MS03-037 : Un défaut dans Visual Basic pour Applications pourrait autoriser l'exécution de code arbitraire

Traductions disponibles Traductions disponibles
Numéro d'article: 822715 - Voir les produits auxquels s'applique cet article
Les informations fournies dans cet article affectent les produits Microsoft répertoriés dans la liste des produits concernés par cet article.
Agrandir tout | Réduire tout

Sommaire

Symptômes

Microsoft Visual Basic pour Applications (VBA) est basé sur le système de développement Microsoft Visual Basic. Les produits Microsoft Office contiennent VBA et l'utilisent pour exécuter certaines fonctions. Vous pouvez utiliser VBA pour créer des programmes personnalisés basés sur un programme hôte existant.

Il existe un défaut dans la manière dont VBA vérifie les propriétés de document qui lui sont passées lorsqu'un document est ouvert par le programme hôte. Il se produit un dépassement de capacité de la mémoire tampon qui, s'il est exploité avec succès, pourrait autoriser un agresseur à exécuter le code de son choix dans le contexte de l'utilisateur connecté.

Pour qu'une agression réussisse, il faudrait que l'utilisateur connecté ouvre un document spécialement créé envoyé par un agresseur. Ce document peut être n'importe quel type de document prenant en charge VBA, tel qu'un document Microsoft Word, une feuille de calcul Microsoft Excel ou une présentation Microsoft PowerPoint. Si Word est utilisé en tant qu'éditeur de messagerie électronique HTML pour Microsoft Outlook, ce document pourrait être un message électronique. Toutefois, pour que le problème soit exploité, il faut que l'utilisateur connecté réponde au message malveillant ou le transfère.

Facteurs atténuants
  • Pour que ce problème soit exploité, il faut que l'utilisateur connecté ouvre un document qui lui est envoyé par un agresseur.
  • Si Word est utilisé en tant qu'éditeur de messagerie HTML dans Outlook, pour que le problème soit exploité il faut que l'utilisateur réponde à un message malveillant envoyé par un agresseur ou qu'il le transfère.
  • Le code de l'agresseur ne pourrait être exécuté qu'avec les mêmes droits que l'utilisateur connecté. Les privilèges spécifiques que pourrait s'octroyer l'agresseur grâce à ce défaut dépendent par conséquent des privilèges accordés à l'utilisateur connecté. Toute limitation imposée sur le compte de l'utilisateur connecté, telles que celles appliquées par le biais de la Stratégie de groupe, limiterait donc également les actions du code arbitraire exécuté suite à ce problème.

Résolution

Informations sur le correctif de sécurité

Informations sur le téléchargement et l'installation

Si vous utilisez l'un des programmes suivants, vous devez appliquer la version VBA de ce correctif :
  • Microsoft VBA 5.0
  • Microsoft VBA 6.0
  • Microsoft VBA 6.2
  • Microsoft VBA 6.3
  • Microsoft Access 97
  • Microsoft Excel 97
  • Microsoft PowerPoint 97
  • Microsoft Word 97
  • Microsoft Word 98(J)
  • Microsoft Works 2001
  • Microsoft Works 2002
  • Microsoft Works Suite 2003
  • Microsoft Business Solutions Great Plains 7.5
  • Microsoft Business Solutions Great Plains 7.0
  • Microsoft Business Solutions Great Plains 6.0
  • Microsoft Business Solutions Solomon IV 4.5
  • Microsoft Business Solutions Solomon IV 5.0
  • Microsoft Business Solutions Solomon IV 5.5
Pour plus d'informations sur le correctif Microsoft VBA, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
822150 VBASDK : Disponibilité de la mise à jour de sécurité Microsoft VBA pour MS03-037
Si vous utilisez l'un des programmes suivants, vous devez appliquer la version du correctif spécifique au produit en question.
  • Microsoft Project 2000
  • Microsoft Project 2002
  • Microsoft Visio 2002
Pour plus d'informations sur ces correctifs de sécurité, cliquez sur les numéros ci-dessous pour afficher les articles correspondants dans la Base de connaissances Microsoft.
822211 Présentation du correctif de sécurité pour Microsoft Project 2002 daté du 3 septembre 2003
822478 Présentation du correctif de sécurité pour Microsoft Project 2000 daté du 3 septembre 2003
822212 Présentation du correctif de sécurité pour Microsoft Visio 2002 daté du 3 septembre 2003
Si vous utilisez l'un des programmes suivants, vous devez appliquer la version du correctif spécifique au produit en question.
  • Microsoft Office 2000
  • Microsoft Office XP (y compris Microsoft Publisher 2002)
Pour plus d'informations sur ces correctifs de sécurité, cliquez sur les numéros ci-dessous pour afficher les articles correspondants dans la Base de connaissances Microsoft.
822036 Présentation du correctif de sécurité pour Microsoft Office XP daté du 3 septembre 2003
822035 Description du correctif de sécurité pour Microsoft Office 2000 du 03 septembre 2003

Informations sur la suppression

Vous ne pouvez pas supprimer ce correctif.

Informations sur le remplacement de correctif

Ce correctif n'en remplace pas d'autre.

Références

Pour plus d'informations sur ces problèmes de sécurité, reportez-vous au site Web de Microsoft à l'adresse suivante :
http://www.microsoft.com/france/technet/info/info.asp?mar=/france/technet/securite/info/ms03-037.html

Propriétés

Numéro d'article: 822715 - Dernière mise à jour: mardi 4 décembre 2007 - Version: 3.7
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Visual Basic for Applications (VBA) Software Development Kit (SDK) 5.0
  • Microsoft Visual Basic for Applications (VBA) Software Development Kit (SDK) 6.0
  • Microsoft Visual Basic for Applications (VBA) Software Development Kit (SDK) 6.1
  • Microsoft Access 97 Standard
  • Microsoft Access 2000 Standard Edition
  • Microsoft Access 2002
  • Microsoft Excel 2000 Standard
  • Microsoft Excel 2002
  • Microsoft Excel 97 Standard
  • Microsoft PowerPoint 2000 Standard
  • Microsoft PowerPoint 2002 Standard
  • Microsoft PowerPoint 97 Standard
  • Microsoft Project 2000 Standard
  • Microsoft Project 2002 Standard
  • Microsoft Publisher 2002 Standard
  • Microsoft Visio 2000 Enterprise Edition
  • Microsoft Visio 2000 Professional Edition
  • Microsoft Visio 2000 Standard Edition
  • Microsoft Visio 2000 Technical Edition
  • Microsoft Visio 2002 Professionnel
  • Microsoft Visio 2002 Standard Edition
  • Microsoft Word 2000 Standard Edition
  • Microsoft Word 2002 Standard Edition
  • Microsoft Word 97 Standard Edition
  • Microsoft Word 98 Standard Edition
  • Microsoft Works Suite 2001 Standard
  • Microsoft Works Suite 2002 Standard
  • Microsoft Works Suite 2003 Standard
  • Microsoft Office 2000 Premium Edition
  • Microsoft Office 2000 Professional
  • Microsoft Office 2000 Édition Standard
  • Microsoft Office XP Professional
  • Microsoft Office XP Standard
  • Microsoft Business Solutions?Great Plains Human Resources sur le système suivant
    • Great Plains Dynamics 6.0
    • Great Plains eEnterprise 6.0
  • Microsoft Great Plains Dynamics 7.0
  • Microsoft Great Plains eEnterprise 7.0
  • Microsoft Business Solutions-Great Plains 7.5
  • Microsoft Business Solutions-Solomon 4.5
  • Microsoft Great Plains Solomon IV 5.0
Mots-clés : 
kbofficexppresp3fix kboffice2000presp4fix kbsecvulnerability kbsecurity kbsecbulletin kbqfe kbfix kbbug KB822715
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com