VBA: Microsoft VBA-säkerhetsuppdatering MS03-037

Artikelöversättning Artikelöversättning
Artikel-id: 822150 - Visa produkter som artikeln gäller.
Visa alla | Dölj alla

På den här sidan

Sammanfattning

Det finns ett fel i projektladdningskoden för VBA (Visual Basic for Applications) som gör att valfri kod kan köras i den inloggade användarens säkerhetskontext. Felet beror på en buffertöverskridning vid läsning av dokumentegenskaper som överförs från värdprogrammet. För att säkerhetsproblemet ska kunna utnyttjas måste användaren öppna ett dokument med vissa egenskaper och stöd för VBA-integration.

Begränsande faktorer

  • Användaren måste öppna dokumentet.
  • Om Word används som HTML-redigerare för Microsoft Outlook kan felet finnas i e-postmeddelandet. För att säkerhetsproblemet ska uppstå måste meddelandet emellertid besvaras eller vidarebefordras.
  • Angriparens kod kan endast köras med samma behörighet som den inloggade användaren har. Angriparen kan därför bara få samma administratörsbehörighet som användaren. Alla begränsningar av användarens konto, till exempel administratörsbehörighet som utdelas genom grupprinciper, begränsar också möjligheterna för den kod som körs.

Lösning

Uppdateringar för Microsoft Office-produkter

Microsoft Office 2000, Microsoft Office XP och Microsoft Visio 2002

I Office 2000, Office XP, Visio 2002 eller inte tidigare nämnda Office-produkter använder du en anpassad säkerhetsuppdatering för produkten. Dessa uppdateringar ger rätt korrigering när Installation vid begäran och Identifiera och reparera används vid installation av Office. Microsoft rekommenderar att du uppdaterar dessa produkter med denna metod.

Om du vill veta mer om dessa paket klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
822715 MS03-037: Fel i Visual Basic for Applications möjliggör körning av skadlig kod

Microsoft Works Suite

Om du använder Microsoft Works Suite rekommenderar Microsoft att du installerar säkerhetskorrigeringen med hjälp av webbplatsen Office Product Updates. På webbplatsen Office Product Updates identifieras din Office-installation, och du uppmanas installera det som behövs för att din Office-installation ska bli helt aktuell.

Mer information om Office Product Updates och hjälp med att identifiera nödvändiga uppdateringar finns på följande Microsoft-webbplats:
http://office.microsoft.com/sv-se/officeupdate/default.aspx
När identifieringen har slutförts visas en lista över rekommenderade uppdateringar som du kan godkänna. Slutför processen genom att klicka på Starta installationen.

Obs! Om du använder Microsoft Works Suite kan du också uppdatera datorn med säkerhetskorrigeringen som kan hämtas via den här artikeln.

Microsoft Visio 2000 och Microsoft Office 97

Om du använder Visio 2000 eller Office 97 bör du omedelbart uppdatera datorn med säkerhetskorrigeringen som kan hämtas via den här artikeln.

Obs! Om du använder en Microsoft Office 2003-produkt har du redan den här säkerhetskorrigeringen och behöver inte uppdatera datorn.

Information om säkerhetskorrigeringen

Följande säkerhetskorrigering är avsedd för alla program där VBA har integrerats med hjälp av Microsoft Visual Basic for Applications Software Development Kit (VBA SDK) version 5.0, 6.0, 6.1, 6.2 eller 6.3. Microsoft rekommenderar att företag som har licensierat eller skapat VBA-kompatibla program använder den här säkerhetskorrigeringen i alla nya installationer. Dessa företag kan fritt distribuera korrigeringsfilen och filerna på ett sätt som passar programinstallationen.

Microsoft rekommenderar att VBA-motorn (VBE eller VBE6) uppdateras på alla VBA-klienter snarast möjligt. Kunder med ett VBA-kompatibelt program kontaktar programtillverkaren och kontrollerar om det finns en särskild säkerhetskorrigering eller en uppdatering med säkerhetskorrigeringen för programmet. Om så inte är fallet, eller om produkten är en av tidigare nämnda Microsoft-produkter, hämtar och installerar du följande säkerhetskorrigering.

Följande filer kan hämtas från Microsoft Download Center:
Dölj bildenVisa bilden
Hämta
Hämta paketet VBA64-KB822150-X86-SVE.exe nu.
Utgivningsdatum: 3 september 2003

Om du vill veta mer om hur du hämtar supportfiler från Microsoft klickar du på artikelnumret nedan och läser artikeln i Microsoft Knowledge Base:
119591 Hämta Microsoft-supportfiler från Onlinetjänster
Microsoft har genomsökt denna fil med ett antivirusprogram. Genomsökningen har gjorts med det mest aktuella antivirusprogram som var tillgängligt när filen lades upp. Filen finns sparad på servrar med utökad säkerhet, vilket bidrar till att förhindra otillåtna ändringar av den.

Förutsättningar

Inga.

Installationsinformation

Stäng alla program där VBA används, och kör sedan uppdateringen. Du ombeds bekräfta installationen. Datorn behöver inte startas om, om inte VBA används i en annan process. Utvecklare som vill hämta VBE- eller VBE6-versionen med säkerhetskorrigeringen utan att installera säkerhetskorrigeringen, kan göra detta med hjälp av lämplig installationsväxel.

Den här säkerhetskorrigeringen stöder följande installationsväxlar:
  • /q : Tyst läge (Inga dialogrutor visas när filerna extraheras.)
  • /q:u: Tyst läge (Begränsat antal frågor till användaren.)
  • /q:a: Tyst läge för administratör (Utan dialogrutor.)
  • /c: Extrahera filer utan att installera dem. (Om växeln /t saknas efterfrågas sökvägen.)
  • /t:[sökväg]: Sökvägen till de extraherade filerna (Används med växeln /c.)
  • /r:a: Starta alltid om datorn efter installationen.
  • /r:n : Starta aldrig om datorn efter installationen.
  • /r:s: Starta om datorn efter installationen utan att användaren tillfrågas.
  • /n:v: Ingen versionskontroll (Installera alltid över den befintliga versionen.)
Obs! Dessa installationsväxlar kan kombineras till en enda kommandorad.

Det finns ingen funktion för borttagning av denna säkerhetskorrigering. Om du måste återställa säkerhetskorrigeringen byter du namn på befintliga kopior av VBE eller VBE6 före installationen.

Filinformation

Den engelska versionen av denna korrigering har de filattribut (eller senare) som visas i följande tabell. Datum och tider för dessa filer anges i UTC-tid (Coordinated Universal Time). Innan du läser filinformationen konverteras den till lokal tid. Du kan se skillnaden mellan UTC-tid och lokal tid på fliken Tidszon i verktyget Datum och tid på Kontrollpanelen.

Program där VBA 6.0 (eller senare) används:

   Datum         Tid   Version             Storlek   Filnamn
   --------------------------------------------------------------
   04-jun-2003  15:42                      8 725  Eula.txt
   03-jul-2003  20:19  6.4.99.69       2 502 656  Vbe6.dll


Program där VBA 5.0 används:

   Datum         Tid   Version          Storlek   Filnamn
   --------------------------------------------------------------
   11-jun-2003  15:05  5.0.78.15      749 568  Vbe.dll
   04-jun-2003  10:42                   8 725  Eula.txt

Status

Microsoft har bekräftat att detta är ett säkerhetsproblem i de Microsoft-produkter som nämns i början av denna artikel.

Mer Information

Mer information om det här säkerhetsproblemet finns på följande Microsoft-webbplats:
http://www.microsoft.com/technet/security/bulletin/MS03-037.mspx
Säkerhetsproblemet kan även drabba produkter från andra tillverkare som använder VBA. Microsoft har ingen fullständig lista över produkter från andra tillverkare där VBA används, men följande webbplats innehåller vanliga licenspartner och produkter med VBA:
http://msdn.microsoft.com/vba/companies/company.asp
Om du har någon av dessa produkter och ännu inte har erhållit en uppdatering från tillverkaren, måste du köra säkerhetskorrigeringen som anges i den här artikeln.

Mer information om Microsoft Visual Basic for Applications SDK och licensiering av VBA för anpassade program finns på följande Microsoft-webbplats:
http://msdn.microsoft.com/vba/

Egenskaper

Artikel-id: 822150 - Senaste granskning: den 9 januari 2007 - Revision: 5.3
Informationen i denna artikel gäller:
  • Microsoft Access 97 Standard Edition
  • Microsoft Excel 97 Standard Edition
  • Microsoft Office 97 Standard Edition
  • Microsoft PowerPoint 97 Standard Edition
  • Microsoft Visio 2000 Enterprise Edition
  • Microsoft Visio 2000 Professional Edition
  • Microsoft Visio 2000 Standard Edition
  • Microsoft Visio 2000 Technical Edition
  • Microsoft Word 97 Standard Edition
  • Microsoft Word 98 Standard Edition
  • Microsoft Works Suite 2003 Standard Edition
  • Microsoft Works Suite 2002 Standard Edition
  • Microsoft Works Suite 2001 Standard Edition
  • Microsoft Visual Basic for Applications (VBA) Software Development Kit (SDK) 6.3
  • Microsoft Visual Basic for Applications (VBA) Software Development Kit (SDK) 6.2
  • Microsoft Visual Basic for Applications (VBA) Software Development Kit (SDK) 6.1
  • Microsoft Visual Basic for Applications (VBA) Software Development Kit (SDK) 6.0
  • Microsoft Visual Basic for Applications (VBA) Software Development Kit (SDK) 5.0
Nyckelord: 
kbdownload kbqfe kbsecvulnerability kbsecurity kbsecbulletin kbbug kbupdate kbfix KB822150

Ge feedback

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com