Exportar (0) Imprimir
Expandir Tudo

Comunicado de Segurança da Microsoft 2757760

Vulnerabilidade no Internet Explorer pode permitir execução remota de código

Publicado: segunda-feira, 17 de setembro de 2012 | Atualizado: quarta-feira, 19 de setembro de 2012

Versão: 1.2

Informações Gerais

Sinopse

A Microsoft está investigando relatórios públicos de uma vulnerabilidade no Internet Explorer 6, Internet Explorer 7, Internet Explorer 8 e Internet Explorer 9. O Internet Explorer 10 não foi afetado. A Microsoft está ciente dos ataques direcionados que tentam explorar essa vulnerabilidade. Aplicar a solução do Microsoft Fix it, "Evitar a corrupção de memória via ExecCommand no Internet Explorer," evita a exploração deste problema. Consulte a seção Ações sugeridas deste comunicado para obter mais informações.

Existe uma vulnerabilidade de execução remota de código que o Internet Explorer acessa um objeto na memória que foi excluído ou não foi alocado adequadamente. A vulnerabilidade pode corromper a memória de certa forma que pode permitir que um invasor execute o código arbitrário no contexto do usuário atual no Internet Explorer. O invasor pode hospedar um site especialmente projetado para explorar esta vulnerabilidade através do Internet Explorer e, então, convencer um usuário a exibir o site.

Ao concluir a investigação, a Microsoft tomará as medidas apropriadas para proteger seus clientes, que podem incluir o fornecimento de uma solução através do processo de lançamento mensal de atualizações de segurança ou em regime excepcional, dependendo das necessidades dos clientes.

Estamos trabalhando ativamente com os parceiros em nosso programa Microsoft Active Protections Program (MAPP) para fornecer informações que eles possam usar para oferecer proteção mais ampla aos clientes. Além disso, estamos trabalhando ativamente com os parceiros para monitorar o panorama de ameaças e tomar medidas contra sites mal-intencionados que tentam explorar essa vulnerabilidade.

A Microsoft continua incentivando os clientes a seguir as orientações do Centro de Segurança e Proteção Microsoft sobre ativação de um firewall, aplicação de todas as atualizações de software e instalação de softwares antivírus e antispyware.

Fatores atenuantes :

  • Por padrão, o Internet Explorer no Windows Server 2003, Windows Server 2008 e no Windows Server 2008 R2 é executado em um modo restrito, conhecido como Configuração de Segurança Reforçada. Esse modo atenua a vulnerabilidade.
  • Por padrão, todas as versões com suporte do Microsoft Outlook, Microsoft Outlook Express e Windows Mail abrem emails em HTML na zona de sites restritos. A zona de sites restritos, que desabilita o script e os controles ActiveX, ajuda a reduzir o risco de um invasor ser capaz de usar esta vulnerabilidade para executar código mal-intencionado. Se um usuário clicar em um link em uma mensagem de email, ele ainda pode estar vulnerável à exploração dessa vulnerabilidade, por meio do cenário de ataque baseado na Web.
  • O invasor que explorar com êxito essa vulnerabilidade poderá obter os mesmos direitos que o usuário atual. Os usuários cujas contas são configuradas com poucos direitos de usuário no sistema correm menos riscos do que aqueles que possuem direitos administrativos.
  • Em um cenário de ataque baseado na Web, o invasor pode hospedar um site que contenha uma página da Web usada para explorar essa vulnerabilidade. Além disso, sites comprometidos e sites que aceitem ou hospedem conteúdo fornecido pelo usuário ou anúncios podem conter conteúdo especialmente criado que pode explorar esta vulnerabilidade. Em todos os casos, entretanto, o invasor não tem como forçar os usuários a visitar esses sites. Em vez disso, o invasor teria que persuadir os usuários a visitar o site, geralmente fazendo com que eles cliquem em um link em um e-mail ou mensagem do Instant Messenger que leva o usuário ao site do invasor.

Recomendação. Consulte a seção Ações sugeridas deste comunicado para obter mais informações.

Detalhes do Comunicado

Referências ao problema

Para obter mais informações sobre este problema, consulte as seguintes referências:

ReferênciasIdentificação
Referência CVE CVE-2012-4969

Softwares afetados e não afetados

Este comunicado descreve o seguinte software:

Softwares afetados

Sistema operacionalComponente
Internet Explorer 6
Windows XP Service Pack 3Internet Explorer 6
Windows XP Professional x64 Edition Service Pack 2Internet Explorer 6
Windows Server 2003 Service Pack 2Internet Explorer 6
Windows Server 2003 x64 Edition Service Pack 2Internet Explorer 6
Windows Server 2003 com SP2 para sistemas baseados no ItaniumInternet Explorer 6
Internet Explorer 7
Windows XP Service Pack 3Internet Explorer 7
Windows XP Professional x64 Edition Service Pack 2Internet Explorer 7
Windows Server 2003 Service Pack 2Internet Explorer 7
Windows Server 2003 x64 Edition Service Pack 2Internet Explorer 7
Windows Server 2003 com SP2 para sistemas baseados no ItaniumInternet Explorer 7
Windows Vista Service Pack 2Internet Explorer 7
Windows Vista x64 Edition Service Pack 2Internet Explorer 7
Windows Server 2008 para sistemas de 32 bits Service Pack 2Internet Explorer 7
Windows Server 2008 para sistemas baseados em x64 Service Pack 2Internet Explorer 7
Windows Server 2008 para sistemas baseados no Itanium Service Pack 2Internet Explorer 7
Internet Explorer 8
Windows XP Service Pack 3Internet Explorer 8
Windows XP Professional x64 Edition Service Pack 2Internet Explorer 8
Windows Server 2003 Service Pack 2Internet Explorer 8
Windows Server 2003 x64 Edition Service Pack 2Internet Explorer 8
Windows Vista Service Pack 2Internet Explorer 8
Windows Vista x64 Edition Service Pack 2Internet Explorer 8
Windows Server 2008 para sistemas de 32 bits Service Pack 2Internet Explorer 8
Windows Server 2008 para sistemas baseados em x64 Service Pack 2Internet Explorer 8
Windows 7 para sistemas de 32 bits Internet Explorer 8
Windows 7 para sistemas de 32 bits Service Pack 1Internet Explorer 8
Windows 7 para sistemas baseados em x64 Internet Explorer 8
Windows 7 para Sistemas Service Pack 1 baseados em x64Internet Explorer 8
Windows Server 2008 R2 para sistemas baseados em x64 Internet Explorer 8
Windows Server 2008 R2 para Sistemas Service Pack 1 baseados em x64Internet Explorer 8
Windows Server 2008 R2 para sistemas baseados no Itanium Internet Explorer 8
Windows Server 2008 R2 para Sistemas Service Pack 1 baseados em ItaniumInternet Explorer 8
Internet Explorer 9
Windows Vista Service Pack 2Internet Explorer 9
Windows Vista x64 Edition Service Pack 2Internet Explorer 9
Windows Server 2008 para sistemas de 32 bits Service Pack 2Internet Explorer 9
Windows Server 2008 para sistemas baseados em x64 Service Pack 2Internet Explorer 9
Windows 7 para sistemas de 32 bits Internet Explorer 9
Windows 7 para sistemas de 32 bits Service Pack 1Internet Explorer 9
Windows 7 para sistemas baseados em x64 Internet Explorer 9
Windows 7 para Sistemas Service Pack 1 baseados em x64Internet Explorer 9
Windows Server 2008 R2 para sistemas baseados em x64 Internet Explorer 9
Windows Server 2008 R2 para Sistemas Service Pack 1 baseados em x64Internet Explorer 9

Softwares não afetados

Sistema operacionalComponente
Internet Explorer 10
Windows 8 para sistemas de 32 bits Internet Explorer 10
Windows 8 para sistemas de 64 bits Internet Explorer 10
Windows Server 2012 Internet Explorer 10
instalação Server Core
Windows Server 2008 para sistemas de 32 bits Service Pack 2 (instalação do núcleo do servidor)Não Aplicável
Windows Server 2008 para sistemas baseados em x64 Service Pack 2 (instalação do núcleo do servidor)Não Aplicável
Windows Server 2008 R2 para sistemas baseados em x64 (instalação do núcleo do servidor)Não Aplicável
Windows Server 2008 R2 para sistemas baseados em x64 Service Pack 1 (instalação do núcleo do servidor)Não Aplicável
Windows Server 2012 (instalação Server Core)Não Aplicável

Por que este boletim foi revisado em 19 de setembro de 2012? 
A Microsoft revisou este comunicado para anunciar a disponibilidade de uma solução do Microsoft Fix it, "Evitar a corrupção de memória via ExecCommand no Internet Explorer," que evita a exploração do problema. Consulte o artigo 2757760 (em inglês) da Microsoft Knowledge Base para usar a solução automatizada do Microsoft Fix it.

Qual é o escopo do comunicado? 
A Microsoft está ciente de uma vulnerabilidade nova que afeta o Internet Explorer 6, Internet Explorer 7, Internet Explorer 8 e Internet Explorer 9.

Trata-se de uma vulnerabilidade de segurança que requer a publicação de uma atualização pela Microsoft? 
Ao concluir a investigação, a Microsoft tomará as medidas apropriadas para proteger seus clientes, que podem incluir o fornecimento de uma solução através do processo de lançamento mensal de atualizações de segurança ou em regime excepcional, dependendo das necessidades dos clientes.

Para que um invasor pode usar a vulnerabilidade? 
O invasor que explorar com êxito essa vulnerabilidade poderá obter os mesmos direitos que o usuário atual. Se um usuário atual tiver feito logon com direitos administrativos, o invasor que explorar com êxito essa vulnerabilidade poderá obter o controle total do sistema afetado. O invasor poderá instalar programas; exibir, alterar ou excluir dados; ou criar novas contas com direitos totais de usuário.

De que forma o invasor pode explorar a vulnerabilidade? 
O invasor pode hospedar um site especialmente projetado para explorar esta vulnerabilidade através do Internet Explorer e, então, convencer um usuário a exibir o site. O invasor também pode tirar proveito dos sites comprometidos e de sites que aceitam ou hospedam o conteúdo fornecido pelo usuário ou anúncios. Esses sites podem ter conteúdo especialmente criado para explorar essa vulnerabilidade. Em todos os casos, entretanto, o invasor não tem como forçar os usuários a exibir o conteúdo controlado pelo invasor. Em vez disso, o invasor precisa convencer os usuários a executar uma ação, normalmente clicando em um link em uma mensagem de email ou em uma mensagem do Instant Messenger que leve os usuários ao site do invasor ou abrindo um anexo enviado por email.

Estou executando o Internet Explorer para Windows S erver 2003, Windows Server 2008 ou Windows Server 2008 R2. Isto atenua esta vulnerabilidade? 
Sim. Por padrão, o Internet Explorer no Windows Server 2003, Windows Server 2008 e no Windows Server 2008 R2 é executado em um modo restrito, conhecido como Configuração de Segurança Reforçada. A Configuração de Segurança Reforçada é um grupo de configurações predefinidas do Internet Explorer que reduz a probabilidade de um usuário ou administrador baixar e executar um conteúdo da Web especialmente criado em um servidor. Este é um fator atenuante para sites que não tenham sido adicionados à zona Sites confiáveis do Internet Explorer.

O que é o Enhanced Mitigation Experience Toolkit v3. 0 (EMET)? 
O Enhanced Mitigation Experience Toolkit (EMET) é um utilitário que ajuda a evitar que vulnerabilidades de software sejam exploradas com êxito. O EMET faz isso usando tecnologias de atenuação de segurança. Essas tecnologias funcionam como proteções especiais e obstáculos que o autor da exploração deve transpor para explorar vulnerabilidades de software. Essas tecnologias de atenuação de segurança não garantem que vulnerabilidades não possam ser exploradas, mas tenta dificultar o máximo possível a exploração. Em muitas situações, uma exploração totalmente funcional que possa ignorar o EMET talvez nunca possa ser realizada. Para obter mais informações, consulte o Artigo 2458544 da Microsoft Knowledge Base.

O EMET ajuda a atenuar ataques que tentam explorar esta vulnerabilidade? 
Sim. O Enhanced Mitigation Experience Toolkit (EMET) ajuda a atenuar a exploração desta vulnerabilidade adicionando mais camadas de proteção que tornam a vulnerabilidade mais difícil de explorar. EMET é um utilitário que ajuda a evitar que as vulnerabilidades nos softwares sejam exploradas para executar códigos, aplicando as últimas tecnologias de atenuação de segurança. Desta vez, o EMET é fornecido com suporte limitado e está somente disponível na língua inglesa. Para obter mais informações, consulte o Artigo 2458544 da Microsoft Knowledge Base.

O que é ASLR (Address Space Layout Randomization)? 
Sistemas que implementam o ASLR (Address Space Layout Randomization) realocam pontos de entrada de funções que normalmente seriam previsíveis de maneira pseudoaleatória na memória. As janelas ASLR restabelecem o sistema DLL e executáveis em um dos 256 locais aleatórios na memória. Portanto, invasores que usam endereços inseridos no código têm probabilidade de "adivinhar corretamente" em uma a cada 256 vezes. Para obter mais informações sobre ASLR, consulte o artigo da revista TechNet Inside the Windows Vista Kernel: Part 3.

Aplicar Soluções alternativas

As soluções alternativas se referem a uma configuração ou alteração de configuração que não corrige o problema subjacente, mas que ajuda a bloquear vetores de ataque conhecidos antes de uma atualização de segurança ser disponibilizada. Consulte a próxima seção, Soluções alternativas, para obter mais informações.

Soluções alternativas

  • Aplicar a solução do Microsoft Fix it, "E vitar a corrupção de memória via ExecCommand
  • no Internet Explorer," que evita a exploração deste problema

    Consulte o artigo 2757760 (em inglês) da Microsoft Knowledge Base para usar a solução automatizada do Microsoft Fix it e habilitar ou desabilitar esta solução alternativa.

  • Implante o Enhanced Mitigation Experience Toolkit

    O Enhanced Mitigation Experience Toolkit (EMET) é um utilitário que ajuda a evitar que vulnerabilidades no software sejam exploradas por meio da aplicação de atenuações integradas, como DEP, em aplicativos configurados no EMET.

    Desta vez, o EMET é fornecido com suporte limitado e está somente disponível na língua inglesa. Para obter mais informações, consulte o Artigo 2458544 da Microsoft Knowledge Base.

    Para obter mais informações sobre como configurar o EMET, consulte o Guia do Usuário do EMET:

    • Em sistemas de 32 bits, o Guia do Usuário do EMET está localizado em C: \Arquivos de programas\EMET\EMET User's Guide.pdf
    • Em sistemas de 64 bits, o Guia do Usuário do EMET está localizado em C: \Arquivos de programas(x86)\\EMET\EMET User's Guide.pdf

    Configure o EMET para Internet Explorer na interface do usuário do EMET

    Para adicionar o arquivo iexplore.exe à lista de aplicativos que usam o EMET, execute as seguintes etapas:

    1. Clique em Iniciar, Todos os Programas, EnhancedMitigation Experience Toolkit e EMET 3.0.
    2. Clique em Sim no prompt do UAC, clique Configurar Apps e selecione Adicionar. Vá até o aplicativo a ser configurado no EMET.
    3. Em versões de 64 bits do Microsoft Windows, os caminhos para as instalações de 32 bits e x64 do Internet Explorer são:C:\Arquivos de Programas (x86)\Internet Explorer\iexplore.exeC:\Arquivos de programas\Internet Explorer\iexplore.exeEm versões de 32 bits do Microsoft Windows, o caminho para o Internet Explorer é C:\Arquivos de programas\Internet Explorer\iexplore.exe
    4. Clique em OK e saia do EMET.

    Configure o EMET para Internet Explorer em uma linha de comando

    • Opte pelo Internet Explorer em todas as reduções do EMET 3.0
    • Em sistemas de 64 bits, para instalações de 32 bits do IE, execute o seguinte de um prompt de comandos com privilégios elevados:"c:\Arquivos de programas (x86)\EMET\EMET_Conf.exe" --set "c:\Arquivos de programas(x86)\Internet Explorer\iexplore.exe"E em sistemas de 64 bits, para instalações de x64 do IE, execute o seguinte de um prompt de comandos com privilégios elevados:"c:\Arquivos de programas (x86)\EMET\EMET_Conf.exe" --set "c:\Arquivos de programas\Internet Explorer\iexplore.exe"
    • Em sistemas de 32 bits, para instalações de 32 bits do IE, execute o seguinte de um prompt de comandos com privilégios elevados:"c:\Arquivos de programas\EMET\EMET_Conf.exe" --set "c:\Arquivos de programas\Internet Explorer\iexplore.exe"
    • Se você concluiu esse procedimento com êxito, será exibida a seguinte mensagem:"Thechangesyouhavemademayrequirerestartingoneor more applications" (As alterações feitas podem requerer a reinicialização de um ou mais aplicativos)
    • Se o aplicativo já foi adicionado no EMET, será exibida a seguinte mensagem:Erro: "c:\Program Files (x86)\Internet Explorer\iexplore.exe" conflictswithexistingentry for "C:\Program Files (x86)\Internet Explorer\iexplore.exe" (c:\Arquivos de Programas(x86)\Internet Explorer\iexplore.exe" está em conflito com uma entrada existente der "C:\Arquivos de Programas(x86)\Internet Explorer\iexplore.exe)
    • Para obter mais informações sobre como executar o EMET_Conf. exe, consulte a ajuda de linha de comando executando o seguinte de um prompt de comando:Em sistemas de 32 bits: "C:\Arquivos de programas\EMET\EMET_Conf.exe" /?Em sistemas de 64 bits: "C:\Arquivos de programas (x86)\EMET\EMET_Conf.exe" /?

    Configure o EMET para Internet Explorer de acordo com a Diretiva de Grupo

    O EMET pode ser configurado usando a Diretiva de Grupo. Para obter informações sobre como configurar o EMET usando a Diretiva de Grupo, consulte o Guia do Usuário do EMET:

    • Em sistemas de 32 bits, o Guia do Usuário do EMET está localizado em C: \Arquivos de programas\EMET\EMET User's Guide.pdf
    • Em sistemas de 64 bits, o Guia do Usuário do EMET está localizado em C: \Arquivos de programas(x86)\\EMET\EMET User's Guide.pdf

    Observação Para obter mais informações sobre a Diretiva de Grupo, consulte coleção de Diretivas de Grupo.

  • Defina as configurações de zona de segurança da Internet e da intranet local como “Alta” para bloquear controles ActiveX e scripts ativos nessas zonas

    Você pode ajudar na proteção contra a exploração dessa vulnerabilidade alterando suas configurações, para que a zona de segurança da Internet bloqueie controles ActiveX e scripts ativos. É possível fazer isso configurando a segurança do navegador como Alta.

    Para aumentar o nível de segurança da navegação no Internet Explorer, siga estas etapas:

    1. No menu Ferramentas do Internet Explorer, clique em Opções da Internet.
    2. Na caixa de diálogo Opções da Internet, clique na guia Segurança e, em seguida, clique em Internet.
    3. Em Nível de segurança para esta zona, mova o controle deslizante para Alto. Isso define o nível de segurança para todos os sites visitados como Alto.
    4. Clique em Intranet local.
    5. Em Nível de segurança para esta zona, mova o controle deslizante para Alto. Isso define o nível de segurança para todos os sites visitados como Alto.
    6. Clique em OK para aceitar as alterações e retornar ao Internet Explorer.

    Observação Se o controle deslizante não estiver visível, clique em Nível padrão e então mova o controle deslizante para Alto.

    Observação A configuração do nível como Alto pode fazer com que alguns sites não funcionem corretamente. Se você encontrar dificuldades ao usar um site após alterar a configuração, mas tiver certeza de que o site é seguro, é possível adicionar esse site à lista de sites confiáveis. Isso permite que o site funcione corretamente, mesmo com a configuração de segurança definida como Alta.

    Impacto da solução alternativa. Há efeitos colaterais ao bloqueio de controles ActiveX e scripts ativos. Muitos sites que não estão na Internet ou na intranet usam controles ActiveX e scripts ativos para fornecer funcionalidade adicional. Por exemplo, um site de comércio eletrônico ou bancário online pode usar controles ActiveX para fornecer menus, formulários de pedidos ou até mesmo extratos de contas. O bloqueio de controles ActiveX ou scripts ativos é uma configuração global que afeta todos os sites da Internet e da intranet. Se você não quiser bloquear controles ActiveX e scripts ativos para esses sites, use os passos descritos em “Adicione sites confiáveis à zona Sites confiáveis do Internet Explorer”.

    Adicione sites confiáveis à zona Sites confiáveis do Internet Explorer

    Depois de definir o Internet Explorer para bloquear controles ActiveX e scripts ativos na zona da Internet e da Intranet local, você pode adicionar sites confiáveis à zona de Sites confiáveis do Internet Explorer. Isso permitirá que você continue usando os sites confiáveis exatamente como faz atualmente, enquanto ajuda a se proteger contra ataques em sites não confiáveis. É recomendável adicionar somente sites nos quais você confia à zona de Sites confiáveis.

    Para isso, execute as seguintes etapas:

    1. No Internet Explorer, clique em Ferramentas, clique em Opções da Internet e, em seguida, clique na guia Segurança.
    2. Na caixa Selecione uma zona de conteúdo da Web para especificar suas configurações de segurança, clique em Sites Confiáveis e, em seguida, clique em Sites.
    3. Se desejar adicionar sites que não requeiram um canal criptografado, clique para desmarcar Exigir verificação do servidor (https:) para todos os sites desta zona.
    4. Na caixa Adicionar este site à zona, digite a URL de um site em que confia e, em seguida, clique em Adicionar.
    5. Repita essas etapas para cada site que você deseja adicionar à zona.
    6. Clique em OK duas vezes para aceitar as alterações e retornar ao Internet Explorer.

    Observação Adicione os sites que você tem certeza de que não realizarão ações mal-intencionadas em seu sistema. Dois em particular que você pode desejar adicionar são *.windowsupdate.microsoft.com e *.update.microsoft.com. Estes são os sites que hospedam a atualização, e é preciso ter um controle ActiveX para instalar a atualização.

  • Configure o Internet Explorer para notificá-lo antes da execução de scripts ativos ou desabilite os scripts ativ os na zona de segurança da Internet e da intranet local

    Para se proteger contra a exploração dessa vulnerabilidade, altere as configurações para ser notificado antes da execução de scripts ativos ou desabilite os scripts ativos na zona de segurança da Internet e da intranet local. Para isso, execute as seguintes etapas:

    1. No Internet Explorer, clique em Opções da Internet no menu Ferramentas.
    2. Clique na guia Segurança.
    3. Clique em Internet e, em seguida, clique em Nível Personalizado.
    4. Em Configurações, na seção Script, em Scripts Ativos, clique em Avisar  ou Desativar e, em seguida, clique em OK.
    5. Clique em Intranet local e, em seguida, clique em Nível Personalizado.
    6. Em Configurações, na seção Script, em Scripts Ativos, clique em Avisar  ou Desativar e, em seguida, clique em OK.
    7. Clique em OK duas vezes para retornar ao Internet Explorer.

    Observação Desabilitar os scripts ativos nas zonas de segurança da Internet e da intranet local poderá fazer com que alguns sites não funcionem corretamente. Se você encontrar dificuldades ao usar um site após alterar a configuração, mas tiver certeza de que o site é seguro, é possível adicionar esse site à lista de sites confiáveis. Isso permitirá que o site funcione adequadamente.

    Impacto da solução alternativa. Há efeitos colaterais para notificação antes da execução de scripts ativos. Muitos sites que não estão na Internet ou na intranet usam scripts ativos para fornecer funcionalidade adicional. Por exemplo, um site de comércio eletrônico ou bancário online pode usar controles ActiveX para fornecer menus, formulários de pedidos ou até mesmo extratos de contas. A notificação antes da execução dos scripts ativos é uma configuração global que afeta todos os sites da Internet e da intranet. Você será notificado frequentemente quando ativar essa solução alternativa. Para cada notificação, se achar que confia no site que está visitando, clique em Sim para executar os scripts ativos. Se não quiser ser avisado para todos esses sites, use os passos descritos em “Adicione sites confiáveis à zona Sites confiáveis do Internet Explorer”.

    Adicione sites confiáveis à zona Sites confiáveis do Internet Explorer

    Depois de definir o Internet Explorer para solicitar confirmação antes de executar controles ActiveX e scripts ativos na zona da Internet e da Intranet local, você pode adicionar sites confiáveis à zona de Sites confiáveis do Internet Explorer. Isso permitirá que você continue usando os sites confiáveis exatamente como faz atualmente, enquanto ajuda a proteger-se de ataques em sites não confiáveis. É recomendável adicionar somente sites nos quais você confia à zona de Sites confiáveis.

    Para isso, execute as seguintes etapas:

    1. No Internet Explorer, clique em Ferramentas, clique em Opções da Internet e, em seguida, clique na guia Segurança.
    2. Na caixa Selecione uma zona de conteúdo da Web para especificar suas configurações de segurança, clique em Sites Confiáveis e, em seguida, clique em Sites.
    3. Se desejar adicionar sites que não requeiram um canal criptografado, clique para desmarcar Exigir verificação do servidor (https:) para todos os sites desta zona.
    4. Na caixa Adicionar este site à zona, digite a URL de um site em que confia e, em seguida, clique em Adicionar.
    5. Repita essas etapas para cada site que você deseja adicionar à zona.
    6. Clique em OK duas vezes para aceitar as alterações e retornar ao Internet Explorer.

    Observação Adicione os sites que você tem certeza de que não realizarão ações mal-intencionadas em seu sistema. Dois em particular que você pode desejar adicionar são *.windowsupdate.microsoft.com e *.update.microsoft.com. Estes são os sites que hospedam a atualização, e é preciso ter um controle ActiveX para instalar a atualização.

Ações adicionais sugeridas

  • Mantenha o software de terceiros atualizado

    As explorações atuais desta vulnerabilidade no Internet Explorer usam softwares de terceiros, incluindo o Java da Oracle, para ajudar a obter a exploração confiável. Reveja as orientações da Oracle com relação ao Java:

    Onde posso obter a última versão do Java 6?

    O que é Atualização do Java?

    Por que devo desinstalar versões mais antigas do Java do meu sistema?

  • Proteja seu PC

    Continuamos a incentivar nossos clientes a seguir nossa orientação de proteger o computador por meio de habilitação do firewall, obtenção de atualizações de software e instalação de software antivírus. Para obter mais informações, consulte Microsoft Safety & Security Center.

  • Mantenha o software da Microsoft atualizado

    Todos os usuários que executam software da Microsoft devem aplicar as mais recentes atualizações de segurança da Microsoft para ter certeza de que seus computadores estejam protegidos ao máximo. Se não tiver certeza de que seu computador está atualizado, visite o Microsoft Update, verifique se há atualizações disponíveis para o computador e instale as atualizações de alta prioridade oferecidas. Se você tem as atualizações automáticas habilitadas e configuradas para fornecer atualizações para produtos Microsoft, as atualizações serão fornecidas a você quando lançadas, mas você deve verificar se elas são instaladas.

Outras informações

Microsoft Active Protections Program (MAPP)

Para melhorar as proteções de segurança para os clientes, a Microsoft fornece informações sobre vulnerabilidades aos principais fornecedores de software de segurança antes do lançamento de cada atualização de segurança mensal. Assim, os fornecedores de software de segurança podem usar essas informações sobre vulnerabilidades para fornecer proteções atualizadas aos clientes por meio de seus softwares ou dispositivos de segurança, como antivírus, sistemas de detecção de invasões baseados em rede ou sistemas de prevenção de invasões baseados em host. Para determinar se os fornecedores de software de segurança estão disponibilizando proteções ativas, visite os sites de proteções ativas fornecidos pelos parceiros do programa, listados em Parceiros do Microsoft Active Protections Program (MAPP).

Comentários

Suporte

Aviso de isenção de responsabilidade

As informações oferecidas neste documento são fornecidas "como estão" sem garantia de nenhum tipo. A Microsoft se isenta de todas as garantias, expressas ou implícitas, inclusive as garantias de comercialização e adequação a um propósito específico. Em hipótese alguma a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, inclusive danos diretos, indiretos, incidentais, consequenciais, danos por lucros cessantes ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido alertados da possibilidade dos referidos danos. Como alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou indiretos, a limitação acima pode não ser aplicável a você.

Revisões

  • V1.0 (17 de setembro de 2012): Comunicado publicado.
  • V1.1 (18 de setembro de 2012): Atribuído ao problema o número CVE-2012-4969 de Exposição e vulnerabilidade comum. Também corrigidas as instruções na solução alternativa do EMET.
  • V1.2 (19 de setembro de 2012): Adicionado o link para a solução do Microsoft Fix it, "Evitar a corrupção de memória via ExecCommand no Internet Explorer," que evita a exploração deste problema.

Built at 2014-04-18T01:50:00Z-07:00

Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários
Mostrar:
© 2015 Microsoft