MS03-037:Visual Basic for Applications 中的缺陷可能允许执行任意代码

文章翻译 文章翻译
文章编号: 822715 - 查看本文应用于的产品
本文中的信息影响本文中的“适用于:”部分列出的产品。
展开全部 | 关闭全部

本文内容

症状

Microsoft Visual Basic for Applications (VBA) 基于 Microsoft Visual Basic 开发系统。Microsoft Office 产品包含 VBA 并用它来执行特定的功能。可以使用 VBA 创建基于现有宿主程序的自定义程序。

VBA 检查宿主应用程序打开文档时传递给它的文档属性的过程中存在一个缺陷。如果攻击者成功利用出现的缓冲区溢出,则他们可以在用户登录的上下文中执行所选择的代码。

要使攻击成功,登录用户必须打开攻击者发送给他们的特制文档。该文档可以是支持 VBA 的任意类型的文档,如 Microsoft Word 文档、Microsoft Excel 电子表格或 Microsoft PowerPoint 演示文稿。如果将 Word 用作 Microsoft Outlook 的 HTML 电子邮件编辑器,则该文档可能为电子邮件。不过,登录用户必须回复或转发恶意的电子邮件,才能使攻击者利用该漏洞。

减轻影响的因素
  • 登录用户必须打开攻击者发送给他们的文档,才能使攻击者利用该漏洞。
  • 如果在 Outlook 中将 Word 用作 HTML 电子邮件编辑器,则登录用户必须回复或转发攻击者发送给他们的恶意电子邮件,才能使攻击者利用该漏洞。
  • 只能使用与登录用户的相同权限来运行攻击者的代码。因此,攻击者通过此漏洞获取的特定权限取决于为登录用户授予的权限。对登录用户帐户的任何限制(如通过组策略应用的限制)也会限制利用该漏洞执行的任意代码的操作。

解决方案

安全修补程序信息

下载和安装信息

如果使用的是下列任意程序,则应用 VBA 版本的修补程序:
  • Microsoft VBA 5.0
  • Microsoft VBA 6.0
  • Microsoft VBA 6.2
  • Microsoft VBA 6.3
  • Microsoft Access 97
  • Microsoft Excel 97
  • Microsoft PowerPoint 97
  • Microsoft Word 97
  • Microsoft Word 98(J)
  • Microsoft Works 2001
  • Microsoft Works 2002
  • Microsoft Works Suite 2003
  • Microsoft Business Solutions Great Plains 7.5
  • Microsoft Business Solutions Great Plains 7.0
  • Microsoft Business Solutions Great Plains 6.0
  • Microsoft Business Solutions Solomon IV 4.5
  • Microsoft Business Solutions Solomon IV 5.0
  • Microsoft Business Solutions Solomon IV 5.5
有关 Microsoft VBA 修补程序的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
822150 VBASDK:Microsoft VBA Security Update MS03-037 的可用性
如果您使用的是下列任意程序,则应用这些产品特定的修补程序版本。
  • Microsoft Project 2000
  • Microsoft Project 2002
  • Microsoft Visio 2002
有关这些安全修补程序的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
822211 2003 年 9 月 3 日版 Microsoft Project 2002 安全修补程序概述
822478 2003 年 9 月 3 日版 Microsoft Project 2000 安全修补程序概述
822212 2003 年 9 月 3 日版 Visio 2002 安全修补程序说明
如果您使用的是下列任意程序,则应用这些产品特定的修补程序版本。
  • Microsoft Office 2000
  • Microsoft Office XP(包括 Microsoft Publisher 2002)
有关这些安全修补程序的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
822036 2003 年 9 月 3 日版 Office XP 安全修补程序概述
822035 2003 年 9 月 3 日版 Office 2000 安全修补程序概述

删除信息

无法删除此修补程序。

修补程序代替信息

此修补程序不代替任何其他修复程序。

参考

有关这些漏洞的更多信息,请访问下面的 Microsoft 网站:
http://www.microsoft.com/china/security/Bulletins/MS03-037.asp

属性

文章编号: 822715 - 最后修改: 2007年12月4日 - 修订: 3.7
这篇文章中的信息适用于:
  • Microsoft Visual Basic for Applications (VBA) Software Development Kit (SDK) 5.0
  • Microsoft Visual Basic for Applications (VBA) Software Development Kit (SDK) 6.0
  • Microsoft Visual Basic for Applications (VBA) Software Development Kit (SDK) 6.1
  • Microsoft Access 97 标准版
  • Microsoft Access 2000 标准版
  • Microsoft Access 2002 标准版
  • Microsoft Excel 2000 标准版
  • Microsoft Excel 2002 标准版
  • Microsoft Excel 97 标准版
  • Microsoft PowerPoint 2000 标准版
  • Microsoft PowerPoint 2002 标准版
  • Microsoft PowerPoint 97 标准版
  • Microsoft Project 2000 标准版
  • Microsoft Project 2002 标准版
  • Microsoft Publisher 2002 标准版
  • Microsoft Visio 2000 Enterprise Edition
  • Microsoft Visio 2000 Professional Edition
  • Microsoft Visio 2000 Standard Edition
  • Microsoft Visio 2000 Technical Edition
  • Microsoft Visio 2002 简体中文专业版
  • Microsoft Visio 2002 简体中文标准版
  • Microsoft Word 2000 标准版
  • Microsoft Word 2002 标准版
  • Microsoft Word 97 标准版
  • Microsoft Word 98 标准版
  • Microsoft Works Suite 2001 标准版
  • Microsoft Works Suite 2002 标准版
  • Microsoft Works Suite 2003 标准版
  • Microsoft Office 2000 优惠版
  • Microsoft Office 2000 中文专业版
  • Microsoft Office 2000 标准版
  • Microsoft Office XP 专业版
  • Microsoft Office XP 标准版
  • Microsoft Business Solutions–Great Plains Human Resources?当用于
    • Great Plains Dynamics 6.0
    • Great Plains eEnterprise 6.0
  • Microsoft Great Plains Dynamics 7.0
  • Microsoft Great Plains eEnterprise 7.0
  • Microsoft Business Solutions-Great Plains 7.5
  • Microsoft Business Solutions-Solomon 4.5
  • Microsoft Great Plains Solomon IV 5.0
关键字:?
kbofficexppresp3fix kboffice2000presp4fix kbsecvulnerability kbsecurity kbsecbulletin kbqfe kbfix kbbug KB822715
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com