Launch Printer Friendly Page Security TechCenter > Boletins de segurança > Microsoft Security Bulletin MS12-060

Microsoft Security Bulletin MS12-060 - Crítica

Vulnerabilidade nos controles comuns do Windows pode permitir a execução remota de código (2720573)

Publicado: | Atualizado:

Versão: 2.1

Informações Gerais

Sinopse

Esta atualização de segurança elimina uma vulnerabilidade relatada em particular nos controles comuns do Windows. A vulnerabilidade pode permitir a execução remota de código se um usuário visitar um site contendo conteúdo especialmente criado projetado para explorar a vulnerabilidade. No entanto, em todos os casos, um invasor não teria como forçar os usuários a visitarem tal site. Em vez disso, o invasor teria que convencer os usuários a visitar o site, geralmente fazendo com que eles cliquem em um link em um e-mail ou mensagem do Instant Messenger que leva o usuário ao site do invasor. O arquivo mal-intencionado pode ser enviado também como um anexo de email, mas o invasor teria que convencer o usuário a abrir o anexo para explorar a vulnerabilidade.

Esta atualização de segurança é classificada como Crítica para todos os softwares com suporte da Microsoft que incluía os controles comuns do Windows em suas instalações padrão. Isso inclui todas as edições com suporte do Microsoft Office 2003, Microsoft Office 2007; Microsoft Office 2010 (exceto as edições baseadas em x64); Microsoft SQL Server 2000 Analysis Services, Microsoft SQL Server 2000 (exceto as edições baseadas em Itanium), Microsoft SQL Server 2005 (exceto Microsoft SQL Server 2005 Express Edition, mas incluindo o Microsoft SQL Server 2005 Express Edition com Serviços Avançados), Microsoft SQL Server 2008, Microsoft SQL Server 2008 R2, Microsoft Commerce Server 2002, Microsoft Commerce Server 2007, Microsoft Commerce Server 2009, Microsoft Commerce Server 2009 R2, Microsoft Host Integration Server 2004 Service Pack 1, Microsoft Visual FoxPro 8.0, Microsoft Visual FoxPro 9.0 e Tempo de Execução do Visual Basic 6.0. Para obter mais informações, consulte a subseção Softwares afetados e não afetados, nesta seção.

A atualização de segurança elimina a vulnerabilidade desabilitando a versão vulnerável dos controles comuns do Windows e substituindo-os por uma versão nova que não contém a vulnerabilidade. Para obter mais informações sobre a vulnerabilidade, consulte a subseção Perguntas frequentes relacionada à entrada da vulnerabilidade específica presente na próxima seção, Informações sobre a vulnerabilidade.

Recomendação. Os clientes podem configurar a atualização automática para procurar atualizações online do Microsoft Update, usando o serviço Microsoft Update. Os clientes com a atualização automática habilitada e configurada para procurar atualizações online a partir do Microsoft Update geralmente não precisarão tomar nenhuma providência porque esta atualização de segurança será baixada e instalada automaticamente. Os clientes que não têm o recurso de atualizações automáticas habilitado precisarão verificar as atualizações do Microsoft Update e instalar esta atualização manualmente. Para obter informações sobre opções de configuração específicas na atualização automática em edições com suporte do Windows XP e Windows Server 2003, consulte o Artigo 294871 (em inglês) da Microsoft Knowledge Base. Para obter informações sobre a atualização automática nas edições com suporte do Windows Vista, Windows Server 2008, Windows 7 e Windows Server 2008 R2, consulte Understanding Windows automatic updating.

Para instalações feitas por administradores ou empresas, ou por usuários finais que desejam instalar esta atualização de segurança manualmente, a Microsoft recomenda que os clientes apliquem a atualização imediatamente usando software de gerenciamento de atualização ou verificando se há atualizações no serviço Microsoft Update.

Consulte também a seção Orientação e ferramentas de detecção e implantação mais adiante neste boletim.

Problemas conhecidos. O Artigo 2720573 (em inglês) da Microsoft Knowledge Base documenta os problemas atualmente conhecidos que os clientes podem enfrentar ao instalar esta atualização de segurança. O artigo também documenta as soluções recomendadas para esses problemas. Quando problemas atualmente conhecidos e soluções recomendadas pertencem somente a lançamentos específicos deste software, este artigo fornece links para outros artigos.

Softwares afetados e não afetados

Os softwares a seguir foram testados para determinar quais versões ou edições foram afetadas. O ciclo de vida do suporte das outras versões ou edições já terminou ou elas não são afetadas. Para determinar o ciclo de vida do suporte para sua versão ou edição de software, visite o site Ciclo de vida do suporte Microsoft.

Softwares afetados

Microsoft Office Suites e software

Software OfficeImpacto máximo à segurançaAvaliação de gravidade agregadaAtualizações substituídas
Microsoft Office Suites e componentes
Microsoft Office 2003 Service Pack 3
(Controles comuns do Windows)
(KB2726929)
Execução remota de códigoCríticaKB2597112 do boletim MS12-027 substituído por KB2687323 ou KB2726929
Microsoft Office 2003 Web Components Service Pack 3
(Controles comuns do Windows)
(KB2726929)
Execução remota de códigoCríticaKB2597112 do boletim MS12-027 substituído por KB2687323 ou KB2726929
Microsoft Office 2007 Service Pack 2
(Controles comuns do Windows)
(KB2687441)
Execução remota de códigoCríticaKB2598041 do boletim MS12-027 substituído por KB2687441
Microsoft Office 2007 Service Pack 3
(Controles comuns do Windows)
(KB2687441)
Execução remota de códigoCríticaKB2598041 do boletim MS12-027 substituído por KB2687441
Microsoft Office 2010 Service Pack 1 (edições de 32 bits)
(Controles comuns do Windows)
(KB2597986)
Execução remota de códigoCríticaKB2598039 do boletim MS12-027 substituído por KB2597986

Software Microsoft SQL Server

Atualizações de software GDRAtualizações de software QFEImpacto máximo à segurançaAvaliação de gravidade agregadaAtualizações substituídas
Microsoft SQL Server 2000
Microsoft SQL Server 2000 Service Pack 4
(KB983812)
Microsoft SQL Server 2000 Service Pack 4
(KB983811)
Execução remota de códigoCríticaKB983808 do boletim MS12-027 substituído por KB983812

KB983809 do boletim MS12-027 substituído por KB983811

Componentes do Microsoft SQL Server

Microsoft SQL ServerImpacto máximo à segurançaAvaliação de gravidade agregadaAtualizações substituídas
Microsoft SQL Server 2000
Microsoft SQL Server 2000 Analysis Services Service Pack 4
(KB983813)
Execução remota de códigoCríticaKB983807 do boletim MS12-027 substituído por KB983813
Microsoft SQL Server 2005
Microsoft SQL Server 2005 Express Edition com Advanced Services Service Pack 4[1]
(Controles comuns do Windows)
(KB2726929)
Execução remota de códigoCríticaKB2597112 do boletim MS12-027 substituído por KB2687323 ou KB2726929
Microsoft SQL Server 2005 para sistemas de 32 bits Service Pack 4[1]
(Controles comuns do Windows)
(KB2726929)
Execução remota de códigoCríticaKB2597112 do boletim MS12-027 substituído por KB2687323 ou KB2726929
Microsoft SQL Server 2005 para sistemas baseados em x64 Service Pack 4[1]
(Controles comuns do Windows)
(KB2726929)
Execução remota de códigoCríticaKB2597112 do boletim MS12-027 substituído por KB2687323 ou KB2726929
Microsoft SQL Server 2005 para sistemas baseados em Itanium Service Pack 4[1]
(Controles comuns do Windows)
(KB2726929)
Execução remota de códigoCríticaKB2597112 do boletim MS12-027 substituído por KB2687323 ou KB2726929
Microsoft SQL Server 2008
Microsoft SQL Server 2008 para sistemas de 32 bits Service Pack 2[2]
(Controles comuns do Windows)
(KB2687441)
Execução remota de códigoCríticaKB2598041 do boletim MS12-027 substituído por KB2687441
Microsoft SQL Server 2008 para sistemas de 32 bits Service Pack 3[2]
(Controles comuns do Windows)
(KB2687441)
Execução remota de códigoCríticaKB2598041 do boletim MS12-027 substituído por KB2687441
Microsoft SQL Server 2008 para sistemas baseados em x64 Service Pack 2[2]
(Controles comuns do Windows)
(KB2687441)
Execução remota de códigoCríticaKB2598041 do boletim MS12-027 substituído por KB2687441
Microsoft SQL Server 2008 para sistemas baseados em x64 Service Pack 3[2]
(Controles comuns do Windows)
(KB2687441)
Execução remota de códigoCríticaKB2598041 do boletim MS12-027 substituído por KB2687441
Microsoft SQL Server 2008 para sistemas baseados em Itanium Service Pack 2[2]
(Controles comuns do Windows)
(KB2687441)
Execução remota de códigoCríticaKB2598041 do boletim MS12-027 substituído por KB2687441
Microsoft SQL Server 2008 para sistemas baseados em Itanium Service Pack 3[2]
(Controles comuns do Windows)
(KB2687441)
Execução remota de códigoCríticaKB2598041 do boletim MS12-027 substituído por KB2687441
Microsoft SQL Server 2008 R2
Microsoft SQL Server 2008 R2 para sistemas de 32 bits[2]
(Controles comuns do Windows)
(KB2687441)
Execução remota de códigoCríticaKB2598041 do boletim MS12-027 substituído por KB2687441
Microsoft SQL Server 2008 R2 para sistemas de 32 bits Service Pack 1[2]
(Controles comuns do Windows)
(KB2687441)
Execução remota de códigoCríticaKB2598041 do boletim MS12-027 substituído por KB2687441
Microsoft SQL Server 2008 R2 para sistemas de 32 bits Service Pack 2[2]
(Controles comuns do Windows)
(KB2687441)
Execução remota de códigoCríticaNenhuma
Microsoft SQL Server 2008 R2 para sistemas baseados em x64[2]
(Controles comuns do Windows)
(KB2687441)
Execução remota de códigoCríticaKB2598041 do boletim MS12-027 substituído por KB2687441
Microsoft SQL Server 2008 R2 para sistemas baseados em x64 Service Pack 1[2]
(Controles comuns do Windows)
(KB2687441)
Execução remota de códigoCríticaKB2598041 do boletim MS12-027 substituído por KB2687441
Microsoft SQL Server 2008 R2 para sistemas baseados em x64 Service Pack 2[2]
(Controles comuns do Windows)
(KB2687441)
Execução remota de códigoCríticaNenhuma
Microsoft SQL Server 2008 R2 para sistemas baseados em Itanium[2]
(Controles comuns do Windows)
(KB2687441)
Execução remota de códigoCríticaKB2598041 do boletim MS12-027 substituído por KB2687441
Microsoft SQL Server 2008 R2 para sistemas baseados em Itanium Service Pack 1[2]
(Controles comuns do Windows)
(KB2687441)
Execução remota de códigoCríticaKB2598041 do boletim MS12-027 substituído por KB2687441
Microsoft SQL Server 2008 R2 para sistemas baseados em Itanium Service Pack 2[2]
(Controles comuns do Windows)
(KB2687441)
Execução remota de códigoCríticaNenhuma

[1] Esta atualização é a mesma da atualização do Microsoft Office 2003

[2] Esta atualização é a mesma da atualização do Microsoft Office 2007

Outro software para servidores da Microsoft

Software para servidoresImpacto máximo à segurançaAvaliação de gravidade agregadaAtualizações substituídas
Microsoft Commerce Server
Microsoft Commerce Server 2002 Service Pack 4
(KB2716389)
Execução remota de códigoCríticaKB2645025 do boletim MS12-027 substituído por KB2716389
Microsoft Commerce Server 2007 Service Pack 2
(KB2716390)
Execução remota de códigoCríticaKB2658677 do boletim MS12-027 substituído por KB2716390
Microsoft Commerce Server 2009
(KB2716392)
Execução remota de códigoCríticaKB2655547 do boletim MS12-027 substituído por KB2716392
Microsoft Commerce Server 2009 R2
(KB2716393)
Execução remota de códigoCríticaKB2658676 do boletim MS12-027 substituído por KB2716393
Microsoft Host Integration Server
Microsoft Host Integration Server 2004 Service Pack 1
(KB2711207)
Execução remota de códigoCríticaNenhuma

Software e Ferramentas do Microsoft Developer

SoftwareImpacto máximo à segurançaAvaliação de gravidade agregadaAtualizações substituídas
Microsoft Visual FoxPro
Microsoft Visual FoxPro 8.0 Service Pack 1
(KB2708940)
Execução remota de códigoCríticaKB2647488 do boletim MS12-027 substituído por KB2708940
Microsoft Visual FoxPro 9.0 Service Pack 2
(KB2708941)
Execução remota de códigoCríticaKB2647490 do boletim MS12-027 substituído por KB2708941
Visual Basic
Visual Basic 6.0 Runtime
(KB2708437)
Execução remota de códigoCríticaKB2641426 do boletim MS12-027 substituído por KB2708437

Softwares não afetados

Office e outros softwares
Microsoft Office 2010 (edições de 64 bits) Service Pack 1
Microsoft Office Web Apps
Microsoft Works 9
Microsoft Office 2008 para Mac
Microsoft Office for Mac 2011
Microsoft SQL Server 2000 Itanium Edition Service Pack 4
Microsoft SQL Server 2000 Reporting Services Service Pack 2
Microsoft SQL Server 2000 Desktop Engine (MSDE) no Microsoft Windows Server 2003 Service Pack 2
Microsoft SQL Server 2000 Desktop Engine (MSDE 2000) Service Pack 4
Microsoft SQL Server 2005 Express Edition Service Pack 4
SQL Server Management Studio Express (SSMSE) 2005
Microsoft SQL Server 2008 Management Studio
Microsoft SQL Server 2012 para sistemas de 32 bits
Microsoft SQL Server 2012 para sistemas baseados em x64
Microsoft BizTalk Server 2004
Microsoft BizTalk Server 2006
Microsoft BizTalk Server 2009
Pacote de modelos do Microsoft Commerce Server 2009 para SharePoint 2007
Pacote de modelos do Microsoft Commerce Server 2009 para SharePoint 2010
Microsoft Host Integration Server 2006 Service Pack 1
Microsoft Host Integration Server 2009
Microsoft Host Integration Server 2010
Microsoft Data Engine (MSDE) 1.0
Microsoft Data Engine (MSDE) 1.0 Service Pack 4

Perguntas frequentes relacionadas a esta atualização de segurança

Informações sobre a vulnerabilidade

Classificação de gravidade e Identificadores de vulnerabilidade

Vulnerabilidade de RCE MSCOMCTL.OCX - CVE-2012-1856

Informações da atualização

Orientação e ferramentas de detecção e implantação

Implantação de atualização de segurança

Outras informações

Microsoft Active Protections Program (MAPP)

Para melhorar as proteções de segurança para os clientes, a Microsoft fornece informações sobre vulnerabilidades aos principais fornecedores de software de segurança antes do lançamento de cada atualização de segurança mensal. Assim, os fornecedores de software de segurança podem usar essas informações sobre vulnerabilidades para fornecer proteções atualizadas aos clientes por meio de seus softwares ou dispositivos de segurança, como antivírus, sistemas de detecção de invasões baseados em rede ou sistemas de prevenção de invasões baseados em host. Para determinar se os fornecedores de software de segurança estão disponibilizando proteções ativas, visite os sites de proteções ativas fornecidos pelos parceiros do programa, listados em Parceiros do Microsoft Active Protections Program (MAPP).

Suporte

Como obter ajuda e suporte para esta atualização de segurança

Aviso de isenção de responsabilidade

As informações fornecidas na Microsoft Knowledge Base são apresentadas "no estado em que se encontram", sem garantia de qualquer tipo. A Microsoft se isenta de todas as garantias, expressas ou implícitas, inclusive as garantias de comercialização e adequação a um propósito específico. Em hipótese alguma a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, inclusive danos diretos, indiretos, incidentais, consequenciais, danos por lucros cessantes ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido alertados da possibilidade dos referidos danos. Como alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou indiretos, a limitação acima pode não ser aplicável a você.

Revisões

  • V1.0 (14 de agosto de 2012): Boletim publicado.
  • V1.1 (17 de agosto de 2012): Um link para o artigo 2720573 (em inglês) da Microsoft Knowledge Base foi adicionado à seção Problemas conhecidos na Sinopse.
  • V1.2 (22 de agosto de 2012): Corrigidas as informações de substituição de atualização do Microsoft SQL Server 2000 Analysis Services Service Pack 4. Esta é apenas uma alteração informativa. Não houve alterações à lógica de detecção nem aos arquivos de atualização.
  • V2.0 (11 de dezembro de 2012): Boletim relançado para substituir a atualização KB2687323 pela KB2726929 nos controles comuns do Windows em todas as variantes afetadas do Microsoft Office 2003, Microsoft Office 2003 Web Components e Microsoft SQL Server 2005.
  • V2.1 (30 de janeiro, 2013): Esclarecido que usuários com a atualização KB2687323 receberão a oferta da atualização KB2726929 nos controles comuns do Windows em todas as variantes afetadas do Microsoft Office 2003, Microsoft Office 2003 Web Components e Microsoft SQL Server 2005. Consulte as Perguntas frequentes de atualização para obter detalhes.