Microsoft Security Bulletin MS10-031 - 重大

為何於 2010 年 5 月 19 日修訂此公告？  
Microsoft 修訂此公告，以更清楚地說明 Microsoft Office 更新適用於所有受支援的 Microsoft Office 套件，以及其他含有易受影響版本之 VBE6.dll 的 Microsoft Office 軟體，包括 (但不限於) 受支援版本的 Microsoft Office Visio 和 Microsoft Office Project。 此外，也包括內含 VBE6.dll 但不會存取弱點程式碼的 Office 軟體，例如受支援版本的 Microsoft Office Outlook 和 Microsoft Office OneNote。

此變更僅屬公告變更。 偵測邏輯或更新檔案沒有變更。 已成功更新系統的客戶，包括已啟用自動更新的客戶，不必採取任何行動。 先前尚未安裝此更新的客戶，可能需要根據修訂後的「受影響的軟體」表，以及此更新常見問題集所提供的資訊，重新評估其系統是否需要此更新。

此更新是針對 Microsoft Office 使用的一個共用元件。 此更新是否會提供給含有該共用元件，但不會存取弱點程式碼的 Microsoft Office 軟體？  
會。此更新會提供給偵測到易受影響之共用 Office 元件的系統。 即使 Office 軟體含有 VBE6.dll 但不會存取弱點程式碼，仍然會收到此更新。 如需瞭解適用此更新的 Office 軟體，請參考下表中的範例。

注意 此表格僅供參考。 表中列出的是最常詢問的軟體。

Microsoft 建議收到此更新的客戶，無論其軟體是否存取弱點程式碼，都應該安裝此更新。 若安裝此更新，將有助於確保客戶的 Microsoft Office 軟體執行最新版的 VBE6.dll。

不易受影響的軟體版本有更新是否表示 Microsoft 更新機制具有問題？  
不是。更新機制仍然運作正常，只是偵測到系統上的檔案版本比更新套件的舊，因此提供更新。

何處可找到檔案資訊詳細資料？  
關於檔案資訊詳細資料的位置，請見＜安全性更新部署＞一節中的參考表。

我套用了必要的 Microsoft 安全性更新，但是我的系統上還有一個受影響版本的 Visual Basic for Applications Runtime (VBE6.dll)。 如何更新此 DLL？  
有時候，即使您已安裝此公告中列出的 Microsoft Office 的必要安全性更新及 Microsoft Visual Basic for Applications 更新，您的系統可能仍有一個受影響版本的 VBE6.dll。

如果 VBE6.dll 由受支援版本的 Microsoft Office 安裝在您的系統上，那麼套用受影響版本之 Microsoft Office 的安全性更新後，VBE6.dll 會由更新版本所取代，解決本公告中描述的弱點。 但是，如果 VBE6.dll 是由協力廠商應用程式安裝在您的系統上，您可能必須安裝該程式的更新。

若要更新協力廠商應用程式的 VBE6.dll，有兩種可能的情況，而這取決於協力廠商應用程式的 VBA 實作。 如果您知道協力廠商應用程式遵從將共用元件作為並存組件使用時的建議最佳實務作法，那麼套用 Microsoft Visual Basic for Applications (KB974945) 更新後，共用位置中的 VBE6.dll 會由更新版本所取代，解決本公告中描述的弱點。

另一方面，如果協力廠商應用程式未根據建議的最佳實務作法，將 VBE6.dll 放到共用位置，那麼您應該連絡協力廠商應用程式開發者，請他們提供其應用程式的更新版本，當中包含較新版的 VBE6.dll，即可解決本公告中描述的弱點。 請注意，安裝 VBE6.dll 的協力廠商應用程式不是每一個都容易受到本公告中描述的弱點所影響，因為應用程式可能不會以容易遭利用的方式使用 VBE6.dll 搜尋 ActiveX 控制項。 但是，只有該應用程式的開發者才能確認此情況。

此安全性更新僅適用於 Microsoft 軟體。 如何偵測協力廠商應用程式是否在我的系統上部署了受影響版本的 Visual Basic for Applications Runtime (VBE6.dll)？  
支援 VBA 的協力廠商應用程式可能在本安全性更新不會更新到的位置中部署 VBE6.dll。 如果您的協力廠商應用程式隨附其專屬的 VBE6.dll 檔案，為確保您的系統能獲得充分保護，不受本公告描述的弱點影響，您應該直接連絡負責支援該協力廠商應用程式的開發者或廠商。

如需瞭解如何掃瞄出您系統上的 VBE6.dll 檔案，請參閱 Microsoft 知識庫文件編號 978213。若掃瞄出您系統上所有的 VBE6.dll 檔案，有助於識別出協力廠商應用程式所安裝且可能易受影響的 VBE6.dll 檔案。

我是協力廠商應用程式開發人員，而且我在應用程式中使用 Microsoft Visual Basic for Applications Runtime。 我的應用程式是否容易遭到攻擊，還有如何將其更新？  
轉散發 Microsoft Visual Basic for Applications Runtime VBE6.dll 的開發人員，應自 Summit Software Company 下載更新版本的 Microsoft Visual Basic for Applications SDK，以確保與應用程式一起安裝的 Microsoft Visual Basic for Applications Runtime 獲得更新。 如需使用轉散發元件的最佳作法資訊，請參閱 Microsoft 知識庫文件編號 835322，以及 MSDN 文章隔離的應用程式和並存組件 (英文)。

我是 ISV。 哪裡可取得 Microsoft Visual Basic for Applications SDK 更新？  
此更新由 Summit Software Company 提供。 Summit Software Company 是應用程式自訂軟體產品和整合支援服務的國際供應商，主要客戶為獨立軟體廠商與企業開發人員。 Summit Software 於 1996 年 6 月與 Microsoft 達成協議，負責銷售 Microsoft Visual Basic for Applications 與相關加值技術和服務。 Summit 會繼續銷售並支援 Microsoft VBA。

為什麼此更新對 Microsoft Visual Basic for Applications 屬於「重大」等級，但對 Microsoft Office 僅屬於「重要」？  
Microsoft Office XP 和更新版本具備內建功能，可提示使用者先執行 [開啟]、[儲存] 或 [取消]，再開啟文件。 此緩和因素可將弱點從「重大」減緩至「重要」，因為此弱點需要多個使用者動作才能奏效。

我使用的是 Microsoft Office 2007 Service Pack 1。這個更新是否包含任何其他安全性功能？  
是的，作為 Microsoft Office 2007 服務模型的一部份，當 Microsoft Office 2007 Service Pack 1 使用者安裝此更新時，會將其系統升級到 Microsoft Office 2007 Service Pack 2 最初發行的安全性功能。2009 年 4 月 24 日後針對 Microsoft Office 2007 發行的所有更新都會包含這些安全性功能，這些安全性功能原本建置於 Microsoft Office 2007 Service Pack 2。我們已徹底測試這個更新，不過跟所有更新一樣，我們建議使用者針對其系統環境和設定執行適當的測試。

我所使用的軟體是這個安全性公告中討論的軟體之舊版。 該怎麼辦？  
本公告所列出的受影響軟體版本已經過測試判斷哪些版本會受到影響。 其他版本超出它們的支援週期。 如需瞭解產品生命週期的相關資訊，請造訪 Microsoft 產品技術支援週期網站。

使用此軟體舊版的客戶應優先考慮移轉至支援的版本，以避免因潛在的弱點而遭受攻擊。 若要瞭解您的軟體版本的支援週期，請參閱選擇一個產品檢視其支援週期資訊。 如需更多軟體版本 Service Pack 的相關資訊，請參閱產品技術支援週期所支援的 Service Packs。

需要舊版軟體額外支援服務的客戶，請連絡 Microsoft 客戶小組人員、技術支援經理或適當的 Microsoft 協力廠商，以取得所需的額外支援。 尚未簽訂聯盟、優先或授權合約的客戶，可以連絡當地的 Microsoft 銷售辦公室。 如需連絡資訊，請造訪 Microsoft 全球資訊網站，在 [Contact Information] (連絡資訊) 清單中選擇國家，然後按一下 [Go] 查看各地的連絡電話號碼。 連絡時，請指明要連絡當地優先支援服務行銷經理。 如需更多資訊，請參閱 Microsoft 技術支援週期準則常見問答集。

下列嚴重性等級是假設弱點可能造成的最嚴重影響而評定。 在本資訊安全公告發行的 30 天內，如需弱點之易遭利用性與嚴重性等級和安全性影響之間對應關係的資訊，請參閱 5 月份資訊公告摘要中的＜弱點索引＞。 如需更多資訊，請參閱 Microsoft 弱點索引。

^[1]此更新套件適用於支援版本的 Microsoft Visual Basic for Applications Runtime (Vbe6.dll)，僅可以從 Microsoft 下載中心取得。

^[2]支援的 VBA SDK 版本包含 Microsoft Visual Basic for Applications SDK 6.3、Microsoft Visual Basic for Applications SDK 6.4 及 Microsoft Visual Basic for Applications SDK 6.5。

Microsoft Visual Basic for Applications 搜尋 ActiveX 控制項的方式存在遠端執行程式碼的弱點。 如果主應用程式開啟並傳送蓄意製作的檔案給 Visual Basic for Applications Runtime，此弱點可能會允許從遠端執行程式碼。 如果使用者以系統管理的使用者權限登入，成功利用此弱點的攻擊者可以取得受影響系統的完整控制權。 攻擊者接下來將能安裝程式，檢視、變更或刪除資料，或建立具有完整使用者權限的新帳戶。 系統上帳戶使用者權限較低的使用者，其受影響的程度比擁有系統管理權限的使用者要小。

若要在「一般性弱點」清單標準條目中檢視此弱點，請參閱 CVE-2010-0815 (英文)。

管理您必須部署到您組織中的伺服器、桌上型電腦及行動系統的軟體和安全性更新。 如需更多資訊，請參閱 TechNet 更新管理中心 。 Microsoft TechNet 資訊安全網站提供了有關 Microsoft 產品安全性的其他資訊。

安全性更新可從 Microsoft Update 以及 Windows Update 取得。 安全性更新也可以從 Microsoft 下載中心取得。 您也可以利用「安全性更新」("security update") 關鍵字搜尋輕易地找到安全性更新。

最後，您可以從 Microsoft Update Catalog 下載安全性更新。 Microsoft Update Catalog 提供透過 Windows Update 及 Microsoft Update 所公佈內容的搜尋式目錄，包括安全性更新、驅動程式和 Service Pack。 只要以資訊安全公告編號 (例如：MS07-036) 執行搜尋，您就可新增所有適用的更新到置物籃 (包括同一項更新的不同語言)，再下載到您自選的資料夾中。 如需更多關於 Microsoft Update Catalog 的相關資訊，請參閱 Microsoft Update Catalog 常見問題集。

注意：從 2009 年 8 月 1 日開始，Microsoft 已停止支援 Office Update 與 Office Update Inventory Tool。如要繼續取得 Microsoft Office 產品的最新更新，請改用 Microsoft Update。 如需更多資訊，請參閱關於 Microsoft Office Update： 常見問題集 (英文)。

偵測與部署指南

Microsoft 針對安全性更新提供偵測和部署指南。 本指南所含之建議和資訊，能幫助 IT 專業人員瞭解如何使用用於安全性更新的偵測和部署的各種工具。 如需更多資訊，請參閱 Microsoft 知識庫文件編號 961747。

Microsoft Baseline Security Analyzer

Microsoft Baseline Security Analyzer (MBSA) 能讓系統管理員掃描本機和遠端系統，偵查任何缺少安全性更新以及一般安全性設定錯誤的狀況。 如需更多有關 MBSA 的資訊，請造訪 Microsoft Baseline Security Analyzer 網站。

以下表格提供此安全性更新的 MBSA 偵測摘要。

最新版本的 MBSA 已經發行： Microsoft Baseline Security Analyzer 2.1.1。如需更多資訊，請參閱 Microsoft Baseline Security Analyzer 2.1。

注意：客戶若使用 MBSA 2.1.1、Microsoft Update 和 Windows Server Update Services 所不支援的舊版軟體： 請造訪 Microsoft Baseline Security Analyzer 並參考＜舊版產品支援＞(英文) 章節，了解如何以舊版工具建立完整的安全性更新偵測方式。

Windows Server Update Services

透過 Windows Server Update Services (WSUS)，系統管理員可以部署 Microsoft Windows 2000 作業系統及更新版本、Office XP 及更新版本、Exchange Server 2003 及 SQL Server 2000 的最新重大更新與安全性更新。如需更多有關如何利用 Windows Server Update Services 部署安全性更新的資訊，請造訪 Windows Server Update Services 網站。

Systems Management Server

以下表格提供本安全性更新的 SMS 偵測與部署摘要。

對於 SMS 2.0 和 SMS 2003，SMS 可利用安全性更新盤點工具 (Security Update Inventory Tool，SUIT) 來偵測安全性更新。 另請參閱適用於 Systems Management Server 2.0 的下載 (英文)。

SMS 2003 可使用 Microsoft Update 專用 SMS 2003 盤點工具 (ITMU) 來偵測由 Microsoft Update 所提供，並由 Windows Server Update Services 支援的安全性更新。 如需 SMS 2003 ITMU 的詳細資訊，請參閱 SMS 2003 Inventory Tool for Microsoft Updates (SMS 2003 Microsoft Updates 清查工具) (英文)。 如需更多關於 SMS 掃描工具的資訊，請參閱 SMS 2003 軟體更新掃描工具 (英文)。 另請參閱適用於 Systems Management Server 2003 的下載 (英文)。

System Center Configuration Manager 2007 使用 WSUS 3.0 來偵測更新。 如需更多關於 Configuration Manager 2007 軟體更新管理的資訊，請造訪 System Center Configuration Manager 2007 網站。

如需有關 SMS 的詳細資訊，請造訪 SMS 網站。

如需瞭解詳細相關資訊，請參閱 Microsoft 知識庫文件編號 910723： 每月發行之偵測與部署指導文件的摘要清單。

注意：若您已利用管理安裝點 (AIP) 來部署 Office XP 或 Office 2003，並且已從原始基準更新 AIP 的話，則可能無法使用 SMS 來部署此更新。 如需更多資訊，請參閱本節中的＜Office 管理安裝點＞。

Office 管理安裝點

如果您是由伺服器位置安裝應用程式，則伺服器系統管理員必須使用系統管理更新程式更新伺服器位置，並將該更新部署到您的系統中。

• 對於 Microsoft Office XP 支援版本，請參閱建立管理安裝點 (英文)。 如需更多有關如何將用戶端系統的來源從更新的管理安裝點變更到 Office XP 原始基準來源之詳細資訊，請參閱 Microsoft 知識庫文件編號 922665。
  
  注意：如果打算透過更新的管理影像集中管理軟體更新，那麼您可在透過修正的管理影像更新 Office XP 用戶端 (英文) 一文中找到更多資訊。
• 對於 Microsoft Office 2003 支援版本，請參閱＜建立管理安裝點＞。 如需詳細瞭解如何將用戶端電腦的來源從更新的管理安裝點變更到 Office 2003 原始基準來源或 Service Pack 3 (SP3)，請參閱 Microsoft 知識庫文件編號 902349。
  
  注意：如果您打算透過更新的管理影像集中管理軟體更新，您可以在散佈 Office 2003 產品升級 (英文) 文章中尋找更多資訊。
• 對於受支援的 2007 Microsoft Office 系統版本，請參閱＜為 2007 Office 系統建立網路安裝點＞(英文)。
  
  注意：如果您打算集中管理安全性更新，請使用 Windows Server Update Services。 如需更多關於使用 Windows Server Update Services 部署 2007 Microsoft Office 系統的安全性更新之資訊，請造訪 Windows Server Update Services 網站。

Update Compatibility Evaluator 和應用程式相容性工具組

更新時常會寫入您應用程式執行所需的相同檔案和登錄設定。 這可能會觸發不相容性，而拉長部署安全性更新的時間。 您可以使用 Application Compatibility Toolkit 隨附的 Update Compatibility Evaluator 元件，針對所安裝的應用程式簡化其測試和驗證 Windows 更新的過程。

Application Compatibility Toolkit (ACT) 包含必要的工具和文件，可讓您在環境中部署 Microsoft Windows Vista、Windows Update、Microsoft 安全性更新或新版 Windows Internet Explorer 之前，評估及減輕應用程式相容性問題。

受影響的軟體

如需有關您使用系統的特定安全性更新資訊，請按下適當的連結：