Microsoft Security Bulletin MS14-067 - Crítica

Vulnerabilidade no XML Core Services pode permitir a execução remota de código (2993958)

Publicado em: 11 de novembro de 2014

Versão: 1.0

Resumo executivo

Esta atualização de segurança elimina uma vulnerabilidade relatada em particular no Microsoft Windows. A vulnerabilidade pode permitir a execução remota de código se um usuário conectado visitar um site especialmente criado projetado para invocar o Microsoft XML Core Services (MSXML) por meio do Internet Explorer. Em todos os casos, no entanto, um invasor não teria como forçar os usuários a visitar esses sites. Em vez disso, um invasor teria que convencer os usuários a visitar um site, geralmente fazendo com que eles cliquem em um link em uma mensagem de email ou em uma solicitação do Instant Messenger que leva os usuários ao site do invasor.

Esta atualização de segurança para o Microsoft XML Core Services 3.0 é classificada como Crítica para versões afetadas de clientes Microsoft Windows e Importante para versões afetadas de servidores Microsoft Windows. Para obter mais informações, consulte a seção Softwares afetados.

A atualização de segurança elimina a vulnerabilidade modificando a maneira como o Microsoft XML Core Services analisa o conteúdo XML. Para obter mais informações sobre a vulnerabilidade, consulte a subseção Perguntas frequentes sobre a vulnerabilidade específica.

Para obter mais informações sobre este documento, consulte o artigo 2993958 da Base de Dados de Conhecimento.

Softwares afetados

As seguintes versões ou edições de software são afetadas. As versões ou edições que não estão listadas já passaram do ciclo de vida de suporte ou não são afetadas. Para determinar o ciclo de vida de suporte para sua versão ou edição de software, consulte Ciclo de Vida do Suporte da Microsoft.

^[1]Esta actualização está disponível apenas através do Windows Update .

Observação O Windows Technical Preview e o Windows Server Technical Preview são afetados. Os clientes que executam esses sistemas operacionais são incentivados a aplicar a atualização, que está disponível por meio do Windows Update. 

Perguntas frequentes sobre atualizações

Qual versão do Microsoft XML Core Services está instalada no meu sistema?
Algumas versões do Microsoft XML Core Services estão incluídas no Microsoft Windows; outros são instalados com software que não seja do sistema operacional da Microsoft ou de provedores de terceiros. Alguns também estão disponíveis como downloads separados. A tabela a seguir mostra as versões com suporte do Microsoft Windows e indica quais versões do Microsoft XML Core Services estão incluídas no sistema operacional e quais versões são instaladas quando você instala software adicional da Microsoft ou de terceiros.

Observação Para obter informações sobre quais versões são suportadas pela Microsoft, consulte o Artigo 269238 (em inglês) da Microsoft Knowledge Base.

Classificações de gravidade e identificadores de vulnerabilidade

As classificações de gravidade a seguir pressupõem o impacto máximo potencial da vulnerabilidade. Para obter informações sobre a probabilidade, dentro de 30 dias após o lançamento deste boletim de segurança, da possibilidade de exploração da vulnerabilidade em relação à sua classificação de gravidade e impacto à segurança, consulte o Índice de exploração no resumo de boletins de novembro.

Vulnerabilidade de execução remota de código do MSXML - CVE-2014-4118

Existe uma vulnerabilidade de execução remota de código quando o Microsoft XML Core Services (MSXML) analisa incorretamente o conteúdo XML, o que pode corromper o estado do sistema de forma a permitir que um invasor execute código arbitrário. A vulnerabilidade pode permitir a execução remota de código se um usuário abrir um arquivo ou página da Web especialmente criado. A Microsoft recebeu informações sobre esta vulnerabilidade através da divulgação coordenada de vulnerabilidades. Quando este boletim de segurança foi emitido, a Microsoft não tinha recebido nenhuma informação que indicasse que esta vulnerabilidade tinha sido utilizada publicamente para atacar clientes. A atualização elimina a vulnerabilidade modificando a maneira como o Microsoft XML Core Services analisa o conteúdo XML.

Fatores atenuantes

Os seguintes fatores atenuantes podem ser úteis em sua situação:

• Num cenário de ataque baseado na Web, um intruso poderia alojar um Web site especialmente concebido para explorar o MSXML através do Internet Explorer e, em seguida, convencer um utilizador a visualizar o Web site. Isso também pode incluir sites comprometidos e sites que aceitam ou hospedam conteúdo fornecido pelo usuário ou anúncios. Esses sites podem conter conteúdo especialmente criado que pode explorar essa vulnerabilidade. Em todos os casos, no entanto, um invasor não teria como forçar os usuários a exibir o conteúdo controlado pelo invasor. Em vez disso, um invasor teria que convencer os usuários a agir, geralmente fazendo com que eles cliquem em um link em uma mensagem de email ou em uma solicitação do Instant Messenger que leva os usuários ao site do invasor, ou fazendo com que eles abram um anexo enviado por email.
• Um intruso que conseguisse explorar esta vulnerabilidade com êxito poderia obter os mesmos direitos de utilizador que o utilizador actual. Os clientes cujas contas estão configuradas para ter menos direitos de usuário no sistema podem ser menos afetados do que aqueles que operam com direitos de usuário administrativo.
• Por padrão, todas as versões com suporte do Microsoft Outlook, Microsoft Outlook Express e Windows Mail abrem mensagens de email em HTML na zona Sites restritos. A zona Sites restritos, que desabilita scripts e controles ActiveX, ajuda a reduzir o risco de um invasor poder usar essa vulnerabilidade para executar código mal-intencionado. Se um usuário clicar em um link em uma mensagem de email, ele ainda poderá estar vulnerável à exploração dessa vulnerabilidade por meio do cenário de ataque baseado na Web.
• Por padrão, o Internet Explorer no Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 e Windows Server 2012 R2 é executado em um modo restrito conhecido como Configuração de Segurança Reforçada. Este modo atenua esta vulnerabilidade. Consulte a seção Perguntas frequentes sobre esta vulnerabilidade para obter mais informações sobre a Configuração de Segurança Reforçada do Internet Explorer.

Soluções Alternativas

A Microsoft testou as seguintes soluções alternativas e estados na discussão se uma solução alternativa reduz a funcionalidade:

• Impedir que comportamentos binários do MSXML 3.0 sejam usados no Internet Explorer
  Você pode desabilitar as tentativas de usar um comportamento binário específico no Internet Explorer definindo o kill bit para o comportamento no Registro.

  Aviso Se você usar o Editor do Registro incorretamente, poderá causar problemas sérios que podem exigir a reinstalação do sistema operacional. A Microsoft não pode garantir que você possa resolver problemas resultantes do uso incorreto do Editor do Registro. Use o Editor do Registro por sua conta e risco.

  Para definir os kill bits para CLSIDs com valor de {f5078f39-c551-11d3-89b9-0000f81fe221} e {f6d90f16-9c73-11d3-b32e-00c04f990bb4}, cole o texto a seguir em um editor de texto, como o Bloco de Notas. Em seguida, salve o arquivo usando a extensão de nome de arquivo .reg.

  Windows Registry Editor Version 5.00
  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{f5078f39-c551-11d3-89b9-0000f81fe221}]
  "Compatibility Flags"=dword:04000400
  
  [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\ActiveX Compatibility\{f5078f39-c551-11d3-89b9-0000f81fe221}]
  "Compatibility Flags"=dword:04000400
  
  Windows Registry Editor Version 5.00
  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{f6d90f16-9c73-11d3-b32e-00c04f990bb4}]
  "Compatibility Flags"=dword:04000400
  
  [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\ActiveX Compatibility\{f6d90f16-9c73-11d3-b32e-00c04f990bb4}]
  "Compatibility Flags"=dword:04000400
  

Você pode aplicar esse arquivo de .reg a sistemas individuais clicando duas vezes nele. Você também pode aplicá-lo entre domínios usando a Diretiva de Grupo. Para obter mais informações sobre a Diretiva de Grupo, consulte o artigo do TechNet, Coleção de Diretiva de Grupo.

Observação:
Você deve reiniciar o Internet Explorer para que as alterações entrem em vigor.

Impacto da solução alternativa. Sites que usam os controles ActiveX XMLHTTP 3.0 podem não mais exibir ou funcionar corretamente no Internet Explorer.

Como desfazer a solução alternativa. Exclua as chaves do Registro adicionadas anteriormente na implementação desta solução alternativa.

Perguntas frequentes

Qual é o componente afetado pela vulnerabilidade?
A vulnerabilidade afeta o Microsoft XML Core Services (MSXML), que permite que os clientes que usam JScript, Visual Basic Scripting Edition (VBScript) e Microsoft Visual Studio 6.0 desenvolvam aplicativos baseados em XML que fornecem interoperabilidade com outros aplicativos que aderem ao padrão XML 1.0. Para obter mais informações, consulte o artigo do Microsoft Developer Network, MSXML.

Para que um invasor pode usar a vulnerabilidade?
Um intruso que conseguisse explorar esta vulnerabilidade com êxito poderia obter os mesmos direitos de utilizador que o utilizador com sessão iniciada. Se um usuário estiver conectado com direitos administrativos, um invasor poderá instalar programas; visualizar, alterar ou excluir dados; ou criar novas contas com direitos de usuário completos. Os usuários cujas contas estão configuradas para ter menos direitos de usuário no sistema correm menos riscos do que aqueles que têm direitos de usuário administrativo.

Como um invasor pode explorar a vulnerabilidade?
Um intruso poderia explorar a vulnerabilidade alojando um Web site especialmente concebido para invocar o MSXML através do Internet Explorer. Isso também pode incluir sites comprometidos e sites que aceitam ou hospedam conteúdo fornecido pelo usuário ou anúncios. Esses sites podem conter conteúdo especialmente criado que pode explorar essa vulnerabilidade. Em todos os casos, no entanto, um invasor não teria como forçar os usuários a visitar esses sites. Em vez disso, um invasor teria que convencer os usuários a visitar o site, geralmente fazendo com que eles cliquem em um link em uma mensagem de email ou em uma solicitação do Instant Messenger que leva os usuários ao site do invasor. Também pode ser possível exibir conteúdo da Web especialmente criado usando anúncios de banner ou usando outros métodos para entregar conteúdo da Web aos sistemas afetados.

Aplicativos Web e serviços que não são da Microsoft que utilizam a biblioteca MSXML para analisar XML também podem estar vulneráveis a esse ataque.

Quais são os sistemas que mais correm risco com a vulnerabilidade?
Esta vulnerabilidade requer que um usuário esteja conectado e visitando um site para que qualquer ação mal-intencionada ocorra. Portanto, todos os sistemas em que o Internet Explorer é usado com frequência, como estações de trabalho ou servidores de terminal, correm mais risco com essa vulnerabilidade.

Estou executando o Internet Explorer no Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 ou Windows Server 2012 R2. Isso atenua essa vulnerabilidade?
Sim. Por padrão, o Internet Explorer no Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 e Windows Server 2012 R2 é executado em um modo restrito conhecido como Configuração de Segurança Reforçada. A Configuração de Segurança Reforçada é um grupo de configurações pré-configuradas no Internet Explorer que pode reduzir a probabilidade de um usuário ou administrador baixar e executar conteúdo da Web especialmente criado em um servidor. Esse é um fator atenuante para sites que você não adicionou à zona de sites confiáveis do Internet Explorer.

Implantação de atualização de segurança

Para obter informações sobre a Implantação da Atualização de Segurança, consulte o artigo da Base de Dados de Conhecimento Microsoft mencionado no Resumo Executivo.

Agradecimentos

A Microsoft reconhece os esforços daqueles na comunidade de segurança que nos ajudam a proteger os clientes por meio da divulgação coordenada de vulnerabilidades. Consulte Agradecimentos para obter mais informações.

Aviso de isenção de responsabilidade

As informações fornecidas na Base de Dados de Conhecimento Microsoft são fornecidas "no estado em que se encontram", sem qualquer tipo de garantia. A Microsoft se isenta de todas as garantias, expressas ou implícitas, incluindo as garantias de comercialização e adequação a uma finalidade específica. Em nenhuma circunstância a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, incluindo danos diretos, indiretos, incidentais, consequenciais, perda de lucros comerciais ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido avisados da possibilidade de tais danos. Alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou incidentais, portanto, a limitação acima pode não se aplicar.

Revisões

• V1.0 (11 de novembro de 2014): Boletim publicado.

Página gerada em 14/01/2015 11:39Z-08:00.