VBA:Microsoft VBA 安全性更新程式 MS03-037 的可用性

文章翻譯 文章翻譯
文章編號: 822150 - 檢視此文章適用的產品。
全部展開 | 全部摺疊

在此頁中

結論

Visual Basic for Applications (VBA) 的專案載入程式碼有一個瑕疵。 成功利用此瑕疵的攻擊者可以在登入使用者的範圍中執行所選的程式碼。這個問題是 VBA 讀取主機應用程式傳來的文件內容時,緩衝區滿溢的弱點所造成。 您必須開啟攻擊者所傳送特別製作的文件,攻擊者才能成功地利用此弱點。此文件可能是任何支援 VBA 整合的文件。

緩和因素

  • 您必須開啟攻擊者所傳送的文件,才會被利用此弱點。
  • 如果您使用 Word 做為 Microsoft Outlook 的 HTML 電子郵件編輯器,郵件本身就可能包含此瑕疵。然而,您必須回覆或轉寄郵件訊息,才會被利用此弱點。
  • 攻擊者只能以您所登入的權限執行。攻擊者可以透過此弱點取得的權限取決於您的系統管理認證。帳戶上的任何限制 (例如,經由「群組原則」而套用的系統管理認證),也會限制任何透過此弱點執行的任何程式碼。

解決方案

Microsoft Office 產品的更新程式

Microsoft Office 2000、Microsoft Office XP、Microsoft Visio 2002

如果您使用 Office 2000、Office XP、Visio 2002 或其他個別 Office 產品,則必須使用這些產品的任一自訂更新安全性補充程式。這些更新程式是設計用來確保您在 Office 安裝中使用 [隨選安裝][偵測與修復功能] 時,可以正確地運作。Microsoft 建議您使用這個方法來更新這些產品。

如需有關這些套件的詳細資訊,請按一下下面的文件編號,檢視 Microsoft Knowledge Base 中的下列文件:
822715 MS03-037:Flaw in Visual Basic for Applications Could Allow Arbitrary Code Execution

Microsoft Works Suite

如果您使用 Microsoft Works Suite,Microsoft 建議您使用 Office 產品更新網站來安裝安全性補充程式。Office 產品更新網站會偵測出您特定的 Office 安裝,並提醒您安裝剛好需要更新的部份,以確保您的 Office 安裝程式永遠維持最新狀態。

如需有關 Office 產品更新網站和需要在電腦上安裝哪些更新程式的詳細資訊,請造訪下列 Microsoft 網站:

http://office.microsoft.com/ProductUpdates/default.aspx

偵測完之後,您便會收到建議更新程式的清單,讓您核准。按一下 [開始安裝] 以完成程序。

注意 如果您使用 Microsoft Works Suite,您也可以使用本文的安全性補充程式,來更新系統。

Microsoft Visio 2000 或 Microsoft Office 97

如果您使用 Visio 2000 或 Office 97,則必須立即使用本文的安全性補充程式,來更新系統。

注意 如果您使用 Microsoft Office 2003 系列產品,產品中已經包含此安全性補充程式,所以您不必更新系統。

安全性補充程式資訊

下列安全性補充程式適用於任何使用 Microsoft Visual Basic for Applications Software Development Kit (VBA SDK) 5.0、6.0、6.1、6.2 或 6.3 版整合 VBA 的應用程式。Microsoft 建議已授權並且建置 VBA 應用程式的公司,在所有新的安裝程式上使用此安全性補充程式。 這些公司可以使用適合應用程式安裝的方式,免費地散發修正程式和檔案。

Microsoft 建議所有 VBA 用戶端儘快更新 VBA 引擎版本 (VBE 或 VBE6)。如果用戶端擁有 VBA 應用程式,請聯絡應用程式製造商,以瞭解是否有適用於應用程式的特定安全性補充程式或內含的更新程式。 如果沒有特定的安全性補充程式或內含的更新程式,或者所使用的是上述 Microsoft 產品之一,就必須下載並安裝下列安全性補充程式。

您可以從「Microsoft 下載中心」下載下列檔案:
Microsoft Visual Basic for Applications SDK 主機應用程式更新
摺疊此圖像展開此圖像
下載
立即下載 VBA64-KB822150-X86-CHT.exe 套件。
發行日期:2003 年 9 月 3 日

如需有關如何下載 Microsoft 支援檔案的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
119591 如何從線上服務取得 Microsoft 支援檔案
Microsoft 已對這個檔案做過病毒的掃描。Microsoft 是利用發佈當日的最新病毒偵測軟體來掃描檔案,看看有沒有病毒感染。檔案會儲存在安全的伺服器上,以避免任何未經授權的更改。

先決條件

無。

安裝資訊

關閉所有使用 VBA 的應用程式,然後執行更新程式。您會收到確認安裝的提示。除非其他處理程序正在使用 VBA,否則必須重新啟動 VBA。如果開發人員想要在不安裝安全性補充程式的情況下,取得已修補安全性的 VBE 或 VBE6 版本,可以使用適當的安裝參數來執行這項操作。

此安全性補充程式支援下列安裝參數:
  • /q:無訊息模式或隱藏檔案解壓縮時的訊息。
  • /q:u:無訊息模式 (有限制的提示使用者)。
  • /q:a:系統管理無訊息模式 (無對話方塊)。
  • /c:解壓縮檔案,但不進行安裝。(如果無 /t 參數,則會提示您輸入路徑)。
  • /t:[path]:解壓縮檔案的路徑 (與 /c 參數搭配使用)。
  • /r:a:安裝後一律重新啟動電腦。
  • /r:n:安裝之後一律不重新啟動電腦。
  • /r:s:不提示使用者直接重新啟動電腦。
  • /n:v:不檢查版本 (一律取代現有版本的安裝)。
注意 您可以將所有參數結合在單一命令列中使用。

在安裝此安全性更新程式後,您便無法加以移除。 如果您必須還原安全性補充程式,請在安裝之前,重新命名 VBE 或 VBE6 的現有複本。

檔案資訊

此修正程式的英文版具有下列表格中所列之檔案屬性 (或更新)。這些檔案的日期和時間是以 Coordinated Universal Time (UTC) 表示。當您檢視檔案資訊時,它會轉換成當地時間。如果要查看 UTC 與當地時間的差異,請使用 [控制台] 中 [日期和時間] 工具的 [時區] 索引標籤。

使用 VBA 6.0 (或更新版本) 的應用程式

    日期            時間     版本                 大小       檔名
   --------------------------------------------------------------
   04-Jun-2003  15:42                      8,725  Eula.txt
   03-Jul-2003  20:19  6.4.99.69       2,502,656  Vbe6.dll


使用 VBA 5.0 的應用程式

   日期             時間   版本              大小     檔名
   --------------------------------------------------------------
   11-Jun-2003  15:05  5.0.78.15      749,568  Vbe.dll
   04-Jun-2003  10:42                   8,725  Eula.txt

狀況說明

Microsoft 已確認本篇文章開頭所列之 Microsoft 產品確實有上述問題。

其他相關資訊

如需有關此弱點的詳細資訊,請造訪下列 Microsoft 網站:

http://www.microsoft.com/taiwan/security/bulletins/MS03-027.asp

非 Microsoft 產品使用 VBA 時,也會出現這個弱點。Microsoft 不會維護所有使用 VBA 協力廠商產品的完整清單,但是下列網站列出常見的整合 VBA 授權協力廠商及其產品。

http://msdn.microsoft.com/vba/companies/company.asp

如果您擁有任何這些產品,但是製造商並未提供更新程式,則必須執行本文所提供的安全性補充程式。

如需 Microsoft Visual Basic for Applications SDK 或自訂應用程式授權 VBA 的詳細資訊,請造訪下列 Microsoft 網站:

http://msdn.microsoft.com/vba/

屬性

文章編號: 822150 - 上次校閱: 2007年1月9日 - 版次: 2.3
這篇文章中的資訊適用於:
  • Microsoft Access 97 Standard Edition
  • Microsoft Excel 97 Standard Edition
  • Microsoft Office 97 Standard Edition
  • Microsoft PowerPoint 97 Standard Edition
  • Microsoft Visio 2000 Enterprise Edition
  • Microsoft Visio 2000 Professional Edition
  • Microsoft Visio 2000 Standard Edition
  • Microsoft Visio 2000 Technical Edition
  • Microsoft Word 97 Standard Edition
  • Microsoft Word 98 Standard Edition
  • Microsoft Works Suite 2003 Standard Edition
  • Microsoft Works Suite 2002 Standard Edition
  • Microsoft Works Suite 2001 Standard Edition
  • Microsoft Visual Basic for Applications (VBA) Software Development Kit (SDK) 6.3
  • Microsoft Visual Basic for Applications (VBA) Software Development Kit (SDK) 6.2
  • Microsoft Visual Basic for Applications (VBA) Software Development Kit (SDK) 6.1
  • Microsoft Visual Basic for Applications (VBA) Software Development Kit (SDK) 6.0
  • Microsoft Visual Basic for Applications (VBA) Software Development Kit (SDK) 5.0
關鍵字:?
kbdownload kbqfe kbsecvulnerability kbsecurity kbsecbulletin kbbug kbupdate kbfix KB822150
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com