Microsoft Security Bulletin MS12-066 - Importante

Vulnerabilidade de limpeza de HTML pode permitir a elevação de privilégios (2741517)

Publicado: terça-feira, 9 de outubro de 2012 | Atualizado: terça-feira, 23 de outubro de 2012

Versão: 1.3

Informações Gerais

Sinopse

Esta atualização de segurança resolve uma vulnerabilidade publicamente divulgada no Microsoft Office, Plataformas de Comunicações Microsoft, softwares de servidor da Microsoft e Microsoft Office Web Apps. A vulnerabilidade pode permitir a elevação de privilégios se um invasor enviar conteúdo especialmente criado para um usuário.

Esta atualização de segurança é classificada como Importante para edições com suporte do Microsoft InfoPath 2007, Microsoft InfoPath 2010, Microsoft Communicator 2007 R2, Microsoft Lync 2010, Microsoft Lync 2010 Attendee, Microsoft SharePoint Server 2007, Microsoft SharePoint Server 2010, Microsoft Groove Server 2010, Microsoft SharePoint Windows Services 3.0, Microsoft SharePoint Foundation 2010 e Microsoft Office Web Apps 2010. Para obter mais informações, consulte a subseção Softwares afetados e não afetados, nesta seção.

A atualização de segurança elimina a vulnerabilidade, modificando a maneira como as strings de HTML são desinfetadas. Para obter mais informações sobre a vulnerabilidade, consulte a subseção Perguntas frequentes na próxima seção, Informações da vulnerabilidade.

Recomendação. Os clientes podem configurar a atualização automática para procurar atualizações online do Microsoft Update, usando o serviço Microsoft Update. Os clientes com a atualização automática habilitada e configurada para procurar atualizações online a partir do Microsoft Update geralmente não precisarão tomar nenhuma providência porque esta atualização de segurança será baixada e instalada automaticamente. Os clientes que não têm o recurso de atualizações automáticas habilitado precisarão verificar as atualizações do Microsoft Update e instalar esta atualização manualmente. Para obter informações sobre opções de configuração específicas na atualização automática em edições com suporte do Windows XP e Windows Server 2003, consulte o Artigo 294871 (em inglês) da Microsoft Knowledge Base. Para obter informações sobre a atualização automática nas edições com suporte do Windows Vista, Windows Server 2008, Windows 7 e Windows Server 2008 R2, consulte Understanding Windows automatic updating.

Para instalações feitas por administradores ou empresas, ou por usuários finais que desejam instalar esta atualização de segurança manualmente, a Microsoft recomenda que os clientes apliquem a atualização assim que possível usando software de gerenciamento de atualização ou verificando se há atualizações no serviço Microsoft Update.

Consulte também a seção Orientação e ferramentas de detecção e implantação mais adiante neste boletim.

Problemas conhecidos. O artigo 2741517 (em inglês) da Microsoft Knowledge Base documenta os problemas atualmente conhecidos que os clientes podem enfrentar ao instalar esta atualização de segurança. O artigo também documenta as soluções recomendadas para esses problemas. Quando problemas atualmente conhecidos e soluções recomendadas pertencem somente a lançamentos específicos deste software, este artigo fornece links para outros artigos.

Softwares afetados e não afetados

Os softwares a seguir foram testados para determinar quais versões ou edições foram afetadas. O ciclo de vida do suporte das outras versões ou edições já terminou ou elas não são afetadas. Para determinar o ciclo de vida do suporte para sua versão ou edição de software, visite o site Ciclo de vida do suporte Microsoft.

Softwares afetados

Microsoft Office

Software	Impacto máximo à segurança	Avaliação de gravidade agregada	Atualizações substituídas
Microsoft InfoPath 2007 Service Pack 2 (KB2687439) Microsoft InfoPath 2007 Service Pack 2 (KB2687440)	Elevação de privilégio	Importante	KB2596666 no MS12-050 substituído por KB2687439 KB2596786 no MS12-050 substituído por KB2687440
Microsoft InfoPath 2007 Service Pack 3 (KB2687439) Microsoft InfoPath 2007 Service Pack 3 (KB2687440)	Elevação de privilégio	Importante	KB2596666 no MS12-050 substituído por KB2687439 KB2596786 no MS12-050 substituído por KB2687440
Microsoft InfoPath 2010 Service Pack 1 (edições de 32 bits) (KB2687436) Microsoft InfoPath 2010 Service Pack 1 (edições de 32 bits) (KB2687417)	Elevação de privilégio	Importante	KB2596666 no MS12-050 substituído por KB2687439 KB2596786 no MS12-050 substituído por KB2687440
Microsoft InfoPath 2010 Service Pack 1 (edições de 64 bits) (KB2687436) Microsoft InfoPath 2010 Service Pack 1 (edições de 64 bits) (KB2687417)	Elevação de privilégio	Importante	KB2596666 no MS12-050 substituído por KB2687439 KB2596786 no MS12-050 substituído por KB2687440

Software e Plataformas do Microsoft Communications

Software	Impacto máximo à segurança	Avaliação de gravidade agregada	Atualizações substituídas
Microsoft Communicator 2007 R2 (KB2726391)	Divulgação não autorizada de informação	Importante	KB2708980 no MS12-039 substituído por KB2726391
Microsoft Lync 2010 (32 bits) (KB2726382)	Divulgação não autorizada de informação	Importante	KB2708980 no MS12-039 substituído por KB2726391
Microsoft Lync 2010 (64 bits) (KB2726382)	Divulgação não autorizada de informação	Importante	KB2708980 no MS12-039 substituído por KB2726391
Microsoft Lync 2010 Attendee (instalação de nível administrativo) (KB2726388) Microsoft Lync 2010 Attendee^[1] (instalação de nível usuário) (KB2726384)	Divulgação não autorizada de informação	Importante	KB2708980 no MS12-039 substituído por KB2726391 KB2693283 no MS12-039 substituído por KB2726384

^[1]Esta atualização está disponível somente no Centro de Download da Microsoft.

Microsoft Server Software

Software	Pacote de atualização	Impacto máximo à segurança	Avaliação de gravidade agregada	Atualizações substituídas
Microsoft SharePoint Server
Microsoft SharePoint Server 2007 Service Pack 2 (edições de 32 bits)	Microsoft SharePoint Server 2007 Service Pack 2 (coreserver) (edições de 32 bits)^[1](KB2687405)	Elevação de privilégio	Importante	KB2596663 no MS12-050 substituído por KB2687405
Microsoft SharePoint Server 2007 Service Pack 3 (edições de 32 bits)	Microsoft SharePoint Server 2007 Service Pack 3 (coreserver) (edições de 32 bits)^[1](KB2687405)	Elevação de privilégio	Importante	KB2596663 no MS12-050 substituído por KB2687405
Microsoft SharePoint Server 2007 Service Pack 2 (edições de 64 bits)	Microsoft SharePoint Server 2007 Service Pack 2 (coreserver) (edições de 64 bits)^[1](KB2687405)	Elevação de privilégio	Importante	KB2596663 no MS12-050 substituído por KB2687405
Microsoft SharePoint Server 2007 Service Pack 3 (edições de 64 bits)	Microsoft SharePoint Server 2007 Service Pack 3 (coreserver) (edições de 64 bits)^[1](KB2687405)	Elevação de privilégio	Importante	KB2596663 no MS12-050 substituído por KB2687405
Microsoft SharePoint Server 2010 Service Pack 1	Microsoft SharePoint Server 2010 Service Pack 1 (wosrv) (KB2687435) Microsoft SharePoint Server 2010 Service Pack 1 (coreserver) (KB2589280)	Elevação de privilégio	Importante	KB2553424 no MS12-050 substituído por KB2687435 KB2553194 no MS12-050 substituído por KB2589280
Microsoft Groove Server
Microsoft Groove Server 2010 Service Pack 1 (KB2687402)	Não Aplicável	Elevação de privilégio	Importante	KB2589325 no MS12-050 substituído por KB2687402
Windows SharePoint Services e Microsoft SharePoint Foundation
Microsoft Windows SharePoint Services 3.0 Service Pack 2 (versão de 32 bits) (KB2687356)	Não Aplicável	Elevação de privilégio	Importante	KB2596911 no MS12-050 substituído por KB2687356
Microsoft Windows SharePoint Services 3.0 Service Pack 3 (versão de 32 bits) (KB2687356)	Não Aplicável	Elevação de privilégio	Importante	Nenhuma
Microsoft Windows SharePoint Services 3.0 Service Pack 2 (versões de 64 bits) (KB2687356)	Não Aplicável	Elevação de privilégio	Importante	KB2596911 no MS12-050 substituído por KB2687356
Microsoft Windows SharePoint Services 3.0 Service Pack 3 (versão de 64 bits) (KB2687356)	Não Aplicável	Elevação de privilégio	Importante	Nenhuma
Microsoft SharePoint Foundation 2010 Service Pack 1 (KB2687434)	Não Aplicável	Elevação de privilégio	Importante	KB2553365 no MS12-050 substituído por KB2687434

^[1]Para edições com suporte do Microsoft SharePoint Server 2007, além do pacote de atualização de segurança para o Microsoft SharePoint 2007 (KB2687405), os clientes também precisam instalar a atualização de segurança para Microsoft Windows SharePoint Services 3.0 (KB2687356) para ficarem protegidos contra a vulnerabilidade descrita neste boletim.

Microsoft Office Web Apps

Software	Componente	Impacto máximo à segurança	Avaliação de gravidade agregada	Atualizações substituídas
Microsoft Office Web Apps 2010 Service Pack 1 (KB2687401)	Não Aplicável	Elevação de privilégio	Importante	KB2598239 no MS12-050 substituído por KB2687401

Softwares não afetados

Office e outros softwares
Microsoft Communicator 2005
Microsoft Communicator 2005 Web Access
Microsoft Communicator 2007
Microsoft Communicator 2007 Web Access
Microsoft Communications Server 2007
Microsoft Communications Server 2007 Speech Server
Microsoft Communications Server 2007 R2
Microsoft Communicator 2007 R2 Attendant
Microsoft Communicator 2007 R2 Group Chat Admin
Microsoft Communicator 2007 R2 Group Chat Client
Microsoft Live Meeting 2007 Console
Microsoft Communicator for Mac 2011
Microsoft Communicator Mobile
Microsoft Communicator Phone Edition
Microsoft Lync Server 2010
Microsoft Lync 2010 Attendant (32 bits)
Microsoft Lync 2010 Attendant (64 bits)
Microsoft Lync 2010 Group Chat
Microsoft Lync Server 2010 Group Chat Software Development Kit
Microsoft Lync for Mac 2011
Microsoft Groove 2007 Service Pack 2
Microsoft Groove 2007 Service Pack 3
Microsoft Groove Server 2007 Service Pack 2
Microsoft Groove Server 2007 Service Pack 3
Microsoft InfoPath 2003 Service Pack 3
Microsoft Live Communications Server 2003
Microsoft Live Communications Server 2005 Service Pack 1
Microsoft SharePoint Portal Server 2003 Service Pack 3 (edições de 32 bits)
Microsoft SharePoint Portal Server 2003 Service Pack 3 (edições de 64 bits)
Microsoft Speech Server 2004
Microsoft Speech Server 2004 R2
Microsoft Windows SharePoint Services 2.0 (edições de 32 bits)
Microsoft Windows SharePoint Services 2.0 (edições de 64 bits)
Microsoft SharePoint Workspace 2010 Service Pack 1 (edições de 32 bits)
Microsoft SharePoint Workspace 2010 Service Pack 1 (edições de 64 bits)

Perguntas frequentes relacionadas a esta atualização de segurança

Como o MS12-064 está relacionado a este boletim(MS12-066)?
Os pacotes de atualização de segurança do Microsoft Office Web Apps 2010 Service Pack 1 (KB2687401) oferecidos neste boletim, MS12-066, também abordam as vulnerabilidades descritas no boletim de segurança MS12-064.

O componente do Microsoft Office abordado neste boletim faz parte do Microsoft Office Suite que eu tenho instalado no meu sistema. No entanto, optei por não instalar esse componente específico. Esta atualização será oferecida a mim?
Sim, se o componente abordado neste boletim tiver sido fornecido com a versão do Microsoft Office Suite instalada em seu sistema, serão oferecidas atualizações ao sistema estando o componente instalado ou não. A lógica de detecção usada para verificar os sistemas afetados é projetada para procurar atualizações para todos os componentes fornecidos com o Microsoft Office Suite em questão e oferecê-las ao sistema. Os usuários que optarem por não aplicar uma atualização a um componente que não esteja instalado, mas que seja fornecido com a versão do Microsoft Office Suite, não aumentarão o risco de segurança desse sistema. Por outro lado, os usuários que optarem por instalar a atualização não sofrerão um impacto negativo na segurança nem no desempenho de um sistema.

Por exemplo, o Microsoft InfoPath 2010 está incluso no Microsoft Office Professional Plus 2010. Aos sistemas com o Microsoft Office Professional Plus 2010, serão oferecidas atualizações para o InfoPath 2010 estando ele instalado ou não. Este não é o caso do Microsoft Office Standard 2010, porque o InfoPath 2010 não está incluso no Office Standard 2010.

A oferta para atualizar uma versão não vulnerável do Microsoft Office representa um problema no mecanismo de atualização da Microsoft?
Não, o mecanismo de atualização está funcionando perfeitamente já que detecta uma versão mais antiga dos arquivos no sistema do que a versão do pacote de utilização e, portanto, oferece a atualização.

Por que diversos pacotes de atualização estão disponíveis para alguns softwares afetados?
As atualizações necessárias para sanar as vulnerabilidades descritas neste boletim são oferecidas através de diferentes atualizações de pacote de servidor, como indicado na tabela Softwares afetados, devido ao modelo de serviços para componentes para o Microsoft Office e o Microsoft SharePoint Server.

Há vários pacotes de atualização disponíveis para algum software afetado. Eu devo instalar todas as atualizações listadas na tabela de Softwares afetados para o software?
Sim. Os clientes devem aplicar todas as atualizações oferecidas para o software instalado em seus sistemas.

Para instalações de administradores e empresas, ou usuários finais que desejam instalar esta atualização de segurança manualmente, dependendo de sua configuração do Microsoft Office SharePoint Server, nem todas as atualizações de pacote de servidor listadas neste boletim são aplicáveis. Para obter mais informações sobre a aplicabilidade destas atualizações de pacote de servidor em um ambiente SharePoint, consulte o Artigo 2741517 (em inglês) da Microsoft Knowledge Base.

Devo instalar estas atualizações de segurança em uma determinada sequência?
Não. Várias atualizações para uma versão do Microsoft Office ou Microsoft SharePoint Server podem ser aplicadas em qualquer sequência.

O que é o Microsoft Groove Server 2010?
O Microsoft Groove Server 2010 fornece serviços abrangentes para gerenciar o Microsoft SharePoint Workspace. O Groove Server 2010 contém dois componentes: Groove Server 2010 Manager e Groove Server 2010 Relay, sendo que cada um deles é executado em um servidor Windows em uma rede empresarial.

Qual é a relação entre o Microsoft Windows SharePoint Services 3.0 e o Microsoft Office SharePoint Server 2007?
O Microsoft Office SharePoint Server 2007 é um conjunto integrado de recursos de servidor criado sobre as bases do Windows SharePoint Services 3.0.

Para sistemas com o Microsoft Office SharePoint Server 2007 instalado, você precisará aplicar a atualização KB2687356 para Windows SharePoint Services 3.0. Não há nenhuma configuração onde você somente possa ter o Microsoft Office SharePoint Server 2007 e não os Microsoft Windows SharePoint Services 3.0.

O que é o Microsoft SharePoint Services 3.0?
O Windows SharePoint Services 3.0 fornece uma plataforma para aplicativos de colaboração, oferecendo uma estrutura comum para gerenciamento de documentos e um repositório comum para o armazenamento de documentos de todos os tipos. Ele expõe os principais serviços do Windows Server, como Windows Workflow Services e Windows Rights Management Services.

O Windows SharePoint Services 3.0 é fornecido como um download gratuito para edições com suporte do Windows Server 2003 e do Windows Server 2008.

O que é o Microsoft SharePoint Foundation 2010?
O Microsoft SharePoint Foundation 2010 é a nova versão dos Microsoft Windows SharePoint Services. É a solução essencial para organizações que precisam de uma plataforma de colaboração segura e gerenciável baseada na Web. O SharePoint ajuda as equipes a permanecer conectadas e produtivas proporcionando acesso fácil a pessoas, documentos e informações de que elas precisam para tomar decisões bem informadas e dar conta do trabalho. Use o SharePoint Foundation para coordenar programações, organizar documentos e participar de discussões valendo-se de espaços de trabalho, blogs, wikis e bibliotecas de documentos na plataforma que é a infraestrutura subjacente do SharePoint Server.

Onde estão os detalhes das informações sobre o arquivo?
Consulte as tabelas de referência na seção Implantação de atualização de segurança para o local dos detalhes de informações sobre o arquivo.

Por que a atualização do Lync 2010 Attendee (instalação de nível usuário) somente está disponível no Centro de Download da Microsoft?
A Microsoft está lançando a atualização do Lync 2010 Attendee (instalação de nível usuário) somente para o Centro de Download da Microsoft. Como a instalação de nível usuário do Lync 2010 Attendee é manipulada por uma sessão do Lync, métodos de distribuição, como atualizações automáticas, não são apropriados para este tipo de cenário de instalação.

On de estão os hashes das atualizações de segurança?
Os hashes SHA1 e SHA2 das atualizações de segurança podem ser usados para verificar a autenticidade de pacotes de atualização de segurança baixados. Para informações sobre hashes pertencentes a esta atualização, consulte o artigo 2741517 (em inglês) da Microsoft Knowledge Base.

Uso uma versão mais antiga do software discutido neste boletim de segurança. O que devo fazer?
Os softwares afetados listados neste boletim foram testados para determinar que versões são afetadas. Outras versões passaram seu ciclo de vida de suporte. Para obter mais informações sobre o ciclo de vida do produto, visite o site Ciclo de vida do suporte Microsoft.

Os clientes que possuem versões anteriores do software devem priorizar a migração para as versões com suporte, a fim de evitar uma possível exposição a vulnerabilidades. Para determinar o ciclo de vida do suporte para sua versão de software, consulte Selecione um Produto para Obter Informações do Ciclo de Vida. Para obter mais informações sobre service packs para essas versões de software, consulte Política de Suporte do Ciclo de Vida do Service Pack.

Os clientes que precisarem de suporte adicional para software mais antigo deverão entrar em contato com o representante da equipe de contas da Microsoft, o gerente técnico da conta ou o representante do parceiro Microsoft apropriado para obter opções de suporte personalizadas. Os clientes sem um contrato Alliance, Premier ou Authorized podem entrar em contato com o escritório de vendas local da Microsoft. Para obter informações de contato, visite o site de Informações internacionais da Microsoft, selecione o país na lista de informações de contato e, em seguida, clique em Ir para ver uma lista de telefones. Ao ligar, peça para falar com o gerente de vendas local de Suporte Premier. Para obter mais informações, consulte as Perguntas Frequentes sobre a Política do Ciclo de Vida do Suporte da Microsoft.

Informações sobre a vulnerabilidade

Classificação de gravidade e Identificadores de vulnerabilidade

As classificações de gravidade a seguir pressupõem o impacto máximo possível da vulnerabilidade. Para obter informações referentes à probabilidade de exploração da vulnerabilidade em relação à sua classificação de gravidade e ao impacto à segurança, em até 30 dias a partir do lançamento deste boletim de segurança, consulte o Índice de exploração no resumo de boletins de outubro. Para obter mais informações, consulte o Índice de exploração da Microsoft.

A Classificação de gravidade de vulnerabilidade e Impacto máximo de segurança por software afetado
Softwares afetados	Vulnerabilidade de sanitização de HTML - CVE-2012-2520	Avaliação de gravidade agregada
Software Cliente do Microsoft Office
Microsoft InfoPath 2007 Service Pack 2	Importante Elevação de privilégio	Importante
Microsoft InfoPath 2007 Service Pack 3	Importante Elevação de privilégio	Importante
Microsoft InfoPath 2010 Service Pack 1 (edições de 32 bits)	Importante Elevação de privilégio	Importante
Microsoft InfoPath 2010 Service Pack 1 (edições de 64 bits)	Importante Elevação de privilégio	Importante
Software e Plataformas do Microsoft Communications
Microsoft Communicator 2007 R2	Importante Divulgação não autorizada de informação	Importante
Microsoft Lync 2010 (32 bits)	Importante Divulgação não autorizada de informação	Importante
Microsoft Lync 2010 (64 bits)	Importante Divulgação não autorizada de informação	Importante
Microsoft Lync 2010 Attendee (instalação de nível administrativo)	Importante Divulgação não autorizada de informação	Importante
Microsoft Lync 2010 Attendee (instalação de nível usuário)	Importante Divulgação não autorizada de informação	Importante
Microsoft SharePoint Server
Microsoft SharePoint Server 2007 Service Pack 2 (edições de 32 bits)	Importante Elevação de privilégio	Importante
Microsoft SharePoint Server 2007 Service Pack 2 (edições de 64 bits)	Importante Elevação de privilégio	Importante
Microsoft SharePoint Server 2007 Service Pack 3 (edições de 32 bits)	Importante Elevação de privilégio	Importante
Microsoft SharePoint Server 2007 Service Pack 3 (edições de 64 bits)	Importante Elevação de privilégio	Importante
Microsoft SharePoint Server 2010 Service Pack 1	Importante Elevação de privilégio	Importante
Microsoft Groove Server
Microsoft Groove Server 2010 Service Pack 1	Importante Elevação de privilégio	Importante
Windows SharePoint Services e Microsoft SharePoint Foundation
Microsoft Windows SharePoint Services 3.0 Service Pack 2 (versão de 32 bits)	Importante Elevação de privilégio	Importante
Microsoft Windows SharePoint Services 3.0 Service Pack 3 (versão de 32 bits)	Importante Elevação de privilégio	Importante
Microsoft Windows SharePoint Services 3.0 Service Pack 2 (versões de 64 bits)	Importante Elevação de privilégio	Importante
Microsoft Windows SharePoint Services 3.0 Service Pack 3 (versão de 64 bits)	Importante Elevação de privilégio	Importante
Microsoft SharePoint Foundation 2010 Service Pack 1	Importante Elevação de privilégio	Importante
Microsoft Office Web Apps
Microsoft Office Web Apps 2010 Service Pack 1	Importante Elevação de privilégio	Importante

Vulnerabilidade de sanitização de HTML - CVE-2012-2520

Existe uma vulnerabilidade de elevação de privilégios na maneira como as strings de HTML são desinfetadas. O invasor que explore esta vulnerabilidade com êxito pode executar ataques de script entre sites e executar scripts no contexto de segurança do usuário conectado.

Para exibir esta vulnerabilidade como uma entrada padrão na lista Common Vulnerabilities and Exposures, consulte CVE-2012-2520.

Fatores atenuantes da Vulnerabilidade de sanitização de HTML - CVE-2012-2520

Soluções alternativas para a Vulnerabilidade de sanitização de HTML - CVE-2012-2520

Perguntas frequentes sobre a Vulnerabilidade de sanitização de HTML - CVE-2012-2520

Qual é o escopo da vulnerabilidade?
Esta é uma vulnerabilidade de elevação de privilégio.

O que provoca a vulnerabilidade?
A vulnerabilidade é causada pela maneira como as strings HTML são desinfetadas.

Para que um invasor pode usar a vulnerabilidade?
Um invasor que explorar com êxito esta vulnerabilidade pode ler o conteúdo que o invasor não está autorizado a ler ou usar a identidade da vítima para realizar ações em nome da vítima ou aplicativo.

De que forma o invasor pode explorar a vulnerabilidade?
Para explorar esta vulnerabilidade, o invasor deve convencer o usuário a clicar em um link que vai para uma URL especialmente criada, ou enviar uma mensagem de chat especialmente criada para o usuário.

Em um cenário de ataque pela Web, o invasor terá de hospedar um site que contenha uma URL especialmente criada direcionada ao site específico do SharePoint usado para tentar explorar esta vulnerabilidade. Além disso, sites comprometidos e sites que aceitem ou hospedem conteúdo fornecido pelo usuário podem conter conteúdo especialmente desenvolvido que pode explorar esta vulnerabilidade. Não há como um invasor forçar usuários a visitar o site especialmente criado. Em vez disso, o invasor teria que convencê-los a visitar o site, geralmente fazendo com que eles cliquem em um link em um e-mail ou mensagem do Instant Messenger que leva o usuário ao site do invasor.

Num cenário de ataque por chat, o invasor deve ter a capacidade de enviar um script especialmente criado a uma janela do Lync ou do Microsoft Communicator. Devido à vulnerabilidade, em situações específicas, o script especialmente criado não é adequadamente limpo e, por conseguinte, isso pode levar à execução do script fornecido pelo invasor no contexto de segurança de um usuário que exiba o conteúdo mal-intencionado.

Para ataques de script entre sites, esta vulnerabilidade requer que o usuário receba uma mensagem de chat especialmente criada para que uma ação mal-intencionada ocorra.

Quais são os principais sistemas que correm riscos com a vulnerabilidade?
Sistemas em que o Microsoft Lync ou Communicator são usados frequentemente e ambientes em que os usuários se conectam a um servidor do SharePoint estão mais expostos a riscos por esta vulnerabilidade.

O que é limpeza de HTML?
Limpeza de HTML é um processo que restringe o HTML a elementos que podem ser exibidos com segurança num navegador.

O que a atualização faz?
A atualização elimina a vulnerabilidade, modificando a maneira como as strings de HTML são desinfetadas.

Quando esse boletim de segurança foi lançado, essa vulnerabilidade já tinha sido divulgada publicamente?
Sim. Essa vulnerabilidade foi divulgada publicamente. Ela recebeu o número CVE-2012-2520 da lista Common Vulnerability and Exposure.

Quando este boletim de segurança foi lançado, a Microsoft tinha recebido algum relatório informando que essa vulnerabilidade estava sendo explorada?
Sim. A Microsoft está ciente dos ataques direcionados que tentam explorar a vulnerabilidade.

Informações da atualização

Orientação e ferramentas de detecção e implantação

Central de Segurança

Gerencie as atualizações de software e segurança que você precisa instalar em servidores, computadores desktop e notebooks em sua organização. Para obter mais informações, consulte o Centro de Gerenciamento de Atualização do Technet. O site Microsoft TechNet Security fornece informações adicionais sobre segurança em produtos da Microsoft.

As atualizações de segurança estão disponíveis no Microsoft Update e no Windows Update. As atualizações de segurança também estão disponíveis no Centro de Download da Microsoft. Você poderá encontrá-las com mais facilidade executando uma pesquisa com a palavra-chave "atualização de segurança".

Por fim, as atualizações de segurança podem ser baixadas do Microsoft Update Catalog. O Microsoft Update Catalog fornece um catálogo pesquisável de conteúdo disponibilizado por meio do Windows Update e Microsoft Update, incluindo atualizações de segurança, drivers e service packs. Ao pesquisar usando o número do boletim de segurança (como "MS12-001"), é possível adicionar todas as atualizações aplicáveis à sua cesta (incluindo idiomas diferentes para uma atualização) e baixá-las na pasta de sua escolha. Para obter mais informações sobre o Microsoft Update Catalog, consulte as Perguntas Frequentes sobre Microsoft Update Catalog.

Orientação de detecção e implantação:

A Microsoft oferece orientações de detecção e implantação de atualizações de segurança. Essas orientações contêm recomendações e informações que podem ajudar os profissionais de TI a entender como usar várias ferramentas para detecção e implantação de atualizações de segurança. Para obter mais informações, consulte o Artigo 961747 (em inglês) da Microsoft Knowledge Base.

Microsoft Baseline Security Analyzer

O MBSA (Microsoft Baseline Security Analyzer) permite aos administradores pesquisar, em sistemas locais e remotos, atualizações de segurança ausentes e problemas de configuração de segurança comuns. Para obter mais informações, consulte o Microsoft Baseline Security Analyzer.

A tabela a seguir fornece o resumo de detecção do MBSA para esta atualização de segurança.

Software	MBSA
Microsoft InfoPath 2007 Service Pack 2	Sim
Microsoft InfoPath 2007 Service Pack 3	Sim
Microsoft InfoPath 2010 Service Pack 1 (edições de 32 bits)	Sim
Microsoft InfoPath 2010 Service Pack 1 (edições de 64 bits)	Sim
Microsoft Communicator 2007 R2	Sim
Microsoft Lync 2010 (32 bits)	Sim
Microsoft Lync 2010 (64 bits)	Sim
Microsoft Lync 2010 Attendee (instalação de nível administrativo)	Sim
Microsoft Lync 2010 Attendee (instalação de nível usuário)	Não
Microsoft Office SharePoint Server 2007 Service Pack 2 (edições de 32 bits)	Sim
Microsoft Office SharePoint Server 2007 Service Pack 3 (edições de 32 bits)	Sim
Microsoft Office SharePoint Server 2007 Service Pack 2 (edições de 64 bits)	Sim
Microsoft Office SharePoint Server 2007 Service Pack 3 (edições de 64 bits)	Sim
Microsoft SharePoint Server 2010 Service Pack 1	Sim
Microsoft Groove Server 2010 Service Pack 1	Sim
Microsoft Windows SharePoint Services 3.0 Service Pack 2 (versão de 32 bits)	Sim
Microsoft Windows SharePoint Services 3.0 Service Pack 3 (versão de 32 bits)	Sim
Microsoft Windows SharePoint Services 3.0 Service Pack 2 (versões de 64 bits)	Sim
Microsoft Windows SharePoint Services 3.0 Service Pack 3 (versão de 64 bits)	Sim
SharePoint Foundation 2010 Service Pack 1	Sim
Microsoft Office Web Apps 2010 Service Pack 1	Sim

Observação Para os clientes que usam software herdado sem suporte pela versão mais recente do MBSA, Microsoft Update e Windows Server Update Services: consulte o Microsoft Baseline Security Analyzer e consulte a seção Suporte ao produto herdado sobre como criar a detecção de atualização de segurança abrangente com ferramentas herdadas.

Windows Server Update Services

O WSUS (Windows Server Update Services) permite que administradores de tecnologia da informação implantem as mais recentes atualizações de produtos Microsoft em computadores que executem o sistema operacional Windows. Para obter mais informações sobre como implantar atualizações de segurança usando o recurso Windows Server Update Services, consulte o artigo da TechNet Windows Server Update Services (em inglês).

Systems Management Server

A tabela a seguir fornece o resumo de detecção de SMS para esta atualização de segurança.

Software	SMS 2003 com ITMU	System Center Configuration Manager
Microsoft InfoPath 2007 Service Pack 2	Sim	Sim
Microsoft InfoPath 2007 Service Pack 3	Sim	Sim
Microsoft InfoPath 2010 Service Pack 1 (edições de 32 bits)	Sim	Sim
Microsoft InfoPath 2010 Service Pack 1 (edições de 64 bits)	Sim	Sim
Microsoft Communicator 2007 R2	Sim	Sim
Microsoft Lync 2010 (32 bits)	Sim	Sim
Microsoft Lync 2010 (64 bits)	Sim	Sim
Microsoft Lync 2010 Attendee (instalação de nível administrativo)	Sim	Sim
Microsoft Lync 2010 Attendee (instalação de nível usuário)	Não	Não
Microsoft Office SharePoint Server 2007 Service Pack 2 (edições de 32 bits)	Sim^[1]	Sim^[1]
Microsoft Office SharePoint Server 2007 Service Pack 3 (edições de 32 bits)	Sim^[1]	Sim^[1]
Microsoft Office SharePoint Server 2007 Service Pack 2 (edições de 64 bits)	Sim^[1]	Sim^[1]
Microsoft Office SharePoint Server 2007 Service Pack 3 (edições de 64 bits)	Sim^[1]	Sim^[1]
Microsoft SharePoint Server 2010 Service Pack 1	Sim^[1]	Sim^[1]
Microsoft Groove Server 2010 Service Pack 1	Sim	Sim
Microsoft Windows SharePoint Services 3.0 Service Pack 2 (versão de 32 bits)	Sim	Sim
Microsoft Windows SharePoint Services 3.0 Service Pack 3 (versão de 32 bits)	Sim	Sim
Microsoft Windows SharePoint Services 3.0 Service Pack 2 (versões de 64 bits)	Sim	Sim
Microsoft Windows SharePoint Services 3.0 Service Pack 3 (versão de 64 bits)	Sim	Sim
SharePoint Foundation 2010 Service Pack 1	Sim	Sim
Microsoft SharePoint Server 2010 Service Pack 1	Sim	Sim

^[1] A tabela de detecção descrita acima é baseada em implantações do Microsoft Office SharePoint Server 2007 e Microsoft SharePoint Server 2010 em um único servidor. As ferramentas de detecção não detectam a aplicabilidade da atualização em sistemas configurados como parte de farms de servidores do SharePoint de vários sistemas.

Observação a Microsoft descontinuou o suporte para SMS 2.0 em 12 de abril de 2011. Para SMS 2003, a Microsoft também descontinuou o suporte da Ferramenta de inventário de atualização de segurança (SUIT) em 12 de abril de 2011. Os clientes devem atualizar o System Center Configuration Manager. Para clientes que permanecem com SMS 2003 Service Pack 3, a Ferramenta de inventário para atualizações da Microsoft (ITMU) é também uma opção.

Para o SMS 2003, a ferramenta Inventário do SMS 2003 para Microsoft Updates pode ser usada pelo SMS para detectar as atualizações de segurança oferecidas pelo Microsoft Update e que tenham suporte do Windows Server Update Services. Para obter mais informações sobre a ITMU do SMS 2003, consulte Inventory Tool do SMS 2003 para Microsoft Updates. Para obter mais informações sobre as ferramentas de varredura de SMS, consulte SMS 2003 Software Update Scanning Tools. Consulte também Downloads para Systems Management Server 2003.

O System Center Configuration Manager usa WSUS 3.0 para detectar atualizações. Para obter mais informações, consulte o System Center.

Para obter mais informações, consulte o Artigo 910723 (em inglês) da Microsoft Knowledge Base. Lista de resumo de detecção mensal e os artigos de diretrizes de implantação.

Observação Se você usou um Ponto de instalação administrativa (AIP) para implantar o Office 2003, talvez não consiga implantar a atualização usando o SMS se tiver atualizado o AIP a partir da linha de base original. Para obter mais informações, consulte o tópico Ponto de instalação administrativa do Office nesta seção.

Ponto de instalação administrativa do Office

Se você instalou o aplicativo a partir de uma localização de servidor, o administrador do servidor deve atualizar essa localização com a atualização administrativa e implantar esta atualização no seu sistema.

Para as versões suportadas do Microsoft Office 2003, consulte Criando um ponto de instalação administrativa. Para obter mais informações sobre como mudar a fonte de um computador cliente de um ponto de instalação administrativa atualizado para uma fonte de linha de base original do Office 2003 ou Service Pack 3 (SP3), consulte o Artigo 902349 (em inglês) da Microsoft Knowledge Base.Observação
Para criar um ponto de instalação de rede para versões com suporte do Microsoft Office, consulte Criar um ponto de instalação de rede para o Microsoft Office.Observação

Avaliador de compatibilidade com atualizações e Kit de ferramentas de compatibilidade de aplicativos

As atualizações frequentemente gravam nos mesmos arquivos e configurações do Registro necessários à execução dos aplicativos. Isto pode gerar incompatibilidades e aumentar o tempo necessário à implantação de atualizações de segurança. É possível usar os componentes do Avaliador de compatibilidade com atualizações incluídos no Kit de ferramentas de compatibilidade de aplicativos para agilizar o teste e a validação de atualizações do Windows com relação aos aplicativos instalados.

O Application Compatibility Toolkit (ACT) contém as ferramentas e a documentação necessárias para avaliar e atenuar problemas de compatibilidade com aplicativos antes da implantação do Microsoft Windows Vista, de uma atualização do Windows, de uma atualização de segurança da Microsoft ou de uma nova versão do Windows Internet Explorer em seu ambiente.

Implantação de atualização de segurança

Inclusão em Service Packs futuros	A atualização desse problema será incluída em um service pack ou conjunto de atualizações futuro.
Implantação
Instalar sem intervenção do usuário	Para todas as edições com suporte do InfoPath 2007: infopath2007-kb2687439-fullfile-x86-glb.exe /passive ipeditor2007-kb2687440-fullfile-x86-glb.exe /passive
Instalar sem reinicializar	Para todas as edições com suporte do InfoPath 2007: infopath2007-kb2687439-fullfile-x86-glb.exe /norestart ipeditor2007-kb2687440-fullfile-x86-glb.exe /norestart
Arquivo de log de atualização	Não Aplicável
Mais informações	Consulte a subseção Orientação e ferramentas de detecção e implantação
Requisitos de reinicialização
Reinicialização necessária?	Em alguns casos, esta atualização não exige a reinicialização. Se os arquivos exigidos estiverem em uso, será necessária uma reinicialização. Se isso ocorrer, uma mensagem que aconselha a reinicialização será exibida. Para reduzir a chance de uma reinicialização não ser solicitada, interrompa todos os serviços afetados e feche todos os aplicativos que possam usar os arquivos afetados antes de instalar a atualização de segurança. Para obter mais informações sobre os motivos pelos quais você será solicitado a reiniciar, consulte o Artigo 887012 (em inglês) da Microsoft Knowledge Base.
HotPatching	Não Aplicável
Informações sobre remoção	Use a ferramenta Adicionar ou Remover Programas no Painel de controle.
Informações sobre o arquivo	Para todas as edições com suporte do Microsoft InfoPath 2007: Consulte o Artigo 2687439 (em inglês) e o Artigo 2687440 (em inglês) da Microsoft Knowledge Base
Verificação da chave do Registro	Não Aplicável

Opções de instalação da atualização de segurança para as quais há suporte
Opção	Descrição
/? ou /help	Exibe a caixa de diálogo de uso.
/passive	Especifica o modo passivo. Não exige nenhuma interação do usuário; os usuários veem caixas de diálogo básicas de progresso, mas não podem cancelar.
/quiet	Especifica o modo silencioso ou suprime avisos durante a extração dos arquivos.
/norestart	Suprime a reinicialização do sistema se a atualização exigir uma reinicialização.
/forcerestart	Reinicia automaticamente o sistema após a aplicação da atualização, independentemente de a atualização exigir uma reinicialização.
/extract	Extrai os arquivos sem instalá-los. Você é solicitado a fornecer uma pasta de destino.
/extract:<path>	Substitui o comando Instalar definido pelo autor. Especifica o caminho e o nome do arquivo .inf ou .exe da instalação.
/lang:<LCID>	Força o uso de um idioma específico, quando o pacote de utilização oferecer suporte a esse idioma.
/log:<arquivo de log>	Permite o registro em log, tanto de Vnox quanto do Installer durante a instalação da atualização.

Inclusão em Service Packs futuros	A atualização desse problema será incluída em um service pack ou conjunto de atualizações futuro.
Implantação
Instalar sem intervenção do usuário	Para todas as edições de 32 bits com suporte do InfoPath 2010: infopath2010-kb2687436-fullfile-x86-glb.exe /passive ipeditor2010-kb2687417-fullfile-x86-glb.exe /passive
	Para todas as edições de 64 bits com suporte do InfoPath 2010: infopath2010-kb2687436-fullfile-x64-glb.exe /passive ipeditor2010-kb2687417-fullfile-x64-glb.exe /passive
Instalar sem reinicializar	Para todas as edições de 32 bits com suporte do InfoPath 2010: infopath2010-kb2687436-fullfile-x86-glb.exe /norestart ipeditor2010-kb2687417-fullfile-x86-glb.exe /norestart
	Para todas as edições de 64 bits com suporte do InfoPath 2010: infopath2010-kb2687436-fullfile-x64-glb.exe /norestart ipeditor2010-kb2687417-fullfile-x64-glb.exe /norestart
Arquivo de log de atualização	Não Aplicável
Mais informações	Consulte a subseção Orientação e ferramentas de detecção e implantação
Requisitos de reinicialização
Reinicialização necessária?	Em alguns casos, esta atualização não exige a reinicialização. Se os arquivos exigidos estiverem em uso, será necessária uma reinicialização. Se isso ocorrer, uma mensagem que aconselha a reinicialização será exibida. Para reduzir a chance de uma reinicialização não ser solicitada, interrompa todos os serviços afetados e feche todos os aplicativos que possam usar os arquivos afetados antes de instalar a atualização de segurança. Para obter mais informações sobre os motivos pelos quais você será solicitado a reiniciar, consulte o Artigo 887012 (em inglês) da Microsoft Knowledge Base.
HotPatching	Não Aplicável.
Informações sobre remoção	Use a ferramenta Adicionar ou Remover Programas no Painel de controle.
Informações sobre o arquivo	Consulte o Artigo 2687436 (em inglês) e o Artigo 2687417 (em inglês) da Microsoft Knowledge Base
Verificação da chave do Registro	Não Aplicável

Opções de instalação da atualização de segurança para as quais há suporte
Opção	Descrição
/? ou /help	Exibe a caixa de diálogo de uso.
/passive	Especifica o modo passivo. Não exige nenhuma interação do usuário; os usuários veem caixas de diálogo básicas de progresso, mas não podem cancelar.
/quiet	Especifica o modo silencioso ou suprime avisos durante a extração dos arquivos.
/norestart	Suprime a reinicialização do sistema se a atualização exigir uma reinicialização.
/forcerestart	Reinicia automaticamente o sistema após a aplicação da atualização, independentemente de a atualização exigir uma reinicialização.
/extract	Extrai os arquivos sem instalá-los. Você é solicitado a fornecer uma pasta de destino.
/extract:<path>	Substitui o comando Instalar definido pelo autor. Especifica o caminho e o nome do arquivo .inf ou .exe da instalação.
/lang:<LCID>	Força o uso de um idioma específico, quando o pacote de utilização oferecer suporte a esse idioma.
/log:<arquivo de log>	Permite o registro em log, tanto de Vnox quanto do Installer durante a instalação da atualização.

Inclusão em Service Packs futuros	A atualização desse problema será incluída em um service pack ou conjunto de atualizações futuro.
Implantação
Instalar sem intervenção do usuário	Para Microsoft Communicator 2007 R2 (KB2726391): communicator.msp /passive
	Para Microsoft Lync 2010 (32 bits) (KB2726382): lync.msp /passive
	Para Microsoft Lync 2010 (64 bits) (KB2726382): lync.msp /passive
	Para Microsoft Lync 2010 Attendee (instalação de nível administrativo) (KB2726388): AttendeeAdmin.msp /passive
	Para Microsoft Lync 2010 Attendee (instalação de nível usuário) (KB2726384): AttendeeUser.msp /passive
Instalar sem reinicializar	Para Microsoft Communicator 2007 R2 (KB2726391): communicator.msp /norestart
	Para Microsoft Lync 2010 (32 bits) (KB2726382): lync.msp /norestart
	Para Microsoft Lync 2010 (64 bits) (KB2726382): lync.msp /norestart
	Para Microsoft Lync 2010 Attendee (instalação de nível administrativo) (KB2726388): AttendeeAdmin.msp /norestart
	Para Microsoft Lync 2010 Attendee (instalação de nível usuário) (KB2726384): AttendeeUser.msp /norestart
Arquivo de log de atualização	Não Aplicável
Mais informações	Consulte a subseção Orientação e ferramentas de detecção e implantação
Requisitos de reinicialização
Reinicialização necessária?	Em alguns casos, esta atualização não exige a reinicialização. Se os arquivos exigidos estiverem em uso, será necessária uma reinicialização. Se isso ocorrer, uma mensagem que aconselha a reinicialização será exibida. Para reduzir a chance de uma reinicialização não ser solicitada, interrompa todos os serviços afetados e feche todos os aplicativos que possam usar os arquivos afetados antes de instalar a atualização de segurança. Para obter mais informações sobre os motivos pelos quais você será solicitado a reiniciar, consulte o Artigo 887012 (em inglês) da Microsoft Knowledge Base.
HotPatching	Não Aplicável.
Informações sobre remoção	Use a ferramenta Adicionar ou Remover Programas no Painel de controle.
Informações sobre o arquivo	Para Microsoft Communicator 2007 R2: Consulte o Artigo 2726391 (em inglês) da Microsoft Knowledge Base
	Para todas as edições com suporte do Microsoft Lync 2010: Consulte o Artigo 2726382 (em inglês) da Microsoft Knowledge Base
	Para Microsoft Lync 2010 Attendee (instalação de nível administrativo): Consulte o Artigo 2726388 (em inglês) da Microsoft Knowledge Base
	Para Microsoft Lync 2010 Attendee (instalação de nível usuário): Consulte o Artigo 2726384 (em inglês) da Microsoft Knowledge Base
Verificação da chave do Registro	Para Microsoft Communicator 2007 R2: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{0EEB34F6-991D-4a1b-8EEB-772DA0EADB22} Versão = 3.5.6907.261
	Para Microsoft Lync 2010 (32 bits): HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{0EEB34F6-991D-4a1b-8EEB-772DA0EADB22} Versão = 4.0.7577.4109
	Para Microsoft Lync 2010 (64 bits): HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Active Setup\Installed Components\{0EEB34F6-991D-4a1b-8EEB-772DA0EADB22} Versão = 4.0.7577.4109
	Para Microsoft Lync 2010 Attendee (instalação de nível administrativo): HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{0EEB34F6-991D-4a1b-8EEB-772DA0EADB22} Versão = 4.0.7577.4109
	Para Microsoft Lync 2010 Attendee (instalação de nível usuário): HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{0EEB34F6-991D-4a1b-8EEB-772DA0EADB22} Versão = 4.0.7577.4109

Opções de instalação da atualização de segurança para as quais há suporte
Opção	Descrição
/help	Exibe as opções de linha de comando.
/quiet ou /q[n\|b\|r\|f]	Modo Silencioso; sem interação do usuário ou /q[n\|b\|r\|f] define o nível de interação do usuário: n - Nenhuma interação do usuário b - Interação básica do usuário r - Interação reduzida do usuário f - Interação total do usuário (padrão)
/passive	Modo Autônomo, apenas barra de progresso.
/norestart	Não reiniciar após a conclusão da instalação.
*/l[i\|w\|e\|a\|r\|u\|c\|m\|o\|p\|v\|x\|+\|!\|] <LogFile>**	Permite registrar em log. Opções: i - Mensagens de status w - Avisos não fatais e - Todas as mensagens de erro a - Inicialização de ações r - Registros específicos a ações u - Solicitações do usuário c - Parâmetros iniciais da interface de usuário m - Informações de falta de memória ou saída fatal o - Mensagens de falta de espaço em disco p - Propriedades de terminal v - Saída detalhada x - Informações de depuração extra + - Acrescentar ao arquivo de log existente ! - Liberar cada linha para o log * - Registrar todas as informações em log, exceto para as opções v e x
/log<LogFile>	Equivalente a /l* <LogFile>.

Inclusão em Service Packs futuros	Não há mais service packs planejados para este software. A atualização desse problema poderá ser incluída em um pacote cumulativo de atualizações futuro.
Implantação
Instalar sem intervenção do usuário	Para todas edições de 32 bits com suporte do Microsoft Office SharePoint Server 2007: coreserver2007-kb2687405-fullfile-x86-glb.exe /passive
	Para todas edições x64 com suporte do Microsoft Office SharePoint Server 2007: coreserver2007-kb2687405-fullfile-x64-glb.exe /passive
Instalar sem reinicializar	Para todas edições de 32 bits com suporte do Microsoft Office SharePoint Server 2007: coreserver2007-kb2687405-fullfile-x86-glb.exe /norestart
	Para todas edições x64 com suporte do Microsoft Office SharePoint Server 2007: coreserver2007-kb2687405-fullfile-x64-glb.exe /norestart
Arquivo de log de atualização	Não Aplicável
Mais informações	Consulte a subseção Orientação e ferramentas de detecção e implantação
Requisitos de reinicialização
Reinicialização necessária?	Em alguns casos, esta atualização não exige a reinicialização. Se os arquivos exigidos estiverem em uso, será necessária uma reinicialização. Se isso ocorrer, uma mensagem que aconselha a reinicialização será exibida. Para reduzir a chance de uma reinicialização não ser solicitada, interrompa todos os serviços afetados e feche todos os aplicativos que possam usar os arquivos afetados antes de instalar a atualização de segurança. Para obter mais informações sobre os motivos pelos quais você será solicitado a reiniciar, consulte o Artigo 887012 (em inglês) da Microsoft Knowledge Base.
HotPatching	Não Aplicável.
Informações sobre remoção	Esta atualização de segurança não pode ser removida.
Informações sobre o arquivo	Consulte o Artigo 2687405 (em inglês) da Microsoft Knowledge Base
Verificação da chave do Registro	Não Aplicável

Opções de instalação da atualização de segurança para as quais há suporte
Opção	Descrição
/? ou /help	Exibe a caixa de diálogo de uso.
/passive	Especifica o modo passivo. Não exige nenhuma interação do usuário; os usuários veem caixas de diálogo básicas de progresso, mas não podem cancelar.
/quiet	Especifica o modo silencioso ou suprime avisos durante a extração dos arquivos.
/norestart	Suprime a reinicialização do sistema se a atualização exigir uma reinicialização.
/forcerestart	Reinicia automaticamente o sistema após a aplicação da atualização, independentemente de a atualização exigir uma reinicialização.
/extract	Extrai os arquivos sem instalá-los. Você é solicitado a fornecer uma pasta de destino.
/extract:<path>	Substitui o comando Instalar definido pelo autor. Especifica o caminho e o nome do arquivo .inf ou .exe da instalação.
/lang:<LCID>	Força o uso de um idioma específico, quando o pacote de utilização oferecer suporte a esse idioma.
/log:<arquivo de log>	Permite o registro em log, tanto de Vnox quanto do Installer durante a instalação da atualização.

Inclusão em Service Packs futuros	Não há mais service packs planejados para este software. A atualização desse problema poderá ser incluída em um pacote cumulativo de atualizações futuro.
Implantação
Instalar sem intervenção do usuário	Para todas edições com suporte do Microsoft Office SharePoint Server 2010: wosrv2010-kb2687435-fullfile-x64-glb.exe /passive coreserver2010-kb2589280-fullfile-x64-glb.exe /passive
Instalar sem reinicializar	Para todas edições com suporte do Microsoft Office SharePoint Server 2010: wosrv2010-kb2687435-fullfile-x64-glb.exe /norestart coreserver2010-kb2589280-fullfile-x64-glb.exe /norestart
Mais informações	Consulte a subseção Orientação e ferramentas de detecção e implantação
Arquivo de log de atualização	Não Aplicável
Requisitos de reinicialização
Reinicialização necessária?	Em alguns casos, esta atualização não exige a reinicialização. Se os arquivos exigidos estiverem em uso, será necessária uma reinicialização. Se isso ocorrer, uma mensagem que aconselha a reinicialização será exibida. Para reduzir a chance de uma reinicialização não ser solicitada, interrompa todos os serviços afetados e feche todos os aplicativos que possam usar os arquivos afetados antes de instalar a atualização de segurança. Para obter mais informações sobre os motivos pelos quais você será solicitado a reiniciar, consulte o Artigo 887012 (em inglês) da Microsoft Knowledge Base.
HotPatching	Não Aplicável.
Informações sobre remoção	Esta atualização de segurança não pode ser removida.
Informações sobre o arquivo	Consulte o Artigo 2687435 (em inglês) e o Artigo 2589280 (em inglês) da Microsoft Knowledge Base
Verificação da chave do Registro	Não Aplicável

Opções de instalação da atualização de segurança para as quais há suporte
Opção	Descrição
/? ou /help	Exibe a caixa de diálogo de uso.
/passive	Especifica o modo passivo. Não exige nenhuma interação do usuário; os usuários veem caixas de diálogo básicas de progresso, mas não podem cancelar.
/quiet	Especifica o modo silencioso ou suprime avisos durante a extração dos arquivos.
/norestart	Suprime a reinicialização do sistema se a atualização exigir uma reinicialização.
/forcerestart	Reinicia automaticamente o sistema após a aplicação da atualização, independentemente de a atualização exigir uma reinicialização.
/extract	Extrai os arquivos sem instalá-los. Você é solicitado a fornecer uma pasta de destino.
/extract:<path>	Substitui o comando Instalar definido pelo autor. Especifica o caminho e o nome do arquivo .inf ou .exe da instalação.
/lang:<LCID>	Força o uso de um idioma específico, quando o pacote de utilização oferecer suporte a esse idioma.
/log:<arquivo de log>	Permite o registro em log, tanto de Vnox quanto do Installer durante a instalação da atualização.

Inclusão em Service Packs futuros	Não há mais service packs planejados para este software. A atualização desse problema poderá ser incluída em um pacote cumulativo de atualizações futuro.
Implantação
Instalar sem intervenção do usuário	Para todas edições com suporte do Microsoft Groove Server 2010: emsgrs2010-kb2687402-fullfile-x64-glb.exe /passive
Instalar sem reinicializar	Para todas edições com suporte do Microsoft Groove Server 2010: emsgrs2010-kb2687402-fullfile-x64-glb.exe /norestart
Mais informações	Consulte a subseção Orientação e ferramentas de detecção e implantação
Requisitos de reinicialização
Reinicialização necessária?	Em alguns casos, esta atualização não exige a reinicialização. Se os arquivos exigidos estiverem em uso, será necessária uma reinicialização. Se isso ocorrer, uma mensagem que aconselha a reinicialização será exibida. Para reduzir a chance de uma reinicialização não ser solicitada, interrompa todos os serviços afetados e feche todos os aplicativos que possam usar os arquivos afetados antes de instalar a atualização de segurança. Para obter mais informações sobre os motivos pelos quais você será solicitado a reiniciar, consulte o Artigo 887012 (em inglês) da Microsoft Knowledge Base.
HotPatching	Não Aplicável.
Informações sobre remoção	Esta atualização de segurança não pode ser removida.
Informações sobre o arquivo	Consulte o Artigo 2687402 (em inglês) da Microsoft Knowledge Base
Verificação da chave do Registro	Não Aplicável

Opções de instalação da atualização de segurança para as quais há suporte
Opção	Descrição
/?, /h, /help	Exibe ajuda sobre as opções compatíveis.
/quiet	Suprime a exibição de status ou mensagens de erro.
/norestart	Quando combinado com /quiet, o sistema não é reiniciado após a instalação, mesmo que uma reinicialização seja necessária à conclusão da instalação.
/warnrestart:<seconds>	Quando combinado com /quiet, o instalador adverte o usuário antes de iniciar a reinicialização.
/promptrestart	Quando combinado com /quiet, o instalador solicita confirmação antes de iniciar a reinicialização.
/forcerestart	Quando combinado com /quiet, o instalador força o fechamento de aplicativos e inicia a reinicialização.
/log:<nome do arquivo>	Permite registrar em log um arquivo especificado.
/extract:<destination>	Extrai o conteúdo do pacote para a pasta de destino.
/uninstall /kb:<KB Number>	Desinstala a atualização de segurança.

Inclusão em Service Packs futuros	Não há mais service packs planejados para este software. A atualização desse problema poderá ser incluída em um pacote cumulativo de atualizações futuro.
Implantação
Instalar sem intervenção do usuário	Para todas as edições de 32 bits do Microsoft Windows SharePoint Services 3.0: sts2007-kb2687356-fullfile-x86-glb.exe /passive
	Para todas as edições de 64 bits do Microsoft Windows SharePoint Services 3.0: sts2007-kb2687356-fullfile-x64-glb.exe /passive
Instalar sem reinicializar	Para todas as edições de 32 bits do Microsoft Windows SharePoint Services 3.0: sts2007-kb2687356-fullfile-x86-glb.exe /norestart
	Para todas as edições de 64 bits do Microsoft Windows SharePoint Services 3.0: sts2007-kb2687356-fullfile-x64-glb.exe /norestart
Mais informações	Consulte a subseção Orientação e ferramentas de detecção e implantação
Requisitos de reinicialização
Reinicialização necessária?	Em alguns casos, esta atualização não exige a reinicialização. Se os arquivos exigidos estiverem em uso, será necessária uma reinicialização. Se isso ocorrer, uma mensagem que aconselha a reinicialização será exibida. Para reduzir a chance de uma reinicialização não ser solicitada, interrompa todos os serviços afetados e feche todos os aplicativos que possam usar os arquivos afetados antes de instalar a atualização de segurança. Para obter mais informações sobre os motivos pelos quais você será solicitado a reiniciar, consulte o Artigo 887012 (em inglês) da Microsoft Knowledge Base.
HotPatching	Não Aplicável.
Informações sobre remoção	Esta atualização de segurança não pode ser removida.
Informações sobre o arquivo	Consulte o Artigo 2687356 (em inglês) da Microsoft Knowledge Base
Verificação da chave do Registro	Não Aplicável

Opções de instalação da atualização de segurança para as quais há suporte
Opção	Descrição
/? ou /help	Exibe a caixa de diálogo de uso.
/passive	Especifica o modo passivo. Não exige nenhuma interação do usuário; os usuários veem caixas de diálogo básicas de progresso, mas não podem cancelar.
/quiet	Especifica o modo silencioso ou suprime avisos durante a extração dos arquivos.
/norestart	Suprime a reinicialização do sistema se a atualização exigir uma reinicialização.
/forcerestart	Reinicia automaticamente o sistema após a aplicação da atualização, independentemente de a atualização exigir uma reinicialização.
/extract	Extrai os arquivos sem instalá-los. Você é solicitado a fornecer uma pasta de destino.
/extract:<path>	Substitui o comando Instalar definido pelo autor. Especifica o caminho e o nome do arquivo .inf ou .exe da instalação.
/lang:<LCID>	Força o uso de um idioma específico, quando o pacote de utilização oferecer suporte a esse idioma.
/log:<arquivo de log>	Permite o registro em log, tanto de Vnox quanto do Installer durante a instalação da atualização.

Inclusão em Service Packs futuros	Não há mais service packs planejados para este software. A atualização desse problema poderá ser incluída em um pacote cumulativo de atualizações futuro.
Implantação
Instalar sem intervenção do usuário	Para Microsoft SharePoint Foundation 2010 Service Pack 1: wss2010-kb2687434-fullfile-x64-glb.exe /passive
Instalar sem reinicializar	Para Microsoft SharePoint Foundation 2010 Service Pack 1: wss2010-kb2687434-fullfile-x64-glb.exe /norestart
Arquivo de log de atualização	Não Aplicável
Mais informações	Consulte a subseção Orientação e ferramentas de detecção e implantação
Requisitos de reinicialização
Reinicialização necessária?	Em alguns casos, esta atualização não exige a reinicialização. Se os arquivos exigidos estiverem em uso, será necessária uma reinicialização. Se isso ocorrer, uma mensagem que aconselha a reinicialização será exibida. Para reduzir a chance de uma reinicialização não ser solicitada, interrompa todos os serviços afetados e feche todos os aplicativos que possam usar os arquivos afetados antes de instalar a atualização de segurança. Para obter mais informações sobre os motivos pelos quais você será solicitado a reiniciar, consulte o Artigo 887012 (em inglês) da Microsoft Knowledge Base.
HotPatching	Não Aplicável.
Informações sobre remoção	Esta atualização de segurança não pode ser removida.
Informações sobre o arquivo	Consulte o Artigo 2687434 (em inglês) da Microsoft Knowledge Base
Verificação da chave do Registro	Não Aplicável

Opções de instalação da atualização de segurança para as quais há suporte
Opção	Descrição
/? ou /help	Exibe a caixa de diálogo de uso.
/passive	Especifica o modo passivo. Não exige nenhuma interação do usuário; os usuários veem caixas de diálogo básicas de progresso, mas não podem cancelar.
/quiet	Especifica o modo silencioso ou suprime avisos durante a extração dos arquivos.
/norestart	Suprime a reinicialização do sistema se a atualização exigir uma reinicialização.
/forcerestart	Reinicia automaticamente o sistema após a aplicação da atualização, independentemente de a atualização exigir uma reinicialização.
/extract	Extrai os arquivos sem instalá-los. Você é solicitado a fornecer uma pasta de destino.
/extract:<path>	Substitui o comando Instalar definido pelo autor. Especifica o caminho e o nome do arquivo .inf ou .exe da instalação.
/lang:<LCID>	Força o uso de um idioma específico, quando o pacote de utilização oferecer suporte a esse idioma.
/log:<arquivo de log>	Permite o registro em log, tanto de Vnox quanto do Installer durante a instalação da atualização.

Inclusão em Service Packs futuros	Não há mais service packs planejados para este software. A atualização desse problema poderá ser incluída em um pacote cumulativo de atualizações futuro.
Implantação
Instalar sem intervenção do usuário	Para Office Web Apps 2010 Service Pack 1: wac2010-kb2687401-fullfile-x64-glb.exe /passive
Instalar sem reinicializar	Para Office Web Apps 2010 Service Pack 1: wac2010-kb2687401-fullfile-x64-glb.exe /norestart
Arquivo de log de atualização	Não Aplicável
Mais informações	Consulte a subseção Orientação e ferramentas de detecção e implantação
Requisitos de reinicialização
Reinicialização necessária?	Em alguns casos, esta atualização não exige a reinicialização. Se os arquivos exigidos estiverem em uso, será necessária uma reinicialização. Se isso ocorrer, uma mensagem que aconselha a reinicialização será exibida. Para reduzir a chance de uma reinicialização não ser solicitada, interrompa todos os serviços afetados e feche todos os aplicativos que possam usar os arquivos afetados antes de instalar a atualização de segurança. Para obter mais informações sobre os motivos pelos quais você será solicitado a reiniciar, consulte o Artigo 887012 (em inglês) da Microsoft Knowledge Base.
HotPatching	Não Aplicável.
Informações sobre remoção	Esta atualização de segurança não pode ser removida.
Informações sobre o arquivo	Consulte o Artigo 2687401 (em inglês) da Microsoft Knowledge Base
Verificação da chave do Registro	Não Aplicável

Opções de instalação da atualização de segurança para as quais há suporte
Opção	Descrição
/? ou /help	Exibe a caixa de diálogo de uso.
/passive	Especifica o modo passivo. Não exige nenhuma interação do usuário; os usuários veem caixas de diálogo básicas de progresso, mas não podem cancelar.
/quiet	Especifica o modo silencioso ou suprime avisos durante a extração dos arquivos.
/norestart	Suprime a reinicialização do sistema se a atualização exigir uma reinicialização.
/forcerestart	Reinicia automaticamente o sistema após a aplicação da atualização, independentemente de a atualização exigir uma reinicialização.
/extract	Extrai os arquivos sem instalá-los. Você é solicitado a fornecer uma pasta de destino.
/extract:<path>	Substitui o comando Instalar definido pelo autor. Especifica o caminho e o nome do arquivo .inf ou .exe da instalação.
/lang:<LCID>	Força o uso de um idioma específico, quando o pacote de utilização oferecer suporte a esse idioma.
/log:<arquivo de log>	Permite o registro em log, tanto de Vnox quanto do Installer durante a instalação da atualização.

Outras informações

Agradecimentos

A Microsoft agradece às pessoas mencionadas abaixo por trabalhar conosco para ajudar a proteger os clientes:

Drew Hintz, da Equipe de segurança do Google, por reportar a Vulnerabilidade de limpeza de HTML (CVE-2012-2520)

Microsoft Active Protections Program (MAPP)

Para melhorar as proteções de segurança para os clientes, a Microsoft fornece informações sobre vulnerabilidades aos principais fornecedores de software de segurança antes do lançamento de cada atualização de segurança mensal. Assim, os fornecedores de software de segurança podem usar essas informações sobre vulnerabilidades para fornecer proteções atualizadas aos clientes por meio de seus softwares ou dispositivos de segurança, como antivírus, sistemas de detecção de invasões baseados em rede ou sistemas de prevenção de invasões baseados em host. Para determinar se os fornecedores de software de segurança estão disponibilizando proteções ativas, visite os sites de proteções ativas fornecidos pelos parceiros do programa, listados em Parceiros do Microsoft Active Protections Program (MAPP).

Suporte

Como obter ajuda e suporte para esta atualização de segurança

Ajude a instalar atualizações: Suporte para Microsoft Update
Soluções de segurança para profissionais de TI: Solução de problemas e suporte de segurança TechNet
Ajuda a proteger seu computador Windows de vírus e malware: Central de segurança e solução contra vírus
Suporte local de acordo com seu país: Suporte internacional

Aviso de isenção de responsabilidade

As informações fornecidas na Microsoft Knowledge Base são apresentadas "no estado em que se encontram", sem garantia de qualquer tipo. A Microsoft se isenta de todas as garantias, expressas ou implícitas, inclusive as garantias de comercialização e adequação a um propósito específico. Em hipótese alguma a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, inclusive danos diretos, indiretos, incidentais, consequenciais, danos por lucros cessantes ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido alertados da possibilidade dos referidos danos. Como alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou indiretos, a limitação acima pode não ser aplicável a você.

Revisões

V1.0 (9 de outubro de 2012): Boletim publicado.
V1.1 (10 de outubro de 2012): Corrigidos os números da KB do Microsoft Lync 2010 Attendee (instalação de nível administrativo) e do Microsoft Lync 2010 Attendee (instalação de nível usuário). Esta é apenas uma alteração informativa. Os clientes que já atualizaram seus sistemas com êxito não precisam fazer mais nada.
V1.2 (17 de outubro de 2012) Corrigidas as informações de substituição de atualização. Corrigidos os números da KB do Microsoft Lync 2010 Attendee (instalação de nível administrativo) e do Microsoft Lync 2010 Attendee (instalação de nível usuário). Elas são alterações para fins informativos apenas. Os clientes que já atualizaram seus sistemas com êxito não precisam fazer mais nada.
V1.3 (23 de outubro de 2012): Adicionados o Microsoft Windows SharePoint Services 3.0 Service Pack 3 (32 bits) e o Microsoft Windows SharePoint Services 3.0 Service Pack 3 (64 bits) à seção Softwares afetados. Esta é apenas uma alteração do boletim. Não houve alterações à lógica de detecção nem aos arquivos de atualização de segurança.

Microsoft Security Bulletin MS12-066 - Importante

Vulnerabilidade de limpeza de HTML pode permitir a elevação de privilégios (2741517)

Informações Gerais

Sinopse

Softwares afetados e não afetados

Perguntas frequentes relacionadas a esta atualização de segurança

Informações sobre a vulnerabilidade

Classificação de gravidade e Identificadores de vulnerabilidade

Vulnerabilidade de sanitização de HTML - CVE-2012-2520

Fatores atenuantes da Vulnerabilidade de sanitização de HTML - CVE-2012-2520

Soluções alternativas para a Vulnerabilidade de sanitização de HTML - CVE-2012-2520

Perguntas frequentes sobre a Vulnerabilidade de sanitização de HTML - CVE-2012-2520

Informações da atualização

Orientação e ferramentas de detecção e implantação

Implantação de atualização de segurança

InfoPath 2007 (todas as edições)

Informações de implantação

InfoPath 2010 (todas as edições)

Informações de implantação

Microsoft Communicator 2007 R2, Microsoft Lync 2010, Microsoft Lync 2010 Attendee

Informações de implantação

SharePoint Server 2007 (todas as edições)

Informações de implantação

SharePoint Server 2010 (todas as edições)

Informações de implantação

Groove Server 2010 (todas as edições)

Informações de implantação

Windows SharePoint Services 3.0 (todas as versões)

Informações de implantação

Microsoft SharePoint Foundation 2010 (todas as versões)

Informações de implantação

Office Web Apps 2010 (todas as versões)

Informações de implantação

Outras informações

Agradecimentos

Microsoft Active Protections Program (MAPP)

Suporte

Aviso de isenção de responsabilidade

Revisões