Artigo
03/19/2024

Boletim de Segurança

Microsoft Security Bulletin MS10-039 - Importante

Vulnerabilidades no Microsoft SharePoint podem permitir a elevação de privilégio (2028554)

Publicado em: 8 de junho de 2010

Versão: 1.0

Informações Gerais

Resumo Executivo

Esta atualização de segurança elimina uma vulnerabilidade divulgada publicamente e duas relatadas em particular no Microsoft SharePoint. A vulnerabilidade mais grave pode permitir a elevação de privilégio se um invasor convencer um usuário de um site do SharePoint direcionado a clicar em um link especialmente criado.

A atualização de segurança é classificada como importante para todas as versões com suporte do Microsoft SharePoint Services 3.0 e todas as edições com suporte do Microsoft Office InfoPath 2003, Microsoft Office InfoPath 2007 e Microsoft Office SharePoint Server 2007. Para obter mais informações, consulte a subseção Software afetado e não afetado, nesta seção.

A atualização de segurança elimina as vulnerabilidades modificando a maneira como o Microsoft SharePoint valida a entrada fornecida a uma consulta HTTP, a maneira como toStaticHTML limpa o conteúdo HTML no Microsoft SharePoint e a maneira como o Microsoft SharePoint lida com solicitações especialmente criadas para a página de Ajuda. Para obter mais informações sobre a vulnerabilidade, consulte a subseção Perguntas freqüentes para a entrada de vulnerabilidade específica na próxima seção, Informações sobre a vulnerabilidade.

Esta atualização de segurança também elimina a vulnerabilidade descrita pela primeira vez no Comunicado de Segurança da Microsoft 983438.

Recomendação. A Microsoft recomenda que os clientes apliquem a atualização o mais rápido possível.

Problemas conhecidos.O Artigo 2028554 da Base de Dados de Conhecimento Microsoft documenta os problemas atualmente conhecidos que os clientes podem enfrentar ao instalar esta atualização de segurança. O artigo também documenta as soluções recomendadas para esses problemas. Quando os problemas atualmente conhecidos e as soluções recomendadas dizem respeito apenas a versões específicas deste software, este artigo fornece links para outros artigos.

Software afetado e não afetado

O software a seguir foi testado para determinar quais versões ou edições são afetadas. Outras versões ou edições já passaram do seu ciclo de vida de suporte ou não são afetadas. Para determinar o ciclo de vida do suporte para a versão ou edição do software, visite o Ciclo de Vida do Suporte da Microsoft.

Software afetado

Software	Impacto máximo na segurança	Classificação de gravidade agregada	Boletins substituídos por esta atualização
Microsoft Office Software
Microsoft Office InfoPath 2003 Service Pack 3 (KB980923)	Divulgação de Informações	Importante	Nenhuma
Microsoft Office InfoPath 2007 Service Pack 1 e Microsoft Office InfoPath 2007 Service Pack 2 (KB979441)	Divulgação de Informações	Importante	Nenhuma
Microsoft Office SharePoint Server 2007 Service Pack 1 (edições de 32 bits)^[1](KB979445)	Divulgação de Informações	Importante	MS08-077
Microsoft Office SharePoint Server 2007 Service Pack 2 (edições de 32 bits)^[1](KB979445)	Divulgação de Informações	Importante	Nenhuma
Microsoft Office SharePoint Server 2007 Service Pack 1 (edições de 64 bits)^[1](KB979445)	Divulgação de Informações	Importante	MS08-077
Microsoft Office SharePoint Server 2007 Service Pack 2 (edições de 64 bits) (KB979445)^[1]	Divulgação de Informações	Importante	Nenhuma
Windows SharePoint Services
Microsoft Windows SharePoint Services 3.0 Service Pack 1 e Microsoft Windows SharePoint Services 3.0 Service Pack 2 (versões de 32 bits) (KB983444)	Elevação de Privilégios	Importante	Nenhuma
Microsoft Windows SharePoint Services 3.0 Service Pack 1 e Microsoft Windows SharePoint Services 3.0 Service Pack 2 (versões de 64 bits) (KB983444)	Elevação de Privilégios	Importante	Nenhuma

^[1]Para edições com suporte do Microsoft Office SharePoint Server 2007, além do pacote de atualização de segurança KB979445, os clientes também precisam instalar a atualização de segurança para o Microsoft Windows SharePoint Services 3.0 (KB983444) para estarem protegidos contra as vulnerabilidades descritas neste boletim.

Software não afetado

Windows SharePoint Services e Microsoft SharePoint
Microsoft Windows SharePoint Services 2.0
Microsoft SharePoint Portal Server 2001 Service Pack 3
Microsoft Office SharePoint Portal Server 2003 Service Pack 3
Microsoft SharePoint Server 2010

Como está esta atualização de segurança (MS10-039) relacionada com o MS10-035, Atualização de Segurança Cumulativa para o Internet Explorer (982381)?
A vulnerabilidade de divulgação de informações toStaticHTML, CVE-2010-1257, descrita neste boletim, também afeta o Internet Explorer. MS10-035, Atualização de segurança cumulativa para o Internet Explorer (982381), elimina a vulnerabilidade do Internet Explorer. Se tiver instalado o Internet Explorer, aplique as atualizações necessárias de acordo com o boletim MS10-035. Se você tiver instalado o Microsoft SharePoint, aplique as atualizações necessárias de acordo com este boletim.

Onde estão os detalhes das informações do arquivo?
Consulte as tabelas de referência na seção Implantação da Atualização de Segurança para obter o local dos detalhes das informações do arquivo.

Quais são os problemas conhecidos que os clientes podem enfrentar ao instalar esta atualização de segurança?
O Artigo 2028554 da Base de Dados de Conhecimento Microsoft documenta os problemas atualmente conhecidos que os clientes podem enfrentar ao instalar esta atualização de segurança. O artigo também documenta as soluções recomendadas para esses problemas.

Por que esta atualização aborda várias vulnerabilidades de segurança relatadas?
Esta atualização contém suporte para várias vulnerabilidades porque as modificações necessárias para resolver esses problemas estão localizadas em arquivos relacionados. Em vez de ter que instalar várias atualizações que são quase iguais, os clientes precisam instalar apenas esta atualização.

O que é o Microsoft Windows SharePoint Services 3.0?
O Windows SharePoint Services 3.0 fornece uma plataforma para aplicativos colaborativos, oferecendo uma estrutura comum para gerenciamento de documentos e um repositório comum para armazenar documentos de todos os tipos. Ele expõe os principais serviços do Windows Server, como o Windows Workflow Services e o Windows Rights Management Services.

O Windows SharePoint Services 3.0 é fornecido como um download gratuito para edições com suporte do Windows Server 2003 e do Windows Server 2008.

Como o Microsoft Windows SharePoint Services 3.0 está relacionado ao Microsoft Office SharePoint Server 2007?
O Microsoft Office SharePoint Server 2007 é um conjunto integrado de recursos de servidor criado com base no Windows SharePoint Services 3.0.

Em que configurações precisarei aplicar as diferentes atualizações?
Você precisará aplicar uma ou ambas as atualizações, dependendo de qual produto do SharePoint está instalado em seu sistema. Para sistemas com apenas o Microsoft Windows SharePoint Services 3.0 instalado, você precisará aplicar a atualização KB983444. Para sistemas com o Microsoft Office SharePoint Server 2007 instalado, você precisará aplicar as atualizações KB979445 e KB983444. Não há nenhuma configuração em que você só possa ter o Microsoft Office SharePoint Server 2007 e não o Microsoft Windows SharePoint Services 3.0.

Eu uso o 2007 Microsoft Office System Service Pack 1. Estão incluídas funcionalidades de segurança adicionais nesta atualização?
Sim, como parte do modelo de serviço para o 2007 Microsoft Office System, quando os usuários do Microsoft Office 2007 Service Pack 1 instalarem esta atualização, seus sistemas serão atualizados para a funcionalidade de segurança lançada inicialmente com o Microsoft Office 2007 Service Pack 2. Todas as atualizações lançadas após 24 de abril de 2009 para o Microsoft Office 2007 incluirão esses recursos de segurança, que foram introduzidos no 2007 Microsoft Office System Service Pack 2. Testamos exaustivamente esta atualização, mas, como acontece com todas as atualizações, recomendamos que os usuários realizem testes adequados ao ambiente e à configuração de seus sistemas.

O componente do Office discutido neste artigo faz parte do Office Suite que eu instalei no meu sistema; no entanto, não optei por instalar este componente específico. Esta atualização ser-me-á oferecida?
Sim, se a versão do Office Suite instalada no seu sistema foi entregue com o componente discutido neste boletim, o sistema receberá atualizações para ele, quer o componente esteja instalado ou não. A lógica de deteção usada para verificar se há sistemas afetados foi projetada para verificar se há atualizações para todos os componentes fornecidos com o pacote Office específico e oferecer as atualizações para um sistema. Os usuários que optarem por não aplicar uma atualização para um componente que não está instalado, mas está incluído em sua versão do Pacote Office, não aumentará o risco de segurança desse sistema. Por outro lado, os utilizadores que optarem por instalar a atualização não terão um impacto negativo na segurança ou no desempenho de um sistema.

A oferta para atualizar uma versão não vulnerável do Microsoft Office constitui um problema no mecanismo de atualização da Microsoft?
Não, o mecanismo de atualização está funcionando corretamente, pois deteta uma versão mais baixa dos arquivos no sistema do que no pacote de atualização e, portanto, oferece a atualização.

Estou a utilizar uma versão mais antiga do software discutido neste boletim de segurança. O que devo fazer?
O software afetado listado neste boletim foi testado para determinar quais versões são afetadas. Outras versões já passaram do seu ciclo de vida de suporte. Para obter mais informações sobre o ciclo de vida do produto, visite o site do ciclo de vida do suporte da Microsoft.

Deve ser uma prioridade para os clientes que têm versões mais antigas do software migrar para versões suportadas para evitar a exposição potencial a vulnerabilidades. Para determinar o ciclo de vida do suporte para a versão do software, consulte Selecionar um produto para obter informações sobre o ciclo de vida. Para obter mais informações sobre service packs para essas versões de software, consulte Service packs suportados pelo ciclo de vida.

Os clientes que necessitem de suporte personalizado para software mais antigo devem contactar o representante da equipa da conta Microsoft, o Gestor Técnico de Conta ou o representante de parceiro Microsoft adequado para obter opções de suporte personalizadas. Os clientes sem um contrato Alliance, Premier ou Autorizado podem entrar em contato com o escritório de vendas local da Microsoft. Para obter informações de contacto, visite o Web site Microsoft Worldwide Information , selecione o país na lista Informações de Contacto e, em seguida, clique em Ir para ver uma lista de números de telefone. Quando ligar, peça para falar com o gerente de vendas local do Suporte Premier. Para obter mais informações, consulte as Perguntas frequentes sobre a Política de Ciclo de Vida do Suporte da Microsoft.

Informações de Vulnerabilidade

Classificações de gravidade e identificadores de vulnerabilidade

As seguintes classificações de gravidade assumem o potencial impacto máximo da vulnerabilidade. Para obter informações sobre a probabilidade de exploração da vulnerabilidade em relação à sua classificação de gravidade e ao impacto na segurança, dentro de 30 dias após o lançamento deste boletim de segurança, consulte o Índice de Exploração no resumo de boletins de junho. Para obter mais informações, consulte Microsoft Exploitability Index.

Software afetado	Vulnerabilidade de XSS no Help.aspx - CVE-2010-0817	Vulnerabilidade de divulgação de informações toStaticHTML - CVE-2010-1257	Vulnerabilidade de negação de serviço na página de Ajuda do SharePoint - CVE-2010-1264	Classificação de gravidade agregada
Microsoft Office Software
Microsoft Office InfoPath 2003 Service Pack 3	Não aplicável	Divulgação de informações importantes	Não aplicável	Importante
Microsoft Office InfoPath 2007 Service Pack 1 e Microsoft Office InfoPath 2007 Service Pack 2	Não aplicável	Divulgação de informações importantes	Não aplicável	Importante
Microsoft Office SharePoint Server 2007 Service Pack 1 e Microsoft Office SharePoint Server 2007 Service Pack 2 (edições de 32 bits)	Não aplicável	Divulgação de informações importantes	Não aplicável	Importante
Microsoft Office SharePoint Server 2007 Service Pack 1 e Microsoft Office SharePoint Server 2007 Service Pack 2 (edições de 64 bits)	Não aplicável	Divulgação de informações importantes	Não aplicável	Importante
Windows SharePoint Services
Microsoft Windows SharePoint Services 3.0 Service Pack 1 e Microsoft Windows SharePoint Services 3.0 Service Pack 2 (versões de 32 bits)	Elevação importante de privilégio	Divulgação de informações importantes	Negação de serviço importante	Importante
Microsoft Windows SharePoint Services 3.0 Service Pack 1 e Microsoft Windows SharePoint Services 3.0 Service Pack 2 (versões de 64 bits)	Elevação importante de privilégio	Divulgação de informações importantes	Negação de serviço importante	Importante

Vulnerabilidade de XSS no Help.aspx - CVE-2010-0817

Existe uma vulnerabilidade de script e falsificação entre sites no Microsoft Windows SharePoint Services 3.0 e no Microsoft Office SharePoint Server 2007 que pode permitir que um invasor convença um usuário a executar um script mal-intencionado. O invasor que explorar com êxito a vulnerabilidade poderá modificar caches de navegadores da Web e caches de servidores proxy intermediários. Além disso, um invasor pode colocar conteúdo falsificado nesses caches. Um invasor também pode explorar a vulnerabilidade para executar ataques de script entre sites.

Para exibir esta vulnerabilidade como uma entrada padrão na lista Common Vulnerabilities and Exposures, consulte CVE-2010-0817.

Fatores atenuantes da vulnerabilidade de XSS no Help.aspx - CVE-2010-0817

A atenuação refere-se a uma definição, configuração comum ou prática recomendada geral, existente num estado predefinido, que pode reduzir a gravidade da exploração de uma vulnerabilidade. Os seguintes fatores atenuantes podem ser úteis na sua situação:

Os usuários do Internet Explorer 8 que navegam para um site do SharePoint na Zona da Internet correm um risco reduzido porque, por padrão, o Filtro XSS no Internet Explorer 8 impede esse ataque na Zona da Internet. No entanto, o Filtro XSS do Internet Explorer 8 não está habilitado por padrão na Zona da Intranet.
Um invasor pode fazer com que JavaScript arbitrário seja executado pelo usuário clicando na URL especialmente criada, mas o invasor não poderá roubar as credenciais de autenticação do usuário conectado devido à maneira como o SharePoint Server lida com o cookie de autenticação HttpOnly
A vulnerabilidade não pode ser explorada automaticamente através de correio eletrónico. Para que um ataque seja bem-sucedido, um usuário deve clicar em uma URL que é enviada em uma mensagem de email.

Soluções alternativas para a vulnerabilidade de XSS de Help.aspx - CVE-2010-0817

Solução alternativa refere-se a uma definição ou alteração de configuração que não corrige a vulnerabilidade subjacente, mas que ajudaria a bloquear vetores de ataque conhecidos antes de aplicar a atualização. A Microsoft testou as seguintes soluções alternativas e estados na discussão se uma solução alternativa reduz a funcionalidade:

Restringir o acesso ao SharePoint Help.aspx

Um administrador pode aplicar uma lista de controle de acesso ao SharePoint Help.aspx para garantir que eles não possam mais ser carregados. Isso impede efetivamente a exploração da vulnerabilidade usando esse vetor de ataque.

Para restringir o acesso ao Help.aspx vulnerável, execute os seguintes comandos a partir de uma linha de comandos:

cacls "%ProgramFiles%\Common Files\Microsoft Shared\Web Server Extensions\12\TEMPLATE\LAYOUTS\Help.aspx" /E /P everyone:N

cacls "%ProgramFiles(x86)%\Common Files\Microsoft Shared\Web Server Extensions\12\TEMPLATE\LAYOUTS\Help.aspx" /E /P everyone:N

Impacto da solução alternativa. Esta solução alternativa desativará toda a funcionalidade de ajuda do servidor do SharePoint.

Como desfazer a solução alternativa.

Execute os seguintes comandos a partir de uma linha de comandos:

takeown /f "%ProgramFiles%\Common Files\Microsoft Shared\Web Server Extensions\12\TEMPLATE\LAYOUTS\Help.aspx"

takeown /f "%ProgramFiles(x86)%\Common Files\Microsoft Shared\Web Server Extensions\12\TEMPLATE\LAYOUTS\Help.aspx"

cacls "%ProgramFiles%\Common Files\Microsoft Shared\Web Server Extensions\12\TEMPLATE\LAYOUTS\Help.aspx" /E /R everyone

cacls "%ProgramFiles(x86)%\Common Files\Microsoft Shared\Web Server Extensions\12\TEMPLATE\LAYOUTS\Help.aspx" /E /R everyone

Perguntas frequentes sobre a vulnerabilidade de XSS no Help.aspx - CVE-2010-0817

Qual é o âmbito da vulnerabilidade?
Esta é uma vulnerabilidade de script que pode resultar na elevação de privilégio no Microsoft Windows SharePoint Services 3.0 e no Microsoft Office SharePoint Server 2007 que pode permitir que um invasor convença um usuário a executar um script mal-intencionado. Um intruso que conseguisse explorar esta vulnerabilidade poderia executar ataques de script entre sites, apresentar respostas falsificadas aos utilizadores ou redirecionar respostas do servidor para outro utilizador. Também pode ser possível que um invasor explore a vulnerabilidade para modificar caches de navegadores da Web e caches de servidores proxy intermediários e colocar conteúdo falsificado nesses caches.

O que causa a vulnerabilidade?
O Microsoft Windows SharePoint Services 3.0 e o Microsoft Office SharePoint Server 2007 não validam corretamente a entrada fornecida a uma consulta HTML antes de enviar essa entrada para o navegador.

Para que um invasor pode usar a vulnerabilidade?
Um intruso que conseguisse explorar a vulnerabilidade poderia obter os mesmos direitos de utilizador no site do SharePoint que o utilizador visado. O invasor pode então executar comandos no servidor do SharePoint no contexto do usuário alvo.

Como poderia um intruso explorar a vulnerabilidade?
Para que um ataque seja bem-sucedido, um usuário teria que clicar em um link fornecido pelo invasor especialmente criado para um servidor afetado.

Num cenário de ataque por correio eletrónico, um intruso poderia explorar a vulnerabilidade enviando uma mensagem de correio eletrónico contendo a ligação especialmente concebida para o efeito para o utilizador do servidor afetado visado e convencendo o utilizador a clicar na ligação especialmente concebida para o efeito.

Num cenário de ataque baseado na Web, um intruso teria de alojar um Web site que contivesse uma ligação especialmente concebida para o efeito para o servidor afetado de destino utilizado para tentar explorar esta vulnerabilidade. Além disso, os Web sites comprometidos e os Web sites que aceitam ou alojam conteúdo fornecido pelo utilizador podem conter conteúdo especialmente concebido para o efeito que pode explorar esta vulnerabilidade. Um invasor não teria como forçar os usuários a visitar um site especialmente criado. Em vez disso, o invasor teria que convencê-los a visitar o site, geralmente fazendo com que eles cliquem em um link em um email ou mensagem do Instant Messenger que os leve ao site do invasor e, em seguida, convencê-los a clicar no link especialmente criado.

Quais são os sistemas mais suscetíveis a esta vulnerabilidade?
Os sistemas clientes em que os utilizadores navegam na Internet são os que correm maior risco.

O que é o filtro XSS (Cross Site-scripting) do Internet Explorer 8?
Os ataques de script entre sites tentam explorar vulnerabilidades nos sites que você usa. A vulnerabilidade descrita neste boletim é um exemplo. Nesse caso, você pode receber uma mensagem de email que contém um endereço de site especialmente criado que inclui um script. Quando você clica na URL, é direcionado para um site legítimo do SharePoint onde o script fornecido pelo invasor é executado. Os ataques de script entre sites emergiram como uma das principais ameaças online, portanto, o Internet Explorer 8 inclui um filtro de script entre sites que pode detetar esses tipos de ataques e desabilitar os scripts prejudiciais. Por padrão, o filtro de script entre sites é ativado no Internet Explorer 8 para a Zona da Internet.

O que faz a atualização?
A atualização elimina a vulnerabilidade modificando a maneira como o Microsoft Windows SharePoint Services 3.0 e o Microsoft Office SharePoint Server 2007 validam a entrada fornecida a uma consulta HTTP antes de enviá-la ao cliente.

Quando este boletim de segurança foi emitido, esta vulnerabilidade tinha sido divulgada publicamente?
Sim. Esta vulnerabilidade foi divulgada publicamente. Ela recebeu o número CVE-2010-0817 da lista Common Vulnerability and Exposure. A vulnerabilidade foi descrita pela primeira vez no Comunicado de Segurança da Microsoft 983438.

Quando este boletim de segurança foi publicado, a Microsoft tinha recebido algum relatório de que esta vulnerabilidade estava a ser explorada?
Sim. Quando o boletim de segurança foi lançado, a Microsoft tinha recebido informações de que esta vulnerabilidade estava a ser explorada.

A aplicação desta atualização de segurança ajuda a proteger os clientes contra o código, publicado publicamente, que tenta explorar esta vulnerabilidade?
Sim. Esta atualização de segurança elimina a vulnerabilidade que potencialmente pode ser explorada usando o código de prova de conceito publicado. A vulnerabilidade abordada recebeu o número CVE-2010-0817 da lista Common Vulnerability and Exposure.

Vulnerabilidade de divulgação de informações toStaticHTML - CVE-2010-1257

Existe uma vulnerabilidade de divulgação não autorizada de informações na maneira como a API toStaticHTML do SharePoint limpa HTML, que pode permitir que um invasor execute ataques de script entre sites e execute scripts no contexto de segurança do usuário conectado.

Para exibir esta vulnerabilidade como uma entrada padrão na lista Common Vulnerabilities and Exposures, consulte CVE-2010-1257.

Fatores atenuantes da Vulnerabilidade de divulgação de informações toStaticHTML - CVE-2010-1257

Somente sites do SharePoint que usam toStaticHTML são potencialmente afetados.

Soluções alternativas para a Vulnerabilidade de divulgação de informações toStaticHTML - CVE-2010-1257

Ler e-mails em texto simples

Para ajudar a proteger-se do vetor de ataque por correio eletrónico, leia as mensagens de correio eletrónico em formato de texto simples.

Os usuários do Microsoft Office Outlook 2002 que aplicaram o Office XP Service Pack 1 ou uma versão posterior e os usuários do Microsoft Office Outlook Express 6 que aplicaram o Internet Explorer 6 Service Pack 1 ou uma versão posterior podem habilitar essa configuração e exibir mensagens de email que não são assinadas digitalmente ou mensagens de email que não são criptografadas somente em texto sem formatação.

As mensagens de correio eletrónico assinadas digitalmente ou as mensagens de correio eletrónico encriptadas não são afetadas pela definição e podem ser lidas nos seus formatos originais. Para obter mais informações sobre como habilitar essa configuração no Outlook 2002, consulte o artigo 307594 da Base de Dados de Conhecimento Microsoft.

Para obter informações sobre essa configuração no Outlook Express 6, consulte o artigo 291387 da Base de Dados de Conhecimento Microsoft.

Impacto da solução alternativa. As mensagens de correio eletrónico visualizadas em formato de texto simples não conterão imagens, tipos de letra especializados, animações ou outro conteúdo rico. Além disso:
- As alterações são aplicadas ao painel de visualização e às mensagens abertas.
- As imagens tornam-se anexos para que não se percam.
- Como a mensagem ainda está no formato Rich Text ou HTML no armazenamento, o modelo de objeto (soluções de código personalizado) pode se comportar inesperadamente.
Defina as configurações da zona de segurança da Internet e da intranet local como "Alta" para bloquear controles ActiveX e scripts ativos nessas zonas

Pode ajudar a proteger-se contra a exploração desta vulnerabilidade alterando as definições da zona de segurança da Internet para bloquear controlos ActiveX e scripts ativos. Você pode fazer isso definindo a segurança do seu navegador como Alta.

Para aumentar o nível de segurança de navegação no Internet Explorer, siga estes passos:
1. No menu Ferramentas do Internet Explorer, clique em Opções da Internet.
2. Na caixa de diálogo Opções da Internet, clique no separador Segurança e, em seguida, clique no ícone Internet.
3. Em Nível de segurança para esta zona, mova o controle deslizante para Alto. Isso define o nível de segurança para todos os sites que você visita como Alto.
Observação Se nenhum controle deslizante estiver visível, clique em Nível Padrão e mova o controle deslizante para Alto.

Observação Definir o nível como Alto pode fazer com que alguns sites funcionem incorretamente. Se tiver dificuldade em utilizar um Web site depois de alterar esta definição e tiver a certeza de que o site é seguro de utilizar, pode adicionar esse site à sua lista de sites fidedignos. Isso permitirá que o site funcione corretamente, mesmo com a configuração de segurança definida como Alta.

Impacto da solução alternativa. Há efeitos colaterais para bloquear controles ActiveX e scripts ativos. Muitos sites que estão na Internet ou em uma intranet usam ActiveX ou scripts ativos para fornecer funcionalidade adicional. Por exemplo, um site de comércio eletrônico on-line ou site bancário pode usar controles ActiveX para fornecer menus, formulários de pedido ou até mesmo extratos de conta. Bloquear controles ActiveX ou scripts ativos é uma configuração global que afeta todos os sites da Internet e da intranet. Se você não quiser bloquear controles ActiveX ou scripts ativos para esses sites, use as etapas descritas em "Adicionar sites confiáveis à zona de sites confiáveis do Internet Explorer".

Adicionar sites confiáveis à zona de sites confiáveis do Internet Explorer

Depois de definir o Internet Explorer para bloquear controles ActiveX e scripts ativos na zona da Internet e na zona da intranet local, você pode adicionar sites confiáveis à zona de sites confiáveis do Internet Explorer. Isso permitirá que você continue a usar sites confiáveis exatamente como faz hoje, enquanto ajuda a se proteger contra esse ataque a sites não confiáveis. Recomendamos que adicione apenas sites em que confia à zona Sites fidedignos.

Para o fazer, siga estes passos:
1. No Internet Explorer, clique em Ferramentas, clique em Opções da Internet e, em seguida, clique na guia Segurança .
2. Na caixa Selecione uma zona de conteúdo da Web para especificar suas configurações de segurança atuais, clique em Sites Confiáveis e, em seguida, clique em Sites.
3. Se desejar adicionar sites que não exigem um canal criptografado, desmarque a caixa de seleção Exigir verificação do servidor (https:) para todos os sites nesta zona .
4. Na caixa Adicionar este Web site à zona, escreva o URL de um site em que confia e, em seguida, clique em Adicionar.
5. Repita estas etapas para cada site que você deseja adicionar à zona.
6. Clique em OK duas vezes para aceitar as alterações e retornar ao Internet Explorer.
Observação Adicione sites confiáveis para não executar ações maliciosas no sistema. Dois em particular que você pode querer adicionar são *.windowsupdate.microsoft.com e *.update.microsoft.com. Estes são os sites que irão alojar a atualização e requer um controlo ActiveX para instalar a atualização.

Perguntas frequentes sobre a Vulnerabilidade de divulgação de informações toStaticHTML - CVE-2010-1257

Qual é o âmbito da vulnerabilidade?
Esta é uma vulnerabilidade de divulgação de informações. O invasor que explorar com êxito a vulnerabilidade poderá executar ataques persistentes de script entre sites contra usuários de um site do SharePoint.

O que causa a vulnerabilidade?
A vulnerabilidade é causada pela maneira como a API toStaticHTML limpa HTML em um site do SharePoint.

O que é toStaticHTML?
O toStaticHTML é uma API que pode ser usada para limpar HTML removendo atributos de evento e script da entrada do usuário antes de ser exibido como HTML. Para obter mais informações, consulte o artigo da Biblioteca MSDN, toStaticHTML Method.

O que é script entre sites?
O script entre sites (XSS) é uma classe de vulnerabilidade de segurança que pode permitir que um invasor "injete" código de script na sessão de um usuário com um site. A vulnerabilidade pode afetar servidores Web que geram dinamicamente páginas HTML. Se esses servidores incorporarem a entrada do navegador nas páginas dinâmicas que enviam de volta ao navegador, esses servidores poderão ser manipulados para incluir conteúdo fornecido com códigos maliciosos nas páginas dinâmicas. Isso pode permitir que scripts mal-intencionados sejam executados. Os navegadores da Web podem perpetuar esse problema através de suas suposições de sites "confiáveis" e seu uso de cookies para manter o estado persistente com os sites que eles frequentam. Um ataque XSS não modifica o conteúdo do site. Em vez disso, ele insere um script novo e mal-intencionado que pode ser executado no navegador no contexto associado a um servidor confiável.

Para que um invasor pode usar a vulnerabilidade?
O invasor que explorar com êxito a vulnerabilidade poderá executar ataques de script entre sites contra usuários de um site do SharePoint direcionado. Um invasor pode então executar scripts no contexto de segurança dos usuários do site contra o site do SharePoint de destino que está usando toStaticHTML.

Como poderia um intruso explorar a vulnerabilidade?
Para explorar esta vulnerabilidade, um invasor deve ter a capacidade de enviar um script especialmente criado para um site do SharePoint de destino. Devido à vulnerabilidade, em situações específicas, o script especialmente criado não é devidamente limpo usando toStaticHTML e, subsequentemente, isso pode levar à execução de script fornecido pelo invasor no contexto de segurança de um usuário que exibe o conteúdo mal-intencionado no site do SharePoint.

Para ataques de script entre sites, esta vulnerabilidade requer que um usuário esteja visitando um site do SharePoint comprometido para que qualquer ação mal-intencionada ocorra. Por exemplo, depois que um invasor envia com êxito um script especialmente criado para o site do SharePoint de destino, qualquer página da Web nesse site do SharePoint que contenha o script especialmente criado é um vetor potencial para ataques persistentes de script entre sites. Quando um usuário visita uma página da Web que contém o script especialmente criado, o script pode ser executado no contexto de segurança do usuário no site do SharePoint.

Quais são os sistemas mais suscetíveis a esta vulnerabilidade?
Os sistemas em que os usuários se conectam a um servidor do SharePoint, como estações de trabalho ou servidores de terminal, são os que correm mais risco.

O que faz a atualização?
A atualização elimina a vulnerabilidade modificando a maneira como toStaticHTML limpa o conteúdo HTML.

Esta vulnerabilidade está relacionada com CVE-2010-1257 noboletim MS10-035, Atualização de Segurança Cumulativa para o Internet Explorer (982381)?
Sim, a vulnerabilidade de divulgação de informações toStaticHTML, CVE-2010-1257, também afeta o Internet Explorer.

Ambas as atualizações precisam ser instaladas para estarem protegidas contra a vulnerabilidade?
Não, cada atualização aborda um aplicativo separado. Apenas a atualização que corresponde ao software em execução no seu sistema precisa ser aplicada.

Quando este boletim de segurança foi emitido, esta vulnerabilidade tinha sido divulgada publicamente?
N.º A Microsoft recebeu informações sobre esta vulnerabilidade através de divulgação responsável.

Quando este boletim de segurança foi publicado, a Microsoft tinha recebido algum relatório de que esta vulnerabilidade estava a ser explorada?
N.º A Microsoft não tinha recebido qualquer informação que indicasse que esta vulnerabilidade tinha sido utilizada publicamente para atacar clientes e não tinha visto quaisquer exemplos de código de prova de conceito publicados quando este boletim de segurança foi originalmente publicado.

Vulnerabilidade de negação de serviço na página de Ajuda do SharePoint - CVE-2010-1264

Existe uma vulnerabilidade de negação de serviço na forma como o Microsoft SharePoint processa pedidos especialmente concebidos para o efeito na página de ajuda. Um invasor pode explorar a vulnerabilidade enviando pacotes especialmente criados para o servidor do SharePoint de destino, o que pode fazer com que o servidor Web pare de responder até que o pool de aplicativos associado seja reiniciado.

Para exibir esta vulnerabilidade como uma entrada padrão na lista Common Vulnerabilities and Exposures, consulte CVE-2010-1264.

Fatores atenuantes da vulnerabilidade de negação de serviço da página de ajuda do SharePoint - CVE-2010-1264

O invasor não pode executar código arbitrário no servidor SharePoint de destino. Esta é apenas uma vulnerabilidade de negação de serviço.
O invasor deve ser autenticado no site do SharePoint para explorar esta vulnerabilidade.

Soluções alternativas para a vulnerabilidade de negação de serviço na página de ajuda do SharePoint - CVE-2010-1264

Restringir o acesso ao SharePoint Help.aspx

Um administrador pode aplicar uma lista de controle de acesso ao SharePoint Help.aspx para impedir o carregamento do SharePoint Help.aspx. Isso impede efetivamente a exploração da vulnerabilidade usando esse vetor de ataque.

Para restringir o acesso ao Help.aspx vulnerável, execute os seguintes comandos a partir de uma linha de comandos:

cacls "%ProgramFiles%\Common Files\Microsoft Shared\Web Server Extensions\12\TEMPLATE\LAYOUTS\Help.aspx" /E /P everyone:N

cacls "%ProgramFiles(x86)%\Common Files\Microsoft Shared\Web Server Extensions\12\TEMPLATE\LAYOUTS\Help.aspx" /E /P everyone:N

Impacto da solução alternativa. Esta solução alternativa desativará toda a funcionalidade de ajuda do servidor do SharePoint.

Como desfazer a solução alternativa.

Execute os seguintes comandos a partir de uma linha de comandos:

takeown /f "%ProgramFiles%\Common Files\Microsoft Shared\Web Server Extensions\12\TEMPLATE\LAYOUTS\Help.aspx"

takeown /f "%ProgramFiles(x86)%\Common Files\Microsoft Shared\Web Server Extensions\12\TEMPLATE\LAYOUTS\Help.aspx"

cacls "%ProgramFiles%\Common Files\Microsoft Shared\Web Server Extensions\12\TEMPLATE\LAYOUTS\Help.aspx" /E /R everyone

cacls "%ProgramFiles(x86)%\Common Files\Microsoft Shared\Web Server Extensions\12\TEMPLATE\LAYOUTS\Help.aspx" /E /R everyone

Perguntas frequentes sobre a vulnerabilidade de negação de serviço na página de ajuda do SharePoint - CVE-2010-1264

Qual é o âmbito da vulnerabilidade?
Existe uma vulnerabilidade de negação de serviço no Microsoft Office SharePoint Server 2007. Um intruso que conseguisse explorar esta vulnerabilidade poderia causar negação de serviço enviando pedidos especialmente concebidos para o efeito na página Ajuda do servidor SharePoint.

O que causa a vulnerabilidade?
A vulnerabilidade deve-se à forma como o Microsoft SharePoint processa pedidos especialmente concebidos para o efeito enviados para a página de Ajuda.

Para que um invasor pode usar a vulnerabilidade?
O invasor pode causar um impacto de negação de serviço limitado ou de longo prazo no servidor do SharePoint.

Como poderia um intruso explorar a vulnerabilidade?
Um invasor pode tentar explorar esta vulnerabilidade enviando solicitações especialmente criadas para a página Ajuda do servidor do SharePoint, fazendo com que o pool de aplicativos associado falhe e seja reiniciado automaticamente pelo IIS. Com um número suficiente de reinicializações automáticas em uma janela de tempo limitada, a configuração padrão do IIS interromperá a reinicialização do pool de aplicativos. O servidor Web pode então deixar de responder até que um administrador reinicie manualmente o pool de aplicativos.

Quais são os sistemas mais suscetíveis a esta vulnerabilidade?
Os servidores nos quais o Microsoft Office SharePoint Server 2007 está em execução são os que correm mais risco.

O que faz a atualização?
A atualização elimina a vulnerabilidade corrigindo a maneira como o Microsoft SharePoint lida com solicitações especialmente criadas para a página de Ajuda.

Informações de atualização

Orientação e ferramentas de deteção e implantação

Gerencie o software e as atualizações de segurança necessárias para implantar nos servidores, desktops e sistemas móveis da sua organização. Para obter mais informações, consulte o TechNet Update Management Center. O site Microsoft TechNet Security fornece informações adicionais sobre segurança em produtos Microsoft.

As atualizações de segurança estão disponíveis no Microsoft Update e no Windows Update . As atualizações de segurança também estão disponíveis no Centro de Download da Microsoft. Você pode encontrá-los mais facilmente fazendo uma pesquisa de palavra-chave para "atualização de segurança".

Finalmente, as atualizações de segurança podem ser baixadas do Catálogo do Microsoft Update. O Catálogo do Microsoft Update fornece um catálogo pesquisável de conteúdo disponibilizado através do Windows Update e do Microsoft Update, incluindo atualizações de segurança, drivers e service packs. Ao pesquisar usando o número do boletim de segurança (como "MS07-036"), você pode adicionar todas as atualizações aplicáveis à sua cesta (incluindo idiomas diferentes para uma atualização) e fazer o download para a pasta de sua escolha. Para obter mais informações sobre o Catálogo do Microsoft Update, consulte as Perguntas frequentes sobre o Catálogo do Microsoft Update.

Observação A Microsoft descontinuou o suporte para o Office Update e a Office Update Inventory Tool a partir de 1º de agosto de 2009. Para continuar a obter as atualizações mais recentes para os produtos do Microsoft Office, utilize o Microsoft Update. Para obter mais informações, consulte Sobre o Microsoft Office Update: perguntas frequentes.

Diretrizes de deteção e implantação

A Microsoft fornece orientações de deteção e implementação para atualizações de segurança. Este guia contém recomendações e informações que podem ajudar os profissionais de TI a entender como usar várias ferramentas para deteção e implantação de atualizações de segurança. Para obter mais informações, consulte o artigo 961747 da Base de Dados de Conhecimento Microsoft.

Analisador de Segurança de Linha de Base da Microsoft

O Microsoft Baseline Security Analyzer (MBSA) permite que os administradores analisem sistemas locais e remotos em busca de atualizações de segurança ausentes, bem como de configurações incorretas de segurança comuns. Para obter mais informações sobre o MBSA, visite Microsoft Baseline Security Analyzer.

A tabela a seguir fornece o resumo de deteção do MBSA para esta atualização de segurança.

Software	MBSA 2.1.1
Microsoft Office InfoPath 2003 Service Pack 3	Sim
Microsoft Office InfoPath 2007 Service Pack 1 e Microsoft Office InfoPath Service Pack 2	Sim
Microsoft Office SharePoint Server 2007 Service Pack 1 e Microsoft Office SharePoint Server 2007 Service Pack 2 (edições de 32 bits)	Sim
Microsoft Office SharePoint Server 2007 Service Pack 1 e Microsoft Office SharePoint Server 2007 Service Pack 2 (edições de 64 bits)	Sim
Microsoft Windows SharePoint Services 3.0 Service Pack 1 e Microsoft Windows SharePoint Services 3.0 Service Pack 2 (versões de 32 bits)	Sim
Microsoft Windows SharePoint Services 3.0 Service Pack 1 e Microsoft Windows SharePoint Services 3.0 Service Pack 2 (versões de 64 bits)	Sim

Foi lançada a versão mais recente do MBSA: Microsoft Baseline Security Analyzer 2.1.1. Para obter mais informações, consulte Microsoft Baseline Security Analyzer 2.1.

Observação Para clientes que usam software herdado não suportado pelo MBSA 2.1.1, Microsoft Update e Windows Server Update Services: visite o Microsoft Baseline Security Analyzer e consulte a seção Suporte ao produto herdado sobre como criar uma deteção abrangente de atualização de segurança com ferramentas herdadas.

Windows Server Update Services

Usando o WSUS (Windows Server Update Services), os administradores podem implantar as atualizações críticas e de segurança mais recentes para os sistemas operacionais Microsoft Windows 2000 e posteriores, Office XP e posterior, Exchange Server 2003 e SQL Server 2000. Para obter mais informações sobre como implantar esta atualização de segurança usando o Windows Server Update Services, visite o site do Windows Server Update Services.

Servidor de Gestão de Sistemas

A tabela a seguir fornece o resumo de deteção e implantação do SMS para esta atualização de segurança.

Software	SMS 2,0	SMS 2003 com SUIT	SMS 2003 com ITMU	Configuration Manager 2007
Microsoft Office InfoPath 2003 Service Pack 3	No	No	Sim	Sim
Microsoft Office InfoPath 2007 Service Pack 1 e Microsoft Office InfoPath Service Pack 2	No	No	Sim	Sim
Microsoft Office SharePoint Server 2007 Service Pack 1 e Microsoft Office SharePoint Server 2007 Service Pack 2 (edições de 32 bits)	No	Não	Sim. Consulte a Observação para o Microsoft Office SharePoint Server 2007 abaixo	Sim. Consulte a Observação para o Microsoft Office SharePoint Server 2007 abaixo
Microsoft Office SharePoint Server 2007 Service Pack 1 e Microsoft Office SharePoint Server 2007 Service Pack 2 (edições de 64 bits)	No	Não	Sim. Consulte a Observação para o Microsoft Office SharePoint Server 2007 abaixo	Sim. Consulte a Observação para o Microsoft Office SharePoint Server 2007 abaixo
Microsoft Windows SharePoint Services 3.0 Service Pack 1 e Microsoft Windows SharePoint Services 3.0 Service Pack 2 (versões de 32 bits)	No	No	Sim	Sim
Microsoft Windows SharePoint Services 3.0 Service Pack 1 e Microsoft Windows SharePoint Services 3.0 Service Pack 2 (versões de 64 bits)	No	No	Sim	Sim

Para o SMS 2.0 e o SMS 2003, a ferramenta Security Update Inventory Tool (SUIT) pode ser usada pelo SMS para detetar atualizações de segurança. Consulte também Downloads para o Systems Management Server 2.0.

Para o SMS 2003, a ferramenta SMS 2003 Inventory Tool for Microsoft Updates (ITMU) pode ser usada pelo SMS para detetar atualizações de segurança oferecidas pelo Microsoft Update e suportadas pelo Windows Server Update Services. Para obter mais informações sobre a ITMU do SMS 2003, consulte SMS 2003 Inventory Tool for Microsoft Updates. Para obter mais informações sobre as ferramentas de verificação do SMS, consulte Ferramentas de verificação de atualização de software do SMS 2003. Consulte também Downloads para o Systems Management Server 2003.

O System Center Configuration Manager 2007 usa o WSUS 3.0 para deteção de atualizações. Para obter mais informações sobre o Configuration Manager 2007 Software Update Management, visite System Center Configuration Manager 2007.

Para obter mais informações sobre o SMS, visite o site do SMS.

Para obter informações mais detalhadas, consulte o artigo 910723 da Base de Dados de Conhecimento Microsoft: Lista resumida de artigos mensais de diretrizes de deteção e implantação.

Observação para o Microsoft Office SharePoint Server 2007 A tabela de deteção descrita acima é baseada em implantações de servidor único do Microsoft Office SharePoint Server 2007. As ferramentas de deteção não detetam a aplicabilidade da atualização em sistemas configurados como parte de farms de servidores SharePoint de vários sistemas. Para obter mais informações sobre como implantar atualizações em configurações autônomas e multisservidor, consulte o artigo do TechNet, Implantar atualizações de software para o Office SharePoint Server 2007.

Nota Se tiver utilizado um ponto de instalação administrativa (AIP) para implementar o Office XP ou o Office 2003, poderá não conseguir implementar a atualização utilizando o SMS se tiver atualizado o AIP a partir da linha de base original. Para obter mais informações, consulte o título Ponto de Instalação Administrativa do Office nesta seção.

Ponto de Instalação Administrativa do Office

Se você instalou seu aplicativo a partir de um local de servidor, o administrador do servidor deve atualizar o local do servidor com a atualização administrativa e implantar essa atualização em seu sistema.

Para versões suportadas do Microsoft Office XP, consulte Criando um ponto de instalação administrativa. Para obter mais informações sobre como alterar a fonte de um sistema cliente de um ponto de instalação administrativa atualizado para uma fonte de linha de base original do Office XP, consulte o artigo 922665 da Base de Dados de Conhecimento Microsoft.
Observação Se você planeja gerenciar atualizações de software centralmente a partir de uma imagem administrativa atualizada, poderá encontrar mais informações no artigo Atualizando clientes do Office XP a partir de uma imagem administrativa corrigida.
Para versões com suporte do Microsoft Office 2003, consulte Criando um ponto de instalação administrativa. Para obter mais informações sobre como alterar a fonte de um computador cliente de um ponto de instalação administrativa atualizado para uma fonte de linha de base original do Office 2003 ou Service Pack 3 (SP3), consulte o artigo 902349 da Base de Dados de Conhecimento Microsoft.
Observação Se você planeja gerenciar atualizações de software centralmente a partir de uma imagem administrativa atualizada, poderá encontrar mais informações no artigo Distribuindo atualizações de produto do Office 2003.
Para versões com suporte do 2007 Microsoft Office system, consulte Criar um ponto de instalação de rede para o 2007 Office system.
Observação Se você planeja gerenciar atualizações de segurança centralmente, use o Windows Server Update Services. Para obter mais informações sobre como implantar atualizações de segurança para o 2007 Microsoft Office system usando o Windows Server Update Services, visite o site do Windows Server Update Services.

Avaliador de compatibilidade de atualização e kit de ferramentas de compatibilidade de aplicativos

As atualizações geralmente gravam nos mesmos arquivos e configurações do Registro necessárias para que seus aplicativos sejam executados. Isso pode desencadear incompatibilidades e aumentar o tempo necessário para implantar atualizações de segurança. Você pode simplificar o teste e a validação de atualizações do Windows em relação aos aplicativos instalados com os componentes do Update Compatibility Evaluator incluídos no Application Compatibility Toolkit.

O Application Compatibility Toolkit (ACT) contém as ferramentas e a documentação necessárias para avaliar e mitigar problemas de compatibilidade de aplicativos antes de implantar o Microsoft Windows Vista, uma atualização do Windows, uma atualização de segurança da Microsoft ou uma nova versão do Windows Internet Explorer em seu ambiente.

Implementação da Atualização de Segurança

Software afetado

Para obter informações sobre a atualização de segurança específica para o software afetado, clique no link apropriado:

InfoPath 2003 (todas as edições)

Tabela de Referência

A tabela seguinte contém as informações de atualização de segurança para este software. Você pode encontrar informações adicionais na subseção, Informações de implantação, nesta seção.

Inclusão em Service Packs Futuros	Não há mais service packs planejados para este software. A atualização para esse problema pode ser incluída em um pacote cumulativo de atualizações futuro.
Implementação
Instalação sem intervenção do utilizador	office2003-KB980923-FullFile-PTU /q:a
Instalação sem reiniciar	office2003-KB980923-FullFile-PTU /r:n
Atualizar arquivo de log	Não aplicável
Informações adicionais	Para deteção e implantação, consulte a seção anterior, Orientação e ferramentas de deteção e implantação. \ \ Para recursos que você pode instalar seletivamente, consulte a subseção Recursos do Office para instalações administrativas nesta seção.
Requisito de reinicialização
É necessário reiniciar?	Em alguns casos, esta atualização não requer uma reinicialização. Se os arquivos necessários estiverem sendo usados, esta atualização exigirá uma reinicialização. Se este comportamento ocorrer, é apresentada uma mensagem a aconselhá-lo a reiniciar.\ \ Para ajudar a reduzir a probabilidade de ser necessário um reinício, interrompa todos os serviços afetados e feche todas as aplicações que possam utilizar os ficheiros afetados antes de instalar a atualização de segurança. Para obter mais informações sobre os motivos pelos quais você pode ser solicitado a reiniciar, consulte o artigo 887012 da Base de Dados de Conhecimento Microsoft.
Aplicação dinâmica de patches	Não aplicável
Informações sobre remoção	Use a ferramenta Adicionar ou Remover Programas no Painel de Controle.Nota Quando remover esta atualização, poderá ser-lhe pedido para inserir o CD do Microsoft Office 2003 na unidade de CD. Além disso, poderá não ter a opção de desinstalar a atualização a partir da ferramenta Adicionar ou remover programas no painel de controlo. Existem várias causas possíveis para este problema. Para obter mais informações sobre a remoção, consulte o artigo 903771 da Base de Dados de Conhecimento Microsoft.
Informações de arquivo	Consulte o artigo 980923 da Base de Dados de Conhecimento Microsoft
Verificação da chave de registo	Não aplicável

Informações de implantação

Instalando a atualização

Você pode instalar a atualização a partir do link de download apropriado na seção Software afetado e não afetado. Se você instalou seu aplicativo a partir de um local de servidor, o administrador do servidor deve, em vez disso, atualizar o local do servidor com a atualização administrativa e implantar essa atualização em seu sistema. Para obter mais informações sobre Pontos de Instalação Administrativa, consulte as informações do Ponto de Instalação Administrativa do Office na subseção Orientação e Ferramentas de Deteção e Implantação .

Esta atualização de segurança requer que o Windows Installer 2.0 ou posterior esteja instalado no sistema. Todas as versões suportadas do Windows incluem o Windows Installer 2.0 ou uma versão posterior.

Para instalar a versão 2.0 ou posterior do Windows Installer, visite um dos seguintes Web sites da Microsoft:

Para obter mais informações sobre a terminologia que aparece neste boletim, como hotfix, consulte o artigo 824684 da Base de Dados de Conhecimento Microsoft.

Esta atualização de segurança suporta os seguintes parâmetros de configuração.

Switch	Description
/q	Especifica o modo silencioso ou suprime prompts quando os arquivos estão sendo extraídos.
/q:u	Especifica o modo silencioso do usuário, que apresenta algumas caixas de diálogo ao usuário.
/q:a	Especifica o modo silencioso do administrador, que não apresenta nenhuma caixa de diálogo ao usuário.
/t:caminho	Especifica a pasta de destino para extrair arquivos.
/c	Extrai os arquivos sem instalá-los. Se /t:path não for especificado, será solicitada uma pasta de destino.
/c:caminho	Substitui o comando install definido pelo autor. Especifica o caminho e o nome do arquivo Setup.inf ou .exe.
/r:n	Nunca reinicia o sistema após a instalação.
/r:I	Solicita que o usuário reinicie o sistema se uma reinicialização for necessária, exceto quando usado com /q:a.
/r:a	Sempre reinicia o sistema após a instalação.
/r:s	Reinicia o sistema após a instalação sem avisar o usuário.
/n:v	Sem verificação de versão - Instale o programa sobre qualquer versão anterior.

Observação Você pode combinar essas opções em um comando. Para compatibilidade com versões anteriores, a atualização de segurança também suporta muitos dos parâmetros de configuração utilizados pela versão anterior do programa de configuração. Para obter mais informações sobre as opções de instalação suportadas, consulte o artigo 262841 da Base de Dados de Conhecimento Microsoft.

Removendo a atualização

Para remover esta atualização de segurança, utilize a ferramenta Adicionar ou Remover Programas no Painel de Controlo.

Nota Quando remover esta atualização, poderá ser-lhe pedido para inserir o CD do Microsoft Office 2003 na unidade de CD. Além disso, poderá não ter a opção de desinstalar a atualização a partir da ferramenta Adicionar ou remover programas no painel de controlo. Existem várias causas possíveis para este problema. Para obter mais informações sobre a remoção, consulte o artigo 903771 da Base de Dados de Conhecimento Microsoft.

Verificando se a atualização foi aplicada

Analisador de Segurança de Linha de Base da Microsoft

Para verificar se uma atualização de segurança foi aplicada a um sistema afetado, poderá utilizar a ferramenta Microsoft Baseline Security Analyzer (MBSA). Consulte a seção Orientação e ferramentas de deteção e implantação, anteriormente neste boletim, para obter mais informações.
Verificação de versão do arquivo

Como existem várias edições do Microsoft Windows, as etapas a seguir podem ser diferentes no seu sistema. Se estiverem, consulte a documentação do produto para concluir estas etapas.
1. Clique em Iniciar e, em seguida, introduza um nome de ficheiro de atualização em Iniciar Pesquisa.
2. Quando o ficheiro aparecer em Programas, clique com o botão direito do rato no nome do ficheiro e clique em Propriedades.
3. Na guia Geral, compare o tamanho do arquivo com as tabelas de informações de arquivo fornecidas no artigo KB do boletim.
4. Você também pode clicar na guia Detalhes e comparar informações, como versão do arquivo e data de modificação, com as tabelas de informações de arquivo fornecidas no artigo KB do boletim.
5. Finalmente, você também pode clicar na guia Versões Anteriores e comparar as informações de arquivo da versão anterior do arquivo com as informações de arquivo da versão nova ou atualizada do arquivo.

InfoPath 2007 (todas as edições)

Tabela de Referência

Inclusão em Service Packs Futuros	A atualização para esse problema será incluída em um service pack ou pacote cumulativo de atualizações futuro
Implementação
Instalação sem intervenção do utilizador	office-kb979441-fullfile-x86-glb /passivo
Instalação sem reiniciar	office-kb979441-fullfile-x86-glb /norestart
Atualizar arquivo de log	Não aplicável
Informações adicionais	Para deteção e implantação, consulte a seção anterior, Orientação e ferramentas de deteção e implantação.
Requisito de reinicialização
É necessário reiniciar?	Em alguns casos, esta atualização não requer uma reinicialização. Se os arquivos necessários estiverem sendo usados, esta atualização exigirá uma reinicialização. Se este comportamento ocorrer, é apresentada uma mensagem a aconselhá-lo a reiniciar.\ \ Para ajudar a reduzir a probabilidade de ser necessário um reinício, interrompa todos os serviços afetados e feche todas as aplicações que possam utilizar os ficheiros afetados antes de instalar a atualização de segurança. Para obter mais informações sobre os motivos pelos quais você pode ser solicitado a reiniciar, consulte o artigo 887012 da Base de Dados de Conhecimento Microsoft.
Aplicação dinâmica de patches	Não aplicável
Informações sobre remoção	Use a ferramenta Adicionar ou Remover Programas no Painel de Controle.
Informações de arquivo	Consulte o artigo 979441 da Base de Dados de Conhecimento Microsoft
Verificação da chave de registo	Não aplicável

Informações de implantação

Instalando a atualização

Esta atualização de segurança requer que o Windows Installer 3.1 ou posterior esteja instalado no sistema.

Para instalar a versão 3.1 ou posterior do Windows Installer, visite um dos seguintes Web sites da Microsoft:

Para obter mais informações sobre a terminologia que aparece neste boletim, como hotfix, consulte o artigo 824684 da Base de Dados de Conhecimento Microsoft.

Esta atualização de segurança suporta os seguintes parâmetros de configuração.

Switch	Description
/? ou /help	Exibe a caixa de diálogo de uso.
/passivo	Especifica o modo passivo. Não requer interação do usuário; Os usuários veem as caixas de diálogo de progresso básico, mas não podem cancelar.
/silencioso	Especifica o modo silencioso ou suprime prompts quando os arquivos estão sendo extraídos.
/norestart	Suprime a reinicialização do sistema se a atualização exigir uma reinicialização.
/forcerestart	Reinicia automaticamente o sistema após a aplicação da atualização, independentemente de a atualização exigir a reinicialização.
/extrato	Extrai os arquivos sem instalá-los. Você será solicitado para uma pasta de destino.
/extract:<caminho>	Substitui o comando install definido pelo autor. Especifica o caminho e o nome do arquivo Setup.inf ou .exe.
/lang:<LCID>	Força o uso de um idioma específico, quando o pacote de atualização suporta esse idioma.
/log:<arquivo de log>	Permite o registro, tanto pelo Vnox quanto pelo Installer, durante a instalação da atualização.

Removendo a atualização

Para remover esta atualização de segurança, utilize a ferramenta Adicionar ou Remover Programas no Painel de Controlo.

Nota Quando remover esta atualização, poderá ser-lhe pedido para inserir o CD do Microsoft Office de 2007 na unidade de CD. Além disso, poderá não ter a opção de desinstalar a atualização a partir da ferramenta Adicionar ou remover programas no painel de controlo. Existem várias causas possíveis para este problema. Para obter mais informações sobre a remoção, consulte o artigo 903771 da Base de Dados de Conhecimento Microsoft.

Verificando se a atualização foi aplicada

Analisador de Segurança de Linha de Base da Microsoft

Para verificar se uma atualização de segurança foi aplicada a um sistema afetado, poderá utilizar a ferramenta Microsoft Baseline Security Analyzer (MBSA). Consulte a seção Orientação e ferramentas de deteção e implantação, anteriormente neste boletim, para obter mais informações.
Verificação de versão do arquivo

Como existem várias edições do Microsoft Windows, as etapas a seguir podem ser diferentes no seu sistema. Se estiverem, consulte a documentação do produto para concluir estas etapas.
1. Clique em Iniciar e, em seguida, introduza um nome de ficheiro de atualização em Iniciar Pesquisa.
2. Quando o ficheiro aparecer em Programas, clique com o botão direito do rato no nome do ficheiro e clique em Propriedades.
3. Na guia Geral, compare o tamanho do arquivo com as tabelas de informações de arquivo fornecidas no artigo KB do boletim.
4. Você também pode clicar na guia Detalhes e comparar informações, como versão do arquivo e data de modificação, com as tabelas de informações de arquivo fornecidas no artigo KB do boletim.
5. Finalmente, você também pode clicar na guia Versões Anteriores e comparar as informações de arquivo da versão anterior do arquivo com as informações de arquivo da versão nova ou atualizada do arquivo.

SharePoint Server 2007 (todas as edições)

Tabela de Referência

Inclusão em Service Packs Futuros	Não há mais service packs planejados para este software. A atualização para esse problema pode ser incluída em um pacote cumulativo de atualizações futuro.
Implementação
Instalação sem intervenção do utilizador	Para Microsoft Office SharePoint Server 2007 Service Pack 1 e Microsoft Office SharePoint Server 2007 Service Pack 2 (edições de 32 bits):\ office-kb979445-fullfile-x86-glb /passive
Para Microsoft Office SharePoint Server 2007 Service Pack 1 e Microsoft Office SharePoint Server 2007 Service Pack 2 (edições de 64 bits):\ office-kb979445-fullfile-x64-glb /passive
Instalação sem reiniciar	Para Microsoft Office SharePoint Server 2007 Service Pack 1 e Microsoft Office SharePoint Server 2007 Service Pack 2 (edições de 32 bits):\ office-kb979445-fullfile-x86-glb /norestart
Para Microsoft Office SharePoint Server 2007 Service Pack 1 e Microsoft Office SharePoint Server 2007 Service Pack 2 (edições de 64 bits):\ office-kb979445-fullfile-x64-glb /norestart
Atualizar arquivo de log	Não aplicável
Informações adicionais	Para deteção e implantação, consulte a seção anterior, Orientação e ferramentas de deteção e implantação.
Requisito de reinicialização
É necessário reiniciar?	Em alguns casos, esta atualização não requer uma reinicialização. Se os arquivos necessários estiverem sendo usados, esta atualização exigirá uma reinicialização. Se este comportamento ocorrer, é apresentada uma mensagem a aconselhá-lo a reiniciar.\ \ Para ajudar a reduzir a probabilidade de ser necessário um reinício, interrompa todos os serviços afetados e feche todas as aplicações que possam utilizar os ficheiros afetados antes de instalar a atualização de segurança. Para obter mais informações sobre os motivos pelos quais você pode ser solicitado a reiniciar, consulte o artigo 887012 da Base de Dados de Conhecimento Microsoft.
Aplicação dinâmica de patches	Não aplicável
Informações sobre remoção	Esta atualização de segurança não pode ser removida.
Informações de arquivo	Consulte o artigo 979445 da Base de Dados de Conhecimento Microsoft
Verificação da chave de registo	Não aplicável

Informações de implantação

Instalando a atualização

Esta atualização de segurança requer que o Windows Installer 3.1 ou posterior esteja instalado no sistema.

Para instalar a versão 3.1 ou posterior do Windows Installer, visite um dos seguintes Web sites da Microsoft:

Para obter mais informações sobre a terminologia que aparece neste boletim, como hotfix, consulte o artigo 824684 da Base de Dados de Conhecimento Microsoft.

Esta atualização de segurança suporta os seguintes parâmetros de configuração.

Switch	Description
/? ou /help	Exibe a caixa de diálogo de uso.
/passivo	Especifica o modo passivo. Não requer interação do usuário; Os usuários veem as caixas de diálogo de progresso básico, mas não podem cancelar.
/silencioso	Especifica o modo silencioso ou suprime prompts quando os arquivos estão sendo extraídos.
/norestart	Suprime a reinicialização do sistema se a atualização exigir uma reinicialização.
/forcerestart	Reinicia automaticamente o sistema após a aplicação da atualização, independentemente de a atualização exigir a reinicialização.
/extrato	Extrai os arquivos sem instalá-los. Você será solicitado para uma pasta de destino.
/extract:<caminho>	Substitui o comando install definido pelo autor. Especifica o caminho e o nome do arquivo Setup.inf ou .exe.
/lang:<LCID>	Força o uso de um idioma específico, quando o pacote de atualização suporta esse idioma.
/log:<arquivo de log>	Permite o registro, tanto pelo Vnox quanto pelo Installer, durante a instalação da atualização.

Removendo a atualização

Esta atualização de segurança não pode ser removida.

Verificando se a atualização foi aplicada

Analisador de Segurança de Linha de Base da Microsoft

Para verificar se uma atualização de segurança foi aplicada a um sistema afetado, poderá utilizar a ferramenta Microsoft Baseline Security Analyzer (MBSA). Consulte a seção Orientação e ferramentas de deteção e implantação, anteriormente neste boletim, para obter mais informações.
Verificação de versão do arquivo

Como existem várias edições do Microsoft Windows, as etapas a seguir podem ser diferentes no seu sistema. Se estiverem, consulte a documentação do produto para concluir estas etapas.
1. Clique em Iniciar e, em seguida, introduza um nome de ficheiro de atualização em Iniciar Pesquisa.
2. Quando o ficheiro aparecer em Programas, clique com o botão direito do rato no nome do ficheiro e clique em Propriedades.
3. Na guia Geral, compare o tamanho do arquivo com as tabelas de informações de arquivo fornecidas no artigo KB do boletim.
4. Você também pode clicar na guia Detalhes e comparar informações, como versão do arquivo e data de modificação, com as tabelas de informações de arquivo fornecidas no artigo KB do boletim.
5. Finalmente, você também pode clicar na guia Versões Anteriores e comparar as informações de arquivo da versão anterior do arquivo com as informações de arquivo da versão nova ou atualizada do arquivo.

Windows SharePoint Services 3.0 (todas as versões)

Tabela de Referência

Inclusão em Service Packs Futuros	Não há mais service packs planejados para este software. A atualização para esse problema pode ser incluída em um pacote cumulativo de atualizações futuro.
Implementação
Instalação sem intervenção do utilizador	Microsoft Windows SharePoint Services 3.0 Service Pack 1 e Microsoft Windows SharePoint Services 3.0 Service Pack 2 (versões de 32 bits):\ wss-kb983444-fullfile-x86-glb /passive
Microsoft Windows SharePoint Services 3.0 Service Pack 1 e Microsoft Windows SharePoint Services 3.0 Service Pack 2 (versões de 64 bits):\ wss-kb983444-fullfile-x64-glb /passive
Instalação sem reiniciar	Microsoft Windows SharePoint Services 3.0 Service Pack 1 e Microsoft Windows SharePoint Services 3.0 Service Pack 2 (versões de 32 bits):\ wss-kb983444-fullfile-x86-glb /norestart
Microsoft Windows SharePoint Services 3.0 Service Pack 1 e Microsoft Windows SharePoint Services 3.0 Service Pack 2 (versões de 64 bits):\ wss-kb983444-fullfile-x64-glb /norestart
Atualizar arquivo de log	Não aplicável
Informações adicionais	Para deteção e implantação, consulte a seção anterior, Orientação e ferramentas de deteção e implantação.
Requisito de reinicialização
É necessário reiniciar?	Em alguns casos, esta atualização não requer uma reinicialização. Se os arquivos necessários estiverem sendo usados, esta atualização exigirá uma reinicialização. Se este comportamento ocorrer, é apresentada uma mensagem a aconselhá-lo a reiniciar.\ \ Para ajudar a reduzir a probabilidade de ser necessário um reinício, interrompa todos os serviços afetados e feche todas as aplicações que possam utilizar os ficheiros afetados antes de instalar a atualização de segurança. Para obter mais informações sobre os motivos pelos quais você pode ser solicitado a reiniciar, consulte o artigo 887012 da Base de Dados de Conhecimento Microsoft.
Aplicação dinâmica de patches	Não aplicável
Informações sobre remoção	Esta atualização de segurança não pode ser removida.
Informações de arquivo	Consulte o artigo 983444 da Base de Dados de Conhecimento Microsoft
Verificação da chave de registo	Não aplicável

Informações de implantação

Instalando a atualização

Esta atualização de segurança requer que o Windows Installer 3.1 ou posterior esteja instalado no sistema.

Para instalar a versão 3.1 ou posterior do Windows Installer, visite um dos seguintes Web sites da Microsoft:

Para obter mais informações sobre a terminologia que aparece neste boletim, como hotfix, consulte o artigo 824684 da Base de Dados de Conhecimento Microsoft.

Esta atualização de segurança suporta os seguintes parâmetros de configuração.

Switch	Description
/? ou /help	Exibe a caixa de diálogo de uso.
/passivo	Especifica o modo passivo. Não requer interação do usuário; Os usuários veem as caixas de diálogo de progresso básico, mas não podem cancelar.
/silencioso	Especifica o modo silencioso ou suprime prompts quando os arquivos estão sendo extraídos.
/norestart	Suprime a reinicialização do sistema se a atualização exigir uma reinicialização.
/forcerestart	Reinicia automaticamente o sistema após a aplicação da atualização, independentemente de a atualização exigir a reinicialização.
/extrato	Extrai os arquivos sem instalá-los. Você será solicitado para uma pasta de destino.
/extract:<caminho>	Substitui o comando install definido pelo autor. Especifica o caminho e o nome do arquivo Setup.inf ou .exe.
/lang:<LCID>	Força o uso de um idioma específico, quando o pacote de atualização suporta esse idioma.
/log:<arquivo de log>	Permite o registro, tanto pelo Vnox quanto pelo Installer, durante a instalação da atualização.

Removendo a atualização

Esta atualização de segurança não pode ser removida.

Verificando se a atualização foi aplicada

Analisador de Segurança de Linha de Base da Microsoft

Para verificar se uma atualização de segurança foi aplicada a um sistema afetado, poderá utilizar a ferramenta Microsoft Baseline Security Analyzer (MBSA). Consulte a seção Orientação e ferramentas de deteção e implantação, anteriormente neste boletim, para obter mais informações.
Verificação de versão do arquivo

Como existem várias edições do Microsoft Windows, as etapas a seguir podem ser diferentes no seu sistema. Se estiverem, consulte a documentação do produto para concluir estas etapas.
1. Clique em Iniciar e, em seguida, introduza um nome de ficheiro de atualização em Iniciar Pesquisa.
2. Quando o ficheiro aparecer em Programas, clique com o botão direito do rato no nome do ficheiro e clique em Propriedades.
3. Na guia Geral, compare o tamanho do arquivo com as tabelas de informações de arquivo fornecidas no artigo KB do boletim.
4. Você também pode clicar na guia Detalhes e comparar informações, como versão do arquivo e data de modificação, com as tabelas de informações de arquivo fornecidas no artigo KB do boletim.
5. Finalmente, você também pode clicar na guia Versões Anteriores e comparar as informações de arquivo da versão anterior do arquivo com as informações de arquivo da versão nova ou atualizada do arquivo.

Outras informações

Agradecimentos

A Microsoft agradece o seguinte por trabalhar conosco para ajudar a proteger os clientes:

Chris Weber, da Casaba Security , por relatar a Vulnerabilidade de divulgação de informações toStaticHTML (CVE-2010-1257)
Rik Jones, do Dallas County Community College District, por relatar a Vulnerabilidade de negação de serviço na página de Ajuda do SharePoint (CVE-2010-1264)

Programa Microsoft Ative Protections (MAPP)

Para melhorar as proteções de segurança para os clientes, a Microsoft fornece informações sobre vulnerabilidades aos principais fornecedores de software de segurança antes de cada lançamento mensal de atualização de segurança. Os fornecedores de software de segurança podem então utilizar estas informações de vulnerabilidade para fornecer proteções atualizadas aos clientes através do seu software ou dispositivos de segurança, tais como antivírus, sistemas de deteção de intrusões baseados na rede ou sistemas de prevenção de intrusões baseados em anfitrião. Para determinar se as proteções ativas estão disponíveis em provedores de software de segurança, visite os sites de proteções ativas fornecidos por parceiros de programa, listados em Parceiros do Microsoft Ative Protections Program (MAPP).

Suporte

Os clientes nos EUA e Canadá podem receber suporte técnico do Suporte de Segurança ou 1-866-PCSAFETY. Não há cobrança para chamadas de suporte associadas a atualizações de segurança. Para obter mais informações sobre as opções de suporte disponíveis, consulte a Ajuda e Suporte da Microsoft.
Os clientes internacionais podem receber suporte de suas subsidiárias locais da Microsoft. O suporte associado às atualizações de segurança é gratuito. Para obter mais informações sobre como entrar em contato com a Microsoft para problemas de suporte, visite o site de suporte internacional.

Exclusão de Responsabilidade

As informações fornecidas na Base de Dados de Conhecimento Microsoft são fornecidas "no estado em que se encontram", sem garantia de qualquer tipo. A Microsoft se isenta de todas as garantias, expressas ou implícitas, incluindo as garantias de comercialização e adequação a uma finalidade específica. Em nenhuma circunstância a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, incluindo danos diretos, indiretos, incidentais, consequenciais, perda de lucros comerciais ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido avisados da possibilidade de tais danos. Alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou incidentais, portanto, a limitação acima pode não se aplicar.

Revisões

V1.0 (8 de junho de 2010): Boletim publicado.

Construído em 2014-04-18T13:49:36Z-07:00

Microsoft Security Bulletin MS10-039 - Importante

Vulnerabilidades no Microsoft SharePoint podem permitir a elevação de privilégio (2028554)

Informações Gerais

Resumo Executivo

Software afetado e não afetado

Perguntas frequentes relacionadas a esta atualização de segurança

Informações de Vulnerabilidade

Classificações de gravidade e identificadores de vulnerabilidade

Vulnerabilidade de XSS no Help.aspx - CVE-2010-0817

Fatores atenuantes da vulnerabilidade de XSS no Help.aspx - CVE-2010-0817

Soluções alternativas para a vulnerabilidade de XSS de Help.aspx - CVE-2010-0817

Perguntas frequentes sobre a vulnerabilidade de XSS no Help.aspx - CVE-2010-0817

Vulnerabilidade de divulgação de informações toStaticHTML - CVE-2010-1257

Fatores atenuantes da Vulnerabilidade de divulgação de informações toStaticHTML - CVE-2010-1257

Soluções alternativas para a Vulnerabilidade de divulgação de informações toStaticHTML - CVE-2010-1257

Perguntas frequentes sobre a Vulnerabilidade de divulgação de informações toStaticHTML - CVE-2010-1257

Vulnerabilidade de negação de serviço na página de Ajuda do SharePoint - CVE-2010-1264

Fatores atenuantes da vulnerabilidade de negação de serviço da página de ajuda do SharePoint - CVE-2010-1264

Soluções alternativas para a vulnerabilidade de negação de serviço na página de ajuda do SharePoint - CVE-2010-1264

Perguntas frequentes sobre a vulnerabilidade de negação de serviço na página de ajuda do SharePoint - CVE-2010-1264

Informações de atualização

Orientação e ferramentas de deteção e implantação

Implementação da Atualização de Segurança

InfoPath 2003 (todas as edições)

Informações de implantação

InfoPath 2007 (todas as edições)

Informações de implantação

SharePoint Server 2007 (todas as edições)

Informações de implantação

Windows SharePoint Services 3.0 (todas as versões)

Informações de implantação

Outras informações

Agradecimentos

Programa Microsoft Ative Protections (MAPP)

Suporte

Exclusão de Responsabilidade

Revisões

Recursos adicionais