Microsoft Security Bulletin MS12-063 - Crítica

A atenuação refere-se a uma configuração, configuração comum ou prática recomendada geral, existindo num estado padrão, que possa reduzir a gravidade de exploração de uma vulnerabilidade. Os fatores de atenuação a seguir podem ser úteis em sua situação:

• Em um cenário de ataque baseado na Web, o invasor pode hospedar um site que contenha uma página da Web usada para explorar essa vulnerabilidade. O invasor pode tirar proveito de sites comprometidos e sites que aceitem ou hospedem conteúdo fornecido pelo usuário ou anúncios podem conter conteúdo especialmente criado que pode explorar esta vulnerabilidade. Em todos os casos, entretanto, o invasor não tem como forçar os usuários a visitar esses sites. Em vez disso, o invasor teria que persuadir os usuários a visitar o site, geralmente fazendo com que eles cliquem em um link em um e-mail ou mensagem do Instant Messenger que leva o usuário ao site do invasor.
• O invasor que explorar com êxito essa vulnerabilidade poderá obter os mesmos direitos que o usuário atual. Os usuários cujas contas são configuradas com poucos direitos de usuário no sistema correm menos riscos do que aqueles que possuem direitos administrativos.
• Por padrão, todas as versões com suporte do Microsoft Outlook, Microsoft Outlook Express e Windows Mail abrem emails em HTML na zona de sites restritos. A zona de sites restritos, que desabilita o script e os controles ActiveX, ajuda a reduzir o risco de um invasor ser capaz de usar esta vulnerabilidade para executar código mal-intencionado. Se um usuário clicar em um link em uma mensagem de email, ele ainda pode estar vulnerável à exploração dessa vulnerabilidade, por meio do cenário de ataque baseado na Web.
• Por padrão, o Internet Explorer no Windows Server 2003, Windows Server 2008 e no Windows Server 2008 R2 é executado em um modo restrito, conhecido como Configuração de Segurança Reforçada. Esse modo atenua a vulnerabilidade. Consulte a seção Perguntas frequentes referente a essa vulnerabilidade para obter mais informações sobre a Configuração de Segurança Reforçada do Internet Explorer.

A solução alternativa refere-se a uma configuração ou alteração de configuração que não corrige a vulnerabilidade subjacente mas que ajudaria a bloquear vetores de ataque conhecidos antes de aplicar a atualização. A Microsoft testou as soluções alternativas e estados a seguir como parte do cenário que implica se uma solução alternativa reduziria funcionalidade:

• Defina as configurações de zona de segurança da Internet e da intranet local como “Alta” para bloquear controles ActiveX e scripts ativos nessas zonas

  Você pode ajudar na proteção contra a exploração dessa vulnerabilidade alterando suas configurações, para que a zona de segurança da Internet bloqueie controles ActiveX e scripts ativos. É possível fazer isso configurando a segurança do navegador como Alta.

  Para aumentar o nível de segurança da navegação no Internet Explorer, siga estas etapas:

  1. No menu Ferramentas do Internet Explorer, clique em Opções da Internet.
  2. Na caixa de diálogo Opções da Internet, clique na guia Segurança e, em seguida, clique em Internet.
  3. Em Nível de segurança para esta zona, mova o controle deslizante para Alto. Isso define o nível de segurança para todos os sites visitados como Alto.
  4. Clique em Intranet local.
  5. Em Nível de segurança para esta zona, mova o controle deslizante para Alto. Isso define o nível de segurança para todos os sites visitados como Alto.
  6. Clique em OK para aceitar as alterações e retornar ao Internet Explorer.

  Observação Se o controle deslizante não estiver visível, clique em Nível padrão e então mova o controle deslizante para Alto.

  Observação A configuração do nível como Alto pode fazer com que alguns sites não funcionem corretamente. Se você encontrar dificuldades ao usar um site após alterar a configuração, mas tiver certeza de que o site é seguro, é possível adicionar esse site à lista de sites confiáveis. Isso permite que o site funcione corretamente, mesmo com a configuração de segurança definida como Alta.

  Impacto da solução alternativa. Há efeitos colaterais ao bloqueio de controles ActiveX e scripts ativos. Muitos sites que não estão na Internet ou na intranet usam controles ActiveX e scripts ativos para fornecer funcionalidade adicional. Por exemplo, um site de comércio eletrônico ou bancário online pode usar controles ActiveX para fornecer menus, formulários de pedidos ou até mesmo extratos de contas. O bloqueio de controles ActiveX ou scripts ativos é uma configuração global que afeta todos os sites da Internet e da intranet. Se você não quiser bloquear controles ActiveX e scripts ativos para esses sites, use os passos descritos em “Adicione sites confiáveis à zona Sites confiáveis do Internet Explorer”.

  Adicione sites confiáveis à zona Sites confiáveis do Internet Explorer

  Depois de definir o Internet Explorer para bloquear controles ActiveX e scripts ativos na zona da Internet e da Intranet local, você pode adicionar sites confiáveis à zona de Sites confiáveis do Internet Explorer. Isso permitirá que você continue usando os sites confiáveis exatamente como faz atualmente, enquanto ajuda a se proteger contra ataques em sites não confiáveis. É recomendável adicionar somente sites nos quais você confia à zona de Sites confiáveis.

  Para isso, execute as seguintes etapas:

  1. No Internet Explorer, clique em Ferramentas, clique em Opções da Internet e, em seguida, clique na guia Segurança.
  2. Na caixa Selecione uma zona de conteúdo da Web para especificar suas configurações de segurança, clique em Sites Confiáveis e, em seguida, clique em Sites.
  3. Se desejar adicionar sites que não requeiram um canal criptografado, clique para desmarcar a caixa de diálogo Exigir verificação do servidor (https:) para todos os sites desta zona.
  4. Na caixa Adicionar este site à zona, digite a URL de um site em que confia e, em seguida, clique em Adicionar.
  5. Repita essas etapas para cada site que você deseja adicionar à zona.
  6. Clique em OK duas vezes para aceitar as alterações e retornar ao Internet Explorer.

  Observação Adicione os sites que você tem certeza de que não realizarão ações mal-intencionadas em seu sistema. Dois em particular que você pode desejar adicionar são *.windowsupdate.microsoft.com e *.update.microsoft.com. Estes são os sites que hospedam a atualização, e é preciso ter um controle ActiveX para instalar a atualização.

• Configure o Internet Explorer para notificá-lo antes da execução de scripts ativos ou desabilite os scripts ativos na zona de segurança da Internet e da intranet local

  Para se proteger contra a exploração dessa vulnerabilidade, altere as configurações para ser notificado antes da execução de scripts ativos ou desabilite os scripts ativos na zona de segurança da Internet e da intranet local. Para isso, execute as seguintes etapas:

  1. No Internet Explorer, clique em Opções da Internet no menu Ferramentas.
  2. Clique na guia Segurança.
  3. Clique em Internet e, em seguida, clique em Nível Personalizado.
  4. Em Configurações, na seção Script, em Scripts Ativos, clique em Avisar  ou Desativar e, em seguida, clique em OK.
  5. Clique em Intranet local e, em seguida, clique em Nível Personalizado.
  6. Em Configurações, na seção Script, em Scripts Ativos, clique em Avisar  ou Desativar e, em seguida, clique em OK.
  7. Clique em OK duas vezes para retornar ao Internet Explorer.

  Observação Desabilitar os scripts ativos nas zonas de segurança da Internet e da intranet local poderá fazer com que alguns sites não funcionem corretamente. Se você encontrar dificuldades ao usar um site após alterar a configuração, mas tiver certeza de que o site é seguro, é possível adicionar esse site à lista de sites confiáveis. Isso permitirá que o site funcione adequadamente.

  Impacto da solução alternativa. Há efeitos colaterais para notificação antes da execução de scripts ativos. Muitos sites que não estão na Internet ou na intranet usam scripts ativos para fornecer funcionalidade adicional. Por exemplo, um site de comércio eletrônico ou bancário online pode usar controles ActiveX para fornecer menus, formulários de pedidos ou até mesmo extratos de contas. A notificação antes da execução dos scripts ativos é uma configuração global que afeta todos os sites da Internet e da intranet. Você será notificado frequentemente quando ativar essa solução alternativa. Para cada notificação, se achar que confia no site que está visitando, clique em Sim para executar os scripts ativos. Se não quiser ser avisado para todos esses sites, use os passos descritos em “Adicione sites confiáveis à zona Sites confiáveis do Internet Explorer”.

  Adicione sites confiáveis à zona Sites confiáveis do Internet Explorer

  Depois de definir o Internet Explorer para solicitar confirmação antes de executar controles ActiveX e scripts ativos na zona da Internet e da Intranet local, você pode adicionar sites confiáveis à zona de Sites confiáveis do Internet Explorer. Isso permitirá que você continue usando os sites confiáveis exatamente como faz atualmente, enquanto ajuda a proteger-se de ataques em sites não confiáveis. É recomendável adicionar somente sites nos quais você confia à zona de Sites confiáveis.

  Para isso, execute as seguintes etapas:

  1. No Internet Explorer, clique em Ferramentas, clique em Opções da Internet e, em seguida, clique na guia Segurança.
  2. Na caixa Selecione uma zona de conteúdo da Web para especificar suas configurações de segurança, clique em Sites Confiáveis e, em seguida, clique em Sites.
  3. Se desejar adicionar sites que não requeiram um canal criptografado, clique para desmarcar a caixa de diálogo Exigir verificação do servidor (https:) para todos os sites desta zona.
  4. Na caixa Adicionar este site à zona, digite a URL de um site em que confia e, em seguida, clique em Adicionar.
  5. Repita essas etapas para cada site que você deseja adicionar à zona.
  6. Clique em OK duas vezes para aceitar as alterações e retornar ao Internet Explorer.

  Observação Adicione os sites que você tem certeza de que não realizarão ações mal-intencionadas em seu sistema. Dois em particular que você pode desejar adicionar são *.windowsupdate.microsoft.com e *.update.microsoft.com. Estes são os sites que hospedam a atualização, e é preciso ter um controle ActiveX para instalar a atualização.

Qual é o escopo da vulnerabilidade? 
Essa é uma vulnerabilidade de execução remota de código no contexto do usuário atual.

O que provoca a vulnerabilidade? 
Quando o Internet Explorer tenta acessar um objeto na memória que não foi inicializado ou foi excluído, a memória pode ser corrompida de tal maneira que um invasor pode executar código arbitrário no contexto do usuário atual.

Para que um invasor pode usar a vulnerabilidade? 
O invasor que explorar com êxito essa vulnerabilidade poderá obter os mesmos direitos que o usuário atual. Se um usuário atual tiver feito logon com direitos administrativos, o invasor que explorar com êxito essa vulnerabilidade poderá obter o controle total do sistema afetado. O invasor poderá instalar programas; exibir, alterar ou excluir dados; ou criar novas contas com direitos totais de usuário.

De que forma o invasor pode explorar a vulnerabilidade? 
O invasor pode hospedar um site especialmente projetado para explorar esta vulnerabilidade através do Internet Explorer e, então, convencer um usuário a exibir o site. O invasor também pode tirar proveito dos sites comprometidos e de sites que aceitam ou hospedam o conteúdo fornecido pelo usuário ou anúncios. Esses sites podem ter conteúdo especialmente criado para explorar essa vulnerabilidade. Em todos os casos, entretanto, o invasor não tem como forçar os usuários a exibir o conteúdo controlado pelo invasor. Em vez disso, o invasor precisa convencer os usuários a executar uma ação, normalmente clicando em um link em uma mensagem de email ou em uma mensagem do Instant Messenger que leve os usuários ao site do invasor ou abrindo um anexo enviado por email.

Quais são os principais sistemas que correm riscos com a vulnerabilidade? 
Esta vulnerabilidade requer que um usuário esteja conectado e visite um site para que uma ação mal-intencionada ocorra. Portanto, os sistemas nos quais o Internet Explorer é usado com frequência, como estações de trabalho ou servidores de terminal, estão mais expostos a essa vulnerabilidade.

Estou executando o Internet Explorer para Windows Server 2003, Windows Server 2008 ou Windows Server 2008 R2. Isto atenua esta vulnerabilidade? 
Sim. Por padrão, o Internet Explorer no Windows Server 2003, Windows Server 2008 e no Windows Server 2008 R2 é executado em um modo restrito, conhecido como Configuração de Segurança Reforçada. A Configuração de Segurança Reforçada é um grupo de configurações predefinidas do Internet Explorer que reduz a probabilidade de um usuário ou administrador baixar e executar um conteúdo da Web especialmente criado em um servidor. Este é um fator atenuante para sites que não tenham sido adicionados à zona Sites confiáveis do Internet Explorer.

O que a atualização faz? 
A atualização elimina a vulnerabilidade modificando a maneira como o Internet Explorer manipula objetos na memória.

Quando esse boletim de segurança foi lançado, essa vulnerabilidade já tinha sido divulgada publicamente? 
Não. A Microsoft recebeu informações sobre esta vulnerabilidade por meio da divulgação coordenada de vulnerabilidades.

Quando este boletim de segurança foi lançado, a Microsoft tinha recebido algum relatório informando que essa vulnerabilidade estava sendo explorada? 
Não. A Microsoft não recebeu nenhuma informação indicando que essa vulnerabilidade tinha sido usada publicamente para atacar clientes quando este boletim de segurança foi lançado pela primeira vez.

A atenuação refere-se a uma configuração, configuração comum ou prática recomendada geral, existindo num estado padrão, que possa reduzir a gravidade de exploração de uma vulnerabilidade. Os fatores de atenuação a seguir podem ser úteis em sua situação:

• Em um cenário de ataque baseado na Web, o invasor pode hospedar um site que contenha uma página da Web usada para explorar essa vulnerabilidade. O invasor pode tirar proveito de sites comprometidos e sites que aceitem ou hospedem conteúdo fornecido pelo usuário ou anúncios podem conter conteúdo especialmente criado que pode explorar esta vulnerabilidade. Em todos os casos, entretanto, o invasor não tem como forçar os usuários a visitar esses sites. Em vez disso, o invasor teria que persuadir os usuários a visitar o site, geralmente fazendo com que eles cliquem em um link em um e-mail ou mensagem do Instant Messenger que leva o usuário ao site do invasor.
• O invasor que explorar com êxito essa vulnerabilidade poderá obter os mesmos direitos que o usuário atual. Os usuários cujas contas são configuradas com poucos direitos de usuário no sistema correm menos riscos do que aqueles que possuem direitos administrativos.
• Por padrão, todas as versões com suporte do Microsoft Outlook, Microsoft Outlook Express e Windows Mail abrem emails em HTML na zona de sites restritos. A zona de sites restritos, que desabilita o script e os controles ActiveX, ajuda a reduzir o risco de um invasor ser capaz de usar esta vulnerabilidade para executar código mal-intencionado. Se um usuário clicar em um link em uma mensagem de email, ele ainda pode estar vulnerável à exploração dessa vulnerabilidade, por meio do cenário de ataque baseado na Web.
• Por padrão, o Internet Explorer no Windows Server 2003, Windows Server 2008 e no Windows Server 2008 R2 é executado em um modo restrito, conhecido como Configuração de Segurança Reforçada. Esse modo atenua a vulnerabilidade. Consulte a seção Perguntas frequentes referente a essa vulnerabilidade para obter mais informações sobre a Configuração de Segurança Reforçada do Internet Explorer.

A solução alternativa refere-se a uma configuração ou alteração de configuração que não corrige a vulnerabilidade subjacente mas que ajudaria a bloquear vetores de ataque conhecidos antes de aplicar a atualização. A Microsoft testou as soluções alternativas e estados a seguir como parte do cenário que implica se uma solução alternativa reduziria funcionalidade:

• Defina as configurações de zona de segurança da Internet e da intranet local como “Alta” para bloquear controles ActiveX e scripts ativos nessas zonas

  Você pode ajudar na proteção contra a exploração dessa vulnerabilidade alterando suas configurações, para que a zona de segurança da Internet bloqueie controles ActiveX e scripts ativos. É possível fazer isso configurando a segurança do navegador como Alta.

  Para aumentar o nível de segurança da navegação no Internet Explorer, siga estas etapas:

  1. No menu Ferramentas do Internet Explorer, clique em Opções da Internet.
  2. Na caixa de diálogo Opções da Internet, clique na guia Segurança e, em seguida, clique em Internet.
  3. Em Nível de segurança para esta zona, mova o controle deslizante para Alto. Isso define o nível de segurança para todos os sites visitados como Alto.
  4. Clique em Intranet local.
  5. Em Nível de segurança para esta zona, mova o controle deslizante para Alto. Isso define o nível de segurança para todos os sites visitados como Alto.
  6. Clique em OK para aceitar as alterações e retornar ao Internet Explorer.

  Observação Se o controle deslizante não estiver visível, clique em Nível padrão e então mova o controle deslizante para Alto.

  Observação A configuração do nível como Alto pode fazer com que alguns sites não funcionem corretamente. Se você encontrar dificuldades ao usar um site após alterar a configuração, mas tiver certeza de que o site é seguro, é possível adicionar esse site à lista de sites confiáveis. Isso permite que o site funcione corretamente, mesmo com a configuração de segurança definida como Alta.

  Impacto da solução alternativa. Há efeitos colaterais ao bloqueio de controles ActiveX e scripts ativos. Muitos sites que não estão na Internet ou na intranet usam controles ActiveX e scripts ativos para fornecer funcionalidade adicional. Por exemplo, um site de comércio eletrônico ou bancário online pode usar controles ActiveX para fornecer menus, formulários de pedidos ou até mesmo extratos de contas. O bloqueio de controles ActiveX ou scripts ativos é uma configuração global que afeta todos os sites da Internet e da intranet. Se você não quiser bloquear controles ActiveX e scripts ativos para esses sites, use os passos descritos em “Adicione sites confiáveis à zona Sites confiáveis do Internet Explorer”.

  Adicione sites confiáveis à zona Sites confiáveis do Internet Explorer

  Depois de definir o Internet Explorer para bloquear controles ActiveX e scripts ativos na zona da Internet e da Intranet local, você pode adicionar sites confiáveis à zona de Sites confiáveis do Internet Explorer. Isso permitirá que você continue usando os sites confiáveis exatamente como faz atualmente, enquanto ajuda a se proteger contra ataques em sites não confiáveis. É recomendável adicionar somente sites nos quais você confia à zona de Sites confiáveis.

  Para isso, execute as seguintes etapas:

  1. No Internet Explorer, clique em Ferramentas, clique em Opções da Internet e, em seguida, clique na guia Segurança.
  2. Na caixa Selecione uma zona de conteúdo da Web para especificar suas configurações de segurança, clique em Sites Confiáveis e, em seguida, clique em Sites.
  3. Se desejar adicionar sites que não requeiram um canal criptografado, clique para desmarcar a caixa de diálogo Exigir verificação do servidor (https:) para todos os sites desta zona.
  4. Na caixa Adicionar este site à zona, digite a URL de um site em que confia e, em seguida, clique em Adicionar.
  5. Repita essas etapas para cada site que você deseja adicionar à zona.
  6. Clique em OK duas vezes para aceitar as alterações e retornar ao Internet Explorer.

  Observação Adicione os sites que você tem certeza de que não realizarão ações mal-intencionadas em seu sistema. Dois em particular que você pode desejar adicionar são *.windowsupdate.microsoft.com e *.update.microsoft.com. Estes são os sites que hospedam a atualização, e é preciso ter um controle ActiveX para instalar a atualização.

• Configure o Internet Explorer para notificá-lo antes da execução de scripts ativos ou desabilite os scripts ativos na zona de segurança da Internet e da intranet local

  Para se proteger contra a exploração dessa vulnerabilidade, altere as configurações para ser notificado antes da execução de scripts ativos ou desabilite os scripts ativos na zona de segurança da Internet e da intranet local. Para isso, execute as seguintes etapas:

  1. No Internet Explorer, clique em Opções da Internet no menu Ferramentas.
  2. Clique na guia Segurança.
  3. Clique em Internet e, em seguida, clique em Nível Personalizado.
  4. Em Configurações, na seção Script, em Scripts Ativos, clique em Avisar  ou Desativar e, em seguida, clique em OK.
  5. Clique em Intranet local e, em seguida, clique em Nível Personalizado.
  6. Em Configurações, na seção Script, em Scripts Ativos, clique em Avisar  ou Desativar e, em seguida, clique em OK.
  7. Clique em OK duas vezes para retornar ao Internet Explorer.

  Observação Desabilitar os scripts ativos nas zonas de segurança da Internet e da intranet local poderá fazer com que alguns sites não funcionem corretamente. Se você encontrar dificuldades ao usar um site após alterar a configuração, mas tiver certeza de que o site é seguro, é possível adicionar esse site à lista de sites confiáveis. Isso permitirá que o site funcione adequadamente.

  Impacto da solução alternativa. Há efeitos colaterais para notificação antes da execução de scripts ativos. Muitos sites que não estão na Internet ou na intranet usam scripts ativos para fornecer funcionalidade adicional. Por exemplo, um site de comércio eletrônico ou bancário online pode usar controles ActiveX para fornecer menus, formulários de pedidos ou até mesmo extratos de contas. A notificação antes da execução dos scripts ativos é uma configuração global que afeta todos os sites da Internet e da intranet. Você será notificado frequentemente quando ativar essa solução alternativa. Para cada notificação, se achar que confia no site que está visitando, clique em Sim para executar os scripts ativos. Se não quiser ser avisado para todos esses sites, use os passos descritos em “Adicione sites confiáveis à zona Sites confiáveis do Internet Explorer”.

  Adicione sites confiáveis à zona Sites confiáveis do Internet Explorer

  Depois de definir o Internet Explorer para solicitar confirmação antes de executar controles ActiveX e scripts ativos na zona da Internet e da Intranet local, você pode adicionar sites confiáveis à zona de Sites confiáveis do Internet Explorer. Isso permitirá que você continue usando os sites confiáveis exatamente como faz atualmente, enquanto ajuda a proteger-se de ataques em sites não confiáveis. É recomendável adicionar somente sites nos quais você confia à zona de Sites confiáveis.

  Para isso, execute as seguintes etapas:

  1. No Internet Explorer, clique em Ferramentas, clique em Opções da Internet e, em seguida, clique na guia Segurança.
  2. Na caixa Selecione uma zona de conteúdo da Web para especificar suas configurações de segurança, clique em Sites Confiáveis e, em seguida, clique em Sites.
  3. Se desejar adicionar sites que não requeiram um canal criptografado, clique para desmarcar a caixa de diálogo Exigir verificação do servidor (https:) para todos os sites desta zona.
  4. Na caixa Adicionar este site à zona, digite a URL de um site em que confia e, em seguida, clique em Adicionar.
  5. Repita essas etapas para cada site que você deseja adicionar à zona.
  6. Clique em OK duas vezes para aceitar as alterações e retornar ao Internet Explorer.

  Observação Adicione os sites que você tem certeza de que não realizarão ações mal-intencionadas em seu sistema. Dois em particular que você pode desejar adicionar são *.windowsupdate.microsoft.com e *.update.microsoft.com. Estes são os sites que hospedam a atualização, e é preciso ter um controle ActiveX para instalar a atualização.

Qual é o escopo da vulnerabilidade? 
Essa é uma vulnerabilidade de execução remota de código no contexto do usuário atual.

O que provoca a vulnerabilidade? 
Quando o Internet Explorer tenta acessar um objeto na memória que foi excluído, a memória pode ser corrompida de tal maneira que um invasor pode executar código arbitrário no contexto do usuário atual.

Para que um invasor pode usar a vulnerabilidade? 
O invasor que explorar com êxito essa vulnerabilidade poderá obter os mesmos direitos que o usuário atual. Se um usuário atual tiver feito logon com direitos administrativos, o invasor que explorar com êxito essa vulnerabilidade poderá obter o controle total do sistema afetado. O invasor poderá instalar programas; exibir, alterar ou excluir dados; ou criar novas contas com direitos totais de usuário.

De que forma o invasor pode explorar a vulnerabilidade? 
O invasor pode hospedar um site especialmente projetado para explorar esta vulnerabilidade através do Internet Explorer e, então, convencer um usuário a exibir o site. O invasor também pode tirar proveito dos sites comprometidos e de sites que aceitam ou hospedam o conteúdo fornecido pelo usuário ou anúncios. Esses sites podem ter conteúdo especialmente criado para explorar essa vulnerabilidade. Em todos os casos, entretanto, o invasor não tem como forçar os usuários a exibir o conteúdo controlado pelo invasor. Em vez disso, o invasor precisa convencer os usuários a executar uma ação, normalmente clicando em um link em uma mensagem de email ou em uma mensagem do Instant Messenger que leve os usuários ao site do invasor ou abrindo um anexo enviado por email.

Quais são os principais sistemas que correm riscos com a vulnerabilidade? 
Sistemas em que o Internet Explorer é usado com frequência, como estações de trabalho ou servidores de terminal, estão mais expostos a essa vulnerabilidade.

Estou executando o Internet Explorer para Windows Server 2003, Windows Server 2008 ou Windows Server 2008 R2. Isto atenua esta vulnerabilidade? 
Sim. Por padrão, o Internet Explorer no Windows Server 2003, Windows Server 2008 e no Windows Server 2008 R2 é executado em um modo restrito, conhecido como Configuração de Segurança Reforçada. A Configuração de Segurança Reforçada é um grupo de configurações predefinidas do Internet Explorer que reduz a probabilidade de um usuário ou administrador baixar e executar um conteúdo da Web especialmente criado em um servidor. Este é um fator atenuante para sites que não tenham sido adicionados à zona Sites confiáveis do Internet Explorer.

O que a atualização faz? 
A atualização elimina a vulnerabilidade modificando a maneira como o Internet Explorer manipula objetos na memória.

Quando esse boletim de segurança foi lançado, essa vulnerabilidade já tinha sido divulgada publicamente? 
Não. A Microsoft recebeu informações sobre esta vulnerabilidade por meio da divulgação coordenada de vulnerabilidades.

Quando este boletim de segurança foi lançado, a Microsoft tinha recebido algum relatório informando que essa vulnerabilidade estava sendo explorada? 
Não. A Microsoft não recebeu nenhuma informação indicando que essa vulnerabilidade tinha sido usada publicamente para atacar clientes quando este boletim de segurança foi lançado pela primeira vez.

A atenuação refere-se a uma configuração, configuração comum ou prática recomendada geral, existindo num estado padrão, que possa reduzir a gravidade de exploração de uma vulnerabilidade. Os fatores de atenuação a seguir podem ser úteis em sua situação:

• Em um cenário de ataque baseado na Web, o invasor pode hospedar um site que contenha uma página da Web usada para explorar essa vulnerabilidade. O invasor pode tirar proveito de sites comprometidos e sites que aceitem ou hospedem conteúdo fornecido pelo usuário ou anúncios podem conter conteúdo especialmente criado que pode explorar esta vulnerabilidade. Em todos os casos, entretanto, o invasor não tem como forçar os usuários a visitar esses sites. Em vez disso, o invasor teria que persuadir os usuários a visitar o site, geralmente fazendo com que eles cliquem em um link em um e-mail ou mensagem do Instant Messenger que leva o usuário ao site do invasor.
• O invasor que explorar com êxito essa vulnerabilidade poderá obter os mesmos direitos que o usuário atual. Os usuários cujas contas são configuradas com poucos direitos de usuário no sistema correm menos riscos do que aqueles que possuem direitos administrativos.
• Por padrão, todas as versões com suporte do Microsoft Outlook, Microsoft Outlook Express e Windows Mail abrem emails em HTML na zona de sites restritos. A zona de sites restritos, que desabilita o script e os controles ActiveX, ajuda a reduzir o risco de um invasor ser capaz de usar esta vulnerabilidade para executar código mal-intencionado. Se um usuário clicar em um link em uma mensagem de email, ele ainda pode estar vulnerável à exploração dessa vulnerabilidade, por meio do cenário de ataque baseado na Web.
• Por padrão, o Internet Explorer no Windows Server 2003, Windows Server 2008 e no Windows Server 2008 R2 é executado em um modo restrito, conhecido como Configuração de Segurança Reforçada. Esse modo atenua a vulnerabilidade. Consulte a seção Perguntas frequentes referente a essa vulnerabilidade para obter mais informações sobre a Configuração de Segurança Reforçada do Internet Explorer.

A solução alternativa refere-se a uma configuração ou alteração de configuração que não corrige a vulnerabilidade subjacente mas que ajudaria a bloquear vetores de ataque conhecidos antes de aplicar a atualização. A Microsoft testou as soluções alternativas e estados a seguir como parte do cenário que implica se uma solução alternativa reduziria funcionalidade:

• Defina as configurações de zona de segurança da Internet e da intranet local como “Alta” para bloquear controles ActiveX e scripts ativos nessas zonas

  Você pode ajudar na proteção contra a exploração dessa vulnerabilidade alterando suas configurações, para que a zona de segurança da Internet bloqueie controles ActiveX e scripts ativos. É possível fazer isso configurando a segurança do navegador como Alta.

  Para aumentar o nível de segurança da navegação no Internet Explorer, siga estas etapas:

  1. No menu Ferramentas do Internet Explorer, clique em Opções da Internet.
  2. Na caixa de diálogo Opções da Internet, clique na guia Segurança e, em seguida, clique em Internet.
  3. Em Nível de segurança para esta zona, mova o controle deslizante para Alto. Isso define o nível de segurança para todos os sites visitados como Alto.
  4. Clique em Intranet local.
  5. Em Nível de segurança para esta zona, mova o controle deslizante para Alto. Isso define o nível de segurança para todos os sites visitados como Alto.
  6. Clique em OK para aceitar as alterações e retornar ao Internet Explorer.

  Observação Se o controle deslizante não estiver visível, clique em Nível padrão e então mova o controle deslizante para Alto.

  Observação A configuração do nível como Alto pode fazer com que alguns sites não funcionem corretamente. Se você encontrar dificuldades ao usar um site após alterar a configuração, mas tiver certeza de que o site é seguro, é possível adicionar esse site à lista de sites confiáveis. Isso permite que o site funcione corretamente, mesmo com a configuração de segurança definida como Alta.

  Impacto da solução alternativa. Há efeitos colaterais ao bloqueio de controles ActiveX e scripts ativos. Muitos sites que não estão na Internet ou na intranet usam controles ActiveX e scripts ativos para fornecer funcionalidade adicional. Por exemplo, um site de comércio eletrônico ou bancário online pode usar controles ActiveX para fornecer menus, formulários de pedidos ou até mesmo extratos de contas. O bloqueio de controles ActiveX ou scripts ativos é uma configuração global que afeta todos os sites da Internet e da intranet. Se você não quiser bloquear controles ActiveX e scripts ativos para esses sites, use os passos descritos em “Adicione sites confiáveis à zona Sites confiáveis do Internet Explorer”.

  Adicione sites confiáveis à zona Sites confiáveis do Internet Explorer

  Depois de definir o Internet Explorer para bloquear controles ActiveX e scripts ativos na zona da Internet e da Intranet local, você pode adicionar sites confiáveis à zona de Sites confiáveis do Internet Explorer. Isso permitirá que você continue usando os sites confiáveis exatamente como faz atualmente, enquanto ajuda a se proteger contra ataques em sites não confiáveis. É recomendável adicionar somente sites nos quais você confia à zona de Sites confiáveis.

  Para isso, execute as seguintes etapas:

  1. No Internet Explorer, clique em Ferramentas, clique em Opções da Internet e, em seguida, clique na guia Segurança.
  2. Na caixa Selecione uma zona de conteúdo da Web para especificar suas configurações de segurança, clique em Sites Confiáveis e, em seguida, clique em Sites.
  3. Se desejar adicionar sites que não requeiram um canal criptografado, clique para desmarcar a caixa de diálogo Exigir verificação do servidor (https:) para todos os sites desta zona.
  4. Na caixa Adicionar este site à zona, digite a URL de um site em que confia e, em seguida, clique em Adicionar.
  5. Repita essas etapas para cada site que você deseja adicionar à zona.
  6. Clique em OK duas vezes para aceitar as alterações e retornar ao Internet Explorer.

  Observação Adicione os sites que você tem certeza de que não realizarão ações mal-intencionadas em seu sistema. Dois em particular que você pode desejar adicionar são *.windowsupdate.microsoft.com e *.update.microsoft.com. Estes são os sites que hospedam a atualização, e é preciso ter um controle ActiveX para instalar a atualização.

• Configure o Internet Explorer para notificá-lo antes da execução de scripts ativos ou desabilite os scripts ativos na zona de segurança da Internet e da intranet local

  Para se proteger contra a exploração dessa vulnerabilidade, altere as configurações para ser notificado antes da execução de scripts ativos ou desabilite os scripts ativos na zona de segurança da Internet e da intranet local. Para isso, execute as seguintes etapas:

  1. No Internet Explorer, clique em Opções da Internet no menu Ferramentas.
  2. Clique na guia Segurança.
  3. Clique em Internet e, em seguida, clique em Nível Personalizado.
  4. Em Configurações, na seção Script, em Scripts Ativos, clique em Avisar  ou Desativar e, em seguida, clique em OK.
  5. Clique em Intranet local e, em seguida, clique em Nível Personalizado.
  6. Em Configurações, na seção Script, em Scripts Ativos, clique em Avisar  ou Desativar e, em seguida, clique em OK.
  7. Clique em OK duas vezes para retornar ao Internet Explorer.

  Observação Desabilitar os scripts ativos nas zonas de segurança da Internet e da intranet local poderá fazer com que alguns sites não funcionem corretamente. Se você encontrar dificuldades ao usar um site após alterar a configuração, mas tiver certeza de que o site é seguro, é possível adicionar esse site à lista de sites confiáveis. Isso permitirá que o site funcione adequadamente.

  Impacto da solução alternativa. Há efeitos colaterais para notificação antes da execução de scripts ativos. Muitos sites que não estão na Internet ou na intranet usam scripts ativos para fornecer funcionalidade adicional. Por exemplo, um site de comércio eletrônico ou bancário online pode usar controles ActiveX para fornecer menus, formulários de pedidos ou até mesmo extratos de contas. A notificação antes da execução dos scripts ativos é uma configuração global que afeta todos os sites da Internet e da intranet. Você será notificado frequentemente quando ativar essa solução alternativa. Para cada notificação, se achar que confia no site que está visitando, clique em Sim para executar os scripts ativos. Se não quiser ser avisado para todos esses sites, use os passos descritos em “Adicione sites confiáveis à zona Sites confiáveis do Internet Explorer”.

  Adicione sites confiáveis à zona Sites confiáveis do Internet Explorer

  Depois de definir o Internet Explorer para solicitar confirmação antes de executar controles ActiveX e scripts ativos na zona da Internet e da Intranet local, você pode adicionar sites confiáveis à zona de Sites confiáveis do Internet Explorer. Isso permitirá que você continue usando os sites confiáveis exatamente como faz atualmente, enquanto ajuda a proteger-se de ataques em sites não confiáveis. É recomendável adicionar somente sites nos quais você confia à zona de Sites confiáveis.

  Para isso, execute as seguintes etapas:

  1. No Internet Explorer, clique em Ferramentas, clique em Opções da Internet e, em seguida, clique na guia Segurança.
  2. Na caixa Selecione uma zona de conteúdo da Web para especificar suas configurações de segurança, clique em Sites Confiáveis e, em seguida, clique em Sites.
  3. Se desejar adicionar sites que não requeiram um canal criptografado, clique para desmarcar a caixa de diálogo Exigir verificação do servidor (https:) para todos os sites desta zona.
  4. Na caixa Adicionar este site à zona, digite a URL de um site em que confia e, em seguida, clique em Adicionar.
  5. Repita essas etapas para cada site que você deseja adicionar à zona.
  6. Clique em OK duas vezes para aceitar as alterações e retornar ao Internet Explorer.

  Observação Adicione os sites que você tem certeza de que não realizarão ações mal-intencionadas em seu sistema. Dois em particular que você pode desejar adicionar são *.windowsupdate.microsoft.com e *.update.microsoft.com. Estes são os sites que hospedam a atualização, e é preciso ter um controle ActiveX para instalar a atualização.

Qual é o escopo da vulnerabilidade? 
Essa é uma vulnerabilidade de execução remota de código no contexto do usuário atual.

O que provoca a vulnerabilidade? 
Quando o Internet Explorer tenta acessar um objeto na memória que foi excluído, a memória pode ser corrompida de tal maneira que um invasor pode executar código arbitrário no contexto do usuário atual.

Para que um invasor pode usar a vulnerabilidade? 
O invasor que explorar com êxito essa vulnerabilidade poderá obter os mesmos direitos que o usuário atual. Se um usuário atual tiver feito logon com direitos administrativos, o invasor que explorar com êxito essa vulnerabilidade poderá obter o controle total do sistema afetado. O invasor poderá instalar programas; exibir, alterar ou excluir dados; ou criar novas contas com direitos totais de usuário.

De que forma o invasor pode explorar a vulnerabilidade? 
O invasor pode hospedar um site especialmente projetado para explorar esta vulnerabilidade através do Internet Explorer e, então, convencer um usuário a exibir o site. O invasor também pode tirar proveito dos sites comprometidos e de sites que aceitam ou hospedam o conteúdo fornecido pelo usuário ou anúncios. Esses sites podem ter conteúdo especialmente criado para explorar essa vulnerabilidade. Em todos os casos, entretanto, o invasor não tem como forçar os usuários a exibir o conteúdo controlado pelo invasor. Em vez disso, o invasor precisa convencer os usuários a executar uma ação, normalmente clicando em um link em uma mensagem de email ou em uma mensagem do Instant Messenger que leve os usuários ao site do invasor ou abrindo um anexo enviado por email.

Quais são os principais sistemas que correm riscos com a vulnerabilidade? 
Sistemas em que o Internet Explorer é usado com frequência, como estações de trabalho ou servidores de terminal, estão mais expostos a essa vulnerabilidade.

Estou executando o Internet Explorer para Windows Server 2003, Windows Server 2008 ou Windows Server 2008 R2. Isto atenua esta vulnerabilidade? 
Sim. Por padrão, o Internet Explorer no Windows Server 2003, Windows Server 2008 e no Windows Server 2008 R2 é executado em um modo restrito, conhecido como Configuração de Segurança Reforçada. A Configuração de Segurança Reforçada é um grupo de configurações predefinidas do Internet Explorer que reduz a probabilidade de um usuário ou administrador baixar e executar um conteúdo da Web especialmente criado em um servidor. Este é um fator atenuante para sites que não tenham sido adicionados à zona Sites confiáveis do Internet Explorer.

O que a atualização faz? 
A atualização elimina a vulnerabilidade modificando a maneira como o Internet Explorer manipula objetos na memória.

Quando esse boletim de segurança foi lançado, essa vulnerabilidade já tinha sido divulgada publicamente? 
Não. A Microsoft recebeu informações sobre esta vulnerabilidade por meio da divulgação coordenada de vulnerabilidades.

Quando este boletim de segurança foi lançado, a Microsoft tinha recebido algum relatório informando que essa vulnerabilidade estava sendo explorada? 
Não. A Microsoft não recebeu nenhuma informação indicando que essa vulnerabilidade tinha sido usada publicamente para atacar clientes quando este boletim de segurança foi lançado pela primeira vez.

A atenuação refere-se a uma configuração, configuração comum ou prática recomendada geral, existindo num estado padrão, que possa reduzir a gravidade de exploração de uma vulnerabilidade. Os fatores de atenuação a seguir podem ser úteis em sua situação:

• Em um cenário de ataque baseado na Web, o invasor pode hospedar um site que contenha uma página da Web usada para explorar essa vulnerabilidade. O invasor pode tirar proveito de sites comprometidos e sites que aceitem ou hospedem conteúdo fornecido pelo usuário ou anúncios podem conter conteúdo especialmente criado que pode explorar esta vulnerabilidade. Em todos os casos, entretanto, o invasor não tem como forçar os usuários a visitar esses sites. Em vez disso, o invasor teria que persuadir os usuários a visitar o site, geralmente fazendo com que eles cliquem em um link em um e-mail ou mensagem do Instant Messenger que leva o usuário ao site do invasor.
• O invasor que explorar com êxito essa vulnerabilidade poderá obter os mesmos direitos que o usuário atual. Os usuários cujas contas são configuradas com poucos direitos de usuário no sistema correm menos riscos do que aqueles que possuem direitos administrativos.
• Por padrão, todas as versões com suporte do Microsoft Outlook, Microsoft Outlook Express e Windows Mail abrem emails em HTML na zona de sites restritos. A zona de sites restritos, que desabilita o script e os controles ActiveX, ajuda a reduzir o risco de um invasor ser capaz de usar esta vulnerabilidade para executar código mal-intencionado. Se um usuário clicar em um link em uma mensagem de email, ele ainda pode estar vulnerável à exploração dessa vulnerabilidade, por meio do cenário de ataque baseado na Web.
• Por padrão, o Internet Explorer no Windows Server 2003, Windows Server 2008 e no Windows Server 2008 R2 é executado em um modo restrito, conhecido como Configuração de Segurança Reforçada. Esse modo atenua a vulnerabilidade. Consulte a seção Perguntas frequentes referente a essa vulnerabilidade para obter mais informações sobre a Configuração de Segurança Reforçada do Internet Explorer.

A solução alternativa refere-se a uma configuração ou alteração de configuração que não corrige a vulnerabilidade subjacente mas que ajudaria a bloquear vetores de ataque conhecidos antes de aplicar a atualização. A Microsoft testou as soluções alternativas e estados a seguir como parte do cenário que implica se uma solução alternativa reduziria funcionalidade:

• Defina as configurações de zona de segurança da Internet e da intranet local como “Alta” para bloquear controles ActiveX e scripts ativos nessas zonas

  Você pode ajudar na proteção contra a exploração dessa vulnerabilidade alterando suas configurações, para que a zona de segurança da Internet bloqueie controles ActiveX e scripts ativos. É possível fazer isso configurando a segurança do navegador como Alta.

  Para aumentar o nível de segurança da navegação no Internet Explorer, siga estas etapas:

  1. No menu Ferramentas do Internet Explorer, clique em Opções da Internet.
  2. Na caixa de diálogo Opções da Internet, clique na guia Segurança e, em seguida, clique em Internet.
  3. Em Nível de segurança para esta zona, mova o controle deslizante para Alto. Isso define o nível de segurança para todos os sites visitados como Alto.
  4. Clique em Intranet local.
  5. Em Nível de segurança para esta zona, mova o controle deslizante para Alto. Isso define o nível de segurança para todos os sites visitados como Alto.
  6. Clique em OK para aceitar as alterações e retornar ao Internet Explorer.

  Observação Se o controle deslizante não estiver visível, clique em Nível padrão e então mova o controle deslizante para Alto.

  Observação A configuração do nível como Alto pode fazer com que alguns sites não funcionem corretamente. Se você encontrar dificuldades ao usar um site após alterar a configuração, mas tiver certeza de que o site é seguro, é possível adicionar esse site à lista de sites confiáveis. Isso permite que o site funcione corretamente, mesmo com a configuração de segurança definida como Alta.

  Impacto da solução alternativa. Há efeitos colaterais ao bloqueio de controles ActiveX e scripts ativos. Muitos sites que não estão na Internet ou na intranet usam controles ActiveX e scripts ativos para fornecer funcionalidade adicional. Por exemplo, um site de comércio eletrônico ou bancário online pode usar controles ActiveX para fornecer menus, formulários de pedidos ou até mesmo extratos de contas. O bloqueio de controles ActiveX ou scripts ativos é uma configuração global que afeta todos os sites da Internet e da intranet. Se você não quiser bloquear controles ActiveX e scripts ativos para esses sites, use os passos descritos em “Adicione sites confiáveis à zona Sites confiáveis do Internet Explorer”.

  Adicione sites confiáveis à zona Sites confiáveis do Internet Explorer

  Depois de definir o Internet Explorer para bloquear controles ActiveX e scripts ativos na zona da Internet e da Intranet local, você pode adicionar sites confiáveis à zona de Sites confiáveis do Internet Explorer. Isso permitirá que você continue usando os sites confiáveis exatamente como faz atualmente, enquanto ajuda a se proteger contra ataques em sites não confiáveis. É recomendável adicionar somente sites nos quais você confia à zona de Sites confiáveis.

  Para isso, execute as seguintes etapas:

  1. No Internet Explorer, clique em Ferramentas, clique em Opções da Internet e, em seguida, clique na guia Segurança.
  2. Na caixa Selecione uma zona de conteúdo da Web para especificar suas configurações de segurança, clique em Sites Confiáveis e, em seguida, clique em Sites.
  3. Se desejar adicionar sites que não requeiram um canal criptografado, clique para desmarcar a caixa de diálogo Exigir verificação do servidor (https:) para todos os sites desta zona.
  4. Na caixa Adicionar este site à zona, digite a URL de um site em que confia e, em seguida, clique em Adicionar.
  5. Repita essas etapas para cada site que você deseja adicionar à zona.
  6. Clique em OK duas vezes para aceitar as alterações e retornar ao Internet Explorer.

  Observação Adicione os sites que você tem certeza de que não realizarão ações mal-intencionadas em seu sistema. Dois em particular que você pode desejar adicionar são *.windowsupdate.microsoft.com e *.update.microsoft.com. Estes são os sites que hospedam a atualização, e é preciso ter um controle ActiveX para instalar a atualização.

• Configure o Internet Explorer para notificá-lo antes da execução de scripts ativos ou desabilite os scripts ativos na zona de segurança da Internet e da intranet local

  Para se proteger contra a exploração dessa vulnerabilidade, altere as configurações para ser notificado antes da execução de scripts ativos ou desabilite os scripts ativos na zona de segurança da Internet e da intranet local. Para isso, execute as seguintes etapas:

  1. No Internet Explorer, clique em Opções da Internet no menu Ferramentas.
  2. Clique na guia Segurança.
  3. Clique em Internet e, em seguida, clique em Nível Personalizado.
  4. Em Configurações, na seção Script, em Scripts Ativos, clique em Avisar  ou Desativar e, em seguida, clique em OK.
  5. Clique em Intranet local e, em seguida, clique em Nível Personalizado.
  6. Em Configurações, na seção Script, em Scripts Ativos, clique em Avisar  ou Desativar e, em seguida, clique em OK.
  7. Clique em OK duas vezes para retornar ao Internet Explorer.

  Observação Desabilitar os scripts ativos nas zonas de segurança da Internet e da intranet local poderá fazer com que alguns sites não funcionem corretamente. Se você encontrar dificuldades ao usar um site após alterar a configuração, mas tiver certeza de que o site é seguro, é possível adicionar esse site à lista de sites confiáveis. Isso permitirá que o site funcione adequadamente.

  Impacto da solução alternativa. Há efeitos colaterais para notificação antes da execução de scripts ativos. Muitos sites que não estão na Internet ou na intranet usam scripts ativos para fornecer funcionalidade adicional. Por exemplo, um site de comércio eletrônico ou bancário online pode usar controles ActiveX para fornecer menus, formulários de pedidos ou até mesmo extratos de contas. A notificação antes da execução dos scripts ativos é uma configuração global que afeta todos os sites da Internet e da intranet. Você será notificado frequentemente quando ativar essa solução alternativa. Para cada notificação, se achar que confia no site que está visitando, clique em Sim para executar os scripts ativos. Se não quiser ser avisado para todos esses sites, use os passos descritos em “Adicione sites confiáveis à zona Sites confiáveis do Internet Explorer”.

  Adicione sites confiáveis à zona Sites confiáveis do Internet Explorer

  Depois de definir o Internet Explorer para solicitar confirmação antes de executar controles ActiveX e scripts ativos na zona da Internet e da Intranet local, você pode adicionar sites confiáveis à zona de Sites confiáveis do Internet Explorer. Isso permitirá que você continue usando os sites confiáveis exatamente como faz atualmente, enquanto ajuda a proteger-se de ataques em sites não confiáveis. É recomendável adicionar somente sites nos quais você confia à zona de Sites confiáveis.

  Para isso, execute as seguintes etapas:

  1. No Internet Explorer, clique em Ferramentas, clique em Opções da Internet e, em seguida, clique na guia Segurança.
  2. Na caixa Selecione uma zona de conteúdo da Web para especificar suas configurações de segurança, clique em Sites Confiáveis e, em seguida, clique em Sites.
  3. Se desejar adicionar sites que não requeiram um canal criptografado, clique para desmarcar a caixa de diálogo Exigir verificação do servidor (https:) para todos os sites desta zona.
  4. Na caixa Adicionar este site à zona, digite a URL de um site em que confia e, em seguida, clique em Adicionar.
  5. Repita essas etapas para cada site que você deseja adicionar à zona.
  6. Clique em OK duas vezes para aceitar as alterações e retornar ao Internet Explorer.

  Observação Adicione os sites que você tem certeza de que não realizarão ações mal-intencionadas em seu sistema. Dois em particular que você pode desejar adicionar são *.windowsupdate.microsoft.com e *.update.microsoft.com. Estes são os sites que hospedam a atualização, e é preciso ter um controle ActiveX para instalar a atualização.

Qual é o escopo da vulnerabilidade? 
Essa é uma vulnerabilidade de execução remota de código no contexto do usuário atual.

O que provoca a vulnerabilidade? 
Quando o Internet Explorer tenta acessar um objeto na memória que foi excluído, a memória pode ser corrompida de tal maneira que um invasor pode executar código arbitrário no contexto do usuário atual.

Para que um invasor pode usar a vulnerabilidade? 
O invasor que explorar com êxito essa vulnerabilidade poderá obter os mesmos direitos que o usuário atual. Se um usuário atual tiver feito logon com direitos administrativos, o invasor que explorar com êxito essa vulnerabilidade poderá obter o controle total do sistema afetado. O invasor poderá instalar programas; exibir, alterar ou excluir dados; ou criar novas contas com direitos totais de usuário.

De que forma o invasor pode explorar a vulnerabilidade? 
O invasor pode hospedar um site especialmente projetado para explorar esta vulnerabilidade através do Internet Explorer e, então, convencer um usuário a exibir o site. O invasor também pode tirar proveito dos sites comprometidos e de sites que aceitam ou hospedam o conteúdo fornecido pelo usuário ou anúncios. Esses sites podem ter conteúdo especialmente criado para explorar essa vulnerabilidade. Em todos os casos, entretanto, o invasor não tem como forçar os usuários a exibir o conteúdo controlado pelo invasor. Em vez disso, o invasor precisa convencer os usuários a executar uma ação, normalmente clicando em um link em uma mensagem de email ou em uma mensagem do Instant Messenger que leve os usuários ao site do invasor ou abrindo um anexo enviado por email.

Quais são os principais sistemas que correm riscos com a vulnerabilidade? 
Sistemas em que o Internet Explorer é usado com frequência, como estações de trabalho ou servidores de terminal, estão mais expostos a essa vulnerabilidade.

Estou executando o Internet Explorer para Windows Server 2003, Windows Server 2008 ou Windows Server 2008 R2. Isto atenua esta vulnerabilidade? 
Sim. Por padrão, o Internet Explorer no Windows Server 2003, Windows Server 2008 e no Windows Server 2008 R2 é executado em um modo restrito, conhecido como Configuração de Segurança Reforçada. A Configuração de Segurança Reforçada é um grupo de configurações predefinidas do Internet Explorer que reduz a probabilidade de um usuário ou administrador baixar e executar um conteúdo da Web especialmente criado em um servidor. Este é um fator atenuante para sites que não tenham sido adicionados à zona Sites confiáveis do Internet Explorer.

O que a atualização faz? 
A atualização elimina a vulnerabilidade modificando a maneira como o Internet Explorer manipula objetos na memória.

Quando esse boletim de segurança foi lançado, essa vulnerabilidade já tinha sido divulgada publicamente? 
Não. A Microsoft recebeu informações sobre esta vulnerabilidade por meio da divulgação coordenada de vulnerabilidades.

Quando este boletim de segurança foi lançado, a Microsoft tinha recebido algum relatório informando que essa vulnerabilidade estava sendo explorada? 
Não. A Microsoft não recebeu nenhuma informação indicando que essa vulnerabilidade tinha sido usada publicamente para atacar clientes quando este boletim de segurança foi lançado pela primeira vez.

A atenuação refere-se a uma configuração, configuração comum ou prática recomendada geral, existindo num estado padrão, que possa reduzir a gravidade de exploração de uma vulnerabilidade. Os fatores de atenuação a seguir podem ser úteis em sua situação:

• Em um cenário de ataque baseado na Web, o invasor pode hospedar um site que contenha uma página da Web usada para explorar essa vulnerabilidade. O invasor pode tirar proveito de sites comprometidos e sites que aceitem ou hospedem conteúdo fornecido pelo usuário ou anúncios podem conter conteúdo especialmente criado que pode explorar esta vulnerabilidade. Em todos os casos, entretanto, o invasor não tem como forçar os usuários a visitar esses sites. Em vez disso, o invasor teria que persuadir os usuários a visitar o site, geralmente fazendo com que eles cliquem em um link em um e-mail ou mensagem do Instant Messenger que leva o usuário ao site do invasor.
• O invasor que explorar com êxito essa vulnerabilidade poderá obter os mesmos direitos que o usuário atual. Os usuários cujas contas são configuradas com poucos direitos de usuário no sistema correm menos riscos do que aqueles que possuem direitos administrativos.
• Por padrão, todas as versões com suporte do Microsoft Outlook, Microsoft Outlook Express e Windows Mail abrem emails em HTML na zona de sites restritos. A zona de sites restritos, que desabilita o script e os controles ActiveX, ajuda a reduzir o risco de um invasor ser capaz de usar esta vulnerabilidade para executar código mal-intencionado. Se um usuário clicar em um link em uma mensagem de email, ele ainda pode estar vulnerável à exploração dessa vulnerabilidade, por meio do cenário de ataque baseado na Web.
• Por padrão, o Internet Explorer no Windows Server 2003, Windows Server 2008 e no Windows Server 2008 R2 é executado em um modo restrito, conhecido como Configuração de Segurança Reforçada. Esse modo atenua a vulnerabilidade. Consulte a seção Perguntas frequentes referente a essa vulnerabilidade para obter mais informações sobre a Configuração de Segurança Reforçada do Internet Explorer.

A solução alternativa refere-se a uma configuração ou alteração de configuração que não corrige a vulnerabilidade subjacente mas que ajudaria a bloquear vetores de ataque conhecidos antes de aplicar a atualização. A Microsoft testou as soluções alternativas e estados a seguir como parte do cenário que implica se uma solução alternativa reduziria funcionalidade:

• Aplicar a solução do Microsoft Fix it, " Evitar a corrupção de memória via ExecCommand
• no Internet Explorer
• ," que evita a exploração desta vulnerabilidade

  Consulte o Artigo 2744842 (em inglês) da Microsoft Knowledge Base para usar a solução automatizada Microsoft Fix It para habilitar ou desabilitar esta solução alternativa.

• Implante o Enhanced Mitigation Experience Toolkit

  O Enhanced Mitigation Experience Toolkit (EMET) é um utilitário que evita que vulnerabilidades em software sejam exploradas com êxito através da aplicação de atenuações integradas, como DEP para aplicativos configurados em EMET.

  Desta vez, o EMET é fornecido com suporte limitado e está somente disponível na língua inglesa. Para obter mais informações, consulte o Artigo 2458544 da Microsoft Knowledge Base.

  Para obter mais informações sobre como configurar o EMET, consulte o Guia do Usuário do EMET:

  • Em sistemas de 32 bits, o Guia do Usuário do EMET está localizado em C: \Arquivos de programas\EMET\EMET User's Guide.pdf
  • Em sistemas de 64 bits, o Guia do Usuário do EMET está localizado em C: \Arquivos de programas(x86)\\EMET\EMET User's Guide.pdf

  Configure o EMET para Internet Explorer na interface do usuário do EMET

  Para adicionar o arquivo iexplore.exe à lista de aplicativos que usam o EMET, execute as seguintes etapas:

  1. Clique em Iniciar, Todos os Programas, Enhanced Mitigation Experience Toolkit e EMET 3.0.
  2. Clique em Sim no prompt do UAC, clique Configurar Apps e selecione Adicionar. Vá até o aplicativo a ser configurado no EMET.
  3. Em versões de 64 bits do Microsoft Windows, os caminhos para as instalações de 32 bits e x64 do Internet Explorer são:C:\Arquivos de Programas (x86)\Internet Explorer\iexplore.exeC:\Arquivos de programas\Internet Explorer\iexplore.exeEm versões de 32 bits do Microsoft Windows, o caminho para o Internet Explorer é C:\Arquivos de programas\Internet Explorer\iexplore.exe
  4. Clique em OK e saia do EMET.

  Configure o EMET para Internet Explorer em uma linha de comando

  • Opte pelo Internet Explorer em todas as reduções do EMET 3.0
  • Em sistemas de 64 bits, para instalações de 32 bits do IE, execute o seguinte de um prompt de comandos com privilégios elevados:"c:\Arquivos de programas (x86)\EMET\EMET_Conf.exe" --set "c:\Arquivos de programas(x86)\Internet Explorer\iexplore.exe"E em sistemas de 64 bits, para instalações de x64 do IE, execute o seguinte de um prompt de comandos com privilégios elevados:"c:\Arquivos de programas (x86)\EMET\EMET_Conf.exe" --set "c:\Arquivos de programas\Internet Explorer\iexplore.exe"
  • Em sistemas de 32 bits, para instalações de 32 bits do IE, execute o seguinte de um prompt de comandos com privilégios elevados:"c:\Arquivos de programas\EMET\EMET_Conf.exe" --set "c:\Arquivos de programas\Internet Explorer\iexplore.exe"
  • Se você concluiu esse procedimento com êxito, será exibida a seguinte mensagem:"The changes you have made may require restarting one or more applications" (As alterações feitas podem requerer a reinicialização de um ou mais aplicativos)
  • Se o aplicativo já foi adicionado no EMET, será exibida a seguinte mensagem:Erro: "c:\Program Files (x86)\Internet Explorer\iexplore.exe" conflicts with existing entry for "C:\Program Files (x86)\Internet Explorer\iexplore.exe" (c:\Arquivos de Programas(x86)\Internet Explorer\iexplore.exe" está em conflito com uma entrada existente der "C:\Arquivos de Programas(x86)\Internet Explorer\iexplore.exe)
  • Para obter mais informações sobre como executar o EMET_Conf. exe, consulte a ajuda de linha de comando executando o seguinte de um prompt de comando:Em sistemas de 32 bits: "C:\Arquivos de programas\EMET\EMET_Conf.exe" /?Em sistemas de 64 bits: "C:\Arquivos de programas (x86)\EMET\EMET_Conf.exe" /?

  Configure o EMET para Internet Explorer de acordo com a Diretiva de Grupo

  O EMET pode ser configurado usando a Diretiva de Grupo. Para obter informações sobre como configurar o EMET usando a Diretiva de Grupo, consulte o Guia do Usuário do EMET:

  • Em sistemas de 32 bits, o Guia do Usuário do EMET está localizado em C: \Arquivos de programas\EMET\EMET User's Guide.pdf
  • Em sistemas de 64 bits, o Guia do Usuário do EMET está localizado em C: \Arquivos de programas(x86)\\EMET\EMET User's Guide.pdf

  Observação Para obter mais informações sobre a Diretiva de Grupo, consulte coleção de Diretivas de Grupo.

• Defina as configurações de zona de segurança da Internet e da intranet local como “Alta” para bloquear controles ActiveX e scripts ativos nessas zonas

  Você pode ajudar na proteção contra a exploração dessa vulnerabilidade alterando suas configurações, para que a zona de segurança da Internet bloqueie controles ActiveX e scripts ativos. É possível fazer isso configurando a segurança do navegador como Alta.

  Para aumentar o nível de segurança da navegação no Internet Explorer, siga estas etapas:

  1. No menu Ferramentas do Internet Explorer, clique em Opções da Internet.
  2. Na caixa de diálogo Opções da Internet, clique na guia Segurança e, em seguida, clique em Internet.
  3. Em Nível de segurança para esta zona, mova o controle deslizante para Alto. Isso define o nível de segurança para todos os sites visitados como Alto.
  4. Clique em Intranet local.
  5. Em Nível de segurança para esta zona, mova o controle deslizante para Alto. Isso define o nível de segurança para todos os sites visitados como Alto.
  6. Clique em OK para aceitar as alterações e retornar ao Internet Explorer.

  Observação Se o controle deslizante não estiver visível, clique em Nível padrão e então mova o controle deslizante para Alto.

  Observação A configuração do nível como Alto pode fazer com que alguns sites não funcionem corretamente. Se você encontrar dificuldades ao usar um site após alterar a configuração, mas tiver certeza de que o site é seguro, é possível adicionar esse site à lista de sites confiáveis. Isso permite que o site funcione corretamente, mesmo com a configuração de segurança definida como Alta.

  Impacto da solução alternativa. Há efeitos colaterais ao bloqueio de controles ActiveX e scripts ativos. Muitos sites que não estão na Internet ou na intranet usam controles ActiveX e scripts ativos para fornecer funcionalidade adicional. Por exemplo, um site de comércio eletrônico ou bancário online pode usar controles ActiveX para fornecer menus, formulários de pedidos ou até mesmo extratos de contas. O bloqueio de controles ActiveX ou scripts ativos é uma configuração global que afeta todos os sites da Internet e da intranet. Se você não quiser bloquear controles ActiveX e scripts ativos para esses sites, use os passos descritos em “Adicione sites confiáveis à zona Sites confiáveis do Internet Explorer”.

  Adicione sites confiáveis à zona Sites confiáveis do Internet Explorer

  Depois de definir o Internet Explorer para bloquear controles ActiveX e scripts ativos na zona da Internet e da Intranet local, você pode adicionar sites confiáveis à zona de Sites confiáveis do Internet Explorer. Isso permitirá que você continue usando os sites confiáveis exatamente como faz atualmente, enquanto ajuda a se proteger contra ataques em sites não confiáveis. É recomendável adicionar somente sites nos quais você confia à zona de Sites confiáveis.

  Para isso, execute as seguintes etapas:

  1. No Internet Explorer, clique em Ferramentas, clique em Opções da Internet e, em seguida, clique na guia Segurança.
  2. Na caixa Selecione uma zona de conteúdo da Web para especificar suas configurações de segurança, clique em Sites Confiáveis e, em seguida, clique em Sites.
  3. Se desejar adicionar sites que não requeiram um canal criptografado, clique para desmarcar a caixa de diálogo Exigir verificação do servidor (https:) para todos os sites desta zona.
  4. Na caixa Adicionar este site à zona, digite a URL de um site em que confia e, em seguida, clique em Adicionar.
  5. Repita essas etapas para cada site que você deseja adicionar à zona.
  6. Clique em OK duas vezes para aceitar as alterações e retornar ao Internet Explorer.

  Observação Adicione os sites que você tem certeza de que não realizarão ações mal-intencionadas em seu sistema. Dois em particular que você pode desejar adicionar são *.windowsupdate.microsoft.com e *.update.microsoft.com. Estes são os sites que hospedam a atualização, e é preciso ter um controle ActiveX para instalar a atualização.

• Configure o Internet Explorer para notificá-lo antes da execução de scripts ativos ou desabilite os scripts ativos na zona de segurança da Internet e da intranet local

  Para se proteger contra a exploração dessa vulnerabilidade, altere as configurações para ser notificado antes da execução de scripts ativos ou desabilite os scripts ativos na zona de segurança da Internet e da intranet local. Para isso, execute as seguintes etapas:

  1. No Internet Explorer, clique em Opções da Internet no menu Ferramentas.
  2. Clique na guia Segurança.
  3. Clique em Internet e, em seguida, clique em Nível Personalizado.
  4. Em Configurações, na seção Script, em Scripts Ativos, clique em Avisar  ou Desativar e, em seguida, clique em OK.
  5. Clique em Intranet local e, em seguida, clique em Nível Personalizado.
  6. Em Configurações, na seção Script, em Scripts Ativos, clique em Avisar  ou Desativar e, em seguida, clique em OK.
  7. Clique em OK duas vezes para retornar ao Internet Explorer.

  Observação Desabilitar os scripts ativos nas zonas de segurança da Internet e da intranet local poderá fazer com que alguns sites não funcionem corretamente. Se você encontrar dificuldades ao usar um site após alterar a configuração, mas tiver certeza de que o site é seguro, é possível adicionar esse site à lista de sites confiáveis. Isso permitirá que o site funcione adequadamente.

  Impacto da solução alternativa. Há efeitos colaterais para notificação antes da execução de scripts ativos. Muitos sites que não estão na Internet ou na intranet usam scripts ativos para fornecer funcionalidade adicional. Por exemplo, um site de comércio eletrônico ou bancário online pode usar controles ActiveX para fornecer menus, formulários de pedidos ou até mesmo extratos de contas. A notificação antes da execução dos scripts ativos é uma configuração global que afeta todos os sites da Internet e da intranet. Você será notificado frequentemente quando ativar essa solução alternativa. Para cada notificação, se achar que confia no site que está visitando, clique em Sim para executar os scripts ativos. Se não quiser ser avisado para todos esses sites, use os passos descritos em “Adicione sites confiáveis à zona Sites confiáveis do Internet Explorer”.

  Adicione sites confiáveis à zona Sites confiáveis do Internet Explorer

  Depois de definir o Internet Explorer para solicitar confirmação antes de executar controles ActiveX e scripts ativos na zona da Internet e da Intranet local, você pode adicionar sites confiáveis à zona de Sites confiáveis do Internet Explorer. Isso permitirá que você continue usando os sites confiáveis exatamente como faz atualmente, enquanto ajuda a proteger-se de ataques em sites não confiáveis. É recomendável adicionar somente sites nos quais você confia à zona de Sites confiáveis.

  Para isso, execute as seguintes etapas:

  1. No Internet Explorer, clique em Ferramentas, clique em Opções da Internet e, em seguida, clique na guia Segurança.
  2. Na caixa Selecione uma zona de conteúdo da Web para especificar suas configurações de segurança, clique em Sites Confiáveis e, em seguida, clique em Sites.
  3. Se desejar adicionar sites que não requeiram um canal criptografado, clique para desmarcar a caixa de diálogo Exigir verificação do servidor (https:) para todos os sites desta zona.
  4. Na caixa Adicionar este site à zona, digite a URL de um site em que confia e, em seguida, clique em Adicionar.
  5. Repita essas etapas para cada site que você deseja adicionar à zona.
  6. Clique em OK duas vezes para aceitar as alterações e retornar ao Internet Explorer.

  Observação Adicione os sites que você tem certeza de que não realizarão ações mal-intencionadas em seu sistema. Dois em particular que você pode desejar adicionar são *.windowsupdate.microsoft.com e *.update.microsoft.com. Estes são os sites que hospedam a atualização, e é preciso ter um controle ActiveX para instalar a atualização.

Qual é o escopo da vulnerabilidade? 
Essa é uma vulnerabilidade de execução remota de código no contexto do usuário atual.

O que provoca a vulnerabilidade? 
Quando o Internet Explorer tenta acessar um objeto na memória que foi excluído, a memória pode ser corrompida de tal maneira que um invasor pode executar código arbitrário no contexto do usuário atual.

Para que um invasor pode usar a vulnerabilidade? 
O invasor que explorar com êxito essa vulnerabilidade poderá obter os mesmos direitos que o usuário atual. Se um usuário atual tiver feito logon com direitos administrativos, o invasor que explorar com êxito essa vulnerabilidade poderá obter o controle total do sistema afetado. O invasor poderá instalar programas; exibir, alterar ou excluir dados; ou criar novas contas com direitos totais de usuário.

De que forma o invasor pode explorar a vulnerabilidade? 
O invasor pode hospedar um site especialmente projetado para explorar esta vulnerabilidade através do Internet Explorer e, então, convencer um usuário a exibir o site. O invasor também pode tirar proveito dos sites comprometidos e de sites que aceitam ou hospedam o conteúdo fornecido pelo usuário ou anúncios. Esses sites podem ter conteúdo especialmente criado para explorar essa vulnerabilidade. Em todos os casos, entretanto, o invasor não tem como forçar os usuários a exibir o conteúdo controlado pelo invasor. Em vez disso, o invasor precisa convencer os usuários a executar uma ação, normalmente clicando em um link em uma mensagem de email ou em uma mensagem do Instant Messenger que leve os usuários ao site do invasor ou abrindo um anexo enviado por email.

Quais são os principais sistemas que correm riscos com a vulnerabilidade? 
Sistemas em que o Internet Explorer é usado com frequência, como estações de trabalho ou servidores de terminal, estão mais expostos a essa vulnerabilidade.

Estou executando o Internet Explorer para Windows Server 2003, Windows Server 2008 ou Windows Server 2008 R2. Isto atenua esta vulnerabilidade? 
Sim. Por padrão, o Internet Explorer no Windows Server 2003, Windows Server 2008 e no Windows Server 2008 R2 é executado em um modo restrito, conhecido como Configuração de Segurança Reforçada. A Configuração de Segurança Reforçada é um grupo de configurações predefinidas do Internet Explorer que reduz a probabilidade de um usuário ou administrador baixar e executar um conteúdo da Web especialmente criado em um servidor. Este é um fator atenuante para sites que não tenham sido adicionados à zona Sites confiáveis do Internet Explorer.

O que é o Enhanced Mitigation Experience Toolkit v3.0 (EMET)? 
O Enhanced Mitigation Experience Toolkit (EMET) é um utilitário que ajuda a evitar que vulnerabilidades de software sejam exploradas com êxito. O EMET faz isso usando tecnologias de atenuação de segurança. Essas tecnologias funcionam como proteções especiais e obstáculos que o autor da exploração deve transpor para explorar vulnerabilidades de software. Essas tecnologias de atenuação de segurança não garantem que vulnerabilidades não possam ser exploradas, mas tenta dificultar o máximo possível a exploração. Em muitas situações, uma exploração totalmente funcional que possa ignorar o EMET talvez nunca possa ser realizada. Para obter mais informações, consulte o Artigo 2458544 da Microsoft Knowledge Base.

O EMET ajuda a atenuar ataques que tentam explorar esta vulnerabilidade? 
Sim. O Enhanced Mitigation Experience Toolkit (EMET) ajuda a atenuar a exploração desta vulnerabilidade adicionando mais camadas de proteção que tornam a vulnerabilidade mais difícil de explorar. EMET é um utilitário que ajuda a evitar que as vulnerabilidades nos softwares sejam exploradas para executar códigos, aplicando as últimas tecnologias de atenuação de segurança. Desta vez, o EMET é fornecido com suporte limitado e está somente disponível na língua inglesa. Para obter mais informações, consulte o Artigo 2458544 da Microsoft Knowledge Base.

O que é ASLR (Address Space Layout Randomization)? 
Sistemas que implementam o ASLR (Address Space Layout Randomization) realocam pontos de entrada de funções que normalmente seriam previsíveis de maneira pseudoaleatória na memória. As janelas ASLR restabelecem o sistema DLL e executáveis em um dos 256 locais aleatórios na memória. Portanto, invasores que usam endereços inseridos no código têm probabilidade de "adivinhar corretamente" em uma a cada 256 vezes. Para obter mais informações sobre ASLR, consulte o artigo da revista TechNet Inside the Windows Vista Kernel: Part 3.

O que a atualização faz? 
A atualização elimina a vulnerabilidade modificando a maneira como o Internet Explorer manipula objetos na memória.

Quando esse boletim de segurança foi lançado, essa vulnerabilidade já tinha sido divulgada publicamente? 
Sim. Essa vulnerabilidade foi divulgada publicamente. Ela recebeu o número CVE-2012-4969 da lista Common Vulnerability and Exposure. Esta vulnerabilidade foi descrita pela primeira vez no Comunicado de Segurança da Microsoft 2757760.

Quando este boletim de segurança foi lançado, a Microsoft tinha recebido algum relatório informando que essa vulnerabilidade estava sendo explorada? 
Sim. A Microsoft está ciente dos ataques limitados que tentam explorar essa vulnerabilidade.

Tabela de referência

A tabela a seguir contém as informações de atualização de segurança desse software. Você pode encontrar informações adicionais na subseção Informações de implantação, nesta seção.

Observação a atualização para as versões com suporte do Windows XP Professional x64 Edition também se aplica a versões suportadas do Windows Server 2003 x64 Edition.

Tabela de referência

A tabela a seguir contém as informações de atualização de segurança desse software. Você pode encontrar informações adicionais na subseção Informações de implantação, nesta seção.

Observação a atualização para as versões com suporte do Windows Server 2003 x64 Edition também se aplica a versões suportadas do Windows XP Professional x64 Edition.

Tabela de referência

A tabela a seguir contém as informações de atualização de segurança desse software. Você pode encontrar informações adicionais na subseção Informações de implantação, nesta seção.

Tabela de referência

A tabela a seguir contém as informações de atualização de segurança desse software. Você pode encontrar informações adicionais na subseção Informações de implantação, nesta seção.

Tabela de referência

A tabela a seguir contém as informações de atualização de segurança desse software. Você pode encontrar informações adicionais na subseção Informações de implantação, nesta seção.

Tabela de referência

A tabela a seguir contém as informações de atualização de segurança desse software. Você pode encontrar informações adicionais na subseção Informações de implantação, nesta seção.