MS03-037: A Visual Basic for Applications hibája tetszőleges programkód végrehajtására adhat lehetőséget

A cikket archiválták. A továbbiakban a tartalma már nem frissül, csak jelenlegi állapotában lesz elérhető.
A cikkben ismertetett tudnivalók a cikk elején felsorolt termékekre vonatkoznak.
A jelenség
A Microsoft Visual Basic for Applications (VBA) alapja a Microsoft Visual Basic fejlesztői rendszer. A Microsoft Office termékeknek része a VBA, melyet bizonyos műveletek végrehajtására használnak. A VBA segítségével létező gazdaprogramra épülő egyedi programok hozhatók létre.

A gazdaprogramoktól a dokumentumok megnyitásakor kapott dokumentumtulajdonságok VBA által végrehajtott ellenőrzésében hiba található. Ez a hiba egy olyan puffertúlcsordulás, melyet sikeresen kihasználva, a támadó tetszése szerinti kód végrehajtására képes a bejelentkezett felhasználó környezetében.

A sikeres támadáshoz a bejelentkezett felhasználónak meg kell nyitnia egy, a támadó által küldött, speciálisan kialakított dokumentumot. A dokumentum a VBA technológiát támogató bármilyen típusú dokumentum lehet, így például Microsoft Word dokumentum, Microsoft Excel számolótábla vagy Microsoft PowerPoint bemutató. Ha a Word a Microsoft Outlook HTML formátumú e-mailjeinek szerkesztője, ez a dokumentum akár egy e-mail üzenet is lehet, azonban a biztonsági rés kihasználásához a bejelentkezett felhasználónak válaszolnia kell a rosszindulatú e-mail üzenetre, vagy továbbítania kell azt.

A hibát enyhítő tényezők
  • A biztonsági rés kihasználásához a bejelentkezett felhasználónak meg kell nyitnia a támadótól kapott valamelyik dokumentumot.
  • Ha a Word az Outlook HTML formátumú e-mailjeinek szerkesztője, a biztonsági rés kihasználásához a felhasználónak válaszolnia kell a rosszindulatú e-mail üzenetre, vagy továbbítania kell azt.
  • A támadó kódja csak a bejelentkezett felhasználóéval azonos jogokkal futhat, így a támadó által a biztonsági rés révén megszerezhető speciális jogok a bejelentkezett felhasználó számára biztosított jogoktól függenek. A bejelentkezett felhasználó fiókjára érvényes korlátozások – például a csoportházirendekkel megszabott korlátozások – tovább korlátozzák a biztonsági rés kihasználásával futtatható tetszőleges kód által végrehajtható műveletek körét.
A megoldás

Biztonsági javítási információk

Letöltési és telepítési információk

Ha használja a következő alkalmazások valamelyikét, ajánlott telepítenie ezen javítás VBA-verzióját:
  • Microsoft VBA 5.0
  • Microsoft VBA 6.0
  • Microsoft VBA 6.2
  • Microsoft VBA 6.3
  • Microsoft Access 97
  • Microsoft Excel 97
  • Microsoft PowerPoint 97
  • Microsoft Word 97
  • Microsoft Word 98(J)
  • Microsoft Works 2001
  • Microsoft Works 2002
  • Microsoft Works Suite 2003
  • Microsoft Business Solutions Great Plains 7.5
  • Microsoft Business Solutions Great Plains 7.0
  • Microsoft Business Solutions Great Plains 6.0
  • Microsoft Business Solutions Solomon IV 4.5
  • Microsoft Business Solutions Solomon IV 5.0
  • Microsoft Business Solutions Solomon IV 5.5
A Microsoft VBA javításáról a Microsoft Tudásbázis alábbi cikkében tájékozódhat:
822150 VBA: A Microsoft VBA biztonsági frissítésének elérhetősége az MS03-037. számú javításhoz
Ha használja az alábbi alkalmazások valamelyikét, célszerű telepítenie a javítás adott termékhez készült verzióját:
  • Microsoft Project 2000
  • Microsoft Project 2002
  • Microsoft Visio 2002
A biztonsági javításokról a Microsoft Tudásbázis alábbi cikkeiben tájékozódhat:
822211 A Microsoft Project 2002 alkalmazás 2003. szeptember 3-án kiadott frissítésének leírása
822478 A Microsoft Project 2000 biztonsági javításának áttekintése:2003. szeptember 3.
822212 A Visio 2002 alkalmazás 2003. szeptember 3-án kiadott biztonsági javításának leírása (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
Ha használja az alábbi alkalmazások valamelyikét, célszerű telepítenie a javítás adott termékhez készült verzióját:
  • Microsoft Office 2000
  • Microsoft Office XP (beleértve a Microsoft Publisher 2002 alkalmazást is)
A biztonsági javításokról a Microsoft Tudásbázis alábbi cikkeiben tájékozódhat:
822036 Az Office XP biztonsági javítási javításának áttekintése: 2003. szeptember 3.
822035 Az Office 2000 programcsomag biztonsági javításának áttekintése: 2003. szeptember 3.

Eltávolítási információk

Ez a javítás nem távolítható el.

Javítások helyettesítése

Ez a javítás nem helyettesít más gyorsjavítást.
Hivatkozások
Ezekről a biztonsági résekről a Microsoft alábbi webhelyén tájékozódhat:
biztonsági_javítás
Tulajdonságok

Cikkazonosító: 822715 - Utolsó ellenőrzés: 12/08/2015 03:07:38 - Verziószám: 3.8

Microsoft Visual Basic for Applications (VBA) Software Development Kit (SDK) 5.0, Microsoft Visual Basic for Applications (VBA) Software Development Kit (SDK) 6.0, Microsoft Visual Basic for Applications (VBA) Software Development Kit (SDK) 6.1, Microsoft Access 97 Standard Edition, Microsoft Access 2000 Standard Edition, Microsoft Access 2002 Standard Edition, Microsoft Excel 2000 Standard Edition, Microsoft Excel 2002 Standard Edition, Microsoft Excel 97 Standard Edition, Microsoft PowerPoint 2000 Standard Edition, Microsoft PowerPoint 2002 Standard Edition, Microsoft PowerPoint 97 Standard Edition, Microsoft Project 2000 Standard Edition, Microsoft Project 2002 Standard Edition, Microsoft Publisher 2002 Standard Edition, Microsoft Visio 2000 Enterprise Edition, Microsoft Visio 2000 Professional Edition, Microsoft Visio 2000 Standard Edition, Microsoft Visio 2000 Technical Edition, Microsoft Visio 2002 Professional Edition, Microsoft Visio 2002 Standard Edition, Microsoft Word 2000 Standard Edition, Microsoft Word 2002 Standard Edition, Microsoft Word 97 Standard Edition, Microsoft Word 98 Standard Edition, Microsoft Works Suite 2001 Standard Edition, Microsoft Works Suite 2002 Standard Edition, Microsoft Works Suite 2003 Standard Edition, Microsoft Office 2000 Premium Edition, Microsoft Office 2000 Professional Edition, Microsoft Office 2000 Standard Edition, Microsoft Office XP Professional Edition, Microsoft Office XP Standard Edition, Microsoft Business Solutions–Great Plains Human Resources, Microsoft Great Plains Dynamics 7.0, Microsoft Great Plains eEnterprise 7.0, Microsoft Business Solutions-Great Plains 7.5, Microsoft Business Solutions-Solomon 4.5 , Microsoft Great Plains Solomon IV 5.0

  • kbnosurvey kbarchive kbbug kbfix kboffice2000presp4fix kbsecvulnerability kbqfe kbsecurity kbsecbulletin kbofficexppresp3fix KB822715
Visszajelzés