Produtos que incluem softwares afetados:

Detalhes Técnicos

Descrição técnica:

O Microsoft VBA é uma tecnologia de desenvolvimento para criar aplicativos empacotados do lado cliente (desktops) e integrá-los aos dados e sistemas existentes. O Microsoft VBA é baseado no sistema de desenvolvimento do Microsoft Visual Basic. Os produtos Microsoft Office incluem o VBA e usam-no para executar determinadas funções. O VBA também pode ser usado para criar aplicativos personalizados com base em um aplicativo host existente.

Há uma falha no modo como o VBA verifica as propriedades dos documentos transmitidos a ele quando um documento é aberto por um aplicativo host. Há uma saturação de buffer que, se explorada com sucesso, pode permitir que um invasor execute códigos de sua escolha no contexto do usuário conectado.

Para que um ataque seja bem-sucedido, um usuário deve abrir um documento criado especialmente, enviado a ele por um invasor. Esse documento pode ser de qualquer tipo que forneça suporte a VBA, como um documento do Word, planilha do Excel e apresentação do PowerPoint. Caso o Microsoft Word esteja sendo usado como o editor de email em HTML para o Microsoft Outlook, esse documento poderá ser um email. Contudo, o usuário deverá responder ou encaminhar a mensagem de email para que a vulnerabilidade seja explorada.

Fatores atenuantes:

A avaliação (site em inglês) acima se baseia nos tipos de sistemas afetados pela vulnerabilidade, seus padrões comuns de implantação e o efeito da exploração da vulnerabilidade sobre eles.

Identificador da vulnerabilidade: CAN-2003-0347 (site em inglês)

Versões testadas:

A Microsoft testou o Microsoft Visual Basic for Applications SDK 5.0, Microsoft Visual Basic for Applications SDK 6.0, Microsoft Visual Basic for Applications SDK 6.2 e Microsoft Visual Basic for Applications SDK 6.3 para avaliar se eles são afetados por essa vulnerabilidade. Além disso, a Microsoft investigou todas as versões de software, às quais é fornecido suporte, relacionadas na seção “Produtos que incluem os softwares afetados” para determinar se eles incluíam o software vulnerável. Não há mais suporte (site em inglês) para as versões anteriores e elas podem ou não ser afetadas por essa vulnerabilidade.

Perguntas freqüentes

Qual é o escopo dessa vulnerabilidade?
Essa é uma vulnerabilidade de saturação de buffer que pode permitir a um invasor executar códigos arbitrários de sua escolha na máquina do usuário no contexto de segurança desse usuário, se ele abrir um documento propositadamente malformado.

O que provoca a vulnerabilidade?
A vulnerabilidade ocorre devido a uma falha no modo como o Microsoft Visual Basic for Applications (VBA) verifica determinadas propriedades de documentos, transmitidas a ele de um aplicativo host quando um documento é aberto. Como resultado, é possível que o aplicativo host transmita parâmetros não verificados ao Microsoft VBA, causando uma condição de saturação de buffer que permite a execução de códigos arbitrários.

O que é o Microsoft VBA? O Microsoft VBA é uma tecnologia de desenvolvimento para criar aplicativos empacotados do lado cliente (desktops) e integrá-los aos dados e sistemas existentes. O VBA é baseado no sistema de desenvolvimento do Microsoft Visual Basic. O Visual Basic for Applications fornece um IDE (ambiente de desenvolvimento integrado) que oferece os mesmos elementos conhecidos dos desenvolvedores que usam o Microsoft Visual Basic, incluindo uma Janela de projetos, uma Janela de propriedades e ferramentas de depuração. O Microsoft VBA também inclui suporte para o Microsoft Forms, para criação de caixas de diálogo personalizadas e Controles ActiveX®, para criação de interfaces do usuário. O VBA é integrado diretamente ao aplicativo host. Os programas de software que incluem o VBA são chamados de aplicativos personalizáveis – aplicativos que podem ser ajustados de acordo com as necessidades específicas dos negócios. O Microsoft Office é um dos vários aplicativos que incorporam o Microsoft VBA, permitindo que os clientes desenvolvam aplicativos personalizados com base no Microsoft Office. Há também outros aplicativos de terceiros que incorporam o Microsoft VBA.

O que há de errado com o Microsoft VBA? Quando um documento é aberto por um aplicativo que fornece suporte ao Microsoft VBA, o aplicativo host executa uma verificação para determinar se o Microsoft VBA é necessário para o documento e se deve, portanto, ser carregado. Durante essa verificação inicial algumas propriedades de documentos são transmitidas ao Microsoft VBA – uma falha ocorre porque o Microsoft VBA não valida corretamente os dados transmitidos durante essa fase inicial.

Isso significa que o Microsoft Office não verifica a segurança de um documento de forma correta? Não – a falha está no processo que é iniciado antes de qualquer verificação de segurança. A falha está na verificação inicial para determinar se o Microsoft VBA é exigido pelo aplicativo host para tratar o documento que está sendo aberto. Como resultado, qualquer verificação de segurança, como verificações de proteção contra Macros, não ocorrerá quando a vulnerabilidade for encontrada.

O que o invasor pode fazer em decorrência da vulnerabilidade? Essa vulnerabilidade permite que um invasor execute códigos de sua escolha no contexto do usuário conectado.

De que forma o invasor pode explorar a vulnerabilidade? Um invasor pode tentar explorar essa vulnerabilidade, enviando ao usuário um documento criado especialmente para explorar essa vulnerabilidade e encorajando-o a abrir esse documento. Quando o usuário abre o documento, códigos arbitrários podem ser executados no sistema no contexto de segurança do usuário conectado. No caso em que o Microsoft Word estiver sendo usado como o editor de email para o Microsoft Outlook – que é a configuração padrão para o Office XP – um invasor poderá enviar ao usuário um email especialmente criado e fazer com que códigos arbitrários sejam executados se o usuário responder ou encaminhar o email.

Se eu estiver usando o Microsoft Word como meu editor de email, a vulnerabilidade poderá ser explorada simplesmente pela leitura do email? Não – a simples leitura do email não permitirá que a vulnerabilidade seja explorada. Para que isso aconteça, o usuário deve responder ou encaminhar o email do invasor.

O que o patch faz? O patch elimina a vulnerabilidade, garantindo que o Microsoft VBA execute as verificações adequadas nos dados transmitidos por um aplicativo host quando um documento é aberto.

Há vários patches disponíveis para essa vulnerabilidade? Qual deles devo instalar? Isso depende da versão do Microsoft VBA e do aplicativo host que estiver utilizando:

Patch do Microsoft VBA:
Se você estiver usando qualquer um destes aplicativos, será necessário aplicar a versão do patch para o Microsoft VBA:

Patches do Microsoft Project 2000, Microsoft Project 2002 e Microsoft Visio: Se você estiver utilizando o Microsoft Project ou Microsoft Visio, será necessário aplicar a versão específica do patch para esses produtos.

Patches do Microsoft Office 2000 e Microsoft Office XP: Se você estiver utilizando o Microsoft Office 2000 ou o Microsoft Office XP (incluindo o Publisher 2002), será necessário aplicar a versão específica do patch para esses produtos.

Estou usando mais de um dos produtos relacionados acima? Devo aplicar o patch específico para cada produto? Sim – você deve aplicar o patch para cada produto relacionado acima. Por exemplo, se estiver usando o Microsoft Office XP e o Microsoft Visio 2000, você deve aplicar ambas as versões do patch para o Microsoft Office XP e Microsoft Visio.

Como saber que versão do Microsoft VBA estou usando? Para verificar se o VBA está presente no seu sistema e para identificar a versão que está em execução, verifique os seguintes arquivos (em que C:\ é a unidade do sistema):

Tenho um aplicativo de terceiros que usa o Microsoft VBA. O que devo fazer? A Microsoft trabalha com terceiros para desenvolver aplicativos usando o Microsoft VBA para garantir que eles estejam cientes com relação a essa vulnerabilidade de segurança e tenham as atualizações necessárias ao Microsoft VBA para seja incorporado aos seus produtos. Entre em contato com o fornecedor de software para obter as atualizações para aplicativos de terceiros que usam o Microsoft VBA

Disponibilidade do patch

Locais de download desse patch

Há várias versões desse patch, dependendo do aplicativo que você possui e que usa o VBA Recomendamos bastante a leitura da Pergunta freqüente citada acima "Há vários patches disponíveis para essa vulnerabilidade? Qual deles devo instalar?"

O patch do Microsoft VBA pode ser instalado em sistemas que executam os seguintes aplicativos:

Informações adicionais sobre esse patch

Plataforma de instalação:

Inclusão em service packs futuros:
A correção desse problema será incluída em alguns service packs futuros para o Microsoft Office XP, Microsoft Office 2000, Microsoft Project 2002, Microsoft Project 2000 e Microsoft Visio 2002.

Necessário reinicializar: Se vbe.dll ou vbe6.dll estiver em uso no momento da instalação, a reinicialização será solicitada para concluir a instalação.

O patch pode ser desinstalado: Não.

Patches substituídos: Nenhuma.

Verificando a instalação do patch:

Advertências: Nenhuma

Localização: Versões localizadas desse patch estão disponíveis nos locais indicados em "Disponibilidade do patch".

Obtendo outros patches de segurança:

Os patches de outros problemas de segurança estão disponíveis nos seguintes locais: Microsoft Download Center . Você pode encontrá-los com mais facilidade procurando palavras-chave "security_patch ".

Patches para plataformas de clientes estão disponíveis no site WindowsUpdate.

Os patches para clientes Office estão disponíveis em http://www.office.microsoft.com/ProductUpdates/default.aspx (site em inglês)

Outras informações:

Agradecimentos:
A Microsoft agradece a eEye Digital Security por relatar esse problema e trabalhar conosco para proteger os clientes.

Suporte:

Recursos de segurança:

O site Microsoft TechNet Security (site em inglês) fornece informações adicionais sobre segurança em produtos da Microsoft.

Aviso de isenção de responsabilidade:
As informações fornecidas no Microsoft Knowledge Base são fornecidas "como estão", sem garantia de qualquer tipo. A Microsoft se isenta de todas as garantias, expressas ou implícitas, incluindo as garantias de comercialização e adequação a um propósito específico. Em hipótese alguma a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, inclusive danos diretos, indiretos, incidentais, conseqüenciais, danos por lucros cessantes ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido alertados da possibilidade dos referidos danos. Como alguns estados não permitem a exclusão ou limitação de responsabilidade por danos conseqüenciais ou indiretos, a limitação acima pode não ser aplicável a você.

Aviso de isenção de responsabilidade:
• V1.0 (03 de setembro de 2003): Boletim publicado.