MS03-037: Luka w programie Visual Basic for Applications może umożliwić wykonanie dowolnego kodu

Tłumaczenia artykułów Tłumaczenia artykułów
Numer ID artykułu: 822715 - Zobacz jakich produktów dotyczą zawarte w tym artykule porady.
Informacje zawarte w tym artykule dotyczą produktów wymienionych w sekcji „Informacje zawarte w tym artykule dotyczą” w tym artykule.
Rozwiń wszystko | Zwiń wszystko

Na tej stronie

Symptomy

Program Microsoft Visual Basic for Applications (VBA) jest oparty na systemie projektowania Microsoft Visual Basic. Produkty wchodzące w skład pakietu Microsoft Office zawierają program VBA i używają go do wykonywania pewnych funkcji. Przy użyciu programu VBA można budować niestandardowe programy opierające się na istniejącym programie macierzystym.

Istnieje luka w sposobie, w jaki program VBA sprawdza właściwości dokumentu, które są do niego przekazywane, gdy dokument jest otwierany przez program macierzysty. Istnieje błąd polegający na przekroczeniu buforu; jeśli ten błąd zostanie pomyślnie wykorzystany, może umożliwić atakującemu użytkownikowi wykonanie wybranego przez siebie kodu w kontekście zalogowanego użytkownika.

Aby atak się powiódł, zalogowany użytkownik musiałby otworzyć specjalnie spreparowany dokument przesłany mu przez atakującego. Może to być dokument dowolnego typu obsługującego program VBA, na przykład dokument programu Microsoft Word, arkusz kalkulacyjny programu Microsoft Excel lub prezentacja programu Microsoft PowerPoint. Jeśli program Word jest używany jako edytor poczty e-mail w formacie HTML w programie Microsoft Outlook, ten dokument może być wiadomością e-mail. Jednak zalogowany użytkownik musi odpowiedzieć na złośliwą wiadomość e-mail lub przesłać ją dalej, aby ta usterka mogła być wykorzystana.

Czynniki osłabiające
  • Aby ta usterka została wykorzystana, zalogowany użytkownik musi otworzyć dokument, który został do niego przesłany przez atakującego.
  • Jeśli program Word jest używany jako edytor poczty e-mail w formacie HTML w programie Outlook, użytkownik musi odpowiedzieć na złośliwą wiadomość e-mail wysłaną przez atakującego lub przesłać ją dalej, aby ta usterka mogła być wykorzystana.
  • Kod atakującego może być wykonany tylko z takimi prawami, jak prawa zalogowanego użytkownika. Specyficzne przywileje, które atakujący może uzyskać przez wykorzystanie tej usterki, zależą więc od przywilejów udzielonych zalogowanemu użytkownikowi. Wszelkie ograniczenia dotyczące konta zalogowanego użytkownika, na przykład ograniczenia określone przez zasady grupy, ograniczają również działania dowolnego kodu wykonywanego przy użyciu tej usterki.

Rozwiązanie

Informacje o poprawce zabezpieczeń

Informacje o pobieraniu i instalacji

W przypadku korzystania z dowolnego z następujących programów należy zastosować wersję poprawki dla programu VBA:
  • Microsoft VBA 5,0
  • Microsoft VBA 6,0
  • Microsoft VBA 6,2
  • Microsoft VBA 6.3
  • Microsoft Access 97
  • Microsoft Excel 97
  • Microsoft PowerPoint 97
  • Microsoft Word 97
  • Microsoft Word 98(J)
  • Microsoft Works 2001
  • Microsoft Works 2002
  • Microsoft Works Suite 2003
  • Microsoft Business Solutions Great Plains 7.5
  • Microsoft Business Solutions Great Plains 7,0
  • Microsoft Business Solutions Great Plains 6,0
  • Microsoft Business Solutions Solomon IV 4,5
  • Microsoft Business Solutions Solomon IV 5,0
  • Microsoft Business Solutions Solomon IV 5.5
Aby uzyskać dodatkowe informacje dotyczące poprawki dla programu Microsoft VBA, kliknij numer artykułu poniżej w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
822150 VBA: Dostępność aktualizacji zabezpieczeń MS03-037 programu Microsoft VBA
W przypadku korzystania z dowolnego z następujących programów należy zastosować odpowiednią wersję poprawki do tych produktów.
  • Microsoft Project 2000
  • Microsoft Project 2002
  • Microsoft Visio 2002
Aby uzyskać dodatkowe informacje na temat tych poprawek zabezpieczeń, kliknij numery artykułów poniżej w celu wyświetlenia tych artykułów z bazy wiedzy Microsoft Knowledge Base:
822211 Opis poprawki zabezpieczeń programu Microsoft Project 2002: 3 września 2003
822478 Omówienie poprawki zabezpieczeń programu Microsoft Project 2000: 3 września 2003
822212 Omówienie poprawki zabezpieczeń programu Visio 2002: 3 września 2003
W przypadku korzystania z dowolnego z następujących programów należy zastosować odpowiednią wersję poprawki do tych produktów.
  • Microsoft Office 2000
  • Microsoft Office XP (z programem Microsoft Publisher 2002)
Aby uzyskać dodatkowe informacje na temat tych poprawek zabezpieczeń, kliknij numery artykułów poniżej w celu wyświetlenia tych artykułów z bazy wiedzy Microsoft Knowledge Base:
822036 Opis poprawki zabezpieczeń pakietu Office XP: 3 września 2003
822035 Opis poprawki zabezpieczeń pakietu Office 2000: 3 września 2003

Informacje dotyczące usuwania

Tej poprawki nie można usunąć.

Informacje dotyczące zastępowania poprawek

Ta poprawka nie zastępuje żadnych innych poprawek.

Materiały referencyjne

Aby uzyskać więcej informacji dotyczących tych luk, odwiedź następującą witrynę firmy Microsoft w sieci Web:
http://www.microsoft.com/technet/security/bulletin/MS03-037.mspx

Właściwości

Numer ID artykułu: 822715 - Ostatnia weryfikacja: 4 grudnia 2007 - Weryfikacja: 3.8
Informacje zawarte w tym artykule dotyczą:
  • Microsoft Visual Basic for Applications (VBA) Software Development Kit (SDK) 5.0
  • Microsoft Visual Basic for Applications (VBA) Software Development Kit (SDK) 6.0
  • Microsoft Visual Basic for Applications (VBA) Software Development Kit (SDK) 6.1
  • Microsoft Access 97 Standard Edition
  • Microsoft Access 2000 Standard Edition
  • Microsoft Access 2002 Standard Edition
  • Microsoft Excel 2000 Standard Edition
  • Microsoft Excel 2002 Standard Edition
  • Microsoft Excel 97 Standard Edition
  • Microsoft PowerPoint 2000 Standard Edition
  • Microsoft PowerPoint 2002 Standard Edition
  • Microsoft PowerPoint 97 Standard Edition
  • Microsoft Project 2000 Standard Edition
  • Microsoft Project 2002 Standard Edition
  • Microsoft Publisher 2002 Standard Edition
  • Microsoft Visio 2000 Enterprise Edition
  • Microsoft Visio 2000 Professional Edition
  • Microsoft Visio 2000 Standard Edition
  • Microsoft Visio 2000 Technical Edition
  • Microsoft Visio 2002 Professional Edition
  • Microsoft Visio 2002 Standard Edition
  • Microsoft Word 2000 Standard Edition
  • Microsoft Word 2002 Standard Edition
  • Microsoft Word 97 Standard Edition
  • Microsoft Word 98 Standard Edition
  • Microsoft Works Suite 2001 Standard Edition
  • Microsoft Works Suite 2002 Standard Edition
  • Microsoft Works Suite 2003 Standard Edition
  • Microsoft Office 2000 Premium Edition
  • Microsoft Office 2000 Professional Edition
  • Microsoft Office 2000 Standard Edition
  • Microsoft Office XP Professional Edition
  • Microsoft Office XP Standard Edition
  • Microsoft Business Solutions–Great Plains Human Resources na następujących platformach
    • Great Plains Dynamics 6.0
    • Great Plains eEnterprise 6.0
  • Microsoft Great Plains Dynamics 7.0
  • Microsoft Great Plains eEnterprise 7.0
  • Microsoft Business Solutions-Great Plains 7.5
  • Microsoft Business Solutions-Solomon 4.5
  • Microsoft Great Plains Solomon IV 5.0
Słowa kluczowe: 
kbofficexppresp3fix kboffice2000presp4fix kbsecvulnerability kbsecurity kbsecbulletin kbqfe kbfix kbbug KB822715

Przekaż opinię

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com