你目前正处于脱机状态,正在等待 Internet 重新连接

MS03-037:Visual Basic for Applications 中的缺陷可能允许执行任意代码

本文中的信息影响本文中的“适用于:”部分列出的产品。
症状
Microsoft Visual Basic for Applications (VBA) 基于 Microsoft Visual Basic 开发系统。Microsoft Office 产品包含 VBA 并用它来执行特定的功能。可以使用 VBA 创建基于现有宿主程序的自定义程序。

VBA 检查宿主应用程序打开文档时传递给它的文档属性的过程中存在一个缺陷。如果攻击者成功利用出现的缓冲区溢出,则他们可以在用户登录的上下文中执行所选择的代码。

要使攻击成功,登录用户必须打开攻击者发送给他们的特制文档。该文档可以是支持 VBA 的任意类型的文档,如 Microsoft Word 文档、Microsoft Excel 电子表格或 Microsoft PowerPoint 演示文稿。如果将 Word 用作 Microsoft Outlook 的 HTML 电子邮件编辑器,则该文档可能为电子邮件。不过,登录用户必须回复或转发恶意的电子邮件,才能使攻击者利用该漏洞。

减轻影响的因素
  • 登录用户必须打开攻击者发送给他们的文档,才能使攻击者利用该漏洞。
  • 如果在 Outlook 中将 Word 用作 HTML 电子邮件编辑器,则登录用户必须回复或转发攻击者发送给他们的恶意电子邮件,才能使攻击者利用该漏洞。
  • 只能使用与登录用户的相同权限来运行攻击者的代码。因此,攻击者通过此漏洞获取的特定权限取决于为登录用户授予的权限。对登录用户帐户的任何限制(如通过组策略应用的限制)也会限制利用该漏洞执行的任意代码的操作。
解决方案

安全修补程序信息

下载和安装信息

如果使用的是下列任意程序,则应用 VBA 版本的修补程序:
  • Microsoft VBA 5.0
  • Microsoft VBA 6.0
  • Microsoft VBA 6.2
  • Microsoft VBA 6.3
  • Microsoft Access 97
  • Microsoft Excel 97
  • Microsoft PowerPoint 97
  • Microsoft Word 97
  • Microsoft Word 98(J)
  • Microsoft Works 2001
  • Microsoft Works 2002
  • Microsoft Works Suite 2003
  • Microsoft Business Solutions Great Plains 7.5
  • Microsoft Business Solutions Great Plains 7.0
  • Microsoft Business Solutions Great Plains 6.0
  • Microsoft Business Solutions Solomon IV 4.5
  • Microsoft Business Solutions Solomon IV 5.0
  • Microsoft Business Solutions Solomon IV 5.5
有关 Microsoft VBA 修补程序的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
822150VBASDK:Microsoft VBA Security Update MS03-037 的可用性
如果您使用的是下列任意程序,则应用这些产品特定的修补程序版本。
  • Microsoft Project 2000
  • Microsoft Project 2002
  • Microsoft Visio 2002
有关这些安全修补程序的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
8222112003 年 9 月 3 日版 Microsoft Project 2002 安全修补程序概述
822478 2003 年 9 月 3 日版 Microsoft Project 2000 安全修补程序概述
822212 2003 年 9 月 3 日版 Visio 2002 安全修补程序说明
如果您使用的是下列任意程序,则应用这些产品特定的修补程序版本。
  • Microsoft Office 2000
  • Microsoft Office XP(包括 Microsoft Publisher 2002)
有关这些安全修补程序的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
8220362003 年 9 月 3 日版 Office XP 安全修补程序概述
822035 2003 年 9 月 3 日版 Office 2000 安全修补程序概述

删除信息

无法删除此修补程序。

修补程序代替信息

此修补程序不代替任何其他修复程序。
参考
有关这些漏洞的更多信息,请访问下面的 Microsoft 网站:
security_patch
属性

文章 ID:822715 - 上次审阅时间:12/04/2007 05:49:10 - 修订版本: 3.7

  • Microsoft Visual Basic for Applications (VBA) Software Development Kit (SDK) 5.0
  • Microsoft Visual Basic for Applications (VBA) Software Development Kit (SDK) 6.0
  • Microsoft Visual Basic for Applications (VBA) Software Development Kit (SDK) 6.1
  • Microsoft Access 97 标准版
  • Microsoft Access 2000 标准版
  • Microsoft Access 2002 标准版
  • Microsoft Excel 2000 标准版
  • Microsoft Excel 2002 标准版
  • Microsoft Excel 97 标准版
  • Microsoft PowerPoint 2000 标准版
  • Microsoft PowerPoint 2002 标准版
  • Microsoft PowerPoint 97 标准版
  • Microsoft Project 2000 标准版
  • Microsoft Project 2002 标准版
  • Microsoft Publisher 2002 标准版
  • Microsoft Visio 2000 Enterprise Edition
  • Microsoft Visio 2000 Professional Edition
  • Microsoft Visio 2000 Standard Edition
  • Microsoft Visio 2000 Technical Edition
  • Microsoft Visio 2002 简体中文专业版
  • Microsoft Visio 2002 简体中文标准版
  • Microsoft Word 2000 标准版
  • Microsoft Word 2002 标准版
  • Microsoft Word 97 标准版
  • Microsoft Word 98 标准版
  • Microsoft Works Suite 2001 标准版
  • Microsoft Works Suite 2002 标准版
  • Microsoft Works Suite 2003 标准版
  • Microsoft Office 2000 优惠版
  • Microsoft Office 2000 中文专业版
  • Microsoft Office 2000 标准版
  • Microsoft Office XP 专业版
  • Microsoft Office XP 标准版
  • Microsoft Business Solutions–Great Plains Human Resources
  • Microsoft Great Plains Dynamics 7.0
  • Microsoft Great Plains eEnterprise 7.0
  • Microsoft Business Solutions-Great Plains 7.5
  • Microsoft Business Solutions-Solomon 4.5
  • Microsoft Great Plains Solomon IV 5.0
  • kbofficexppresp3fix kboffice2000presp4fix kbsecvulnerability kbsecurity kbsecbulletin kbqfe kbfix kbbug KB822715
反馈