Al momento sei offline in attesa che la connessione Internet venga ristabilita

MS03-037: Un difetto in Visual Basic, Applications Edition potrebbe consentire l'esecuzione di codice arbitrario

Le informazioni riportate nel presente articolo si riferiscono ai prodotti elencati nella sezione "Le informazioni in questo articolo si applicano a" di questo articolo.
Sintomi
Microsoft Visual Basic, Applications Edition (VBA) si basa sul sistema di sviluppo Microsoft Visual Basic. VBA è incluso nei prodotti di Microsoft Office e viene utilizzato per l'esecuzione di determinate funzioni. È possibile utilizzare VBA per creare programmi personalizzati basati su un programma host esistente.

In VBA è presente un difetto riguardante il metodo di controllo delle proprietà passate all'applicazione quando viene aperto un documento dal programma host. Un sovraccarico del buffer, sfruttato opportunamente da un utente malintenzionato, può consentire l'esecuzione di codice nel contesto dell'utente attualmente connesso al computer.

Perché questa vulnerabilità possa essere sfruttata, è tuttavia necessario che l'utente apra il documento creato appositamente dall'utente malintenzionato. Può trattarsi di un tipo di documento qualsiasi dotato del supporto per VBA, come un documento di Microsoft Word, un foglio di calcolo di Microsoft Excel o una presentazione di Microsoft PowerPoint. Se si utilizza Word come editor di posta elettronica HTML per Microsoft Outlook, questo documento può essere un messaggio di posta elettronica. L'utente connesso dovrà tuttavia rispondere al messaggio di posta elettronica oppure inoltrarlo per consentire all'utente malintenzionato di sfruttare questo problema di protezione.

Fattori attenuanti
  • L'utente connesso deve aprire un documento ricevuto dall'utente malintenzionato per consentire che questa vulnerabilità venga sfruttata.
  • Se si utilizza Word come editor di posta elettronica HTML in Outlook, l'utente dovrà rispondere o inoltrare il messaggio di posta elettronica ricevuto dall'utente malintenzionato per consentire che questa vulnerabilità venga sfruttata.
  • Il codice creato dall'utente malintenzionato potrà essere eseguito solo con gli stessi diritti dell'utente connesso. I particolari privilegi che l'utente malintenzionato potrebbe ottenere dipenderanno pertanto dai privilegi concessi all'utente connesso. Le eventuali limitazioni per l'account dell'utente connesso, ad esempio quelle applicate tramite i criteri di gruppo, limiteranno quindi anche le azioni eseguite da eventuale codice arbitrario in conseguenza di questo problema di protezione.
Risoluzione

Informazioni sulla patch di protezione

Informazioni sul download e sull'installazione

Se si utilizza uno dei programmi elencati di seguito, applicare la versione di questa patch per VBA:
  • Microsoft VBA 5.0
  • Microsoft VBA 6.0
  • Microsoft VBA 6.2
  • Microsoft VBA 6.3
  • Microsoft Access 97
  • Microsoft Excel 97
  • Microsoft PowerPoint 97
  • Microsoft Word 97
  • Microsoft Word 98 (edizione in lingua giapponese)
  • Microsoft Works 2001
  • Microsoft Works 2002
  • Microsoft Works Suite 2003
  • Microsoft Business Solutions Great Plains 7.5
  • Microsoft Business Solutions Great Plains 7.0
  • Microsoft Business Solutions Great Plains 6.0
  • Microsoft Business Solutions Solomon IV 4.5
  • Microsoft Business Solutions Solomon IV 5.0
  • Microsoft Business Solutions Solomon IV 5.5
Per ulteriori informazioni sulla patch per Microsoft VBA, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
822150 VBA: Disponibilità dell'aggiornamento della protezione MS03-037 per Microsoft VBA
Se si utilizza uno dei programmi elencati di seguito, applicare la versione della patch specifica per questi prodotti.
  • Microsoft Project 2000
  • Microsoft Project 2002
  • Microsoft Visio 2002
Per ulteriori informazioni su queste patch di protezione, fare clic sui numeri degli articoli della Microsoft Knowledge Base riportati di seguito:
822211 Panoramica della patch di protezione per Microsoft Project 2002: 3 settembre 2003
822478 Panoramica della patch di protezione per Microsoft Project 2000: 3 settembre 2003
822212 Panoramica della patch di protezione per Visio 2002: 3 settembre 2003
Se si utilizza uno dei programmi elencati di seguito, applicare la versione della patch specifica per questi prodotti.
  • Microsoft Office 2000
  • Microsoft Office XP (con Microsoft Publisher 2002)
Per ulteriori informazioni su queste patch di protezione, fare clic sui numeri degli articoli della Microsoft Knowledge Base riportati di seguito:
822036 Panoramica della patch di protezione per Office XP: 3 settembre 2003
822035 Panoramica della patch di protezione per Office 2000: 3 settembre 2003

Informazioni sulla rimozione

Non è possibile rimuovere questa patch.

Informazioni sulla sostituzione di patch

Questa patch non sostituisce eventuali altri aggiornamenti rapidi (hotfix).
Riferimenti
Per ulteriori informazioni su questi problemi di protezione, vedere il seguente Bollettino Microsoft sulla sicurezza:
security_patch
Proprietà

ID articolo: 822715 - Ultima revisione: 12/04/2007 05:44:43 - Revisione: 3.7

  • Microsoft Visual Basic for Applications (VBA) Software Development Kit (SDK) 5.0
  • Microsoft Visual Basic for Applications (VBA) Software Development Kit (SDK) 6.0
  • Microsoft Visual Basic for Applications (VBA) Software Development Kit (SDK) 6.1
  • Microsoft Access 97 Standard Edition
  • Microsoft Access 2000 Standard Edition
  • Microsoft Access 2002 Standard Edition
  • Microsoft Excel 2000 Standard Edition
  • Microsoft Excel 2002 Standard Edition
  • Microsoft Excel 97 Standard Edition
  • Microsoft PowerPoint 2000 Standard Edition
  • Microsoft PowerPoint 2002 Standard Edition
  • Microsoft PowerPoint 97 Standard Edition
  • Microsoft Project 2000 Standard Edition
  • Microsoft Project 2002 Standard Edition
  • Microsoft Publisher 2002 Standard Edition
  • Microsoft Visio 2000 Enterprise Edition
  • Microsoft Visio 2000 Professional Edition
  • Microsoft Visio 2000 Standard Edition
  • Microsoft Visio 2000 Technical Edition
  • Microsoft Visio 2002 Professional Edition
  • Microsoft Visio 2002 Standard Edition
  • Microsoft Word 2000 Standard Edition
  • Microsoft Word 2002 Standard Edition
  • Microsoft Word 97 Standard Edition
  • Microsoft Word 98 Standard Edition
  • Microsoft Works Suite 2001 Standard Edition
  • Microsoft Works Suite 2002 Standard Edition
  • Microsoft Works Suite 2003 Standard Edition
  • Microsoft Office 2000 Premium Edition
  • Microsoft Office 2000 Professional Edition
  • Microsoft Office 2000 Standard Edition
  • Microsoft Office XP Professional Edition
  • Microsoft Office XP Standard Edition
  • Microsoft Business Solutions–Great Plains Human Resources
  • Microsoft Great Plains Dynamics 7.0
  • Microsoft Great Plains eEnterprise 7.0
  • Microsoft Business Solutions-Great Plains 7.5
  • Microsoft Business Solutions-Solomon 4.5
  • Microsoft Great Plains Solomon IV 5.0
  • kbofficexppresp3fix kboffice2000presp4fix kbsecvulnerability kbsecurity kbsecbulletin kbqfe kbfix kbbug KB822715
Feedback