MS03-037: Fehler in Visual Basic für Applikationen kann Ausführung von beliebigem Code ermöglichen

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 822715 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
822715 MS03-037: Flaw in Visual Basic for Applications Could Allow Arbitrary Code Execution
Die Informationen in diesem Artikel betreffen die Produkte, die im Abschnitt "Die Informationen in diesem Artikel beziehen sich auf" aufgelistet sind.
Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.
Alles erweitern | Alles schließen

Auf dieser Seite

Problembeschreibung

Microsoft Visual Basic für Applikationen (VBA) basiert auf dem Microsoft Visual Basic-Entwicklungssystem. Microsoft Office-Produkte enthalten VBA und nutzen es zur Durchführung bestimmter Funktionen. Sie können VBA nutzen, um benutzerdefinierte Programme zu erstellen, die auf einem vorhandenen Hostprogramm basieren.

Die Methode, mit der VBA Dokumenteigenschaften überprüft, die beim Öffnen eines Dokuments durch das Hostprogramm an VBA übergeben werden, ist fehlerhaft. Es tritt ein Pufferüberlauf auf, der es einem Angreifer bei erfolgreicher Ausnutzung ermöglichen könnte, Code seiner Wahl im Sicherheitskontext des angemeldeten Benutzers auszuführen.

Damit der Angriff erfolgreich ist, müsste der angemeldete Benutzer ein speziell gestaltetes Dokument öffnen, das ihm vom Angreifer zugesandt wurde. Bei diesem Dokument kann es sich um einen beliebigen Dokumenttyp handeln, der VBA unterstützt, zum Beispiel ein Microsoft Word-Dokument, eine Microsoft Excel-Tabelle oder eine Microsoft PowerPoint-Präsentation. Wenn Word als E-Mail-Editor für Microsoft Outlook verwendet wird, könnte dieses Dokument auch eine E-Mail-Nachricht sein. Der angemeldete Benutzer müsste jedoch auf die böswillige E-Mail-Nachricht antworten oder diese weiterleiten, damit die Sicherheitsanfälligkeit ausgenutzt werden kann.

Schadensbegrenzende Faktoren:
  • Der angemeldete Benutzer muss ein Dokument öffnen, das ihm vom Angreifer zugesandt wurde, damit diese Sicherheitsanfälligkeit ausgenutzt werden kann.
  • Wenn Word als E-Mail-Editor in Outlook verwendet wird, muss ein Benutzer eine vom Angreifer an ihn gesandte böswillige E-Mail-Nachricht beantworten oder weiterleiten, damit diese Sicherheitsanfälligkeit ausgenutzt werden kann.
  • Der Code eines Angreifers würde nur mit den Berechtigungen des angemeldeten Benutzers ausgeführt. Die genauen Berechtigungen, die ein Angreifer durch Ausnutzung dieser Sicherheitsanfälligkeit erlangt, hängen daher davon ab, über welche Berechtigungen der Benutzer verfügt. Alle Einschränkungen des Kontos des angemeldeten Benutzers, die z. B. durch Gruppenrichtlinien festgelegt werden, gelten auch für die möglichen Aktionen von willkürlichem Code, der durch diese Sicherheitsanfälligkeit ausgeführt wird.

Lösung

Sicherheitspatch-Informationen

Download- und Installationsinformationen

Wenn Sie eines der folgenden Programme verwenden, sollten Sie die VBA-Version dieses Updates anwenden:
  • Microsoft VBA 5.0
  • Microsoft VBA 6.0
  • Microsoft VBA 6.2
  • Microsoft VBA 6.3
  • Microsoft Access 97
  • Microsoft Excel 97
  • Microsoft PowerPoint 97
  • Microsoft Word 97
  • Microsoft Word 98(J)
  • Microsoft Works 2001
  • Microsoft Works 2002
  • Microsoft Works Suite 2003
  • Microsoft Business Solutions Great Plains 7.5
  • Microsoft Business Solutions Great Plains 7.0
  • Microsoft Business Solutions Great Plains 6.0
  • Microsoft Business Solutions Solomon IV 4.5
  • Microsoft Business Solutions Solomon IV 5.0
  • Microsoft Business Solutions Solomon IV 5.5
Weitere Informationen zu dem Microsoft VBA-Update finden Sie im folgenden Artikel der Microsoft Knowledge Base:
822150 VBA: Verfügbarkeit des Microsoft VBA-Sicherheitsupdates MS03-037
Wenn Sie eines der folgenden Programme verwenden, sollten Sie die jeweilige produktspezifische Version des Updates anwenden:
  • Microsoft Project 2000
  • Microsoft Project 2002
  • Microsoft Visio 2002
Weitere Informationen zu diesen Sicherheitsupdates finden Sie in den folgenden Artikeln der Microsoft Knowledge Base:
822211 Überblick über das Microsoft Project 2002-Sicherheitsupdate vom 03. September 2003
822478 Überblick über das Microsoft Project 2000-Sicherheitsupdate vom 03. September 2003
822212 Überblick über das Visio 2002-Sicherheitsupdate vom 03. September 2003
Wenn Sie eines der folgenden Programme verwenden, sollten Sie die jeweilige produktspezifische Version des Updates anwenden:
  • Microsoft Office 2000
  • Microsoft Office XP (mit Microsoft Publisher 2002)
Weitere Informationen zu diesen Sicherheitsupdates finden Sie in den folgenden Artikeln der Microsoft Knowledge Base:
822036 Überblick über das Office XP-Sicherheitsupdate vom 03. September 2003
822035 Überblick über das Office 2000-Sicherheitsupdate vom 03. September 2003

Informationen zur Deinstallation

Dieser Patch kann nicht entfernt werden.

Patch-Ersetzungsinformationen

Dieser Patch ersetzt keine anderen Patches.

Informationsquellen

Weitere Informationen zu diesen Sicherheitsanfälligkeiten finden Sie auf folgender Website von Microsoft:
http://www.microsoft.com/germany/technet/sicherheit/bulletins/ms03-037.mspx

Eigenschaften

Artikel-ID: 822715 - Geändert am: Dienstag, 4. Dezember 2007 - Version: 3.7
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Visual Basic for Applications (VBA) Software Development Kit (SDK) 5.0
  • Microsoft Visual Basic for Applications (VBA) Software Development Kit (SDK) 6.0
  • Microsoft Visual Basic for Applications (VBA) Software Development Kit (SDK) 6.1
  • Microsoft Access 97 Standard Edition
  • Microsoft Access 2000 Standard Edition
  • Microsoft Access 2002 Standard Edition
  • Microsoft Excel 2000 Standard Edition
  • Microsoft Excel 2002 Standard Edition
  • Microsoft Excel 97 Standard Edition
  • Microsoft PowerPoint 2000 Standard Edition
  • Microsoft PowerPoint 2002 Standard Edition
  • Microsoft PowerPoint 97 Standard Edition
  • Microsoft Project 2000 Standard Edition
  • Microsoft Project 2002 Standard Edition
  • Microsoft Publisher 2002 Standard Edition
  • Microsoft Visio 2000 Enterprise Edition
  • Microsoft Visio 2000 Professional Edition
  • Microsoft Visio 2000 Standard Edition
  • Microsoft Visio 2000 Technical Edition
  • Microsoft Visio 2002 Professional Edition
  • Microsoft Visio 2002 Standard Edition
  • Microsoft Word 2000 Standard Edition
  • Microsoft Word 2002 Standard Edition
  • Microsoft Word 97 Standard Edition
  • Microsoft Word 98 Standard Edition
  • Microsoft Works Suite 2001 Standard Edition
  • Microsoft Works Suite 2002 Standard Edition
  • Microsoft Works Suite 2003 Standard Edition
  • Microsoft Office 2000 Premium Edition
  • Microsoft Office 2000 Professional Edition
  • Microsoft Office 2000 Standard Edition
  • Microsoft Office XP Professional Edition
  • Microsoft Office XP Standard Edition
  • Microsoft Business Solutions?Great Plains Human Resources, wenn verwendet mit:
    • Great Plains Dynamics 6.0
    • Great Plains eEnterprise 6.0
  • Microsoft Great Plains Dynamics 7.0
  • Microsoft Great Plains eEnterprise 7.0
  • Microsoft Business Solutions-Great Plains 7.5
  • Microsoft Business Solutions-Solomon 4.5
  • Microsoft Great Plains Solomon IV 5.0
Keywords: 
kbofficexppresp3fix kboffice2000presp4fix kbsecvulnerability kbsecurity kbsecbulletin kbqfe kbfix kbbug KB822715
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com