MS03-037: Uma falha no Visual Basic for Applications pode permitir a execução de código arbitrário

Traduções de Artigos Traduções de Artigos
Artigo: 822715 - Ver produtos para os quais este artigo se aplica.
As informações constantes deste artigo afectam os produtos listados na secção "Aplica-se a" deste artigo.
Expandir tudo | Reduzir tudo

Nesta página

Sintomas

O Microsoft Visual Basic for Applications (VBA) é baseado no sistema de desenvolvimento Microsoft Visual Basic. Os produtos do Microsoft Office incluem o VBA e utilizam-no para efectuar determinadas funções. Pode utilizar o VBA para criar programas personalizados com base num programa anfitrião existente.

Existe uma falha no modo como o VBA verifica propriedades de documentos que lhe são passadas quando é aberto um documento pelo programa anfitrião. Existe uma sobrecarga da memória intermédia que, se explorada com êxito, pode permitir que um atacante execute um código à sua escolha no contexto do utilizador com sessão iniciada.

Para que um ataque tenha êxito, o utilizador com sessão iniciada tem de abrir um documento especialmente concebido, recebido de um atacante. Este documento pode ser qualquer tipo de documento que suporte VBA, como um documento do Microsoft Word, uma folha de cálculo do Microsoft Excel ou uma apresentação do Microsoft PowerPoint. Se o Word estiver a ser utilizado como editor de correio electrónico em HTML no Microsoft Outlook, este documento pode ser uma mensagem de correio electrónico. No entanto, o utilizador com sessão iniciada tem de responder ou reencaminhar a mensagem de correio electrónico maliciosa para que a vulnerabilidade seja explorada.

Factores atenuantes
  • O utilizador com sessão iniciada tem de abrir um documento recebido de um atacante para que esta vulnerabilidade seja explorada.
  • Se o Word estiver a ser utilizado como editor de correio electrónico em HTML no Microsoft Outlook, um utilizador tem de responder ou reencaminhar uma mensagem de correio electrónico maliciosa, recebida do atacante, para que esta vulnerabilidade seja explorada.
  • Um código do atacante apenas poderá ser executado com os mesmos direitos do utilizador com sessão iniciada. Os privilégios específicos que o atacante pode obter através desta vulnerabilidade dependem, assim, dos privilégios concedidos ao utilizador com sessão iniciada. Quaisquer limitações da conta do utilizador com sessão iniciada, como as aplicadas através das políticas de grupo, também limitam as acções de qualquer código arbitrário executado por esta vulnerabilidade.

Resolução

Informações sobre o patch de segurança

Informações de transferência e de instalação

Se estiver a utilizar qualquer dos programas seguintes, deve aplicar a versão deste patch para o VBA:
  • Microsoft VBA 5.0
  • Microsoft VBA 6.0
  • Microsoft VBA 6.2
  • Microsoft VBA 6.3
  • Microsoft Access 97
  • Microsoft Excel 97
  • Microsoft PowerPoint 97
  • Microsoft Word 97
  • Microsoft Word 98(J)
  • Microsoft Works 2001
  • Microsoft Works 2002
  • Microsoft Works Suite 2003
  • Microsoft Business Solutions Great Plains 7.5
  • Microsoft Business Solutions Great Plains 7.0
  • Microsoft Business Solutions Great Plains 6.0
  • Microsoft Business Solutions Solomon IV 4.5
  • Microsoft Business Solutions Solomon IV 5.0
  • Microsoft Business Solutions Solomon IV 5.5
Para obter informações adicionais sobre o patch do Microsoft VBA, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
822150 VBA: Disponibilidade da actualização de segurança MS03-037 para o Microsoft VBA
Se estiver a utilizar qualquer dos programas que se seguem, deve aplicar a versão específica do patch para esses produtos.
  • Microsoft Project 2000
  • Microsoft Project 2002
  • Microsoft Visio 2002
Para obter informações adicionais sobre estes patches de segurança, clique nos números de artigo que se seguem para visualizar os artigos na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
822211 Descrição geral do patch de segurança do Microsoft Project 2002: 3 de Setembro de 2003
822478 Descrição geral do patch de segurança do Microsoft Project 2000: 3 de Setembro de 2003
822212 Descrição geral do patch de segurança do Visio 2002: 3 de Setembro de 2003
Se estiver a utilizar qualquer dos programas que se seguem, deve aplicar a versão específica do patch para esses produtos.
  • Microsoft Office 2000
  • Microsoft Office XP (incluindo o Microsoft Publisher 2002)
Para obter informações adicionais sobre estes patches de segurança, clique nos números de artigo que se seguem para visualizar os artigos na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
822036 Descrição do patch de segurança do Office XP: 3 de Setembro de 2003
822035 Descrição do patch de segurança do Office 2000: 3 de Setembro de 2003

Informações de remoção

Não é possível remover este patch.

Informações sobre a substituição de patches

Este patch não substitui quaisquer outras correcções.

Referências

Para obter mais informações sobre estas vulnerabilidades, visite o seguinte Web site da Microsoft:
http://www.microsoft.com/technet/security/bulletin/MS03-037.mspx

Propriedades

Artigo: 822715 - Última revisão: 4 de dezembro de 2007 - Revisão: 3.7
A informação contida neste artigo aplica-se a:
  • Microsoft Visual Basic for Applications (VBA) Software Development Kit (SDK) 5.0
  • Microsoft Visual Basic for Applications (VBA) Software Development Kit (SDK) 6.0
  • Microsoft Visual Basic for Applications (VBA) Software Development Kit (SDK) 6.1
  • Microsoft Access 97 Standard Edition
  • Microsoft Access 2000 Standard Edition
  • Microsoft Access 2002 Standard Edition
  • Microsoft Excel 2000 Standard Edition
  • Microsoft Excel 2002 Standard Edition
  • Microsoft Excel 97 Standard Edition
  • Microsoft PowerPoint 2000 Standard Edition
  • Microsoft PowerPoint 2002 Standard Edition
  • Microsoft PowerPoint 97 Standard Edition
  • Microsoft Project 2000 Standard Edition
  • Microsoft Project 2002 Standard Edition
  • Microsoft Publisher 2002 Standard Edition
  • Microsoft Visio 2000 Enterprise Edition
  • Microsoft Visio 2000 Professional Edition
  • Microsoft Visio 2000 Standard Edition
  • Microsoft Visio 2000 Technical Edition
  • Microsoft Visio 2002 Professional Edition
  • Microsoft Visio 2002 Standard Edition
  • Microsoft Word 2000 Standard Edition
  • Microsoft Word 2002 Standard Edition
  • Microsoft Word 97 Standard Edition
  • Microsoft Word 98 Standard Edition
  • Microsoft Works Suite 2001 Standard Edition
  • Microsoft Works Suite 2002 Standard Edition
  • Microsoft Works Suite 2003 Standard Edition
  • Microsoft Office 2000 Premium Edition
  • Microsoft Office 2000 Professional Edition
  • Microsoft Office 2000 Standard Edition
  • Microsoft Office XP Professional Edition
  • Microsoft Office XP Standard Edition
  • Microsoft Business Solutions?Great Plains Human Resources nas seguintes plataformas
    • Great Plains Dynamics 6.0
    • Great Plains eEnterprise 6.0
  • Microsoft Great Plains Dynamics 7.0
  • Microsoft Great Plains eEnterprise 7.0
  • Microsoft Business Solutions-Great Plains 7.5
  • Microsoft Business Solutions-Solomon 4.5
  • Microsoft Great Plains Solomon IV 5.0
Palavras-chave: 
kbofficexppresp3fix kboffice2000presp4fix kbsecvulnerability kbsecurity kbsecbulletin kbqfe kbfix kbbug KB822715

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com