Microsoft Security Bulletin MS12-046 - Importante

Por que este boletim foi revisado em 13 de novembro de 2012? 
A Microsoft revisou este boletim para substituir a atualização KB2598361 pela KB2687626 do Microsoft Office 2003 Service Pack 3 a fim de solucionar um problema que envolve determinados certificados digitais gerados pela Microsoft sem os atributos adequados de data/hora. Para obter mais informações, consulte o Comunicado de Segurança da Microsoft 2749655.

Embora a atualização relançada (KB2687626) substitua a atualização original (KB2598361) no Microsoft Office 2003 Service Pack 3, clientes que instalaram a atualização KB2598361 não precisam instalar a atualização KB2687626.

Eu já instalei a atualização original KB2598361 do Microsoft Office 2003. Devo aplicar o pacote de atualização relançado (KB2687626) lançou em 13 de novembro de 2012? 
Não. A atualização relançada (KB2687626) somente se aplica a sistemas que executam o Microsoft Office 2003 nos quais a atualização (KB2598361) original não foi instalada. Os clientes que já instalaram com êxito a atualização KB2598361 original em seus sistemas do Microsoft Office 2003 Service Pack 3 não precisam fazer nada. Além disso, os clientes não receberão a atualização relançada (KB2687626) se a atualização original (KB2598361) já tiver sido instalada em seus sistemas.

Observação Em casos em que a atualização KB2598361 já estiver instalada, e então a atualização KB2687626 for instalada no mesmo sistema, o instalador gerará uma mensagem de que a atualização já está instalada. Depois que a mensagem for gerada, a atualização KB2687626 substituirá a atualização KB2598361 na lista de atualizações instaladas. Para obter mais informações sobre esse comportamento de instalação, consulte o Artigo 2707960 (em inglês) da Microsoft Knowledge Base.

Esta atualização está relacionada ao Comunicado de Segurança da Microsoft 2269637? 
Sim, a Vulnerabilidade de carregamento não seguro de bibliotecas do Visual Basic for Applications (CVE-2012-1854) eliminada por esta atualização está relacionada à classe de vulnerabilidades, descrita no Comunicado de Segurança da Microsoft 2269637, que afeta como os aplicativos carregam as bibliotecas externas. Esta atualização de segurança elimina uma instância em particular deste tipo de vulnerabilidade.

A atualização é para um componente compartilhado usado pelo Microsoft Office. A atualização será oferecida ao software Microsoft Office que inclui o componente compartilhado, ainda que o software não acesse o código vulnerável? 
Sim, a atualização será oferecida a sistemas em que o componente Office compartilhado vulnerável seja detectado. Isto ocorre até nos casos em que o software Office inclui a VBE6.dll mas não acessa o código vulnerável.

Por que há diversas atualizações de pacotes disponíveis para o Microsoft Office 2010 e o Microsoft Office 2010 Service Pack 1?  
As atualizações necessárias para eliminar a vulnerabilidade descrita neste boletim são oferecidas através de atualizações diferentes de pacote, como indicado na tabela de Softwares afetados, devido ao modelo de serviços componentizado para o Microsoft Office 2010. Para se proteger da vulnerabilidade, as duas atualizações são requeridas, mas elas não precisam ser instaladas numa ordem específica.

Onde estão os detalhes das informações sobre o arquivo? 
Consulte as tabelas de referência na seção Implantação de atualização de segurança para o local dos detalhes de informações sobre o arquivo.

On de  estão os hashes das atualizações de segurança?
Os hashes SHA1 e SHA2 das atualizações de segurança podem ser usados para verificar a autenticidade de pacotes de atualização de segurança baixados. Para informações sobre hashes pertencentes a esta atualização, consulte artigo 2707960 (em inglês) da Microsoft Knowledge Base.

Apliquei as atualizações de segurança necessárias da Microsoft, mas ainda tenho uma versão afetada do tempo de execução do Visual Basic for Applications (VBE6.dll) em meu sistema. Como atualizo essa DLL? 
Há casos em que seu sistema talvez ainda tenha uma versão afetada da VBE6.dll mesmo depois da instalação das atualizações de segurança necessárias para o Microsoft Office e a atualização para o Microsoft Visual Basic for Applications listada neste boletim.

Se a VBE6.dll tiver sido instalada em seu sistema por uma versão com suporte do Microsoft Office, a aplicação da atualização de segurança para a versão afetada do Microsoft Office substituirá a VBE6.dll pela versão atualizada, eliminando a vulnerabilidade descrita neste boletim. No entanto, se a VBE6.dll tiver sido instalada em seu sistema por um aplicativo de terceiros, talvez seja necessário instalar uma atualização para esse programa.

Para atualizar a VBE6.dll para aplicativos de terceiros, há dois possíveis cenários dependendo da implementação do aplicativo de terceiros do VBA. Se você souber que o aplicativo de terceiros é compatível com as práticas recomendadas para usar um componente compartilhado como um assembly lado a lado, a aplicação da atualização do Microsoft Visual Basic for Applications (KB2688865) substituirá a VBE6.dll no local compartilhado pela versão atualizada que elimina as vulnerabilidades descritas neste boletim.

Por outro lado, se o aplicativo de terceiros não colocar a VBE6.dll no local compartilhado de acordo com as práticas recomendadas, você deverá contatar o desenvolvedor de aplicativos de terceiros e pedir que lhe forneça uma versão atualizada de seu aplicativo que contenha uma versão mais nova da VBE6.dll que elimine a vulnerabilidade descrita neste boletim.

Esta atualização de segurança só se aplica ao software da Microsoft. Como posso detectar se os aplicativos de terceiros implantaram uma versão afetada do tempo de execução do Visual Basic for Applications (VBE6.dll) em meu sistema? 
Os aplicativos de terceiros com suporte ao VBA podem implantar a VBE6.dll em um local que não seja atualizado por esta atualização de segurança. Caso você tenha um aplicativo de terceiros que tenha sido enviado com sua própria cópia da VBE6.dll, para ajudar a garantir que seu sistema esteja totalmente protegido contra a vulnerabilidade descrita neste boletim, você deverá contatar diretamente o desenvolvedor ou fornecedor responsável pelo suporte ao aplicativo de terceiros.

Para obter detalhes sobre como efetuar uma varredura de cópias da VBE6.dll em seu sistema, consulte o Artigo 978213 da Microsoft Knowledge Base. A varredura de todas as cópias da VBE6.dll em seu sistema pode ajudar a identificar cópias potencialmente vulneráveis que tenham sido instaladas por aplicativos de terceiros.

Sou desenvolvedor de software de terceiros e uso o tempo de execução do Microsoft Visual Basic for Applications em meu aplicativo. Meu aplicativo é vulnerável e como o atualizo?  
Os desenvolvedores que redistribuem o tempo de execução VBE6.dll do Microsoft Visual Basic for Applications devem baixar uma versão atualizada do Microsoft Visual Basic for Applications SDK da Summit Software Company. Então, atualize o instalador de aplicativos com o tempo de execução atualizado do VBA. Para obter mais informações sobre as práticas recomendadas ao uso de componentes redistribuíveis, consulte o Artigo 835322 (em inglês) da Microsoft Knowledge Base e o artigo Isolated Applications and Side-by-side Assemblies (em inglês) do MSDN.

Sou um fornecedor de software independente (ISV). Onde está a atualização para o Microsoft Visual Basic for Applications SDK?  
A atualização está disponível junto à Summit Software Company. A Summit Software Company é um fornecedor global de produtos de software para personalização de aplicativos e de serviços de suporte a integração para fornecedores de software independentes (ISVs) e desenvolvedores corporativos. Em junho de 1996, a Summit Software firmou um contrato com a Microsoft para vender o Microsoft Visual Basic for Applications, bem como tecnologia e serviços relacionados de valor agregado. A Summit continua a vender e a prestar suporte ao Microsoft VBA.

Como os programas autônomos do Microsoft Office são afetados pela vulnerabilidade? 
Um programa autônomo do Microsoft Office é afetado com a mesma classificação de gravidade que o componente correspondente em um Microsoft Office Suite. Por exemplo, uma instalação autônoma do Microsoft Excel é afetada com a mesma classificação de gravidade de uma instalação do Microsoft Excel que tenha sido fornecida com um Microsoft Office Suite.

Uso uma versão mais antiga do software discutido neste boletim de segurança. O que devo fazer? 
Os softwares afetados listados neste boletim foram testados para determinar que versões são afetadas. Outras versões passaram seu ciclo de vida de suporte. Para obter mais informações sobre o ciclo de vida do produto, visite o site Ciclo de Vida do Suporte Microsoft.

Os clientes que possuem versões anteriores do software devem priorizar a migração para as versões com suporte, a fim de evitar uma possível exposição a vulnerabilidades. Para determinar o ciclo de vida do suporte para sua versão de software, consulte Selecione um Produto para Obter Informações do Ciclo de Vida. Para obter mais informações sobre service packs para essas versões de software, consulte Política de Suporte do Ciclo de Vida do Service Pack.

Os clientes que precisarem de suporte adicional para software mais antigo deverão entrar em contato com o representante da equipe de contas da Microsoft, o gerente técnico da conta ou o representante do parceiro Microsoft apropriado para obter opções de suporte personalizadas. Os clientes sem um contrato Alliance, Premier ou Authorized podem entrar em contato com o escritório de vendas local da Microsoft. Para obter informações de contato, visite o site de Informações internacionais da Microsoft, selecione o país na lista de informações de contato e, em seguida, clique em Ir para ver uma lista de telefones. Ao ligar, peça para falar com o gerente de vendas local de Suporte Premier. Para obter mais informações, consulte as Perguntas Frequentes sobre a Política do Ciclo de Vida do Suporte da Microsoft.

As classificações de gravidade a seguir pressupõem o impacto máximo possível da vulnerabilidade. Para obter informações referentes à probabilidade de exploração da vulnerabilidade em relação à sua classificação de gravidade e ao impacto à segurança, em até 30 dias a partir do lançamento deste boletim de segurança, consulte o Índice de exploração no resumo de boletins de julho. Para obter mais informações, consulte o Índice de exploração da Microsoft.

[1^]Este pacote de atualização se aplica a versões com suporte do tempo de execução do Microsoft Visual Basic for Applications (Vbe6.dll) e está disponível apenas no Centro de Download da Microsoft.

^[2]As versões com suporte do VBA SDK são Microsoft Visual Basic for Applications SDK 6.3, Microsoft Visual Basic for Applications SDK 6.4 e Microsoft Visual Basic for Applications SDK 6.5.

Existe uma vulnerabilidade de execução remota de código na maneira como o Microsoft Visual Basic for Applications manipula o carregamento de arquivos DLL. O invasor que explorar com êxito essa vulnerabilidade poderá assumir o controle total de um sistema afetado. O invasor poderá instalar programas; exibir, alterar ou excluir dados; ou criar novas contas com direitos totais de usuário. Os usuários cujas contas são configuradas com poucos direitos de usuário no sistema correm menos riscos do que aqueles que possuem direitos administrativos.

Para exibir esta vulnerabilidade como uma entrada padrão na lista Common Vulnerabilities and Exposures, consulte CVE-2012-1854.

Central de Segurança

Gerencie as atualizações de software e segurança que você precisa instalar em servidores, computadores desktop e notebooks em sua organização. Para obter mais informações, consulte o Centro de Gerenciamento de Atualização do Technet. O site Microsoft TechNet Security fornece informações adicionais sobre segurança em produtos da Microsoft.

As atualizações de segurança estão disponíveis no Microsoft Update e no Windows Update. As atualizações de segurança também estão disponíveis no Centro de Download da Microsoft. Você poderá encontrá-las com mais facilidade executando uma pesquisa com a palavra-chave "atualização de segurança".

Para os clientes do Microsoft Office for Mac, o Microsoft AutoUpdate for Mac pode ajudar a manter seu software Microsoft atualizado. Para obter mais informações sobre como usar o Microsoft AutoUpdate for Mac, consulte Check for software updates automatically.

Por fim, as atualizações de segurança podem ser baixadas do Microsoft Update Catalog. O Microsoft Update Catalog fornece um catálogo pesquisável de conteúdo disponibilizado por meio do Windows Update e Microsoft Update, incluindo atualizações de segurança, drivers e service packs. Ao pesquisar usando o número do boletim de segurança (como "MS07-036"), é possível adicionar todas as atualizações aplicáveis à sua cesta (incluindo idiomas diferentes para uma atualização) e baixá-las na pasta de sua escolha. Para obter mais informações sobre o Microsoft Update Catalog, consulte as Perguntas Frequentes sobre Microsoft Update Catalog.

Orientação de detecção e implantação:

A Microsoft oferece orientações de detecção e implantação de atualizações de segurança. Essas orientações contêm recomendações e informações que podem ajudar os profissionais de TI a entender como usar várias ferramentas para detecção e implantação de atualizações de segurança. Para obter mais informações, consulte o Artigo 961747 (em inglês) da Microsoft Knowledge Base.

Microsoft Baseline Security Analyzer

O MBSA (Microsoft Baseline Security Analyzer) permite aos administradores pesquisar, em sistemas locais e remotos, atualizações de segurança ausentes e problemas de configuração de segurança comuns. Para obter mais informações sobre o MBSA, visite Microsoft Baseline Security Analyzer.

A tabela a seguir fornece o resumo de detecção do MBSA para esta atualização de segurança.

Observação Para os clientes que usam software herdado sem suporte pela versão mais recente do MBSA, Microsoft Update e Windows Server Update Services: visite o Microsoft Baseline Security Analyzer e consulte a seção Suporte ao produto herdado sobre como criar a detecção de atualização de segurança abrangente com ferramentas herdadas.

Windows Server Update Services

O WSUS (Windows Server Update Services) permite que administradores de tecnologia da informação implantem as mais recentes atualizações de produtos Microsoft em computadores que executem o sistema operacional Windows. Para obter mais informações sobre como implantar atualizações de segurança usando o recurso Windows Server Update Services, consulte o artigo da TechNet Windows Server Update Services (em inglês).

Systems Management Server

A tabela a seguir fornece o resumo de detecção de SMS para esta atualização de segurança.

Observação a Microsoft descontinuou o suporte para SMS 2.0 em 12 de abril de 2011. Para SMS 2003, a Microsoft também descontinuou o suporte da Ferramenta de inventário de atualização de segurança (SUIT) em 12 de abril de 2011. Os clientes devem atualizar o System Center Configuration Manager. Para clientes que permanecem com SMS 2003 Service Pack 3, a Ferramenta de inventário para atualizações da Microsoft (ITMU) é também uma opção.

Para o SMS 2003, a ferramenta Inventário do SMS 2003 para Microsoft Updates pode ser usada pelo SMS para detectar as atualizações de segurança oferecidas pelo Microsoft Update e que tenham suporte do Windows Server Update Services. Para obter mais informações sobre a ITMU do SMS 2003, consulte Inventory Tool do SMS 2003 para Microsoft Updates. Para obter mais informações sobre as ferramentas de varredura de SMS, consulte SMS 2003 Software Update Scanning Tools. Consulte também Downloads para Systems Management Server 2003.

O System Center Configuration Manager usa WSUS 3.0 para detectar atualizações. Para obter mais informações sobre o gerenciamento de atualizações de software do System Center Configuration Manager, acesse System Center.

Para obter mais informações sobre o SMS, visite o site do SMS.

Para obter mais informações, consulte o Artigo 910723 (em inglês) da Microsoft Knowledge Base. Lista de resumo de detecção mensal e os artigos de diretrizes de implantação.

Observação Se você usou um Ponto de instalação administrativa (AIP) para implantar o Office XP ou o Office 2003, talvez não consiga implantar a atualização usando o SMS se tiver atualizado o AIP a partir da linha de base original. Para obter mais informações, consulte o tópico Ponto de instalação administrativa do Office nesta seção.

Ponto de instalação administrativa do Office

Se você instalou o aplicativo a partir de uma localização de servidor, o administrador do servidor deve atualizar essa localização com a atualização administrativa e implantar esta atualização no seu sistema.

• Para as versões suportadas do Microsoft Office XP, consulte Criando um ponto de instalação administrativa. Para obter mais informações sobre como mudar a fonte de um sistema cliente de um ponto de instalação administrativa atualizado para uma fonte de linha de base original do Office XP, consulte o Artigo 922665 (em inglês) da Microsoft Knowledge Base.
  
  Observação Se você pretende fazer um gerenciamento de atualizações de software centralizado a partir de uma imagem administrativa atualizada, poderá encontrar mais informações no artigo Atualizando clientes do Office XP a partir de uma imagem administrativa corrigida (em inglês).
• Para as versões suportadas do Microsoft Office 2003, consulte Criando um ponto de instalação administrativa. Para obter mais informações sobre como mudar a fonte de um computador cliente de um ponto de instalação administrativa atualizado para uma fonte de linha de base original do Office 2003 ou Service Pack 3 (SP3), consulte o Artigo 902349 (em inglês) da Microsoft Knowledge Base.
  
  Observação Se você pretende fazer um gerenciamento de atualizações de software centralizado a partir de uma imagem administrativa atualizada, poderá encontrar mais informações no artigo Distribuindo atualizações do Office 2003 (em inglês).
• Para criar um ponto de instalação de rede para versões com suporte do Microsoft Office, consulte Criar um ponto de instalação de rede para o Microsoft Office.
  
  Observação Se você pretende fazer um gerenciamento centralizado das atualizações de segurança, use o Windows Server Update Services. Para obter mais informações sobre como implantar atualizações de segurança para o Microsoft Office, visite o site do Windows Server Update Services.

Avaliador de compatibilidade com atualizações e Kit de ferramentas de compatibilidade de aplicativos

As atualizações frequentemente gravam nos mesmos arquivos e configurações do Registro necessários à execução dos aplicativos. Isto pode gerar incompatibilidades e aumentar o tempo necessário à implantação de atualizações de segurança. É possível usar os componentes do Avaliador de compatibilidade com atualizações incluídos no Kit de ferramentas de compatibilidade de aplicativos para agilizar o teste e a validação de atualizações do Windows com relação aos aplicativos instalados.

O Application Compatibility Toolkit (ACT) contém as ferramentas e a documentação necessárias para avaliar e atenuar problemas de compatibilidade com aplicativos antes da implantação do Microsoft Windows Vista, de uma atualização do Windows, de uma atualização de segurança da Microsoft ou de uma nova versão do Windows Internet Explorer em seu ambiente.

Softwares afetados

Para obter informações sobre uma atualização de segurança específica para seu software afetado, clique no link apropriado: