Exportar (0) Imprimir
Expandir Tudo

Comunicado de Segurança da Microsoft 2501584

Lançamento de Validação de Arquivo do Microsoft Office para Microsoft Office

Publicado: terça-feira, 12 de abril de 2011 | Atualizado: quinta-feira, 30 de junho de 2011

Versão: 2.0

Informações Gerais

Sinopse

Microsoft anuncia disponibilização do recurso de Validação de Arquivo do Office para edições com suporte do Microsoft Office 2003 e do Microsoft Office 2007. O recurso, anteriormente disponível apenas para edições com suporte do Microsoft Office 2010, foi criado para permitir que os clientes se protejam mais facilmente contra arquivos Office que possam conter dados malformados, tais como arquivos não solicitados do Office recebidos de fontes desconhecidas ou conhecidas, verificando e validando esses arquivos antes de serem abertos.

O recurso de Validação de Arquivo do Office descrito neste comunicado deve ser aplicado ao abrir um arquivo do Office usando Microsoft Excel 2003, Microsoft PowerPoint 2003, Microsoft Word 2003, Microsoft Publisher 2003, Microsoft Excel 2007, Microsoft PowerPoint 2007, Microsoft Word 2007 ou Microsoft Publisher 2007.

A Validação de Arquivo do Office ajuda a detectar e impedir qualquer tipo de exploração conhecido como ataque em formato de arquivo. Os ataques em formato de arquivo exploram a integridade de um arquivo e ocorrem quando a estrutura de um arquivo é modificada com a intenção de adicionar código mal-intencionado. Geralmente o código mal-intencionado é executado remotamente e é usado para elevar o privilégio de contas restritas no computador. Como resultado, um invasor pode obter acesso a um computador que não fosse acessível anteriormente. Isto pode permitir que um invasor leia informações confidenciais da unidade de disco rígido do computador ou instale software mal-intencionado, como um worm ou programa de registro de chave. O recurso de Validação de Arquivo do Office ajuda a impedir ataques em formato de arquivo verificando e validando esses arquivos antes que sejam abertos. Para validar arquivos, a Validação de Arquivo do Office compara uma estrutura do arquivo com um esquema predefinido de arquivo, que é um conjunto de regras que definem como deve ser um arquivo legível. Se a Validação de Arquivo do Office detectar que a estrutura de um arquivo não segue todas as regras descritas no esquema, o arquivo não passará na validação.

Os ataques de formato de arquivo ocorrem com mais frequência em arquivos que são armazenados em formatos de arquivo binários do Office. Por este motivo, a Validação de Arquivo do Office verifica e valida os seguintes tipos de arquivos:

  • Pastas de trabalho do Excel 2.0, Excel 3.0, Excel 4.0, Excel 5.0 e Excel 97-2003. Esses tipos de arquivos têm uma extensão .xls e incluem todos os arquivos Binary Interchange File Format 2 (BIFF2), BIFF3, BIFF4 e BIFF8.
  • Modelos do Excel 2.0, Excel 3.0, Excel 4.0, Excel 5.0 e Excel 97-2003. Esses tipos de arquivos têm uma extensão .xlt e incluem arquivos BIFF2, BIFF3, BIFF4 e BIFF8.
  • Apresentações do PowerPoint 97-2003. Estes arquivos têm extensão .ppt.
  • Exibições do PowerPoint 97-2003. Estes arquivos têm extensão .pps.
  • Exemplos do PowerPoint 97-2003. Estes arquivos têm extensão .pot.
  • Documentos do Word 6.0, Word 7.0 e Word 97-2003. Estes arquivos têm extensão .doc.
  • Exemplos do Word 6.0, Word 7.0 e Word 97-2003. Estes arquivos têm extensão .dot.

Por padrão, arquivos com falha na validação geram a mensagem de aviso a seguir:

A Validação de Arquivo do Office detectou um problema ao tentar abrir o arquivo. Abri-lo poderá ser perigoso.

Os arquivos com falha na validação não abrem; no entanto, por padrão, o usuário tem a opção de abrir o arquivo de qualquer jeito. Optar por abrir um arquivo que falhou na validação não é recomendável, pois o arquivo pode ser mal-intencionado.

Detalhes do Comunicado

Software relacionado

Este comunicado descreve o seguinte software:

Softwares afetados
Microsoft Office 2003 Service Pack 3
Microsoft Office 2007 Service Pack 2

Por que este comunicado foi revisado em 30 de junho de 2011?  
A Microsoft revisou este comunicado para anunciar que a partir de 28 de junho de 2011, o Suplemento de Validação de Arquivo do Office descrito no artigo 2501584 (em inglês) da Microsoft Knowledge Base está disponível pelo serviço Microsoft Update.

Os clientes podem instalar o Suplemento de Validação de Arquivo do Office procurando atualizações online para do Microsoft Update ou usando o serviço Microsoft Update . Os clientes que já instalaram o Suplemento de Validação de Arquivo do Office manualmente não receberão a oferta do suplemento e não deverão tomar outras providências.

Qual é o escopo do comunicado?  
Anunciar a disponibilização e detalhar o propósito do recurso de Validação de Arquivo do Microsoft Office para Microsoft Office 2003 e 2007 do Microsoft Office.

Há problemas conhecidos com o recurso de Validação de Arquivo do Microsoft Office?  
O artigo 2501584 (em inglês) da Microsoft Knowledge Base documenta os problemas atualmente conhecidos que os clientes podem enfrentar ao utilizar o recurso de Validação de Arquivo do Office.

Como é a proteção da Validação de Arquivo do Office?  
A Validação de Arquivo do Office ajuda a detectar e impedir qualquer tipo de exploração conhecido como ataque em formato de arquivo. Os ataques em formato de arquivo exploram a integridade de um arquivo e ocorrem quando a estrutura de um arquivo é modificada com a intenção de adicionar código mal-intencionado. Geralmente o código mal-intencionado é executado remotamente e é usado para elevar o privilégio de contas restritas no computador. Como resultado, um invasor pode obter acesso a um computador que não fosse acessível anteriormente. Isto pode permitir que um invasor leia informações confidenciais da unidade de disco rígido do computador ou instale software mal-intencionado, como um worm ou programa de registro de chave. O recurso de Validação de Arquivo do Office ajuda a impedir ataques em formato de arquivo verificando e validando esses arquivos antes que sejam abertos. Para validar arquivos, a Validação de Arquivo do Office compara uma estrutura do arquivo com um esquema predefinido de arquivo, que é um conjunto de regras que definem como deve ser um arquivo legível. Se a Validação de Arquivo do Office detectar que a estrutura de um arquivo não segue todas as regras descritas no esquema, o arquivo não passará na validação.

Os arquivos que falham na validação automaticamente não são abertos. Em vez disso, o usuário deve clicar em um aviso indicando que abrir o arquivo pode ser perigoso.

Como as atualizações de segurança lançadas em 12 de abril de 2011 se relacionam com o recurso de Validação de Arquivo do Office?  
As atualizações de segurança lançadas para edições compatíveis 2003 e 2007 do Microsoft Excel, Microsoft PowerPoint e Microsoft Office respectivamente em MS11-021, MS11-022 e MS11-023 são pré-requisitos para habilitar o recurso de Validação de Arquivo do Office.

Não havia atualizações de segurança lançadas em 12 de abril de 2011 para Microsoft Word e Microsoft Publisher. Onde estão as atualizações para o Microsoft Word e o Microsoft Publisher?  
As atualizações que oferecem suporte à Validação de Arquivo do Office no Microsoft Word 2003, Microsoft Word 2007, Microsoft Publisher 2003 e Microsoft Publisher 2007 estão disponíveis como downloads separados e são pré-requisitos para habilitar o recurso de Validação de Arquivo do Office. Para o download de links, consulte o artigo do Technet, Validação de Arquivo do Office para Office 2003 e Office 2007.

O que é o suplemento de Validação de Arquivo do Office?  
O suplemento de Validação de Arquivo do Office fornece a estrutura e os arquivos de definição para o recurso de Validação de Arquivo do Office. O recurso de Validação de Arquivo do Office funciona em aplicativos específicos quando os suplementos de Validação de Arquivo do Office são instalado além de todas as atualizações de pré-requisito para o Microsoft Office e os respectivos aplicativos do Office.

Como eu posso instalar o suplemento de Validação de Arquivo do Office e atualizações sobre pré-requisitos?  
Para informações sobre como instalar manualmente o suplemento de Validação de Arquivo do Office e atualizações sobre pré-requisitos, consulte o artigo do Technet, Validação de Arquivo do Office para Office 2003 e Office 2007.

A partir de 28 de junho de 2011, o Suplemento de Validação de Arquivo doe Office também poderá ser instalado procurando atualizações online do Microsoft Update ou usando o serviço Microsoft Update .

Eu posso usar este novo recurso com o Microsoft Office XP?  
Não. A arquitetura que suporta adequadamente a Validação de Arquivo do Office não existe no Microsoft Office XP, tornando-a inviável para desenvolver o recurso de produtos do Microsoft Office XP. Para fazer isso, seria necessário rearquitetar uma parte significativa do Microsoft Office XP. O produto desse esforço poderia resultar em uma incompatibilidade com outros aplicativos. Por isso, não haveria nenhuma garantia de que esses produtos Microsoft Office continuariam operando da maneira projetada no sistema atualizado.

Como este comunicado se relaciona com a Validação de Arquivo do Office para o Microsoft Office 2010?  
Mesmo que este comunicado não se aplique ao recurso de Validação de Arquivo do Office para o Microsoft Office 2010, a Microsoft lançou soluções automatizadas do Microsoft Fix It que podem ser usadas para configurar a Validação de Arquivo do Office para edições com suporte do Microsoft Office 2003, Microsoft Office 2007 e Microsoft Office 2010. Essas soluções automatizadas do Microsoft Fix It estão disponíveis no artigo de Base de Dados de Conhecimento associou-se com este comunicado, artigo 2501584 (em inglês) da Microsoft Knowledge Base.

Como eu posso mudar as configurações de Validação de Arquivo do Office?  
Uma configuração de chave do registro está disponível, permitindo que administradores mudem como documentos se comportam quando um arquivo falhar na validação. Ao modificar a configuração de registro, uma das seguintes opções pode ser selecionada:

  • Bloquear arquivos e notificar usuário (padrão)
    Os arquivos com falha na validação não abrem; no entanto, o usuário tem a opção de abrir o arquivo de qualquer jeito.

    Observação o comportamento acima está no Microsoft Office 2003 e Microsoft Office 2007 e é diferente do comportamento do Microsoft Office 2010. No Microsoft Office 2010, arquivos que falham na validação abrem em Modo de Exibição Protegida; o usuário então clica em várias mensagens de aviso antes que o arquivo seja aberto para edição.

  • Bloquear completamente os arquivos
    Os arquivos que falham validação são impedidos de abrir.

    Observação o comportamento acima está no Microsoft Office 2003 e Microsoft Office 2007 e é diferente do comportamento do Microsoft Office 2010. No Microsoft Office 2010, arquivos que falham na validação abrem em Modo de Exibição Protegida; o usuário é impedido de abrir arquivo para edição.

Para obter mais informações sobre configurações de Validação de Arquivo do Office e usar as soluções automatizadas do Microsoft Fix It para definir as configurações de Validação de Arquivo do Office, consulte o artigo 2501584 (em inglês) da Microsoft Knowledge Base.

Como eu posso desabilitar a Validação de Arquivo do Office? 
Você pode desabilitar a Validação de Arquivo do Office configurando chaves do registro específicas. As chaves do registro devem ser configuradas por aplicativo no Excel 2003, PowerPoint 2003, Word 2003, Excel 2007, PowerPoint 2007 e Word 2007. Essas chaves do registro evitam que arquivos armazenados no formato de arquivo binário do Office sejam verificados e validados. Por exemplo, se você desabilitar a Validação de Arquivo do Office para o Excel 2007, a Validação de Arquivo do Office não irá verificar nem validar os arquivos da pasta de trabalho do Excel 97-2003, exemplos do Excel 97-2003 ou arquivos do Microsoft Excel 5.0/95. Se um usuário abrir um desses tipos de arquivo, e o arquivo contiver um ataque em formato de arquivo, o ataque não será detectado nem evitado a menos que algum outro controle de segurança detecte e evite tal ataque.

Para informações sobre como desabilitar o recurso de Validação de Arquivo do Office, consulte o artigo do Technet, Validação de Arquivo do Office para Office 2003 e Office 2007.

A Microsoft não recomenda desabilitar a Validação de Arquivo do Office. A Validação de Arquivo do Office é uma parte fundamental da estratégia de defesa em camadas do Microsoft Office e deve ser habilitada em todos os computadores por toda a organização. No Microsoft Office 2007, para clientes que querem evitar que arquivos sejam validados pelo recurso de Validação de Arquivo do Office, a Microsoft recomenda usar o recurso Locais Confiáveis. Os arquivos que são abertos de locais confiáveis ignoram verificações de Validação de Arquivo do Office.

Como o recurso Validação de Arquivo do Office muda a experiência de usuário ao abrir e inserir arquivos no Microsoft Publisher?  
Ao abrir arquivos do Publisher, o recurso de Validação de Arquivo do Office não muda o comportamento do Microsoft Publisher 2003 e do Microsoft Publisher 2007, porque o Microsoft Publisher já verifica e valida arquivos do Publisher quando abertos independentemente de o recurso de Validação de Arquivo de Office estar habilitado. No entanto, o comportamento ao inserir documentos do Word no Microsoft Publisher é modificado pelo recurso de Validação de Arquivo do Office. Ao tentar inserir arquivos do Word em formato binário no Microsoft Publisher 2003 ou no Microsoft Publisher 2007, arquivos que falham na validação não são inseridos no Microsoft Publisher. Em vez disso, o usuário deve clicar em um aviso indicando que inserir o arquivo pode ser perigoso.

Consulte o artigo do Technet, Validação de Arquivo do Office para Office 2003 e Office 2007 para informações sobre implantação, instalação e configuração do recurso de Validação de Arquivo do Office para o Microsoft Office 2003 e Microsoft Office 2007.

Outras informações

Comentários

Suporte

  • Os clientes nos EUA e Canadá podem receber suporte técnico do Suporte de Segurança. Para obter mais informações sobre as opções de suporte disponíveis, consulte Ajuda e Suporte da Microsoft.
  • Os clientes de outros países podem obter suporte nas subsidiárias locais da Microsoft. Para obter mais informações sobre como entrar em contato com a Microsoft para problemas de suporte internacional, visite o site Suporte Internacional.
  • O Microsoft TechNet Security fornece informações adicionais sobre segurança em produtos da Microsoft.

Aviso de isenção de responsabilidade

As informações oferecidas neste documento são fornecidas "como estão" sem garantia de nenhum tipo. A Microsoft se isenta de todas as garantias, expressas ou implícitas, inclusive as garantias de comercialização e adequação a um propósito específico. Em hipótese alguma a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, inclusive danos diretos, indiretos, incidentais, consequenciais, danos por lucros cessantes ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido alertados da possibilidade dos referidos danos. Como alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou indiretos, a limitação acima pode não ser aplicável a você.

Revisões

  • V1.0 (12 de abril de 2011): Comunicado publicado.
  • V2.0 (30 de junho de 2011): Anunciado que o Suplemento de Validação de Arquivo do Office descrito no artigo 2501584 (em inglês) da Microsoft Knowledge Base está disponível pelo serviço Microsoft Update.

Built at 2014-04-18T01:50:00Z-07:00

Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários
Mostrar:
© 2015 Microsoft