現在オフラインです。再接続するためにインターネットの接続を待っています

[VBA] Microsoft VBA セキュリティのアップデート MS03-037 の入手方法

概要
Visual Basic for Applications (VBA) には、プロジェクトを読み込むときのコードに問題があります。この問題が悪用される場合、ログオンしたユーザーの権限で攻撃者が任意のコードを実行する可能性があります。この問題は、ホスト アプリケーションによって VBA に渡されるドキュメントのプロパティを VBA が読み込む方法に、バッファ オーバーランの脆弱性があるために発生します。この脆弱性の悪用が成功するには、攻撃者が巧妙に作成し、ユーザーに送信したドキュメントをユーザーが開く必要があります。VBA 統合をサポートするすべての種類のドキュメントがこの影響を受ける可能性があります。

問題を緩和する要素

  • 攻撃者がこの脆弱性を悪用するには、攻撃者が送信したドキュメントをユーザーが開く必要があります。
  • Microsoft Outlook の HTML 電子メールの編集に Word を使用している場合は、メール メッセージ自体に問題が含まれている可能性があります。ただし、脆弱性が発生するには、そのメール メッセージを開いて返信するか、転送する必要があります。
  • 攻撃者のコードは、ログオンしたユーザーと同じ権限でのみ実行されます。したがって、この脆弱性を利用して攻撃者が取得できる特定の管理者の資格情報は、ユーザーに与えられている管理者の資格情報により異なります。グループ ポリシーを介して適用される管理者の資格情報など、ユーザーのアカウントに何らかの制限がある場合にも、この脆弱性によって実行される任意のコードの動作は制限を受けます。
解決方法

Microsoft Office 製品のアップデート

Microsoft Office 2000、Microsoft Office XP、Microsoft Visio 2002

Office 2000、Office XP、Visio 2002、または上記の一覧に記載されていない個別の Office 製品を使用している場合は、製品に対応する個別のセキュリティ修正プログラムのアップデートのいずれかを適用する必要があります。これらのアップデートは、オンデマンド インストールまたは Office のセットアップで [アプリケーションの自動修復] を使用すると、適切なセキュリティ修正プログラムが選択されるように設計されています。これらの製品のアップデートを行う場合には、この方法を使用することを推奨します。

これらのパッケージの関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
822715 [MS03-037] Visual Basic for Applications の問題により、任意のコードが実行される

Microsoft Works Suite

Microsoft Works Suite を使用している場合は、Office 製品のアップデート Web サイトを使用してセキュリティ修正プログラムをインストールすることを推奨します。Office 製品のアップデート Web サイトを使用すると、使用中の特定の Office インストールを確認し、完全に最新の状態にするために必要なアップデートを検出することができます。

Office のアップデート、および使用中のコンピュータにインストールが必要なアップデートの検出の詳細については、以下のマイクロソフト Web サイトを参照してください。 検出が完了すると、確認のために推奨するアップデートの一覧が表示されます。[インストールの開始] をクリックして手順を完了します。

: Microsoft Works Suite を使用している場合は、この資料から入手可能なセキュリティ修正プログラムを使用してシステムをアップデートすることもできます。

Microsoft Visio 2000 または Microsoft Office 97

Visio 2000 または Office 97 を使用している場合は、この資料から入手可能なセキュリティ修正プログラムを使用して、直ちにシステムをアップデートする必要があります。

: Microsoft Office 2003 ファミリ製品を使用している場合は、このセキュリティ修正プログラムは既に組み込まれているため、システムをアップデートする必要はありません。

セキュリティ修正プログラムの情報

以下のセキュリティ修正プログラムは、Microsoft Visual Basic for Applications Software Development Kit (VBA SDK) の Version 5.0、Version 6.0、Version 6.1、Version 6.2、または Version 6.3 を使用して統合された VBA を含むすべてのアプリケーションを対象とします。マイクロソフトでは、ライセンスを取得し、VBA が有効なアプリケーションを構築する企業に対して、このセキュリティ修正プログラムをすべての新規インストールに使用することを推奨します。これらの企業では修正プログラムおよびファイルを、独自のアプリケーションのセットアップに適した方法で自由に配布することができます。

マイクロソフトでは、VBA を使用するすべてのユーザーに対し、使用中の VBA エンジン (VBE または VBE6) のバージョンを早急にアップデートすることをお勧めします。VBA が有効なアプリケーションを使用しているユーザーは、アプリケーションの製造元に連絡して、そのアプリケーション専用のセキュリティ修正プログラムまたは包括的なアップデートが入手可能かどうかを確認する必要があります。専用のセキュリティ修正プログラムまたは包括的なアップデートがまだ入手可能でない場合や、その製品がマイクロソフトの以前の製品である場合は、次のセキュリティ修正プログラムをダウンロードしてからインストールする必要があります。

下記のファイルは、「Microsoft ダウンロード センター」からダウンロードできます。
Microsoft Visual Basic for Applications SDK のホスト アプリケーション用のアップデートリリース日 : 2003 年 9 月 3 日

マイクロソフトのサポート ファイルのダウンロード方法を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
119591 オンライン サービスからマイクロソフトのサポート ファイルを入手する方法
マイクロソフトでは、アップロード時点の最新のウイルス検査プログラムを使用して、配布ファイルのウイルス チェックを行っています。配布ファイルはセキュリティで保護されたサーバー上に置かれており、権限のない第三者が無断でファイルを変更できないようになっています。

必要条件

なし

インストール情報

VBA を使用するすべてのアプリケーションを閉じてからアップデートを実行します。セットアップを確認する画面が表示されます。別のプロセスによって VBA が使用されていなければ、再起動の必要はありません。セキュリティ修正プログラムをインストールせず、セキュリティ修正プログラムが適用された VBE または VBE6 のバージョンを希望する開発者は、適切なセットアップのスイッチを使用することで入手できます。

このセキュリティ修正プログラムでは、以下のセットアップ スイッチが使用できます。
  • /q : 非表示モード (ファイルの展開中にメッセージを表示しません)。
  • /q:u : 非表示モード (一部のメッセージのみを表示します)。
  • /q:a : 管理者非表示モード (ユーザーにメッセージを表示しません)。
  • /c : インストールせずにファイルの展開のみを行います。/t:パス を指定していない場合、パスの入力を求められます。
  • /t:パス : 展開したファイルを配置するパスを指定します。このオプションは、/c スイッチと一緒に使用します。
  • /r:a : インストール完了後、コンピュータを常に再起動します。
  • /r:n : インストール完了後にコンピュータを再起動しません。
  • /r:s : インストール完了後、ユーザーにメッセージを表示せずにコンピュータを再起動します。
  • /n:v : バージョン チェックを実行しません。プログラムのインストール時に以前のバージョンを常に上書きします。
: 複数のセットアップ スイッチを組み合わせて 1 つのコマンド ラインで実行することができます。

このセキュリティ修正プログラムを削除する機能はありません。セキュリティ修正プログラムのロールバックの必要が生じる場合は、セットアップを実行する前に既存の VBE または VBE6 をコピーし、名前を変更しておく必要があります。

ファイル情報

修正プログラム (日本語版) のファイル属性は次表のとおりです。ただし、これより新しい修正プログラムがリリースされている可能性もあります。

VBA 6.0 以降を使用するアプリケーション

   日付            時刻    バージョン       サイズ   ファイル名   --------------------------------------------------------------   2003/06/04   10:43                      4,573  Eula.txt   2003/07/03   15:19  6.4.99.69       2,502,656  Vbe6.dll


VBA 5.0 を使用するアプリケーション

   日付            時刻    バージョン       サイズ   ファイル名   --------------------------------------------------------------   2003/06/11   10:05  5.0.78.15      749,568  Vbe.dll   2003/06/04   10:43                   4,573  Eula.txt
状況
マイクロソフトでは、この問題によって、この資料の冒頭に記載したマイクロソフト製品に何らかのセキュリティの脆弱性が生じることを認識しています。
詳細
この脆弱性の関連情報については、以下のマイクロソフト Web サイトを参照してください。VBA はマイクロソフト以外の多くの製品で使用されており、それらの製品にも脆弱性が生じる可能性があります。マイクロソフトでは VBA を使用するすべてのサードパーティ製品の完全な一覧を保持していませんが、ライセンスを取得した一般的なパートナー企業とそれらの企業の VBA 統合製品の一覧は以下の Web サイトで確認できます。これらの製品のいずれかを所持し、製造元からアップデートを入手していない場合は、この資料に記載されたセキュリティ修正プログラムを実行する必要があります。

Microsoft Visual Basic for Applications SDK の関連情報、または使用しているカスタム アプリケーションの VBA ライセンスの関連情報については、以下のマイクロソフト Web サイトを参照してください。
関連情報
この資料は米国 Microsoft Corporation から提供されている Knowledge Base の Article ID 822150 (最終更新日 2003-09-04) を基に作成したものです。
プロパティ

文書番号:822150 - 最終更新日: 01/09/2007 01:14:20 - リビジョン: 5.4

  • Microsoft Access 97 Standard Edition
  • Microsoft Excel 97 Standard Edition
  • Microsoft Office 97 Standard Edition
  • Microsoft PowerPoint 97 Standard Edition
  • Microsoft Visio 2000 Enterprise Edition
  • Microsoft Visio 2000 Professional Edition
  • Microsoft Visio 2000 Standard Edition
  • Microsoft Visio 2000 Technical Edition
  • Microsoft Word 97 Standard Edition
  • Microsoft Word 98 Standard Edition
  • Microsoft Works Suite 2003 Standard Edition
  • Microsoft Works Suite 2002 Standard Edition
  • Microsoft Works Suite 2001 Standard Edition
  • Microsoft Visual Basic for Applications (VBA) Software Development Kit (SDK) 6.3
  • Microsoft Visual Basic for Applications (VBA) Software Development Kit (SDK) 6.2
  • Microsoft Visual Basic for Applications (VBA) Software Development Kit (SDK) 6.1
  • Microsoft Visual Basic for Applications (VBA) Software Development Kit (SDK) 6.0
  • Microsoft Visual Basic for Applications (VBA) Software Development Kit (SDK) 5.0
  • kbdownload kbqfe kbsecvulnerability kbsecurity kbsecbulletin kbbug kbupdate kbfix KB822150
フィードバック