Microsoft Security Bulletin MS10-002 - Crítica

A atenuação refere-se a uma configuração, configuração comum ou prática recomendada geral, existindo num estado padrão, que possa reduzir a gravidade de exploração de uma vulnerabilidade. Os fatores de atenuação a seguir podem ser úteis em sua situação:

• O Internet Explorer 5.01 Service Pack 4, Internet Explorer 6.0, Internet Explorer 6 Service Pack 1 e Internet Explorer 7 não são afetados por esta vulnerabilidade.

A Microsoft não identificou nenhuma solução alternativa para esta vulnerabilidade.

Qual é o escopo da vulnerabilidade?  
Essa é uma vulnerabilidade de divulgação de informações. Um invasor pode explorar a vulnerabilidade construindo uma página da Web especialmente criada ou postando conteúdo especialmente criado em um site legítimo. Um invasor que explorar com êxito esta vulnerabilidade poderá fazer com que o código de script seja executado na máquina de outro usuário fazendo-se passar por um site de terceiros. Tal código de script é executado no navegador ao visitar o site de terceiros e pode executar qualquer ação no computador do usuário que o site de terceiros tiver permissão para executar. A vulnerabilidade só pode ser explorada se o usuário clicar em um link de hipertexto, seja em um email em HTML ou se o usuário visitou um site do invasor ou um site que contenha conteúdo que esteja sob o controle do invasor.

O que provoca a vulnerabilidade?  
Sob certas circunstâncias, o Internet Explorer desabilita um atributo HTML em dados de resposta que, com exceção desse detalhe, seria filtrado adequadamente. Consequentemente, uma página da Web especialmente criada pode ser carregada de forma a permitir que um invasor execute um script no contexto do usuário conectado em um domínio diferente da Internet.

Para que um invasor pode usar a vulnerabilidade?  
Um invasor que explorar com êxito esta vulnerabilidade poderá fazer com que o código de script seja executado na máquina de outro usuário fazendo-se passar por um site de terceiros. Tal código de script é executado no navegador ao visitar o site de terceiros e pode executar qualquer ação no computador do usuário que o site de terceiros tiver permissão para executar. A vulnerabilidade só pode ser explorada se o usuário clicar em um link de hipertexto, seja em um email em HTML ou se o usuário visitou um site do invasor ou um site que contenha conteúdo que esteja sob o controle do invasor.

De que forma o invasor pode explorar a vulnerabilidade?  
Um invasor pode postar conteúdo especialmente criado, projetado para explorar esta vulnerabilidade, em um site afetado. O invasor deve então convencer o usuário a exibir o conteúdo no site. Quando o usuário navega para um site legítimo, o filtro XSS desabilita atributos HTML no conteúdo especialmente criado, criando uma condição que pode permitir que scripts mal-intencionados sejam executados no contexto de segurança incorreto, o que leva à divulgação não autorizada de informação.

Quais são os sistemas que mais correm riscos com a vulnerabilidade?  
Um usuário deve estar conectado e visitar um site para que uma ação mal-intencionada ocorra. Portanto, os sistemas nos quais o Internet Explorer é usado com frequência, como estações de trabalho e servidores de terminal, estão mais expostos a essa vulnerabilidade.

Estou executando o Internet Explorer para Windows Server 2003 ou Windows Server 2008. Isso atenua essa vulnerabilidade?  
Sim. Por padrão, o Internet Explorer no Windows Server 2003 e no Windows Server 2008 é executado em um modo restrito, conhecido como Configuração de Segurança Reforçada. A Configuração de Segurança Reforçada é um grupo de configurações predefinidas do Internet Explorer que reduz a probabilidade de um usuário ou administrador baixar e executar um conteúdo da Web especialmente criado em um servidor. Este é um fator atenuante para sites que não tenham sido adicionados à zona Sites confiáveis do Internet Explorer. Consulte também Gerenciamento de Configurações de Segurança Avançadas do Internet Explorer.

O que a atualização faz?  
A atualização elimina a vulnerabilidade evitando que o filtro XSS no Internet Explorer desabilite incorretamente os atributos HTML.

Quando esse boletim de segurança foi lançado, essa vulnerabilidade já tinha sido divulgada publicamente?  
Não. A Microsoft recebeu informações sobre essa vulnerabilidade por meio de divulgação responsável.

Quando este boletim de segurança foi lançado, a Microsoft tinha recebido algum relatório informando que essa vulnerabilidade estava sendo explorada?  
Não. A Microsoft não recebeu nenhuma informação indicando que essa vulnerabilidade tenha sido usada publicamente para atacar clientes e não testemunhou nenhum exemplo de publicação de código de verificação de conceito, quando este boletim de segurança foi lançado pela primeira vez.

A atenuação refere-se a uma configuração, configuração comum ou prática recomendada geral, existindo num estado padrão, que possa reduzir a gravidade de exploração de uma vulnerabilidade. Os fatores de atenuação a seguir podem ser úteis em sua situação:

• No cenário de ataque na Web, o invasor terá que hospedar um site contendo uma página da Web usada para explorar essa vulnerabilidade. Além disso, sites comprometidos e sites que aceitem ou hospedem conteúdo fornecido pelo usuário ou anúncios pode conter conteúdo especialmente desenvolvido que pode explorar esta vulnerabilidade. Em todos os casos, entretanto, um invasor não teria como forçar os usuários a visitarem os sites. Em vez disso, o invasor teria que convencer os usuários a visitarem o site, geralmente fazendo com que eles cliquem em um link em um email ou mensagem do Instant Messenger que leva o usuário ao site do invasor.
• O invasor que explorar com êxito a vulnerabilidade poderá obter os mesmos direitos que o usuário local. Os usuários cujas contas são configuradas com poucos direitos de usuário no sistema correm menos riscos do que aqueles que possuem direitos administrativos.
• Por padrão, todas as versões com suporte do Microsoft Outlook, Microsoft Outlook Express e Windows Mail abrem emails em HTML na zona de sites restritos. A zona Sites restritos ajuda a reduzir os ataques que podem tentar explorar essa vulnerabilidade, ao evitar que controles ActiveX e Script Ativos sejam usados durante a leitura de email em HTML. No entanto, se um usuário clicar em um link em uma mensagem de email, ele ainda pode estar vulnerável à exploração desta vulnerabilidade, de acordo com o cenário de ataque baseado na Web.
• Por padrão, o Internet Explorer no Windows Server 2003 e no Windows Server 2008 é executado em um modo restrito, conhecido como Configuração de Segurança Reforçada. Esse modo define o nível de segurança para a zona da Internet como Alto. Este é um fator atenuante para sites que não tenham sido adicionados à zona Sites confiáveis do Internet Explorer. Consulte a subseção Perguntas frequentes desta vulnerabilidade para obter mais informações sobre a Configuração de Segurança Reforçada do Internet Explorer.
• O Internet Explorer 5.01 Service Pack 4, Internet Explorer 6.0 e Internet Explorer 6 Service Pack 1 não são afetados por esta vulnerabilidade.

A solução alternativa refere-se a uma configuração ou alteração de configuração que não corrige a vulnerabilidade subjacente mas que ajudaria a bloquear vetores de ataque conhecidos antes de aplicar a atualização. A Microsoft testou as soluções alternativas e estados a seguir como parte do cenário que implica se uma solução alternativa reduziria funcionalidade:

• Defina as configurações de zona de segurança da Internet e da intranet local como “Alto” para ser notificado antes da execução de controles ActiveX e scripts ativos nessas zonas

  Você pode ajudar na proteção contra a exploração dessa vulnerabilidade alterando as configurações para que a zona de segurança da Internet solicite uma confirmação antes de executar controles ActiveX e scripts ativos. É possível fazer isso configurando a segurança do navegador como Alta.

  Para aumentar o nível de segurança da navegação no Internet Explorer, faça o seguinte:

  1. No menu Ferramentas do Internet Explorer, clique em Opções da Internet.
  2. Na caixa de diálogo Opções da Internet, clique na guia Segurança e, em seguida, no ícone Internet.
  3. Em Nível de segurança para esta zona, mova o controle deslizante para Alto. Isso define o nível de segurança para todos os sites visitados como Alto.

  Observação Se o controle deslizante não estiver visível, clique em Nível padrão e então mova o controle deslizante para Alto.

  Observação A configuração do nível como Alto pode fazer com que alguns sites não funcionem corretamente. Se você encontrar dificuldades ao usar um site após alterar a configuração, mas tiver certeza de que o site é seguro, é possível adicionar esse site à lista de sites confiáveis. Isso permite que o site funcione corretamente, mesmo com a configuração de segurança definida como Alta.

  Impacto da solução alternativa. Há efeitos colaterais para notificação antes da execução de controles ActiveX e scripts ativos. Muitos sites que não estão na Internet ou na intranet usam controles ActiveX e scripts ativos para fornecer funcionalidade adicional. Por exemplo, um site de comércio eletrônico ou bancário online pode usar controles ActiveX para fornecer menus, formulários de pedidos ou até mesmo extratos de contas. A notificação antes da execução de controles ActiveX ou scripts ativos é uma configuração global que afeta todos os sites da Internet e da intranet. Você será notificado frequentemente quando ativar essa solução alternativa. Em cada notificação, se você sentir que confia no site que está visitando, clique em Sim para executar os controles ActiveX ou os scripts ativos. Se não quiser ser avisado para todos esses sites, use os passos descritos em “Adicione sites confiáveis à zona Sites confiáveis do Internet Explorer”.

  Adicione sites confiáveis à zona Sites confiáveis do Internet Explorer

  Depois de definir o Internet Explorer para solicitar confirmação antes de executar controles ActiveX e scripts ativos na zona da Internet e da Intranet local, você pode adicionar sites confiáveis à zona de Sites confiáveis do Internet Explorer. Isso permitirá que você continue usando os sites confiáveis exatamente como faz atualmente, enquanto ajuda a proteger-se de ataques em sites não confiáveis. É recomendável adicionar somente sites nos quais você confia à zona de Sites confiáveis.

  Para isso, siga estas etapas:

  1. No Internet Explorer, clique em Ferramentas, clique em Opções da Internet e, em seguida, clique na guia Segurança.
  2. Na caixa Selecione uma zona de conteúdo da Web para especificar suas configurações de segurança, clique em Sites Confiáveis e, em seguida, clique em Sites.
  3. Se desejar adicionar sites que não requeiram um canal criptografado, clique para desmarcar a caixa de diálogo Exigir verificação do servidor (https:) para todos os sites desta zona.
  4. Na caixa Adicionar este site à zona, digite o URL de um site em que confia e, em seguida, clique em Adicionar.
  5. Repita essas etapas para cada site que você deseja adicionar à zona.
  6. Clique em OK duas vezes para aceitar as alterações e retornar ao Internet Explorer.

  Observação Adicione os sites que você tem certeza de que não realizarão ações mal-intencionadas em seu sistema. Dois em particular que você pode desejar adicionar são *.windowsupdate.microsoft.com e *.update.microsoft.com. Estes são os sites que hospedam a atualização, e é preciso ter um controle ActiveX para instalar a atualização.

• Configure o Internet Explorer para notificá-lo antes da execução de scripts ativos ou desative os scripts ativos na zona de segurança da Internet e da intranet local

  Para se proteger contra a exploração dessa vulnerabilidade, altere as configurações para ser notificado antes da execução de scripts ativos ou desabilite os scripts ativos na zona de segurança da Internet e da intranet local. Para isso, siga estas etapas:

  1. No Internet Explorer, clique em Opções da Internet no menu Ferramentas.
  2. Clique na guia Segurança.
  3. Clique em Internet e, em seguida, clique em Nível Personalizado.
  4. Em Configurações, na seção Script, em Scripts Ativos, clique em Avisar ou Desativar e, em seguida, clique em OK.
  5. Clique em Intranet local e, em seguida, clique em Nível Personalizado.
  6. Em Configurações, na seção Script, em Scripts Ativos, clique em Avisar ou Desativar e, em seguida, clique em OK.
  7. Clique em OK duas vezes para retornar ao Internet Explorer.

  Observação A desativação dos scripts ativos nas zonas de segurança da Internet e da intranet local poderá fazer com que alguns sites não funcionem corretamente. Se você encontrar dificuldades ao usar um site após alterar a configuração, mas tiver certeza de que o site é seguro, é possível adicionar esse site à lista de sites confiáveis. Isso permitirá que o site funcione adequadamente.

  Impacto da solução alternativa. Há efeitos colaterais para notificação antes da execução de scripts ativos. Muitos sites que não estão na Internet ou na intranet usam scripts ativos para fornecer funcionalidade adicional. Por exemplo, um site de comércio eletrônico ou bancário online pode usar controles ActiveX para fornecer menus, formulários de pedidos ou até mesmo extratos de contas. A notificação antes da execução dos scripts ativos é uma configuração global que afeta todos os sites da Internet e da intranet. Você será notificado frequentemente quando ativar essa solução alternativa. Para cada notificação, se achar que confia no site que está visitando, clique em Sim para executar os scripts ativos. Se não quiser ser avisado para todos esses sites, use os passos descritos em “Adicione sites confiáveis à zona Sites confiáveis do Internet Explorer”.

  Adicione sites confiáveis à zona Sites confiáveis do Internet Explorer

  Depois de definir o Internet Explorer para solicitar confirmação antes de executar controles ActiveX e scripts ativos na zona da Internet e da Intranet local, você pode adicionar sites confiáveis à zona de Sites confiáveis do Internet Explorer. Isso permitirá que você continue usando os sites confiáveis exatamente como faz atualmente, enquanto ajuda a proteger-se de ataques em sites não confiáveis. É recomendável adicionar somente sites nos quais você confia à zona de Sites confiáveis.

  Para isso, siga estas etapas:

  1. No Internet Explorer, clique em Ferramentas, clique em Opções da Internet e, em seguida, clique na guia Segurança.
  2. Na caixa Selecione uma zona de conteúdo da Web para especificar suas configurações de segurança, clique em Sites Confiáveis e, em seguida, clique em Sites.
  3. Se desejar adicionar sites que não requeiram um canal criptografado, clique para desmarcar a caixa de diálogo Exigir verificação do servidor (https:) para todos os sites desta zona.
  4. Na caixa Adicionar este site à zona, digite o URL de um site em que confia e, em seguida, clique em Adicionar.
  5. Repita essas etapas para cada site que você deseja adicionar à zona.
  6. Clique em OK duas vezes para aceitar as alterações e retornar ao Internet Explorer.

  Observação Adicione os sites que você tem certeza de que não realizarão ações mal-intencionadas em seu sistema. Dois em particular que você pode desejar adicionar são *.windowsupdate.microsoft.com e *.update.microsoft.com. Estes são os sites que hospedam a atualização, e é preciso ter um controle ActiveX para instalar a atualização.

Qual é o escopo da vulnerabilidade?  
Essa é uma vulnerabilidade de execução remota de código. O invasor que explorar com êxito a vulnerabilidade poderá obter os mesmos direitos que o usuário conectado. Os usuários cujas contas são configuradas com poucos direitos de usuário no sistema correm menos riscos do que aqueles que possuem direitos administrativos.

O que provoca a vulnerabilidade?  
Quando o Internet Explorer processa um URL especialmente criado, o código chamado para validar o URL pode executar um binário a partir do sistema cliente local.

Para que um invasor pode usar a vulnerabilidade?  
O invasor que explorar com êxito a vulnerabilidade poderá obter os mesmos direitos que o usuário conectado. Se um usuário tiver feito logon com direitos administrativos, o invasor que explorar com êxito essa vulnerabilidade poderá obter o controle total do sistema afetado. O invasor poderá instalar programas; exibir, alterar ou excluir dados; ou criar novas contas com direitos totais de usuário.

De que forma o invasor pode explorar a vulnerabilidade?  
Um invasor pode convencer um usuário a clicar em um link especialmente criado que o Internet Explorer pode validar indevidamente, o que permitiria a execução de código no sistema. Em todos os casos, entretanto, um invasor não teria como forçar os usuários a clicar no URL. Em vez disso, o invasor teria de convencer os usuários a clicar no URL, geralmente enviando a eles um email ou uma mensagem do Instant Messenger. Também é possível exibir conteúdo da Web próprio para a finalidade usando anúncios de banner ou outros métodos para implantar conteúdo da Web nos sistemas afetados.

Quais são os sistemas que mais correm riscos com a vulnerabilidade?  
Esta vulnerabilidade requer que um usuário esteja conectado e visite um site para que uma ação mal-intencionada ocorra. Portanto, os sistemas nos quais o Internet Explorer é usado com frequência, como estações de trabalho ou servidores de terminal, estão mais expostos a essa vulnerabilidade.

O que a atualização faz?  
A atualização elimina a vulnerabilidade corrigindo o comportamento do Internet Explorer de modo que os parâmetros de entrada sejam suficientemente validados.

Quando esse boletim de segurança foi lançado, essa vulnerabilidade já tinha sido divulgada publicamente?  
Não. A Microsoft recebeu informações sobre essa vulnerabilidade por meio de divulgação responsável.

Quando este boletim de segurança foi lançado, a Microsoft tinha recebido algum relatório informando que essa vulnerabilidade estava sendo explorada?  
Não. A Microsoft não recebeu nenhuma informação indicando que essa vulnerabilidade tenha sido usada publicamente para atacar clientes e não testemunhou nenhum exemplo de publicação de código de verificação de conceito, quando este boletim de segurança foi lançado pela primeira vez.

A atenuação refere-se a uma configuração, configuração comum ou prática recomendada geral, existindo num estado padrão, que possa reduzir a gravidade de exploração de uma vulnerabilidade. Os fatores de atenuação a seguir podem ser úteis em sua situação:

• A Proteção de Execução de Dados (DEP) ajuda a proteger contra ataques que resultam na execução de código, sendo ativada por padrão no Internet Explorer 8, nos seguintes sistemas operacionais Windows: Windows XP Service Pack 3, Windows Vista Service Pack 1, Windows Vista Service Pack 2 e Windows 7.
• No cenário de ataque na Web, o invasor terá que hospedar um site contendo uma página da Web usada para explorar essa vulnerabilidade. Além disso, sites comprometidos e sites que aceitem ou hospedem conteúdo fornecido pelo usuário ou anúncios pode conter conteúdo especialmente desenvolvido que pode explorar esta vulnerabilidade. Em todos os casos, entretanto, um invasor não teria como forçar os usuários a visitarem os sites. Em vez disso, o invasor teria que convencer os usuários a visitarem o site, geralmente fazendo com que eles cliquem em um link em um email ou mensagem do Instant Messenger que leva o usuário ao site do invasor.
• O invasor que explorar com êxito a vulnerabilidade poderá obter os mesmos direitos que o usuário local. Os usuários cujas contas são configuradas com poucos direitos de usuário no sistema correm menos riscos do que aqueles que possuem direitos administrativos.
• Por padrão, todas as versões com suporte do Microsoft Outlook, Microsoft Outlook Express e Windows Mail abrem emails em HTML na zona de sites restritos. A zona Sites restritos ajuda a reduzir os ataques que podem tentar explorar essa vulnerabilidade, ao evitar que controles ActiveX e Script Ativos sejam usados durante a leitura de email em HTML. No entanto, se um usuário clicar em um link em uma mensagem de email, ele ainda pode estar vulnerável à exploração desta vulnerabilidade, de acordo com o cenário de ataque baseado na Web.
• Por padrão, o Internet Explorer no Windows Server 2003 e no Windows Server 2008 é executado em um modo restrito, conhecido como Configuração de Segurança Reforçada. Esse modo define o nível de segurança para a zona da Internet como Alto. Este é um fator atenuante para sites que não tenham sido adicionados à zona Sites confiáveis do Internet Explorer. Consulte a subseção Perguntas frequentes desta vulnerabilidade para obter mais informações sobre a Configuração de Segurança Reforçada do Internet Explorer.
• O Internet Explorer 5.01 Service Pack 4 não é afetado por essa vulnerabilidade.

A solução alternativa refere-se a uma configuração ou alteração de configuração que não corrige a vulnerabilidade subjacente mas que ajudaria a bloquear vetores de ataque conhecidos antes de aplicar a atualização. A Microsoft testou as soluções alternativas e estados a seguir como parte do cenário que implica se uma solução alternativa reduziria funcionalidade:

• Defina as configurações de zona de segurança da Internet e da intranet local como “Alto” para ser notificado antes da execução de controles ActiveX e scripts ativos nessas zonas

  Você pode ajudar na proteção contra a exploração dessa vulnerabilidade alterando as configurações para que a zona de segurança da Internet solicite uma confirmação antes de executar controles ActiveX e scripts ativos. É possível fazer isso configurando a segurança do navegador como Alta.

  Para aumentar o nível de segurança da navegação no Internet Explorer, faça o seguinte:

  1. No menu Ferramentas do Internet Explorer, clique em Opções da Internet.
  2. Na caixa de diálogo Opções da Internet, clique na guia Segurança e, em seguida, no ícone Internet.
  3. Em Nível de segurança para esta zona, mova o controle deslizante para Alto. Isso define o nível de segurança para todos os sites visitados como Alto.

  Observação Se o controle deslizante não estiver visível, clique em Nível padrão e então mova o controle deslizante para Alto.

  Observação A configuração do nível como Alto pode fazer com que alguns sites não funcionem corretamente. Se você encontrar dificuldades ao usar um site após alterar a configuração, mas tiver certeza de que o site é seguro, é possível adicionar esse site à lista de sites confiáveis. Isso permite que o site funcione corretamente, mesmo com a configuração de segurança definida como Alta.

  Impacto da solução alternativa. Há efeitos colaterais para notificação antes da execução de controles ActiveX e scripts ativos. Muitos sites que não estão na Internet ou na intranet usam controles ActiveX e scripts ativos para fornecer funcionalidade adicional. Por exemplo, um site de comércio eletrônico ou bancário online pode usar controles ActiveX para fornecer menus, formulários de pedidos ou até mesmo extratos de contas. A notificação antes da execução de controles ActiveX ou scripts ativos é uma configuração global que afeta todos os sites da Internet e da intranet. Você será notificado frequentemente quando ativar essa solução alternativa. Em cada notificação, se você sentir que confia no site que está visitando, clique em Sim para executar os controles ActiveX ou os scripts ativos. Se não quiser ser avisado para todos esses sites, use os passos descritos em “Adicione sites confiáveis à zona Sites confiáveis do Internet Explorer”.

  Adicione sites confiáveis à zona Sites confiáveis do Internet Explorer

  Depois de definir o Internet Explorer para solicitar confirmação antes de executar controles ActiveX e scripts ativos na zona da Internet e da Intranet local, você pode adicionar sites confiáveis à zona de Sites confiáveis do Internet Explorer. Isso permitirá que você continue usando os sites confiáveis exatamente como faz atualmente, enquanto ajuda a proteger-se de ataques em sites não confiáveis. É recomendável adicionar somente sites nos quais você confia à zona de Sites confiáveis.

  Para isso, siga estas etapas:

  1. No Internet Explorer, clique em Ferramentas, clique em Opções da Internet e, em seguida, clique na guia Segurança.
  2. Na caixa Selecione uma zona de conteúdo da Web para especificar suas configurações de segurança, clique em Sites Confiáveis e, em seguida, clique em Sites.
  3. Se desejar adicionar sites que não requeiram um canal criptografado, clique para desmarcar a caixa de diálogo Exigir verificação do servidor (https:) para todos os sites desta zona.
  4. Na caixa Adicionar este site à zona, digite o URL de um site em que confia e, em seguida, clique em Adicionar.
  5. Repita essas etapas para cada site que você deseja adicionar à zona.
  6. Clique em OK duas vezes para aceitar as alterações e retornar ao Internet Explorer.

  Observação Adicione os sites que você tem certeza de que não realizarão ações mal-intencionadas em seu sistema. Dois em particular que você pode desejar adicionar são *.windowsupdate.microsoft.com e *.update.microsoft.com. Estes são os sites que hospedam a atualização, e é preciso ter um controle ActiveX para instalar a atualização.

• Configure o Internet Explorer para notificá-lo antes da execução de scripts ativos ou desative os scripts ativos na zona de segurança da Internet e da intranet local

  Para se proteger contra a exploração dessa vulnerabilidade, altere as configurações para ser notificado antes da execução de scripts ativos ou desabilite os scripts ativos na zona de segurança da Internet e da intranet local. Para isso, siga estas etapas:

  1. No Internet Explorer, clique em Opções da Internet no menu Ferramentas.
  2. Clique na guia Segurança.
  3. Clique em Internet e, em seguida, clique em Nível Personalizado.
  4. Em Configurações, na seção Script, em Scripts Ativos, clique em Avisar ou Desativar e, em seguida, clique em OK.
  5. Clique em Intranet local e, em seguida, clique em Nível Personalizado.
  6. Em Configurações, na seção Script, em Scripts Ativos, clique em Avisar ou Desativar e, em seguida, clique em OK.
  7. Clique em OK duas vezes para retornar ao Internet Explorer.

  Observação A desativação dos scripts ativos nas zonas de segurança da Internet e da intranet local poderá fazer com que alguns sites não funcionem corretamente. Se você encontrar dificuldades ao usar um site após alterar a configuração, mas tiver certeza de que o site é seguro, é possível adicionar esse site à lista de sites confiáveis. Isso permitirá que o site funcione adequadamente.

  Impacto da solução alternativa. Há efeitos colaterais para notificação antes da execução de scripts ativos. Muitos sites que não estão na Internet ou na intranet usam scripts ativos para fornecer funcionalidade adicional. Por exemplo, um site de comércio eletrônico ou bancário online pode usar controles ActiveX para fornecer menus, formulários de pedidos ou até mesmo extratos de contas. A notificação antes da execução dos scripts ativos é uma configuração global que afeta todos os sites da Internet e da intranet. Você será notificado frequentemente quando ativar essa solução alternativa. Para cada notificação, se achar que confia no site que está visitando, clique em Sim para executar os scripts ativos. Se não quiser ser avisado para todos esses sites, use os passos descritos em “Adicione sites confiáveis à zona Sites confiáveis do Internet Explorer”.

  Adicione sites confiáveis à zona Sites confiáveis do Internet Explorer

  Depois de definir o Internet Explorer para solicitar confirmação antes de executar controles ActiveX e scripts ativos na zona da Internet e da Intranet local, você pode adicionar sites confiáveis à zona de Sites confiáveis do Internet Explorer. Isso permitirá que você continue usando os sites confiáveis exatamente como faz atualmente, enquanto ajuda a proteger-se de ataques em sites não confiáveis. É recomendável adicionar somente sites nos quais você confia à zona de Sites confiáveis.

  Para isso, siga estas etapas:

  1. No Internet Explorer, clique em Ferramentas, clique em Opções da Internet e, em seguida, clique na guia Segurança.
  2. Na caixa Selecione uma zona de conteúdo da Web para especificar suas configurações de segurança, clique em Sites Confiáveis e, em seguida, clique em Sites.
  3. Se desejar adicionar sites que não requeiram um canal criptografado, clique para desmarcar a caixa de diálogo Exigir verificação do servidor (https:) para todos os sites desta zona.
  4. Na caixa Adicionar este site à zona, digite o URL de um site em que confia e, em seguida, clique em Adicionar.
  5. Repita essas etapas para cada site que você deseja adicionar à zona.
  6. Clique em OK duas vezes para aceitar as alterações e retornar ao Internet Explorer.

  Observação Adicione os sites que você tem certeza de que não realizarão ações mal-intencionadas em seu sistema. Dois em particular que você pode desejar adicionar são *.windowsupdate.microsoft.com e *.update.microsoft.com. Estes são os sites que hospedam a atualização, e é preciso ter um controle ActiveX para instalar a atualização.

• Habilitar a DEP para o Internet Explorer 6 ou o Internet Explorer 7

  Esta vulnerabilidade é mais difícil de explorar com êxito se a Proteção de Execução de Dados (DEP) estiver habilitada para o Internet Explorer. Você pode habilitar a DEP para todas as versões do Internet Explorer que ofereçam suporte a ela, usando um dos métodos a seguir:

  • Habilitar a DEP interativamente para o Internet Explorer 7

  Os administradores locais podem controlar DEP/NX, executando o Internet Explorer como um Administrador. Para habilitar DEP, execute as seguintes etapas:

  1. No Internet Explorer, clique em Ferramentas, clique em Opções da Internet e, em seguida, clique na guia Avançado.
  2. Clique em Habilitar proteção de memória para ajudar a atenuar ataques online.
  3. Clique em OK e reinicie o Internet Explorer.
  • Habilitar a DEP para o Internet Explorer 6 ou Internet Explorer 7 usando a solução automatizada Microsoft Fix It

    Consulte o Artigo 978207 (em inglês) da Microsoft Knowledge Base para usar a solução automatizada Microsoft Fix it para habilitar ou desabilitar esta solução alternativa.

  Impacto da solução alternativa. Algumas extensões do navegador podem não ser compatíveis com DEP e ser interrompidas inesperadamente. Se isso ocorrer, você poderá desabilitar o complemento ou reverter a configuração DEP usando o Painel de Controle da Internet. Isso também pode ser acessado usando o painel de Controle do Sistema.

Qual é o escopo da vulnerabilidade?  
Essa é uma vulnerabilidade de execução remota de código. O invasor que explorar com êxito a vulnerabilidade poderá obter os mesmos direitos que o usuário conectado. Os usuários cujas contas são configuradas com poucos direitos de usuário no sistema correm menos riscos do que aqueles que possuem direitos administrativos.

O que provoca a vulnerabilidade?  
Quando o Internet Explorer tenta acessar um objeto que não foi inicializado ou foi excluído, a memória pode ser corrompida de tal maneira que um invasor pode executar código arbitrário no contexto do usuário conectado.

Para que um invasor pode usar a vulnerabilidade?  
O invasor que explorar com êxito esta vulnerabilidade poderá obter os mesmos direitos que o usuário conectado. Se um usuário tiver feito logon com direitos administrativos, o invasor que explorar com êxito essa vulnerabilidade poderá obter o controle total do sistema afetado. O invasor poderá instalar programas; exibir, alterar ou excluir dados; ou criar novas contas com direitos totais de usuário.

De que forma o invasor pode explorar a vulnerabilidade?  
O invasor pode hospedar um site especialmente projetado para explorar esta vulnerabilidade através do Internet Explorer e, então, convencer um usuário a exibir o site. O invasor também pode tirar proveito dos sites comprometidos e de sites que aceitam ou hospedam o conteúdo fornecido pelo usuário ou anúncios. Esses sites podem ter conteúdo especialmente criado para explorar essa vulnerabilidade. Em todos os casos, entretanto, um invasor não teria como forçar os usuários a visitarem os sites. Em vez disso, um invasor tem que convencer os usuários a visitar o site, geralmente fazendo com que eles cliquem em um link em um email ou por um pedido pelo Instant Messenger que leva o usuário ao site do invasor. Também é possível exibir conteúdo da Web próprio para a finalidade usando anúncios de banner ou outros métodos para implantar conteúdo da Web nos sistemas afetados.

Quais são os sistemas que mais correm riscos com a vulnerabilidade?  
Esta vulnerabilidade requer que um usuário esteja conectado e visite um site para que uma ação mal-intencionada ocorra. Portanto, os sistemas nos quais o Internet Explorer é usado com frequência, como estações de trabalho ou servidores de terminal, estão mais expostos a essa vulnerabilidade.

Estou executando o Internet Explorer para Windows Server 2003 ou Windows Server 2008. Isso atenua essa vulnerabilidade?  
Sim. Por padrão, o Internet Explorer no Windows Server 2003 e no Windows Server 2008 é executado em um modo restrito, conhecido como Configuração de Segurança Reforçada. A Configuração de Segurança Reforçada é um grupo de configurações predefinidas do Internet Explorer que reduz a probabilidade de um usuário ou administrador baixar e executar um conteúdo da Web especialmente criado em um servidor. Este é um fator atenuante para sites que não tenham sido adicionados à zona Sites confiáveis do Internet Explorer. Consulte também Gerenciamento de Configurações de Segurança Avançadas do Internet Explorer.

Qual das soluções alternativas devo aplicar ao meu sistema para estar protegido?  
Com base em nossa investigação, definir a configuração de segurança da zona da Internet como Alta protegerá os usuários contra o problema descrito neste comunicado.

Como a configuração da segurança de zona da Internet como Alta me protege desta vulnerabilidade?  
A configuração da segurança de zona da Internet como Alta protege contra esta vulnerabilidade por desabilitar scripts e recursos menos seguros no Internet Explorer, além de bloquear técnicas conhecidas usadas para ignorar a Prevenção de Execução de Dados (DEP).

Como o Modo Protegido do Internet Explorer no Windows Vista e em sistemas operacionais Windows posteriores limita o impacto desta vulnerabilidade?  
Por padrão, o Internet Explorer no Windows Vista e em sistemas operacionais Windows posteriores é executado no Modo Protegido na zona de segurança da Internet. (O Modo Protegido fica desativado por padrão na zona da Intranet.) O Modo Protegido reduz significativamente a capacidade de um invasor de gravar, alterar ou destruir dados na máquina do usuário ou instalar código mal-intencionado. Isso é feito usando os mecanismos de integridade do Windows Vista que restringem o acesso a processos, arquivos e chaves do Registro com níveis mais altos de integridade.

O que é ASLR (Address Space Layout Randomization)?  
Sistemas que implementam o ASLR (Address Space Layout Randomization) realocam pontos de entrada de funções que normalmente seriam previsíveis de maneira pseudo-aleatória na memória. O Windows ASLR realoca DLL ou EXE em um entre 256 locais aleatórios na memória. Portanto, invasores que usam endereços inseridos no código têm probabilidade de "adivinhar corretamente" em uma a cada 256 vezes. Para obter mais informações sobre o ASLR, consulte o artigo da revista TechNet Inside the Windows Vista Kernel: Part 3.

O que é Prevenção de Execução de Dados (DEP)?  
O suporte da Prevenção de Execução de Dados é incluído no Internet Explorer e, embora seja ativado por padrão no Internet Explorer 8, fica desativado por padrão em versões anteriores do Internet Explorer. A DEP foi projetada para ajudar a bloquear ataques, evitando a execução na memória de código que esteja marcado como não-executável. Para obter mais informações sobre a DEP no Internet Explorer, consulte a postagem no blog do MSDN IE8 Security Part I: Proteção de Memória DEP/NX.

A Prevenção de Execução de Dados (DEP) pode ser ignorada no Internet Explorer 8?  
Há um relatório sobre uma nova exploração da Prevenção de Execução de Dados (DEP). Analisamos o código de exploração de prova de conceito e concluímos que o Windows Vista e versões posteriores do Windows oferecem proteções mais eficientes para bloquear a exploração devido ao ASLR (Address Space Layout Randomization). No Windows XP, os invasores podem tornar as técnicas de desvio mais confiáveis.

O que a atualização faz?  
A atualização modifica a maneira como o Internet Explorer manipula objetos na memória.

Quando esse boletim de segurança foi lançado, essa vulnerabilidade já tinha sido divulgada publicamente?  
Não. A Microsoft recebeu informações sobre essa vulnerabilidade por meio de divulgação responsável.

Quando este boletim de segurança foi lançado, a Microsoft tinha recebido algum relatório informando que essa vulnerabilidade estava sendo explorada?  
Não. A Microsoft não recebeu nenhuma informação indicando que essa vulnerabilidade tenha sido usada publicamente para atacar clientes e não testemunhou nenhum exemplo de publicação de código de verificação de conceito, quando este boletim de segurança foi lançado pela primeira vez.

A atenuação refere-se a uma configuração, configuração comum ou prática recomendada geral, existindo num estado padrão, que possa reduzir a gravidade de exploração de uma vulnerabilidade. Os fatores de atenuação a seguir podem ser úteis em sua situação:

• No cenário de ataque na Web, o invasor terá que hospedar um site contendo uma página da Web usada para explorar essa vulnerabilidade. Além disso, sites comprometidos e sites que aceitem ou hospedem conteúdo fornecido pelo usuário ou anúncios pode conter conteúdo especialmente desenvolvido que pode explorar esta vulnerabilidade. Em todos os casos, entretanto, um invasor não teria como forçar os usuários a visitarem os sites. Em vez disso, o invasor teria que convencer os usuários a visitarem o site, geralmente fazendo com que eles cliquem em um link em um email ou mensagem do Instant Messenger que leva o usuário ao site do invasor.
• O invasor que explorar com êxito a vulnerabilidade poderá obter os mesmos direitos que o usuário local. Os usuários cujas contas são configuradas com poucos direitos de usuário no sistema correm menos riscos do que aqueles que possuem direitos administrativos.
• Por padrão, todas as versões com suporte do Microsoft Outlook, Microsoft Outlook Express e Windows Mail abrem emails em HTML na zona de sites restritos. A zona Sites restritos ajuda a reduzir os ataques que podem tentar explorar essa vulnerabilidade, ao evitar que controles ActiveX e Script Ativos sejam usados durante a leitura de email em HTML. No entanto, se um usuário clicar em um link em uma mensagem de email, ele ainda pode estar vulnerável à exploração desta vulnerabilidade, de acordo com o cenário de ataque baseado na Web.
• Por padrão, o Internet Explorer no Windows Server 2003 e no Windows Server 2008 é executado em um modo restrito, conhecido como Configuração de Segurança Reforçada. Esse modo define o nível de segurança para a zona da Internet como Alto. Este é um fator atenuante para sites que não tenham sido adicionados à zona Sites confiáveis do Internet Explorer. Consulte a subseção Perguntas frequentes desta vulnerabilidade para obter mais informações sobre a Configuração de Segurança Reforçada do Internet Explorer.
• O Internet Explorer 5.01 Service Pack 4, Internet Explorer 6, Internet Explorer 6 Service Pack 1 e Internet Explorer 7 não são afetados por esta vulnerabilidade.

A solução alternativa refere-se a uma configuração ou alteração de configuração que não corrige a vulnerabilidade subjacente mas que ajudaria a bloquear vetores de ataque conhecidos antes de aplicar a atualização. A Microsoft testou as soluções alternativas e estados a seguir como parte do cenário que implica se uma solução alternativa reduziria funcionalidade:

• Defina as configurações de zona de segurança da Internet e da intranet local como “Alto” para ser notificado antes da execução de controles ActiveX e scripts ativos nessas zonas

  Você pode ajudar na proteção contra a exploração dessa vulnerabilidade alterando as configurações para que a zona de segurança da Internet solicite uma confirmação antes de executar controles ActiveX e scripts ativos. É possível fazer isso configurando a segurança do navegador como Alta.

  Para aumentar o nível de segurança da navegação no Internet Explorer, faça o seguinte:

  1. No menu Ferramentas do Internet Explorer, clique em Opções da Internet.
  2. Na caixa de diálogo Opções da Internet, clique na guia Segurança e, em seguida, no ícone Internet.
  3. Em Nível de segurança para esta zona, mova o controle deslizante para Alto. Isso define o nível de segurança para todos os sites visitados como Alto.

  Observação Se o controle deslizante não estiver visível, clique em Nível padrão e então mova o controle deslizante para Alto.

  Observação A configuração do nível como Alto pode fazer com que alguns sites não funcionem corretamente. Se você encontrar dificuldades ao usar um site após alterar a configuração, mas tiver certeza de que o site é seguro, é possível adicionar esse site à lista de sites confiáveis. Isso permite que o site funcione corretamente, mesmo com a configuração de segurança definida como Alta.

  Impacto da solução alternativa. Há efeitos colaterais para notificação antes da execução de controles ActiveX e scripts ativos. Muitos sites que não estão na Internet ou na intranet usam controles ActiveX e scripts ativos para fornecer funcionalidade adicional. Por exemplo, um site de comércio eletrônico ou bancário online pode usar controles ActiveX para fornecer menus, formulários de pedidos ou até mesmo extratos de contas. A notificação antes da execução de controles ActiveX ou scripts ativos é uma configuração global que afeta todos os sites da Internet e da intranet. Você será notificado frequentemente quando ativar essa solução alternativa. Em cada notificação, se você sentir que confia no site que está visitando, clique em Sim para executar os controles ActiveX ou os scripts ativos. Se não quiser ser avisado para todos esses sites, use os passos descritos em “Adicione sites confiáveis à zona Sites confiáveis do Internet Explorer”.

  Adicione sites confiáveis à zona Sites confiáveis do Internet Explorer

  Depois de definir o Internet Explorer para solicitar confirmação antes de executar controles ActiveX e scripts ativos na zona da Internet e da Intranet local, você pode adicionar sites confiáveis à zona de Sites confiáveis do Internet Explorer. Isso permitirá que você continue usando os sites confiáveis exatamente como faz atualmente, enquanto ajuda a proteger-se de ataques em sites não confiáveis. É recomendável adicionar somente sites nos quais você confia à zona de Sites confiáveis.

  Para isso, siga estas etapas:

  1. No Internet Explorer, clique em Ferramentas, clique em Opções da Internet e, em seguida, clique na guia Segurança.
  2. Na caixa Selecione uma zona de conteúdo da Web para especificar suas configurações de segurança, clique em Sites Confiáveis e, em seguida, clique em Sites.
  3. Se desejar adicionar sites que não requeiram um canal criptografado, clique para desmarcar a caixa de diálogo Exigir verificação do servidor (https:) para todos os sites desta zona.
  4. Na caixa Adicionar este site à zona, digite o URL de um site em que confia e, em seguida, clique em Adicionar.
  5. Repita essas etapas para cada site que você deseja adicionar à zona.
  6. Clique em OK duas vezes para aceitar as alterações e retornar ao Internet Explorer.

  Observação Adicione os sites que você tem certeza de que não realizarão ações mal-intencionadas em seu sistema. Dois em particular que você pode desejar adicionar são *.windowsupdate.microsoft.com e *.update.microsoft.com. Estes são os sites que hospedam a atualização, e é preciso ter um controle ActiveX para instalar a atualização.

• Configure o Internet Explorer para notificá-lo antes da execução de scripts ativos ou desative os scripts ativos na zona de segurança da Internet e da intranet local

  Para se proteger contra a exploração dessa vulnerabilidade, altere as configurações para ser notificado antes da execução de scripts ativos ou desabilite os scripts ativos na zona de segurança da Internet e da intranet local. Para isso, siga estas etapas:

  1. No Internet Explorer, clique em Opções da Internet no menu Ferramentas.
  2. Clique na guia Segurança.
  3. Clique em Internet e, em seguida, clique em Nível Personalizado.
  4. Em Configurações, na seção Script, em Scripts Ativos, clique em Avisar ou Desativar e, em seguida, clique em OK.
  5. Clique em Intranet local e, em seguida, clique em Nível Personalizado.
  6. Em Configurações, na seção Script, em Scripts Ativos, clique em Avisar ou Desativar e, em seguida, clique em OK.
  7. Clique em OK duas vezes para retornar ao Internet Explorer.

  Observação A desativação dos scripts ativos nas zonas de segurança da Internet e da intranet local poderá fazer com que alguns sites não funcionem corretamente. Se você encontrar dificuldades ao usar um site após alterar a configuração, mas tiver certeza de que o site é seguro, é possível adicionar esse site à lista de sites confiáveis. Isso permitirá que o site funcione adequadamente.

  Impacto da solução alternativa. Há efeitos colaterais para notificação antes da execução de scripts ativos. Muitos sites que não estão na Internet ou na intranet usam scripts ativos para fornecer funcionalidade adicional. Por exemplo, um site de comércio eletrônico ou bancário online pode usar controles ActiveX para fornecer menus, formulários de pedidos ou até mesmo extratos de contas. A notificação antes da execução dos scripts ativos é uma configuração global que afeta todos os sites da Internet e da intranet. Você será notificado frequentemente quando ativar essa solução alternativa. Para cada notificação, se achar que confia no site que está visitando, clique em Sim para executar os scripts ativos. Se não quiser ser avisado para todos esses sites, use os passos descritos em “Adicione sites confiáveis à zona Sites confiáveis do Internet Explorer”.

  Adicione sites confiáveis à zona Sites confiáveis do Internet Explorer

  Depois de definir o Internet Explorer para solicitar confirmação antes de executar controles ActiveX e scripts ativos na zona da Internet e da Intranet local, você pode adicionar sites confiáveis à zona de Sites confiáveis do Internet Explorer. Isso permitirá que você continue usando os sites confiáveis exatamente como faz atualmente, enquanto ajuda a proteger-se de ataques em sites não confiáveis. É recomendável adicionar somente sites nos quais você confia à zona de Sites confiáveis.

  Para isso, siga estas etapas:

  1. No Internet Explorer, clique em Ferramentas, clique em Opções da Internet e, em seguida, clique na guia Segurança.
  2. Na caixa Selecione uma zona de conteúdo da Web para especificar suas configurações de segurança, clique em Sites Confiáveis e, em seguida, clique em Sites.
  3. Se desejar adicionar sites que não requeiram um canal criptografado, clique para desmarcar a caixa de diálogo Exigir verificação do servidor (https:) para todos os sites desta zona.
  4. Na caixa Adicionar este site à zona, digite o URL de um site em que confia e, em seguida, clique em Adicionar.
  5. Repita essas etapas para cada site que você deseja adicionar à zona.
  6. Clique em OK duas vezes para aceitar as alterações e retornar ao Internet Explorer.

  Observação Adicione os sites que você tem certeza de que não realizarão ações mal-intencionadas em seu sistema. Dois em particular que você pode desejar adicionar são *.windowsupdate.microsoft.com e *.update.microsoft.com. Estes são os sites que hospedam a atualização, e é preciso ter um controle ActiveX para instalar a atualização.

Qual é o escopo da vulnerabilidade?  
Essa é uma vulnerabilidade de execução remota de código. O invasor que explorar com êxito a vulnerabilidade poderá obter os mesmos direitos que o usuário conectado. Os usuários cujas contas são configuradas com poucos direitos de usuário no sistema correm menos riscos do que aqueles que possuem direitos administrativos.

O que provoca a vulnerabilidade?  
Quando o Internet Explorer tenta acessar um objeto que não foi inicializado ou foi excluído, a memória pode ser corrompida de tal maneira que um invasor pode executar código arbitrário no contexto do usuário conectado.

Para que um invasor pode usar a vulnerabilidade?  
O invasor que explorar com êxito esta vulnerabilidade poderá obter os mesmos direitos que o usuário conectado. Se um usuário tiver feito logon com direitos administrativos, o invasor que explorar com êxito essa vulnerabilidade poderá obter o controle total do sistema afetado. O invasor poderá instalar programas; exibir, alterar ou excluir dados; ou criar novas contas com direitos totais de usuário.

De que forma o invasor pode explorar a vulnerabilidade?  
O invasor pode hospedar um site especialmente projetado para explorar esta vulnerabilidade através do Internet Explorer e, então, convencer um usuário a exibir o site. O invasor também pode tirar proveito dos sites comprometidos e de sites que aceitam ou hospedam o conteúdo fornecido pelo usuário ou anúncios. Esses sites podem ter conteúdo especialmente criado para explorar essa vulnerabilidade. Em todos os casos, entretanto, um invasor não teria como forçar os usuários a visitarem os sites. Em vez disso, um invasor tem que convencer os usuários a visitar o site, geralmente fazendo com que eles cliquem em um link em um email ou por um pedido pelo Instant Messenger que leva o usuário ao site do invasor. Também é possível exibir conteúdo da Web próprio para a finalidade usando anúncios de banner ou outros métodos para implantar conteúdo da Web nos sistemas afetados.

Quais são os sistemas que mais correm riscos com a vulnerabilidade?  
Esta vulnerabilidade requer que um usuário esteja conectado e visite um site para que uma ação mal-intencionada ocorra. Portanto, os sistemas nos quais o Internet Explorer é usado com frequência, como estações de trabalho ou servidores de terminal, estão mais expostos a essa vulnerabilidade.

Estou executando o Internet Explorer para Windows Server 2003 ou Windows Server 2008. Isso atenua essa vulnerabilidade?  
Sim. Por padrão, o Internet Explorer no Windows Server 2003 e no Windows Server 2008 é executado em um modo restrito, conhecido como Configuração de Segurança Reforçada. A Configuração de Segurança Reforçada é um grupo de configurações predefinidas do Internet Explorer que reduz a probabilidade de um usuário ou administrador baixar e executar um conteúdo da Web especialmente criado em um servidor. Este é um fator atenuante para sites que não tenham sido adicionados à zona Sites confiáveis do Internet Explorer. Consulte também Gerenciamento de Configurações de Segurança Avançadas do Internet Explorer.

O que a atualização faz?  
A atualização modifica a maneira como o Internet Explorer manipula objetos na memória.

Quando esse boletim de segurança foi lançado, essa vulnerabilidade já tinha sido divulgada publicamente?  
Não. A Microsoft recebeu informações sobre essa vulnerabilidade por meio de divulgação responsável.

Quando este boletim de segurança foi lançado, a Microsoft tinha recebido algum relatório informando que essa vulnerabilidade estava sendo explorada?  
Não. A Microsoft não recebeu nenhuma informação indicando que essa vulnerabilidade tenha sido usada publicamente para atacar clientes e não testemunhou nenhum exemplo de publicação de código de verificação de conceito, quando este boletim de segurança foi lançado pela primeira vez.

A atenuação refere-se a uma configuração, configuração comum ou prática recomendada geral, existindo num estado padrão, que possa reduzir a gravidade de exploração de uma vulnerabilidade. Os fatores de atenuação a seguir podem ser úteis em sua situação:

• A Proteção de Execução de Dados (DEP) ajuda a proteger contra ataques que resultam na execução de código, sendo ativada por padrão no Internet Explorer 8, nos seguintes sistemas operacionais Windows: Windows XP Service Pack 3, Windows Vista Service Pack 1, Windows Vista Service Pack 2 e Windows 7.
• No cenário de ataque na Web, o invasor terá que hospedar um site contendo uma página da Web usada para explorar essa vulnerabilidade. Além disso, sites comprometidos e sites que aceitem ou hospedem conteúdo fornecido pelo usuário ou anúncios pode conter conteúdo especialmente desenvolvido que pode explorar esta vulnerabilidade. Em todos os casos, entretanto, um invasor não teria como forçar os usuários a visitarem os sites. Em vez disso, o invasor teria que convencer os usuários a visitarem o site, geralmente fazendo com que eles cliquem em um link em um email ou mensagem do Instant Messenger que leva o usuário ao site do invasor.
• O invasor que explorar com êxito a vulnerabilidade poderá obter os mesmos direitos que o usuário local. Os usuários cujas contas são configuradas com poucos direitos de usuário no sistema correm menos riscos do que aqueles que possuem direitos administrativos.
• Por padrão, todas as versões com suporte do Microsoft Outlook, Microsoft Outlook Express e Windows Mail abrem emails em HTML na zona de sites restritos. A zona Sites restritos ajuda a reduzir os ataques que podem tentar explorar essa vulnerabilidade, ao evitar que controles ActiveX e Script Ativos sejam usados durante a leitura de email em HTML. No entanto, se um usuário clicar em um link em uma mensagem de email, ele ainda pode estar vulnerável à exploração desta vulnerabilidade, de acordo com o cenário de ataque baseado na Web.
• Por padrão, o Internet Explorer no Windows Server 2003 e no Windows Server 2008 é executado em um modo restrito, conhecido como Configuração de Segurança Reforçada. Esse modo define o nível de segurança para a zona da Internet como Alto. Este é um fator atenuante para sites que não tenham sido adicionados à zona Sites confiáveis do Internet Explorer. Consulte a subseção Perguntas frequentes desta vulnerabilidade para obter mais informações sobre a Configuração de Segurança Reforçada do Internet Explorer.
• O Internet Explorer 5.01 Service Pack 4, Internet Explorer 6, Internet Explorer 6 Service Pack 1 e Internet Explorer 7 não são afetados por esta vulnerabilidade.

A solução alternativa refere-se a uma configuração ou alteração de configuração que não corrige a vulnerabilidade subjacente mas que ajudaria a bloquear vetores de ataque conhecidos antes de aplicar a atualização. A Microsoft testou as soluções alternativas e estados a seguir como parte do cenário que implica se uma solução alternativa reduziria funcionalidade:

• Defina as configurações de zona de segurança da Internet e da intranet local como “Alto” para ser notificado antes da execução de controles ActiveX e scripts ativos nessas zonas

  Você pode ajudar na proteção contra a exploração dessa vulnerabilidade alterando as configurações para que a zona de segurança da Internet solicite uma confirmação antes de executar controles ActiveX e scripts ativos. É possível fazer isso configurando a segurança do navegador como Alta.

  Para aumentar o nível de segurança da navegação no Internet Explorer, faça o seguinte:

  1. No menu Ferramentas do Internet Explorer, clique em Opções da Internet.
  2. Na caixa de diálogo Opções da Internet, clique na guia Segurança e, em seguida, no ícone Internet.
  3. Em Nível de segurança para esta zona, mova o controle deslizante para Alto. Isso define o nível de segurança para todos os sites visitados como Alto.

  Observação Se o controle deslizante não estiver visível, clique em Nível padrão e então mova o controle deslizante para Alto.

  Observação A configuração do nível como Alto pode fazer com que alguns sites não funcionem corretamente. Se você encontrar dificuldades ao usar um site após alterar a configuração, mas tiver certeza de que o site é seguro, é possível adicionar esse site à lista de sites confiáveis. Isso permite que o site funcione corretamente, mesmo com a configuração de segurança definida como Alta.

  Impacto da solução alternativa. Há efeitos colaterais para notificação antes da execução de controles ActiveX e scripts ativos. Muitos sites que não estão na Internet ou na intranet usam controles ActiveX e scripts ativos para fornecer funcionalidade adicional. Por exemplo, um site de comércio eletrônico ou bancário online pode usar controles ActiveX para fornecer menus, formulários de pedidos ou até mesmo extratos de contas. A notificação antes da execução de controles ActiveX ou scripts ativos é uma configuração global que afeta todos os sites da Internet e da intranet. Você será notificado frequentemente quando ativar essa solução alternativa. Em cada notificação, se você sentir que confia no site que está visitando, clique em Sim para executar os controles ActiveX ou os scripts ativos. Se não quiser ser avisado para todos esses sites, use os passos descritos em “Adicione sites confiáveis à zona Sites confiáveis do Internet Explorer”.

  Adicione sites confiáveis à zona Sites confiáveis do Internet Explorer

  Depois de definir o Internet Explorer para solicitar confirmação antes de executar controles ActiveX e scripts ativos na zona da Internet e da Intranet local, você pode adicionar sites confiáveis à zona de Sites confiáveis do Internet Explorer. Isso permitirá que você continue usando os sites confiáveis exatamente como faz atualmente, enquanto ajuda a proteger-se de ataques em sites não confiáveis. É recomendável adicionar somente sites nos quais você confia à zona de Sites confiáveis.

  Para isso, siga estas etapas:

  1. No Internet Explorer, clique em Ferramentas, clique em Opções da Internet e, em seguida, clique na guia Segurança.
  2. Na caixa Selecione uma zona de conteúdo da Web para especificar suas configurações de segurança, clique em Sites Confiáveis e, em seguida, clique em Sites.
  3. Se desejar adicionar sites que não requeiram um canal criptografado, clique para desmarcar a caixa de diálogo Exigir verificação do servidor (https:) para todos os sites desta zona.
  4. Na caixa Adicionar este site à zona, digite o URL de um site em que confia e, em seguida, clique em Adicionar.
  5. Repita essas etapas para cada site que você deseja adicionar à zona.
  6. Clique em OK duas vezes para aceitar as alterações e retornar ao Internet Explorer.

  Observação Adicione os sites que você tem certeza de que não realizarão ações mal-intencionadas em seu sistema. Dois em particular que você pode desejar adicionar são *.windowsupdate.microsoft.com e *.update.microsoft.com. Estes são os sites que hospedam a atualização, e é preciso ter um controle ActiveX para instalar a atualização.

• Configure o Internet Explorer para notificá-lo antes da execução de scripts ativos ou desative os scripts ativos na zona de segurança da Internet e da intranet local

  Para se proteger contra a exploração dessa vulnerabilidade, altere as configurações para ser notificado antes da execução de scripts ativos ou desabilite os scripts ativos na zona de segurança da Internet e da intranet local. Para isso, siga estas etapas:

  1. No Internet Explorer, clique em Opções da Internet no menu Ferramentas.
  2. Clique na guia Segurança.
  3. Clique em Internet e, em seguida, clique em Nível Personalizado.
  4. Em Configurações, na seção Script, em Scripts Ativos, clique em Avisar ou Desativar e, em seguida, clique em OK.
  5. Clique em Intranet local e, em seguida, clique em Nível Personalizado.
  6. Em Configurações, na seção Script, em Scripts Ativos, clique em Avisar ou Desativar e, em seguida, clique em OK.
  7. Clique em OK duas vezes para retornar ao Internet Explorer.

  Observação A desativação dos scripts ativos nas zonas de segurança da Internet e da intranet local poderá fazer com que alguns sites não funcionem corretamente. Se você encontrar dificuldades ao usar um site após alterar a configuração, mas tiver certeza de que o site é seguro, é possível adicionar esse site à lista de sites confiáveis. Isso permitirá que o site funcione adequadamente.

  Impacto da solução alternativa. Há efeitos colaterais para notificação antes da execução de scripts ativos. Muitos sites que não estão na Internet ou na intranet usam scripts ativos para fornecer funcionalidade adicional. Por exemplo, um site de comércio eletrônico ou bancário online pode usar controles ActiveX para fornecer menus, formulários de pedidos ou até mesmo extratos de contas. A notificação antes da execução dos scripts ativos é uma configuração global que afeta todos os sites da Internet e da intranet. Você será notificado frequentemente quando ativar essa solução alternativa. Para cada notificação, se achar que confia no site que está visitando, clique em Sim para executar os scripts ativos. Se não quiser ser avisado para todos esses sites, use os passos descritos em “Adicione sites confiáveis à zona Sites confiáveis do Internet Explorer”.

  Adicione sites confiáveis à zona Sites confiáveis do Internet Explorer

  Depois de definir o Internet Explorer para solicitar confirmação antes de executar controles ActiveX e scripts ativos na zona da Internet e da Intranet local, você pode adicionar sites confiáveis à zona de Sites confiáveis do Internet Explorer. Isso permitirá que você continue usando os sites confiáveis exatamente como faz atualmente, enquanto ajuda a proteger-se de ataques em sites não confiáveis. É recomendável adicionar somente sites nos quais você confia à zona de Sites confiáveis.

  Para isso, siga estas etapas:

  1. No Internet Explorer, clique em Ferramentas, clique em Opções da Internet e, em seguida, clique na guia Segurança.
  2. Na caixa Selecione uma zona de conteúdo da Web para especificar suas configurações de segurança, clique em Sites Confiáveis e, em seguida, clique em Sites.
  3. Se desejar adicionar sites que não requeiram um canal criptografado, clique para desmarcar a caixa de diálogo Exigir verificação do servidor (https:) para todos os sites desta zona.
  4. Na caixa Adicionar este site à zona, digite o URL de um site em que confia e, em seguida, clique em Adicionar.
  5. Repita essas etapas para cada site que você deseja adicionar à zona.
  6. Clique em OK duas vezes para aceitar as alterações e retornar ao Internet Explorer.

  Observação Adicione os sites que você tem certeza de que não realizarão ações mal-intencionadas em seu sistema. Dois em particular que você pode desejar adicionar são *.windowsupdate.microsoft.com e *.update.microsoft.com. Estes são os sites que hospedam a atualização, e é preciso ter um controle ActiveX para instalar a atualização.

• Habilitar a DEP para o Internet Explorer 6 ou o Internet Explorer 7

  Esta vulnerabilidade é mais difícil de explorar com êxito se a Proteção de Execução de Dados (DEP) estiver habilitada para o Internet Explorer. Você pode habilitar a DEP para todas as versões do Internet Explorer que ofereçam suporte a ela, usando um dos métodos a seguir:

  • Habilitar a DEP interativamente para o Internet Explorer 7

  Os administradores locais podem controlar DEP/NX, executando o Internet Explorer como um Administrador. Para habilitar DEP, execute as seguintes etapas:

  1. No Internet Explorer, clique em Ferramentas, clique em Opções da Internet e, em seguida, clique na guia Avançado.
  2. Clique em Habilitar proteção de memória para ajudar a atenuar ataques online.
  3. Clique em OK e reinicie o Internet Explorer.
  • Habilitar a DEP para o Internet Explorer 6 ou Internet Explorer 7 usando a solução automatizada Microsoft Fix It

    Consulte o Artigo 978207 (em inglês) da Microsoft Knowledge Base para usar a solução automatizada Microsoft Fix it para habilitar ou desabilitar esta solução alternativa.

  Impacto da solução alternativa. Algumas extensões do navegador podem não ser compatíveis com DEP e ser interrompidas inesperadamente. Se isso ocorrer, você poderá desabilitar o complemento ou reverter a configuração DEP usando o Painel de Controle da Internet. Isso também pode ser acessado usando o painel de Controle do Sistema.

Qual é o escopo da vulnerabilidade?  
Essa é uma vulnerabilidade de execução remota de código. O invasor que explorar com êxito a vulnerabilidade poderá obter os mesmos direitos que o usuário conectado. Os usuários cujas contas são configuradas com poucos direitos de usuário no sistema correm menos riscos do que aqueles que possuem direitos administrativos.

O que provoca a vulnerabilidade?  
Quando o Internet Explorer tenta acessar um objeto que não foi inicializado ou foi excluído, a memória pode ser corrompida de tal maneira que um invasor pode executar código arbitrário no contexto do usuário conectado.

Para que um invasor pode usar a vulnerabilidade?  
O invasor que explorar com êxito esta vulnerabilidade poderá obter os mesmos direitos que o usuário conectado. Se um usuário tiver feito logon com direitos administrativos, o invasor que explorar com êxito essa vulnerabilidade poderá obter o controle total do sistema afetado. O invasor poderá instalar programas; exibir, alterar ou excluir dados; ou criar novas contas com direitos totais de usuário.

De que forma o invasor pode explorar a vulnerabilidade?  
O invasor pode hospedar um site especialmente projetado para explorar esta vulnerabilidade através do Internet Explorer e, então, convencer um usuário a exibir o site. O invasor também pode tirar proveito dos sites comprometidos e de sites que aceitam ou hospedam o conteúdo fornecido pelo usuário ou anúncios. Esses sites podem ter conteúdo especialmente criado para explorar essa vulnerabilidade. Em todos os casos, entretanto, um invasor não teria como forçar os usuários a visitarem os sites. Em vez disso, um invasor tem que convencer os usuários a visitar o site, geralmente fazendo com que eles cliquem em um link em um email ou por um pedido pelo Instant Messenger que leva o usuário ao site do invasor. Também é possível exibir conteúdo da Web próprio para a finalidade usando anúncios de banner ou outros métodos para implantar conteúdo da Web nos sistemas afetados.

Quais são os sistemas que mais correm riscos com a vulnerabilidade?  
Esta vulnerabilidade requer que um usuário esteja conectado e visite um site para que uma ação mal-intencionada ocorra. Portanto, os sistemas nos quais o Internet Explorer é usado com frequência, como estações de trabalho ou servidores de terminal, estão mais expostos a essa vulnerabilidade.

Estou executando o Internet Explorer para Windows Server 2003 ou Windows Server 2008. Isso atenua essa vulnerabilidade?  
Sim. Por padrão, o Internet Explorer no Windows Server 2003 e no Windows Server 2008 é executado em um modo restrito, conhecido como Configuração de Segurança Reforçada. A Configuração de Segurança Reforçada é um grupo de configurações predefinidas do Internet Explorer que reduz a probabilidade de um usuário ou administrador baixar e executar um conteúdo da Web especialmente criado em um servidor. Este é um fator atenuante para sites que não tenham sido adicionados à zona Sites confiáveis do Internet Explorer. Consulte também Gerenciamento de Configurações de Segurança Avançadas do Internet Explorer.

Qual das soluções alternativas devo aplicar ao meu sistema para estar protegido?  
Com base em nossa investigação, definir a configuração de segurança da zona da Internet como Alta protegerá os usuários contra o problema descrito neste comunicado.

Como a configuração da segurança de zona da Internet como Alta me protege desta vulnerabilidade?  
A configuração da segurança de zona da Internet como Alta protege contra esta vulnerabilidade por desabilitar scripts e recursos menos seguros no Internet Explorer, além de bloquear técnicas conhecidas usadas para ignorar a Prevenção de Execução de Dados (DEP).

Como o Modo Protegido do Internet Explorer no Windows Vista e em sistemas operacionais Windows posteriores limita o impacto desta vulnerabilidade?  
Por padrão, o Internet Explorer no Windows Vista e em sistemas operacionais Windows posteriores é executado no Modo Protegido na zona de segurança da Internet. (O Modo Protegido fica desativado por padrão na zona da Intranet.) O Modo Protegido reduz significativamente a capacidade de um invasor de gravar, alterar ou destruir dados na máquina do usuário ou instalar código mal-intencionado. Isso é feito usando os mecanismos de integridade do Windows Vista que restringem o acesso a processos, arquivos e chaves do Registro com níveis mais altos de integridade.

O que é ASLR (Address Space Layout Randomization)?  
Sistemas que implementam o ASLR (Address Space Layout Randomization) realocam pontos de entrada de funções que normalmente seriam previsíveis de maneira pseudo-aleatória na memória. O Windows ASLR realoca DLL ou EXE em um entre 256 locais aleatórios na memória. Portanto, invasores que usam endereços inseridos no código têm probabilidade de "adivinhar corretamente" em uma a cada 256 vezes. Para obter mais informações sobre o ASLR, consulte o artigo da revista TechNet Inside the Windows Vista Kernel: Part 3.

O que é Prevenção de Execução de Dados (DEP)?  
O suporte da Prevenção de Execução de Dados é incluído no Internet Explorer e, embora seja ativado por padrão no Internet Explorer 8, fica desativado por padrão em versões anteriores do Internet Explorer. A DEP foi projetada para ajudar a bloquear ataques, evitando a execução na memória de código que esteja marcado como não-executável. Para obter mais informações sobre a DEP no Internet Explorer, consulte a postagem no blog do MSDN IE8 Security Part I: Proteção de Memória DEP/NX.

A Prevenção de Execução de Dados (DEP) pode ser ignorada no Internet Explorer 8?  
Há um relatório sobre uma nova exploração da Prevenção de Execução de Dados (DEP). Analisamos o código de exploração de prova de conceito e concluímos que o Windows Vista e versões posteriores do Windows oferecem proteções mais eficientes para bloquear a exploração devido ao ASLR (Address Space Layout Randomization). No Windows XP, os invasores podem tornar as técnicas de desvio mais confiáveis.

O que a atualização faz?  
A atualização modifica a maneira como o Internet Explorer manipula objetos na memória.

Quando esse boletim de segurança foi lançado, essa vulnerabilidade já tinha sido divulgada publicamente?  
Não. A Microsoft recebeu informações sobre essa vulnerabilidade por meio de divulgação responsável.

Quando este boletim de segurança foi lançado, a Microsoft tinha recebido algum relatório informando que essa vulnerabilidade estava sendo explorada?  
Não. A Microsoft não recebeu nenhuma informação indicando que essa vulnerabilidade tenha sido usada publicamente para atacar clientes e não testemunhou nenhum exemplo de publicação de código de verificação de conceito, quando este boletim de segurança foi lançado pela primeira vez.

A atenuação refere-se a uma configuração, configuração comum ou prática recomendada geral, existindo num estado padrão, que possa reduzir a gravidade de exploração de uma vulnerabilidade. Os fatores de atenuação a seguir podem ser úteis em sua situação:

• No cenário de ataque na Web, o invasor terá que hospedar um site contendo uma página da Web usada para explorar essa vulnerabilidade. Além disso, sites comprometidos e sites que aceitem ou hospedem conteúdo fornecido pelo usuário ou anúncios pode conter conteúdo especialmente desenvolvido que pode explorar esta vulnerabilidade. Em todos os casos, entretanto, um invasor não teria como forçar os usuários a visitarem os sites. Em vez disso, o invasor teria que convencer os usuários a visitarem o site, geralmente fazendo com que eles cliquem em um link em um email ou mensagem do Instant Messenger que leva o usuário ao site do invasor.
• O invasor que explorar com êxito a vulnerabilidade poderá obter os mesmos direitos que o usuário local. Os usuários cujas contas são configuradas com poucos direitos de usuário no sistema correm menos riscos do que aqueles que possuem direitos administrativos.
• Por padrão, todas as versões com suporte do Microsoft Outlook, Microsoft Outlook Express e Windows Mail abrem emails em HTML na zona de sites restritos. A zona Sites restritos ajuda a reduzir os ataques que podem tentar explorar essa vulnerabilidade, ao evitar que controles ActiveX e Script Ativos sejam usados durante a leitura de email em HTML. No entanto, se um usuário clicar em um link em uma mensagem de email, ele ainda pode estar vulnerável à exploração desta vulnerabilidade, de acordo com o cenário de ataque baseado na Web.
• Por padrão, o Internet Explorer no Windows Server 2003 e no Windows Server 2008 é executado em um modo restrito, conhecido como Configuração de Segurança Reforçada. Esse modo define o nível de segurança para a zona da Internet como Alto. Este é um fator atenuante para sites que não tenham sido adicionados à zona Sites confiáveis do Internet Explorer. Consulte a subseção Perguntas frequentes desta vulnerabilidade para obter mais informações sobre a Configuração de Segurança Reforçada do Internet Explorer.
• O Internet Explorer 7 e o Internet Explorer 8 não são afetados por esta vulnerabilidade.

A solução alternativa refere-se a uma configuração ou alteração de configuração que não corrige a vulnerabilidade subjacente mas que ajudaria a bloquear vetores de ataque conhecidos antes de aplicar a atualização. A Microsoft testou as soluções alternativas e estados a seguir como parte do cenário que implica se uma solução alternativa reduziria funcionalidade:

• Defina as configurações de zona de segurança da Internet e da intranet local como “Alto” para ser notificado antes da execução de controles ActiveX e scripts ativos nessas zonas

  Você pode ajudar na proteção contra a exploração dessa vulnerabilidade alterando as configurações para que a zona de segurança da Internet solicite uma confirmação antes de executar controles ActiveX e scripts ativos. É possível fazer isso configurando a segurança do navegador como Alta.

  Para aumentar o nível de segurança da navegação no Internet Explorer, faça o seguinte:

  1. No menu Ferramentas do Internet Explorer, clique em Opções da Internet.
  2. Na caixa de diálogo Opções da Internet, clique na guia Segurança e, em seguida, no ícone Internet.
  3. Em Nível de segurança para esta zona, mova o controle deslizante para Alto. Isso define o nível de segurança para todos os sites visitados como Alto.

  Observação Se o controle deslizante não estiver visível, clique em Nível padrão e então mova o controle deslizante para Alto.

  Observação A configuração do nível como Alto pode fazer com que alguns sites não funcionem corretamente. Se você encontrar dificuldades ao usar um site após alterar a configuração, mas tiver certeza de que o site é seguro, é possível adicionar esse site à lista de sites confiáveis. Isso permite que o site funcione corretamente, mesmo com a configuração de segurança definida como Alta.

  Impacto da solução alternativa. Há efeitos colaterais para notificação antes da execução de controles ActiveX e scripts ativos. Muitos sites que não estão na Internet ou na intranet usam controles ActiveX e scripts ativos para fornecer funcionalidade adicional. Por exemplo, um site de comércio eletrônico ou bancário online pode usar controles ActiveX para fornecer menus, formulários de pedidos ou até mesmo extratos de contas. A notificação antes da execução de controles ActiveX ou scripts ativos é uma configuração global que afeta todos os sites da Internet e da intranet. Você será notificado frequentemente quando ativar essa solução alternativa. Em cada notificação, se você sentir que confia no site que está visitando, clique em Sim para executar os controles ActiveX ou os scripts ativos. Se não quiser ser avisado para todos esses sites, use os passos descritos em “Adicione sites confiáveis à zona Sites confiáveis do Internet Explorer”.

  Adicione sites confiáveis à zona Sites confiáveis do Internet Explorer

  Depois de definir o Internet Explorer para solicitar confirmação antes de executar controles ActiveX e scripts ativos na zona da Internet e da Intranet local, você pode adicionar sites confiáveis à zona de Sites confiáveis do Internet Explorer. Isso permitirá que você continue usando os sites confiáveis exatamente como faz atualmente, enquanto ajuda a proteger-se de ataques em sites não confiáveis. É recomendável adicionar somente sites nos quais você confia à zona de Sites confiáveis.

  Para isso, siga estas etapas:

  1. No Internet Explorer, clique em Ferramentas, clique em Opções da Internet e, em seguida, clique na guia Segurança.
  2. Na caixa Selecione uma zona de conteúdo da Web para especificar suas configurações de segurança, clique em Sites Confiáveis e, em seguida, clique em Sites.
  3. Se desejar adicionar sites que não requeiram um canal criptografado, clique para desmarcar a caixa de diálogo Exigir verificação do servidor (https:) para todos os sites desta zona.
  4. Na caixa Adicionar este site à zona, digite o URL de um site em que confia e, em seguida, clique em Adicionar.
  5. Repita essas etapas para cada site que você deseja adicionar à zona.
  6. Clique em OK duas vezes para aceitar as alterações e retornar ao Internet Explorer.

  Observação Adicione os sites que você tem certeza de que não realizarão ações mal-intencionadas em seu sistema. Dois em particular que você pode desejar adicionar são *.windowsupdate.microsoft.com e *.update.microsoft.com. Estes são os sites que hospedam a atualização, e é preciso ter um controle ActiveX para instalar a atualização.

• Configure o Internet Explorer para notificá-lo antes da execução de scripts ativos ou desative os scripts ativos na zona de segurança da Internet e da intranet local

  Para se proteger contra a exploração dessa vulnerabilidade, altere as configurações para ser notificado antes da execução de scripts ativos ou desabilite os scripts ativos na zona de segurança da Internet e da intranet local. Para isso, siga estas etapas:

  1. No Internet Explorer, clique em Opções da Internet no menu Ferramentas.
  2. Clique na guia Segurança.
  3. Clique em Internet e, em seguida, clique em Nível Personalizado.
  4. Em Configurações, na seção Script, em Scripts Ativos, clique em Avisar ou Desativar e, em seguida, clique em OK.
  5. Clique em Intranet local e, em seguida, clique em Nível Personalizado.
  6. Em Configurações, na seção Script, em Scripts Ativos, clique em Avisar ou Desativar e, em seguida, clique em OK.
  7. Clique em OK duas vezes para retornar ao Internet Explorer.

  Observação A desativação dos scripts ativos nas zonas de segurança da Internet e da intranet local poderá fazer com que alguns sites não funcionem corretamente. Se você encontrar dificuldades ao usar um site após alterar a configuração, mas tiver certeza de que o site é seguro, é possível adicionar esse site à lista de sites confiáveis. Isso permitirá que o site funcione adequadamente.

  Impacto da solução alternativa. Há efeitos colaterais para notificação antes da execução de scripts ativos. Muitos sites que não estão na Internet ou na intranet usam scripts ativos para fornecer funcionalidade adicional. Por exemplo, um site de comércio eletrônico ou bancário online pode usar controles ActiveX para fornecer menus, formulários de pedidos ou até mesmo extratos de contas. A notificação antes da execução dos scripts ativos é uma configuração global que afeta todos os sites da Internet e da intranet. Você será notificado frequentemente quando ativar essa solução alternativa. Para cada notificação, se achar que confia no site que está visitando, clique em Sim para executar os scripts ativos. Se não quiser ser avisado para todos esses sites, use os passos descritos em “Adicione sites confiáveis à zona Sites confiáveis do Internet Explorer”.

  Adicione sites confiáveis à zona Sites confiáveis do Internet Explorer

  Depois de definir o Internet Explorer para solicitar confirmação antes de executar controles ActiveX e scripts ativos na zona da Internet e da Intranet local, você pode adicionar sites confiáveis à zona de Sites confiáveis do Internet Explorer. Isso permitirá que você continue usando os sites confiáveis exatamente como faz atualmente, enquanto ajuda a proteger-se de ataques em sites não confiáveis. É recomendável adicionar somente sites nos quais você confia à zona de Sites confiáveis.

  Para isso, siga estas etapas:

  1. No Internet Explorer, clique em Ferramentas, clique em Opções da Internet e, em seguida, clique na guia Segurança.
  2. Na caixa Selecione uma zona de conteúdo da Web para especificar suas configurações de segurança, clique em Sites Confiáveis e, em seguida, clique em Sites.
  3. Se desejar adicionar sites que não requeiram um canal criptografado, clique para desmarcar a caixa de diálogo Exigir verificação do servidor (https:) para todos os sites desta zona.
  4. Na caixa Adicionar este site à zona, digite o URL de um site em que confia e, em seguida, clique em Adicionar.
  5. Repita essas etapas para cada site que você deseja adicionar à zona.
  6. Clique em OK duas vezes para aceitar as alterações e retornar ao Internet Explorer.

  Observação Adicione os sites que você tem certeza de que não realizarão ações mal-intencionadas em seu sistema. Dois em particular que você pode desejar adicionar são *.windowsupdate.microsoft.com e *.update.microsoft.com. Estes são os sites que hospedam a atualização, e é preciso ter um controle ActiveX para instalar a atualização.

Qual é o escopo da vulnerabilidade?  
Essa é uma vulnerabilidade de execução remota de código. O invasor que explorar com êxito a vulnerabilidade poderá obter os mesmos direitos que o usuário conectado. Os usuários cujas contas são configuradas com poucos direitos de usuário no sistema correm menos riscos do que aqueles que possuem direitos administrativos.

O que provoca a vulnerabilidade?  
Quando o Internet Explorer tenta acessar um objeto que não foi inicializado ou foi excluído, a memória pode ser corrompida de tal maneira que um invasor pode executar código arbitrário no contexto do usuário conectado.

Para que um invasor pode usar a vulnerabilidade?  
O invasor que explorar com êxito esta vulnerabilidade poderá obter os mesmos direitos que o usuário conectado. Se um usuário tiver feito logon com direitos administrativos, o invasor que explorar com êxito essa vulnerabilidade poderá obter o controle total do sistema afetado. O invasor poderá instalar programas; exibir, alterar ou excluir dados; ou criar novas contas com direitos totais de usuário.

De que forma o invasor pode explorar a vulnerabilidade?  
O invasor pode hospedar um site especialmente projetado para explorar esta vulnerabilidade através do Internet Explorer e, então, convencer um usuário a exibir o site. O invasor também pode tirar proveito dos sites comprometidos e de sites que aceitam ou hospedam o conteúdo fornecido pelo usuário ou anúncios. Esses sites podem ter conteúdo especialmente criado para explorar essa vulnerabilidade. Em todos os casos, entretanto, um invasor não teria como forçar os usuários a visitarem os sites. Em vez disso, um invasor tem que convencer os usuários a visitar o site, geralmente fazendo com que eles cliquem em um link em um email ou por um pedido pelo Instant Messenger que leva o usuário ao site do invasor. Também é possível exibir conteúdo da Web próprio para a finalidade usando anúncios de banner ou outros métodos para implantar conteúdo da Web nos sistemas afetados.

Quais são os sistemas que mais correm riscos com a vulnerabilidade?  
Esta vulnerabilidade requer que um usuário esteja conectado e visite um site para que uma ação mal-intencionada ocorra. Portanto, os sistemas nos quais o Internet Explorer é usado com frequência, como estações de trabalho ou servidores de terminal, estão mais expostos a essa vulnerabilidade.

Estou executando o Internet Explorer para Windows Server 2003 ou Windows Server 2008. Isso atenua essa vulnerabilidade?  
Sim. Por padrão, o Internet Explorer no Windows Server 2003 e no Windows Server 2008 é executado em um modo restrito, conhecido como Configuração de Segurança Reforçada. A Configuração de Segurança Reforçada é um grupo de configurações predefinidas do Internet Explorer que reduz a probabilidade de um usuário ou administrador baixar e executar um conteúdo da Web especialmente criado em um servidor. Este é um fator atenuante para sites que não tenham sido adicionados à zona Sites confiáveis do Internet Explorer. Consulte também Gerenciamento de Configurações de Segurança Avançadas do Internet Explorer.

O que a atualização faz?  
A atualização modifica a maneira como o Internet Explorer manipula objetos na memória.

Quando esse boletim de segurança foi lançado, essa vulnerabilidade já tinha sido divulgada publicamente?  
Não. A Microsoft recebeu informações sobre essa vulnerabilidade por meio de divulgação responsável.

Quando este boletim de segurança foi lançado, a Microsoft tinha recebido algum relatório informando que essa vulnerabilidade estava sendo explorada?  
Não. A Microsoft não recebeu nenhuma informação indicando que essa vulnerabilidade tenha sido usada publicamente para atacar clientes e não testemunhou nenhum exemplo de publicação de código de verificação de conceito, quando este boletim de segurança foi lançado pela primeira vez.

A atenuação refere-se a uma configuração, configuração comum ou prática recomendada geral, existindo num estado padrão, que possa reduzir a gravidade de exploração de uma vulnerabilidade. Os fatores de atenuação a seguir podem ser úteis em sua situação:

• A Proteção de Execução de Dados (DEP) ajuda a proteger contra ataques que resultam na execução de código, sendo ativada por padrão no Internet Explorer 8, nos seguintes sistemas operacionais Windows: Windows XP Service Pack 3, Windows Vista Service Pack 1, Windows Vista Service Pack 2 e Windows 7.
• No cenário de ataque na Web, o invasor terá que hospedar um site contendo uma página da Web usada para explorar essa vulnerabilidade. Além disso, sites comprometidos e sites que aceitem ou hospedem conteúdo fornecido pelo usuário ou anúncios pode conter conteúdo especialmente desenvolvido que pode explorar esta vulnerabilidade. Em todos os casos, entretanto, um invasor não teria como forçar os usuários a visitarem os sites. Em vez disso, o invasor teria que convencer os usuários a visitarem o site, geralmente fazendo com que eles cliquem em um link em um email ou mensagem do Instant Messenger que leva o usuário ao site do invasor.
• O invasor que explorar com êxito a vulnerabilidade poderá obter os mesmos direitos que o usuário local. Os usuários cujas contas são configuradas com poucos direitos de usuário no sistema correm menos riscos do que aqueles que possuem direitos administrativos.
• Por padrão, todas as versões com suporte do Microsoft Outlook, Microsoft Outlook Express e Windows Mail abrem emails em HTML na zona de sites restritos. A zona Sites restritos ajuda a reduzir os ataques que podem tentar explorar essa vulnerabilidade, ao evitar que controles ActiveX e Script Ativos sejam usados durante a leitura de email em HTML. No entanto, se um usuário clicar em um link em uma mensagem de email, ele ainda pode estar vulnerável à exploração desta vulnerabilidade, de acordo com o cenário de ataque baseado na Web.
• Por padrão, o Internet Explorer no Windows Server 2003 e no Windows Server 2008 é executado em um modo restrito, conhecido como Configuração de Segurança Reforçada. Esse modo define o nível de segurança para a zona da Internet como Alto. Este é um fator atenuante para sites que não tenham sido adicionados à zona Sites confiáveis do Internet Explorer. Consulte a subseção Perguntas frequentes desta vulnerabilidade para obter mais informações sobre a Configuração de Segurança Reforçada do Internet Explorer.
• O Internet Explorer 5.01 Service Pack 4 não é afetado por essa vulnerabilidade.

A solução alternativa refere-se a uma configuração ou alteração de configuração que não corrige a vulnerabilidade subjacente mas que ajudaria a bloquear vetores de ataque conhecidos antes de aplicar a atualização. A Microsoft testou as soluções alternativas e estados a seguir como parte do cenário que implica se uma solução alternativa reduziria funcionalidade:

• Defina as configurações de zona de segurança da Internet e da intranet local como “Alto” para ser notificado antes da execução de controles ActiveX e scripts ativos nessas zonas

  Você pode ajudar na proteção contra a exploração dessa vulnerabilidade alterando as configurações para que a zona de segurança da Internet solicite uma confirmação antes de executar controles ActiveX e scripts ativos. É possível fazer isso configurando a segurança do navegador como Alta.

  Para aumentar o nível de segurança da navegação no Internet Explorer, faça o seguinte:

  1. No menu Ferramentas do Internet Explorer, clique em Opções da Internet.
  2. Na caixa de diálogo Opções da Internet, clique na guia Segurança e, em seguida, no ícone Internet.
  3. Em Nível de segurança para esta zona, mova o controle deslizante para Alto. Isso define o nível de segurança para todos os sites visitados como Alto.

  Observação Se o controle deslizante não estiver visível, clique em Nível padrão e então mova o controle deslizante para Alto.

  Observação A configuração do nível como Alto pode fazer com que alguns sites não funcionem corretamente. Se você encontrar dificuldades ao usar um site após alterar a configuração, mas tiver certeza de que o site é seguro, é possível adicionar esse site à lista de sites confiáveis. Isso permite que o site funcione corretamente, mesmo com a configuração de segurança definida como Alta.

  Impacto da solução alternativa. Há efeitos colaterais para notificação antes da execução de controles ActiveX e scripts ativos. Muitos sites que não estão na Internet ou na intranet usam controles ActiveX e scripts ativos para fornecer funcionalidade adicional. Por exemplo, um site de comércio eletrônico ou bancário online pode usar controles ActiveX para fornecer menus, formulários de pedidos ou até mesmo extratos de contas. A notificação antes da execução de controles ActiveX ou scripts ativos é uma configuração global que afeta todos os sites da Internet e da intranet. Você será notificado frequentemente quando ativar essa solução alternativa. Em cada notificação, se você sentir que confia no site que está visitando, clique em Sim para executar os controles ActiveX ou os scripts ativos. Se não quiser ser avisado para todos esses sites, use os passos descritos em “Adicione sites confiáveis à zona Sites confiáveis do Internet Explorer”.

  Adicione sites confiáveis à zona Sites confiáveis do Internet Explorer

  Depois de definir o Internet Explorer para solicitar confirmação antes de executar controles ActiveX e scripts ativos na zona da Internet e da Intranet local, você pode adicionar sites confiáveis à zona de Sites confiáveis do Internet Explorer. Isso permitirá que você continue usando os sites confiáveis exatamente como faz atualmente, enquanto ajuda a proteger-se de ataques em sites não confiáveis. É recomendável adicionar somente sites nos quais você confia à zona de Sites confiáveis.

  Para isso, siga estas etapas:

  1. No Internet Explorer, clique em Ferramentas, clique em Opções da Internet e, em seguida, clique na guia Segurança.
  2. Na caixa Selecione uma zona de conteúdo da Web para especificar suas configurações de segurança, clique em Sites Confiáveis e, em seguida, clique em Sites.
  3. Se desejar adicionar sites que não requeiram um canal criptografado, clique para desmarcar a caixa de diálogo Exigir verificação do servidor (https:) para todos os sites desta zona.
  4. Na caixa Adicionar este site à zona, digite o URL de um site em que confia e, em seguida, clique em Adicionar.
  5. Repita essas etapas para cada site que você deseja adicionar à zona.
  6. Clique em OK duas vezes para aceitar as alterações e retornar ao Internet Explorer.

  Observação Adicione os sites que você tem certeza de que não realizarão ações mal-intencionadas em seu sistema. Dois em particular que você pode desejar adicionar são *.windowsupdate.microsoft.com e *.update.microsoft.com. Estes são os sites que hospedam a atualização, e é preciso ter um controle ActiveX para instalar a atualização.

• Configure o Internet Explorer para notificá-lo antes da execução de scripts ativos ou desative os scripts ativos na zona de segurança da Internet e da intranet local

  Para se proteger contra a exploração dessa vulnerabilidade, altere as configurações para ser notificado antes da execução de scripts ativos ou desabilite os scripts ativos na zona de segurança da Internet e da intranet local. Para isso, siga estas etapas:

  1. No Internet Explorer, clique em Opções da Internet no menu Ferramentas.
  2. Clique na guia Segurança.
  3. Clique em Internet e, em seguida, clique em Nível Personalizado.
  4. Em Configurações, na seção Script, em Scripts Ativos, clique em Avisar ou Desativar e, em seguida, clique em OK.
  5. Clique em Intranet local e, em seguida, clique em Nível Personalizado.
  6. Em Configurações, na seção Script, em Scripts Ativos, clique em Avisar ou Desativar e, em seguida, clique em OK.
  7. Clique em OK duas vezes para retornar ao Internet Explorer.

  Observação A desativação dos scripts ativos nas zonas de segurança da Internet e da intranet local poderá fazer com que alguns sites não funcionem corretamente. Se você encontrar dificuldades ao usar um site após alterar a configuração, mas tiver certeza de que o site é seguro, é possível adicionar esse site à lista de sites confiáveis. Isso permitirá que o site funcione adequadamente.

  Impacto da solução alternativa. Há efeitos colaterais para notificação antes da execução de scripts ativos. Muitos sites que não estão na Internet ou na intranet usam scripts ativos para fornecer funcionalidade adicional. Por exemplo, um site de comércio eletrônico ou bancário online pode usar controles ActiveX para fornecer menus, formulários de pedidos ou até mesmo extratos de contas. A notificação antes da execução dos scripts ativos é uma configuração global que afeta todos os sites da Internet e da intranet. Você será notificado frequentemente quando ativar essa solução alternativa. Para cada notificação, se achar que confia no site que está visitando, clique em Sim para executar os scripts ativos. Se não quiser ser avisado para todos esses sites, use os passos descritos em “Adicione sites confiáveis à zona Sites confiáveis do Internet Explorer”.

  Adicione sites confiáveis à zona Sites confiáveis do Internet Explorer

  Depois de definir o Internet Explorer para solicitar confirmação antes de executar controles ActiveX e scripts ativos na zona da Internet e da Intranet local, você pode adicionar sites confiáveis à zona de Sites confiáveis do Internet Explorer. Isso permitirá que você continue usando os sites confiáveis exatamente como faz atualmente, enquanto ajuda a proteger-se de ataques em sites não confiáveis. É recomendável adicionar somente sites nos quais você confia à zona de Sites confiáveis.

  Para isso, siga estas etapas:

  1. No Internet Explorer, clique em Ferramentas, clique em Opções da Internet e, em seguida, clique na guia Segurança.
  2. Na caixa Selecione uma zona de conteúdo da Web para especificar suas configurações de segurança, clique em Sites Confiáveis e, em seguida, clique em Sites.
  3. Se desejar adicionar sites que não requeiram um canal criptografado, clique para desmarcar a caixa de diálogo Exigir verificação do servidor (https:) para todos os sites desta zona.
  4. Na caixa Adicionar este site à zona, digite o URL de um site em que confia e, em seguida, clique em Adicionar.
  5. Repita essas etapas para cada site que você deseja adicionar à zona.
  6. Clique em OK duas vezes para aceitar as alterações e retornar ao Internet Explorer.

  Observação Adicione os sites que você tem certeza de que não realizarão ações mal-intencionadas em seu sistema. Dois em particular que você pode desejar adicionar são *.windowsupdate.microsoft.com e *.update.microsoft.com. Estes são os sites que hospedam a atualização, e é preciso ter um controle ActiveX para instalar a atualização.

• Habilitar a DEP para o Internet Explorer 6 ou o Internet Explorer 7

  Esta vulnerabilidade é mais difícil de explorar com êxito se a Proteção de Execução de Dados (DEP) estiver habilitada para o Internet Explorer. Você pode habilitar a DEP para todas as versões do Internet Explorer que ofereçam suporte a ela, usando um dos métodos a seguir:

  • Habilitar a DEP interativamente para o Internet Explorer 7

  Os administradores locais podem controlar DEP/NX, executando o Internet Explorer como um Administrador. Para habilitar DEP, execute as seguintes etapas:

  1. No Internet Explorer, clique em Ferramentas, clique em Opções da Internet e, em seguida, clique na guia Avançado.
  2. Clique em Habilitar proteção de memória para ajudar a atenuar ataques online.
  3. Clique em OK e reinicie o Internet Explorer.
  • Habilitar a DEP para o Internet Explorer 6 ou Internet Explorer 7 usando a solução automatizada Microsoft Fix It

    Consulte o Artigo 978207 (em inglês) da Microsoft Knowledge Base para usar a solução automatizada Microsoft Fix it para habilitar ou desabilitar esta solução alternativa.

  Impacto da solução alternativa. Algumas extensões do navegador podem não ser compatíveis com DEP e ser interrompidas inesperadamente. Se isso ocorrer, você poderá desabilitar o complemento ou reverter a configuração DEP usando o Painel de Controle da Internet. Isso também pode ser acessado usando o painel de Controle do Sistema.

Qual é o escopo da vulnerabilidade?  
Essa é uma vulnerabilidade de execução remota de código. O invasor que explorar com êxito a vulnerabilidade poderá obter os mesmos direitos que o usuário conectado. Os usuários cujas contas são configuradas com poucos direitos de usuário no sistema correm menos riscos do que aqueles que possuem direitos administrativos.

O que provoca a vulnerabilidade?  
Quando, em determinadas condições, o Internet Explorer tenta acessar memória inicializada incorretamente, a memória pode ser corrompida de tal maneira que um invasor pode executar código arbitrário no contexto do usuário conectado.

Para que um invasor pode usar a vulnerabilidade?  
O invasor que explorar com êxito esta vulnerabilidade poderá obter os mesmos direitos que o usuário conectado. Se um usuário tiver feito logon com direitos administrativos, o invasor que explorar com êxito essa vulnerabilidade poderá obter o controle total do sistema afetado. O invasor poderá instalar programas; exibir, alterar ou excluir dados; ou criar novas contas com direitos totais de usuário.

De que forma o invasor pode explorar a vulnerabilidade?  
O invasor pode hospedar um site especialmente projetado para explorar esta vulnerabilidade através do Internet Explorer e, então, convencer um usuário a exibir o site. O invasor também pode tirar proveito dos sites comprometidos e de sites que aceitam ou hospedam o conteúdo fornecido pelo usuário ou anúncios. Esses sites podem ter conteúdo especialmente criado para explorar essa vulnerabilidade. Em todos os casos, entretanto, um invasor não teria como forçar os usuários a visitarem os sites. Em vez disso, um invasor tem que convencer os usuários a visitar o site, geralmente fazendo com que eles cliquem em um link em um email ou por um pedido pelo Instant Messenger que leva o usuário ao site do invasor. Também é possível exibir conteúdo da Web próprio para a finalidade usando anúncios de banner ou outros métodos para implantar conteúdo da Web nos sistemas afetados.

Quais são os sistemas que mais correm riscos com a vulnerabilidade?  
Esta vulnerabilidade requer que um usuário esteja conectado e visite um site para que uma ação mal-intencionada ocorra. Portanto, os sistemas nos quais o Internet Explorer é usado com frequência, como estações de trabalho ou servidores de terminal, estão mais expostos a essa vulnerabilidade.

Estou executando o Internet Explorer para Windows Server 2003 ou Windows Server 2008. Isso atenua essa vulnerabilidade?  
Sim. Por padrão, o Internet Explorer no Windows Server 2003 e no Windows Server 2008 é executado em um modo restrito, conhecido como Configuração de Segurança Reforçada. A Configuração de Segurança Reforçada é um grupo de configurações predefinidas do Internet Explorer que reduz a probabilidade de um usuário ou administrador baixar e executar um conteúdo da Web especialmente criado em um servidor. Este é um fator atenuante para sites que não tenham sido adicionados à zona Sites confiáveis do Internet Explorer. Consulte também Gerenciamento de Configurações de Segurança Avançadas do Internet Explorer.

Qual das soluções alternativas devo aplicar ao meu sistema para estar protegido?  
Com base em nossa investigação, definir a configuração de segurança da zona da Internet como Alta protegerá os usuários contra o problema descrito neste comunicado.

Como a configuração da segurança de zona da Internet como Alta me protege desta vulnerabilidade?  
A configuração da segurança de zona da Internet como Alta protege contra esta vulnerabilidade por desabilitar scripts e recursos menos seguros no Internet Explorer, além de bloquear técnicas conhecidas usadas para ignorar a Prevenção de Execução de Dados (DEP).

Como o Modo Protegido do Internet Explorer no Windows Vista e em sistemas operacionais Windows posteriores limita o impacto desta vulnerabilidade?  
Por padrão, o Internet Explorer no Windows Vista e em sistemas operacionais Windows posteriores é executado no Modo Protegido na zona de segurança da Internet. (O Modo Protegido fica desativado por padrão na zona da Intranet.) O Modo Protegido reduz significativamente a capacidade de um invasor de gravar, alterar ou destruir dados na máquina do usuário ou instalar código mal-intencionado. Isso é feito usando os mecanismos de integridade do Windows Vista que restringem o acesso a processos, arquivos e chaves do Registro com níveis mais altos de integridade.

O que é ASLR (Address Space Layout Randomization)?  
Sistemas que implementam o ASLR (Address Space Layout Randomization) realocam pontos de entrada de funções que normalmente seriam previsíveis de maneira pseudo-aleatória na memória. O Windows ASLR realoca DLL ou EXE em um entre 256 locais aleatórios na memória. Portanto, invasores que usam endereços inseridos no código têm probabilidade de "adivinhar corretamente" em uma a cada 256 vezes. Para obter mais informações sobre o ASLR, consulte o artigo da revista TechNet Inside the Windows Vista Kernel: Part 3.

O que é Prevenção de Execução de Dados (DEP)?  
O suporte da Prevenção de Execução de Dados é incluído no Internet Explorer e, embora seja ativado por padrão no Internet Explorer 8, fica desativado por padrão em versões anteriores do Internet Explorer. A DEP foi projetada para ajudar a bloquear ataques, evitando a execução na memória de código que esteja marcado como não-executável. Para obter mais informações sobre a DEP no Internet Explorer, consulte a postagem no blog do MSDN IE8 Security Part I: Proteção de Memória DEP/NX.

A Prevenção de Execução de Dados (DEP) pode ser ignorada no Internet Explorer 8?  
Há um relatório sobre uma nova exploração da Prevenção de Execução de Dados (DEP). Analisamos o código de exploração de prova de conceito e concluímos que o Windows Vista e versões posteriores do Windows oferecem proteções mais eficientes para bloquear a exploração devido ao ASLR (Address Space Layout Randomization). No Windows XP, os invasores podem tornar as técnicas de desvio mais confiáveis.

O que a atualização faz?  
A atualização modifica a maneira como o Internet Explorer manipula objetos na memória.

Quando esse boletim de segurança foi lançado, essa vulnerabilidade já tinha sido divulgada publicamente?  
Não. A Microsoft recebeu informações sobre essa vulnerabilidade por meio de divulgação responsável.

Quando este boletim de segurança foi lançado, a Microsoft tinha recebido algum relatório informando que essa vulnerabilidade estava sendo explorada?  
Não. A Microsoft não recebeu nenhuma informação indicando que essa vulnerabilidade tenha sido usada publicamente para atacar clientes e não testemunhou nenhum exemplo de publicação de código de verificação de conceito, quando este boletim de segurança foi lançado pela primeira vez.

A atenuação refere-se a uma configuração, configuração comum ou prática recomendada geral, existindo num estado padrão, que possa reduzir a gravidade de exploração de uma vulnerabilidade. Os fatores de atenuação a seguir podem ser úteis em sua situação:

• A Proteção de Execução de Dados (DEP) ajuda a proteger contra ataques que resultam na execução de código, sendo ativada por padrão no Internet Explorer 8, nos seguintes sistemas operacionais Windows: Windows XP Service Pack 3, Windows Vista Service Pack 1, Windows Vista Service Pack 2 e Windows 7.
• No cenário de ataque na Web, o invasor terá que hospedar um site contendo uma página da Web usada para explorar essa vulnerabilidade. Além disso, sites comprometidos e sites que aceitem ou hospedem conteúdo fornecido pelo usuário ou anúncios pode conter conteúdo especialmente desenvolvido que pode explorar esta vulnerabilidade. Em todos os casos, entretanto, um invasor não teria como forçar os usuários a visitarem os sites. Em vez disso, o invasor teria que convencer os usuários a visitarem o site, geralmente fazendo com que eles cliquem em um link em um email ou mensagem do Instant Messenger que leva o usuário ao site do invasor.
• O invasor que explorar com êxito a vulnerabilidade poderá obter os mesmos direitos que o usuário local. Os usuários cujas contas são configuradas com poucos direitos de usuário no sistema correm menos riscos do que aqueles que possuem direitos administrativos.
• Por padrão, todas as versões com suporte do Microsoft Outlook, Microsoft Outlook Express e Windows Mail abrem emails em HTML na zona de sites restritos. A zona Sites restritos ajuda a reduzir os ataques que podem tentar explorar essa vulnerabilidade, ao evitar que controles ActiveX e Script Ativos sejam usados durante a leitura de email em HTML. No entanto, se um usuário clicar em um link em uma mensagem de email, ele ainda pode estar vulnerável à exploração desta vulnerabilidade, de acordo com o cenário de ataque baseado na Web.
• Por padrão, o Internet Explorer no Windows Server 2003 e no Windows Server 2008 é executado em um modo restrito, conhecido como Configuração de Segurança Reforçada. Esse modo define o nível de segurança para a zona da Internet como Alto. Este é um fator atenuante para sites que não tenham sido adicionados à zona Sites confiáveis do Internet Explorer. Consulte a subseção Perguntas frequentes desta vulnerabilidade para obter mais informações sobre a Configuração de Segurança Reforçada do Internet Explorer.
• O Internet Explorer 5.01 Service Pack 4 não é afetado por essa vulnerabilidade.

A solução alternativa refere-se a uma configuração ou alteração de configuração que não corrige a vulnerabilidade subjacente mas que ajudaria a bloquear vetores de ataque conhecidos antes de aplicar a atualização. A Microsoft testou as soluções alternativas e estados a seguir como parte do cenário que implica se uma solução alternativa reduziria funcionalidade:

• Defina as configurações de zona de segurança da Internet e da intranet local como “Alto” para ser notificado antes da execução de controles ActiveX e scripts ativos nessas zonas

  Você pode ajudar na proteção contra a exploração dessa vulnerabilidade alterando as configurações para que a zona de segurança da Internet solicite uma confirmação antes de executar controles ActiveX e scripts ativos. É possível fazer isso configurando a segurança do navegador como Alta.

  Para aumentar o nível de segurança da navegação no Internet Explorer, faça o seguinte:

  1. No menu Ferramentas do Internet Explorer, clique em Opções da Internet.
  2. Na caixa de diálogo Opções da Internet, clique na guia Segurança e, em seguida, no ícone Internet.
  3. Em Nível de segurança para esta zona, mova o controle deslizante para Alto. Isso define o nível de segurança para todos os sites visitados como Alto.

  Observação Se o controle deslizante não estiver visível, clique em Nível padrão e então mova o controle deslizante para Alto.

  Observação A configuração do nível como Alto pode fazer com que alguns sites não funcionem corretamente. Se você encontrar dificuldades ao usar um site após alterar a configuração, mas tiver certeza de que o site é seguro, é possível adicionar esse site à lista de sites confiáveis. Isso permite que o site funcione corretamente, mesmo com a configuração de segurança definida como Alta.

  Impacto da solução alternativa. Há efeitos colaterais para notificação antes da execução de controles ActiveX e scripts ativos. Muitos sites que não estão na Internet ou na intranet usam controles ActiveX e scripts ativos para fornecer funcionalidade adicional. Por exemplo, um site de comércio eletrônico ou bancário online pode usar controles ActiveX para fornecer menus, formulários de pedidos ou até mesmo extratos de contas. A notificação antes da execução de controles ActiveX ou scripts ativos é uma configuração global que afeta todos os sites da Internet e da intranet. Você será notificado frequentemente quando ativar essa solução alternativa. Em cada notificação, se você sentir que confia no site que está visitando, clique em Sim para executar os controles ActiveX ou os scripts ativos. Se não quiser ser avisado para todos esses sites, use os passos descritos em “Adicione sites confiáveis à zona Sites confiáveis do Internet Explorer”.

  Adicione sites confiáveis à zona Sites confiáveis do Internet Explorer

  Depois de definir o Internet Explorer para solicitar confirmação antes de executar controles ActiveX e scripts ativos na zona da Internet e da Intranet local, você pode adicionar sites confiáveis à zona de Sites confiáveis do Internet Explorer. Isso permitirá que você continue usando os sites confiáveis exatamente como faz atualmente, enquanto ajuda a proteger-se de ataques em sites não confiáveis. É recomendável adicionar somente sites nos quais você confia à zona de Sites confiáveis.

  Para isso, siga estas etapas:

  1. No Internet Explorer, clique em Ferramentas, clique em Opções da Internet e, em seguida, clique na guia Segurança.
  2. Na caixa Selecione uma zona de conteúdo da Web para especificar suas configurações de segurança, clique em Sites Confiáveis e, em seguida, clique em Sites.
  3. Se desejar adicionar sites que não requeiram um canal criptografado, clique para desmarcar a caixa de diálogo Exigir verificação do servidor (https:) para todos os sites desta zona.
  4. Na caixa Adicionar este site à zona, digite o URL de um site em que confia e, em seguida, clique em Adicionar.
  5. Repita essas etapas para cada site que você deseja adicionar à zona.
  6. Clique em OK duas vezes para aceitar as alterações e retornar ao Internet Explorer.

  Observação Adicione os sites que você tem certeza de que não realizarão ações mal-intencionadas em seu sistema. Dois em particular que você pode desejar adicionar são *.windowsupdate.microsoft.com e *.update.microsoft.com. Estes são os sites que hospedam a atualização, e é preciso ter um controle ActiveX para instalar a atualização.

• Configure o Internet Explorer para notificá-lo antes da execução de scripts ativos ou desative os scripts ativos na zona de segurança da Internet e da intranet local

  Para se proteger contra a exploração dessa vulnerabilidade, altere as configurações para ser notificado antes da execução de scripts ativos ou desabilite os scripts ativos na zona de segurança da Internet e da intranet local. Para isso, siga estas etapas:

  1. No Internet Explorer, clique em Opções da Internet no menu Ferramentas.
  2. Clique na guia Segurança.
  3. Clique em Internet e, em seguida, clique em Nível Personalizado.
  4. Em Configurações, na seção Script, em Scripts Ativos, clique em Avisar ou Desativar e, em seguida, clique em OK.
  5. Clique em Intranet local e, em seguida, clique em Nível Personalizado.
  6. Em Configurações, na seção Script, em Scripts Ativos, clique em Avisar ou Desativar e, em seguida, clique em OK.
  7. Clique em OK duas vezes para retornar ao Internet Explorer.

  Observação A desativação dos scripts ativos nas zonas de segurança da Internet e da intranet local poderá fazer com que alguns sites não funcionem corretamente. Se você encontrar dificuldades ao usar um site após alterar a configuração, mas tiver certeza de que o site é seguro, é possível adicionar esse site à lista de sites confiáveis. Isso permitirá que o site funcione adequadamente.

  Impacto da solução alternativa. Há efeitos colaterais para notificação antes da execução de scripts ativos. Muitos sites que não estão na Internet ou na intranet usam scripts ativos para fornecer funcionalidade adicional. Por exemplo, um site de comércio eletrônico ou bancário online pode usar controles ActiveX para fornecer menus, formulários de pedidos ou até mesmo extratos de contas. A notificação antes da execução dos scripts ativos é uma configuração global que afeta todos os sites da Internet e da intranet. Você será notificado frequentemente quando ativar essa solução alternativa. Para cada notificação, se achar que confia no site que está visitando, clique em Sim para executar os scripts ativos. Se não quiser ser avisado para todos esses sites, use os passos descritos em “Adicione sites confiáveis à zona Sites confiáveis do Internet Explorer”.

  Adicione sites confiáveis à zona Sites confiáveis do Internet Explorer

  Depois de definir o Internet Explorer para solicitar confirmação antes de executar controles ActiveX e scripts ativos na zona da Internet e da Intranet local, você pode adicionar sites confiáveis à zona de Sites confiáveis do Internet Explorer. Isso permitirá que você continue usando os sites confiáveis exatamente como faz atualmente, enquanto ajuda a proteger-se de ataques em sites não confiáveis. É recomendável adicionar somente sites nos quais você confia à zona de Sites confiáveis.

  Para isso, siga estas etapas:

  1. No Internet Explorer, clique em Ferramentas, clique em Opções da Internet e, em seguida, clique na guia Segurança.
  2. Na caixa Selecione uma zona de conteúdo da Web para especificar suas configurações de segurança, clique em Sites Confiáveis e, em seguida, clique em Sites.
  3. Se desejar adicionar sites que não requeiram um canal criptografado, clique para desmarcar a caixa de diálogo Exigir verificação do servidor (https:) para todos os sites desta zona.
  4. Na caixa Adicionar este site à zona, digite o URL de um site em que confia e, em seguida, clique em Adicionar.
  5. Repita essas etapas para cada site que você deseja adicionar à zona.
  6. Clique em OK duas vezes para aceitar as alterações e retornar ao Internet Explorer.

  Observação Adicione os sites que você tem certeza de que não realizarão ações mal-intencionadas em seu sistema. Dois em particular que você pode desejar adicionar são *.windowsupdate.microsoft.com e *.update.microsoft.com. Estes são os sites que hospedam a atualização, e é preciso ter um controle ActiveX para instalar a atualização.

• Habilitar a DEP para o Internet Explorer 6 ou o Internet Explorer 7

  Esta vulnerabilidade é mais difícil de explorar com êxito se a Proteção de Execução de Dados (DEP) estiver habilitada para o Internet Explorer. Você pode habilitar a DEP para todas as versões do Internet Explorer que ofereçam suporte a ela, usando um dos métodos a seguir:

  • Habilitar a DEP interativamente para o Internet Explorer 7

  Os administradores locais podem controlar DEP/NX, executando o Internet Explorer como um Administrador. Para habilitar DEP, execute as seguintes etapas:

  1. No Internet Explorer, clique em Ferramentas, clique em Opções da Internet e, em seguida, clique na guia Avançado.
  2. Clique em Habilitar proteção de memória para ajudar a atenuar ataques online.
  3. Clique em OK e reinicie o Internet Explorer.
  • Habilitar a DEP para o Internet Explorer 6 ou Internet Explorer 7 usando a solução automatizada Microsoft Fix It

    Consulte o Artigo 978207 (em inglês) da Microsoft Knowledge Base para usar a solução automatizada Microsoft Fix it para habilitar ou desabilitar esta solução alternativa.

  Impacto da solução alternativa. Algumas extensões do navegador podem não ser compatíveis com DEP e ser interrompidas inesperadamente. Se isso ocorrer, você poderá desabilitar o complemento ou reverter a configuração DEP usando o Painel de Controle da Internet. Isso também pode ser acessado usando o painel de Controle do Sistema.

• Habilitar ou desabilitar controles ActiveX no Office 2007

  Para reduzir a possibilidade de exploração desta vulnerabilidade por meio de um documento do Office 2007 que use um controle ActiveX, siga as etapas abaixo para desabilitar controles ActiveX em documentos do Office. Para obter mais informações sobre como desabilitar controles ActiveX no Office 2007, consulte o artigo do Microsoft Office Online, Enable or disable ActiveX controls in Office documents.

  Abra a Central de Confiabilidade em aplicativos do Office 2007 usando um dos métodos a seguir. Depois de selecionar Configurações do ActiveX, selecione Desabilitar todos os controles sem notificação e, em seguida, clique em OK.

  Observação Se você alterar uma configuração do controle ActiveX em um aplicativo do Office, as configurações também serão alteradas em todos os outros programas do Office em seu computador.

  Excel

  Clique no botão Microsoft Office, selecione Opções do Excel, selecione Central de Confiabilidade, selecione Configurações da Central de Confiabilidade e, em seguida, selecione Configurações do ActiveX.

  Outlook

  No menu Ferramentas, selecione Central de Confiabilidade, selecione Configurações da Central de Confiabilidade e, em seguida, selecione Configurações do ActiveX.

  PowerPoint

  Clique no botão Microsoft Office, selecione Opções do PowerPoint, selecione Central de Confiabilidade, selecione Configurações da Central de Confiabilidade e, em seguida, selecione Configurações do ActiveX.

  Word

  Clique no botão Microsoft Office, selecione Opções do Word, selecione Central de Confiabilidade, selecione Configurações da Central de Confiabilidade e, em seguida, selecione Configurações do ActiveX.

  Acesso

  Clique no botão Microsoft Office, selecione Opções do Access, selecione Central de Confiabilidade, selecione Configurações da Central de Confiabilidade e, em seguida, selecione Configurações do ActiveX.

  InfoPath

  No menu Ferramentas, selecione Central de Confiabilidade, selecione Configurações da Central de Confiabilidade e, em seguida, selecione Configurações do ActiveX.

  Publisher

  No menu Ferramentas, selecione Central de Confiabilidade, selecione Configurações da Central de Confiabilidade e, em seguida, selecione Configurações do ActiveX.

  Visio

  No menu Ferramentas, selecione Central de Confiabilidade, selecione Configurações da Central de Confiabilidade e, em seguida, selecione Configurações do ActiveX.

  Impacto da solução alternativa. Controles ActiveX não serão instanciados em aplicativos do Microsoft Office.

• Não abrir arquivos inesperados

  Não abra arquivos do Microsoft Office recebidos de fontes não confiáveis ou recebidos inesperadamente de fontes confiáveis Essa vulnerabilidade pode ser explorada quando o usuário abre um arquivo especialmente criado.

Qual é o escopo da vulnerabilidade?  
Essa é uma vulnerabilidade de execução remota de código. O invasor que explorar com êxito a vulnerabilidade poderá obter os mesmos direitos que o usuário conectado. Os usuários cujas contas são configuradas com poucos direitos de usuário no sistema correm menos riscos do que aqueles que possuem direitos administrativos.

O que provoca a vulnerabilidade?  
Quando, em determinadas condições, o Internet Explorer tenta acessar memória inicializada incorretamente, a memória pode ser corrompida de tal maneira que um invasor pode executar código arbitrário no contexto do usuário conectado.

Para que um invasor pode usar a vulnerabilidade?  
O invasor que explorar com êxito esta vulnerabilidade poderá obter os mesmos direitos que o usuário conectado. Se um usuário tiver feito logon com direitos administrativos, o invasor que explorar com êxito essa vulnerabilidade poderá obter o controle total do sistema afetado. O invasor poderá instalar programas; exibir, alterar ou excluir dados; ou criar novas contas com direitos totais de usuário.

De que forma o invasor pode explorar a vulnerabilidade?  
O invasor pode hospedar um site especialmente projetado para explorar esta vulnerabilidade através do Internet Explorer e, então, convencer um usuário a exibir o site. O invasor também pode tirar proveito dos sites comprometidos e de sites que aceitam ou hospedam o conteúdo fornecido pelo usuário ou anúncios. Esses sites podem ter conteúdo especialmente criado para explorar essa vulnerabilidade. Em todos os casos, entretanto, um invasor não teria como forçar os usuários a visitarem os sites. Em vez disso, um invasor tem que convencer os usuários a visitar o site, geralmente fazendo com que eles cliquem em um link em um email ou por um pedido pelo Instant Messenger que leva o usuário ao site do invasor. Também é possível exibir conteúdo da Web próprio para a finalidade usando anúncios de banner ou outros métodos para implantar conteúdo da Web nos sistemas afetados.

Quais são os sistemas que mais correm riscos com a vulnerabilidade?  
Esta vulnerabilidade requer que um usuário esteja conectado e visite um site para que uma ação mal-intencionada ocorra. Portanto, os sistemas nos quais o Internet Explorer é usado com frequência, como estações de trabalho ou servidores de terminal, estão mais expostos a essa vulnerabilidade.

Estou executando o Internet Explorer para Windows Server 2003 ou Windows Server 2008. Isso atenua essa vulnerabilidade?  
Sim. Por padrão, o Internet Explorer no Windows Server 2003 e no Windows Server 2008 é executado em um modo restrito, conhecido como Configuração de Segurança Reforçada. A Configuração de Segurança Reforçada é um grupo de configurações predefinidas do Internet Explorer que reduz a probabilidade de um usuário ou administrador baixar e executar um conteúdo da Web especialmente criado em um servidor. Este é um fator atenuante para sites que não tenham sido adicionados à zona Sites confiáveis do Internet Explorer. Consulte também Gerenciamento de Configurações de Segurança Avançadas do Internet Explorer.

Qual das soluções alternativas devo aplicar ao meu sistema para estar protegido?  
Com base em nossa investigação, definir a configuração de segurança da zona da Internet como Alta protegerá os usuários contra o problema descrito neste comunicado.

Como a configuração da segurança de zona da Internet como Alta me protege desta vulnerabilidade?  
A configuração da segurança de zona da Internet como Alta protege contra esta vulnerabilidade por desabilitar scripts e recursos menos seguros no Internet Explorer, além de bloquear técnicas conhecidas usadas para ignorar a Prevenção de Execução de Dados (DEP).

Como o Modo Protegido do Internet Explorer no Windows Vista e em sistemas operacionais Windows posteriores limita o impacto desta vulnerabilidade?  
Por padrão, o Internet Explorer no Windows Vista e em sistemas operacionais Windows posteriores é executado no Modo Protegido na zona de segurança da Internet. (O Modo Protegido fica desativado por padrão na zona da Intranet.) O Modo Protegido reduz significativamente a capacidade de um invasor de gravar, alterar ou destruir dados na máquina do usuário ou instalar código mal-intencionado. Isso é feito usando os mecanismos de integridade do Windows Vista que restringem o acesso a processos, arquivos e chaves do Registro com níveis mais altos de integridade.

O que é ASLR (Address Space Layout Randomization)?  
Sistemas que implementam o ASLR (Address Space Layout Randomization) realocam pontos de entrada de funções que normalmente seriam previsíveis de maneira pseudo-aleatória na memória. O Windows ASLR realoca DLL ou EXE em um entre 256 locais aleatórios na memória. Portanto, invasores que usam endereços inseridos no código têm probabilidade de "adivinhar corretamente" em uma a cada 256 vezes. Para obter mais informações sobre o ASLR, consulte o artigo da revista TechNet Inside the Windows Vista Kernel: Part 3.

O que é Prevenção de Execução de Dados (DEP)?  
O suporte da Prevenção de Execução de Dados é incluído no Internet Explorer e, embora seja ativado por padrão no Internet Explorer 8, fica desativado por padrão em versões anteriores do Internet Explorer. A DEP foi projetada para ajudar a bloquear ataques, evitando a execução na memória de código que esteja marcado como não-executável. Para obter mais informações sobre a DEP no Internet Explorer, consulte a postagem no blog do MSDN IE8 Security Part I: Proteção de Memória DEP/NX.

A Prevenção de Execução de Dados (DEP) pode ser ignorada no Internet Explorer 8?  
Há um relatório sobre uma nova exploração da Prevenção de Execução de Dados (DEP). Analisamos o código de exploração de prova de conceito e concluímos que o Windows Vista e versões posteriores do Windows oferecem proteções mais eficientes para bloquear a exploração devido ao ASLR (Address Space Layout Randomization). No Windows XP, os invasores podem tornar as técnicas de desvio mais confiáveis.

O que a atualização faz?  
A atualização modifica a maneira como o Internet Explorer manipula objetos na memória.

Quando esse boletim de segurança foi lançado, essa vulnerabilidade já tinha sido divulgada publicamente?  
Sim. Essa vulnerabilidade foi divulgada publicamente. Ela recebeu o número CVE-2010-0249 da lista Common Vulnerability and Exposure.

Quando este boletim de segurança foi lançado, a Microsoft tinha recebido algum relatório informando que essa vulnerabilidade estava sendo explorada?  
Sim. A Microsoft está ciente dos ataques limitados que tentam explorar a vulnerabilidade.

Tabela de referência

A tabela a seguir contém as informações de atualização de segurança desse software. Você pode encontrar informações adicionais na subseção Informações de implantação, nesta seção.

Tabela de referência

A tabela a seguir contém as informações de atualização de segurança desse software. Você pode encontrar informações adicionais na subseção Informações de implantação, nesta seção.

Observação Para versões com suporte do Windows XP Professional x64 Edition, esta atualização de segurança é igual à atualização de segurança das versões com suporte do Windows Server 2003 x64 Edition.

Tabela de referência

A tabela a seguir contém as informações de atualização de segurança desse software. Você pode encontrar informações adicionais na subseção Informações de implantação, nesta seção.

Tabela de referência

A tabela a seguir contém as informações de atualização de segurança desse software. Você pode encontrar informações adicionais na subseção Informações de implantação, nesta seção.

Tabela de referência

A tabela a seguir contém as informações de atualização de segurança desse software. Você pode encontrar informações adicionais na subseção Informações de implantação, nesta seção.

Tabela de referência

A tabela a seguir contém as informações de atualização de segurança desse software. Você pode encontrar informações adicionais na subseção Informações de implantação, nesta seção.

Tabela de referência

A tabela a seguir contém as informações de atualização de segurança desse software. Você pode encontrar informações adicionais na subseção Informações de implantação, nesta seção.