• Artigo

Consultoria de Segurança

Comunicado de Segurança da Microsoft 973882

Vulnerabilidades na Microsoft Active Template Library (ATL) podem permitir a execução remota de código

Publicado: terça-feira, 28 de julho de 2009 | Atualizado: October 13, 2009

Versão: 4.0

A Microsoft está lançando este comunicado de segurança para fornecer informações sobre nossa investigação em andamento sobre vulnerabilidades nas versões pública e privada da ATL (Active Template Library) da Microsoft. Este comunicado também fornece orientação sobre o que os desenvolvedores podem fazer para ajudar a garantir que os controles e componentes que eles criaram não sejam vulneráveis aos problemas de ATL; o que os profissionais de TI e os consumidores podem fazer para mitigar possíveis ataques que usam as vulnerabilidades; e o que a Microsoft está fazendo como parte de sua investigação em andamento sobre o problema descrito neste comunicado. Este comunicado de segurança também fornecerá uma lista abrangente de todos os Boletins de Segurança da Microsoft e Atualizações de Segurança relacionados às vulnerabilidades na ATL. A investigação da Microsoft sobre as versões privada e pública da ATL está em andamento e lançaremos atualizações de segurança e orientações conforme apropriado como parte do processo de investigação.

A Microsoft está ciente das vulnerabilidades de segurança nas versões pública e privada da ATL. O Microsoft ATL é usado por desenvolvedores de software para criar controles ou componentes para a plataforma Windows. As vulnerabilidades descritas neste Comunicado de Segurança e no Boletim de Segurança da Microsoft MS09-035 podem resultar em divulgação de informações ou ataques de execução remota de código para controles e componentes criados usando versões vulneráveis da ATL. Componentes e controles criados com a versão vulnerável da ATL podem ser expostos a uma condição vulnerável devido à forma como a ATL é usada ou devido a problemas no próprio código da ATL.

Orientação para desenvolvedores: A Microsoft corrigiu os problemas nos cabeçalhos públicos da ATL e lançou atualizações para as bibliotecas no boletim MS09-035 "Vulnerabilidades na Biblioteca de Modelos Ativos do Visual Studio podem permitir a execução remota de código". A Microsoft recomenda enfaticamente que os desenvolvedores que criaram controles ou componentes com ATL tomem medidas imediatas para avaliar seus controles quanto à exposição a uma condição vulnerável e sigam as orientações fornecidas para criar controles e componentes que não sejam vulneráveis. Para obter mais informações sobre as vulnerabilidades e orientações para resolver problemas na ATL, consulte MS09-035, "Vulnerabilidades na biblioteca de modelos ativos do Visual Studio podem permitir a execução remota de código".

Orientação para profissionais de TI e consumidores: para ajudar a proteger melhor os clientes enquanto os desenvolvedores atualizam seus componentes e controles, a Microsoft desenvolveu uma nova tecnologia de defesa profunda. Essa nova tecnologia de defesa profunda incorporada ao Internet Explorer ajuda a proteger os clientes contra ataques futuros usando as vulnerabilidades da Microsoft Active Template Library descritas neste Comunicado e no Boletim de Segurança da Microsoft MS09-035. Para se beneficiar dessa nova tecnologia de defesa profunda, os profissionais de TI e os consumidores devem implantar imediatamente a Atualização de Segurança do Internet Explorer oferecida no Boletim de Segurança da Microsoft MS09-034, "Atualização de Segurança Cumulativa para o Internet Explorer".

Esta atualização de segurança inclui uma atenuação que impede que componentes e controles criados usando a ATL vulnerável sejam explorados no Internet Explorer, além de abordar várias vulnerabilidades não relacionadas. As novas proteções de defesa profunda oferecidas no boletim MS09-034 incluem atualizações para o Internet Explorer 5.01, Internet Explorer 6 e Internet Explorer 6 Service Pack 1, Internet Explorer 7 e Internet Explorer 8. Essas proteções de defesa profunda monitoram e ajudam a impedir a exploração bem-sucedida de todas as vulnerabilidades ATL públicas e privadas conhecidas, incluindo as vulnerabilidades que podem levar a ignorar o recurso de segurança de kill bit do ActiveX. Essas proteções foram projetadas para ajudar a proteger os clientes contra ataques baseados na Web.

Orientação ao usuário doméstico: para ajudar a proteger melhor os clientes enquanto os desenvolvedores atualizam seus componentes e controles, a Microsoft desenvolveu uma nova tecnologia de defesa profunda. Essa nova tecnologia de defesa profunda incorporada ao Internet Explorer com a nova atualização ajuda a proteger os clientes contra ataques futuros usando as vulnerabilidades da Microsoft Active Template Library descritas neste Comunicado e no Boletim de Segurança da Microsoft MS09-035. Os usuários domésticos inscritos nas Atualizações Automáticas receberão a nova atualização do Internet Explorer automaticamente e não precisarão executar nenhuma ação adicional. Os usuários domésticos estarão automaticamente mais protegidos contra ataques futuros contra as vulnerabilidades abordadas neste Comunicado de Segurança e no Boletim de Segurança da Microsoft MS09-035.

Fatores atenuantes para controles e componentes criados usando a versão vulnerável da ATL (Active Template Library) da Microsoft:

  • Por padrão, a maioria dos controles ActiveX não está incluída na lista de permissões padrão para controles ActiveX no Internet Explorer 7 ou Internet Explorer 8 em execução no Windows Vista ou sistemas operacionais posteriores. Somente os clientes que aprovaram explicitamente controles vulneráveis usando o recurso de ativação do ActiveX correm o risco de tentar explorar essa vulnerabilidade. No entanto, se um cliente tiver usado esses controles ActiveX em uma versão anterior do Internet Explorer e, em seguida, atualizado posteriormente para o Internet Explorer 7 ou Internet Explorer 8, esses controles ActiveX serão habilitados para funcionar no Internet Explorer 7 e no Internet Explorer 8, mesmo que o cliente não o tenha aprovado explicitamente usando o recurso de aceitação do ActiveX.
  • Por padrão, o Internet Explorer 8 oferece proteções aprimoradas habilitando proteções de memória DEP/NX para usuários no Windows XP Service Pack 3, Windows Vista Service Pack 1 e Windows Vista Service Pack 2 e Windows 7.
  • Por padrão, o Internet Explorer no Windows Server 2003 e no Windows Server 2008 é executado em um modo restrito conhecido como Configuração de Segurança Reforçada. A Configuração de Segurança Reforçada é um grupo de configurações pré-configuradas no Internet Explorer que pode reduzir a probabilidade de um usuário ou administrador baixar e executar conteúdo da Web especialmente criado em um servidor. Esse é um fator atenuante para sites que você não adicionou à zona de sites confiáveis do Internet Explorer. Consulte também Gerenciando a configuração de segurança reforçada do Internet Explorer.
  • Por padrão, todas as versões com suporte do Microsoft Outlook e do Microsoft Outlook Express abrem mensagens de email em HTML na zona Sites restritos. A zona Sites restritos ajuda a mitigar ataques que podem tentar explorar essa vulnerabilidade, impedindo que controles ActiveX e scripts ativos sejam usados durante a leitura de mensagens de email em HTML. No entanto, se um usuário clicar em um link em uma mensagem de email, ele ainda poderá estar vulnerável à exploração dessa vulnerabilidade por meio do cenário de ataque baseado na Web.
  • Num cenário de ataque baseado na Web, um intruso poderia alojar um Web site que contivesse uma página Web utilizada para explorar esta vulnerabilidade. Além disso, sites comprometidos e sites que aceitam ou hospedam conteúdo fornecido pelo usuário ou anúncios podem conter conteúdo especialmente criado que pode explorar essa vulnerabilidade. Em todos os casos, no entanto, um invasor não teria como forçar os usuários a visitar esses sites. Em vez disso, um invasor teria que persuadir os usuários a visitar o site, geralmente fazendo com que eles cliquem em um link em uma mensagem de email ou mensagem de mensagens instantâneas que leva os usuários ao site do invasor.
  • Um intruso que conseguisse explorar esta vulnerabilidade com êxito poderia obter os mesmos direitos de utilizador que o utilizador local. Os usuários cujas contas estão configuradas para ter menos direitos de usuário no sistema correm menos riscos do que aqueles que têm direitos de usuário administrativo.

Atualizações relacionadas ao ATL:

Atualização lançada em 13 de outubro de 2009

  • O Boletim de Segurança da Microsoft MS09-060, "Vulnerabilidades nos controles ActiveX da Microsoft Active Template Library (ATL) para Microsoft Office podem permitir a execução remota de código", fornece suporte para componentes do Microsoft Office afetados pelas vulnerabilidades de ATL descritas neste comunicado.

Atualizações lançadas em 25 de agosto de 2009

  • O Windows Live Messenger 14.0.8089 está sendo lançado para resolver vulnerabilidades no cliente Windows Live Messenger relacionadas às vulnerabilidades ATL descritas neste comunicado.
  • Uma seção Perguntas frequentes sobre componentes do Windows Live foi adicionada a este comunicado para comunicar a remoção do recurso "Anexar foto" do Windows Live Hotmail e para fornecer detalhes sobre a versão 14.0.8089 do Windows Live Messenger.

Atualizações lançadas em 11 de agosto de 2009

  • O Boletim de Segurança da Microsoft MS09-037, "Vulnerabilidades na Microsoft Active Template Library (ATL) podem permitir a execução remota de código", fornece suporte para componentes do Windows afetados pelas vulnerabilidades de ATL descritas neste comunicado.
  • O Boletim de Segurança da Microsoft MS09-035, "Vulnerabilidades na Biblioteca de Modelos Ativos do Visual Studio podem permitir a execução remota de código", está sendo relançado para oferecer novas atualizações para desenvolvedores que usam o Visual Studio para criar componentes e controles para aplicativos móveis usando ATL para dispositivos inteligentes.

Atualizações lançadas em 28 de julho de 2009

  • O Boletim de Segurança da Microsoft MS09-035, "Vulnerabilidades na Biblioteca de Modelos Ativos do Visual Studio Podem Permitir a Execução Remota de Código", entra em mais detalhes sobre as vulnerabilidades específicas na ATL e fornece os cabeçalhos públicos atualizados da ATL para que os fornecedores desenvolvam componentes e controles atualizados. Nossa investigação mostrou que há componentes e controles da Microsoft e de terceiros que são afetados por esse problema e que esses componentes e controles existem em todas as edições com suporte do Windows 2000 Service Pack 4, Windows XP, Windows Server 2003, Windows Vista e Windows Server 2008. Os desenvolvedores que usaram versões vulneráveis da ATL ao criar controles ou componentes devem revisar este boletim e tomar medidas imediatas se seus controles estiverem vulneráveis.
  • O Boletim de Segurança da Microsoft MS09-034, "Atualização de segurança cumulativa para o Internet Explorer", inclui uma atenuação que impede que componentes e controles criados usando a ATL vulnerável sejam explorados no Internet Explorer, além de abordar várias vulnerabilidades não relacionadas. As novas proteções de defesa em profundidade oferecidas no boletim MS09-034 incluem atualizações para o Internet Explorer 5.01, Internet Explorer 6 e Internet Explorer 6 Service Pack 1, Internet Explorer 7 e Internet Explorer 8. Essas proteções de defesa profunda monitoram e ajudam a impedir a exploração bem-sucedida de todas as vulnerabilidades ATL públicas e privadas conhecidas, incluindo as vulnerabilidades que podem levar a ignorar o recurso de segurança de kill bit do ActiveX. Essas proteções foram projetadas para ajudar a proteger os clientes contra ataques baseados na Web.
  • Não temos conhecimento de quaisquer métodos ou controlos incluídos no Windows 7 que permitam que os ataques sejam bem-sucedidos através do Internet Explorer.

Atualização lançada em 14 de julho de 2009

  • O Boletim de Segurança da Microsoft MS09-032, "Atualização de segurança cumulativa de kill bits do ActiveX", forneceu medidas de segurança ActiveX (um kill bit) que impediam a execução do controle msvidctl no Internet Explorer. O exploit no msvidcntl se aproveitou de uma vulnerabilidade na versão privada da ATL. Neste caso específico, a vulnerabilidade permite que um invasor corrompa a memória, o que pode levar a uma execução remota de código. Os kill bits emitidos na versão de junho para msvidctl (MS09-032) bloquearão as explorações públicas, conforme descrito aqui.

Informações Gerais

Visão geral

Objetivo do Comunicado: Este comunicado foi lançado para fornecer aos clientes uma notificação inicial da vulnerabilidade divulgada publicamente. Para obter mais informações, consulte as seções Soluções alternativas, Fatores atenuantes e Ações sugeridas deste comunicado de segurança.

Status do Comunicado: Comunicado publicado.

Recomendação: Revise as ações sugeridas e configure conforme apropriado.

Referências Identificação
Referência CVE CVE-2009-0901 CVE-2009-2493\ CVE-2009-2495\ CVE-2008-0015\
Boletim de Segurança MS09-035, "Vulnerabilidades na Biblioteca de Modelos Ativos do Visual Studio podem permitir a execução remota de código"\ \ MS09-034, "Atualização de segurança cumulativa para o Internet Explorer"\ \ MS09-032, "Atualização de segurança cumulativa de kill bits do ActiveX"
Artigo da Base de Dados de Conhecimento Microsoft MS09-035:\ Artigo 969706 da Base de Dados de Conhecimento Microsoft\ \ MS09-034:\ Artigo 972260 (em inglês) da Microsoft Knowledge Base\ \ MS09-032:\ Artigo 973346 da Base de Dados de Conhecimento Microsoft

Este comunicado aborda o seguinte software.

Softwares afetados
Microsoft Windows
Controles e componentes criados usando a Biblioteca de Modelos Ativos vulnerável
Serviços do Microsoft Live
Windows Live Messenger (versões inferiores a 14.0.8089)
Recurso "Anexar foto" do Windows Live Hotmail

Perguntas frequentes

Qual o escopo da assessoria?
A Microsoft está ciente de vulnerabilidades que afetam componentes e controles criados usando versões públicas e privadas da ATL (Active Template Library). O comunicado visa conscientizar os usuários sobre atualizações que ajudam a mitigar o risco de controles e componentes vulneráveis, fornecer orientação e orientação aos desenvolvedores que criaram controles e componentes usando a ATL vulnerável e aos profissionais de TI sobre como proteger e instalar mitigações em seu ambiente.

A Microsoft lançará atualizações de segurança adicionais relacionadas a este Comunicado de Segurança no futuro?
A investigação da Microsoft sobre os cabeçalhos privados e públicos da ATL está em andamento e lançaremos atualizações de segurança e orientações conforme apropriado como parte do processo de investigação.

A vulnerabilidade msvidctl (MS09-032) estava relacionada a esta atualização da ATL?
Sim, o exploit no msvidctl se aproveitou de uma vulnerabilidade na versão privada da ATL. Neste caso específico, a vulnerabilidade permite que um invasor corrompa a memória, o que pode levar a uma execução remota de código. O boletim MS09-032, emitido anteriormente na versão de 14 de julho, bloqueia ataques conhecidos para msvidctl. Para obter mais informações sobre a exploração no msvidctl, consulte https://blogs.technet.com/srd/archive/2009/07/06/new-vulnerability-in-mpeg2tunerequest-activex-control-object-in-msvidctl-dll.aspx.

A atualização do Internet Explorer (ms09-034) também protegerá contra ataques msvidctl?
Sim, as mitigações do Internet Explorer protegerão contra a exploração das vulnerabilidades conhecidas nas versões pública e privada da ATL, incluindo os ataques msvidctl.

O que é ATL?
A ATL (Active Template Library) é um conjunto de classes C++ baseadas em modelo que permite criar objetos COM (Component Object Model) pequenos e rápidos. A ATL tem suporte especial para os principais recursos COM, incluindo implementações de estoque, interfaces duplas, interfaces de enumerador COM padrão, pontos de conexão, interfaces de separação e controles ActiveX. Para obter mais informações, consulte o artigo do MSDN, ATL.

O que causa essa ameaça na ATL?
O problema é causado em alguns casos pela forma como a ATL é usada e, em outros casos, pelo próprio código ATL. Nesses casos, os fluxos de dados podem ser manipulados incorretamente, o que pode levar à corrupção de memória, divulgação de informações e instanciação de objetos sem levar em conta a diretiva de segurança. Para obter mais informações sobre as vulnerabilidades abordadas na ATL, consulte MS09-035, "Vulnerabilidades na biblioteca de modelos ativos do Visual Studio podem permitir a execução remota de código".

Quais são as diferenças entre as versões pública e privada da Active Template Library?
A versão privada da Active Template Library é usada por desenvolvedores da Microsoft para criar controles e componentes. A Microsoft atualizou todas as versões da Active Template Library usadas por nossos desenvolvedores.

A versão pública da Active Template Library é distribuída aos clientes por meio de ferramentas de desenvolvedor, como o Microsoft Visual Studio. A Microsoft está fornecendo uma versão atualizada de nossa ATL pública por meio do Boletim de Segurança da Microsoft MS09-035.

As vulnerabilidades de segurança na ATL exigirão que a Microsoft e desenvolvedores de terceiros emitam atualizações de segurança?
Sim. Além das atualizações de boletim descritas neste comunicado, a Microsoft está realizando uma investigação abrangente dos controles e componentes da Microsoft. Após a conclusão desta investigação, a Microsoft tomará as medidas apropriadas para ajudar a proteger nossos clientes. Isso pode incluir o fornecimento de uma atualização de segurança por meio de nosso processo de lançamento mensal ou o fornecimento de uma atualização de segurança fora de banda, dependendo das necessidades do cliente.

A Microsoft também está fornecendo orientação e está entrando em contato ativamente com os principais desenvolvedores de terceiros para ajudá-los a identificar controles e componentes vulneráveis. Isso pode resultar em atualizações de segurança para controles e componentes de terceiros.

Perguntas frequentes sobre o Windows Live Services

Como a atualização para o Windows Live Messenger será distribuída?
Ao fazer logon no serviço Windows Live Messenger, os usuários do Windows Live Messenger 8.1, Windows Live Messenger 8.5 e Windows Live Messenger 14.0 em versões com suporte do Windows serão solicitados pelo mecanismo de implantação do cliente no serviço Windows Live Messenger a aceitar a atualização para o Windows Live Messenger 14.0.8089. Além disso, os usuários que desejam baixar a atualização para o Windows Live Messenger 14.0.8089 imediatamente podem fazê-lo usando o Centro de Download do Windows Live. Caso contrário, os usuários de versões vulneráveis dos clientes do Windows Live Messenger podem não ter permissão para se conectar ao serviço Windows Live Messenger.

Por que a Microsoft está lançando a atualização para o Windows Live Messenger pelo serviço Windows Live Messenger, além de fornecer downloads?
Atualmente, a Microsoft emite atualizações para o cliente Windows Live Messenger usando o serviço Windows Live Messenger porque esses serviços online têm seu próprio mecanismo de implantação de cliente. No entanto, os links do Centro de Download da Microsoft também estão disponíveis para clientes específicos do Windows Live Messenger. Os usuários que desejam baixar as atualizações imediatamente podem fazê-lo no Centro de Download do Windows Live.

Se esta for uma atualização, como posso detectar se tenho uma versão vulnerável do Windows Live Messenger?
Quando você tenta entrar no serviço Windows Live Messenger, o mecanismo de implantação do cliente determinará automaticamente a versão e a plataforma atuais do cliente e, se necessário, recomendará a atualização apropriada. Além disso, você pode verificar sua versão do cliente Windows Live Messenger clicando em Ajuda e, em seguida, em Sobre.

O que acontece se eu não atualizar para a versão mais atual do Windows Live Messenger?
Se você não atualizar para uma versão não afetada do cliente Windows Live Messenger, dependendo da sua plataforma, você será notificado para atualizar em cada tentativa de logon. Se você não aceitar a atualização, talvez não tenha permissão para acessar o serviço Windows Live Messenger.

Outros aplicativos de Colaboração em Tempo Real da Microsoft, como o Windows Messenger ou o Office Communicator, são afetados por essa vulnerabilidade?
Não. Outros aplicativos de mensagens não são afetados, pois não contêm o componente vulnerável.

Quando a Microsoft removeu o recurso "Anexar foto" do Windows Live Hotmail? Coincidiu com o lançamento de outra novidade?
A Microsoft tomou recentemente a decisão de remover o recurso a curto prazo para corrigir o problema. A remoção temporária desse recurso não coincidiu com o lançamento de outro recurso.

Qual é o cronograma mais recente para que o recurso "Anexar foto" seja totalmente restaurado para todos os usuários do Windows Live Hotmail?
A Microsoft está trabalhando ativamente para corrigir o problema. Enquanto isso, você ainda pode adicionar imagens como anexos às suas mensagens do Hotmail clicando em Anexar e selecionando a imagem que deseja incluir.

Perguntas frequentes de desenvolvedores sobre a atualização do Visual Studio

O que causa essa ameaça na ATL?
O problema é causado em alguns casos pela forma como a ATL é usada e, em outros casos, pelo próprio código ATL. Nesses casos, os fluxos de dados podem ser manipulados incorretamente, o que pode levar à corrupção de memória, divulgação de informações e instanciação de objetos sem levar em conta a diretiva de segurança. Para obter mais informações sobre as vulnerabilidades abordadas na ATL, consulte MS09-035, "Vulnerabilidades na biblioteca de modelos ativos do Visual Studio podem permitir a execução remota de código".

Para que um invasor pode usar essa vulnerabilidade?
Para controles e componentes criados usando ATL, o uso não seguro de determinadas macros pode permitir a instanciação de objetos arbitrários que podem ignorar a diretiva de segurança ActiveX relacionada (ou seja, kill bits) no Internet Explorer. Além disso, componentes e controles criados usando a versão vulnerável da ATL podem ser vulneráveis à execução remota de código ou ameaças de divulgação de informações. Se um usuário estiver conectado com direitos de usuário administrativo e tiver um controle vulnerável em seu sistema, um invasor poderá assumir o controle total do sistema afetado. Um invasor pode instalar programas, exibir, alterar ou excluir dados, além de criar contas com direitos de usuário totais. Os usuários cujas contas estão configuradas para ter menos direitos de usuário no sistema correm menos riscos do que aqueles que têm direitos de usuário administrativo.

Sou um desenvolvedor de aplicativos de terceiros e uso ATL em meu componente ou controle. Meu componente ou controle está vulnerável e, em caso afirmativo, como faço para atualizá-lo?
Componentes e controles podem ser afetados por esse problema se determinadas condições forem atendidas durante a criação do componente ou controle. O boletim MS09-035 contém informações adicionais, exemplos e orientações que desenvolvedores de terceiros podem usar para detectar e corrigir componentes e controles vulneráveis.

O que faz a Atualização de segurança para Visual Studio?
Essas atualizações eliminam vulnerabilidades na Microsoft Active Template Library (ATL) que podem permitir que um usuário remoto não autenticado execute código arbitrário em um sistema afetado. Essas vulnerabilidades são, em alguns casos, causadas pela maneira como a ATL é usada e, em outros casos, pelo próprio código ATL. Como essas vulnerabilidades afetam a ATL, os componentes ou controles que foram desenvolvidos usando a ATL podem expor os clientes que usam os controles e componentes afetados a cenários de execução remota de código.

A atualização de segurança para Visual Studio atualiza a versão vulnerável da ATL usada pelo Visual Studio. Isso permite que os usuários do Visual Studio modifiquem e recriem seus controles e componentes usando uma versão atualizada da ATL.

Nossa investigação mostrou que componentes e controles da Microsoft e de terceiros podem ser afetados por esse problema. Portanto, todos os fornecedores afetados devem modificar e recriar seus componentes e controles usando a ATL corrigida fornecida no Boletim de Segurança da Microsoft MS09-035.

Perguntas frequentes de profissionais de TI sobre o que eles podem fazer para se proteger

A atualização MS09-034 do IE me protege de todos os componentes e controles criados na versão vulnerável da ATL?
Para ajudar a proteger melhor os clientes enquanto os desenvolvedores atualizam seus componentes e controles, a Microsoft desenvolveu uma nova tecnologia de defesa profunda. Essa nova tecnologia de defesa profunda incorporada ao Internet Explorer ajuda a proteger os clientes contra ataques futuros usando as vulnerabilidades da Microsoft Active Template Library descritas neste Comunicado e no Boletim de Segurança da Microsoft MS09-035. O Boletim de Segurança da Microsoft MS09-034, "Atualização de segurança cumulativa para o Internet Explorer", inclui uma atenuação que impede que componentes e controles criados usando a ATL vulnerável sejam explorados no Internet Explorer, além de abordar várias vulnerabilidades não relacionadas.

A Microsoft continua investigando todos os controles e componentes da Microsoft e está ajudando desenvolvedores de terceiros a avaliar seus controles e componentes.

Que ação um profissional de TI pode tomar para mitigar a exposição a esse problema?
A Microsoft recomenda enfaticamente que os profissionais de TI implantem imediatamente a Atualização de Segurança do Internet Explorer oferecida no Boletim de Segurança da Microsoft MS09-034, "Atualização de Segurança Cumulativa para o Internet Explorer".

Perguntas frequentes sobre o que os consumidores podem fazer para se proteger

Que medidas os consumidores podem tomar para mitigar a exposição a este problema?
Para ajudar a proteger melhor os clientes enquanto os desenvolvedores atualizam seus componentes e controles, a Microsoft desenvolveu uma nova tecnologia de defesa profunda. Essa nova tecnologia de defesa profunda incorporada ao Internet Explorer ajuda a proteger os clientes contra ataques futuros usando as vulnerabilidades da Microsoft Active Template Library descritas neste Comunicado e no Boletim de Segurança da Microsoft MS09-035. A Microsoft recomenda enfaticamente que os consumidores ativem a Atualização Automática e implantem imediatamente a Atualização de Segurança do Internet Explorer oferecida no Boletim de Segurança da Microsoft MS09-034, "Atualização de Segurança Cumulativa para o Internet Explorer". Os usuários domésticos que recebem atualizações automaticamente receberão as atenuações fornecidas na atualização cumulativa do IE e em outras atualizações de segurança relacionadas a esse problema e não precisarão tomar medidas adicionais.

A Microsoft também incentiva os usuários domésticos a atualizar para o Internet Explorer 8 para se beneficiar de segurança e proteções aprimoradas.

Perguntas frequentes sobre as atenuações na atualização do Internet Explorer

O que causa essa ameaça que pode permitir o desvio da segurança ActiveX?
Controles ActiveX criados com métodos ATL vulneráveis podem não validar corretamente as informações. Isso pode resultar em um controle ActiveX que permite corrupção de memória ou permite que um invasor aproveite um controle ActiveX confiável para carregar um controle ActiveX não confiável que tenha sido bloqueado anteriormente para execução no Internet Explorer.

As novas proteções de defesa em profundidade oferecidas no boletim MS09-034 incluem atualizações para o Internet Explorer 5.01, Internet Explorer 6 e Internet Explorer 6 Service Pack 1, Internet Explorer 7 e Internet Explorer 8, que monitoram e impedem a exploração bem-sucedida de todas as vulnerabilidades conhecidas de ATL públicas e privadas, incluindo as vulnerabilidades que podem levar a ignorar o recurso de segurança de kill bit do IE. Essas proteções são projetadas para proteger os clientes contra ataques baseados na Web.

Para que um invasor pode usar essa função?
Um intruso que explorasse com êxito esta vulnerabilidade no Windows Vista ou no Windows 2008 só obteria direitos como utilizador restrito devido ao Modo de Protecção no Internet Explorer. Em outros sistemas Windows, o invasor pode obter os mesmos direitos de usuário que o usuário local. Os usuários cujas contas estão configuradas para ter menos direitos de usuário no sistema correm menos riscos do que aqueles que têm direitos de usuário administrativo.

Como um invasor pode usar essa função?
Um intruso poderia alojar um Web site concebido para alojar um controlo ActiveX especialmente concebido para o efeito e, em seguida, convencer um utilizador a visualizar o Web site. Isso também pode incluir sites comprometidos e sites que aceitam ou hospedam conteúdo fornecido pelo usuário ou anúncios. Em todos os casos, no entanto, um invasor não teria como forçar os usuários a visitar esses sites. Em vez disso, um invasor teria que convencer os usuários a visitar o site, geralmente fazendo com que eles cliquem em um link em uma mensagem de email ou em uma solicitação de mensagens instantâneas que leva os usuários ao site do invasor.

O que é um kill bit?
Um recurso de segurança no Microsoft Internet Explorer torna possível impedir que um controle ActiveX seja carregado pelo mecanismo de renderização HTML do Internet Explorer. Isso é feito fazendo uma configuração do Registro e é conhecido como "definir o kill bit". Depois que o kill bit é definido, o controle nunca pode ser carregado, mesmo quando ele está totalmente instalado. A configuração do kill bit garante que, mesmo que um componente vulnerável seja introduzido ou reintroduzido em um sistema, ele permaneça inerte e inofensivo.

Para obter mais informações sobre kill bits, consulte o artigo 240797 da Base de Dados de Conhecimento Microsoft: Como impedir a execução de um controle ActiveX no Internet Explorer. Para obter informações mais detalhadas sobre kill bits e como eles funcionam no Internet Explorer, consulte a seguinte postagem do blog de Pesquisa e Defesa de Segurança.

O que a atualização faz?
A atualização fortalece o mecanismo de segurança ActiveX fornecendo validação quando métodos não seguros são usados por controles ActiveX usando cabeçalhos ATL vulneráveis em configurações específicas.

Esta atualização altera a funcionalidade?
Sim. Esta atualização não permite mais que conjuntos específicos de métodos ATL sejam executados no Internet Explorer. A atualização reduz o risco de ignorar a segurança ativa, impedindo que controles ActiveX confiáveis carreguem controles não confiáveis

Esta atualização contém alterações de software adicionais?
Sim. Esta atualização também contém correções de segurança adicionais e outras atualizações para o Internet Explorer como parte da atualização cumulativa para o Internet Explorer.

Esta atualização aborda todos os cenários de controle ActiveX não seguros?
Não. Esta atualização aborda especificamente controles ActiveX não seguros/não confiáveis que podem estar vulneráveis aos problemas de ATL descritos neste Comunicado para proteger os clientes contra ataques ao navegar na Internet.

A Microsoft continua a investigar esse problema. Após a conclusão desta investigação, a Microsoft tomará as medidas apropriadas para ajudar a proteger nossos clientes. Isso pode incluir o fornecimento de uma atualização de segurança por meio de nosso processo de lançamento mensal ou o fornecimento de uma atualização de segurança fora de banda, dependendo das necessidades do cliente.

Como o Modo Protegido no Internet Explorer 7 e no Internet Explorer 8 no Windows Vista e posterior me protege dessa vulnerabilidade?
O Internet Explorer 7 e o Internet Explorer 8 no Windows Vista e sistemas operacionais posteriores são executados no Modo Protegido por padrão na zona de segurança da Internet. O Modo Protegido reduz significativamente a capacidade de um invasor de gravar, alterar ou destruir dados na máquina do usuário ou de instalar código mal-intencionado. Isso é feito usando os mecanismos de integridade do Windows Vista e posterior, que restringem o acesso a processos, arquivos e chaves do Registro com níveis de integridade mais altos.

O que é a Prevenção de Execução de Dados (DEP)?
A DEP (Prevenção de Execução de Dados) está habilitada por padrão no Internet Explorer 8. A DEP foi projetada para ajudar a impedir ataques, impedindo que o código seja executado na memória marcada como não executável. Para obter mais informações sobre DEP no Internet Explorer, consulte a seguinte postagem: https://blogs.msdn.com/ie/archive/2008/04/08/ie8-security-part-I_3A00_-dep-nx-memory-protection.aspx.

Ações sugeridas

  • Consulte o artigo da Base de Dados de Conhecimento Microsoft associado a este comunicado

    Os clientes interessados em saber mais sobre os problemas da ATL devem consultar o Artigo 973882 (em inglês) da Microsoft Knowledge Base.

  • Aplicar as atualizações associadas aos boletins de segurança MS09-034 e MS09-035

    Os clientes com sistemas afetados podem baixar as atualizações do Artigo 969706 (em inglês) da Microsoft Knowledge Base e do Artigo 972260 (em inglês) da Microsoft Knowledge Base. A atualização do Internet Explorer fornece novas atenuações que impedem a instanciação de controles ActiveX vulneráveis no Internet Explorer 7 e 8. A atualização do Visual Studio permite que os desenvolvedores criem controles ActiveX que não são afetados por essas vulnerabilidades.

  • Proteja seu PC

    Continuamos a incentivar os clientes a seguirem nossa orientação Proteja seu computador de habilitar um firewall, obter atualizações de software e instalar software antivírus. Os clientes podem saber mais sobre essas etapas visitando Proteja seu computador.

  • Para obter mais informações sobre como se manter seguro na Internet, os clientes devem visitar a Central de Segurança da Microsoft.

  • Mantenha o Windows atualizado

    Todos os usuários do Windows devem aplicar as atualizações de segurança mais recentes da Microsoft para ajudar a garantir que seus computadores estejam o mais protegidos possível. Se você não tiver certeza se o software está atualizado, visite o Windows Update, verifique se há atualizações disponíveis no computador e instale as atualizações de alta prioridade que lhe são oferecidas. Se você tiver as Atualizações Automáticas habilitadas, as atualizações serão entregues a você quando forem lançadas, mas você precisará se certificar de instalá-las.

Soluções Alternativas

A Microsoft testou as seguintes soluções alternativas. Embora essas soluções alternativas não corrijam a vulnerabilidade subjacente, elas ajudam a bloquear vetores de ataque conhecidos. Quando uma solução alternativa reduz a funcionalidade, ela é identificada na seção a seguir.

Defina as configurações da zona de segurança da Internet e da intranet local como "Alta" para avisar antes de executar os Controles ActiveX e os Scripts Ativos nessas zonas

Você pode ajudar a se proteger contra essa vulnerabilidade alterando as configurações da zona de segurança da Internet para avisar antes de executar controles ActiveX e scripts ativos. Você pode fazer isso definindo a segurança do seu navegador como Alta.

Para aumentar o nível de segurança de navegação no Microsoft Internet Explorer, siga estes passos:

  1. No menu Ferramentas do Internet Explorer, clique em Opções da Internet.
  2. Na caixa de diálogo Opções da Internet, clique na guia Segurança e, em seguida, clique no ícone Internet.
  3. Em Nível de segurança para esta zona, mova o controle deslizante para Alto. Isso define o nível de segurança para todos os sites que você visita como Alto.

Observação Se nenhum controle deslizante estiver visível, clique em Nível Padrão e mova o controle deslizante para Alto.

Observação Definir o nível como Alto pode fazer com que alguns sites funcionem incorretamente. Se você tiver dificuldade para usar um site depois de alterar essa configuração e tiver certeza de que o site é seguro para uso, você pode adicionar esse site à sua lista de sites confiáveis. Isso permitirá que o site funcione corretamente, mesmo com a configuração de segurança definida como Alta.

Impacto da solução alternativa: Há efeitos colaterais ao avisar antes de executar controles ActiveX e scripts ativos. Muitos sites que estão na Internet ou em uma intranet usam ActiveX ou scripts ativos para fornecer funcionalidade adicional. Por exemplo, um site de comércio eletrônico online ou site bancário pode usar controles ActiveX para fornecer menus, formulários de pedidos ou até mesmo extratos de conta. Avisar antes de executar controles ActiveX ou scripts ativos é uma configuração global que afeta todos os sites da Internet e da intranet. Você será solicitado com frequência quando você habilitar essa solução alternativa. Para cada prompt, se você achar que confia no site que está visitando, clique em Sim para executar controles ActiveX ou scripts ativos. Se você não quiser ser solicitado para todos esses sites, use as etapas descritas em "Adicionar sites confiáveis à zona de sites confiáveis do Internet Explorer".

Adicionar sites confiáveis à zona de sites confiáveis do Internet Explorer

Depois de definir o Internet Explorer para exigir um prompt antes de executar controles ActiveX e scripts ativos na zona da Internet e na zona da intranet local, você pode adicionar sites confiáveis à zona de sites confiáveis do Internet Explorer. Isso permitirá que você continue a usar sites confiáveis exatamente como você faz hoje, ao mesmo tempo em que ajuda a protegê-lo contra esse ataque em sites não confiáveis. Recomendamos que você adicione apenas sites confiáveis à zona Sites confiáveis.

Para conseguir isso, siga estas etapas:

  1. No Internet Explorer, clique em Ferramentas , clique em Opções da Internet e, em seguida, clique na guia segurança .
  2. Na caixa Selecione uma zona de conteúdo da Web para especificar suas configurações de segurança atuais, clique em Sites Confiáveis e em Sites.
  3. Se pretender adicionar sites que não requerem um canal encriptado, clique para desmarcar a caixa de verificação Exigir verificação do servidor (https:) para todos os sites nesta zona .
  4. Na caixa Adicionar este site à zona, digite a URL de um site confiável e clique em Adicionar.
  5. Repita estas etapas para cada site que você deseja adicionar à zona.
  6. Clique em OK duas vezes para aceitar as alterações e retornar ao Internet Explorer.

Observação Adicione todos os sites confiáveis para não executar ações maliciosas no computador. Dois em particular que você pode querer adicionar são *.windowsupdate.microsoft.com e *.update.microsoft.com. Esses são os sites que hospedarão a atualização e ele requer um controle ActiveX para instalar a atualização.

Configure o Internet Explorer para avisar antes de executar o Active Scripting ou para desabilitar o Active Scripting na zona de segurança da Internet e da intranet local

Você pode ajudar a se proteger contra essa vulnerabilidade alterando as configurações do Internet Explorer para avisar antes de executar o Active Scripting ou para desabilitar o Active Scripting na zona de segurança da Internet e da intranet local. Para fazer isso, siga estas etapas:

  1. No Internet Explorer, clique em Opções da Internet no menu Ferramentas .
  2. Clique na guia Segurança .
  3. Clique em Internet e, em seguida, clique em Nível Personalizado.
  4. Em Configurações, na seção Scripts, em Scripts Ativos, clique em Avisar ou Desabilitar e clique em OK.
  5. Clique em Intranet local e, em seguida, clique em Nível personalizado.
  6. Em Configurações, na seção Scripts, em Scripts Ativos, clique em Avisar ou Desabilitar e clique em OK.
  7. Clique em OK duas vezes para retornar ao Internet Explorer.

Observação Desabilitar scripts ativos nas zonas de segurança da Internet e da intranet local pode fazer com que alguns sites funcionem incorretamente. Se você tiver dificuldade para usar um site depois de alterar essa configuração e tiver certeza de que o site é seguro para uso, você pode adicionar esse site à sua lista de sites confiáveis. Isso permitirá que o site funcione corretamente.

Impacto da solução alternativa: Há efeitos colaterais ao avisar antes de executar o Active Scripting. Muitos sites que estão na Internet ou em uma intranet usam scripts ativos para fornecer funcionalidade adicional. Por exemplo, um site de comércio eletrônico online ou um site bancário pode usar o Active Scripting para fornecer menus, formulários de pedidos ou até mesmo extratos de conta. Avisar antes de executar o Active Scripting é uma configuração global que afeta todos os sites da Internet e da intranet. Você será solicitado com frequência quando você habilitar essa solução alternativa. Para cada prompt, se você achar que confia no site que está visitando, clique em Sim para executar o Active Scripting. Se você não quiser ser solicitado para todos esses sites, use as etapas descritas em "Adicionar sites confiáveis à zona de sites confiáveis do Internet Explorer".

Adicionar sites confiáveis à zona de sites confiáveis do Internet Explorer

Depois de definir o Internet Explorer para exigir um prompt antes de executar controles ActiveX e scripts ativos na zona da Internet e na zona da intranet local, você pode adicionar sites confiáveis à zona de sites confiáveis do Internet Explorer. Isso permitirá que você continue a usar sites confiáveis exatamente como você faz hoje, ao mesmo tempo em que ajuda a protegê-lo contra esse ataque em sites não confiáveis. Recomendamos que você adicione apenas sites confiáveis à zona Sites confiáveis.

Para conseguir isso, siga estas etapas:

  1. No Internet Explorer, clique em Ferramentas , clique em Opções da Internet e, em seguida, clique na guia segurança .
  2. Na caixa Selecione uma zona de conteúdo da Web para especificar suas configurações de segurança atuais, clique em Sites Confiáveis e em Sites.
  3. Se pretender adicionar sites que não requerem um canal encriptado, clique para desmarcar a caixa de verificação Exigir verificação do servidor (https:) para todos os sites nesta zona .
  4. Na caixa Adicionar este site à zona, digite a URL de um site confiável e clique em Adicionar.
  5. Repita estas etapas para cada site que você deseja adicionar à zona.
  6. Clique em OK duas vezes para aceitar as alterações e retornar ao Internet Explorer.

Observação Adicione todos os sites confiáveis para não executar ações maliciosas no computador. Dois em particular que você pode querer adicionar são *.windowsupdate.microsoft.com e *.update.microsoft.com. Esses são os sites que hospedarão a atualização e ele requer um controle ActiveX para instalar a atualização.

Outras Informações

Recursos:

  • Você pode fornecer comentários preenchendo o formulário visitando Ajuda e Suporte da Microsoft: Fale Conosco.
  • Os clientes nos Estados Unidos e no Canadá podem receber suporte técnico do Suporte de Segurança. Para obter mais informações sobre as opções de suporte disponíveis, consulte Ajuda e Suporte da Microsoft.
  • Os clientes internacionais podem receber suporte de suas subsidiárias locais da Microsoft. Para obter mais informações sobre como entrar em contato com a Microsoft para problemas de suporte internacional, visite Suporte internacional.
  • O Microsoft TechNet Security fornece informações adicionais sobre segurança em produtos Microsoft.

Aviso de Isenção de Responsabilidade:

As informações fornecidas neste comunicado são fornecidas "no estado em que se encontram", sem garantia de qualquer tipo. A Microsoft se isenta de todas as garantias, expressas ou implícitas, incluindo as garantias de comercialização e adequação a uma finalidade específica. Em nenhuma circunstância a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, incluindo danos diretos, indiretos, incidentais, consequenciais, perda de lucros comerciais ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido avisados da possibilidade de tais danos. Alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou incidentais, portanto, a limitação acima pode não se aplicar.

Revisões:

  • V1.0 (28 de julho de 2009): Comunicado publicado.
  • V2.0 (11 de agosto de 2009): Comunicado revisado para adicionar entradas na seção Atualizações relacionadas à ATL para comunicar o lançamento do Boletim de Segurança da Microsoft MS09-037, "Vulnerabilidades na Microsoft Active Template Library (ATL) Podem Permitir a Execução Remota de Código" e o relançamento do Boletim de Segurança da Microsoft MS09-035, "Vulnerabilidades na Biblioteca de Modelos Ativos do Visual Studio Podem Permitir a Execução Remota de Código, " para oferecer atualizações adicionais.
  • V3.0 (25 de agosto de 2009): Comunicado revisado para fornecer detalhes sobre a versão 14.0.8089 do Windows Live Messenger e para comunicar a remoção do recurso "Anexar foto" do Windows Live Hotmail.
  • V4.0 (13 de outubro de 2009): Comunicado revisado para adicionar uma entrada na seção Atualizações relacionadas à ATL para comunicar o lançamento do Boletim de Segurança da Microsoft MS09-060, "Vulnerabilidades nos controles ActiveX da Microsoft Active Template Library (ATL) para Microsoft Office podem permitir a execução remota de código".

Construído em 2014-04-18T13:49:36Z-07:00