MS03-037: Ошибка в Visual Basic for Applications (VBA) делает возможным запуск произвольного программного кода

Переводы статьи Переводы статьи
Код статьи: 822715 - Vizualiza?i produsele pentru care se aplic? acest articol.
Сведения, указанные в данной статье, касаются продуктов, которые перечислены в разделе Информация в данной статье относится к следующим продуктам.
Развернуть все | Свернуть все

В этой статье

Проблема

В основе языка Microsoft Visual Basic for Applications (VBA) лежит система разработки Microsoft Visual Basic. VBA входит в состав продуктов Microsoft Office и служит для выполнения определенных функций. С помощью VBA на основе уже имеющихся приложений могут быть созданы собственные программы.

Ошибка содержится в методе, который используется в VBA для проверки свойств документа, открываемого собственной программой. Возникающее переполнение буфера позволяет злоумышленнику запустить произвольный программный код от имени текущего пользователя.

Для запуска программного кода пользователю достаточно открыть посланный злоумышленником документ. Это может быть документ любого типа, в котором реализована поддержка VBA, например документ Microsoft Word, электронная таблица Microsoft Excel или презентация Microsoft PowerPoint. Кроме того, если Word используется в качестве редактора электронной почты для Microsoft Outlook, таким документом может быть сообщение электронной почты. Однако в этом случае пользователь должен ответить или переслать такое сообщение.

Факторы, снижающие опасность
  • Для активации программного кода злоумышленника пользователь должен открыть специально созданный с этой целью документ.
  • Если Word используется в качестве редактора электронной почты в Outlook, полученное от злоумышленника сообщение не представляет опасности, пока пользователь не ответит на него или не перешлет его.
  • Программный код злоумышленника может быть запущен только в контексте текущего пользователя. Таким образом, права, которые может получить злоумышленник с помощью этой уязвимости, зависят от прав, предоставленных текущему пользователю. В отношении запущенного злоумышленником программного кода действуют все ограничения учетной записи текущего пользователя (например, налагаемые групповыми политиками).

Решение

Сведения об исправлении для системы безопасности

Сведения о загрузке и установке

Для перечисленных ниже программ используется версия исправления для VBA.
  • Microsoft VBA 5.0
  • Microsoft VBA 6.0
  • Microsoft VBA 6.2
  • Microsoft VBA 6.3
  • Microsoft Access 97
  • Microsoft Excel 97
  • Microsoft PowerPoint 97
  • Microsoft Word 97
  • Microsoft Word 98(J)
  • Microsoft Works 2001
  • Microsoft Works 2002
  • Microsoft Works Suite 2003
  • Microsoft Business Solutions Great Plains 7.5
  • Microsoft Business Solutions Great Plains 7.0
  • Microsoft Business Solutions Great Plains 6.0
  • Microsoft Business Solutions Solomon IV 4.5
  • Microsoft Business Solutions Solomon IV 5.0
  • Microsoft Business Solutions Solomon IV 5.5
Дополнительные сведения об исправлении для Microsoft VBA см. в следующей статье базы знаний Майкрософт:
822150 VBA: Обновление системы безопасности Microsoft VBA (MS03-037)
Для перечисленных ниже программ используется специальная версия исправления.
  • Microsoft Project 2000
  • Microsoft Project 2002
  • Microsoft Visio 2002
Дополнительные сведения об этих исправлениях для системы безопасности см. в следующих статьях базы знаний Майкрософт.
822211 Обзор исправления безопасности для Microsoft Project 2002 от 3 сентября 2003 года
822478 Обзор обновления безопасности для Microsoft Project 2000: 3 сентября 2003 г.
822212 Обзор исправления безопасности для Visio 2002 от 3 сентября 2003 года
Для перечисленных ниже программ используется специальная версия исправления.
  • Microsoft Office 2000
  • Microsoft Office XP (в т. ч. Microsoft Publisher 2002)
Дополнительные сведения об этих исправлениях для системы безопасности см. в следующих статьях базы знаний Майкрософт.
822036 Обзор исправления безопасности для Office XP от 3 сентября 2003 года
822035 Обзор исправления безопасности для Office 2000 от 3 сентября 2003 года

Сведения об удалении

Данное исправление удалить нельзя.

Сведения о замене исправлений

Это исправление не заменяет других исправлений.

Ссылки

Дополнительные сведения об этой уязвимости см. на веб-узле Майкрософт по адресу:
http://www.microsoft.com/technet/security/bulletin/MS03-037.mspx

Свойства

Код статьи: 822715 - Последний отзыв: 4 декабря 2007 г. - Revision: 3.8
Информация в данной статье относится к следующим продуктам.
  • Microsoft Visual Basic for Applications (VBA) Software Development Kit (SDK) 5.0
  • Microsoft Visual Basic for Applications (VBA) Software Development Kit (SDK) 6.0
  • Microsoft Visual Basic for Applications (VBA) Software Development Kit (SDK) 6.1
  • Microsoft Access 97 Standard Edition
  • Microsoft Access 2000 Standard Edition
  • Microsoft Access 2002 Standard Edition
  • Microsoft Excel 2000 Standard Edition
  • Microsoft Excel 2002 Standard Edition
  • Microsoft Excel 97 Standard Edition
  • Microsoft PowerPoint 2000 Standard Edition
  • Microsoft PowerPoint 2002 Standard Edition
  • Microsoft PowerPoint 97 Standard Edition
  • Microsoft Project 2000 Standard Edition
  • Microsoft Project 2002 Standard Edition
  • Microsoft Publisher 2002 Standard Edition
  • Microsoft Visio 2000 Enterprise Edition
  • Microsoft Visio 2000 Professional Edition
  • Microsoft Visio 2000 Standard Edition
  • Microsoft Visio 2000 Technical Edition
  • Microsoft Visio 2002 Professional Edition
  • Microsoft Visio 2002 Standard Edition
  • Microsoft Word 2000 Standard Edition
  • Microsoft Word 2002 Standard Edition
  • Microsoft Word 97 Standard Edition
  • Microsoft Word 98 Standard Edition
  • Microsoft Works Suite 2001 Standard Edition
  • Microsoft Works Suite 2002 Standard Edition
  • Microsoft Works Suite 2003 Standard Edition
  • Расширенный выпуск Microsoft Office 2000
  • Microsoft Office 2000 Professional Edition
  • Microsoft Office 2000 Standard Edition
  • Microsoft Office XP Professional Edition
  • Microsoft Office XP Standard Edition
  • Microsoft Business Solutions–Great Plains Human Resources на следующих платформах
    • Great Plains Dynamics 6.0
    • Great Plains eEnterprise 6.0
  • Microsoft Great Plains Dynamics 7.0
  • Microsoft Great Plains eEnterprise 7.0
  • Microsoft Business Solutions-Great Plains 7.5
  • Microsoft Business Solutions-Solomon 4.5
  • Microsoft Great Plains Solomon IV 5.0
Ключевые слова: 
kbofficexppresp3fix kboffice2000presp4fix kbsecvulnerability kbsecurity kbsecbulletin kbqfe kbfix kbbug KB822715

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com