Microsoft Security Bulletin MS13-025 - Importante

Vulnerabilidade no Microsoft OneNote pode permitir a divulgação de informações (2816264)

Publicado: terça-feira, 12 de março de 2013

Versão: 1.0

Informações Gerais

Sinopse

Esta atualização de segurança elimina uma vulnerabilidade relatada em particular no Microsoft OneNote. A vulnerabilidade poderá permitir a divulgação não autorizada de informações se um invasor convencer um usuário a abrir um arquivo do OneNote especialmente criado.

Esta é uma atualização de segurança classificada como Importante para todas as versões do Microsoft OneNote 2010 com suporte. Para obter mais informações, consulte a subseção Software afetado e não afetado nesta seção.

A atualização de segurança elimina a vulnerabilidade modificando a forma como o Microsoft OneNote confere o tamanho de um buffer que será alocado. Para obter mais informações sobre a vulnerabilidade, consulte a subseção Perguntas frequentes relacionada à entrada da vulnerabilidade específica presente na próxima seção, Informações sobre a vulnerabilidade.

Recomendação. Os clientes podem configurar a atualização automática para procurar atualizações online do Microsoft Update, usando o serviço Microsoft Update. Os clientes com a atualização automática habilitada e configurada para procurar atualizações online a partir do Microsoft Update geralmente não precisarão tomar nenhuma providência porque esta atualização de segurança será baixada e instalada automaticamente. Os clientes que não têm o recurso de atualizações automáticas habilitado precisarão verificar as atualizações do Microsoft Update e instalar esta atualização manualmente. Para obter informações sobre opções de configuração específicas na atualização automática em edições com suporte do Windows XP e Windows Server 2003, consulte o Artigo 294871 (em inglês) da Microsoft Knowledge Base. Para obter informações sobre a atualização automática nas edições com suporte do Windows Vista, Windows Server 2008, Windows 7 e Windows Server 2008 R2, consulte Understanding Windows automatic updating.

Para instalações feitas por administradores ou empresas, ou por usuários finais que desejam instalar esta atualização de segurança manualmente, a Microsoft recomenda que os clientes apliquem a atualização assim que possível usando software de gerenciamento de atualização ou verificando se há atualizações no serviço Microsoft Update.

Consulte também a seção Orientação e ferramentas de detecção e implantação mais adiante neste boletim.

Artigo da Microsoft Knowledge Base:

Artigo da Microsoft Knowledge Base:	2816264
Informações sobre o arquivo	Sim
Hashes SHA1/SHA2	Sim
Problemas conhecidos	Nenhuma

Softwares afetados e não afetados

Os softwares a seguir foram testados para determinar quais versões ou edições foram afetadas. O ciclo de vida do suporte das outras versões ou edições já terminou ou elas não são afetadas. Para determinar o ciclo de vida do suporte para sua versão ou edição de software, visite o site Ciclo de vida do suporte Microsoft.

Microsoft Office

Softwares do Microsoft Office	Impacto máximo à segurança	Avaliação de gravidade agregada	Atualizações substituídas
Microsoft OneNote 2010 Service Pack 1 (edições de 32 bits) (2760600)	Divulgação não autorizada de informação	Importante	Nenhuma
Microsoft OneNote 2010 Service Pack 1 (edições de 64 bits) (2760600)	Divulgação não autorizada de informação	Importante	Nenhuma

Softwares não afetados

Office e outros softwares
Microsoft OneNote 2003 Service Pack 3
Microsoft OneNote 2007 Service Pack 3
Microsoft Office Web Apps 2010 Service Pack 1
Microsoft OneNote 2013 (edições de 32 bits)
Microsoft OneNote 2013 (edições de 64 bits)
Microsoft Web Apps Server 2013

Perguntas frequentes de atualização

Informações sobre a vulnerabilidade

Classificação de gravidade e Identificadores de vulnerabilidade

A Classificação de gravidade de vulnerabilidade e Impacto máximo de segurança por software afetado
Softwares afetados	Vulnerabilidade de validação de tamanho do buffer - CVE-2013-0086	Avaliação de gravidade agregada
Microsoft OneNote 2010 Service Pack 1 (edições de 32 bits)	Importante Divulgação não autorizada de informação	Importante
Microsoft OneNote 2010 Service Pack 1 (edições de 64 bits)	Importante Divulgação não autorizada de informação	Importante

Vulnerabilidade de validação de tamanho do buffer - CVE-2013-0086

Existe uma vulnerabilidade de divulgação não autorizada de informações na forma como o Microsoft OneNote aloca memória pela análise de um arquivo especialmente criado do OneOne (.ONE).

Para exibir esta vulnerabilidade como uma entrada padrão na lista Common Vulnerabilities and Exposures, consulte CVE-2013-0086.

Fatores atenuantes

Soluções alternativas

Perguntas frequentes

Qual é o escopo da vulnerabilidade?
Essa é uma vulnerabilidade de divulgação de informações.

O que provoca a vulnerabilidade?
A vulnerabilidade é causada por um problema de validação de tamanho de buffer que permite que um invasor leia dados arbitrários na memória.

Para que um invasor pode usar a vulnerabilidade?
Um invasor que explorar com êxito esta vulnerabilidade pode descobrir informações confidenciais, como a senha e o nome de usuário de contas configuradas.

De que forma o invasor pode explorar a vulnerabilidade?
Num cenário de ataque pela Web, o invasor pode explorar a vulnerabilidade convencendo um usuário a abrir um arquivo do OneNote especialmente criado.

O que é o Microsoft OneNote 2010?
O Microsoft Office OneNote 2010 é uma agenda digital que fornece às pessoas um lugar para reunir suas anotações e informações, uma poderosa ferramenta de pesquisa para encontrar o que procuram rapidamente e agendas compartilhadas fáceis de usar para que possam gerenciar o carregamento de informações e trabalhar com mais eficiência.

Quais são os principais sistemas que correm riscos com a vulnerabilidade?
Os sistemas, como estações de trabalhos e servidores de terminal, em que o software afetado é instalado, estão mais vulneráveis. Os servidores correm mais riscos se os administradores permitirem que os usuários façam logon em servidores e executem programas. Entretanto, as práticas recomendadas não recomendam esse procedimento.

O que a atualização faz?
A atualização elimina a vulnerabilidade modificando a forma como o Microsoft OneNote confere o tamanho de um buffer que será alocado.

Quando esse boletim de segurança foi lançado, essa vulnerabilidade já tinha sido divulgada publicamente?
Não. A Microsoft não recebeu nenhuma informação indicando que essa vulnerabilidade tenha sido usada publicamente para atacar clientes e não testemunhou nenhum exemplo de publicação de código de verificação de conceito, quando este boletim de segurança foi lançado pela primeira vez.

Quando este boletim de segurança foi lançado, a Microsoft havia recebido algum relatório informando que essa vulnerabilidade estava sendo explorada?
Não. A Microsoft não recebeu nenhuma informação indicando que essa vulnerabilidade tenha sido usada publicamente para atacar clientes e não testemunhou nenhum exemplo de publicação de código de verificação de conceito, quando este boletim de segurança foi lançado pela primeira vez.

Informações da atualização

Orientação e ferramentas de detecção e implantação

Implantação de atualização de segurança

Nomes dos arquivos de atualização de segurança	Para OneNote 2010 Service Pack 1 (edições de 32 bits): onenote2010-kb2760600-fullfile-x86-glb.exe
	Para OneNote 2010 Service Pack 1 (edições de 64 bits): onenote2010-kb2760600-fullfile-x64-glb.exe
Opções de instalação	Consulte o artigo 912203 (em inglês) da Microsoft Knowledge Base
Requisitos de reinicialização	Em alguns casos, esta atualização não exige a reinicialização. Se os arquivos exigidos estiverem em uso, será necessária uma reinicialização. Se isso ocorrer, uma mensagem que aconselha a reinicialização será exibida. Para reduzir a chance de uma reinicialização não ser solicitada, interrompa todos os serviços afetados e feche todos os aplicativos que possam usar os arquivos afetados antes de instalar a atualização de segurança. Para obter mais informações sobre os motivos pelos quais você será solicitado a reiniciar, consulte o Artigo 887012 (em inglês) da Microsoft Knowledge Base.
Informações sobre remoção	Use a ferramenta Adicionar ou Remover Programas no Painel de controle
Informações sobre o arquivo	Consulte o artigo 2760600 (em inglês) da Microsoft Knowledge Base

Outras informações

Agradecimentos

A Microsoft agradece às pessoas mencionadas abaixo por trabalhar conosco para ajudar a proteger os clientes:

Christopher Gabriel, da Telos Corporation, por reportar a Vulnerabilidade de validação de tamanho do buffer (CVE-2013-0086)

Microsoft Active Protections Program (MAPP)

Para melhorar as proteções de segurança para os clientes, a Microsoft fornece informações sobre vulnerabilidades aos principais fornecedores de software de segurança antes do lançamento de cada atualização de segurança mensal. Assim, os fornecedores de software de segurança podem usar essas informações sobre vulnerabilidades para fornecer proteções atualizadas aos clientes por meio de seus softwares ou dispositivos de segurança, como antivírus, sistemas de detecção de invasões baseados em rede ou sistemas de prevenção de invasões baseados em host. Para determinar se os fornecedores de software de segurança estão disponibilizando proteções ativas, visite os sites de proteções ativas fornecidos pelos parceiros do programa, listados em Parceiros do Microsoft Active Protections Program (MAPP).

Suporte

Como obter ajuda e suporte para esta atualização de segurança

Ajude a instalar atualizações: Suporte para Microsoft Update
Soluções de segurança para profissionais de TI: Solução de problemas e suporte de segurança TechNet
Ajuda a proteger seu computador Windows de vírus e malware: Central de segurança e solução contra vírus
Suporte local de acordo com seu país: Suporte internacional

Aviso de isenção de responsabilidade

As informações fornecidas na Microsoft Knowledge Base são apresentadas "no estado em que se encontram", sem garantia de qualquer tipo. A Microsoft se isenta de todas as garantias, expressas ou implícitas, inclusive as garantias de comercialização e adequação a um propósito específico. Em hipótese alguma a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, inclusive danos diretos, indiretos, incidentais, consequenciais, danos por lucros cessantes ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido alertados da possibilidade dos referidos danos. Como alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou indiretos, a limitação acima pode não ser aplicável a você.

Revisões

V1.0 (12 de março de 2013): Boletim publicado.