VBA: Dostępność aktualizacji zabezpieczeń MS03-037 programu Microsoft VBA

Ten artykuł został zarchiwizowany. Jest oferowany „taki, jaki jest” i nie będzie już aktualizowany.
Streszczenie
Wykryto lukę w zabezpieczeniach kodu źródłowego służącego do ładowania projektów w programie Visual Basic for Applications (VBA). Korzystając z luki w zabezpieczeniach, osoba podejmująca próbę ataku sieciowego może wykonać dowolny kod źródłowy w kontekście zalogowanego użytkownika. Przyczyną tego problemu jest podatność na przepełnienie buforu podczas odczytywania przez program VBA właściwości dokumentów, przekazywanych przez aplikację hosta. Opisaną lukę w zabezpieczeniach można skutecznie wykorzystać tylko wówczas, gdy użytkownik otworzy specjalnie przygotowany dokument przesłany przez intruza sieciowego. W tym celu można wykorzystać dowolny typ dokumentu obsługujący integrację z programem VBA.

Czynniki ograniczające zagrożenie

 • Opisaną lukę w zabezpieczeniach można skutecznie wykorzystać tylko wówczas, gdy użytkownik otworzy specjalnie przygotowany dokument przesłany przez intruza sieciowego.
 • Jeżeli program Word jest używany jako edytor poczty e-mail w formacie HTML w programie Microsoft Outlook, w wiadomości pocztowej może pojawić się luka w zabezpieczeniach. Osoba nieupoważniona może jednak wykorzystać tę lukę w zabezpieczeniach tylko wówczas, gdy użytkownik odpowie na wiadomość pocztową lub prześle wiadomość dalej.
 • Kod źródłowy może być wykonywany przez osobę nieupoważnioną tylko przy użyciu uprawnień zalogowanego użytkownika. Określone poświadczenia administracyjne, które osoba nieupoważniona może uzyskać za pośrednictwem tej luki w zabezpieczeniach, są więc zależne od poświadczeń administracyjnych udzielonych zalogowanemu użytkownikowi. Wszelkie ograniczenia dotyczące konta, takie jak poświadczenia administracyjne stosowane za pośrednictwem Zasad grupy, również ograniczają zestaw akcji, które mogą być wykonywane przez szkodliwy kod źródłowy uruchamiany w przypadku wykorzystania opisanej luki w zabezpieczeniach.
Rozwiązanie

Aktualizacje produktów należących do pakietu Microsoft Office

Pakiet Microsoft Office 2000, pakiet Microsoft Office XP, program Microsoft Visio 2002

Użytkownicy korzystający z pakietu Office 2000, pakietu Office XP, programu Visio 2002 lub indywidualnych produktów należących do pakietu Office, które nie zostały wymienione na liście na początku tego artykułu, muszą zastosować jedną z niestandardowych aktualizacyjnych poprawek zabezpieczeń, przeznaczonych dla tych produktów. Te aktualizacje gwarantują stosowanie odpowiednich poprawek w przypadku korzystania z opcji Instaluj na żądanie oraz Wykryj i napraw w instalatorze pakietu Office. Firma Microsoft zaleca korzystanie z tej metody w przypadku aktualizowania tych produktów.

Aby uzyskać dodatkowe informacje, kliknij numer artykułu poniżej w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
822715 MS03-037: Luka w programie Visual Basic for Applications może umożliwić wykonanie dowolnego kodu

Pakiet Microsoft Works Suite

W przypadku korzystania z pakietu Microsoft Works Suite firma Microsoft zaleca zainstalowanie poprawki zabezpieczeń przy użyciu witryny Aktualizacje produktów pakietu Office w sieci Web. Witryna Aktualizacje produktów pakietu Office w sieci Web wykrywa określoną instalację pakietu Office, a następnie monituje o zainstalowanie odpowiedniego oprogramowania gwarantującego pełną aktualizację instalacji pakietu Office.

Aby uzyskać dodatkowe informacje dotyczące aktualizacji produktów należących do pakietu Office i wykryć wymagane aktualizacje, które należy zainstalować na danym komputerze, odwiedź następującą witrynę firmę Microsoft w sieci Web: Po zakończeniu wykrywania jest wyświetlana lista zalecanych aktualizacji, które powinny być zatwierdzone przez użytkownika. Należy kliknąć łącze Start Installation, aby zakończyć proces.

Uwaga: Użytkownicy korzystający z pakietu Microsoft Works Suite mogą również aktualizować system przy użyciu poprawki zabezpieczeń wskazanej w artykule.

Program Microsoft Visio 2000 lub pakiet Microsoft Office 97

Użytkownicy korzystający z programu Visio 2000 lub pakietu Office 97 muszą natychmiast zaktualizować system przy użyciu poprawki zabezpieczeń wskazanej w tym artykule.

Uwaga: Ta poprawka zabezpieczeń jest już zainstalowana na komputerach użytkowników korzystających z produktów należących do rodziny Microsoft Office 2003, dlatego aktualizacja systemu nie jest konieczna.

Informacje dotyczące poprawki zabezpieczeń

Następująca poprawka zabezpieczeń jest przeznaczona dla dowolnej aplikacji integrującej program VBA przy użyciu zestawu Software Development Kit (VBA SDK) dla programu Microsoft Visual Basic for Applications w wersji 5.0, wersji 6.0, wersji 6.1, wersji 6.2 lub wersji 6.3. Firma Microsoft zaleca stosowanie tej poprawki zabezpieczeń dla wszystkich nowych instalacji w firmach, które zakupiły licencje i zaprojektowały aplikacje obsługujące program VBA. Firmy tego typu mogą swobodnie rozpowszechniać poprawkę i pliki, zgodnie z wymaganiami dotyczącymi instalacji zaprojektowanej aplikacji.

Zgodnie z zaleceniami firmy Microsoft wszyscy klienci korzystający z programu VBA muszą niezwłocznie zaktualizować używaną wersję aparatu VBA (VBE lub VBE6). Klienci korzystający z aplikacji obsługującej program VBA muszą skontaktować się z projektantem aplikacji w celu zweryfikowania, czy specjalistyczna poprawka zabezpieczeń lub aktualizacja zbiorcza jest dostępna dla danej aplikacji. Jeżeli specjalistyczna poprawka zabezpieczeń lub zbiorcza poprawka zabezpieczeń nie jest jeszcze dostępna lub w przypadku korzystania z jednego z poprzednich produktów firmy Microsoft, należy pobrać, a następnie zainstalować następującą poprawkę zabezpieczeń.

Następujące pliki są dostępne w witrynie Microsoft – Centrum pobierania:
Data wydania: 3 września 2003

Aby uzyskać dodatkowe informacje dotyczące sposobu pobierania plików Pomocy technicznej firmy Microsoft, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
119591 Jak uzyskać pliki Pomocy technicznej Microsoft w usługach online
Firma Microsoft skanowała ten plik w poszukiwaniu wirusów. Firma Microsoft używa najnowszego oprogramowania do wykrywania wirusów, dostępnego w chwili opublikowania pliku. Plik jest przechowywany na bezpiecznych serwerach, które ułatwiają zabezpieczenie plików przez wprowadzaniem nieautoryzowanych zmian.

Wymagania wstępne

Brak.

Informacje dotyczące instalacji

Należy zamknąć wszystkie aplikacje korzystające z programu VBA, a następnie uruchomić aktualizację. Wyświetlany jest monit o potwierdzenie instalacji. Należy ponownie uruchomić komputer, jeżeli program VBA nie jest używany przez inny proces. Deweloperzy, którzy chcą uzyskać zaktualizowaną wersję aparatu VBE lub VBE6 bez konieczności instalowania poprawki zabezpieczeń, mogą wykorzystać odpowiedni przełącznik Instalatora.

Ta poprawka zabezpieczeń obsługuje następujące przełączniki Instalatora:
 • /q: Tryb dyskretny (pomijanie okien dialogowych podczas wyodrębniania plików).
 • /q:u: Tryb dyskretny (ograniczone monitowanie użytkownika).
 • /q:a: Administracyjny tryb dyskretny (okna dialogowe nie są wyświetlane).
 • /c: Wyodrębnianie plików bez instalowania (jeżeli przełącznik /t nie jest używany, użytkownik jest monitowany o określenie ścieżki).
 • /t:[ścieżka]: Ścieżka wyodrębnianych plików (ten przełącznik jest używany razem z przełącznikiem /c).
 • /r:a: Ponowne uruchamianie komputera zawsze po zakończeniu instalacji.
 • /r:n: Rezygnacja z ponownego uruchomienia komputera po instalacji.
 • /r:s: Ponowne uruchamianie komputera bez monitowania użytkownika.
 • /n:v: Rezygnacja ze sprawdzania wersji (podczas instalacji zawsze zastępowana jest istniejąca wersja).
Uwaga: Powyższe przełączniki Instalatora mogą być łączone w pojedynczym poleceniu.

Nie jest dostępna funkcja umożliwiająca usunięcie tej poprawki zabezpieczeń. Jeżeli konieczne jest wycofanie poprawki zabezpieczeń, należy zmienić nazwę istniejących kopii aparatu VBE lub VBE6 przed rozpoczęciem instalacji.

Informacje dotyczące plików

W poniższej tabeli przedstawiono atrybuty plików poprawki w wersji anglojęzycznej (mogą to być atrybuty nowsze). Daty i godziny ostatniej modyfikacji plików podano zgodnie z czasem UTC (Coordinated Universal Time). Są one zamieniane na czas lokalny po wyświetleniu informacji o pliku. Aby zobaczyć różnicę między czasem UTC i czasem lokalnym, należy skorzystać z karty Strefa czasowa narzędzia Data i godzina w Panelu sterowania.

Aplikacje korzystające z aparatu VBA w wersji 6.0 (lub nowszej)

  Data     Godzina  Wersja    Rozmiar  Nazwa pliku  --------------------------------------------------------------  04-Sty-2003 15:42            8725  Eula.txt  03-Lip-2003 20:19 6.4.99.69    2 502 656  Vbe6.dll


Aplikacje korzystające z aparatu VBA w wersji 5.0

  Data     Godzina  Wersja   Rozmiar  Nazwa pliku  --------------------------------------------------------------  11-Cze-2003 15:05 5.0.78.15   749 568 Vbe.dll  04-Cze-2003 10:42          8725 Eula.txt
Stan
Firma Microsoft potwierdziła, że ten problem może być przyczyną luki w zabezpieczeniach produktów firmy Microsoft wymienionych w sekcji "Informacje zawarte w tym artykule dotyczą".
Więcej informacji
Aby uzyskać dodatkowe informacje dotyczące opisanej luki w zabezpieczeniach, odwiedź następującą witrynę firmy Microsoft w sieci Web:Aparat VBA może być używany w kilku produktach oferowanych przez firmy inne niż firma Microsoft, które również mogą być nieodpowiednio zabezpieczone przed atakami sieciowymi. Firma Microsoft nie prowadzi pełnej listy wszystkich produktów innych firm, korzystających z programu VBA, jednak w następującej witrynie sieci Web zamieszczono listę, na której uwzględniono najważniejszych partnerów licencyjnych i ich produkty integrujące program VBA:Użytkownicy korzystający z tych produktów, którzy nie uzyskali aktualizacji od producenta, muszą zastosować poprawkę zabezpieczeń wskazaną w tym artykule.

Aby uzyskać dodatkowe informacje dotyczące zestawu SDK dla programu Microsoft Visual Basic for Applications lub dodatkowe informacje dotyczące licencjonowania programu VBA w przypadku aplikacji niestandardowych, odwiedź następującą witrynę firmy Microsoft w sieci Web:
Właściwości

Identyfikator artykułu: 822150 — ostatni przegląd: 12/08/2015 02:58:49 — zmiana: 3.11

Microsoft Access 97 Standard Edition, Microsoft Excel 97 Standard Edition, Microsoft Office 97 Standard Edition, Microsoft PowerPoint 97 Standard Edition, Microsoft Visio 2000 Enterprise Edition, Microsoft Visio 2000 Professional Edition, Microsoft Visio 2000 Standard Edition, Microsoft Visio 2000 Technical Edition, Microsoft Word 97 Standard Edition, Microsoft Word 98 Standard Edition, Microsoft Works Suite 2003 Standard Edition, Microsoft Works Suite 2002 Standard Edition, Microsoft Works Suite 2001 Standard Edition, Zestaw Software Development Kit (SDK) 6.3 dla programu Microsoft Visual Basic for Applications (VBA), Zestaw Software Development Kit (SDK) 6.2 dla programu Microsoft Visual Basic for Applications (VBA), Zestaw Software Development Kit (SDK) 6.1 dla programu Microsoft Visual Basic for Applications (VBA), Zestaw Software Development Kit (SDK) 6.0 dla programu Microsoft Visual Basic for Applications (VBA), Zestaw Software Development Kit (SDK) 5.0 dla programu Microsoft Visual Basic for Applications (VBA)

 • kbnosurvey kbarchive kbqfe kbsecvulnerability kbsecurity kbsecbulletin kbbug kbupdate kbfix KB822150
Opinia