Microsoft Security Bulletin MS12-034 - Crítica

A atenuação refere-se a uma configuração, configuração comum ou prática recomendada geral, existindo num estado padrão, que possa reduzir a gravidade de exploração de uma vulnerabilidade. Os fatores de atenuação a seguir podem ser úteis em sua situação:

• Em um cenário de ataque na navegação pela Web, o invasor pode hospedar um site que contenha uma página da Web usada para explorar esta vulnerabilidade. Além disso, sites comprometidos e sites que aceitem ou hospedem conteúdo fornecido pelo usuário ou anúncios podem conter conteúdo especialmente criado que pode explorar esta vulnerabilidade. Em todos os casos, entretanto, o invasor não tem como forçar os usuários a visitar esses sites. Em vez disso, o invasor teria que persuadir os usuários a visitar o site, geralmente fazendo com que eles cliquem em um link em um e-mail ou mensagem do Instant Messenger que leva o usuário ao site do invasor.
• Por padrão, todas as versões com suporte do Microsoft Outlook, Microsoft Outlook Express e Windows Mail abrem emails em HTML na zona de sites restritos, o que desabilita o download de fonte por padrão. Se um usuário clicar em um link em uma mensagem de email, ele ainda pode estar vulnerável à exploração dessa vulnerabilidade, por meio do cenário de ataque baseado na Web. A vulnerabilidade também poderá ser explorada se um usuário abrir um anexo que seja enviado em uma mensagem de email.

A Microsoft não identificou nenhuma solução alternativa para esta vulnerabilidade.

Qual é o escopo da vulnerabilidade? 
Essa é uma vulnerabilidade de execução remota de código. O invasor que explorar com êxito essa vulnerabilidade poderá assumir o controle total de um sistema afetado. O invasor poderá instalar programas; exibir, alterar ou excluir dados; ou criar novas contas com direitos totais de usuário. Os usuários cujas contas são configuradas com poucos direitos de usuário no sistema correm menos riscos do que aqueles que possuem direitos administrativos.

O que provoca a vulnerabilidade? 
A vulnerabilidade é causada pelo tratamento incorreto de arquivos TTF especialmente criados.

O que é TrueType? 
TrueType é uma tecnologia digital de fontes usada em sistemas operacionais da Microsoft.

Para que um invasor pode usar a vulnerabilidade? 
O invasor que explorar com êxito essa vulnerabilidade poderá obter os mesmos direitos que o usuário atual. Se um usuário estiver conectado com direitos administrativos, o invasor poderá assumir o controle total do sistema afetado. O invasor poderá instalar programas; exibir, alterar ou excluir dados; ou criar novas contas com direitos totais de usuário. Os usuários cujas contas são configuradas com poucos direitos de usuário no sistema correm menos riscos do que aqueles que possuem direitos administrativos.

De que forma o invasor pode explorar a vulnerabilidade? 
Existem vários meios que poderiam permitir que um invasor explorasse esta vulnerabilidade.

Em um cenário de ataque com base na Web, o invasor poderia hospedar um site especialmente criado projetado para explorar esta vulnerabilidade e, então, convencer um usuário a exibir o site. Um invasor não teria como forçar os usuários a exibir o conteúdo controlado pelo invasor. Em vez disso, o invasor precisa convencer os usuários a executar uma ação, normalmente clicando em um link em uma mensagem de email ou em uma mensagem do Instant Messenger que leve os usuários ao site do invasor ou abrindo um anexo enviado por email.

Em um cenário de ataque de compartilhamento de arquivo, um invasor poderia fornecer um arquivo de documento especialmente criado projetado para explorar esta vulnerabilidade e então convencer um usuário a abrir o arquivo do documento.

Quais são os principais sistemas que correm riscos com a vulnerabilidade? 
Estações de trabalho e servidores correm riscos com essa vulnerabilidade.

O que a atualização faz? 
A atualização aborda a vulnerabilidade corrigindo a maneira com a qual os arquivos TTF especialmente criados são tratados.

Quando esse boletim de segurança foi lançado, essa vulnerabilidade já tinha sido divulgada publicamente? 
Sim. Essa vulnerabilidade foi divulgada publicamente. Ela recebeu o número CVE-2011-3402 da lista Common Vulnerability and Exposure.

Quando este boletim de segurança foi lançado, a Microsoft tinha recebido algum relatório informando que essa vulnerabilidade estava sendo explorada? 
Embora esta vulnerabilidade tenha sido previamente explorada até ataques limitados e direcionados, os vetores de ataque explorados foram abordados no boletim MS11-087, Vulnerabilidade em drivers do modo kernel do Windows pode permitir a execução remota de código (2639417). A Microsoft não recebeu nenhuma informação indicando que os vetores de ataque abordados neste boletim tenham sido usados publicamente para atacar clientes quando este boletim de segurança foi lançado pela primeira vez.

A atenuação refere-se a uma configuração, configuração comum ou prática recomendada geral, existindo num estado padrão, que possa reduzir a gravidade de exploração de uma vulnerabilidade. Os fatores de atenuação a seguir podem ser úteis em sua situação:

• Em um cenário de ataque na navegação pela Web, o invasor pode hospedar um site que contenha uma página da Web usada para explorar esta vulnerabilidade. Além disso, sites comprometidos e sites que aceitem ou hospedem conteúdo fornecido pelo usuário ou anúncios podem conter conteúdo especialmente criado que pode explorar esta vulnerabilidade. Em todos os casos, entretanto, o invasor não tem como forçar os usuários a visitar esses sites. Em vez disso, o invasor teria que persuadir os usuários a visitar o site, geralmente fazendo com que eles cliquem em um link em um e-mail ou mensagem do Instant Messenger que leva o usuário ao site do invasor.
• Por padrão, todas as versões com suporte do Microsoft Outlook, Microsoft Outlook Express e Windows Mail abrem emails em HTML na zona de sites restritos, o que desabilita o download de fonte por padrão. Se um usuário clicar em um link em uma mensagem de email, ele ainda pode estar vulnerável à exploração dessa vulnerabilidade, por meio do cenário de ataque baseado na Web. A vulnerabilidade também poderá ser explorada se um usuário abrir um anexo que seja enviado em uma mensagem de email.

A solução alternativa refere-se a uma configuração ou alteração de configuração que não corrige a vulnerabilidade subjacente mas que ajudaria a bloquear vetores de ataque conhecidos antes de aplicar a atualização. A Microsoft testou as soluções alternativas e estados a seguir como parte do cenário que implica se uma solução alternativa reduziria funcionalidade:

• Negue acesso a T2EMBED.DLL

  Observação Antes de aplicar esta solução alternativa, os usuários devem aplicar as últimas atualizações de segurança da Microsoft. Se não tiver certeza de que seu computador está atualizado, visite o Microsoft Update, verifique se há atualizações disponíveis para o computador e instale as atualizações de alta prioridade oferecidas.

  Observação para esta solução alternativa, comandos do Windows XP e do Windows Server 2003 podem funcionar apenas em versões em inglês destes sistemas operacionais.

  Observação Esta solução alternativa somente atenua os cenários de ataque de arquivo compartilhando e baseados na Web referentes aos Drivers de modo kernel do Windows. O cenário de ataque de Drivers de modo kernel local e todos os outros cenários de ataque que aproveitam código em outros componentes afetados do Windows, do Microsoft Office e do Microsoft Silverlight não serão atenuados por esta solução alternativa.

  Observação Consulte o Artigo 2639417 (em inglês) da Microsoft Knowledge Base para usar a solução automatizada Microsoft Fix It para habilitar ou desabilitar esta solução alternativa para negar acesso a t2embed.dll.

  No Windows XP e no Windows Server 2003:

  • Para sistemas de 32 bits, insira o seguinte comando em um prompt de comando administrativo:Echo y| cacls "%windir%\system32\t2embed.dll" /E /P everyone:N
  • Para sistemas de 64 bits, insira os seguintes comandos em um prompt de comando administrativo:Echo y| cacls "%windir%\system32\t2embed.dll" /E /P everyone:NEcho y| cacls "%windir%\syswow64\t2embed.dll" /E /P everyone:N

  No Windows Vista, Windows 7, Windows Server 2008 e Windows Server 2008 R2:

  • Para sistemas de 32 bits, insira os seguintes comandos em um prompt de comando administrativo:Takeown.exe /f "%windir%\system32\t2embed.dll"Icacls.exe "%windir%\system32\t2embed.dll" /deny *S-1-1-0:(F)
  • Para sistemas de 64 bits, insira os seguintes comandos em um prompt de comando administrativo:Takeown.exe /f "%windir%\system32\t2embed.dll"Icacls.exe "%windir%\system32\t2embed.dll" /deny *S-1-1-0:(F)Takeown.exe /f "%windir%\syswow64\t2embed.dll"Icacls.exe "%windir%\syswow64\t2embed.dll" /deny *S-1-1-0:(F)

  Impacto da solução alternativa.

  • Os aplicativos que dependem da tecnologia de fonte incorporada não serão exibidos corretamente.
  • Depois de aplicar essa solução alternativa, os usuários do Windows XP e Windows Server 2003 poderão receber novamente a oferta das atualizações de segurança KB982132 e KB972270. Ocorrerá falha na instalação destas atualizações oferecidas novamente. A nova oferta é um problema de lógica de detecção, e os usuários que tiverem aplicado as atualizações de segurança KB982132 e KB972270 com êxito anteriormente poderão ignorar a nova oferta.
  • Os aplicativos com funcionalidade que conta com T2EMBED.DLL, como gerar arquivos PDF, poderão não funcionar conforme esperado. Por exemplo, o software Microsoft Office não conseguirá gerar arquivos PDF.
  • O software Microsoft Office 2003 com o Pacote de Compatibilidade do Microsoft Office pode não conseguir abrir os arquivos do PowerPoint 2007 (.pptx); em vez disso, gerando a mensagem, "Este arquivo foi criado por uma versão mais nova do Microsoft PowerPoint. Você deseja baixar um pacote de compatibilidade para que possa trabalhar com este arquivo?", mesmo que o Pacote de Compatibilidade do Microsoft Office já esteja instalado.

  Como desfazer a solução alternativa.

  No Windows XP e no Windows Server 2003:

  • Para sistemas de 32 bits, insira o seguinte comando em um prompt de comando administrativo:cacls "%windir%\system32\t2embed.dll" /E /R everyone
  • Para sistemas de 64 bits, insira os seguintes comandos em um prompt de comando administrativo:cacls "%windir%\system32\t2embed.dll" /E /R everyonecacls "%windir%\syswow64\t2embed.dll" /E /R everyone

  No Windows Vista, Windows 7, Windows Server 2008 e Windows Server 2008 R2:

  • Para sistemas de 32 bits, insira o seguinte comando em um prompt de comando administrativo:Icacls.exe "%windir%\system32\t2embed.DLL" /remove:d *S-1-1-0
  • Para sistemas de 64 bits, insira os seguintes comandos em um prompt de comando administrativo:Icacls.exe "%windir%\system32\t2embed.DLL" /remove:d *S-1-1-0Icacls.exe "%windir%\syswow64\t2embed.DLL" /remove:d *S-1-1-0

Qual é o escopo da vulnerabilidade? 
Essa é uma vulnerabilidade de execução remota de código.

O que provoca a vulnerabilidade? 
A vulnerabilidade é causada pelo tratamento incorreto de arquivos TTF especialmente criados.

Para que um invasor pode usar a vulnerabilidade? 
O invasor que explorar com êxito esta vulnerabilidade pelos Drivers do modo kernel do Windows pode causar a execução de código arbitrário e assumir o controle total do sistema afetado. O invasor poderá instalar programas; exibir, alterar ou excluir dados; ou criar novas contas com direitos totais de administração.

O invasor que explorar com êxito a vulnerabilidade pelo Microsoft Silverlight, Microsoft Office ou outros componentes afetados do Windows poderá ganhar os mesmos direitos de usuário que o usuário em questão. Se um usuário estiver conectado com direitos administrativos, o invasor poderá assumir o controle total do sistema afetado. O invasor poderá instalar programas; exibir, alterar ou excluir dados; ou criar novas contas com direitos totais de usuário. Os usuários cujas contas são configuradas com poucos direitos de usuário no sistema correm menos riscos do que aqueles que possuem direitos administrativos.

De que forma o invasor pode explorar a vulnerabilidade? 
Existem vários meios que poderiam permitir que um invasor explorasse esta vulnerabilidade.

Em um cenário de ataque com base na Web, o invasor poderia hospedar um site especialmente criado projetado para explorar esta vulnerabilidade e, então, convencer um usuário a exibir o site. Um invasor não teria como forçar os usuários a exibir o conteúdo controlado pelo invasor. Em vez disso, o invasor precisa convencer os usuários a executar uma ação, normalmente clicando em um link em uma mensagem de email ou em uma mensagem do Instant Messenger que leve os usuários ao site do invasor ou abrindo um anexo enviado por email.

Em um cenário de ataque de compartilhamento de arquivo, um invasor poderia fornecer um arquivo de documento especialmente criado projetado para explorar esta vulnerabilidade e então convencer um usuário a abrir o arquivo do documento.

Em um cenário de ataque local, um invasor também poderia explorar esta vulnerabilidade executando um aplicativo especialmente criado para tomar o controle completo sobre o sistema afetado. No entanto, o invasor deve ter credenciais válidas de logon e conseguir efetuar logon localmente para explorar esta vulnerabilidade nesse cenário.

Quais são os principais sistemas que correm riscos com a vulnerabilidade? 
Estações de trabalho e servidores correm riscos com essa vulnerabilidade.

O que a atualização faz? 
A atualização aborda a vulnerabilidade corrigindo a maneira com a qual os arquivos TTF especialmente criados são tratados.

Quando esse boletim de segurança foi lançado, essa vulnerabilidade já tinha sido divulgada publicamente? 
Não. A Microsoft recebeu informações sobre esta vulnerabilidade por meio da divulgação coordenada de vulnerabilidades.

Quando este boletim de segurança foi lançado, a Microsoft tinha recebido algum relatório informando que essa vulnerabilidade estava sendo explorada? 
Não. A Microsoft não recebeu nenhuma informação indicando que essa vulnerabilidade tinha sido usada publicamente para atacar clientes quando este boletim de segurança foi lançado pela primeira vez.

A atenuação refere-se a uma configuração, configuração comum ou prática recomendada geral, existindo num estado padrão, que possa reduzir a gravidade de exploração de uma vulnerabilidade. Os fatores de atenuação a seguir podem ser úteis em sua situação:

• Em um cenário de ataque na navegação pela Web, o invasor pode hospedar um site que contenha uma página da Web usada para explorar esta vulnerabilidade. Além disso, sites comprometidos e sites que aceitem ou hospedem conteúdo fornecido pelo usuário ou anúncios podem conter conteúdo especialmente criado que pode explorar esta vulnerabilidade. Em todos os casos, entretanto, o invasor não tem como forçar os usuários a visitar esses sites. Em vez disso, o invasor teria que persuadir os usuários a visitar o site, geralmente fazendo com que eles cliquem em um link em um e-mail ou mensagem do Instant Messenger que leva o usuário ao site do invasor.
• Por padrão, o Internet Explorer no Windows Server 2003, Windows Server 2008 e no Windows Server 2008 R2 é executado em um modo restrito, conhecido como Configuração de Segurança Reforçada. Esse modo atenua esta vulnerabilidade somente no Windows Server 2008 e no Windows Server 2008 R2, e somente em um cenário de ataque baseado na Web. Consulte a seção Perguntas frequentes referente a essa vulnerabilidade para obter mais informações sobre a Configuração de Segurança Reforçada do Internet Explorer.
• Em sistemas nos quais o MS11-044 foi aplicado, os usuários serão notificados antes de os aplicativos XBAP serem executados quando na zona da Internet do Internet Explorer. O usuário deve clicar neste prompt para executar o aplicativo XBAP em seu sistema.

A solução alternativa refere-se a uma configuração ou alteração de configuração que não corrige a vulnerabilidade subjacente mas que ajudaria a bloquear vetores de ataque conhecidos antes de aplicar a atualização. A Microsoft testou as soluções alternativas e estados a seguir como parte do cenário que implica se uma solução alternativa reduziria funcionalidade:

• Desabilitar aplicativos de navegador XAML no Internet Explorer

  Para ajudar a se proteger contra essa vulnerabilidade, altere as configurações para que seja solicitada uma confirmação antes da execução de aplicativos de navegador XAML ou desabilite os XBAPs na zona de segurança da Internet e da intranet local.

  1. No Internet Explorer, clique no menu Ferramentas e selecione Opções de Internet.
  2. Clique na guia Segurança, clique em Internet e, em seguida, clique em Nível Padrão. Em Configurações, para XAML flexível, clique em Solicitar ou em Desabilitar e, em seguida, clique em OK.
  3. Clique na guia Segurança, clique em Internet e, em seguida, clique em Nível Padrão. Em Configurações, para Aplicativos de navegador XAML, clique em Solicitar ou Desabilitar e, em seguida, clique em OK.
  4. Clique na guia Segurança, clique em Internet e, em seguida, clique em Nível Padrão. Em Configurações, para Documentos XPS, clique em Solicitar ou Desabilitar e, em seguida, clique em OK.
  5. Na guia Segurança, clique em Nível personalizado. Em Componentes dependentes do .NET Framework, defina Executar componentes não assinados com Authenticode como Solicitar ou Desabilitar e clique em OK. Repita esta etapa para Executar componentes assinados com Authenticode e, em seguida, clique em OK.
  6. Clique em Intranet local e, em seguida, clique em Nível Personalizado. Repita as etapas 3 e 4. Se for solicitado que você confirme se deseja alterar essas configurações, clique em Sim. Clique em OK para retornar para o Internet Explorer.

  Impacto da solução alternativa. O código do Microsoft .NET não será executado no Internet Explorer ou não será executado sem uma confirmação. A desabilitação dos aplicativos e componentes do Microsoft .NET nas zonas de segurança da Internet e da intranet local pode fazer com que alguns sites não funcionem corretamente. Se você encontrar dificuldades ao usar um site após alterar a configuração, mas tiver certeza de que o site é seguro, é possível adicionar esse site à lista de sites confiáveis. Isso permitirá que o site funcione adequadamente.

  Adicione sites confiáveis à zona Sites confiáveis do Internet Explorer

  Depois de definir o Internet Explorer para solicitar confirmação antes de executar controles ActiveX e scripts ativos na zona da Internet e da Intranet local, você pode adicionar sites confiáveis à zona de Sites confiáveis do Internet Explorer. Isso permitirá que você continue usando os sites confiáveis exatamente como faz atualmente, enquanto ajuda a proteger-se de ataques em sites não confiáveis. É recomendável adicionar somente sites nos quais você confia à zona de Sites confiáveis.

  Para isso, execute as seguintes etapas:

  1. No Internet Explorer, clique em Ferramentas, clique em Opções da Internet e, em seguida, clique na guia Segurança.
  2. Na caixa Selecione uma zona de conteúdo da Web para especificar suas configurações de segurança, clique em Sites Confiáveis e, em seguida, clique em Sites.
  3. Se desejar adicionar sites que não requeiram um canal criptografado, clique para desmarcar a caixa de diálogo Exigir verificação do servidor (https:) para todos os sites desta zona.
  4. Na caixa Adicionar este site à zona, digite o URL de um site em que confia e, em seguida, clique em Adicionar.
  5. Repita essas etapas para cada site que você deseja adicionar à zona.
  6. Clique em OK duas vezes para aceitar as alterações e retornar ao Internet Explorer.

  Observação Adicione os sites que você tem certeza de que não realizarão ações mal-intencionadas em seu sistema. Dois em particular que você pode desejar adicionar são *.windowsupdate.microsoft.com e *.update.microsoft.com. Estes são os sites que hospedam a atualização, e é preciso ter um controle ActiveX para instalar a atualização.

  Como desfazer a solução alternativa. Execute as seguintes etapas:

  1. No Internet Explorer, clique no menu Ferramentas e selecione Opções de Internet.
  2. Clique na guia Segurança, clique em Restaurar o nível padrão de todas as zonas e, em seguida, clique em OK.

Qual é o escopo da vulnerabilidade? 
Essa é uma vulnerabilidade de execução remota de código. O invasor que explorar com êxito essa vulnerabilidade poderá assumir o controle total de um sistema afetado. O invasor poderá instalar programas; exibir, alterar ou excluir dados; ou criar novas contas com direitos totais de usuário.

O que provoca a vulnerabilidade? 
A vulnerabilidade é causada quando o Microsoft .NET Framework aloca indevidamente um buffer na memória.

Para que um invasor pode usar a vulnerabilidade? 
No cenário de navegação na Web, um invasor que explorar com êxito esta vulnerabilidade poderá obter as mesmas permissões que o usuário conectado. Se um usuário estiver conectado com direitos administrativos, o invasor poderá assumir o controle total do sistema afetado. O invasor poderá instalar programas; exibir, alterar ou excluir dados; ou criar novas contas com direitos totais de usuário. Os usuários cujas contas são configuradas com poucos direitos de usuário no sistema correm menos riscos do que aqueles que possuem direitos administrativos.

De que forma o invasor pode explorar a vulnerabilidade? 
Há dois cenários de ataque possíveis para a exploração desta vulnerabilidade: um cenário de navegação pela Web e uma anulação de aplicativo Windows .NET das restrições CAS (Code Access Security). Esses cenários são descritos como segue:

• Cenário de ataque por navegação pela Web

• O invasor pode hospedar um site especialmente criado que contenha um XBAP (aplicativo de navegador XAML) especialmente projetado para explorar esta vulnerabilidade e, então, convencer um usuário a exibir o site. O invasor também pode tirar proveito dos sites comprometidos e de sites que aceitam ou hospedam o conteúdo fornecido pelo usuário ou anúncios. Esses sites podem ter conteúdo especialmente criado para explorar essa vulnerabilidade. Em todos os casos, entretanto, o invasor não tem como forçar os usuários a visitar esses sites. Em vez disso, um invasor tem que convencer os usuários a visitar o site, geralmente fazendo com que eles cliquem em um link em um email ou por um pedido pelo Instant Messenger que leva o usuário ao site do invasor. Também é possível exibir conteúdo da Web próprio para a finalidade usando anúncios de banner ou outros métodos para implantar conteúdo da Web nos sistemas afetados.
• Cenário de ataque por aplicativos .NET do Windows

• Esta vulnerabilidade também pode ser usada pelos aplicativos Windows .NET para anular as restrições do CAS (Code Access Security).

O que é um XBAP (XAML Browser Application)? 
Um aplicativo de navegador XAML (XBAP) combina recursos tanto de um aplicativo da Web como de um aplicativo de cliente avançado. Como os aplicativos da Web, os XBAPs podem ser publicados em um servidor Web e iniciados no Internet Explorer. Como os aplicativos de cliente avançado, os XBAPs aproveitam os recursos do Windows Presentation Foundation (WPF). Para obter mais informações sobre XBAPs, consulte o artigo do MSDN, Visão geral de aplicativos de navegador XAML do Windows Presentation Foundation.

O que são as retrições CAS (Segurança de Acesso do Código) do .NET Framework? 
O .NET Framework fornece um mecanismo de segurança chamado segurança de acesso do código para ajudar a proteger os sistemas de computador de código móvel mal-intencionado, para permitir que códigos de origens desconhecidas sejam executados com proteção e para ajudar a impedir que código confiável comprometa a segurança intencional ou acidentalmente. A segurança de acesso do código (CAS) permite que o código seja confiável em vários graus, dependendo de onde o código se originou e de outros aspectos da identidade do código. A segurança de acesso do código também força que os diversos níveis de confiança no código, o que minimiza a quantidade de código que deve ser totalmente confiável para a execução. Usar a segurança de acesso do código pode reduzir a probabilidade de que seu código será usado inadequadamente por um código cheio de erros ou mal-intencionado. Para obter mais informações sobre CAS, consulte o artigo do MSDN, Code Access Security.

Quais são os principais sistemas que correm riscos com a vulnerabilidade? 
Existem dois tipos de sistemas que correm risco com esta vulnerabilidade: sistemas que usam o cenário de navegação na Web e sistemas que usam o cenário de aplicativos do Windows .NET.

• Cenário de navegação pela Web

• A exploração bem-sucedida desta vulnerabilidade requer que um usuário tenha feito logon e esteja visitando sites usando um navegador da Web capaz de instanciar XBAPs. Portanto, quaisquer sistemas nos quais um navegador da Web seja usado com frequência, como estações de trabalho ou servidores de terminal, estão mais expostos a essa vulnerabilidade. Os servidores correm mais riscos se os administradores permitirem que os usuários procurem e leiam emails nos servidores. Entretanto, as práticas recomendadas não recomendam esse procedimento.
• Aplicativos Windows .NET

• As estações de trabalho e o servidor que executam aplicativos Windows .NET não confiáveis são os que mais correm risco com esta vulnerabilidade.

Estou executando o Internet Explorer para Windows Server 2003, Windows Server 2008 ou Windows Server 2008 R2. Isto atenua esta vulnerabilidade? 
Sim. Por padrão, o Internet Explorer no Windows Server 2003, Windows Server 2008 e no Windows Server 2008 R2 é executado em um modo restrito, conhecido como Configuração de Segurança Reforçada. A Configuração de Segurança Reforçada é um grupo de configurações predefinidas do Internet Explorer que reduz a probabilidade de um usuário ou administrador baixar e executar um conteúdo da Web especialmente criado em um servidor. Este é um fator atenuante para sites que não tenham sido adicionados à zona Sites confiáveis do Internet Explorer.

O que a atualização faz? 
A atualização elimina a vulnerabilidade, corrigindo a maneira como o Microsoft .NET Framework aloca espaço de buffer na memória.

Quando esse boletim de segurança foi lançado, essa vulnerabilidade já tinha sido divulgada publicamente? 
Não. A Microsoft recebeu informações sobre esta vulnerabilidade por meio da divulgação coordenada de vulnerabilidades.

Quando este boletim de segurança foi lançado, a Microsoft tinha recebido algum relatório informando que essa vulnerabilidade estava sendo explorada? 
Não. A Microsoft não recebeu nenhuma informação indicando que essa vulnerabilidade tinha sido usada publicamente para atacar clientes quando este boletim de segurança foi lançado pela primeira vez.

A Microsoft não identificou nenhum fator atenuante para essa vulnerabilidade.

A Microsoft não identificou nenhuma solução alternativa para esta vulnerabilidade.

Qual é o escopo da vulnerabilidade? 
Essa é uma vulnerabilidade de negação de serviço (site em inglês). O invasor que explorar essa vulnerabilidade poderá fazer o aplicativo afetado parar de responder e exigir que ele seja reiniciado manualmente. Observe que essa vulnerabilidade de negação de serviço não permite que o invasor execute códigos nem eleve seus direitos de usuário de forma alguma.

O que provoca a vulnerabilidade? 
A vulnerabilidade é causada quando o .NET Framework compara impropriamente o valor de um índice dentro de um aplicativo WPF.

O que é o Windows Presentation Foundation (WPF)? 
O Windows Presentation Foundation (WPF) é um sistema de apresentação de última geração para construir aplicativos clientes do Windows com experiências ricas de usuário. Com o WPF, você pode criar um vasto leque de aplicativos autônomos e hospedados no navegador. Para obter mais informações sobre o WPF, consulte o artigo do MSDN (em inglês) Introduction to WPF.

Para que um invasor pode usar a vulnerabilidade? 
O invasor que explorar esta vulnerabilidade com êxito poderá fazer com que os aplicativos criados com o uso de APIs do WPF parem de responder até serem reiniciados manualmente.

De que forma o invasor pode explorar a vulnerabilidade? 
Um invasor não autenticado pode enviar um número pequeno de solicitações especialmente criadas para um site afetado, causando uma condição de negação de serviço.

Quais são os principais sistemas que correm riscos com a vulnerabilidade? 
Estações de trabalho e servidores que executam APIs do WPF são as principais vítimas dessa vulnerabilidade.

O que a atualização faz? 
A atualização aborda a vulnerabilidade corrigindo a maneira com que o .NET Framework compara valores de índice dentro de um aplicativo WPF.

Quando esse boletim de segurança foi lançado, essa vulnerabilidade já tinha sido divulgada publicamente? 
Sim. Essa vulnerabilidade foi divulgada publicamente. Ela recebeu o número CVE-2012-0164 da lista Common Vulnerability and Exposure.

Quando este boletim de segurança foi lançado, a Microsoft tinha recebido algum relatório informando que essa vulnerabilidade estava sendo explorada? 
Não. A Microsoft não recebeu nenhuma informação indicando que essa vulnerabilidade tinha sido usada publicamente para atacar clientes quando este boletim de segurança foi lançado pela primeira vez.

A atenuação refere-se a uma configuração, configuração comum ou prática recomendada geral, existindo num estado padrão, que possa reduzir a gravidade de exploração de uma vulnerabilidade. Os fatores de atenuação a seguir podem ser úteis em sua situação:

• Em um cenário de ataque na navegação pela Web, o invasor pode hospedar um site que contenha uma página da Web usada para explorar esta vulnerabilidade. Além disso, sites comprometidos e sites que aceitem ou hospedem conteúdo fornecido pelo usuário ou anúncios podem conter conteúdo especialmente criado que pode explorar esta vulnerabilidade. Em todos os casos, entretanto, o invasor não tem como forçar os usuários a visitar esses sites. Em vez disso, o invasor teria que persuadir os usuários a visitar o site, geralmente fazendo com que eles cliquem em um link em um e-mail ou mensagem do Instant Messenger que leva o usuário ao site do invasor.
• O invasor que explorar com êxito a vulnerabilidade poderá obter os mesmos direitos que o usuário local. Os usuários cujas contas são configuradas com poucos direitos de usuário no sistema correm menos riscos do que aqueles que possuem direitos administrativos.

A solução alternativa refere-se a uma configuração ou alteração de configuração que não corrige a vulnerabilidade subjacente mas que ajudaria a bloquear vetores de ataque conhecidos antes de aplicar a atualização. A Microsoft testou as soluções alternativas e estados a seguir como parte do cenário que implica se uma solução alternativa reduziria funcionalidade:

• Desabilitar o processamento de metarquivos

  Os clientes que aplicaram o MS07-017 ou os clientes que usam o Windows Vista ou o Windows Server 2008 podem desabilitar o processamento de metarquivos modificando o Registro. Esta configuração ajudará a proteger o sistema afetado contra tentativas de exploração desta vulnerabilidade.

  Para modificar a chave, execute as seguintes etapas:

  Observação O uso incorreto do Editor do Registro pode causar problemas sérios que podem exigir a reinstalação do sistema operacional. A Microsoft não garante que os problemas resultantes do uso incorreto do Editor do Registro possam ser solucionados. Você é responsável pelo uso do Editor do Registro. Para obter informações sobre como editar o Registro, consulte o tópico da Ajuda "Changing Keys and Values" (Alterar chaves e valores) do Editor do Registro (Regedit.exe) ou exiba os tópicos da Ajuda "Add and Delete Information in the Registry" (Adicionar e excluir informações no Registro) e "Edit Registry Data" (Editar dados do Registro) no Regedt32.exe.

  1. Clique em Iniciar, Executar, digite Regedit e clique em OK.
  2. Localize e clique na seguinte subchave do Registro:
     HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\GRE_Initialize
  3. No menu Editar, selecione Novo e, em seguida, clique em DWORD.
  4. Digite DisableMetaFiles e pressione ENTER.
  5. No menu Editar, clique em Modificar para modificar a entrada do Registro DisableMetaFiles.
  6. Na caixa de dados Valor, digite 1 e clique emOK.
  7. Saia do Editor do Registro.
  8. Reinicie o computador.

  Para desabilitar o processamento de metarquivos usando um script de implementação gerenciado, execute as seguintes etapas:

  1. Salve o seguinte em um arquivo com extensão .REG (por exemplo: Disable_MetFiles.reg):
     Windows Registry Editor Versão 5.00
     [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\GRE_Initialize]
     "DisableMetaFiles"=dword:00000001
  2. Execute o script de Registro acima na máquina de destino com o comando a seguir de um prompt de comando de administrador:
     Regedit.exe /s Disable_MetaFiles.reg
  3. Reinicie o computador.

  Impacto da solução alternativa. Desativar o processamento de metarquivos pode fazer com que o desempenho de componentes de software ou do sistema pareça reduzida em funcionalidade. Desligar o processamento de metarquivos também pode fazer com que componentes de software ou do sistema falhem completamente. Avalie a aplicabilidade dessa solução alternativa. Exemplos de resultados adversos incluem:

  • Você não poderá imprimir no computador.
  • Alguns aplicativos no computador não poderão exibir Clipart.
  • Alguns aplicativos que envolvem a renderização de OLE podem falhar, especialmente quando o servidor de objetos não está ativo.

  Para obter mais informações sobre essa configuração, consulte o Artigo 941835 (em inglês) da Microsoft Knowledge Base.

  Como desfazer a solução alternativa. Execute as seguintes etapas:

  1. Clique em Iniciar, Executar, digite Regedit e clique em OK.
  2. Localize e clique na seguinte subchave do Registro:
     HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\GRE_Initialize
  3. No menu Editar, clique em Modificar na entrada do Registro DisableMetaFiles.
  4. Na caixa de dados de Valor, digite 0 e clique em OK.
  5. Saia do Editor do Registro.
  6. Reinicie o computador.

Qual é o escopo da vulnerabilidade? 
Essa é uma vulnerabilidade de execução remota de código. O invasor que explorar com êxito essa vulnerabilidade poderá assumir o controle total de um sistema afetado. O invasor poderá instalar programas; exibir, alterar ou excluir dados; ou criar novas contas com direitos totais de usuário. Os usuários cujas contas são configuradas com poucos direitos de usuário no sistema correm menos riscos do que aqueles que possuem direitos administrativos.

O que provoca a vulnerabilidade? 
A vulnerabilidade é causada pelo tratamento incorreto do GDI+ na validação de imagens EMF especialmente criadas.

O que é GDI+? 
GDI+ é uma interface de dispositivo gráfico que oferece elementos gráficos vetoriais bidimensionais, imagens e tipografia aos aplicativos e programadores.

O que é o formato de imagem Enhanced Metafile (EMF)? 
EMF é um formato de 32 bits que contém tanto informações de vetores quanto de bitmap. Esse formato é um aprimoramento sobre o formato metarquivo do Windows (WMF) e contém recursos estendidos.

Para obter mais informações sobre tipos de imagens e formatos, consulte o Artigo 320314 (em inglês) da Microsoft Knowledge Base. Para informações adicionais sobre formatos de arquivos gráficos, consulte artigo do MSDN (em inglês), Metafiles.

Para que um invasor pode usar a vulnerabilidade? 
O invasor que explorar com êxito essa vulnerabilidade poderá obter os mesmos direitos que o usuário atual. Se um usuário estiver conectado com direitos administrativos, o invasor poderá assumir o controle total do sistema afetado. O invasor poderá instalar programas; exibir, alterar ou excluir dados; ou criar novas contas com direitos totais de usuário. Os usuários cujas contas são configuradas com poucos direitos de usuário no sistema correm menos riscos do que aqueles que possuem direitos administrativos.

De que forma o invasor pode explorar a vulnerabilidade? 
O invasor pode hospedar um site especialmente projetado para explorar esta vulnerabilidade através do Internet Explorer e, então, convencer um usuário a exibir o site. Isso também inclui sites comprometidos e sites que aceitam ou hospedam anúncios ou conteúdo fornecido pelo usuário. Esses sites podem ter conteúdo especialmente criado para explorar essa vulnerabilidade. Em todos os casos, entretanto, o invasor não tem como forçar os usuários a visitar esses sites. Em vez disso, um invasor tem que convencer os usuários a visitar o site, geralmente fazendo com que eles cliquem em um link em um email ou por um pedido pelo Instant Messenger que leva o usuário ao site do invasor. Também é possível exibir conteúdo da Web próprio para a finalidade usando anúncios de banner ou outros métodos para implantar conteúdo da Web nos sistemas afetados.

Em um cenário de ataque por email, o invasor pode explorar a vulnerabilidade, enviando para os usuários do Outlook um email especialmente criado ou enviando um documento do Office especialmente criado e convencendo-o a abrir o arquivo ou a ler a mensagem.

Os invasores também podem explorar esta vulnerabilidade, hospedando uma imagem mal-intencionada em um compartilhamento de rede e convencendo um usuário a ir para a pasta no Windows Explorer.

Quais são os principais sistemas que correm riscos com a vulnerabilidade? 
Essa vulnerabilidade requer que o usuário esteja conectado e lendo emails, visitando sites ou abrindo arquivos de um compartilhamento de rede para que as ações mal-intencionadas ocorram. Portanto, qualquer sistema em que mensagens de email sejam lidas, em que o Internet Explorer seja usado com frequência ou em que os usuários tenham acesso a compartilhamentos de rede, como estações de trabalho ou servidores de terminal, corre mais riscos com essa vulnerabilidade. Os sistemas que não são usados normalmente para visitar sites, como a maioria dos sistemas de servidor, correm menos riscos.

O que a atualização faz? 
A atualização aborda a vulnerabilidade corrigindo a maneira com a qual o GDI+ valida tipos de registros EMF especialmente criados.

Quando esse boletim de segurança foi lançado, essa vulnerabilidade já tinha sido divulgada publicamente? 
Não. A Microsoft recebeu informações sobre esta vulnerabilidade por meio da divulgação coordenada de vulnerabilidades.

Quando este boletim de segurança foi lançado, a Microsoft tinha recebido algum relatório informando que essa vulnerabilidade estava sendo explorada? 
Não. A Microsoft não recebeu nenhuma informação indicando que essa vulnerabilidade tinha sido usada publicamente para atacar clientes quando este boletim de segurança foi lançado pela primeira vez.

A atenuação refere-se a uma configuração, configuração comum ou prática recomendada geral, existindo num estado padrão, que possa reduzir a gravidade de exploração de uma vulnerabilidade. Os fatores de atenuação a seguir podem ser úteis em sua situação:

• Em um cenário de ataque na navegação pela Web, o invasor pode hospedar um site que contenha uma página da Web usada para explorar esta vulnerabilidade. Além disso, sites comprometidos e sites que aceitem ou hospedem conteúdo fornecido pelo usuário ou anúncios podem conter conteúdo especialmente criado que pode explorar esta vulnerabilidade. Em todos os casos, entretanto, o invasor não tem como forçar os usuários a visitar esses sites. Em vez disso, o invasor teria que persuadir os usuários a visitar o site, geralmente fazendo com que eles cliquem em um link em um e-mail ou mensagem do Instant Messenger que leva o usuário ao site do invasor.
• O invasor que explorar com êxito a vulnerabilidade poderá obter os mesmos direitos que o usuário local. Os usuários cujas contas são configuradas com poucos direitos de usuário no sistema correm menos riscos do que aqueles que possuem direitos administrativos.

A solução alternativa refere-se a uma configuração ou alteração de configuração que não corrige a vulnerabilidade subjacente mas que ajudaria a bloquear vetores de ataque conhecidos antes de aplicar a atualização. A Microsoft testou as soluções alternativas e estados a seguir como parte do cenário que implica se uma solução alternativa reduziria funcionalidade:

• Desabilitar o processamento de metarquivos

  Os clientes que aplicaram o MS07-017 ou os clientes que usam o Windows Vista ou o Windows Server 2008 podem desabilitar o processamento de metarquivos modificando o Registro. Esta configuração ajudará a proteger o sistema afetado contra tentativas de exploração desta vulnerabilidade.

  Para modificar a chave, execute as seguintes etapas:

  Observação O uso incorreto do Editor do Registro pode causar problemas sérios que podem exigir a reinstalação do sistema operacional. A Microsoft não garante que os problemas resultantes do uso incorreto do Editor do Registro possam ser solucionados. Você é responsável pelo uso do Editor do Registro. Para obter informações sobre como editar o Registro, consulte o tópico da Ajuda "Alterar chaves e valores" do Editor do Registro (Regedit.exe) ou exiba os tópicos da Ajuda "Adicionar e excluir informações no Registro" e "Editar informações do Registro" no Regedt32.exe.

  1. Clique em Iniciar, Executar, digite Regedit e clique em OK.
  2. Localize e clique na seguinte subchave do Registro:
     HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\GRE_Initialize
  3. No menu Editar, selecione Novo e, em seguida, clique em DWORD.
  4. Digite DisableMetaFiles e pressione ENTER.
  5. No menu Editar, clique em Modificar para modificar a entrada do Registro DisableMetaFiles.
  6. Na caixa de dados Valor, digite 1 e clique emOK.
  7. Saia do Editor do Registro.
  8. Reinicie o computador.

  Para desabilitar o processamento de metarquivos usando um script de implementação gerenciado, execute as seguintes etapas:

  1. Salve o seguinte em um arquivo com extensão .REG (por exemplo: Disable_MetFiles.reg):
     Windows Registry Editor Versão 5.00
     [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\GRE_Initialize]
     "DisableMetaFiles"=dword:00000001
  2. Execute o script de Registro acima na máquina de destino com o comando a seguir de um prompt de comando de administrador:
     Regedit.exe /s Disable_MetaFiles.reg
  3. Reinicie o computador.

  Impacto da solução alternativa. Desativar o processamento de metarquivos pode fazer com que o desempenho de componentes de software ou do sistema pareça reduzida em funcionalidade. Desligar o processamento de metarquivos também pode fazer com que componentes de software ou do sistema falhem completamente. Avalie a aplicabilidade dessa solução alternativa. Exemplos de resultados adversos incluem:

  • Você não poderá imprimir no computador.
  • Alguns aplicativos no computador não poderão exibir Clipart.
  • Alguns aplicativos que envolvem a renderização de OLE podem falhar, especialmente quando o servidor de objetos não está ativo.

  Para obter mais informações sobre essa configuração, consulte o Artigo 941835 (em inglês) da Microsoft Knowledge Base.

  Como desfazer a solução alternativa. Execute as seguintes etapas:

  1. Clique em Iniciar, Executar, digite Regedit e clique em OK.
  2. Localize e clique na seguinte subchave do Registro:
     HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\GRE_Initialize
  3. No menu Editar, clique em Modificar na entrada do Registro DisableMetaFiles.
  4. Na caixa de dados de Valor, digite 0 e clique em OK.
  5. Saia do Editor do Registro.
  6. Reinicie o computador.

Qual é o escopo da vulnerabilidade? 
Essa é uma vulnerabilidade de execução remota de código. O invasor que explorar com êxito essa vulnerabilidade poderá assumir o controle total de um sistema afetado. O invasor poderá instalar programas; exibir, alterar ou excluir dados; ou criar novas contas com direitos totais de usuário. Os usuários cujas contas são configuradas com poucos direitos de usuário no sistema correm menos riscos do que aqueles que possuem direitos administrativos.

O que provoca a vulnerabilidade? 
A vulnerabilidade é causada pelo tratamento incorreto do GDI+ na validação de imagens EMF especialmente criadas dentro de um arquivo do Microsoft Office.

O que é GDI+? 
GDI+ é uma interface de dispositivo gráfico que oferece elementos gráficos vetoriais bidimensionais, imagens e tipografia aos aplicativos e programadores.

O que é o formato de imagem Enhanced Metafile (EMF)? 
EMF é um formato de 32 bits que contém tanto informações de vetores quanto de bitmap. Esse formato é um aprimoramento sobre o formato metarquivo do Windows (WMF) e contém recursos estendidos.

Para obter mais informações sobre tipos de imagens e formatos, consulte o Artigo 320314 (em inglês) da Microsoft Knowledge Base. Para informações adicionais sobre formatos de arquivos gráficos, consulte artigo do MSDN (em inglês), Metafiles.

Para que um invasor pode usar a vulnerabilidade? 
O invasor que explorar com êxito essa vulnerabilidade poderá obter os mesmos direitos que o usuário atual. Se um usuário estiver conectado com direitos administrativos, o invasor poderá assumir o controle total do sistema afetado. O invasor poderá instalar programas; exibir, alterar ou excluir dados; ou criar novas contas com direitos totais de usuário. Os usuários cujas contas são configuradas com poucos direitos de usuário no sistema correm menos riscos do que aqueles que possuem direitos administrativos.

De que forma o invasor pode explorar a vulnerabilidade? 
Essa vulnerabilidade requer que um usuário abra um documento especialmente criado do Office com uma versão afetada do Microsoft Office.

Em um cenário de ataque por email, um invasor pode explorar a vulnerabilidade, enviando para o usuário um arquivo do Office especialmente criado e convencendo-o a abrir o arquivo.

Em um cenário de ataque pela Web, o invasor precisará hospedar um site que contenha um arquivo do Office especialmente criado usado para tentar explorar esta vulnerabilidade. Além disso, sites comprometidos e sites que aceitem ou hospedem conteúdo fornecido pelo usuário podem conter conteúdo especialmente desenvolvido que pode explorar esta vulnerabilidade. Não há como o invasor forçar os usuários a visitarem esses sites. Em vez disso, o invasor terá de persuadir os usuários a visitar o site, geralmente fazendo com que eles cliquem em um link que os leve ao site do invasor, e então convencê-los a abrir um arquivo do Office especialmente criado.

Quais são os principais sistemas que correm riscos com a vulnerabilidade? 
Os sistemas nos quais o Microsoft Office é usado, incluindo estações de trabalhos e servidores de terminal, são os que correm mais risco. Os servidores correm mais riscos se os administradores permitirem que os usuários façam logon em servidores e executem programas. Entretanto, as práticas recomendadas não recomendam esse procedimento.

O que a atualização faz? 
A atualização aborda a vulnerabilidade corrigindo a maneira com a qual o GDI+ valida imagens EMF especialmente criadas dentro de um arquivo do Microsoft Office.

Quando esse boletim de segurança foi lançado, essa vulnerabilidade já tinha sido divulgada publicamente? 
Não. A Microsoft recebeu informações sobre esta vulnerabilidade por meio da divulgação coordenada de vulnerabilidades.

Quando este boletim de segurança foi lançado, a Microsoft tinha recebido algum relatório informando que essa vulnerabilidade estava sendo explorada? 
Não. A Microsoft não recebeu nenhuma informação indicando que essa vulnerabilidade tinha sido usada publicamente para atacar clientes quando este boletim de segurança foi lançado pela primeira vez.

A atenuação refere-se a uma configuração, configuração comum ou prática recomendada geral, existindo num estado padrão, que possa reduzir a gravidade de exploração de uma vulnerabilidade. Os fatores de atenuação a seguir podem ser úteis em sua situação:

• Em um cenário de ataque na navegação pela Web, o invasor pode hospedar um site que contenha uma página da Web usada para explorar esta vulnerabilidade. Além disso, sites comprometidos e sites que aceitem ou hospedem conteúdo fornecido pelo usuário ou anúncios podem conter conteúdo especialmente criado que pode explorar esta vulnerabilidade. Em todos os casos, entretanto, o invasor não tem como forçar os usuários a visitar esses sites. Em vez disso, o invasor teria que persuadir os usuários a visitar o site, geralmente fazendo com que eles cliquem em um link em um e-mail ou mensagem do Instant Messenger que leva o usuário ao site do invasor.
• Por padrão, o Internet Explorer no Windows Server 2003, Windows Server 2008 e no Windows Server 2008 R2 é executado em um modo restrito, conhecido como Configuração de Segurança Reforçada. Esse modo atenua esta vulnerabilidade somente no Windows Server 2008 e no Windows Server 2008 R2, e somente em um cenário de ataque baseado na Web. Consulte a seção Perguntas frequentes referente a essa vulnerabilidade para obter mais informações sobre aConfiguração de Segurança Reforçada do Internet Explorer.
• O invasor que explorar com êxito a vulnerabilidade poderá obter os mesmos direitos que o usuário conectado. Os usuários cujas contas são configuradas com poucos direitos de usuário no sistema correm menos riscos do que aqueles que possuem direitos administrativos.

A solução alternativa refere-se a uma configuração ou alteração de configuração que não corrige a vulnerabilidade subjacente mas que ajudaria a bloquear vetores de ataque conhecidos antes de aplicar a atualização. A Microsoft testou as soluções alternativas e estados a seguir como parte do cenário que implica se uma solução alternativa reduziria funcionalidade:

• Impedir temporariamente que o controle ActiveX do Microsoft Silverlight seja executado no Internet Explorer (Método 1)

  Você pode ajudar a se proteger destas vulnerabilidades impedindo temporariamente as tentativas de instanciar o controle ActiveX do Silverlight no Internet Explorer, definindo o kill bit do controle.

  Aviso O uso incorreto do Editor do Registro pode causar problemas graves e exigir a reinstalação do sistema operacional. A Microsoft não garante a solução de problemas resultantes do uso incorreto do Editor do Registro. Você é responsável pelo uso do Editor do Registro.

  Recomendamos fazer backup do Registro antes de editá-lo.

  Use o texto a seguir para criar um arquivo .reg que impeça temporariamente as tentativas de instanciar o controle ActiveX do Silverlight no Internet Explorer. Você pode copiar o texto seguinte, colá-lo em um editor de texto, como o Bloco de Notas, e salvar o arquivo com a extensão de nome do arquivo .reg. Execute o arquivo .reg no cliente vulnerável.

  Windows Registry Editor Versão 5.00[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{DFEAF541-F3E1-4C24-ACAC-99C30715084A}]"Compatibility Flags"=dword:00000400

  Feche o Internet Explorer e reabra-o para que as alterações tenham efeito.

  Para obter as etapas detalhadas sobre como impedir que um controle seja executado no Internet Explorer, consulte o artigo 240797 (em inglês) da Microsoft Knowledge Base. Siga as etapas e crie um valor de Sinalizadores de Compatibilidade no Registro para impedir que o controle ActiveX do Silverlight seja executado no Internet Explorer.

  Impacto da solução alternativa. Os aplicativos e sites que exigem o controle ActiveX Microsoft Silverlight podem não mais funcionar corretamente. Se você implementar essa solução alternativa, ela afetará qualquer controle ActiveX do Silverlight instalado em seu sistema.

  Como desfazer a solução alternativa. Remova as chaves do Registro adicionadas para impedir temporariamente as tentativas de instanciar o controle ActiveX do Silverlight no Internet Explorer.

• Impedir temporariamente que o controle ActiveX do Microsoft Silverlight seja executado no Firefox ou Chrome

  Para modificar a chave do Registro a fim de desabilitar o Microsoft Silverlight, siga estas etapas:

  Observação O uso incorreto do Editor do Registro pode causar problemas sérios que podem exigir a reinstalação do sistema operacional. A Microsoft não garante que os problemas resultantes do uso incorreto do Editor do Registro possam ser solucionados. Você é responsável pelo uso do Editor do Registro. Para obter informações sobre como editar o Registro, consulte o tópico da Ajuda "Alterar chaves e valores" do Editor do Registro (Regedit.exe) ou exiba os tópicos da Ajuda "Adicionar e excluir informações no Registro" e "Editar informações do Registro" no Regedt32.exe.

  • Usando o método interativo
    1. Clique em Iniciar, Executar, digite Regedit na caixa Abrir e clique em OK.
    2. Localize e clique na seguinte subchave do Registro:HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0
    3. Clique com o botão direito do mouse em @Microsoft.com/NpCtrl,version=1.0 e selecione Exportar. Salve o arquivo no disco.
    4. Exclua toda a chave @Microsoft.com/NpCtrl,version=1.0.
    5. Encerre o Editor do Registro.
  • Usar um arquivo de Registro
    1. Crie uma cópia de backup das chaves do Registro. Uma cópia de backup pode ser feita usando um script de implantação gerenciado com o seguinte comando: Regedit.exe /e SL_backup.reg HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0
    2. Salve o seguinte em um arquivo com extensão .REG (por exemplo: Disable_Silverlight.reg):Windows Registry Editor Versão 5.00[-HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0]
    3. Execute o script de Registro criado na etapa 2 no sistema de destino com o seguinte comando:Regedit /s Disable_Silverlight.reg

  Como desfazer a solução alternativa.

  • Usando o método interativo
    1. Clique em Iniciar, Executar, digite Regedit na caixa Abrir e clique em OK.
    2. No menu Arquivo, clique em Importar.
    3. Em Procurar em, selecione a unidade, pasta ou computador ou pasta na rede onde o arquivo que você exportou previamente está localizado.
    4. Selecione o nome do arquivo correto e clique em Abrir.
  • Usando um script de implantação gerenciado

    Restaure o arquivo cujo backup foi feito em Usar um arquivo de Registro, Etapa 1, acima, com o seguinte comando:

    Regedit /s SL_backup.reg

Qual é o escopo da vulnerabilidade? 
Essa é uma vulnerabilidade de execução remota de código. O invasor que explorar com êxito essa vulnerabilidade poderá assumir o controle total de um sistema afetado. O invasor poderá instalar programas; exibir, alterar ou excluir dados; ou criar novas contas com direitos totais de usuário.

O que provoca a vulnerabilidade? 
A vulnerabilidade é causada pelo fato de o Microsoft Silverlight liberar memória incorretamente ao processar glifos XAML especialmente criados.

O que é o Microsoft Silverlight? 
O Microsoft Silverlight é uma implementação do Microsoft .NET Framework para diversos navegadores e plataformas para criação de experiências de mídia e aplicativos interativos avançados para a Web. Para obter mais informações, acesse o site oficial do Microsoft Silverlight.

O que são glifos XAML? 
O Windows Presentation Foundation (WPF) fornece suporte avançado de texto que inclui markup de nível do glifo com acesso direto a Glifos para clientes que querem interceptar e persistir no texto depois de formatar. Esses recursos fornecem suporte crítico para os diferentes requisitos de processamento de texto em cada um dos seguintes cenários: exibição de tela de documentos de formato fixo, cenários de impressão e representação de documento de formato fixo, inclusive clientes, de versões anteriores do Windows e outros dispositivos de computação. Para obter mais informações, consulte o artigo do MSDN (em inglês), Introduction to the GlyphRun Object and Glyphs Element.

O que é uma condição de "liberação duplicada"? 
Uma condição de liberação dupla é uma condição em que um programa lança ou libera a memória alocada mais de uma vez. Liberar memória que já tenha sido liberada pode levar à corrupção da memória. O invasor pode adicionar código arbitrário à memória, que então é executada quando a corrupção ocorre. Este código então pode ser executado num nível de privilégio do sistema.

Geralmente, essa vulnerabilidade causará negação de serviço. No entanto, em algumas circunstâncias, pode causar a execução de código. Como a memória de cada sistema afetado tem um layout exclusivo, pode ser difícil explorar essa vulnerabilidade em larga escala.

Para que um invasor pode usar a vulnerabilidade? 
No cenário de navegação na Web, um invasor que explorar com êxito esta vulnerabilidade poderá obter as mesmas permissões que o usuário conectado. Se um usuário estiver conectado com direitos administrativos, o invasor poderá assumir o controle total do sistema afetado. O invasor poderá instalar programas; exibir, alterar ou excluir dados; ou criar novas contas com direitos totais de usuário. Os usuários cujas contas são configuradas com poucos direitos de usuário no sistema correm menos riscos do que aqueles que possuem direitos administrativos.

De que forma o invasor pode explorar a vulnerabilidade? 
O invasor pode hospedar um site especialmente criado que contenha um aplicativo do Silverlight especialmente criado para explorar esta vulnerabilidade e, então, convencer um usuário a exibir o site. O invasor também pode tirar proveito dos sites comprometidos e de sites que aceitam ou hospedam o conteúdo fornecido pelo usuário ou anúncios. Esses sites podem ter conteúdo especialmente criado para explorar essa vulnerabilidade. Em todos os casos, entretanto, o invasor não tem como forçar os usuários a visitar esses sites. Em vez disso, um invasor tem que convencer os usuários a visitar o site, geralmente fazendo com que eles cliquem em um link em um email ou por um pedido pelo Instant Messenger que leva o usuário ao site do invasor. Também é possível exibir conteúdo da Web próprio para a finalidade usando anúncios de banner ou outros métodos para implantar conteúdo da Web nos sistemas afetados.

Quais são os principais sistemas que correm riscos com a vulnerabilidade? 
A exploração bem-sucedida desta vulnerabilidade requer que um usuário tenha feito logon e esteja visitando sites usando um navegador da Web capaz de instanciar aplicativos Silverlight. Portanto, quaisquer sistemas nos quais um navegador da Web seja usado com frequência, como estações de trabalho ou servidores de terminal, estão mais expostos a essa vulnerabilidade. Os servidores correm mais riscos se os administradores permitirem que os usuários procurem e leiam emails nos servidores. Entretanto, as práticas recomendadas não recomendam esse procedimento.

Estou executando o Internet Explorer para Windows Server 2003, Windows Server 2008 ou Windows Server 2008 R2. Isto atenua esta vulnerabilidade? 
Sim. Por padrão, o Internet Explorer no Windows Server 2003, Windows Server 2008 e no Windows Server 2008 R2 é executado em um modo restrito, conhecido como Configuração de Segurança Reforçada. A Configuração de Segurança Reforçada é um grupo de configurações predefinidas do Internet Explorer que reduz a probabilidade de um usuário ou administrador baixar e executar um conteúdo da Web especialmente criado em um servidor. Este é um fator atenuante para sites que não tenham sido adicionados à zona Sites confiáveis do Internet Explorer.

O que a atualização faz? 
A atualização aborda a vulnerabilidade corrigindo a maneira como o Microsoft Silverlight reinicia os ponteiros ao liberar memória.

Quando esse boletim de segurança foi lançado, essa vulnerabilidade já tinha sido divulgada publicamente? 
Não. A Microsoft recebeu informações sobre esta vulnerabilidade por meio da divulgação coordenada de vulnerabilidades.

Quando este boletim de segurança foi lançado, a Microsoft tinha recebido algum relatório informando que essa vulnerabilidade estava sendo explorada? 
Não. A Microsoft não recebeu nenhuma informação indicando que essa vulnerabilidade tinha sido usada publicamente para atacar clientes quando este boletim de segurança foi lançado pela primeira vez.

A atenuação refere-se a uma configuração, configuração comum ou prática recomendada geral, existindo num estado padrão, que possa reduzir a gravidade de exploração de uma vulnerabilidade. Os fatores de atenuação a seguir podem ser úteis em sua situação:

• O invasor precisa ter credenciais de logon válidas e poder fazer logon localmente para explorar essa vulnerabilidade.

A Microsoft não identificou nenhuma solução alternativa para esta vulnerabilidade.

Qual é o escopo da vulnerabilidade? 
Esta é uma vulnerabilidade de elevação de privilégio.

Qual componente é afetado pela vulnerabilidade? 
O componente afetado por esta vulnerabilidade é o driver do modo do kernel do Windows (win32k.sys).

O que provoca a vulnerabilidade? 
A vulnerabilidade é causada quando o driver do modo de kernel do Windows gerencia incorretamente a entrada transmitida pelas funções do modo de usuário.

O que é o driver do modo do kernel do Windows (win32k.sys)? 
Win32k.sys é um driver de dispositivo de modo do kernel e é a parte do kernel do subsistema Windows. Ele contém o gerenciador de janelas, que controla as exibições de janelas; gerencia a saída de tela; coleta entradas do teclado, mouse e outros dispositivos e transmite mensagens do usuário aos aplicativos. Ele contém também a GDI (Graphics Device Interface), que é uma biblioteca de funções para dispositivos de saída de gráficos. Finalmente, serve como um wrapper para suporte do DirectX implementado em outro driver (dxgkrnl.sys).

O que é kernel do Windows? 
O kernel do Windows é o núcleo do sistema operacional. Ele fornece serviços no nível do sistema como gerenciamento de dispositivos e de memória, aloca tempo do processador para os processos e gerencia o tratamento de erros.

Para que um invasor pode usar a vulnerabilidade? 
O invasor que explorar a vulnerabilidade com êxito poderá executar código arbitrário no contexto de outro processo. Se este processo for executado com privilégios de administrador, um invasor poderá instalar programas, exibir, alterar ou excluir dados e criar novas contas com direitos totais do usuário.

De que forma o invasor pode explorar a vulnerabilidade? 
Para explorar essa vulnerabilidade, primeiro o invasor precisa fazer logon no sistema. Em seguida, ele precisa executar um aplicativo especialmente criado capaz de explorar a vulnerabilidade e assumir o controle total do sistema afetado.

Quais são os principais sistemas que correm riscos com a vulnerabilidade? 
Principalmente as estações de trabalho e os servidores de terminal estão correndo risco. Os servidores correm mais riscos se os administradores permitirem que os usuários façam logon em servidores e executem programas. Entretanto, as práticas recomendadas não recomendam esse procedimento.

O que a atualização faz? 
A atualização elimina a vulnerabilidade, corrigindo a maneira como os drivers no modo kernel do Windows gerenciam os dados passados das funções do modo do usuário.

Quando esse boletim de segurança foi lançado, essa vulnerabilidade já tinha sido divulgada publicamente? 
Não. A Microsoft recebeu informações sobre esta vulnerabilidade por meio da divulgação coordenada de vulnerabilidades.

Quando este boletim de segurança foi lançado, a Microsoft tinha recebido algum relatório informando que essa vulnerabilidade estava sendo explorada? 
Não. A Microsoft não recebeu nenhuma informação indicando que essa vulnerabilidade tinha sido usada publicamente para atacar clientes quando este boletim de segurança foi lançado pela primeira vez.

A atenuação refere-se a uma configuração, configuração comum ou prática recomendada geral, existindo num estado padrão, que possa reduzir a gravidade de exploração de uma vulnerabilidade. Os fatores de atenuação a seguir podem ser úteis em sua situação:

• O invasor precisa ter credenciais de logon válidas e poder fazer logon localmente para explorar essa vulnerabilidade.

A Microsoft não identificou nenhuma solução alternativa para esta vulnerabilidade.

Qual é o escopo da vulnerabilidade? 
Esta é uma vulnerabilidade de elevação de privilégio.

Qual componente é afetado pela vulnerabilidade? 
O componente afetado por esta vulnerabilidade é o driver do modo do kernel do Windows (win32k.sys).

O que provoca a vulnerabilidade? 
A vulnerabilidade é causada quando o driver do modo kernel do Windows manipula inadequadamente arquivos de layout de teclado.

O que é o driver do modo do kernel do Windows (win32k.sys)? 
Win32k.sys é um driver de dispositivo de modo do kernel e é a parte do kernel do subsistema Windows. Ele contém o gerenciador de janelas, que controla as exibições de janelas; gerencia a saída de tela; coleta entradas do teclado, mouse e outros dispositivos e transmite mensagens do usuário aos aplicativos. Ele contém também a GDI (Graphics Device Interface), que é uma biblioteca de funções para dispositivos de saída de gráficos. Finalmente, serve como um wrapper para suporte do DirectX implementado em outro driver (dxgkrnl.sys).

O que é kernel do Windows? 
O kernel do Windows é o núcleo do sistema operacional. Ele fornece serviços no nível do sistema como gerenciamento de dispositivos e de memória, aloca tempo do processador para os processos e gerencia o tratamento de erros.

Para que um invasor pode usar a vulnerabilidade? 
O invasor que explorar a vulnerabilidade com êxito poderá executar código arbitrário no contexto de outro processo. Se este processo for executado com privilégios de administrador, um invasor poderá instalar programas, exibir, alterar ou excluir dados e criar novas contas com direitos totais do usuário.

De que forma o invasor pode explorar a vulnerabilidade? 
Para explorar essa vulnerabilidade, primeiro o invasor precisa fazer logon no sistema. Em seguida, ele precisa executar um aplicativo especialmente criado capaz de explorar a vulnerabilidade e assumir o controle total do sistema afetado.

Quais são os principais sistemas que correm riscos com a vulnerabilidade? 
Principalmente as estações de trabalho e os servidores de terminal estão correndo risco. Os servidores correm mais riscos se os administradores permitirem que os usuários façam logon em servidores e executem programas. Entretanto, as práticas recomendadas não recomendam esse procedimento.

O que a atualização faz? 
A atualização elimina a vulnerabilidade, corrigindo a maneira como o driver do modo do kernel do Windows manipula os arquivos de layout do teclado.

Quando esse boletim de segurança foi lançado, essa vulnerabilidade já tinha sido divulgada publicamente? 
Sim. Essa vulnerabilidade foi divulgada publicamente. Ela recebeu o número CVE-2012-0181 da lista Common Vulnerability and Exposure.

Quando este boletim de segurança foi lançado, a Microsoft tinha recebido algum relatório informando que essa vulnerabilidade estava sendo explorada? 
Não. A Microsoft não recebeu nenhuma informação indicando que essa vulnerabilidade tinha sido usada publicamente para atacar clientes quando este boletim de segurança foi lançado pela primeira vez.

A atenuação refere-se a uma configuração, configuração comum ou prática recomendada geral, existindo num estado padrão, que possa reduzir a gravidade de exploração de uma vulnerabilidade. Os fatores de atenuação a seguir podem ser úteis em sua situação:

• O invasor precisa ter credenciais de logon válidas e poder fazer logon localmente para explorar essa vulnerabilidade.

A Microsoft não identificou nenhuma solução alternativa para esta vulnerabilidade.

Qual é o escopo da vulnerabilidade? 
Esta é uma vulnerabilidade de elevação de privilégio.

Qual componente é afetado pela vulnerabilidade? 
O componente afetado por esta vulnerabilidade é o driver do modo do kernel do Windows (win32k.sys).

O que provoca a vulnerabilidade? 
A vulnerabilidade é causada quando o driver do modo de kernel do Windows gerencia incorretamente a entrada transmitida pelas funções do modo de usuário.

O que é o driver do modo do kernel do Windows (win32k.sys)? 
Win32k.sys é um driver de dispositivo de modo do kernel e é a parte do kernel do subsistema Windows. Ele contém o gerenciador de janelas, que controla as exibições de janelas; gerencia a saída de tela; coleta entradas do teclado, mouse e outros dispositivos e transmite mensagens do usuário aos aplicativos. Ele contém também a GDI (Graphics Device Interface), que é uma biblioteca de funções para dispositivos de saída de gráficos. Finalmente, serve como um wrapper para suporte do DirectX implementado em outro driver (dxgkrnl.sys).

O que é kernel do Windows? 
O kernel do Windows é o núcleo do sistema operacional. Ele fornece serviços no nível do sistema como gerenciamento de dispositivos e de memória, aloca tempo do processador para os processos e gerencia o tratamento de erros.

Para que um invasor pode usar a vulnerabilidade? 
O invasor que explorar a vulnerabilidade com êxito poderá executar código arbitrário no contexto de outro processo. Se este processo for executado com privilégios de administrador, um invasor poderá instalar programas, exibir, alterar ou excluir dados e criar novas contas com direitos totais do usuário.

De que forma o invasor pode explorar a vulnerabilidade? 
Para explorar essa vulnerabilidade, primeiro o invasor precisa fazer logon no sistema. Em seguida, ele precisa executar um aplicativo especialmente criado capaz de explorar a vulnerabilidade e assumir o controle total do sistema afetado.

Quais são os principais sistemas que correm riscos com a vulnerabilidade? 
Principalmente as estações de trabalho e os servidores de terminal estão correndo risco. Os servidores correm mais riscos se os administradores permitirem que os usuários façam logon em servidores e executem programas. Entretanto, as práticas recomendadas não recomendam esse procedimento.

O que a atualização faz? 
A atualização elimina a vulnerabilidade, corrigindo a maneira como os drivers no modo kernel do Windows gerenciam os dados passados das funções do modo do usuário.

Quando esse boletim de segurança foi lançado, essa vulnerabilidade já tinha sido divulgada publicamente? 
Não. A Microsoft recebeu informações sobre esta vulnerabilidade por meio da divulgação coordenada de vulnerabilidades.

Quando este boletim de segurança foi lançado, a Microsoft tinha recebido algum relatório informando que essa vulnerabilidade estava sendo explorada? 
Não. A Microsoft não recebeu nenhuma informação indicando que essa vulnerabilidade tinha sido usada publicamente para atacar clientes quando este boletim de segurança foi lançado pela primeira vez.

Tabela de referência

A tabela a seguir contém as informações de atualização de segurança desse software. Você pode encontrar informações adicionais na subseção Informações de implantação, nesta seção.

Observação a atualização para as versões com suporte do Windows XP Professional x64 Edition também se aplica a versões suportadas do Windows Server 2003 x64 Edition.

Tabela de referência

A tabela a seguir contém as informações de atualização de segurança desse software. Você pode encontrar informações adicionais na subseção Informações de implantação, nesta seção.

Observação a atualização para as versões com suporte do Windows Server 2003 x64 Edition também se aplica a versões suportadas do Windows XP Professional x64 Edition.

Tabela de referência

A tabela a seguir contém as informações de atualização de segurança desse software. Você pode encontrar informações adicionais na subseção Informações de implantação, nesta seção.

Tabela de referência

A tabela a seguir contém as informações de atualização de segurança desse software. Você pode encontrar informações adicionais na subseção Informações de implantação, nesta seção.

Tabela de referência

A tabela a seguir contém as informações de atualização de segurança desse software. Você pode encontrar informações adicionais na subseção Informações de implantação, nesta seção.

Tabela de referência

A tabela a seguir contém as informações de atualização de segurança desse software. Você pode encontrar informações adicionais na subseção Informações de implantação, nesta seção.

Tabela de referência

A tabela a seguir contém as informações de atualização de segurança desse software. Você pode encontrar informações adicionais na subseção Informações de implantação, a seguir.

Tabela de referência

A tabela a seguir contém as informações de atualização de segurança desse software. Você pode encontrar informações adicionais na subseção Informações de implantação, nesta seção.

Tabela de referência

A tabela a seguir contém as informações de atualização de segurança desse software. Você pode encontrar informações adicionais na subseção Informações de implantação, nesta seção.