VBA:Microsoft VBA Security Update MS03-037 的可用性

文章翻译 文章翻译
文章编号: 822150 - 查看本文应用于的产品
展开全部 | 关闭全部

本文内容

概要

Visual Basic for Applications (VBA) 的项目加载代码中存在一个缺陷。如果攻击者成功利用该缺陷,则他们可以在登录用户的上下文中运行所选择的代码。之所以出现该问题是因为,在 VBA 读取宿主应用程序传递给它的文档属性的过程中存在一个缓冲区溢出漏洞。攻击者若要成功利用此漏洞,您必须打开攻击者发送给您的特制文档。该文档可以是支持 VBA 集成的任意类型的文档。

缓解因素

  • 攻击者若要利用此漏洞,您必须打开攻击者发送给您的文档。
  • 如果在 Microsoft Outlook 中使用 Word 作为 HTML 电子邮件编辑器,则邮件本身可能包含此缺陷。不过,攻击者若要利用此漏洞,您必须回复或转发邮件。
  • 只有使用与登录用户相同的权限才能运行攻击者的代码。因此,攻击者通过此漏洞可能获取的特定管理凭据取决于授予您的管理凭据。对于您的帐户的任何限制(如通过组策略应用的管理凭据)也会限制通过此漏洞运行的任意代码的操作。

解决方案

Microsoft Office 产品的更新程序

Microsoft Office 2000、Microsoft Office XP、Microsoft Visio 2002

如果您使用的是 Office 2000、Office XP、Visio 2002 或之前未列出的单独 Office 产品,则必须使用这些产品的一种自定义安全更新修补程序。这些更新程序旨在确保在 Office 安装期间使用“即需安装”和“检测与修复”功能时进行正确的修补。Microsoft 建议您使用此方法来更新以上这些产品。

有关这些程序包的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
822715 MS03-037:Visual Basic for Applications 中的缺陷可能允许执行任意代码

Microsoft Works Suite

如果您使用 Microsoft Works Suite,Microsoft 建议您通过 Office 产品更新程序 Web 站点来安装安全修补程序。Office 产品更新程序 Web 站点检测特定的 Office 安装,然后提示您只安装必须安装的更新程序,以确保您的 Office 安装完全是最新的。

有关 Office 产品更新程序和检测您必须在计算机上安装的所需更新程序的其他信息,请访问下面的 Microsoft Web 站点:

http://office.microsoft.com/ProductUpdates/default.aspx

完成检测后,您将收到一份推荐安装的更新程序的列表用于征求您的同意。单击“开始安装”完成该过程。

注意:如果您使用的是 Microsoft Works Suite,也可以使用本文中提供的安全修补程序更新您的系统。

Microsoft Visio 2000 或 Microsoft Office 97

如果您使用的是 Visio 2000 或 Office 97,则必须立即使用本文中提供的安全修补程序更新您的系统。

注意:如果您使用的是 Microsoft Office 2003 系列产品,则您已安装了此安全修补程序,无需再更新您的系统。

安全修补程序信息

下面的安全修补程序专门用于通过使用 Microsoft Visual Basic for Applications Software Development Kit (VBA SDK) 5.0 版、6.0 版、6.1 版、6.2 版或 6.3 版集成了 VBA 的任何应用程序。对于已获取使用授权和创建支持 VBA 的应用程序的公司,Microsoft 建议它们必须对所有新的安装使用此安全修补程序。这些公司可以按适合其应用程序安装的方式免费分发该修补程序和文件。

Microsoft 建议所有 VBA 客户必须尽快更新其 VBA 引擎版本(VBE 或 VBE6)。使用支持 VBA 的应用程序的客户必须与应用程序开发商联系,以确认是否为该应用程序提供了专用的安全修补程序或附带的更新程序。如果尚未提供专用的安全修补程序或附带的更新程序,或者该产品是 Microsoft 的早期产品之一,则必须下载并安装以下安全修补程序。

可以从 Microsoft 下载中心下载下列文件:
用于 SDK 宿主应用程序的 Microsoft Visual Basic for Applications 更新
收起这个图片展开这个图片
下载
立即下载 VBA64-KB822150-X86-CHS.exe 程序包。
发布日期:2003 年 9 月 3 日

有关如何下载 Microsoft 支持文件的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
119591 How to Obtain Microsoft Support Files from Online Services
Microsoft 已对此文件进行了病毒扫描。Microsoft 使用的是此文件发布时最新的病毒检测软件。此文件存储在增强的安全服务器上,以防止在未经授权的情况下对其进行更改。

先决条件

无。

安装信息

关闭所有使用 VBA 的应用程序,然后运行更新程序。系统将提示您确认安装。除非另一进程正在使用 VBA,否则必须重新启动。如果开发人员要获取 VBE 或 VBE6 版本的安全修补程序,而不想安装该安全修补程序,则可以使用适当的安装开关实现此目的。

此安全修补程序支持下列安装开关:
  • /q:安静模式(当提取文件时禁止显示对话框。)
  • /q:u:安静模式(给用户提供有限的提示。)
  • /q:a:管理安静模式(不出现对话框。)
  • /c:提取文件但不安装它们。(如果未出现 /t 开关,则提示您输入路径。)
  • /t:[path]:提取文件的路径(此开关与 /c 开关一起使用。)
  • /r:a:总是在安装后重新启动计算机。
  • /r:n:安装后不再重新启动计算机。
  • /r:s:在不提示用户的情况下重新启动计算机。
  • /n:v:不检查版本(始终在现有版本上安装。)
注意:可以在一个命令行中组合使用这些安装开关。

未提供删除此安全修补程序的功能。如果必须回滚该安全修补程序,则在运行安装程序之前必须重命名现有的 VBE 或 VBE6 副本。

文件信息

此修补程序的英语版具有下表中列出的文件属性(或更新的属性)。这些文件的日期和时间按协调通用时间 (UTC) 列出。查看文件信息时,它将转换为本地时间。要了解 UTC 与本地时间之间的时差,请使用“控制面板”中“日期和时间”工具中的“时区”选项卡。

使用 VBA 6.0(或更高版本)的应用程序

   日期         时间   版本     大小     文件名
   --------------------------------------------------------------
2003-06-04  15:42                      8,725  Eula.txt
2003-07-03  20:19  6.4.99.69       2,502,656  Vbe6.dll


使用 VBA 5.0 的应用程序

   日期         时间   版本     大小     文件名
   --------------------------------------------------------------
2003-06-11  15:05  5.0.78.15      749,568  Vbe.dll
2003-06-04  10:42                   8,725  Eula.txt

状态

Microsoft 已经确认此问题可能导致本文开头列出的 Microsoft 产品中存在某种程度的安全漏洞。

更多信息

有关此漏洞的其他信息,请访问下面的 Microsoft Web 站点:

http://www.microsoft.com/technet/security/bulletin/MS03-037.asp

VBA 可用在可能也存在此漏洞的许多非 Microsoft 产品中。Microsoft 未提供使用 VBA 的所有第三方产品的完整列表,但以下 Web 站点列出了最常见的授权合作伙伴及其集成 VBA 的产品。

http://msdn.microsoft.com/vba/companies/company.asp

如果您安装了其中的任何产品,并且尚未从厂商那里收到更新程序,则必须运行本文中提供的安全修补程序。

有关 Microsoft Visual Basic for Applications SDK 或为自定义应用程序获取 VBA 许可证的其他信息,请访问以下 Microsoft Web 站点:

http://msdn.microsoft.com/vba/

属性

文章编号: 822150 - 最后修改: 2007年1月9日 - 修订: 2.3
这篇文章中的信息适用于:
  • Microsoft Access 97 标准版
  • Microsoft Excel 97 标准版
  • Microsoft Office 97 标准版
  • Microsoft PowerPoint 97 标准版
  • Microsoft Visio 2000 Enterprise Edition
  • Microsoft Visio 2000 Professional Edition
  • Microsoft Visio 2000 Standard Edition
  • Microsoft Visio 2000 Technical Edition
  • Microsoft Word 97 标准版
  • Microsoft Word 98 标准版
  • Microsoft Works Suite 2003 标准版
  • Microsoft Works Suite 2002 标准版
  • Microsoft Works Suite 2001 标准版
  • Microsoft Visual Basic for Applications (VBA) Software Development Kit (SDK) 6.3
  • Microsoft Visual Basic for Applications (VBA) Software Development Kit (SDK) 6.2
  • Microsoft Visual Basic for Applications (VBA) Software Development Kit (SDK) 6.1
  • Microsoft Visual Basic for Applications (VBA) Software Development Kit (SDK) 6.0
  • Microsoft Visual Basic for Applications (VBA) Software Development Kit (SDK) 5.0
关键字:?
kbdownload kbbug kbfix kbsecvulnerability kbqfe kbsecurity kbsecbulletin kbupdate KB822150
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com