Launch Printer Friendly Page Security TechCenter > Boletins de segurança > Microsoft Security Bulletin MS08-023

Microsoft Security Bulletin MS08-023 - Crítica

Atualização de segurança de killbits do ActiveX (948881)

Publicado: | Atualizado:

Versão: 1.2

Informações Gerais

Sinopse

Esta atualização de segurança resolve uma vulnerabilidade relatada em particular para um produto da Microsoft. Esta atualização também inclui um killbit para o produto Yahoo! Music Jukebox. Esta vulnerabilidade pode permitir a execução remota de código caso um usuário tenha exibido uma página da Web especialmente criada usando o Internet Explorer. Os usuários cujas contas são configuradas com poucos direitos de usuário no sistema correm menos riscos do que aqueles que possuem direitos administrativos.

A atualização de segurança é classificada como Crítica para Internet Explorer 5.01 Service Pack 4 em Microsoft Windows 2000 Service Pack 4; Internet Explorer 6 Service Pack 1 quando instalado no Microsoft Windows 2000 Service Pack 4; Windows XP Service Pack 2 e Windows XP Professional x64 Edition e Windows XP Professional x64 Edition Service Pack 2.

A atualização de segurança é classificada como Importante para Windows Vista, Windows Vista Service Pack 1, Windows Vista x64 Edition e Windows Vista x64 Edition Service Pack 1.

A atualização de segurança é classificada como Moderada para todas as edições com suporte do Windows Server 2003.

Para todas as outras versões do Windows com suporte, esta atualização de segurança é classificada como Baixa. Para obter mais informação, consulte a subseção Software afetado e não afetado nesta seção.

A atualização de segurança elimina a vulnerabilidade, definindo um killbit para que os controles vulneráveis não sejam executados no Internet Explorer. Para mais informação sobre a vulnerabilidade, consulte a subseção Perguntas freqüentes na próxima seção, Informações da vulnerabilidade.

Recomendação. A Microsoft recomenda que os clientes apliquem a atualização imediatamente.

Problemas conhecidos. Nenhum problema conhecido.

Software afetado e não afetado

O software relacionado aqui foi testado para determinar se as versões ou edições são afetadas. O ciclo de vida do suporte das outras versões ou edições já terminou ou elas não são afetadas. Para determinar o ciclo de vida do suporte para sua versão ou edição de software, visite o site Ciclo de vida do Suporte Microsoft.

Softwares afetados

Sistema operacionalComponenteImpacto máximo à segurançaClassificação de gravidade agregadaBoletins substituídos por esta atualização
Microsoft Windows 2000 Service Pack 4Microsoft Internet Explorer 5.01 Service Pack 4Execução Remota de CódigoCríticaNenhuma
Microsoft Windows 2000 Service Pack 4Microsoft Internet Explorer 6 Service Pack 1Execução Remota de CódigoCríticaNenhuma
Windows XP Service Pack 2Execução Remota de CódigoCríticaNenhuma
Windows XP Professional x64 Edition e Windows XP Professional x64 Edition Service Pack 2Execução Remota de CódigoCríticaNenhuma
Windows Server 2003 Service Pack 1 e Windows Server 2003 Service Pack 2Execução Remota de CódigoModeradaNenhuma
Windows Server 2003 x64 Edition e Windows Server 2003 x64 Edition Service Pack 2Execução Remota de CódigoModeradaNenhuma
Windows Server 2003 com SP1 para sistemas baseados no Itanium e Windows Server 2003 com SP2 para sistemas baseados no ItaniumExecução Remota de CódigoModeradaNenhuma
Windows Vista e Windows Vista Service Pack 1Execução Remota de CódigoImportanteNenhuma
Windows Vista x64 Edition e Windows Vista x64 Edition Service Pack 1Execução Remota de CódigoImportanteNenhuma
Windows Server 2008 para sistemas de 32 bitsExecução Remota de CódigoBaixa Nenhuma
Windows Server 2008 para sistemas baseados em x64Execução Remota de CódigoBaixa Nenhuma
Windows Server 2008 para sistemas baseados no ItaniumExecução Remota de CódigoBaixa Nenhuma

Perguntas freqüentes relacionadas a esta atualização de segurança

Informações da vulnerabilidade

Classificação de gravidade e Identificadores de vulnerabilidade

Vulnerabilidade de corrupção de memória do objeto ActiveX - CVE-2008-1086

Killbits de terceiros

Informações da atualização

Orientação e ferramentas de detecção e implantação

Implantação de atualização de segurança

Outras informações

Agradecimentos

A Microsoft agradece à pessoa citada abaixo por trabalhar conosco para ajudar a proteger os clientes:

  • Um pesquisador anônimo que trabalha com o iDefense VCP por reportar a vulnerabilidade de corrupção de memória do objeto ActiveX – CVE-2008-1086

Suporte

  • Os clientes nos EUA e Canadá podem receber suporte técnico dos Serviços de suporte ao produto Microsoft pelo telefone 1-866-PCSAFETY. As ligações para obter suporte associado a atualizações de segurança são gratuitas.
  • Os clientes de outros países podem obter suporte nas subsidiárias locais da Microsoft. O suporte associado a atualizações de segurança é gratuito. Para obter mais informações sobre como entrar em contato com a Microsoft a fim de obter suporte a problemas, visite o site de Suporte Internacional.

Aviso de isenção de responsabilidade

As informações fornecidas na Microsoft Knowledge Base são apresentadas "no estado em que se encontram", sem garantia de qualquer tipo. A Microsoft se isenta de todas as garantias, expressas ou implícitas, inclusive as garantias de comercialização e adequação a um propósito específico. Em hipótese alguma a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, inclusive danos diretos, indiretos, incidentais, conseqüenciais, danos por lucros cessantes ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido alertados da possibilidade dos referidos danos. Como alguns estados não permitem a exclusão ou limitação de responsabilidade por danos conseqüenciais ou indiretos, a limitação acima pode não ser aplicável a você.

Revisões

  • V1.0 (8 de abril de 2008): Boletim publicado.
  • V1.1 (16 de abril de 2008): Corrigido o caminho do utilitário de desinstalação desta atualização no Windows XP (todas as edições).
  • V1.2 (23 de abril de 2008): Corrigida a Verificação da chave do Registro para todas as edições baseadas em x64 com suporte do Windows Server 2003