"Microsoft" aptiko "Office Visual Basic for Applications" (VBA) makrokomandų projekto pasirašymo pažeidžiamumą. Šis pažeidžiamumas gali įgalinti kenkėjišką vartotoją piktavališkai pakeisti pasirašytą VBA projektą nepažymėjus jo skaitmeninio parašo. Todėl rekomenduojame vartotojams taikyti saugos naujinimus, kurie yra išvardyti "Microsoft" bendro pažeidžiamumas ir rizikos CVE-2020-0760.
Siekiant padidinti "Office" VBA makrokomandų projekto pasirašymo saugą, "Microsoft" teikia saugesnę VBA projekto parašo schemos versiją: V3 parašas. V3 parašas pasiekiamas šiuose produktuose:
-
"Microsoft 365" 2102 versija (16.0.13801.20266 komponavimo versija) ir naujesnės dabartinio kanalo versijos
-
Bendrojo licencijavimo "Office 2019" 1808 versijos (10372.20060 komponavimo versija) ir naujesnės versijos
-
Mažmeninės prekybos "Office 2016" spustelėkite ir naudokitės leidimų ir "Office 2019" 2102 versijos (16.0.13801.20266 komponavimo versija) ir naujesnės versijos
-
"Microsoft Installer" (.msi) pagrįsti "Office 2016" leidimai, turintys šiuos naujinimus arba naujesnes naujinimų versijas:
-
2020 m. gruodžio 1 d. naujinimas, skirtas "Office 2016" (KB4486747)
-
Excel 2016 saugos naujinimo aprašas: 2020 m. gruodžio 8 d. (KB4486754)
-
PowerPoint 2016 saugos naujinimo aprašas: 2020 m. gruodžio 8 d. (KB4484393)
-
2020 m. gruodžio 1 d., naujinimas, skirtas "Project 2016" (KB4486749)
-
2020 m. gruodžio 1 d. naujinimas, skirtas Publisher 2016 (KB4484334)
-
2020 m. gruodžio 1 d., naujinimas, skirtas "Visio 2016" (KB4486709)
-
2020 m. gruodžio 1 d. naujinimas, skirtas Word 2016 (KB4486756)
-
2021 m. kovo 2 d. naujinimas, skirtas Access 2016 (KB4493188)
-
2021 m. kovo 2 d. naujinimas, skirtas "Office 2016" (KB4493153)
-
"Office 2016" saugos naujinimo aprašas: 2021 m. kovo 9 d. (KB4493225)
-
Rekomenduojame organizacijoms taikyti V3 parašą visoms makrokomandoms, kad būtų pašalinta pakeitimo rizika.
Pagal numatytuosius parametrus, siekiant užtikrinti atgalinį suderinamumą, VBA failai, kuriuose yra esamų parašų, veiks ir failai, pasirašyti naudojant V3 parašą, gali būti atidaromi ir paleidžiami ankstesnėse "Office" versijose arba neatnaujintuose "Office" klientuose. Tačiau rekomenduojame administratoriams atnaujinti esamus VBA parašus į V3 parašą kuo greičiau, kai jie atnaujina "Office" į išvardytas versijas. Kai administratoriai patikrina, ar organizacijai nėra suderinamumo praradimo, jie gali išjungti senus VBA parašus įjungdami strategijos parametrą Tik patikimos VBA makrokomandos, naudojančios V3 parašus. Daugiau informacijos apie šį strategijos parametrą žr. skyriuje "Įgalinti strategijos parametrą: pasitikėti TIK VBA makrokomandomis, kurios naudoja V3 parašus".
Pasirašytų VBA failų atnaujinimas į V3 parašą
Administratoriai gali naudoti šias temas norėdami atnaujinti esamus VBA parašų failus į V3 parašą.
VBA rengyklės naudojimas VBA failams iš naujo pasirašyti
Jei turite privačius sertifikatus, naudokite "Visual Basic for Applications" (VBA) rengyklę, pateiktą "Office" programoje, kad iš naujo pasirašytumėte VBA failus.
-
Norėdami iš naujo pasirašyti VBA failą, paspauskite Alt + F11 iš failo, kad atidarytumėte VBA rengyklę.
-
Norėdami pakeisti esamą parašą V3 parašu, pasirinkite Įrankiai > Skaitmeninis parašas. Atidaromas dialogo langas Skaitmeninis parašas.
Pastaba: Norint pasirašyti VBA projektą, reikia tinkamai įdiegti privatųjį raktą. Daugiau informacijos žr. Makrokomandų projekto pasirašymas skaitmeniniu parašu.
-
Pasirinkite Pasirinkti, kad pasirinktumėte sertifikato privatųjį raktą, kurį naudosite VBA projektui pasirašyti, tada pasirinkite Gerai.
-
Norėdami sugeneruoti naujus parašus, įrašykite failą dar kartą. Nauji skaitmeniniai parašai pakeis ankstesnius parašus.
Naudokite "SignTool", kad iš naujo pasirašytumėte VBA failus
"signTool" Windows 10 SDK gali padėti iš naujo pasirašyti VBA failus naudojant komandų eilutę. Norėdami paketo pakartotinio pasirašymo darbą su atsargų sąrašu, kuris nurodytas skyriuje "Pasirašytų VBA failų atsargų kūrimas", galite integruoti "SignTool" į savo administravimo įrankius.
Pastaba: Šiuo metu "SignTool" nepalaiko "Microsoft Access".
Norėdami iš naujo pasirašyti VBA failus naudodami "SignTool", atlikite šiuos veiksmus:
-
Atsisiųskite ir įdiekite Windows 10 SDK.
-
Atsisiųskite Officesips.exe iš "Microsoft Office" skaitmeninio parašo VBA projektų teminių sąsajų paketų.
-
Norėdami pasirašyti failus ir patikrinti parašus failuose, užregistruokite Msosip.dll ir Msosipx.dll, tada paleiskite Offsign.bat. Išsamūs veiksmai yra įtraukti į Readme.txt failą Officesips.exe diegimo aplanke.
Pastaba: Kai paleidžiate Offsign.bat, aplanke "C:\Program Files (x86)\Windows Kits\10\bin\10.0.18362.0\x86" naudokite "SignTool" x86 versiją.
Įgalinti strategijos parametrą: "Pasitikėti tik VBA makrokomandomis, kurios naudoja V3 parašus"
Kai atnaujinsite versiją į V3 parašus, rekomenduojame įgalinti strategijos parametrą Tik patikimos VBA makrokomandos, naudojančios V3 parašus, kad užtikrintumėte, jog pasitikite tik V3 parašais pasirašytais failais.
Šis strategijos parametras pasiekiamas Grupės strategija arba "Office" debesies strategijos tarnyboje. Jis yra User Configuration\Policies\Administrative Templates\Microsoft Office 2016\Security Settings\Trust Center. Jei šis parametras įgalintas, tik V3 parašas bus laikomas galiojančiu, kai "Office" patikrins skaitmeninį parašą failuose. Ankstesnio formato VBA failų parašų bus nepaisoma.