Consultoria de Segurança
Comunicado de Segurança da Microsoft 954157
Aprimoramentos de segurança para o Codec Indeo
Publicado em: 08 de dezembro de 2009
Versão: 1.0
Informações Gerais
Resumo executivo
A Microsoft está anunciando a disponibilidade de uma atualização que fornece atenuações de segurança para o codec Indeo em edições com suporte do Microsoft Windows 2000, Windows XP e Windows Server 2003.
O codec Indeo em sistemas que executam o Microsoft Windows 2000, Windows XP e Windows Server 2003 pode permitir a execução remota de código ao abrir conteúdo de mídia especialmente criado. A atualização bloqueia o codec Indeo de ser iniciado no Internet Explorer ou Windows Media Player. A atualização também remove a capacidade de esse codec ser carregado ao navegar na Internet com quaisquer outros aplicativos. Ao permitir que os aplicativos usem o codec Indeo somente quando o conteúdo de mídia for do sistema local ou da zona da intranet e ao impedir que o Internet Explorer e o Windows Media Player iniciem o codec, essa atualização remove os vetores de ataque remoto mais comuns, mas ainda permite que jogos ou outros aplicativos que aproveitam o codec localmente continuem funcionando.
A atualização está disponível por meio de atualização automática e no Centro de Download da Microsoft. Os clientes que têm a atualização automática habilitada não precisarão executar nenhuma ação, pois essa atualização de segurança será baixada e instalada automaticamente. Para obter mais informações sobre esse problema, incluindo links para download desta atualização não relacionada à segurança, consulte o Artigo 954157 (em inglês) da Microsoft Knowledge Base.
O codec Indeo pode ser usado e pode ser exigido por certas aplicações de várias maneiras. O codec Indeo pode ser necessário ao visitar sites legítimos e em aplicativos de linha de negócios de ambiente corporativo. É provável que esse seja um cenário mais comum para clientes que executam sistemas operacionais mais antigos. Portanto, essa atualização está sendo oferecida aos clientes em sistemas operacionais mais antigos automaticamente, mas ainda permitirá que o codec funcione em cenários de aplicativos de linha de negócios. Por outro lado, os clientes que não têm um uso para o codec podem optar por dar um passo adicional e cancelar o registro do codec completamente. Cancelar o registro do codec removeria todos os vetores de ataque que aproveitam o codec Indeo. Consulte o Artigo 954157 da Base de Dados de Conhecimento Microsoft para obter instruções sobre como cancelar o registro do codec.
Recomendamos que os clientes que executam edições com suporte do Microsoft Windows 2000, Windows XP e Windows 2003 revisem e instalem essa atualização ou cancelem o registro do codec Indeo. Ao instalar essa atualização e cancelar o registro do codec nesses sistemas operacionais mais antigos, os clientes terão as mesmas atenuações incluídas no Windows Vista e no Windows 7.
Detalhes do Comunicado
Referências de edições
Para obter mais informações sobre esse problema, consulte as seguintes referências:
| Referências | Identificação |
|---|---|
| Artigo da Base de Dados de Conhecimento Microsoft | 954157 |
Software afetado e não afetado
Este comunicado aborda o seguinte software.
| Softwares afetados |
|---|
| Microsoft Windows 2000 Service Pack 4 |
| Windows XP Service Pack 2 e Windows XP Service Pack 3 |
| Windows XP Professional x64 Edition Service Pack 2 |
| Windows Server 2003 Service Pack 2 |
| Windows Server 2003 x64 Edição Service Pack 2 |
| Windows Server 2003 com SP2 para sistemas baseados em Itanium |
| Software não afetado |
|---|
| Windows Vista, Windows Vista Service Pack 1 e Windows Vista Service Pack 2 |
| Windows Vista x64 Edition, Windows Vista x64 Edition Service Pack 1 e Windows Vista x64 Edition Service Pack 2 |
| Windows Server 2008 para sistemas de 32 bits e Windows Server 2008 para sistemas de 32 bits Service Pack 2 |
| Windows Server 2008 para sistemas baseados em x64 e Windows Server 2008 para sistemas baseados em x64 Service Pack 2 |
| Windows Server 2008 para sistemas baseados no Itanium e Windows Server 2008 para sistemas baseados no Itanium Service Pack 2 |
| Windows 7 para sistemas de 32 bits |
| Windows 7 para sistemas baseados em x64 |
| Windows Server 2008 R2 para sistemas baseados em x64 |
| Windows Server 2008 R2 for Itanium-Based Systems |
Perguntas frequentes
Qual o escopo da assessoria?
Este comunicado fornece notificação de que uma atualização de defesa profunda descrita neste comunicado está disponível por meio de atualização automática e também é descrita no Artigo 954157 (em inglês) da Microsoft Knowledge Base. Esta atualização afeta o software listado na tabela Softwares afetados.
O que é o Codec Indeo?
O Codec Indeo é um codec que descompacta arquivos de mídia digital para uso em aplicativos como o Windows Media Player. Para obter mais informações sobre codecs, consulte Usando codecs.
Como um invasor pode explorar a vulnerabilidade?
Um intruso poderia alojar um Web site especialmente concebido para o efeito, concebido para explorar esta vulnerabilidade através do Internet Explorer e, em seguida, convencer um utilizador a visualizar o Web site. Isso também pode incluir sites comprometidos e sites que aceitam ou hospedam conteúdo fornecido pelo usuário ou anúncios. Esses sites podem conter conteúdo especialmente criado que pode explorar essa vulnerabilidade. Em todos os casos, no entanto, um invasor não teria como forçar os usuários a visitar esses sites. Em vez disso, um invasor teria que convencer os usuários a visitar o site, geralmente fazendo com que eles cliquem em um link em uma mensagem de email ou em uma solicitação do Instant Messenger que leva os usuários ao site do invasor.
Também pode ser possível exibir conteúdo da Web especialmente criado usando anúncios de banner ou usando outros métodos para entregar conteúdo da Web aos sistemas afetados.
Outra maneira de um invasor explorar essa vulnerabilidade é obter conteúdo de mídia especialmente criado no sistema de um usuário que aproveita o codec Indeo.
Há uma alteração na experiência do usuário após a instalação desta atualização?
Depois que as atualizações discutidas neste artigo são instaladas, os usuários podem notar que o conteúdo de mídia de sites da Web pode não ser carregado no Internet Explorer ou no Windows Media Player. Os aplicativos ou jogos que usam esse codec a partir do conteúdo localizado no sistema local continuarão a funcionar.
Como faço para desativar o codec Indeo?
É possível desativar esse codec cancelando o registro do codec. Cancelar o registro do codec impedirá que qualquer aplicativo ou conteúdo de mídia use esse codec. Para obter instruções sobre como cancelar o registro do codec, consulte o Artigo 954157 (em inglês) da Microsoft Knowledge Base.
Como faço para reativar o uso desse codec após a instalação desta atualização?
É possível reativar a funcionalidade do codec Indeo após a instalação desta atualização. A reativação do codec exporá os usuários ao risco de um ataque de execução remota de código e só deve ser considerada se a necessidade da funcionalidade do codec superar o risco de exposição. Para obter mais informações sobre como reativar a funcionalidade do codec, consulte o Artigo 954157 (em inglês) da Microsoft Knowledge Base.
Por que há duas partes na atualização associada a este comunicado?
Há duas partes nesta atualização que ajudam a reduzir os riscos associados ao codec Indeo. Um deles é a atualização para o Quartz.dll, que é o binário principal usado pelo Windows Media Player. A segunda é a atualização fornecida pela tecnologia Application Compatibility Shim. A atualização do Media Player impede que os aplicativos abram conteúdo de mídia que aproveita a reprodução do codec Indeo na zona da Internet, enquanto a atualização da tecnologia Application Compatibility Shim impede que o Internet Explorer e o Windows Media Player carreguem conteúdo de mídia que usa o codec Indeo.
Por que esta atualização não está associada a um Boletim de Segurança?
Esta atualização não está associada a um boletim de segurança porque não corrige vulnerabilidades específicas, mas fornece atenuações adicionais de defesa profunda para aproximar os sistemas operacionais mais antigos do mesmo nível de proteção de segurança que o Windows Vista e o Windows 7. Os clientes devem aplicar essa atualização para mitigar a ameaça em cenários comuns e avaliar o cancelamento do registro do codec Indeo para remover o acesso ao codec em qualquer cenário.
Por que a Microsoft não está corrigindo vulnerabilidades específicas nesta atualização?
O codec Indeo é um codec mais antigo que é conhecido por ter várias vulnerabilidades de segurança. Em vez de corrigir vulnerabilidades específicas, a Microsoft está criando alterações de defesa em profundidade que reduzem a superfície de ataque para vulnerabilidades conhecidas e futuras vulnerabilidades semelhantes.
Fatores atenuantes
A Microsoft não identificou nenhum fator atenuante para esta vulnerabilidade.
Soluções Alternativas
Solução alternativa refere-se a uma configuração ou alteração de configuração que não corrige as vulnerabilidades subjacentes, mas ajudaria a bloquear vetores de ataque conhecidos. A Microsoft testou as seguintes soluções alternativas e estados na discussão se uma solução alternativa reduz a funcionalidade:
Cancelar o registro do codec Indeo
É possível desativar esse codec cancelando o registro do codec. Para obter instruções sobre como cancelar o registro do codec, consulte o Artigo 954157 (em inglês) da Microsoft Knowledge Base.
Impacto da solução alternativa. Cancelar o registro do codec Indeo impedirá que qualquer aplicativo ou conteúdo de mídia use esse codec.
Como desfazer a solução alternativa. Consulte o Artigo 954157 da Base de Dados de Conhecimento Microsoft para obter informações sobre como desfazer essa solução alternativa.
Ações adicionais sugeridas
Consulte o artigo da Base de Dados de Conhecimento Microsoft associado a este comunicado
Para obter mais informações sobre esse problema, consulte o artigo 954157 da Base de Dados de Conhecimento Microsoft.Mantenha o Windows atualizado
Todos os usuários do Windows devem aplicar as atualizações de segurança mais recentes da Microsoft para ajudar a garantir que seus computadores estejam o mais protegidos possível. Se você não tiver certeza se o software está atualizado, visite o Windows Update, verifique se há atualizações disponíveis no computador e instale as atualizações de alta prioridade que lhe são oferecidas. Se você tiver as Atualizações Automáticas habilitadas, as atualizações serão entregues a você quando forem lançadas, mas você precisará se certificar de instalá-las. Para obter mais informações sobre atualizações de segurança, visite a Central de Segurança da Microsoft.
Outras Informações
Agradecimentos
A Microsoft agradece o seguinte por trabalhar conosco para ajudar a proteger os clientes:
- Paul Byrne da NGS Software por relatar as vulnerabilidades no codec Indeo
- Um pesquisador anônimo, trabalhando com a TippingPoint e a Zero Day Initiative, por relatar várias vulnerabilidades no codec Indeo
- Bing Liu do FortiGuard Labs da Fortinet por relatar as vulnerabilidades no codec Indeo
- VeriSign iDefense Labs por relatar as vulnerabilidades no codec Indeo
- Dave Lenoe, da Adobe , por relatar as vulnerabilidades no codec Indeo
- Will Dormann da Cert/CC por relatar as vulnerabilidades no codec Indeo
Feedback
- Você pode fornecer comentários preenchendo o formulário de Ajuda e Suporte da Microsoft, Atendimento ao Cliente Fale Conosco.
Suporte
- Os clientes nos Estados Unidos e no Canadá podem receber suporte técnico do Suporte de Segurança. Para obter mais informações sobre as opções de suporte disponíveis, consulte Ajuda e Suporte da Microsoft.
- Os clientes internacionais podem receber suporte de suas subsidiárias locais da Microsoft. Para obter mais informações sobre como entrar em contato com a Microsoft para problemas de suporte internacional, visite Suporte internacional.
- O Microsoft TechNet Security fornece informações adicionais sobre segurança em produtos Microsoft.
Aviso de isenção de responsabilidade
As informações fornecidas neste comunicado são fornecidas "no estado em que se encontram", sem garantia de qualquer tipo. A Microsoft se isenta de todas as garantias, expressas ou implícitas, incluindo as garantias de comercialização e adequação a uma finalidade específica. Em nenhuma circunstância a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, incluindo danos diretos, indiretos, incidentais, consequenciais, perda de lucros comerciais ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido avisados da possibilidade de tais danos. Alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou incidentais, portanto, a limitação acima pode não se aplicar.
Revisões
- V1.0 (8 de dezembro de 2009): Comunicado publicado.
Construído em 2014-04-18T13:49:36Z-07:00