Критическая уязвимость обнаружена в MS Visual Basic для приложений

05 сентября 2003

[05.09.2003]

3 сентября 2003 г. корпорация Microsoft опубликовала бюллетень MS03-37, посвященный обнаружению серьезной уязвимости в технологии Visual Basic for Applications, опасность которой классифицируется по шкале угроз компании как "критическая" (Critical).

Уязвимость в Visual Basic for Applications может привести к запуску кода

Уязвимости подвержены все без исключения пользователи программного пакета Microsoft® Office , а также пользователи тех приложений, в которых используется Visual Basic for Applications, что включает в себя:

  • MS VBA SDK версий 5.0, 6.0, 6.2, 6.3
  • Microsoft Access 97
  • Microsoft Access 2000
  • Microsoft Access 2002
  • Microsoft Excel 97
  • Microsoft Excel 2000
  • Microsoft Excel 2002
  • Microsoft PowerPoint 97
  • Microsoft PowerPoint 2000
  • Microsoft PowerPoint 2002
  • Microsoft Project 2000
  • Microsoft Project 2002
  • Microsoft Publisher 2002
  • Microsoft Visio 2000
  • Microsoft Visio 2002
  • Microsoft Word 97
  • Microsoft Word 98(J)
  • Microsoft Word 2000
  • Microsoft Word 2002
  • Microsoft Works Suite 2001
  • Microsoft Works Suite 2002
  • Microsoft Works Suite 2003
и ряд других.

Microsoft VBA представляет собой технологию, позволяющую создавать приложения, выполняемые в среде MS Office. Уязвимость состоит в способе проверки VBA свойств документа при его открытии каким либо приложением. В случае организации злоумышленником переполнения буфера становится возможен запуск любого произвольного кода в системе, но только в контексте зарегистрировавшегося в ней пользователя. Причем для этого пользователю системы необходимо открыть специальным образом составленный документ, отосланный ему атакующей стороной. Документ этот может быть в любом формате, поддерживающим VBA, например Word, Excel или PowerPoint.

При использовании приложения Microsoft Word в качестве HTML редактора в приложении Outlook для редактирования почтовых сообщения, для осуществления успешной атаки пользователь атакуемой системы должен либо ответить, либо переслать третьей стороне вредоносное почтовое сообщение.

ЗАО "ДиалогНаука" призывает всех пользователей вышеуказанных приложений установить у себя рекомендуемые патчи. Их можно получить на сайте компании Microsoft:

10
;