MS03-037: Ένα ελάττωμα στη Visual Basic for Applications μπορεί να προκαλέσει αυθαίρετη εκτέλεση κώδικα

Μεταφράσεις άρθρων Μεταφράσεις άρθρων
Αναγν. άρθρου: 822715 - Δείτε τα προϊόντα στα οποία αναφέρεται το συγκεκριμένο άρθρο.
Οι πληροφορίες σε αυτό το άρθρο επηρεάζουν τα προϊόντα που αναφέρονται στην ενότητα "Ισχύει για" αυτού του άρθρου.
Ανάπτυξη όλων | Σύμπτυξη όλων

Σε αυτήν τη σελίδα

Συμπτώματα

Η Microsoft Visual Basic for Applications (VBA) βασίζεται στο σύστημα προγραμματισμού της Microsoft Visual Basic. Τα προϊόντα του Microsoft Office συμπεριλαμβάνουν VBA και τη χρησιμοποιούν για την εκτέλεση ορισμένων λειτουργιών. Μπορείτε να χρησιμοποιήσετε VBA για τη δημιουργία προσαρμοσμένων προγραμμάτων που βασίζονται σε υπάρχον κεντρικό πρόγραμμα.

Υπάρχει ελάττωμα στον τρόπο με τον οποίο η VBA ελέγχει ιδιότητες εγγράφου που διαβιβάζονται σε αυτήν κατά το άνοιγμα εγγράφου από το κεντρικό πρόγραμμα. Υπάρχει υπερχείλιση buffer η οποία, αν αξιοποιηθεί με επιτυχία, μπορεί να επιτρέψει σε έναν εισβολέα να εκτελέσει δικό του κώδικα στο περιβάλλον του συνδεδεμένου χρήστη.

Για να είναι επιτυχής μια εισβολή, θα πρέπει ο συνδεδεμένος χρήστης να ανοίξει ένα ειδικά δημιουργημένο έγγραφο, το οποίο του το είχε στείλει κάποιος εισβολέας. Το έγγραφο αυτό μπορεί να είναι οποιουδήποτε τύπου εγγράφου που να υποστηρίζει VBA, όπως έγγραφο του Microsoft Word, υπολογιστικό φύλλο εργασίας του Microsoft Excel ή παρουσίαση του Microsoft PowerPoint. Αν το Word χρησιμοποιείται ως το πρόγραμμα επεξεργασίας HTML ηλεκτρονικού ταχυδρομείου για το Microsoft Outlook, αυτό το έγγραφο μπορεί να είναι μήνυμα ηλεκτρονικού ταχυδρομείου. Ωστόσο, ο συνδεδεμένος χρήστης πρέπει να απαντήσει στο κακόβουλο μήνυμα ηλεκτρονικού ταχυδρομείου ή να το προωθήσει, προκειμένου να αξιοποιηθεί η ευπάθεια.

Παράγοντες που αμβλύνουν τις επιπτώσεις
  • Ο συνδεδεμένος χρήστης πρέπει να ανοίξει έγγραφο που του έχει στείλει κάποιος εισβολέας για να αξιοποιηθεί αυτή η ευπάθεια.
  • Αν το Word χρησιμοποιείται ως το πρόγραμμα επεξεργασίας HTML ηλεκτρονικού ταχυδρομείου στο Outlook, ένας χρήστης πρέπει να απαντήσει σε κακόβουλο μήνυμα ηλεκτρονικού ταχυδρομείου που του είχε στείλει κάποιος εισβολέας ή να το προωθήσει, προκειμένου να αξιοποιηθεί αυτή η ευπάθεια.
  • Ο κώδικας του εισβολέα μπορεί να εκτελεστεί μόνο με τα ίδια δικαιώματα που έχει ο συνδεδεμένος χρήστης. Επομένως, τα συγκεκριμένα δικαιώματα που μπορεί να αποκτήσει ο εισβολέας από αυτήν την ευπάθεια εξαρτώνται από τα δικαιώματα που εκχωρούνται στον συνδεδεμένο χρήστη. Οι περιορισμοί στο λογαριασμό του συνδεδεμένου χρήστη, όπως αυτοί που εφαρμόζονται μέσω των Πολιτικών ομάδας (Group Policies), περιορίζουν επίσης τις ενέργειες κάθε αυθαίρετου κώδικα που εκτελείται εξαιτίας αυτής της ευπάθειας.

Προτεινόμενη αντιμετώπιση

Πληροφορίες για την ενημερωμένη έκδοση κώδικα ασφαλείας

Πληροφορίες λήψης και εγκατάστασης

Εάν χρησιμοποιείτε κάποιο από τα ακόλουθα προγράμματα, πρέπει να εφαρμόσετε την έκδοση VBA αυτής της ενημερωμένης έκδοσης κώδικα:
  • Microsoft VBA 5.0
  • Microsoft VBA 6.0
  • Microsoft VBA 6.2
  • Microsoft VBA 6.3
  • Microsoft Access 97
  • Microsoft Excel 97
  • Microsoft PowerPoint 97
  • Microsoft Word 97
  • Microsoft Word 98(J)
  • Microsoft Works 2001
  • Microsoft Works 2002
  • Microsoft Works Suite 2003
  • Microsoft Business Solutions Great Plains 7.5
  • Microsoft Business Solutions Great Plains 7.0
  • Microsoft Business Solutions Great Plains 6,0
  • Microsoft Business Solutions Solomon IV 4.5
  • Microsoft Business Solutions Solomon IV 5.0
  • Microsoft Business Solutions Solomon IV 5.5
Για πρόσθετες πληροφορίες σχετικά με την ενημερωμένη έκδοση κώδικα της Microsoft VBA, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
822150 VBASDK: Διαθεσιμότητα της ενημερωμένης έκδοσης ασφαλείας MS03-037 της Microsoft VBA
Εάν χρησιμοποιείτε ένα από τα παρακάτω προγράμματα, πρέπει να εφαρμόσετε τη συγκεκριμένη έκδοση του ενημερωμένου κώδικα ασφαλείας για αυτά τα προϊόντα.
  • Microsoft Project 2000
  • Microsoft Project 2002
  • Microsoft Visio 2002
Για πρόσθετες πληροφορίες σχετικά με αυτές τις ενημερωμένες εκδόσεις κώδικα ασφαλείας, κάντε κλικ στους αριθμούς των άρθρων παρακάτω, για να προβάλετε τα άρθρα της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
822211 Επισκόπηση της ενημερωμένης έκδοσης κώδικα ασφαλείας του Microsoft Project 2002: 3 Σεπτεμβρίου 2003
822478 Επισκόπηση της ενημερωμένης έκδοσης κώδικα ασφαλείας του Microsoft Project 2000: 3 Σεπτεμβρίου 2003
822212 Επισκόπηση της ενημερωμένης έκδοσης κώδικα ασφαλείας του Visio 2002: 3 Σεπτεμβρίου 2003
Εάν χρησιμοποιείτε ένα από τα παρακάτω προγράμματα, πρέπει να εφαρμόσετε τη συγκεκριμένη έκδοση του ενημερωμένου κώδικα ασφαλείας για αυτά τα προϊόντα.
  • Microsoft Office 2000
  • Microsoft Office XP (συμπεριλαμβάνεται ο Microsoft Publisher 2002)
Για πρόσθετες πληροφορίες σχετικά με αυτές τις ενημερωμένες εκδόσεις κώδικα ασφαλείας, κάντε κλικ στους αριθμούς των άρθρων παρακάτω, για να προβάλετε τα άρθρα της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
822036 Επισκόπηση της ενημερωμένης έκδοσης κώδικα ασφαλείας του Office XP: 3 Σεπτεμβρίου 2003
822035 Επισκόπηση της ενημερωμένης έκδοσης κώδικα ασφαλείας του Office 2000: 3 Σεπτεμβρίου 2003

Πληροφορίες κατάργησης

Δεν είναι δυνατή η κατάργηση αυτής της ενημερωμένης έκδοσης κώδικα.

Πληροφορίες αντικατάστασης ενημερωμένης έκδοσης κώδικα

Αυτή η ενημερωμένη έκδοση κώδικα δεν αντικαθιστά άλλες επείγουσες επιδιορθώσεις.

Αναφορές

Για περισσότερες πληροφορίες σχετικά με αυτά τα θέματα ευπάθειας, επισκεφθείτε την ακόλουθη τοποθεσία της Microsoft στο Web (στα αγγλικά):
http://www.microsoft.com/technet/security/bulletin/MS03-037.mspx

Ιδιότητες

Αναγν. άρθρου: 822715 - Τελευταία αναθεώρηση: Τρίτη, 4 Δεκεμβρίου 2007 - Αναθεώρηση: 3.7
Οι πληροφορίες σε αυτό το άρθρο ισχύουν για:
  • Microsoft Visual Basic for Applications (VBA) Software Development Kit (SDK) 5.0
  • Microsoft Visual Basic for Applications (VBA) Software Development Kit (SDK) 6.0
  • Microsoft Visual Basic for Applications (VBA) Software Development Kit (SDK) 6.1
  • Microsoft Access 97 Standard Edition
  • Microsoft Access 2000 Standard Edition
  • Microsoft Access 2002 Standard Edition
  • Microsoft Excel 2000 Standard Edition
  • Microsoft Excel 2002 Standard Edition
  • Microsoft Excel 97 Standard Edition
  • Microsoft PowerPoint 2000 Standard Edition
  • Microsoft PowerPoint 2002 Standard Edition
  • Microsoft PowerPoint 97 Standard Edition
  • Microsoft Project 2000 Standard Edition
  • Microsoft Project 2002 Standard Edition
  • Microsoft Publisher 2002 Standard Edition
  • Microsoft Visio 2000 Enterprise Edition
  • Microsoft Visio 2000 Professional Edition
  • Microsoft Visio 2000 Standard Edition
  • Microsoft Visio 2000 Technical Edition
  • Microsoft Visio 2002 Professional Edition
  • Microsoft Visio 2002 Standard Edition
  • Microsoft Word 2000 Standard Edition
  • Microsoft Word 2002 Standard Edition
  • Microsoft Word 97 Standard Edition
  • Microsoft Word 98 Standard Edition
  • Microsoft Works Suite 2001 Standard Edition
  • Microsoft Works Suite 2002 Standard Edition
  • Microsoft Works Suite 2003 Standard Edition
  • Microsoft Office 2000 Premium Edition
  • Microsoft Office 2000 Professional Edition
  • Microsoft Office 2000 Standard Edition
  • Microsoft Office XP Professional Edition
  • Microsoft Office XP Standard Edition
  • Microsoft Business Solutions–Great Plains Human Resources στις ακόλουθες πλατφόρμες
    • Great Plains Dynamics 6.0
    • Great Plains eEnterprise 6.0
  • Microsoft Great Plains Dynamics 7.0
  • Microsoft Great Plains eEnterprise 7.0
  • Microsoft Business Solutions-Great Plains 7.5
  • Microsoft Business Solutions-Solomon 4.5
  • Microsoft Great Plains Solomon IV 5.0
Λέξεις-κλειδιά: 
kbofficexppresp3fix kboffice2000presp4fix kbsecvulnerability kbsecurity kbsecbulletin kbqfe kbfix kbbug KB822715

Αποστολή σχολίων

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com