Boletim de Segurança da Microsoft MS14-005 – Importante

Vulnerabilidade no Microsoft XML Core Services pode permitir a divulgação de informações (2916036)

Publicado em: 11 de fevereiro de 2014 | Atualizado em: 28 de fevereiro de 2014

Versão: 1.1

Informações gerais

Resumo executivo

Essa atualização de segurança resolve uma vulnerabilidade divulgada publicamente em Microsoft XML Core Services incluída no Microsoft Windows. A vulnerabilidade pode permitir a divulgação de informações se um usuário exibir uma página da Web especialmente criada usando Explorer da Internet. Um invasor não teria como forçar os usuários a exibir conteúdo especialmente elaborado. Em vez disso, um invasor teria que convencer os usuários a tomar medidas, normalmente fazendo com que eles clicassem em um link em uma mensagem de email ou em uma mensagem do Instant Messenger que leva os usuários para o site de um invasor ou fazendo com que eles abram um anexo enviado por email.

Essa atualização de segurança é classificada como Importante para clientes Windows afetados e classificada como Baixa para servidores Windows afetados. Para obter mais informações, consulte a subseção, Software Afetado e Não Afetado, nesta seção.

A atualização de segurança resolve a vulnerabilidade corrigindo a maneira como o MSXML verifica a política de mesma origem de URLs. Para obter mais informações sobre a vulnerabilidade, consulte a subseção perguntas frequentes para a entrada de vulnerabilidade específica posteriormente neste boletim.

Recomendação. A maioria dos clientes tem a atualização automática habilitada e não precisará executar nenhuma ação porque essa atualização de segurança será baixada e instalada automaticamente. Os clientes que não habilitaram a atualização automática precisam marcar para atualizações e instalar essa atualização manualmente. Para obter informações sobre opções de configuração específicas na atualização automática, consulte Artigo da Base de Dados de Conhecimento Microsoft 294871.

Para administradores e instalações corporativas ou usuários finais que desejam instalar essa atualização de segurança manualmente, a Microsoft recomenda que os clientes apliquem a atualização na primeira oportunidade usando o software de gerenciamento de atualizações ou verificando se há atualizações usando o serviço Microsoft Update .

Consulte também a seção Ferramentas e Diretrizes de Detecção e Implantação, mais adiante neste boletim.

Artigo da Base de Dados de Conhecimento

  • Artigo da Base de Dados de Conhecimento: 2916036
  • Informações do arquivo: Sim
  • Hashes SHA1/SHA2: Sim
  • Problemas conhecidos: Nenhum

 

Software afetado e não afetado

O software a seguir foi testado para determinar quais versões ou edições são afetadas. Outras versões ou edições estão além do ciclo de vida de suporte ou não são afetadas. Para determinar o ciclo de vida de suporte para sua versão ou edição de software, consulte Suporte da Microsoft Ciclo de vida.

Software afetado 

Sistema operacional Componente Impacto máximo na segurança Classificação de severidade agregada Atualizações substituído
Windows XP
Windows XP Service Pack 3 (2916036) Microsoft XML Core Services 3.0 Divulgação de informações Importante 2079403 no MS10-051
Windows XP Professional x64 Edition Service Pack 2 (2916036) Microsoft XML Core Services 3.0 Divulgação de informações Importante 2757638 no MS13-002
Windows Server 2003
Windows Server 2003 Service Pack 2 (2916036) Microsoft XML Core Services 3.0 Divulgação de informações Baixo 2719985 no MS12-043
Windows Server 2003 x64 Edition Service Pack 2 (2916036) Microsoft XML Core Services 3.0 Divulgação de informações Baixo 2757638 no MS13-002
Windows Server 2003 com SP2 para sistemas baseados em Itanium (2916036) Microsoft XML Core Services 3.0 Divulgação de informações Baixo 2757638 no MS13-002
Windows Vista
Windows Vista Service Pack 2 (2916036) Microsoft XML Core Services 3.0 Divulgação de informações Importante 2079403 no MS10-051
Windows Vista x64 Edition Service Pack 2 (2916036) Microsoft XML Core Services 3.0 Divulgação de informações Importante 2079403 no MS10-051
Windows Server 2008
Windows Server 2008 para sistemas de 32 bits Service Pack 2 (2916036) Microsoft XML Core Services 3.0 Divulgação de informações Baixo 2079403 no MS10-051
Windows Server 2008 para sistemas baseados em x64 Service Pack 2 (2916036) Microsoft XML Core Services 3.0 Divulgação de informações Baixo 2079403 no MS10-051
Windows Server 2008 para sistemas baseados em Itanium Service Pack 2 (2916036) Microsoft XML Core Services 3.0 Divulgação de informações Baixo 2079403 no MS10-051
Windows 7
Windows 7 para sistemas de 32 bits Service Pack 1 (2916036) Microsoft XML Core Services 3.0 Divulgação de informações Importante Nenhum
Windows 7 para sistemas baseados em x64 Service Pack 1 (2916036) Microsoft XML Core Services 3.0 Divulgação de informações Importante Nenhum
Windows Server 2008 R2
Windows Server 2008 R2 para sistemas baseados em x64 Service Pack 1 (2916036) Microsoft XML Core Services 3.0 Divulgação de informações Baixo Nenhum
Windows Server 2008 R2 para sistemas baseados em Itanium Service Pack 1 (2916036) Microsoft XML Core Services 3.0 Divulgação de informações Baixo Nenhum
Windows 8 e Windows 8.1
Windows 8 para sistemas de 32 bits (2916036) Microsoft XML Core Services 3.0 Divulgação de informações Importante Nenhum
Windows 8 para sistemas baseados em x64 (2916036) Microsoft XML Core Services 3.0 Divulgação de informações Importante Nenhum
Windows 8.1 para sistemas de 32 bits (2916036) Microsoft XML Core Services 3.0 Divulgação de informações Importante Nenhum
Windows 8.1 para sistemas baseados em x64 (2916036) Microsoft XML Core Services 3.0 Divulgação de informações Importante Nenhum
Windows Server 2012 e Windows Server 2012 R2
Windows Server 2012 (2916036) Microsoft XML Core Services 3.0 Divulgação de informações Baixo Nenhum
Windows Server 2012 R2 (2916036) Microsoft XML Core Services 3.0 Divulgação de informações Baixo Nenhum
Windows RT e Windows RT 8.1
Windows RT[1] (2916036) Microsoft XML Core Services 3.0 Divulgação de informações Importante Nenhum
Windows RT 8.1[1] (2916036) Microsoft XML Core Services 3.0 Divulgação de informações Importante Nenhum
Opção de instalação do Server Core
Windows Server 2008 para sistemas de 32 bits Service Pack 2 (instalação Server Core) (2916036) Microsoft XML Core Services 3.0 Divulgação de informações Baixo 2079403 no MS10-051
Windows Server 2008 para sistemas baseados em x64 Service Pack 2 (instalação Server Core) (2916036) Microsoft XML Core Services 3.0 Divulgação de informações Baixo 2079403 no MS10-051
Windows Server 2008 R2 para sistemas baseados em x64 Service Pack 1 (instalação Server Core) (2916036) Microsoft XML Core Services 3.0 Divulgação de informações Baixo Nenhum
Windows Server 2012 (instalação server core) (2916036) Microsoft XML Core Services 3.0 Divulgação de informações Baixo Nenhum
Windows Server 2012 R2 (instalação server core) (2916036) Microsoft XML Core Services 3.0 Divulgação de informações Baixo Nenhum

[1]Essa atualização está disponível por meio de Windows Update.

 

Software não afetado

Software
Microsoft XML Core Services 4.0
Microsoft XML Core Services 5.0
Microsoft XML Core Services 6.0

 

Perguntas frequentes sobre atualização

Qual versão do Microsoft XML Core Services está instalada no meu sistema? 
Algumas versões de Microsoft XML Core Services estão incluídas no Microsoft Windows; outras são instaladas com software de sistema não operacional da Microsoft ou de provedores de terceiros. Alguns também estão disponíveis como downloads separados. A tabela a seguir mostra quais versões de Microsoft XML Core Services estão incluídas no Microsoft Windows e que são instaladas com a instalação de software adicional da Microsoft ou de terceiros.

Sistema operacional MSXML 3.0 e MSXML 6.0 MSXML 4.0 e MSXML 5.0
Windows XP Enviado com o sistema operacional Instalado com software adicional
Windows Server 2003 MSXML 3.0 fornecido com o sistema operacional. MSXML 6.0 instalado com software adicional. Instalado com software adicional
Windows Vista Enviado com o sistema operacional Instalado com software adicional
Windows Server 2008 Enviado com o sistema operacional Instalado com software adicional
Windows 7 Enviado com o sistema operacional Instalado com software adicional
Windows Server 2008 R2 Enviado com o sistema operacional Instalado com software adicional
Windows 8 Enviado com o sistema operacional Instalado com software adicional
Windows Server 2012 Enviado com o sistema operacional Instalado com software adicional
Windows RT Enviado com o sistema operacional MSXML 4.0 instalado com software adicional. MSXML 5.0 não aplicável.
Windows 8.1 Enviado com o sistema operacional Instalado com software adicional
Windows Server 2012 R2 Enviado com o sistema operacional Instalado com software adicional
Windows RT 8.1 Enviado com o sistema operacional MSXML 4.0 instalado com software adicional. MSXML 5.0 não aplicável.

Nota Para obter informações sobre quais versões têm suporte da Microsoft, consulte Artigo da Base de Dados de Conhecimento da Microsoft 269238.

O que é Microsoft XML Core Services (MSXML)? 
Microsoft XML Core Services (MSXML) permite que os clientes que usam JScript, Visual Basic Scripting Edition (VBScript) e Microsoft Visual Studio 6.0 desenvolvam aplicativos baseados em XML que fornecem interoperabilidade com outros aplicativos que aderem ao padrão XML 1.0. Para obter mais informações, consulte o artigo MSDN, MSXML.

Estou usando uma versão mais antiga do software discutida neste boletim de segurança. O que devo fazer? 
O software afetado listado neste boletim foi testado para determinar quais versões são afetadas. Outras versões estão além do ciclo de vida do suporte. Para obter mais informações sobre o ciclo de vida do produto, consulte o site Suporte da Microsoft Ciclo de Vida.

Deve ser uma prioridade para os clientes que têm versões mais antigas do software migrarem para versões com suporte para evitar possíveis exposições a vulnerabilidades. Para determinar o ciclo de vida do suporte para sua versão de software, consulte Selecionar um produto para informações do ciclo de vida. Para obter mais informações sobre service packs para essas versões de software, consulte Política de Suporte ao Ciclo de Vida do Service Pack.

Os clientes que precisam de suporte personalizado para softwares mais antigos devem entrar em contato com o representante da equipe de conta da Microsoft, com o Gerente de Conta Técnica ou com o representante de parceiro apropriado da Microsoft para obter opções de suporte personalizadas. Os clientes sem um Contrato Da Aliança, Premier ou Autorizado podem entrar em contato com o escritório de vendas local da Microsoft. Para obter informações de contato, consulte o site Informações Mundiais da Microsoft , selecione o país na lista Informações de Contato e clique em Ir para ver uma lista de números de telefone. Quando você ligar, peça para falar com o gerente de vendas do Suporte Premier local. Para obter mais informações, consulte as Perguntas frequentes sobre a Política de Ciclo de Vida do Suporte da Microsoft.

Classificações de severidade e identificadores de vulnerabilidade

As classificações de gravidade a seguir pressupõem o impacto máximo potencial da vulnerabilidade. Para obter informações sobre a probabilidade, dentro de 30 dias após a versão deste boletim de segurança, da explorabilidade da vulnerabilidade em relação à classificação de severidade e ao impacto de segurança, consulte o Índice de Explorabilidade no resumo do boletim de fevereiro. Para obter mais informações, consulte Índice de exploração da Microsoft.

Classificação de severidade de vulnerabilidade e impacto máximo de segurança pelo software afetado
Software afetado Vulnerabilidade de divulgação de informações msxml - CVE-2014-0266 Classificação de severidade agregada
Windows XP
Windows XP Service Pack 3 Importante Divulgação de informações Importante
Windows XP Professional x64 Edition Service Pack 2 Importante Divulgação de informações Importante
Windows Server 2003
Windows Server 2003 Service Pack 2 Baixo Divulgação de informações Baixa
Windows Server 2003 x64 Edition Service Pack 2 Baixo Divulgação de informações Baixa
Windows Server 2003 com SP2 para sistemas baseados em Itanium Baixo Divulgação de informações Baixa
Windows Vista
Windows Vista Service Pack 2 Importante Divulgação de informações Importante
Windows Vista x64 Edition Service Pack 2 Importante Divulgação de informações Importante
Windows Server 2008
Windows Server 2008 para Sistemas de 32 bits Service Pack 2 Baixo Divulgação de informações Baixa
Windows Server 2008 para sistemas baseados em x64 Service Pack 2 Baixo Divulgação de informações Baixa
Windows Server 2008 para Sistemas baseados em Itanium Service Pack 2 Baixo Divulgação de informações Baixa
Windows 7
Windows 7 para Sistemas de 32 bits Service Pack 1 Importante Divulgação de informações Importante
Windows 7 para sistemas baseados em x64 Service Pack 1 Importante Divulgação de informações Importante
Windows Server 2008 R2
Windows Server 2008 R2 para sistemas baseados em x64 Service Pack 1 Baixo Divulgação de informações Baixa
Windows Server 2008 R2 para Sistemas baseados em Itanium Service Pack 1 Baixo Divulgação de informações Baixa
Windows 8 e Windows 8.1
Windows 8 para sistemas de 32 bits Importante Divulgação de informações Importante
Windows 8 para sistemas baseados em x64 Importante Divulgação de informações Importante
Windows 8.1 para sistemas de 32 bits Importante Divulgação de informações Importante
Windows 8.1 para sistemas baseados em x64 Importante Divulgação de informações Importante
Windows Server 2012 e Windows Server 2012 R2
Windows Server 2012 Baixo Divulgação de informações Baixa
Windows Server 2012 R2 Baixo Divulgação de informações Baixa
Windows RT e Windows RT 8.1
Windows RT Importante Divulgação de informações Importante
Windows RT 8.1 Importante Divulgação de informações Importante
Opção de instalação do Server Core
Windows Server 2008 para Sistemas de 32 bits Service Pack 2 (instalação do Server Core) Baixo Divulgação de informações Baixa
Windows Server 2008 para sistemas baseados em x64 Service Pack 2 (instalação do Server Core) Baixo Divulgação de informações Baixa
Windows Server 2008 R2 para sistemas baseados em x64 Service Pack 1 (instalação server core) Baixo Divulgação de informações Baixa
Windows Server 2012 (instalação do Server Core) Baixo Divulgação de informações Baixa
Windows Server 2012 R2 (instalação do Server Core) Baixo Divulgação de informações Baixa

Vulnerabilidade de divulgação de informações msxml - CVE-2014-0266

Existe uma vulnerabilidade de divulgação de informações que pode permitir que um invasor leia arquivos no sistema de arquivos local de um usuário ou leia o conteúdo de domínios da Web em que um usuário está autenticado no momento. Um invasor pode explorar essa vulnerabilidade quando um usuário exibe conteúdo da Web especialmente criado que foi projetado para invocar o MSXML por meio de Explorer da Internet.

Para exibir essa vulnerabilidade como uma entrada padrão na lista Vulnerabilidades e Exposições Comuns, consulte CVE-2014-0266.

Fatores atenuantes

Mitigação refere-se a uma configuração, configuração comum ou melhor prática geral, existente em um estado padrão, que poderia reduzir a gravidade da exploração de uma vulnerabilidade. Os seguintes fatores atenuantes podem ser úteis em sua situação:

  • Em um cenário de ataque baseado na Web, um invasor pode aproveitar sites e sites comprometidos que aceitam ou hospedam conteúdo ou anúncios fornecidos pelo usuário. Esses sites podem conter conteúdo especialmente elaborado que poderia explorar essa vulnerabilidade. Em todos os casos, no entanto, um invasor não teria como forçar os usuários a exibir o conteúdo controlado pelo invasor. Em vez disso, um invasor teria que convencer os usuários a tomar medidas, normalmente fazendo com que eles clicassem em um link em uma mensagem de email ou em uma mensagem do Instant Messenger que leva os usuários para o site do invasor ou fazendo com que eles abram um anexo enviado por email.
  • Por padrão, todas as versões com suporte do Microsoft Outlook, do Microsoft Outlook Express e do Windows Mail abrem mensagens de email HTML na zona Sites restritos. A zona sites restritos, que desabilita o script e os controles ActiveX, ajuda a reduzir o risco de um invasor poder usar scripts para explorar essa vulnerabilidade. Se um usuário clicar em um link em uma mensagem de email, o usuário ainda poderá ficar vulnerável à exploração dessa vulnerabilidade por meio do cenário de ataque baseado na Web.
  • Por padrão, os Explorer da Internet no Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 e Windows Server 2012 R2 são executados em um modo restrito conhecido como Configuração de Segurança Aprimorada. Esse modo atenua essa vulnerabilidade. Consulte a seção perguntas frequentes sobre essa vulnerabilidade para obter mais informações sobre a Configuração de Segurança Aprimorada do Explorer da Internet.

Soluções Alternativas

Solução alternativa refere-se a uma configuração ou alteração de configuração que não corrige a vulnerabilidade subjacente, mas ajudaria a bloquear vetores de ataque conhecidos antes de aplicar a atualização. A Microsoft testou as seguintes soluções alternativas e estados na discussão se uma solução alternativa reduz a funcionalidade:

  • Impedir que comportamentos binários MSXML 3.0 sejam usados na Internet Explorer

    Você pode desabilitar tentativas de usar um comportamento binário específico na Internet Explorer definindo o bit kill para o comportamento no registro.

    Aviso Se você usar o Registro Editor incorretamente, poderá causar sérios problemas que podem exigir a reinstalação do sistema operacional. A Microsoft não pode garantir que seja possível resolver problemas que resultam do uso incorreto do Editor do Registro. Use o Editor do Registro por sua conta e risco.

    Para definir os bits kill para CLSIDs com o valor de {f5078f39-c551-11d3-89b9-0000f81fe221} e {f6d90f16-9c73-11d3-b32e-00c04f990bb4}, Cole o texto a seguir em um editor de texto, como o Bloco de Notas. Em seguida, salve o arquivo usando a extensão de nome de arquivo .reg.

        Windows Registry Editor Version 5.00
        [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{f5078f39-c551-11d3-89b9-0000f81fe221}]
        "Compatibility Flags"=dword:04000400
    
        [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\ActiveX Compatibility\{f5078f39-c551-11d3-89b9-0000f81fe221}]
        "Compatibility Flags"=dword:04000400
    
        Windows Registry Editor Version 5.00
        [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{f6d90f16-9c73-11d3-b32e-00c04f990bb4}]
        "Compatibility Flags"=dword:04000400
    
        [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\ActiveX Compatibility\{f6d90f16-9c73-11d3-b32e-00c04f990bb4}]
        "Compatibility Flags"=dword:04000400
    

Você pode aplicar esse arquivo .reg a sistemas individuais clicando duas vezes nele. Você também pode aplicá-lo entre domínios usando Política de Grupo. Para obter mais informações sobre Política de Grupo, consulte o artigo technet, coleção Política de Grupo.

Observação:
Você deve reiniciar o Explorer da Internet para que as alterações entrem em vigor.

Impacto da solução alternativa. Sites que usam os controles ActiveX XMLHTTP 3.0 podem não ser mais exibidos ou funcionam corretamente em Explorer da Internet.

Como desfazer a solução alternativa. Exclua as chaves do Registro adicionadas anteriormente na implementação dessa solução alternativa.

  • Definir configurações de zona de segurança de intranet local e Internet como "Alta" para bloquear controles ActiveX e scripts ativos nessas zonas

    Você pode ajudar a proteger contra a exploração dessa vulnerabilidade alterando suas configurações para a zona de segurança da Internet para bloquear controles ActiveX e Script Ativo. Você pode fazer isso definindo a segurança do navegador como Alta.

    Para aumentar o nível de segurança de navegação na Internet Explorer, execute as seguintes etapas:

    1. No menu Ferramentas de Explorer da Internet, clique em Opções da Internet.
    2. Na caixa de diálogo Opções da Internet , clique na guia Segurança e clique em Internet.
    3. Em Nível de segurança para essa zona, mova o controle deslizante para Alto. Isso define o nível de segurança de todos os sites que você visita ao High.
    4. Clique em Intranet local.
    5. Em Nível de segurança para essa zona, mova o controle deslizante para Alto. Isso define o nível de segurança de todos os sites que você visita ao High.
    6. Clique em OK para aceitar as alterações e retornar à Internet Explorer.
Observação:
Se nenhum controle deslizante estiver visível, clique em Nível Padrão e mova o controle deslizante para Alto.

  | Observação: | |------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------| | Definir o nível como Alto pode fazer com que alguns sites funcionem incorretamente. Se você tiver dificuldades para usar um site depois de alterar essa configuração e tiver certeza de que o site é seguro de usar, poderá adicionar esse site à sua lista de sites confiáveis. Isso permitirá que o site funcione corretamente mesmo com a configuração de segurança definida como Alta. |

Impacto da solução alternativa. Há efeitos colaterais para bloquear controles ActiveX e scripts ativos. Muitos sites que estão na Internet ou em uma intranet usam ActiveX ou Active Scripting para fornecer funcionalidade adicional. Por exemplo, um site de comércio eletrônico online ou site bancário pode usar controles ActiveX para fornecer menus, formulários de pedidos ou até mesmo demonstrativos de conta. Bloquear controles ActiveX ou Scripts Ativos é uma configuração global que afeta todos os sites da Internet e da intranet. Se você não quiser bloquear controles ActiveX ou Scripts Ativos para esses sites, use as etapas descritas em "Adicionar sites confiáveis à Internet Explorer zona de sites confiáveis".

Adicionar sites confiáveis à Internet Explorer zona de sites confiáveis

Depois de definir a Internet Explorer para bloquear controles ActiveX e Scripts Ativos na zona da Internet e na zona da intranet local, você pode adicionar sites confiáveis à Internet Explorer zona de sites confiáveis. Isso permitirá que você continue a usar sites confiáveis exatamente como faz hoje, ajudando a se proteger contra esse ataque a sites não confiáveis. Recomendamos que você adicione apenas sites confiáveis à zona de sites confiáveis.

Para fazer isso, execute estas etapas:

  1. Na Internet Explorer, clique em Ferramentas, clique em Opções da Internet e, em seguida, clique na guia Segurança.
  2. Na caixa Selecionar uma zona de conteúdo da Web para especificar suas configurações de segurança atuais , clique em Sites Confiáveis e, em seguida, clique em Sites.
  3. Se você quiser adicionar sites que não exigem um canal criptografado, clique para desmarcar a caixa Exigir verificação do servidor (https:) para todos os sites nesta zona marcar.
  4. Na caixa Adicionar este site à zona , digite a URL de um site em que você confia e clique em Adicionar.
  5. Repita essas etapas para cada site que você deseja adicionar à zona.
  6. Clique em OK duas vezes para aceitar as alterações e retornar à Internet Explorer.

Adicione todos os sites em que você confia para não tomar medidas mal-intencionadas em seu sistema. Dois em particular que talvez você queira adicionar são *.windowsupdate.microsoft.com e *.update.microsoft.com. Esses são os sites que hospedarão a atualização e exigem um Controle ActiveX para instalar a atualização.  

  • Configurar o Explorer de Internet para solicitar antes de executar o Script Ativo ou desabilitar o Script Ativo na Zona de Segurança da Internet e da Intranet Local

    Você pode ajudar a proteger contra a exploração dessa vulnerabilidade alterando suas configurações para solicitar antes de executar o Script Ativo ou para desabilitar o Script Ativo na Internet e na zona de segurança da intranet local. Para fazer isso, execute estas etapas:

    1. Na Internet Explorer, clique em Opções da Internet no menu Ferramentas.
    2. Clique na guia Segurança .
    3. Clique em Internet e, em seguida, clique em Nível Personalizado.
    4. Em Configurações, na seção Scripts, em Script Ativo, clique em **Prompt **ou Desabilitar e clique em OK.
    5. Clique em Intranet local e, em seguida, clique em Nível Personalizado.
    6. Em Configurações, na seção Scripts, em Script Ativo, clique em **Prompt **ou Desabilitar e clique em OK.
    7. Clique em OK duas vezes para retornar à Internet Explorer.
Observação:
Desabilitar o Script Ativo na Internet e nas zonas de segurança da intranet local pode fazer com que alguns sites funcionem incorretamente. Se você tiver dificuldades para usar um site depois de alterar essa configuração e tiver certeza de que o site é seguro de usar, poderá adicionar esse site à sua lista de sites confiáveis. Isso permitirá que o site funcione corretamente.

Impacto da solução alternativa. Há efeitos colaterais para solicitar antes de executar o Script Ativo. Muitos sites que estão na Internet ou em uma intranet usam o Script Ativo para fornecer funcionalidade adicional. Por exemplo, um site de comércio eletrônico online ou site bancário pode usar o Active Scripting para fornecer menus, formulários de pedidos ou até mesmo demonstrativos de conta. Solicitar antes de executar o Active Scripting é uma configuração global que afeta todos os sites da Internet e da intranet. Você será solicitado com frequência ao habilitar essa solução alternativa. Para cada prompt, se você achar que confia no site que está visitando, clique em Sim para executar o Active Scripting. Se você não quiser ser solicitado a fornecer todos esses sites, use as etapas descritas em "Adicionar sites confiáveis à Internet Explorer zona de sites confiáveis".

Adicionar sites confiáveis à Internet Explorer zona de sites confiáveis

Depois de definir a Internet Explorer exigir um prompt antes de executar controles ActiveX e Scripts Ativos na zona da Internet e na zona da intranet local, você pode adicionar sites confiáveis à Internet Explorer zona de sites confiáveis. Isso permitirá que você continue a usar sites confiáveis exatamente como faz hoje, ajudando a protegê-lo contra esse ataque em sites não confiáveis. Recomendamos que você adicione apenas sites confiáveis à zona de sites confiáveis.

Para fazer isso, execute estas etapas:

  1. Na Internet Explorer, clique em Ferramentas, clique em Opções da Internet e, em seguida, clique na guia Segurança.
  2. Na caixa Selecionar uma zona de conteúdo da Web para especificar suas configurações de segurança atuais , clique em Sites Confiáveis e, em seguida, clique em Sites.
  3. Se você quiser adicionar sites que não exigem um canal criptografado, clique para desmarcar a caixa Exigir verificação do servidor (https:) para todos os sites nesta zona marcar.
  4. Na caixa Adicionar este site à zona , digite a URL de um site em que você confia e clique em Adicionar.
  5. Repita essas etapas para cada site que você deseja adicionar à zona.
  6. Clique em OK duas vezes para aceitar as alterações e retornar à Internet Explorer.
Observação:
Adicione todos os sites em que você confia para não tomar medidas mal-intencionadas em seu sistema. Dois em particular que talvez você queira adicionar são *.windowsupdate.microsoft.com e *.update.microsoft.com. Estes são os sites que hospedarão a atualização e exigem um Controle ActiveX para instalar a atualização.\

Perguntas frequentes

Qual é o escopo da vulnerabilidade?
Essa é uma vulnerabilidade de divulgação de informações.

O que causa a vulnerabilidade?
A vulnerabilidade é causada quando a Internet Explorer não impõe corretamente políticas entre domínios, permitindo que um invasor acesse conteúdo de domínios diferentes.

O que são políticas entre domínios e zonas na Internet Explorer?
Antes que uma solicitação XMLHTTP seja enviada, a URL da página de hospedagem é comparada com a URL no método aberto para determinar se as URLs estão no mesmo domínio. Caso contrário, a solicitação será tratada de acordo com a política da zona de segurança na qual a solicitação se origina. Para obter mais informações, consulte Sobre XMLHTTP nativo.

O que um invasor pode usar a vulnerabilidade para fazer?
Um invasor que explorou com êxito essa vulnerabilidade pode ler arquivos no sistema de arquivos local do usuário ou ler o conteúdo de domínios da Web em que o usuário está autenticado no momento.

Como um invasor pode explorar a vulnerabilidade?
Um invasor pode explorar a vulnerabilidade hospedando um site especialmente criado que foi projetado para invocar o MSXML por meio de Explorer da Internet. Isso também pode incluir sites comprometidos e sites que aceitam ou hospedam conteúdo fornecido pelo usuário. Esses sites podem conter conteúdo especialmente elaborado que poderia explorar essa vulnerabilidade. Em todos os casos, no entanto, um invasor não teria como forçar os usuários a exibir o conteúdo controlado pelo invasor. Em vez disso, um invasor teria que convencer os usuários a tomar medidas. Por exemplo, um invasor pode enganar os usuários para clicar em um link que os leva para o site do invasor.

Quais sistemas estão principalmente em risco de vulnerabilidade?
Os sistemas em que os Explorer da Internet são usados com frequência, como estações de trabalho ou servidores de terminal, correm o maior risco dessa vulnerabilidade.

Estou executando o Internet Explorer para Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 ou Windows Server 2012 R2. Isso atenua essa vulnerabilidade?
Sim. Por padrão, os Explorer da Internet no Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 e Windows Server 2012 R2 são executados em um modo restrito conhecido como Configuração de Segurança Aprimorada. A Configuração de Segurança Aprimorada é um grupo de configurações pré-configuradas na Internet Explorer que podem reduzir a probabilidade de um usuário ou administrador baixar e executar conteúdo da Web especialmente criado em um servidor. Esse é um fator atenuante para sites que você não adicionou à Internet Explorer zona de sites confiáveis.

O que a atualização faz?
A atualização resolve a vulnerabilidade corrigindo a maneira como o MSXML verifica a política de mesma origem de URLs.

Observação:
Depois de aplicar essa atualização, os clientes podem descobrir que algumas páginas da Web não são mais renderizadas corretamente na Internet Explorer. Isso pode ocorrer porque o acesso está sendo negado às páginas da Web devido à política entre domínios e zonas. O componente MSXML-XMLHTTP é usado para determinar a política de acesso entre domínios entre zonas. Por exemplo, um site confiável pode acessar dados de um site na zona da Intranet, enquanto o inverso sempre é negado. Para obter mais informações, consulte Sobre XMLHTTP nativo.

Se você confiar e quiser exibir essas páginas da Web, poderá configurar o Explorer da Internet para permitir que você exiba as páginas da Web. Para obter mais informações sobre como configurar Explorer da Internet após a instalação dessa atualização, consulte Artigo da Base de Dados de Conhecimento Microsoft 2916036.

Quando este boletim de segurança foi emitido, essa vulnerabilidade foi divulgada publicamente?
Sim. Essa vulnerabilidade foi divulgada publicamente. Foi atribuído o número comum de vulnerabilidade e exposição CVE-2014-0266.

Quando este boletim de segurança foi emitido, a Microsoft recebeu algum relatório de que essa vulnerabilidade estava sendo explorada?
Sim. A Microsoft está ciente dos ataques direcionados que tentam explorar essa vulnerabilidade.

Ferramentas e diretrizes de detecção e implantação

Vários recursos estão disponíveis para ajudar os administradores a implantar atualizações de segurança. 

  • O MBSA (Analisador de Segurança de Linha de Base da Microsoft) permite que os administradores examinem sistemas locais e remotos em busca de atualizações de segurança ausentes e configurações de segurança comuns. 
  • Windows Server Update Services (WSUS), SMS (Servidor de Gerenciamento de Sistemas) e System Center Configuration Manager ajudam os administradores a distribuir atualizações de segurança. 
  • Os componentes do Avaliador de Compatibilidade de Atualização incluídos no Application Compatibility Toolkit ajudam a simplificar o teste e a validação de atualizações do Windows em relação aos aplicativos instalados. 

Para obter informações sobre essas e outras ferramentas disponíveis, consulte Ferramentas de Segurança para profissionais de TI

Implantação de atualização de segurança

Windows XP (todas as edições)

Tabela de referência

A tabela a seguir contém as informações de atualização de segurança para este software.

Nomes de arquivo de atualização de segurança Para todas as edições de 32 bits com suporte do Windows XP:\ WindowsXP-KB2916036-x86-enu.exe
\ Para todas as edições baseadas em x64 com suporte do Windows XP Professional:\ WindowsServer2003.WindowsXP-KB2916036-x64-enu.exe
Opções de instalação Consulte o artigo da Base de Dados de Conhecimento da Microsoft 262841
Atualizar arquivo de log KB2916036.log
Requisitos de reinicialização Em alguns casos, essa atualização não requer uma reinicialização. Se os arquivos necessários estiverem sendo usados, essa atualização exigirá uma reinicialização. Se esse comportamento ocorrer, será exibida uma mensagem que aconselha você a reiniciar.
Informações de remoção Use o item Adicionar ou Remover Programas no Painel de Controle ou no utilitário Spuninst.exe localizado na pasta %Windir%$NTUninstallKB 2916036$\Spuninst
Informações do arquivo Consulte o artigo da Base de Dados de Conhecimento da Microsoft 2916036
Verificação de chave do Registro Para todas as edições de 32 bits com suporte do Windows XP:\ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP4\KB2916036\Filelist
\ Para todas as edições baseadas em x64 com suporte do Windows XP:\ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP Version 2003\SP3\KB2916036\Filelist

Nota A atualização para versões com suporte do Windows XP Professional x64 Edition também se aplica a versões com suporte do Windows Server 2003 x64 Edition.

Windows Server 2003 (todas as edições)

Tabela de referência

A tabela a seguir contém as informações de atualização de segurança para este software.

Nomes de arquivo de atualização de segurança Para todas as edições de 32 bits com suporte do Windows Server 2003:\ WindowsServer2003-KB2916036-x86-enu.exe
\ Para todas as edições baseadas em x64 com suporte do Windows Server 2003:\ WindowsServer2003.WindowsXP-KB2916036-x64-enu.exe
\ Para todas as edições baseadas em Itanium com suporte do Windows Server 2003:\ WindowsServer2003-KB2916036-ia64-enu.exe
Opções de instalação Consulte o artigo da Base de Dados de Conhecimento da Microsoft 262841
Atualizar arquivo de log KB2916036.log
Requisitos de reinicialização Em alguns casos, essa atualização não requer uma reinicialização. Se os arquivos necessários estiverem sendo usados, essa atualização exigirá uma reinicialização. Se esse comportamento ocorrer, será exibida uma mensagem que aconselha você a reiniciar.
Informações de remoção Use o item Adicionar ou Remover Programas no Painel de Controle ou no utilitário Spuninst.exe localizado na pasta %Windir%$NTUninstallKB 2916036$\Spuninst
Informações do arquivo Consulte o artigo da Base de Dados de Conhecimento da Microsoft 2916036
Verificação de chave do Registro HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows Server 2003\SP3\KB2916036\Filelist

Nota A atualização para versões com suporte do Windows Server 2003 x64 Edition também se aplica a versões com suporte do Windows XP Professional x64 Edition.

Windows Vista (todas as edições)

Tabela de referência

A tabela a seguir contém as informações de atualização de segurança para este software.

Nomes de arquivo de atualização de segurança Para todas as edições de 32 bits com suporte do Windows Vista:\ Windows6.0-KB2916036-x86.msu
\ Para todas as edições baseadas em x64 com suporte do Windows Vista:\ Windows6.0-KB2916036-x64.msu
Opções de instalação Consulte o artigo da Base de Dados de Conhecimento da Microsoft 934307
Requisitos de reinicialização Em alguns casos, essa atualização não requer uma reinicialização. Se os arquivos necessários estiverem sendo usados, essa atualização exigirá uma reinicialização. Se esse comportamento ocorrer, será exibida uma mensagem que aconselha você a reiniciar.
Informações de remoção WUSA.exe não dá suporte à desinstalação de atualizações. Para desinstalar uma atualização instalada pelo WUSA, clique em Painel de Controle e clique em Segurança. Em Windows Update, clique em Exibir atualizações instaladas e selecione na lista de atualizações.
Informações do arquivo Consulte o artigo da Base de Dados de Conhecimento da Microsoft 2916036
Verificação de chave do Registro Nota Uma chave do Registro não existe para validar a presença dessa atualização.

Windows Server 2008 (todas as edições)

Tabela de referência

A tabela a seguir contém as informações de atualização de segurança para este software.

Nomes de arquivo de atualização de segurança Para todas as edições de 32 bits com suporte do Windows Server 2008:\ Windows6.0-KB2916036-x86.msu
\ Para todas as edições baseadas em x64 com suporte do Windows Server 2008:\ Windows6.0-KB2916036-x64.msu
\ Para todas as edições baseadas em Itanium com suporte do Windows Server 2008:\ Windows6.0-KB2916036-ia64.msu
Opções de instalação Consulte o artigo da Base de Dados de Conhecimento da Microsoft 934307
Requisitos de reinicialização Em alguns casos, essa atualização não requer uma reinicialização. Se os arquivos necessários estiverem sendo usados, essa atualização exigirá uma reinicialização. Se esse comportamento ocorrer, será exibida uma mensagem que aconselha você a reiniciar.
Informações de remoção WUSA.exe não dá suporte à desinstalação de atualizações. Para desinstalar uma atualização instalada pelo WUSA, clique em Painel de Controle e clique em Segurança. Em Windows Update, clique em Exibir atualizações instaladas e selecione na lista de atualizações.
Informações do arquivo Consulte o artigo da Base de Dados de Conhecimento da Microsoft 2916036
Verificação de chave do Registro Nota Uma chave do Registro não existe para validar a presença dessa atualização.

 

Windows 7 (todas as edições)

Tabela de referência

A tabela a seguir contém as informações de atualização de segurança para este software.

Nome do arquivo de atualização de segurança Para todas as edições de 32 bits com suporte do Windows 7:\ Windows6.1-KB2916036-x86.msu
\ Para todas as edições baseadas em x64 com suporte do Windows 7:\ Windows6.1-KB2916036-x64.msu
Opções de instalação Confira o artigo da Base de Dados de Conhecimento Microsoft 934307
Requisitos de reinicialização Em alguns casos, essa atualização não requer uma reinicialização. Se os arquivos necessários estiverem sendo usados, essa atualização exigirá uma reinicialização. Se esse comportamento ocorrer, será exibida uma mensagem informando que você será reiniciado.
Informações de remoção Para desinstalar uma atualização instalada pelo WUSA, use a opção /Desinstalar instalação ou clique em Painel de Controle, clique em Sistema e Segurança e, em Windows Update, clique em Exibir atualizações instaladas e selecione na lista de atualizações.
Informações do arquivo Confira o artigo da Base de Dados de Conhecimento Microsoft 2916036
Verificação de chave do Registro Nota Uma chave do Registro não existe para validar a presença dessa atualização.

 

Windows Server 2008 R2 (todas as edições)

Tabela de referência

A tabela a seguir contém as informações de atualização de segurança para este software.

Nome do arquivo de atualização de segurança Para todas as edições baseadas em x64 com suporte do Windows Server 2008 R2:\ Windows6.1-KB2916036-x64.msu
\ Para todas as edições baseadas em Itanium com suporte do Windows Server 2008 R2:\ Windows6.1-KB2916036-ia64.msu
Opções de instalação Confira o artigo da Base de Dados de Conhecimento Microsoft 934307
Requisitos de reinicialização Em alguns casos, essa atualização não requer uma reinicialização. Se os arquivos necessários estiverem sendo usados, essa atualização exigirá uma reinicialização. Se esse comportamento ocorrer, será exibida uma mensagem informando que você será reiniciado.
Informações de remoção Para desinstalar uma atualização instalada pelo WUSA, use a opção /Desinstalar instalação ou clique em Painel de Controle, clique em Sistema e Segurança e, em Windows Update, clique em Exibir atualizações instaladas e selecione na lista de atualizações.
Informações do arquivo Confira o artigo da Base de Dados de Conhecimento Microsoft 2916036
Verificação de chave do Registro Nota Uma chave do Registro não existe para validar a presença dessa atualização.

 

Windows 8 e Windows 8.1 (todas as edições)

Tabela de referência

A tabela a seguir contém as informações de atualização de segurança para este software.

Nome do arquivo de atualização de segurança Para todas as edições de 32 bits com suporte do Windows 8:\ Windows8-RT-KB2916036-x86.msu
\ Para todas as edições baseadas em x64 com suporte do Windows 8:\ Windows8-RT-KB2916036-x64.msu
\ Para todas as edições de 32 bits com suporte do Windows 8.1:\ Windows8.1-KB2916036-x86.msu
\ Para todas as edições baseadas em x64 com suporte de Windows 8.1:\ Windows8.1-KB2916036-x64.msu
Opções de instalação Confira o artigo da Base de Dados de Conhecimento Microsoft 934307
Requisitos de reinicialização Em alguns casos, essa atualização não requer uma reinicialização. Se os arquivos necessários estiverem sendo usados, essa atualização exigirá uma reinicialização. Se esse comportamento ocorrer, será exibida uma mensagem informando que você será reiniciado.
Informações de remoção Para desinstalar uma atualização instalada pelo WUSA, use a opção /Desinstalar instalação ou clique em Painel de Controle, clique em Sistema e Segurança, clique em Windows Update e, em Ver também, clique em Atualizações instaladas e selecione na lista de atualizações.
Informações do arquivo Confira o artigo da Base de Dados de Conhecimento Microsoft 2916036
Verificação de chave do Registro Nota Uma chave do Registro não existe para validar a presença dessa atualização.

 

Windows Server 2012 e Windows Server 2012 R2 (todas as edições)

Tabela de referência

A tabela a seguir contém as informações de atualização de segurança para este software.

Nome do arquivo de atualização de segurança Para todas as edições com suporte do Windows Server 2012:\ Windows8-RT-KB2916036-x64.msu
\ Para todas as edições com suporte do Windows Server 2012 R2:\ Windows8.1-KB2916036-x64.msu
Opções de instalação Confira o artigo da Base de Dados de Conhecimento Microsoft 934307
Requisitos de reinicialização Em alguns casos, essa atualização não requer uma reinicialização. Se os arquivos necessários estiverem sendo usados, essa atualização exigirá uma reinicialização. Se esse comportamento ocorrer, será exibida uma mensagem informando que você será reiniciado.
Informações de remoção Para desinstalar uma atualização instalada pelo WUSA, use a opção /Desinstalar instalação ou clique em Painel de Controle, clique em Sistema e Segurança, clique em Windows Update e, em Ver também, clique em Atualizações instaladas e selecione na lista de atualizações.
Informações do arquivo Confira o artigo da Base de Dados de Conhecimento Microsoft 2916036
Verificação de chave do Registro Nota Uma chave do Registro não existe para validar a presença dessa atualização.

 

Windows RT e Windows RT 8.1 (todas as edições)

A tabela a seguir contém as informações de atualização de segurança para este software.

Implantação Essas atualizações estão disponíveis apenas por meio de Windows Update.
Requisito de reinicialização Em alguns casos, essa atualização não requer uma reinicialização. Se os arquivos necessários estiverem sendo usados, essa atualização exigirá uma reinicialização. Se esse comportamento ocorrer, será exibida uma mensagem informando que você será reiniciado.
Informações de remoção Clique Painel de Controle, clique em Sistema e Segurança, clique em Windows Update e, em Ver também, clique em Atualizações instaladas e selecione na lista de atualizações.
Informações do arquivo Confira o artigo da Base de Dados de Conhecimento Microsoft 2916036

Agradecimentos

A Microsoft agradece o seguinte por trabalhar conosco para ajudar a proteger os clientes:

  • FireEye, Inc. para trabalhar conosco na Vulnerabilidade de Divulgação de Informações MSXML (CVE-2014-0266)

Outras Informações

MAPP (Microsoft Active Protections Program)

Para melhorar as proteções de segurança para os clientes, a Microsoft fornece informações de vulnerabilidade para os principais provedores de software de segurança antes de cada versão mensal de atualização de segurança. Os provedores de software de segurança podem usar essas informações de vulnerabilidade para fornecer proteções atualizadas aos clientes por meio de seus softwares ou dispositivos de segurança, como antivírus, sistemas de detecção de intrusão baseados em rede ou sistemas de prevenção de intrusão baseados em host. Para determinar se as proteções ativas estão disponíveis em provedores de software de segurança, acesse os sites de proteções ativas fornecidos pelos parceiros do programa, listados em Parceiros do MAPP (Microsoft Active Protections Program).

Suporte

Como obter ajuda e suporte para esta atualização de segurança

Isenção de responsabilidade

As informações fornecidas na Base de Dados de Conhecimento Microsoft são fornecidas "como estão" sem garantia de qualquer tipo. A Microsoft se isenta de todas as garantias, expressas ou implícitas, incluindo as garantias de comercialização e adequação para uma finalidade específica. Em nenhum caso, a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, incluindo danos diretos, indiretos, incidentais, conseqüentes, perda de lucros comerciais ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido avisados da possibilidade de tais danos. Alguns estados não permitem a exclusão ou limitação de responsabilidade por danos conseqüentes ou incidentais, portanto, a limitação anterior pode não se aplicar.

Revisões

  • V1.0 (11 de fevereiro de 2014): Boletim publicado.
  • V1.1 (28 de fevereiro de 2014): Boletim revisado para anunciar uma alteração de detecção na atualização 2916036 para Windows 8.1 para sistemas de 32 bits, Windows 8.1 para sistemas baseados em x64, Windows Server 2012 R2 e Windows RT 8.1. Essa é apenas uma alteração de detecção. Não houve alterações nos arquivos de atualização. Os clientes que já atualizaram seus sistemas com êxito não precisam tomar nenhuma ação.

Página gerada 2014-06-25 13:34Z-07:00.