Consultoria de Segurança

Comunicado de Segurança da Microsoft 956391

Pacote cumulativo de atualizações para kill bits do ActiveX

Publicado: terça-feira, 14 de outubro de 2008 | Atualizado: June 17, 2009

Versão: 1.3

A Microsoft está lançando um novo conjunto de kill bits ActiveX com este comunicado. Os identificadores de classe (CLSIDs) para esses controles ActiveX estão listados na seção Perguntas frequentes deste comunicado.

Esta atualização define os kill bits para os seguintes softwares de terceiros:

  • Microgaming Download Helper. A Microgaming emitiu um comunicado e uma atualização que aborda vulnerabilidades. Consulte o comunicado da Microgaming para obter mais informações. Esse kill bit está sendo definido a pedido do proprietário do controle ActiveX. Os clientes que precisam de suporte devem entrar em contato com a Microgaming. Os identificadores de classe (CLSIDs) para esse controle ActiveX estão listados na seção Perguntas frequentes deste comunicado.
  • Laboratório de Requisitos do Sistema. Husdawg emitiu um aviso e uma atualização que aborda uma vulnerabilidade. Consulte o comunicado da Husdawg para obter mais informações. Esse kill bit está sendo definido a pedido do proprietário do controle ActiveX. Os clientes que precisam de suporte devem entrar em contato com a Husdawg. Os identificadores de classe (CLSIDs) para esse controle ActiveX estão listados na seção Perguntas frequentes deste comunicado.
  • Ferramenta PhotoStockPlus Uploader. A PhotoStockPlus emitiu um aviso sobre um controle vulnerável. Consulte o comunicado do PhotoStockPlus para obter mais informações. Esse kill bit está sendo definido a pedido do proprietário do controle ActiveX. Os clientes que precisam de suporte devem entrar em contato com a PhotoStockPlus. Os identificadores de classe (CLSIDs) para esse controle ActiveX estão listados na seção Perguntas frequentes deste comunicado.

Esta atualização define os kill bits para controles ActiveX abordados em Boletins de Segurança da Microsoft anteriores. Esses kill bits estão sendo definidos nesta atualização como uma medida de defesa em profundidade:

  • Funções não seguras no Office Web Components (328130), MS02-044.
  • Vulnerabilidades no Microsoft Office Web Components podem permitir a execução remota de código (933103), MS08-017.
  • Vulnerabilidade no controle ActiveX do Snapshot Viewer para Microsoft Access pode permitir a execução remota de código (955617), MS08-041.
  • Vulnerabilidades no GDI+ podem permitir a execução remota de código (954593), MS08-052.

Para obter mais informações sobre como instalar essa atualização, consulte o artigo 956391 da Base de Dados de Conhecimento Microsoft.

Informações Gerais

Visão geral

Objetivo do Comunicado: Notificação da disponibilidade de uma atualização de kill bits do ActiveX.

Status do Comunicado: O artigo da Base de Dados de Conhecimento Microsoft e a atualização associada foram lançados.

Recomendação: Revise o artigo referenciado da Base de Dados de Conhecimento e aplique a atualização apropriada.

Referências Identificação
Artigo da Base de Dados de Conhecimento Microsoft 956391

Este comunicado aborda o seguinte software.

Software relacionado
Microsoft Windows 2000 Service Pack 4
Windows XP Service Pack 2 e Windows XP Service Pack 3
Windows XP Professional x64 Edition e Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 1 e Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition e Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 com SP1 para sistemas baseados no Itanium e Windows Server 2003 com SP2 para sistemas baseados no Itanium
Windows Vista e Windows Vista Service Pack 1
Windows Vista x64 Edition e Windows Vista x64 Edition Service Pack 1
Windows Server 2008 para sistemas de 32 bits
Windows Server 2008 para sistemas baseados em x64
Windows Server 2008 para sistemas baseados em Itanium

Perguntas frequentes

Os usuários com uma instalação do Windows Server 2008 Server Core precisam instalar essa atualização?
Os usuários com uma instalação do Windows Server 2008 Server Core receberão essa atualização, mas não precisarão instalá-la. Para obter mais informações sobre a opção de instalação Server Core, consulte Server Core. Observe que a opção de instalação Server Core não se aplica a determinadas edições do Windows Server 2008; consulte Comparar opções de instalação Server Core.

Ao aplicar essa atualização, o controle ActiveX RSClientPrint pára de funcionar. Como posso solucionar esse problema?
Os usuários que instalaram essa atualização e estão imprimindo relatórios de um site que incorpora o Microsoft Report Viewer Redistributable não poderão imprimir até que atualizem seus servidores para a versão mais recente do Microsoft Report Viewer Redistributable. As atualizações para o Microsoft Report Viewer Redistributable estão disponíveis no boletim MS08-052. Os usuários que instalaram esta atualização e estão imprimindo relatórios de um site do Microsoft SharePoint com o Suplemento Microsoft SQL Server 2005 Reporting Services para Tecnologias do Microsoft SharePoint instalado não poderão imprimir até que atualizem seus servidores do SharePoint para a versão mais recente do Suplemento Microsoft SQL Server 2005 Reporting Services para Tecnologias do Microsoft SharePoint. A atualização necessária está disponível no Centro de Download da Microsoft.

Esta atualização substitui a atualização de segurança cumulativa de kill bits do ActiveX (950760)?
Não, para fins de atualização automática, esta atualização não substitui a Atualização de Segurança Cumulativa de Kill Bits do ActiveX (950760) descrita no Boletim de Segurança da Microsoft MS08-032. A atualização automática ainda oferecerá a atualização MS08-032 aos clientes, independentemente de terem ou não instalado esta atualização (956391). No entanto, os clientes que instalam esta atualização (956391) não precisam instalar a atualização MS08-032 para estarem protegidos com todos os kill bits definidos no MS08-032.

Por que a Microsoft está lançando este pacote cumulativo de atualizações para kill bits do ActiveX com um comunicado de segurança quando atualizações anteriores de kill bit foram lançadas com um boletim de segurança?
A Microsoft está lançando este pacote cumulativo de atualizações para kill bits do ActiveX com um comunicado porque os novos kill bits não afetam o software da Microsoft ou foram definidos anteriormente em um Boletim de Segurança da Microsoft.

Por que este comunicado não tem uma classificação de segurança associada a ele?
Esta atualização contém kill bits para controles de terceiros ou controles que foram abordados anteriormente em atualizações de segurança. A Microsoft não fornece uma classificação de segurança para controles vulneráveis de terceiros.

Esta atualização contém kill bits que foram lançados anteriormente em um pacote cumulativo de atualizações para kill bits do ActiveX?
Sim, esta atualização também inclui kill bits que foram definidos anteriormente no Comunicado de Segurança da Microsoft 953839.

Esta atualização contém kill bits que foram enviados anteriormente em uma atualização de segurança do Internet Explorer?
Não, esta atualização não inclui kill bits que foram enviados anteriormente em uma atualização de segurança do Internet Explorer. Recomendamos que você instale a atualização de segurança cumulativa mais recente para o Internet Explorer.

O que é um kill bit?
Um recurso de segurança no Microsoft Internet Explorer torna possível impedir que um controle ActiveX seja carregado pelo mecanismo de renderização HTML do Internet Explorer. Isso é feito fazendo uma configuração do Registro e é conhecido como definir o kill bit. Depois que o kill bit é definido, o controle nunca pode ser carregado, mesmo quando ele está totalmente instalado. A configuração do kill bit garante que, mesmo que um componente vulnerável seja introduzido ou reintroduzido em um sistema, ele permaneça inerte e inofensivo.

Para obter mais informações, consulte o artigo 240797 da Base de Dados de Conhecimento Microsoft: Como interromper a execução de um controle ActiveX no Internet Explorer.

O que é uma atualização de segurança de kill bits do ActiveX?
Esta atualização de segurança contém apenas as IDs de classe (CLSID) de determinados controles ActiveX que são a base desta atualização de segurança.

Por que esta atualização não contém arquivos binários?
Esta atualização só faz alterações no registro para desabilitar o controle de instanciação no Internet Explorer.

Devo instalar esta atualização se não tiver o componente afetado instalado ou usar a plataforma afetada?
Sim. A instalação desta atualização bloqueará a execução do controle vulnerável no Internet Explorer.

Preciso reaplicar esta atualização se instalar um controle ActiveX discutido nesta atualização de segurança posteriormente?
Não, não é necessário reaplicar esta atualização. O kill bit impedirá que o Internet Explorer execute o controle mesmo se o controle for instalado posteriormente.

O que esta atualização faz?
Esta atualização define o kill bit para uma lista de identificadores de classe (CLSIDs).

O Identificador de Classe a seguir está relacionado a uma solicitação da Microgaming para definir o kill bit para um controle ActiveX vulnerável. Mais detalhes podem ser encontrados no comunicado emitido pela Microgaming:

Identificador de Classe
{AED98630-0251-4E83-917D-43A23D66D507}

O identificador de classe a seguir está relacionado a uma solicitação de Husdawg para definir o kill bit para um controle ActiveX vulnerável. Mais detalhes podem ser encontrados no comunicado emitido pela Husdawg:

Identificador de Classe
{67A5F8DC-1A4B-4D66-9F24-A704AD929EEE}

O identificador de classe a seguir está relacionado a uma solicitação do PhotoStockPlus para definir o kill bit para um controle ActiveX vulnerável. Mais detalhes podem ser encontrados no comunicado emitido pela PhotoStockPlus:

Identificador de Classe
{E48BB416-C578-4A62-84C9-5E3389ABE5FC}

Os Identificadores de Classe a seguir estão relacionados aos Boletins de Segurança da Microsoft MS02-044, MS08-017, MS08-041 e MS08-052 que foram abordados anteriormente. Esses kill bits estão sendo definidos como uma Defesa em Profundidade.

Identificador de Classe
{0002E500-0000-0000-C000-000000000046} MS02-044
{0002E520-0000-0000-C000-000000000046} MS02-044
{0002E510-0000-0000-C000-0000000000046} MS08-017
{0002E511-0000-0000-C000-000000000046} MS08-017
{0002E530-0000-0000-C000-000000000046} MS08-017
{F0E42D50-368C-11D0-AD81-00A0C90DC8D9} MS08-041
{F0E42D60-368C-11D0-AD81-00A0C90DC8D9} MS08-041
{F2175210-368C-11D0-AD81-00A0C90DC8D9} MS08-041
{FA91DF8D-53AB-455D-AB20-F2F023E498D3} MS08-052

Ações sugeridas

Consulte o artigo da Base de Dados de Conhecimento Microsoft associado a este comunicado

A Microsoft incentiva os clientes a instalar esta atualização. Os clientes interessados em saber mais sobre esta atualização devem consultar o Artigo 956391 da Base de Dados de Conhecimento Microsoft.

Soluções Alternativas

Solução alternativa refere-se a uma configuração ou alteração de configuração que não corrige a vulnerabilidade subjacente, mas que ajudaria a bloquear vetores de ataque conhecidos antes de aplicar a atualização. A Microsoft testou as seguintes soluções alternativas e estados na discussão se uma solução alternativa reduz a funcionalidade:

  • Impedir que objetos COM sejam executados no Internet Explorer
    Você pode desabilitar as tentativas de instanciar um objeto COM no Internet Explorer definindo o kill bit para o controle no Registro.

    Aviso Se você usar o Editor do Registro incorretamente, poderá causar problemas sérios que podem exigir a reinstalação do sistema operacional. A Microsoft não pode garantir que você possa resolver problemas resultantes do uso incorreto do Editor do Registro. Use o Editor do Registro por sua conta e risco.

    Para obter etapas detalhadas que você pode usar para impedir que um controle seja executado no Internet Explorer, consulte o Artigo 240797 da Base de Dados de Conhecimento Microsoft. Siga as etapas neste artigo para criar um valor de sinalizadores de compatibilidade no registro para impedir que um objeto COM seja instanciado no Internet Explorer.

    Observação Os identificadores de classe e os arquivos correspondentes onde os objetos ActiveX estão contidos estão documentados em "O que esta atualização faz?" na seção Perguntas frequentes acima. Substitua {XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX} abaixo pelos identificadores de classe encontrados nesta seção.

    Para definir o kill bit para um CLSID com um valor de {XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}, cole o texto a seguir em um editor de texto, como o Bloco de Notas. Em seguida, salve o arquivo usando a extensão de nome de arquivo .reg.

    Editor do Registro do Windows Versão 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Compatibilidade ActiveX\{ XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX }] "Sinalizadores de Compatibilidade"=dword:00000400

    Você pode aplicar esse arquivo de .reg a sistemas individuais clicando duas vezes nele. Você também pode aplicá-lo entre domínios usando a Diretiva de Grupo. Para obter mais informações sobre a diretiva de grupo, visite os seguintes sites:

    Observação Você deve reiniciar o Internet Explorer para que as alterações entrem em vigor.

    Impacto da solução alternativa: Não há impacto, desde que o objeto não se destine a ser usado no Internet Explorer.

Outras Informações

Recursos:

  • Você pode fornecer comentários preenchendo o formulário visitando Ajuda e Suporte da Microsoft: Fale Conosco.
  • Os clientes nos Estados Unidos e no Canadá podem receber suporte técnico do Atendimento Microsoft. Para obter mais informações sobre as opções de suporte disponíveis, consulte Ajuda e Suporte da Microsoft.
  • Os clientes internacionais podem receber suporte de suas subsidiárias locais da Microsoft. Para obter mais informações sobre como entrar em contato com a Microsoft para problemas de suporte internacional, visite Suporte internacional.
  • O Microsoft TechNet Security fornece informações adicionais sobre segurança em produtos Microsoft.

Aviso de Isenção de Responsabilidade:

As informações fornecidas neste comunicado são fornecidas "no estado em que se encontram", sem garantia de qualquer tipo. A Microsoft se isenta de todas as garantias, expressas ou implícitas, incluindo as garantias de comercialização e adequação a uma finalidade específica. Em nenhuma circunstância a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, incluindo danos diretos, indiretos, incidentais, consequenciais, perda de lucros comerciais ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido avisados da possibilidade de tais danos. Alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou incidentais, portanto, a limitação acima pode não se aplicar.

Revisões:

  • V1.0 (14 de outubro de 2008): Comunicado publicado
  • V1.1 (29 de outubro de 2008): Adicionada entrada de Perguntas frequentes para comunicar a disponibilidade de uma atualização para um controle para o qual o kill bit foi definido.
  • V1.2 (12 de novembro de 2008): Removida uma referência incorreta de que a instalação do Windows Server 2008 Server Core é afetada. Adicionada uma entrada às Perguntas frequentes para comunicar que os usuários com a instalação do Windows Server 2008 Server Core ainda serão oferecidos, mas não precisam instalar esta atualização.
  • V1.3 (17 de junho de 2009): Foi adicionada uma entrada às Perguntas frequentes para comunicar que, para fins de atualização automática, esta atualização não substitui a Atualização de Segurança Cumulativa de Kill Bits do ActiveX (950760) descrita no Boletim de Segurança da Microsoft MS08-032.

Construído em 2014-04-18T13:49:36Z-07:00