Consultoria de Segurança
Comunicado de Segurança da Microsoft 969898
Pacote cumulativo de atualizações para kill bits do ActiveX
Publicado: terça-feira, 9 de junho de 2009 | Atualizado: June 17, 2009
Versão: 1.1
A Microsoft está lançando um novo conjunto de kill bits ActiveX com este comunicado.
A atualização inclui um kill bit de uma atualização cumulativa da Microsoft publicada anteriormente:
A atualização também inclui kill bits para os seguintes softwares de terceiros:
- Microgaming. Esta atualização de segurança define um kill bit para um controle ActiveX desenvolvido pela Microgaming. A Microgaming lançou uma atualização de segurança que elimina uma vulnerabilidade no componente afetado. Para obter mais informações e locais de download, consulte a versão de segurança da Microgaming. Esse kill bit está sendo definido a pedido do proprietário dos controles ActiveX. Os identificadores de classe (CLSIDs) para esse controle ActiveX estão listados na seção Perguntas frequentes deste comunicado.
- Componente de upload de imagem avançado do eBay. Esta atualização de segurança define um kill bit para um controle ActiveX desenvolvido pelo eBay. O eBay lançou uma atualização de segurança que elimina uma vulnerabilidade no componente afetado. Para obter mais informações e locais de download, consulte a versão de segurança do eBay. Esse kill bit está sendo definido a pedido do proprietário dos controles ActiveX. Os identificadores de classe (CLSIDs) para esse controle ActiveX estão listados na seção Perguntas frequentes deste comunicado.
- Sala Virtual HP v7.0. Esta atualização de segurança define um kill bit para um controle ActiveX desenvolvido pela Hewlett-Packard (HP). A HP lançou uma atualização de segurança que elimina uma vulnerabilidade no componente afetado. Para obter mais informações e locais de download, consulte a versão de segurança da HP. Esse kill bit está sendo definido a pedido do proprietário dos controles ActiveX. Os identificadores de classe (CLSIDs) para esse controle ActiveX estão listados na seção Perguntas frequentes deste comunicado.
Para obter mais informações sobre como instalar essa atualização, consulte o artigo 969898 da Base de Dados de Conhecimento Microsoft.
Informações Gerais
Visão geral
Objetivo do Comunicado: Notificação da disponibilidade de uma atualização de kill bits do ActiveX.
Status do Comunicado: O artigo da Base de Dados de Conhecimento Microsoft e a atualização associada foram lançados.
Recomendação: Revise o artigo referenciado da Base de Dados de Conhecimento e aplique a atualização apropriada.
| Referências | Identificação |
|---|---|
| Referência CVE | CVE-2008-0024 |
| Artigo da Base de Dados de Conhecimento Microsoft | 969898 |
Este comunicado aborda o seguinte software.
| Software relacionado |
|---|
| Microsoft Windows 2000 Service Pack 4 |
| Windows XP Service Pack 2 e Windows XP Service Pack 3 |
| Windows XP Professional x64 Edition Service Pack 2 |
| Windows Server 2003 Service Pack 2 |
| Windows Server 2003 x64 Edição Service Pack 2 |
| Windows Server 2003 com SP2 para sistemas baseados em Itanium |
| Windows Vista, Windows Vista Service Pack 1 e Windows Vista Service Pack 2 |
| Windows Vista x64 Edition, Windows Vista x64 Edition Service Pack 1 e Windows Vista x64 Edition Service Pack 2 |
| Windows Server 2008 para sistemas de 32 bits e Windows Server 2008 para sistemas de 32 bits Service Pack 2 |
| Windows Server 2008 para sistemas baseados em x64 e Windows Server 2008 para sistemas baseados em x64 Service Pack 2 |
| Windows Server 2008 para sistemas baseados no Itanium e Windows Server 2008 para sistemas baseados no Itanium Service pack 2 |
Perguntas frequentes
Os usuários com uma instalação do Windows Server 2008 Server Core precisam instalar essa atualização?
Os usuários com uma instalação do Windows Server 2008 Server Core não precisam instalar essa atualização. Para obter mais informações sobre a opção de instalação Server Core, consulte Server Core. Observe que a opção de instalação Server Core não se aplica a determinadas edições do Windows Server 2008; consulte Comparar opções de instalação Server Core.
Por que este comunicado não tem uma classificação de segurança associada a ele?
Esta atualização contém um kill bit para uma atualização lançada anteriormente em um service pack, bem como kill bits para controles de terceiros que não pertencem à Microsoft. A Microsoft não fornece uma classificação de segurança para service packs ou controles vulneráveis de terceiros.
Esta atualização substitui a atualização de segurança cumulativa de kill bits do ActiveX (950760)?
Não, para fins de atualização automática, esta atualização não substitui a Atualização de Segurança Cumulativa de Kill Bits do ActiveX (950760) descrita no Boletim de Segurança da Microsoft MS08-032. A atualização automática ainda oferecerá a atualização MS08-032 aos clientes, independentemente de eles terem ou não instalado esta atualização (969898). No entanto, os clientes que instalam esta atualização (969898) não precisam instalar a atualização MS08-032 para estarem protegidos com todos os kill bits definidos no MS08-032.
Por que a Microsoft está lançando este pacote cumulativo de atualizações para kill bits do ActiveX com um comunicado de segurança quando atualizações anteriores de kill bit foram lançadas com um boletim de segurança?
A Microsoft está lançando este pacote cumulativo de atualizações para kill bits do ActiveX com um comunicado porque os novos kill bits não afetam o software da Microsoft ou foram definidos anteriormente em uma atualização de software da Microsoft.
Esta atualização contém kill bits que foram lançados anteriormente em um pacote cumulativo de atualizações para kill bits do ActiveX?
Sim, esta atualização também inclui kill bits que foram definidos anteriormente no 960715 do Comunicado de Segurança da Microsoft.
Esta atualização contém kill bits que foram lançados anteriormente em uma atualização de segurança do Internet Explorer?
Não, esta atualização não inclui kill bits lançados anteriormente em uma atualização de segurança do Internet Explorer. Recomendamos que você instale a atualização de segurança cumulativa mais recente para o Internet Explorer.
O que é um kill bit?
Um recurso de segurança no Microsoft Internet Explorer torna possível impedir que um controle ActiveX seja carregado pelo mecanismo de renderização HTML do Internet Explorer. Isso é feito fazendo uma configuração do Registro e é conhecido como definir o kill bit. Depois que o kill bit é definido, o controle nunca pode ser carregado, mesmo quando ele está totalmente instalado. A configuração do kill bit garante que, mesmo que um componente vulnerável seja introduzido ou reintroduzido em um sistema, ele permaneça inerte e inofensivo.
Para obter mais informações, consulte o artigo 240797 da Base de Dados de Conhecimento Microsoft: Como interromper a execução de um controle ActiveX no Internet Explorer.
O que é uma atualização de segurança de kill bits do ActiveX?
Esta atualização de segurança contém apenas as IDs de classe (CLSID) de determinados controles ActiveX que são a base desta atualização de segurança.
Por que esta atualização não contém arquivos binários?
Esta atualização só faz alterações no registro para desabilitar o controle de instanciação no Internet Explorer.
Devo instalar esta atualização se não tiver o componente afetado instalado ou usar a plataforma afetada?
Sim. A instalação desta atualização bloqueará a execução do controle vulnerável no Internet Explorer.
Preciso reaplicar esta atualização se instalar um controle ActiveX discutido nesta atualização de segurança posteriormente?
Não, não é necessário reaplicar esta atualização. O kill bit impedirá que o Internet Explorer execute o controle mesmo se o controle for instalado posteriormente.
O que esta atualização faz?
Esta atualização define o kill bit para uma lista de identificadores de classe (CLSIDs).
Os seguintes identificadores de classe estão relacionados à MSCOMM32. OCX ATL Loader controle abordado na atualização cumulativa do Microsoft Visual Basic 6.0 Service Pack 6 (KB957924):
| Identificador de Classe |
|---|
| {648A5600-2C6E-101B-82B6-000000000014} |
O Identificador de Classe a seguir está relacionado a uma solicitação da Microgaming para definir o kill bit para um Identificador de Classe vulnerável. Mais detalhes podem ser encontrados no release de segurança emitido pela Microgaming:
| Identificador de Classe |
|---|
| {D8089245-3211-40F6-819B-9E5E92CD61A2} |
O Identificador de Classe a seguir está relacionado a uma solicitação do eBay para definir o kill bit para um Identificador de Classe vulnerável. Mais detalhes podem ser encontrados no comunicado de segurança emitido pelo eBay:
| Identificador de Classe |
|---|
| {4C39376E-FA9D-4349-BACC-D305C1750EF3} |
| {C3EB1670-84E0-4EDA-B570-0B51AAE81679} |
O Identificador de Classe a seguir está relacionado a uma solicitação da HP para definir o kill bit para um Identificador de Classe vulnerável. Mais detalhes podem ser encontrados na versão de segurança emitida pela HP:
| Identificador de Classe |
|---|
| {00000032-9593-4264-8B29-930B3E4EDCCD} |
Ações sugeridas
Consulte o artigo da Base de Dados de Conhecimento Microsoft associado a este comunicado
A Microsoft incentiva os clientes a instalar esta atualização. Os clientes interessados em saber mais sobre esta atualização devem consultar o Artigo 969898 (em inglês) da Microsoft Knowledge Base.
Soluções Alternativas
Solução alternativa refere-se a uma configuração ou alteração de configuração que não corrige a vulnerabilidade subjacente, mas que ajudaria a bloquear vetores de ataque conhecidos antes de aplicar a atualização. A Microsoft testou as seguintes soluções alternativas e estados na discussão se uma solução alternativa reduz a funcionalidade:
Impedir que objetos COM sejam executados no Internet Explorer
Você pode desabilitar as tentativas de instanciar um objeto COM no Internet Explorer definindo o kill bit para o controle no Registro.Aviso Se você usar o Editor do Registro incorretamente, poderá causar problemas sérios que podem exigir a reinstalação do sistema operacional. A Microsoft não pode garantir que você possa resolver problemas resultantes do uso incorreto do Editor do Registro. Use o Editor do Registro por sua conta e risco.
Para obter etapas detalhadas que você pode usar para impedir que um controle seja executado no Internet Explorer, consulte o Artigo 240797 da Base de Dados de Conhecimento Microsoft. Siga as etapas neste artigo para criar um valor de sinalizadores de compatibilidade no registro para impedir que um objeto COM seja instanciado no Internet Explorer.
Observação Os identificadores de classe e os arquivos correspondentes onde os objetos ActiveX estão contidos estão documentados em "O que esta atualização faz?" na seção Perguntas frequentes acima. Substitua {XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX} abaixo pelos identificadores de classe encontrados nesta seção.
Para definir o kill bit para um CLSID com um valor de {XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}, cole o texto a seguir em um editor de texto, como o Bloco de Notas. Em seguida, salve o arquivo usando a extensão de nome de arquivo .reg.
Editor do Registro do Windows Versão 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Compatibilidade ActiveX\{ XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX }] "Sinalizadores de Compatibilidade"=dword:00000400
Você pode aplicar esse arquivo de .reg a sistemas individuais clicando duas vezes nele. Você também pode aplicá-lo entre domínios usando a Diretiva de Grupo. Para obter mais informações sobre a diretiva de grupo, visite os seguintes sites:
- Coleção de Diretiva de Grupo
- O que é o Editor de Objeto de Diretiva de Grupo?
- Principais ferramentas e configurações da Diretiva de Grupo
Observação Você deve reiniciar o Internet Explorer para que as alterações entrem em vigor.
Impacto da solução alternativa: Não há impacto, desde que o objeto não se destine a ser usado no Internet Explorer.
Outras Informações
Confirmações
A Microsoft agradece o seguinte por trabalhar conosco para ajudar a proteger os clientes:
- Robert Freeman, da ISS X-Force , por relatar o MSCOMM32. Vulnerabilidade de execução remota de código do OCX ATL Loader (CVE-2008-0024)
Recursos:
- Você pode fornecer comentários preenchendo o formulário visitando Ajuda e Suporte da Microsoft: Fale Conosco.
- Os clientes nos Estados Unidos e no Canadá podem receber suporte técnico do Suporte de Segurança. Para obter mais informações sobre as opções de suporte disponíveis, consulte Ajuda e Suporte da Microsoft.
- Os clientes internacionais podem receber suporte de suas subsidiárias locais da Microsoft. Para obter mais informações sobre como entrar em contato com a Microsoft para problemas de suporte internacional, visite Suporte internacional.
- O Microsoft TechNet Security fornece informações adicionais sobre segurança em produtos Microsoft.
Aviso de Isenção de Responsabilidade:
As informações fornecidas neste comunicado são fornecidas "no estado em que se encontram", sem garantia de qualquer tipo. A Microsoft se isenta de todas as garantias, expressas ou implícitas, incluindo as garantias de comercialização e adequação a uma finalidade específica. Em nenhuma circunstância a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, incluindo danos diretos, indiretos, incidentais, consequenciais, perda de lucros comerciais ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido avisados da possibilidade de tais danos. Alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou incidentais, portanto, a limitação acima pode não se aplicar.
Revisões:
- V1.0 (9 de junho de 2009): Comunicado publicado
- V1.1 (17 de junho de 2009): Foi adicionada uma entrada às Perguntas frequentes para comunicar que, para fins de atualização automática, esta atualização não substitui a Atualização de Segurança Cumulativa de Kill Bits ActiveX (950760) descrita no Boletim de Segurança da Microsoft MS08-032.
Construído em 2014-04-18T13:49:36Z-07:00