Microsoft Security Bulletin MS10-044 - Crítica

A atenuação refere-se a uma configuração, configuração comum ou prática recomendada geral, existindo num estado padrão, que possa reduzir a gravidade de exploração de uma vulnerabilidade. Os fatores de atenuação a seguir podem ser úteis em sua situação:

• No cenário de ataque na Web, o invasor terá que hospedar um site contendo uma página da Web usada para explorar essa vulnerabilidade. Além disso, sites comprometidos e sites que aceitem ou hospedem conteúdo fornecido pelo usuário ou anúncios pode conter conteúdo especialmente desenvolvido que pode explorar esta vulnerabilidade. Em todos os casos, entretanto, um invasor não teria como forçar os usuários a visitarem os sites. Em vez disso, o invasor teria que convencer os usuários a visitar o site, geralmente fazendo com que eles cliquem em um link em um email ou mensagem do Instant Messenger que leva o usuário ao site do invasor.
• O invasor que explorar com êxito a vulnerabilidade poderá obter os mesmos direitos que o usuário local. Os usuários cujas contas são configuradas com poucos direitos de usuário no sistema correm menos riscos do que aqueles que possuem direitos administrativos.
• Por padrão, todas as versões com suporte do Microsoft Office Outlook, Microsoft Outlook Express, Windows Mail e Windows Live Mail abrem emails em HTML na zona de sites restritos, o que desabilita scripts e controles ActiveX, removendo o risco de um invasor conseguir usar esta vulnerabilidade para executar código mal-intencionado. Se um usuário clicar em um link em uma mensagem de email, ele ainda pode estar vulnerável à exploração dessa vulnerabilidade, por meio do cenário de ataque baseado na Web.
• Por padrão, o Internet Explorer no Windows Server 2003 e no Windows Server 2008 é executado em um modo restrito, conhecido como Configuração de Segurança Reforçada. Esse modo define o nível de segurança para a zona da Internet como Alto. Este é um fator atenuante para sites que não tenham sido adicionados à zona Sites confiáveis do Internet Explorer. Consulte a subseção Perguntas frequentes desta vulnerabilidade para obter mais informações sobre a Configuração de Segurança Reforçada do Internet Explorer.

A solução alternativa refere-se a uma configuração ou alteração de configuração que não corrige a vulnerabilidade subjacente mas que ajudaria a bloquear vetores de ataque conhecidos antes de aplicar a atualização. A Microsoft testou as soluções alternativas e estados a seguir como parte do cenário que implica se uma solução alternativa reduziria funcionalidade:

• Impeça que objetos COM sejam executados no Internet Explorer

  Você pode desativar as tentativas de instanciar o objeto COM no Internet Explorer definindo o kill bit do controle no Registro. Os objetos COM cuja instanciação no Internet Explorer será impedida por esta solução alternativa são os controles ActiveX FieldList e ImexGrid.

  Aviso O uso incorreto do Editor do Registro pode causar problemas graves e exigir a reinstalação do sistema operacional. A Microsoft não garante a solução de problemas resultantes do uso incorreto do Editor do Registro. Você é responsável pelo uso do Editor do Registro.

  Para obter etapas detalhadas para evitar que um controle seja executado no Internet Explorer, consulte o Artigo 240797 (em inglês) da Microsoft Knowledge Base. Siga as etapas no artigo para criar um valor de Compatibility Flags no Registro e evitar que um objeto COM seja instanciado no Internet Explorer.

  Para definir o kill bit para um CLSIDs com valor {53230327-172B-11D0-AD40-00A0C90DC8D9} e {53230322-172B-11d0-AD40-00A0C90DC8D9}, cole o texto a seguir em um editor de texto, como o Bloco de Notas. Em seguida, salve o arquivo usando a extensão de nome de arquivo .reg.

  Windows Registry Editor Versão 5.00
  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{53230327-172B-11D0-AD40-00A0C90DC8D9}]
  "Compatibility Flags"=dword:00000400
  
  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{53230322-172B-11d0-AD40-00A0C90DC8D9}]
  "Compatibility Flags"=dword:00000400
  
  [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\ActiveX Compatibility\{53230327-172B-11D0-AD40-00A0C90DC8D9}]
  "Compatibility Flags"=dword:00000400
  
  [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\ActiveX Compatibility\{53230322-172B-11d0-AD40-00A0C90DC8D9}]
  "Compatibility Flags"=dword:00000400

  Você pode aplicar este arquivo .reg em sistemas individuais clicando duas vezes nele. Você também pode aplicá-lo entre domínios usando a Diretiva de Grupo. Para obter mais informações sobre a Diretiva de Grupo, visite estes sites da Microsoft:

  • Conjunto de Diretivas de Grupo
  • O que é o Editor de Objeto de Diretiva de Grupo?
  • Ferramentas e configurações principais da Diretiva de Grupo

  Observação Você deve reiniciar o Internet Explorer para que as alterações tenham efeito.

  Impacto da solução alternativa. Os controles FieldList e ImexGrid são usados em alguns dos assistentes do Access, um recurso disponível somente no Microsoft Office Access. Depois que esta solução alternativa for aplicada, um subconjunto de assistentes poderá não funcionar corretamente.

  Como desfazer a solução alternativa. Exclua as chaves do Registro previamente adicionadas durante a implementação dessa solução alternativa.

• Defina as configurações de zona de segurança da Internet e da intranet local como “Alta” para bloquear controles ActiveX e scripts ativos nessas zonas

  Você pode ajudar na proteção contra a exploração dessa vulnerabilidade alterando suas configurações, para que a zona de segurança da Internet bloqueie controles ActiveX e scripts ativos. É possível fazer isso configurando a segurança do navegador como Alta.

  Para aumentar o nível de segurança da navegação no Internet Explorer, faça o seguinte:

  1. No menu Ferramentas do Internet Explorer, clique em Opções da Internet.
  2. Na caixa de diálogo Opções da Internet, clique na guia Segurança e, em seguida, no ícone Internet.
  3. Em Nível de segurança para esta zona, mova o controle deslizante para Alto. Isso define o nível de segurança para todos os sites visitados como Alto.

  Observação Se o controle deslizante não estiver visível, clique em Nível padrão e então mova o controle deslizante para Alto.

  Observação A configuração do nível como Alto pode fazer com que alguns sites não funcionem corretamente. Se você encontrar dificuldades ao usar um site após alterar a configuração, mas tiver certeza de que o site é seguro, é possível adicionar esse site à lista de sites confiáveis. Isso permite que o site funcione corretamente, mesmo com a configuração de segurança definida como Alta.

  Impacto da solução alternativa. Há efeitos colaterais ao bloqueio de controles ActiveX e scripts ativos. Muitos sites que não estão na Internet ou na intranet usam controles ActiveX e scripts ativos para fornecer funcionalidade adicional. Por exemplo, um site de comércio eletrônico ou bancário online pode usar controles ActiveX para fornecer menus, formulários de pedidos ou até mesmo extratos de contas. O bloqueio de controles ActiveX ou scripts ativos é uma configuração global que afeta todos os sites da Internet e da intranet. Se você não quiser bloquear controles ActiveX e scripts ativos para esses sites, use os passos descritos em “Adicione sites confiáveis à zona Sites confiáveis do Internet Explorer”.

  Como desfazer a solução alternativa. Em Opções da Internet, retorne o controle deslizante para sua configuração anterior ou clique em Restaurar o nível padrão de todas as zonas.

  Adicione sites confiáveis à zona Sites confiáveis do Internet Explorer

  Depois de definir o Internet Explorer para bloquear controles ActiveX e scripts ativos na zona da Internet e da Intranet local, você pode adicionar sites confiáveis à zona de Sites confiáveis do Internet Explorer. Isso permitirá que você continue usando os sites confiáveis exatamente como faz atualmente, enquanto ajuda a proteger-se de ataques em sites não confiáveis. É recomendável adicionar somente sites nos quais você confia à zona de Sites confiáveis.

  Para isso, siga estas etapas:

  1. No Internet Explorer, clique em Ferramentas, clique em Opções da Internet e, em seguida, clique na guia Segurança.
  2. Na caixa Selecione uma zona de conteúdo da Web para especificar suas configurações de segurança, clique em Sites Confiáveis e, em seguida, clique em Sites.
  3. Se desejar adicionar sites que não requeiram um canal criptografado, clique para desmarcar a caixa de diálogo Exigir verificação do servidor (https:) para todos os sites desta zona.
  4. Na caixa Adicionar este site à zona, digite o URL de um site em que confia e, em seguida, clique em Adicionar.
  5. Repita essas etapas para cada site que você deseja adicionar à zona.
  6. Clique em OK duas vezes para aceitar as alterações e retornar ao Internet Explorer.

  Observação Adicione os sites que você tem certeza de que não realizarão ações mal-intencionadas em seu sistema. Dois em particular que você pode desejar adicionar são *.windowsupdate.microsoft.com e *.update.microsoft.com. Estes são os sites que hospedam a atualização, e é preciso ter um controle ActiveX para instalar a atualização.

• Configure o Internet Explorer para notificá-lo antes da execução de scripts ativos ou desative os scripts ativos na zona de segurança da Internet e da intranet local

  Para se proteger contra a exploração dessa vulnerabilidade, altere as configurações para ser notificado antes da execução de scripts ativos ou desabilite os scripts ativos na zona de segurança da Internet e da intranet local. Para isso, siga estas etapas:

  1. No Internet Explorer, clique em Opções da Internet no menu Ferramentas.
  2. Clique na guia Segurança.
  3. Clique em Internet e, em seguida, clique em Nível Personalizado.
  4. Em Configurações, na seção Script, em Scripts Ativos, clique em Avisar ou Desativar e, em seguida, clique em OK.
  5. Clique em Intranet local e, em seguida, clique em Nível Personalizado.
  6. Em Configurações, na seção Script, em Scripts Ativos, clique em Avisar ou Desativar e, em seguida, clique em OK.
  7. Clique em OK duas vezes para retornar ao Internet Explorer.

  Observação A desativação dos scripts ativos nas zonas de segurança da Internet e da intranet local poderá fazer com que alguns sites não funcionem corretamente. Se você encontrar dificuldades ao usar um site após alterar a configuração, mas tiver certeza de que o site é seguro, é possível adicionar esse site à lista de sites confiáveis. Isso permitirá que o site funcione adequadamente.

  Impacto da solução alternativa. Há efeitos colaterais para notificação antes da execução de scripts ativos. Muitos sites que não estão na Internet ou na intranet usam scripts ativos para fornecer funcionalidade adicional. Por exemplo, um site de comércio eletrônico ou bancário online pode usar controles ActiveX para fornecer menus, formulários de pedidos ou até mesmo extratos de contas. A notificação antes da execução dos scripts ativos é uma configuração global que afeta todos os sites da Internet e da intranet. Você será notificado frequentemente quando ativar essa solução alternativa. Para cada notificação, se achar que confia no site que está visitando, clique em Sim para executar os scripts ativos. Se não quiser ser avisado para todos esses sites, use os passos descritos em “Adicione sites confiáveis à zona Sites confiáveis do Internet Explorer”.

  Como desfazer a solução alternativa. Em Configurações de Segurança, retorne para suas configurações anteriores ou clique em Redefinir.

  Adicione sites confiáveis à zona Sites confiáveis do Internet Explorer

  Depois de definir o Internet Explorer para solicitar confirmação antes de executar controles ActiveX e scripts ativos na zona da Internet e da Intranet local, você pode adicionar sites confiáveis à zona de Sites confiáveis do Internet Explorer. Isso permitirá que você continue usando os sites confiáveis exatamente como faz atualmente, enquanto ajuda a proteger-se de ataques em sites não confiáveis. É recomendável adicionar somente sites nos quais você confia à zona de Sites confiáveis.

  Para isso, siga estas etapas:

  1. No Internet Explorer, clique em Ferramentas, clique em Opções da Internet e, em seguida, clique na guia Segurança.
  2. Na caixa Selecione uma zona de conteúdo da Web para especificar suas configurações de segurança, clique em Sites Confiáveis e, em seguida, clique em Sites.
  3. Se desejar adicionar sites que não requeiram um canal criptografado, clique para desmarcar a caixa de diálogo Exigir verificação do servidor (https:) para todos os sites desta zona.
  4. Na caixa Adicionar este site à zona, digite o URL de um site em que confia e, em seguida, clique em Adicionar.
  5. Repita essas etapas para cada site que você deseja adicionar à zona.

  6.Clique em OK duas vezes para aceitar as alterações e retornar ao Internet Explorer.

  Observação Adicione os sites que você tem certeza de que não realizarão ações mal-intencionadas em seu sistema. Dois em particular que você pode desejar adicionar são *.windowsupdate.microsoft.com e *.update.microsoft.com. Estes são os sites que hospedam a atualização, e é preciso ter um controle ActiveX para instalar a atualização.

Qual é o escopo da vulnerabilidade?  
Essa é uma vulnerabilidade de execução remota de código. O invasor que explorar com êxito a vulnerabilidade poderá obter os mesmos direitos que o usuário conectado. Os usuários cujas contas são configuradas com poucos direitos de usuário no sistema correm menos riscos do que aqueles que possuem direitos administrativos.

O que provoca a vulnerabilidade?  
Existe uma vulnerabilidade de execução remota de código na forma como o Internet Explorer lida com a alocação de memória ao instanciar uma sucessão de controles ActiveX do Access.

O que é o Controle ActiveX ACCWIZ.DLL?  
ACCWIZ.dll (controles de assistentes do Microsoft Access) é um componente de tempo de execução do Microsoft Office Access que fornece uma biblioteca de controles ActiveX do Access, como os controles ImexGrid e FieldList.

Para que um invasor pode usar a vulnerabilidade?  
Um invasor que explorar com êxito essa vulnerabilidade pode executar o código arbitrário como o usuário conectado. Se um usuário estiver conectado com direitos administrativos, o invasor poderá assumir o controle total do sistema afetado. O invasor poderá instalar programas; exibir, alterar ou excluir dados; ou criar novas contas com direitos totais de usuário. Os usuários cujas contas são configuradas com poucos direitos de usuário no sistema correm menos riscos do que aqueles que possuem direitos administrativos.

De que forma o invasor pode explorar a vulnerabilidade?  
A exploração desta vulnerabilidade requer que o usuário visite um site especialmente criado que contenha uma sucessão de controles ActiveX do Access.

Em um cenário de ataque pela Web, o invasor precisará hospedar um site que contenha uma sucessão de controles ActiveX do Access usada para tentar explorar esta vulnerabilidade. Além disso, sites comprometidos e sites que aceitem ou hospedem conteúdo fornecido pelo usuário podem conter conteúdo especialmente desenvolvido que pode explorar esta vulnerabilidade. Não há como um invasor forçar usuários a visitar o site especialmente criado. Em vez disso, o invasor terá de convencer os usuários a visitar o site, geralmente fazendo com que eles cliquem em um link em um email ou mensagem do Instant Messenger que os leve ao site do invasor.

Quais são os sistemas que mais correm riscos com a vulnerabilidade?  
Os sistemas nos quais o Microsoft Office Access é usado, inclusive estações de trabalho e servidores de terminal, são os que correm mais risco. Os servidores correm mais riscos se os administradores permitirem que os usuários façam logon em servidores e executem programas. Entretanto, as práticas recomendadas não recomendam esse procedimento.

Estou executando o Internet Explorer no Windows Server 2003 ou no Windows Server 2008. Isso atenua essa vulnerabilidade?  
Sim. Por padrão, o Internet Explorer no Windows Server 2003 e no Windows Server 2008 é executado em um modo restrito, conhecido como Configuração de Segurança Reforçada. A Configuração de Segurança Reforçada é um grupo de configurações predefinidas do Internet Explorer que reduz a probabilidade de um usuário ou administrador baixar e executar um conteúdo da Web especialmente criado em um servidor. Este é um fator atenuante para sites que não tenham sido adicionados à zona Sites confiáveis do Internet Explorer. Consulte também Gerenciamento de Configurações de Segurança Avançadas do Internet Explorer.

O que a atualização faz?  
A atualização elimina a vulnerabilidade modificando a maneira como esses controles ActiveX do Access são carregados na memória e atualizando controles ActiveX específicos.

Quando esse boletim de segurança foi lançado, essa vulnerabilidade já tinha sido divulgada publicamente?  
Não. A Microsoft recebeu informações sobre essa vulnerabilidade por meio de divulgação responsável. A Microsoft não recebeu nenhuma informação indicando que essa vulnerabilidade tenha sido divulgada publicamente quando este boletim de segurança foi lançado pela primeira vez. Este boletim de segurança trata a vulnerabilidade exposta em particular assim como problemas adicionais descobertos por investigações internas.

Quando este boletim de segurança foi lançado, a Microsoft tinha recebido algum relatório informando que essa vulnerabilidade estava sendo explorada?  
Não. A Microsoft não recebeu nenhuma informação indicando que essa vulnerabilidade tenha sido usada publicamente para atacar clientes e não testemunhou nenhum exemplo de publicação de código de verificação de conceito, quando este boletim de segurança foi lançado pela primeira vez.

A atenuação refere-se a uma configuração, configuração comum ou prática recomendada geral, existindo num estado padrão, que possa reduzir a gravidade de exploração de uma vulnerabilidade. Os fatores de atenuação a seguir podem ser úteis em sua situação:

• No cenário de ataque na Web, o invasor terá que hospedar um site contendo uma página da Web usada para explorar essa vulnerabilidade. Além disso, sites comprometidos e sites que aceitem ou hospedem conteúdo fornecido pelo usuário ou anúncios pode conter conteúdo especialmente desenvolvido que pode explorar esta vulnerabilidade. Em todos os casos, entretanto, um invasor não teria como forçar os usuários a visitarem os sites. Em vez disso, o invasor teria que convencer os usuários a visitar o site, geralmente fazendo com que eles cliquem em um link em um email ou mensagem do Instant Messenger que leva o usuário ao site do invasor.
• O invasor que explorar com êxito a vulnerabilidade poderá obter os mesmos direitos que o usuário local. Os usuários cujas contas são configuradas com poucos direitos de usuário no sistema correm menos riscos do que aqueles que possuem direitos administrativos.
• Por padrão, todas as versões com suporte do Microsoft Office Outlook, Microsoft Outlook Express, Windows Mail e Windows Live Mail abrem emails em HTML na zona de sites restritos, o que desabilita scripts e controles ActiveX, removendo o risco de um invasor conseguir usar esta vulnerabilidade para executar código mal-intencionado. Se um usuário clicar em um link em uma mensagem de email, ele ainda pode estar vulnerável à exploração dessa vulnerabilidade, por meio do cenário de ataque baseado na Web. Além disso, se um usuário abrir o anexo em um email, poderá estar vulnerável à exploração ao abrir um arquivo do Office especialmente criado.
• Por padrão, o Internet Explorer no Windows Server 2003 e no Windows Server 2008 é executado em um modo restrito, conhecido como Configuração de Segurança Reforçada. Esse modo define o nível de segurança para a zona da Internet como Alto. Este é um fator atenuante para sites que não tenham sido adicionados à zona Sites confiáveis do Internet Explorer. Consulte a subseção Perguntas frequentes desta vulnerabilidade para obter mais informações sobre a Configuração de Segurança Reforçada do Internet Explorer.

A solução alternativa refere-se a uma configuração ou alteração de configuração que não corrige a vulnerabilidade subjacente mas que ajudaria a bloquear vetores de ataque conhecidos antes de aplicar a atualização. A Microsoft testou as soluções alternativas e estados a seguir como parte do cenário que implica se uma solução alternativa reduziria funcionalidade:

• Não abra arquivos do Microsoft Office recebidos de fontes não confiáveis

  Não abra arquivos do Microsoft Office recebidos de fontes não confiáveis ou recebidos inesperadamente de fontes confiáveis Essa vulnerabilidade pode ser explorada quando o usuário abre um arquivo especialmente criado.

• Impeça que objetos COM sejam executados no Internet Explorer

  Você pode desativar as tentativas de instanciar o objeto COM no Internet Explorer definindo o kill bit do controle no Registro. O objeto COM cuja instanciação no Internet Explorer será impedida por esta solução alternativa é o controle ActiveX FieldList.

  Aviso O uso incorreto do Editor do Registro pode causar problemas graves e exigir a reinstalação do sistema operacional. A Microsoft não garante a solução de problemas resultantes do uso incorreto do Editor do Registro. Você é responsável pelo uso do Editor do Registro.

  Para obter etapas detalhadas para evitar que um controle seja executado no Internet Explorer, consulte o Artigo 240797 (em inglês) da Microsoft Knowledge Base. Siga as etapas no artigo para criar um valor de Compatibility Flags no Registro e evitar que um objeto COM seja instanciado no Internet Explorer.

  Para definir kill bits para CLSIDs com valor {53230327-172B-11D0-AD40-00A0C90DC8D9}, cole o texto a seguir em um editor de texto, como o Bloco de Notas. Em seguida, salve o arquivo usando a extensão de nome de arquivo .reg.

  Windows Registry Editor Versão 5.00
  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{53230327-172B-11D0-AD40-00A0C90DC8D9}]
  "Compatibility Flags"=dword:00000400
  
  [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\ActiveX Compatibility\{53230327-172B-11D0-AD40-00A0C90DC8D9}]
  "Compatibility Flags"=dword:00000400

  Você pode aplicar este arquivo .reg em sistemas individuais clicando duas vezes nele. Você também pode aplicá-lo entre domínios usando a Diretiva de Grupo. Para obter mais informações sobre a Diretiva de Grupo, visite estes sites da Microsoft:

  • Conjunto de Diretivas de Grupo
  • O que é o Editor de Objeto de Diretiva de Grupo?
  • Ferramentas e configurações principais da Diretiva de Grupo

  Observação Você deve reiniciar o Internet Explorer para que as alterações tenham efeito.

  Impacto da solução alternativa. O controle FieldList é usado em alguns dos assistentes do Access, um recurso disponível somente no Microsoft Office Access. Depois que esta solução alternativa for aplicada, um subconjunto de assistentes poderá não funcionar corretamente.

  Como desfazer a solução alternativa. Exclua as chaves do Registro previamente adicionadas durante a implementação dessa solução alternativa.

• Defina as configurações de zona de segurança da Internet e da intranet local como “Alta” para bloquear controles ActiveX e scripts ativos nessas zonas

  Você pode ajudar na proteção contra a exploração dessa vulnerabilidade alterando suas configurações, para que a zona de segurança da Internet bloqueie controles ActiveX e scripts ativos. É possível fazer isso configurando a segurança do navegador como Alta.

  Para aumentar o nível de segurança da navegação no Internet Explorer, faça o seguinte:

  1. No menu Ferramentas do Internet Explorer, clique em Opções da Internet.
  2. Na caixa de diálogo Opções da Internet, clique na guia Segurança e, em seguida, no ícone Internet.
  3. Em Nível de segurança para esta zona, mova o controle deslizante para Alto. Isso define o nível de segurança para todos os sites visitados como Alto.

  Observação Se o controle deslizante não estiver visível, clique em Nível padrão e então mova o controle deslizante para Alto.

  Observação A configuração do nível como Alto pode fazer com que alguns sites não funcionem corretamente. Se você encontrar dificuldades ao usar um site após alterar a configuração, mas tiver certeza de que o site é seguro, é possível adicionar esse site à lista de sites confiáveis. Isso permite que o site funcione corretamente, mesmo com a configuração de segurança definida como Alta.

  Impacto da solução alternativa. Há efeitos colaterais ao bloqueio de controles ActiveX e scripts ativos. Muitos sites que não estão na Internet ou na intranet usam controles ActiveX e scripts ativos para fornecer funcionalidade adicional. Por exemplo, um site de comércio eletrônico ou bancário online pode usar controles ActiveX para fornecer menus, formulários de pedidos ou até mesmo extratos de contas. O bloqueio de controles ActiveX ou scripts ativos é uma configuração global que afeta todos os sites da Internet e da intranet. Se você não quiser bloquear controles ActiveX e scripts ativos para esses sites, use os passos descritos em “Adicione sites confiáveis à zona Sites confiáveis do Internet Explorer”.

  Como desfazer a solução alternativa. Em Opções da Internet, retorne o controle deslizante para sua configuração anterior ou clique em Restaurar o nível padrão de todas as zonas.

  Adicione sites confiáveis à zona Sites confiáveis do Internet Explorer

  Depois de definir o Internet Explorer para bloquear controles ActiveX e scripts ativos na zona da Internet e da Intranet local, você pode adicionar sites confiáveis à zona de Sites confiáveis do Internet Explorer. Isso permitirá que você continue usando os sites confiáveis exatamente como faz atualmente, enquanto ajuda a proteger-se de ataques em sites não confiáveis. É recomendável adicionar somente sites nos quais você confia à zona de Sites confiáveis.

  Para isso, siga estas etapas:

  1. No Internet Explorer, clique em Ferramentas, clique em Opções da Internet e, em seguida, clique na guia Segurança.
  2. Na caixa Selecione uma zona de conteúdo da Web para especificar suas configurações de segurança, clique em Sites Confiáveis e, em seguida, clique em Sites.
  3. Se desejar adicionar sites que não requeiram um canal criptografado, clique para desmarcar a caixa de diálogo Exigir verificação do servidor (https:) para todos os sites desta zona.
  4. Na caixa Adicionar este site à zona, digite o URL de um site em que confia e, em seguida, clique em Adicionar.
  5. Repita essas etapas para cada site que você deseja adicionar à zona.
  6. Clique em OK duas vezes para aceitar as alterações e retornar ao Internet Explorer.

  Observação Adicione os sites que você tem certeza de que não realizarão ações mal-intencionadas em seu sistema. Dois em particular que você pode desejar adicionar são *.windowsupdate.microsoft.com e *.update.microsoft.com. Estes são os sites que hospedam a atualização, e é preciso ter um controle ActiveX para instalar a atualização.

• Configure o Internet Explorer para notificá-lo antes da execução de scripts ativos ou desative os scripts ativos na zona de segurança da Internet e da intranet local

  Para se proteger contra a exploração dessa vulnerabilidade, altere as configurações para ser notificado antes da execução de scripts ativos ou desabilite os scripts ativos na zona de segurança da Internet e da intranet local. Para isso, siga estas etapas:

  1. No Internet Explorer, clique em Opções da Internet no menu Ferramentas.
  2. Clique na guia Segurança.
  3. Clique em Internet e, em seguida, clique em Nível Personalizado.
  4. Em Configurações, na seção Script, em Scripts Ativos, clique em Avisar ou Desativar e, em seguida, clique em OK.
  5. Clique em Intranet local e, em seguida, clique em Nível Personalizado.
  6. Em Configurações, na seção Script, em Scripts Ativos, clique em Avisar ou Desativar e, em seguida, clique em OK.
  7. Clique em OK duas vezes para retornar ao Internet Explorer.

  Observação A desativação dos scripts ativos nas zonas de segurança da Internet e da intranet local poderá fazer com que alguns sites não funcionem corretamente. Se você encontrar dificuldades ao usar um site após alterar a configuração, mas tiver certeza de que o site é seguro, é possível adicionar esse site à lista de sites confiáveis. Isso permitirá que o site funcione adequadamente.

  Impacto da solução alternativa. Há efeitos colaterais para notificação antes da execução de scripts ativos. Muitos sites que não estão na Internet ou na intranet usam scripts ativos para fornecer funcionalidade adicional. Por exemplo, um site de comércio eletrônico ou bancário online pode usar controles ActiveX para fornecer menus, formulários de pedidos ou até mesmo extratos de contas. A notificação antes da execução dos scripts ativos é uma configuração global que afeta todos os sites da Internet e da intranet. Você será notificado frequentemente quando ativar essa solução alternativa. Para cada notificação, se achar que confia no site que está visitando, clique em Sim para executar os scripts ativos. Se não quiser ser avisado para todos esses sites, use os passos descritos em “Adicione sites confiáveis à zona Sites confiáveis do Internet Explorer”.

  Como desfazer a solução alternativa. Em Configurações de Segurança, retorne para suas configurações anteriores ou clique em Redefinir.

  Adicione sites confiáveis à zona Sites confiáveis do Internet Explorer

  Depois de definir o Internet Explorer para solicitar confirmação antes de executar controles ActiveX e scripts ativos na zona da Internet e da Intranet local, você pode adicionar sites confiáveis à zona de Sites confiáveis do Internet Explorer. Isso permitirá que você continue usando os sites confiáveis exatamente como faz atualmente, enquanto ajuda a proteger-se de ataques em sites não confiáveis. É recomendável adicionar somente sites nos quais você confia à zona de Sites confiáveis.

  Para isso, siga estas etapas:

  1. No Internet Explorer, clique em Ferramentas, clique em Opções da Internet e, em seguida, clique na guia Segurança.
  2. Na caixa Selecione uma zona de conteúdo da Web para especificar suas configurações de segurança, clique em Sites Confiáveis e, em seguida, clique em Sites.
  3. Se desejar adicionar sites que não requeiram um canal criptografado, clique para desmarcar a caixa de diálogo Exigir verificação do servidor (https:) para todos os sites desta zona.
  4. Na caixa Adicionar este site à zona, digite o URL de um site em que confia e, em seguida, clique em Adicionar.
  5. Repita essas etapas para cada site que você deseja adicionar à zona.

  6.Clique em OK duas vezes para aceitar as alterações e retornar ao Internet Explorer.

  Observação Adicione os sites que você tem certeza de que não realizarão ações mal-intencionadas em seu sistema. Dois em particular que você pode desejar adicionar são *.windowsupdate.microsoft.com e *.update.microsoft.com. Estes são os sites que hospedam a atualização, e é preciso ter um controle ActiveX para instalar a atualização.

Qual é o escopo da vulnerabilidade?  
Essa é uma vulnerabilidade de execução remota de código. O invasor que explorar com êxito a vulnerabilidade poderá obter os mesmos direitos que o usuário conectado. Os usuários cujas contas são configuradas com poucos direitos de usuário no sistema correm menos riscos do que aqueles que possuem direitos administrativos.

O que provoca a vulnerabilidade?  
Existe uma vulnerabilidade de corrupção de memória nos controles ActiveX da biblioteca ACCWIZ que pode ser explorada pelo fornecimento de um controle com dados de armazenamento persistentes especialmente criados.

O que é o Controle ActiveX ACCWIZ.DLL?  
ACCWIZ.dll (controles de assistentes do Microsoft Access) é um componente de tempo de execução do Microsoft Office que fornece uma biblioteca de controles ActiveX do Access, como os controles ImexGrid e FieldList.

Para que um invasor pode usar a vulnerabilidade?  
Um invasor que explorar com êxito essa vulnerabilidade pode executar o código arbitrário como o usuário conectado. Se um usuário estiver conectado com direitos administrativos, o invasor poderá assumir o controle total do sistema afetado. O invasor poderá instalar programas; exibir, alterar ou excluir dados; ou criar novas contas com direitos totais de usuário. Os usuários cujas contas são configuradas com poucos direitos de usuário no sistema correm menos riscos do que aqueles que possuem direitos administrativos.

De que forma o invasor pode explorar a vulnerabilidade?  
Esta vulnerabilidade requer que o controle ActiveX afetado seja instanciado.

Em um cenário de ataque por email, o invasor pode explorar a vulnerabilidade enviando um arquivo especialmente criado para o usuário e persuadindo-o a abrir o arquivo. Além disso, o invasor pode explorar a vulnerabilidade enviando uma mensagem de email em formato HTML especialmente criada que contenha controles ActiveX do Office usados para tentar explorar esta vulnerabilidade.

Em um cenário de ataque com base na Web, o invasor terá que hospedar um site que contenha controles ActiveX do Office usados para tentar explorar essa vulnerabilidade. Além disso, sites comprometidos e sites que aceitem ou hospedem conteúdo fornecido pelo usuário podem conter conteúdo especialmente desenvolvido que pode explorar esta vulnerabilidade. Não há como um invasor forçar usuários a visitar o site especialmente criado. Em vez disso, o invasor terá que convencê-los a visitar o site, normalmente fazendo com que cliquem em um link que leve para esse site.

Quais são os sistemas que mais correm riscos com a vulnerabilidade?  
Os sistemas nos quais o Microsoft Office é usado, incluindo estações de trabalhos e servidores de terminal, são os que correm mais risco. Os servidores correm mais riscos se os administradores permitirem que os usuários façam logon em servidores e executem programas. Entretanto, as práticas recomendadas não recomendam esse procedimento.

Estou executando o Internet Explorer no Windows Server 2003 ou no Windows Server 2008. Isso atenua essa vulnerabilidade?  
Sim. Por padrão, o Internet Explorer no Windows Server 2003 e no Windows Server 2008 é executado em um modo restrito, conhecido como Configuração de Segurança Reforçada. A Configuração de Segurança Reforçada é um grupo de configurações predefinidas do Internet Explorer que reduz a probabilidade de um usuário ou administrador baixar e executar um conteúdo da Web especialmente criado em um servidor. Este é um fator atenuante para sites que não tenham sido adicionados à zona Sites confiáveis do Internet Explorer. Consulte também Gerenciamento de Configurações de Segurança Avançadas do Internet Explorer.

O que a atualização faz?  
A atualização elimina a vulnerabilidade modificando a maneira como a memória é acessada pelo Microsoft Office e pelo Internet Explorer ao carregar controles ActiveX do Access.

Quando esse boletim de segurança foi lançado, essa vulnerabilidade já tinha sido divulgada publicamente?  
Não. A Microsoft recebeu informações sobre essa vulnerabilidade por meio de divulgação responsável. A Microsoft não recebeu nenhuma informação indicando que essa vulnerabilidade tenha sido divulgada publicamente quando este boletim de segurança foi lançado pela primeira vez. Este boletim de segurança trata a vulnerabilidade exposta em particular assim como problemas adicionais descobertos por investigações internas.

Quando este boletim de segurança foi lançado, a Microsoft tinha recebido algum relatório informando que essa vulnerabilidade estava sendo explorada?  
Não. A Microsoft não recebeu nenhuma informação indicando que essa vulnerabilidade tenha sido usada publicamente para atacar clientes e não testemunhou nenhum exemplo de publicação de código de verificação de conceito, quando este boletim de segurança foi lançado pela primeira vez.

Tabela de referência

A tabela a seguir contém as informações de atualização de segurança desse software. Você pode encontrar informações adicionais na subseção Informações de implantação, nesta seção.

Tabela de referência

A tabela a seguir contém as informações de atualização de segurança desse software. Você pode encontrar informações adicionais na subseção Informações de implantação, nesta seção.