MS03-037: Falha no Visual Basic for Applications (VBA) poderia permitir a execução arbitrária de código

Traduções deste artigo Traduções deste artigo
ID do artigo: 822715 - Exibir os produtos aos quais esse artigo se aplica.
As informações deste artigo afetam os produtos relacionados na seção "Aplica-se a" deste artigo.
Expandir tudo | Recolher tudo

Neste artigo

Sintomas

O Microsoft Visual Basic for Applications (VBA) baseia-se no sistema de desenvolvimento do Microsoft Visual Basic. Os produtos do Microsoft Office incluem o VBA e o usam para desempenhar certas funções. Você pode usar o VBA para criar programas personalizados baseados em um programa host existente.

A falha ocorre no modo como o VBA verifica as propriedades do documento passados a ele quando esse documento é aberto pelo programa host. Há uma sobrecarga de buffer que, se explorada com êxito, poderia permitir que um invasor executasse os códigos que quisessem no contexto do usuário conectado.

Para que um ataque tenha êxito, o usuário conectado teria de abrir um documento especialmente criado enviado a ele por um invasor. Esse documento poderia ser de qualquer tipo que ofereça suporte ao VBA, como um documento do Microsoft Word, uma planilha do Microsoft Excel ou uma apresentação do Microsoft PowerPoint. Se o Word estiver sendo usado como o editor de email HTML do Microsoft Outlook, esse documento poderia ser uma mensagem de email. Entretanto, o usuário conectado deve responder ou encaminhar a mensagem de email maliciosa para que a vulnerabilidade seja explorada.

Fatores atenuantes
  • O usuário conectado deve abrir um documento enviado a ele por um invasor para que essa vulnerabilidade seja explorada.
  • Se o Word estiver sendo usado como o editor de email HTML no Outlook, o usuário deve responder ou encaminhar uma mensagem de email maliciosa enviada a ele pelo invasor para que essa vulnerabilidade seja explorada.
  • O código do invasor poderia apenas ser executado com os mesmos direitos do usuário conectado. Os privilégios específicos que o invasor poderia obter por meio dessa vulnerabilidade dependeriam, portanto, dos privilégios concedidos ao usuário conectado. Quaisquer limitações na conta do usuário conectado, como as aplicadas por meio das Diretivas de grupo, também limitariam as ações de qualquer código arbitrário executado por essa vulnerabilidade.

Resolução

Informações do patch de segurança

Informações de download e instalação

Se estiver usando qualquer um dos seguintes programas, você deverá aplicar a versão VBA desse patch:
  • Microsoft VBA 5,0
  • Microsoft VBA 6,0
  • Microsoft VBA 6,2
  • Microsoft VBA 6.3
  • Microsoft Access 97
  • Microsoft Excel 97
  • Microsoft PowerPoint 97
  • Microsoft Word 97
  • Microsoft Word 98(J)
  • Microsoft Works 2001
  • Microsoft Works 2002
  • Microsoft Works Suite 2003
  • Microsoft Business Solutions Great Plains 7.5
  • Microsoft Business Solutions Great Plains 7,0
  • Microsoft Business Solutions Great Plains 6,0
  • Microsoft Business Solutions Solomon IV 4,5
  • Microsoft Business Solutions Solomon IV 5,0
  • Microsoft Business Solutions Solomon IV 5.5
Para obter mais informações sobre o patch do Microsoft VBA, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft:
822150 VBASDK: Disponibilidade da atualização de segurança MS03-037 do Microsoft VBA
Se estiver usando qualquer um dos seguintes programas, você deverá aplicar a versão específica do patch para esses produtos.
  • Microsoft Project 2000
  • Microsoft Project 2002
  • Microsoft Visio 2002
Para obter informações adicionais sobre esses patches de segurança, clique nos números abaixo para ler os artigos na Base de Dados de Conhecimento da Microsoft:
822211 Descrição do patch de segurança do Microsoft Project 2002: 3 de setembro de 2003
822478 Visão geral do patch de segurança do Microsoft Project 2000: 3 de setembro de 2003
822212 Visão geral do patch de segurança do Visio 2002: 3 de setembro de 2003
Se estiver usando qualquer um dos seguintes programas, você deverá aplicar a versão específica do patch para esses produtos.
  • Microsoft Office 2000
  • Microsoft Office XP (incluindo Microsoft Publisher 2002)
Para obter informações adicionais sobre esses patches de segurança, clique nos números abaixo para ler os artigos na Base de Dados de Conhecimento da Microsoft:
822036 Descrição do patch de segurança do Office XP: 3 de setembro de 2003
822035 Visão geral do patch de segurança do Office 2000: 3 de setembro de 2003

Informações sobre a remoção

Não é possível remover esse patch.

Informações sobre a substituição do patch

Esse patch não substitui nenhum outro hotfix.

Referências

Para obter informações adicionais sobre essas vulnerabilidades, visite o seguinte site da Microsoft:
http://www.microsoft.com/brasil/technet/boletins/boletinsms03_37.aspx

Propriedades

ID do artigo: 822715 - Última revisão: terça-feira, 4 de dezembro de 2007 - Revisão: 3.8
A informação contida neste artigo aplica-se a:
  • Microsoft Visual Basic for Applications (VBA) Software Development Kit (SDK) 5.0
  • Microsoft Visual Basic for Applications (VBA) Software Development Kit (SDK) 6.0
  • Microsoft Visual Basic for Applications (VBA) Software Development Kit (SDK) 6.1
  • Microsoft Access 97 Standard Edition
  • Microsoft Access 2000 Standard Edition
  • Microsoft Access 2002 Standard Edition
  • Microsoft Excel 2000 Standard Edition
  • Microsoft Excel 2002 Standard Edition
  • Microsoft Excel 97 Standard Edition
  • Microsoft PowerPoint 2000 Standard Edition
  • Microsoft PowerPoint 2002 Standard Edition
  • Microsoft PowerPoint 97 Standard Edition
  • Microsoft Project 2000 Standard Edition
  • Microsoft Project 2002 Standard Edition
  • Microsoft Publisher 2002 Standard Edition
  • Microsoft Visio 2000 Enterprise Edition
  • Microsoft Visio 2000 Professional Edition
  • Microsoft Visio 2000 Standard Edition
  • Microsoft Visio 2000 Technical Edition
  • Microsoft Visio 2002 Professional Edition
  • Microsoft Visio 2002 Standard Edition
  • Microsoft Word 2000 Standard Edition
  • Microsoft Word 2002 Standard Edition
  • Microsoft Word 97 Standard Edition
  • Microsoft Word 98 Standard Edition
  • Microsoft Works Suite 2001 Standard Edition
  • Microsoft Works Suite 2002 Standard Edition
  • Microsoft Works Suite 2003 Standard Edition
  • Microsoft Office 2000 Premium Edition
  • Microsoft Office 2000 Professional Edition
  • Microsoft Office 2000 Standard Edition
  • Microsoft Office XP Professional Edition
  • Microsoft Office XP Standard Edition
  • Microsoft Business Solutions?Great Plains Human Resources nas seguintes plataformas
    • Great Plains Dynamics 6.0
    • Great Plains eEnterprise 6.0
  • Microsoft Great Plains Dynamics 7.0
  • Microsoft Great Plains eEnterprise 7.0
  • Microsoft Business Solutions-Great Plains 7.5
  • Microsoft Business Solutions-Solomon 4.5
  • Microsoft Great Plains Solomon IV 5.0
Palavras-chave: 
kbofficexppresp3fix kboffice2000presp4fix kbsecvulnerability kbsecurity kbsecbulletin kbqfe kbfix kbbug KB822715

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com