Assessoria de Segurança
Comunicado de Segurança da Microsoft 2501584
Lançamento da Validação de Arquivo do Microsoft Office para Microsoft Office
Publicado: terça-feira, 12 de abril de 2011 | Atualizado: June 30, 2011
Versão: 2.0
Informações Gerais
Resumo Executivo
A Microsoft está anunciando a disponibilidade do recurso Validação de Arquivo do Office para edições com suporte do Microsoft Office 2003 e Microsoft Office 2007. O recurso, anteriormente disponível apenas para edições com suporte do Microsoft Office 2010, foi projetado para tornar mais fácil para os clientes se protegerem de arquivos do Office que podem conter dados malformados, como arquivos do Office não solicitados recebidos de fontes desconhecidas ou conhecidas, verificando e validando arquivos antes de serem abertos.
O recurso Validação de Arquivo do Office descrito neste comunicado se aplica ao abrir um arquivo do Office usando o Microsoft Excel 2003, Microsoft PowerPoint 2003, Microsoft Word 2003, Microsoft Publisher 2003, Microsoft Excel 2007, Microsoft PowerPoint 2007, Microsoft Word 2007 ou Microsoft Publisher 2007.
A Validação de Arquivo do Office ajuda a detetar e prevenir um tipo de exploração conhecido como ataque de formato de arquivo. Os ataques de formato de arquivo exploram a integridade de um arquivo e ocorrem quando a estrutura de um arquivo é modificada com a intenção de adicionar código mal-intencionado. Normalmente, o código malicioso é executado remotamente e é usado para elevar o privilégio de contas restritas no computador. Como resultado, um invasor pode obter acesso a um computador que não estava acessível anteriormente. Isso pode permitir que um invasor leia informações confidenciais da unidade de disco rígido do computador ou instale malware, como um worm ou um programa de registro de chaves. O recurso Validação de Arquivo do Office ajuda a evitar ataques de formato de arquivo verificando e validando arquivos antes de serem abertos. Para validar ficheiros, a Validação de Ficheiros do Office compara a estrutura de um ficheiro com um esquema de ficheiro predefinido, que é um conjunto de regras que definem o aspeto de um ficheiro legível. Se a Validação de Arquivo do Office detetar que a estrutura de um arquivo não segue todas as regras descritas no esquema, o arquivo não passará na validação.
Os ataques de formato de arquivo ocorrem com mais freqüência em arquivos armazenados em formatos de arquivo binários do Office. Por esse motivo, a Validação de Arquivo do Office verifica e valida os seguintes tipos de arquivos:
- Arquivos de pasta de trabalho do Excel 2.0, Excel 3.0, Excel 4.0, Excel 5.0, Excel 97-2003. Esses tipos de arquivos têm uma extensão .xls e incluem todos os arquivos Binary Interchange File Format 2 (BIFF2), BIFF3, BIFF4 e BIFF8.
- Arquivos de modelo do Excel 2.0, Excel 3.0, Excel 4.0, Excel 5.0, Excel 97-2003. Esses tipos de arquivos têm uma extensão .xlt e incluem arquivos BIFF2, BIFF3, BIFF4 e BIFF8.
- Arquivos de apresentação do PowerPoint 97-2003. Esses arquivos têm uma extensão de .ppt.
- PowerPoint 97-2003 Mostrar ficheiros. Esses arquivos têm uma extensão de .pps.
- Arquivos de modelo do PowerPoint 97-2003. Esses arquivos têm uma extensão .pot.
- Ficheiros de documentos do Word 6.0, Word 7.0 e Word 97-2003. Esses arquivos têm uma extensão .doc.
- Ficheiros de modelo do Word 6.0, Word 7.0 e Word 97-2003. Esses arquivos têm uma extensão .dot.
Por padrão, os arquivos que falham na validação geram a seguinte mensagem de aviso:
Office File Validation detected a problem trying to open the file. Abri-lo pode ser perigoso.
Os ficheiros que falham na validação não abrem; No entanto, por padrão, o usuário tem a opção de abrir o arquivo de qualquer maneira. Optar por abrir um arquivo que falhou na validação não é recomendado, pois o arquivo pode ser mal-intencionado.
Detalhes do Comunicado
Software relacionado
Este comunicado descreve o seguinte software.
| Software afetado |
|---|
| Microsoft Office 2003 Service Pack 3 |
| Microsoft Office 2007 Service Pack 2 |
Perguntas Mais Frequentes
Por que este comunicado foi revisado em 30 de junho de 2011?
A Microsoft revisou este comunicado para anunciar que, a partir de 28 de junho de 2011, o Suplemento de Validação de Arquivo do Office descrito no Artigo 2501584 da Base de Dados de Conhecimento Microsoft estará disponível por meio do serviço Microsoft Update .
Os clientes podem instalar o Suplemento de Validação de Arquivo do Office verificando online se há atualizações do Microsoft Update ou usando o serviço Microsoft Update . Os clientes que já instalaram o Suplemento de Validação de Arquivo do Office manualmente não receberão o suplemento e não precisarão executar ações adicionais.
Qual é o âmbito do aconselhamento?
Para anunciar a disponibilidade e detalhar detalhadamente a finalidade do recurso de Validação de Arquivo do Microsoft Office para Microsoft Office 2003 e Microsoft Office 2007.
Existem problemas conhecidos com o recurso de Validação de Arquivo do Microsoft Office?
O Artigo 2501584 da Base de Dados de Conhecimento Microsoft documenta os problemas atualmente conhecidos que os clientes podem enfrentar ao utilizar o recurso de Validação de Arquivo do Office.
Como é que a Validação de Ficheiros do Office protege?
A Validação de Arquivo do Office ajuda a detetar e prevenir um tipo de exploração conhecido como ataque de formato de arquivo. Os ataques de formato de arquivo exploram a integridade de um arquivo e ocorrem quando a estrutura de um arquivo é modificada com a intenção de adicionar código mal-intencionado. Normalmente, o código malicioso é executado remotamente e é usado para elevar o privilégio de contas restritas no computador. Como resultado, um invasor pode obter acesso a um computador que não estava acessível anteriormente. Isso pode permitir que um invasor leia informações confidenciais da unidade de disco rígido do computador ou instale malware, como um worm ou um programa de registro de chaves. O recurso Validação de Arquivo do Office ajuda a evitar ataques de formato de arquivo verificando e validando arquivos antes de serem abertos. Para validar ficheiros, a Validação de Ficheiros do Office compara a estrutura de um ficheiro com um esquema de ficheiro predefinido, que é um conjunto de regras que definem o aspeto de um ficheiro legível. Se a Validação de Arquivo do Office detetar que a estrutura de um arquivo não segue todas as regras descritas no esquema, o arquivo não passará na validação.
Os ficheiros que falham na validação não abrem automaticamente. Em vez disso, o usuário tem que clicar através de um aviso indicando que abrir o arquivo pode ser perigoso, a fim de abrir o arquivo.
Como as atualizações de segurança lançadas em 12 de abril de 2011 se relacionam com o recurso Validação de Arquivo do Office?
As atualizações de segurança lançadas para as edições 2003 e 2007 com suporte do Microsoft Excel, Microsoft PowerPoint e Microsoft Office, respectivamente, nos boletins MS11-021, MS11-022 e MS11-023 são pré-requisitos para habilitar o recurso Validação de Arquivo do Office.
Não houve atualizações de segurança lançadas em 12 de abril de 2011 para o Microsoft Word e o Microsoft Publisher. Onde estão as atualizações para o Microsoft Word e o Microsoft Publisher?
As atualizações para oferecer suporte à Validação de Arquivo do Office no Microsoft Word 2003, Microsoft Word 2007, Microsoft Publisher 2003 e Microsoft Publisher 2007 estão disponíveis como downloads separados e são pré-requisitos para habilitar o recurso Validação de Arquivo do Office. Para obter links de download, consulte o artigo do TechNet, Validação de arquivo do Office para Office 2003 e Office 2007.
O que é o suplemento Validação de Arquivo do Office?
O suplemento Validação de Arquivo do Office fornece a estrutura e os arquivos de definição para o recurso Validação de Arquivo do Office. O recurso Validação de Arquivo do Office funciona para aplicativos específicos do Office quando o suplemento Validação de Arquivo do Office é instalado, além de todas as atualizações de pré-requisitos para o Microsoft Office e os respetivos aplicativos do Office.
Como posso instalar o suplemento Validação de Ficheiros do Office e as atualizações de pré-requisitos?
Para obter informações sobre como instalar manualmente o Suplemento de Validação de Arquivo do Office e as atualizações de pré-requisitos, consulte o artigo do TechNet, Validação de Arquivo do Office para Office 2003 e Office 2007.
A partir de 28 de junho de 2011, o Suplemento de Validação de Arquivo do Office também pode ser instalado verificando online se há atualizações do Microsoft Update ou usando o serviço Microsoft Update .
Posso usar esse novo recurso com o Microsoft Office XP?
N.º A arquitetura para suportar corretamente a Validação de Arquivo do Office não existe no Microsoft Office XP, tornando inviável criar o recurso para produtos do Microsoft Office XP. Para fazer isso, seria necessário rearquitetar uma quantidade significativa de Microsoft Office XP. O produto de tal esforço poderia introduzir suficientemente uma incompatibilidade com outros aplicativos que não haveria garantia de que esses produtos do Microsoft Office continuariam a funcionar como projetado no sistema atualizado.
Como este comunicado se relaciona com a Validação de Arquivo do Office para Microsoft Office 2010?
Embora este comunicado não se aplique ao recurso de Validação de Arquivo do Office para o Microsoft Office 2010, a Microsoft lançou soluções automatizadas do Microsoft Fix it que podem ser usadas para configurar a Validação de Arquivo do Office para edições com suporte do Microsoft Office 2003, Microsoft Office 2007 e Microsoft Office 2010. Essas soluções automatizadas do Microsoft Fix it estão disponíveis no artigo da base de dados de conhecimento associado a este comunicado, o artigo 2501584 da Base de Dados de Conhecimento Microsoft.
Como posso alterar as definições de Validação de Ficheiros do Office?
Está disponível uma definição de chave de registo que permite aos administradores alterar a forma como os documentos se comportam quando um ficheiro falha na validação. Ao modificar a configuração do Registro, uma das seguintes opções pode ser selecionada:
Bloquear arquivos e avisar o usuário (padrão)
Os ficheiros que falham na validação não abrem; no entanto, o usuário tem a opção de abrir o arquivo de qualquer maneira.Observação O comportamento acima está no Microsoft Office 2003 e Microsoft Office 2007 e é diferente do comportamento no Microsoft Office 2010. No Microsoft Office 2010, os arquivos que falham na validação são abertos no Modo de Exibição Protegido, o usuário deve clicar em várias mensagens de aviso antes que o arquivo possa ser aberto para edição.
Bloqueie completamente os ficheiros
Os ficheiros que falham na validação são impedidos de abrir.Observação O comportamento acima está no Microsoft Office 2003 e Microsoft Office 2007 e é diferente do comportamento no Microsoft Office 2010. No Microsoft Office 2010, os arquivos que falham na validação são abertos no Modo de Exibição Protegido, e o usuário é impedido de abrir o arquivo para edição.
Para obter mais informações sobre as configurações de Validação de Arquivo do Office e para usar as soluções automatizadas do Microsoft Fix it para definir as configurações de Validação de Arquivo do Office, consulte o artigo 2501584 da Base de Dados de Conhecimento Microsoft.
Como posso desativar a Validação de Ficheiros do Office?
Pode desativar a Validação de Ficheiros do Office definindo chaves de registo específicas para desativar a Validação de Ficheiros do Office. As chaves do Registro devem ser configuradas por aplicativo para Excel 2003, PowerPoint 2003, Word 2003, Excel 2007, PowerPoint 2007 e Word 2007. Essas chaves do Registro impedem que os arquivos armazenados no formato de arquivo binário do Office sejam verificados e validados. Por exemplo, se você desabilitar a Validação de Arquivo do Office para Excel 2007, a Validação de Arquivo do Office não verificará nem validará arquivos de Pasta de Trabalho do Excel 97-2003, arquivos de Modelo do Excel 97-2003 ou arquivos do Microsoft Excel 5.0/95. Se um usuário abrir um desses tipos de arquivo e o arquivo contiver um ataque de formato de arquivo, o ataque não será detetado ou impedido, a menos que algum outro controle de segurança detete e impeça tal ataque.
Para obter informações sobre como desativar o recurso de Validação de Arquivo do Office, consulte o artigo do TechNet, Validação de Arquivo do Office para Office 2003 e Office 2007.
A Microsoft não recomenda desativar a Validação de Arquivo do Office. A Validação de Arquivo do Office é uma parte fundamental da estratégia de defesa em camadas no Microsoft Office e deve ser habilitada em todos os computadores de uma organização. No Microsoft Office 2007, para clientes que desejam impedir que os arquivos sejam validados pelo recurso Validação de Arquivo do Office, a Microsoft recomenda o uso do recurso Locais Confiáveis. Os ficheiros abertos a partir de localizações fidedignas ignoram as verificações de Validação de Ficheiros do Office.
Como o recurso Validação de Arquivo do Office altera a experiência do usuário ao abrir e inserir arquivos no Microsoft Publisher?
Ao abrir arquivos do Publisher, o recurso Validação de Arquivo do Office não altera o comportamento do Microsoft Publisher 2003 e do Microsoft Publisher 2007 porque o Microsoft Publisher já verifica e valida arquivos do Publisher quando abertos, independentemente de o recurso Validação de Arquivo do Office estar habilitado ou não. No entanto, o comportamento ao inserir documentos do Word no Microsoft Publisher é alterado pelo recurso de validação de arquivo do Office. Ao tentar inserir arquivos binários formatados do Word no Microsoft Publisher 2003 ou Microsoft Publisher 2007, os arquivos que falharem na validação não são inseridos no Microsoft Publisher. Em vez disso, o usuário tem que clicar em um aviso indicando que abrir o arquivo pode ser perigoso, a fim de inserir o arquivo.
Ações Sugeridas
Consulte o artigo do TechNet, Validação de Arquivo do Office para Office 2003 e Office 2007, para obter informações sobre implantação, instalação e configuração do recurso Validação de Arquivo do Office para Microsoft Office 2003 e Microsoft Office 2007.
Outras informações
Comentários
- Você pode fornecer comentários preenchendo o formulário de Ajuda e Suporte da Microsoft, Atendimento ao Cliente Fale Conosco.
Suporte
- Os clientes nos Estados Unidos e Canadá podem receber suporte técnico do Suporte de Segurança. Para obter mais informações sobre as opções de suporte disponíveis, consulte a Ajuda e Suporte da Microsoft.
- Os clientes internacionais podem receber suporte de suas subsidiárias locais da Microsoft. Para obter mais informações sobre como entrar em contato com a Microsoft para problemas de suporte internacional, visite Suporte internacional.
- O Microsoft TechNet Security fornece informações adicionais sobre segurança em produtos Microsoft.
Exclusão de Responsabilidade
As informações fornecidas neste comunicado são fornecidas "no estado em que se encontram", sem garantia de qualquer tipo. A Microsoft se isenta de todas as garantias, expressas ou implícitas, incluindo as garantias de comercialização e adequação a uma finalidade específica. Em nenhuma circunstância a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, incluindo danos diretos, indiretos, incidentais, consequenciais, perda de lucros comerciais ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido avisados da possibilidade de tais danos. Alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou incidentais, portanto, a limitação acima pode não se aplicar.
Revisões
- V1.0 (12 de abril de 2011): Comunicado publicado.
- V2.0 (30 de junho de 2011): Anunciado que o Suplemento de Validação de Arquivo do Office descrito no Artigo 2501584 da Base de Dados de Conhecimento Microsoft está disponível através do serviço Microsoft Update.
Construído em 2014-04-18T13:49:36Z-07:00