asp
VBA может использоваться и в других продуктах, разработанных различными компаниями, которые также могут иметь описанную уязвимость. Корпорация Microsoft не ведет список продуктов независимых производителей, использующих VBA, однако на следующем веб-узле перечислены основные компании и их продукты, использующие VBA:
http://msdn.microsoft.com/vba/companies/company.asp
При использовании любого из этих продуктов необходимо получить обновление от поставщика продукта или установить обновление, указанное в данной статье.

Для получения дополнительной информации о Visual Basic for Applications SDK и лицензировании VBA для разрабатываемых приложений обратитесь к веб-узлу корпорации Microsoft по следующему адресу:
http://msdn.microsoft.com/vba/

Свойства

Код статьи: 822150 - Последний отзыв: 9 января 2007 г. - Revision: 4.3
Информация в данной статье относится к следующим продуктам.
  • Microsoft Access 97 Standard Edition
  • Microsoft Excel 97 Standard Edition
  • Microsoft Office 97 Standard Edition
  • Microsoft PowerPoint 97 Standard Edition
  • Microsoft Visio 2000 Enterprise Edition
  • Microsoft Visio 2000 Professional Edition
  • Microsoft Visio 2000 Standard Edition
  • Microsoft Visio 2000 Technical Edition
  • Microsoft Word 97 Standard Edition
  • Microsoft Word 98 Standard Edition
  • Microsoft Works Suite 2003 Standard Edition
  • Microsoft Works Suite 2002 Standard Edition
  • Microsoft Works Suite 2001 Standard Edition
  • Microsoft Visual Basic for Applications (VBA) Software Development Kit (SDK) 6.3
  • Microsoft Visual Basic for Applications (VBA) Software Development Kit (SDK) 6.2
  • Microsoft Visual Basic for Applications (VBA) Software Development Kit (SDK) 6.1
  • Microsoft Visual Basic for Applications (VBA) Software Development Kit (SDK) 6.0
  • Microsoft Visual Basic for Applications (VBA) Software Development Kit (SDK) 5.0
Ключевые слова: 
kbdownload kbqfe kbsecvulnerability kbsecurity kbsecbulletin kbbug kbupdate kbfix KB822150

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com