Aviso de Segurança da Microsoft 2501584

Lançamento da Validação de Ficheiros do Microsoft Office para Microsoft Office

Data de publicação: 12 de abril de 2011

actualizada: 1.0

Informações Gerais

Resumo Executivo

A Microsoft anuncia a disponibilidade da funcionalidade de Validação de Ficheiros do Office para edições suportadas do Microsoft Office 2003 e Microsoft Office 2007. A funcionalidade, que antes só estava disponível para edições suportadas do Microsoft Office 2010, foi concebida para facilitar que os clientes se protejam contra ficheiros do Office que podem conter dados mal formados, como ficheiros do Office não solicitados recebidos de origens desconhecidas ou conhecidas, analisando e validando os ficheiros antes de serem abertos.

A funcionalidade de Validação de Ficheiros do Office descrita neste aviso aplica-se quando se abre um ficheiro do Office utilizando o Microsoft Excel 2003, Microsoft PowerPoint 2003, Microsoft Word 2003, Microsoft Publisher 2003, Microsoft Excel 2007, Microsoft PowerPoint 2007, Microsoft Word 2007 ou Microsoft Publisher 2007.

A Validação de Ficheiros do Office detecta e impede um tipo de exploração conhecido como ataque de formato de ficheiro. Os ataques de formato de ficheiro exploram a integridade de um ficheiro e ocorrem quando a estrutura de um ficheiro é modificada com a intenção de adicionar código malicioso. Geralmente, o código malicioso é executado remotamente e é utilizado para elevar os privilégios de contas restritas no computador. Como resultado, um intruso poderia obter acesso a um computador ao qual não poderia aceder anteriormente. Isto poderia permitir que um intruso lesse informações confidenciais da unidade de disco rígido do computador ou instalasse malware, como um worm ou um programa de registo de chaves. A funcionalidade de Validação de Ficheiros do Office ajuda a impedir ataques de formato de ficheiro analisando e validando os ficheiros antes de serem abertos. Para validar ficheiros, a Validação de Ficheiros do Office compara uma estrutura do ficheiro com um esquema de ficheiro predefinido, que é um conjunto de regras que define as condições de um ficheiro legível. Se a Validação de Ficheiros do Office detectar que uma estrutura de ficheiro não segue todas as regras descritas no esquema, o ficheiro não passa na validação.

Os ataques de formato de ficheiro ocorrem com mais frequência em ficheiros que são guardados em formatos de ficheiro binário do Office. Por esta razão, a Validação de Ficheiros do Office analisa e valida os seguintes tipos de ficheiros:

  • Ficheiros de livros do Excel 2.0, Excel 3.0, Excel 4.0, Excel 5.0, Excel 97-2003. Estes tipos de ficheiros têm uma extensão .xls e incluem todos os ficheiros Binary Interchange File Format 2 (BIFF2), BIFF3, BIFF4 e BIFF8.
  • Ficheiros de modelos Excel 2.0, Excel 3.0, Excel 4.0, Excel 5.0, Excel 97-2003. Estes tipos de ficheiros têm uma extensão .xlt e incluem os ficheiros BIFF2, BIFF3, BIFF4 e BIFF8.
  • Ficheiros de apresentações PowerPoint 97-2003. Estes ficheiros têm uma extensão .ppt.
  • Ficheiros de apresentações PowerPoint 97-2003. Estes ficheiros têm uma extensão .pps.
  • Ficheiros de modelos PowerPoint 97-2003. Estes ficheiros têm uma extensão .pot.
  • Ficheiros de documentos Word 6.0, Word 7.0 e Word 97-2003. Estes ficheiros têm uma extensão .doc.
  • Ficheiros de modelos Word 6.0, Word 7.0 e Word 97-2003. Estes ficheiros têm uma extensão .dot.

Por predefinição, os ficheiros que falham na validação apresentam a seguinte mensagem de aviso:

A Validação de Ficheiros do Office detectou um problema ao tentar abrir o ficheiro. Poderá ser perigoso abri-lo.

Os ficheiros que falham na validação não abrem; contudo, por predefinição, o utilizador poderá abrir o ficheiro na mesma. Não se recomenda que seleccione abrir um ficheiro que falhou na validação, uma vez que o ficheiro poderá ser malicioso.

Detalhes do Aviso

Software Relacionado

Este aviso abrange o seguinte software.

Software Afectado
Microsoft Office 2003 Service Pack 3
Microsoft Office 2007 Service Pack 2

Qual é a abrangência deste aviso?  
Para anunciar a disponibilidade e descrever o objectivo da funcionalidade de Validação de Ficheiros do Office para Microsoft Office 2003 e Microsoft Office 2007.

Existem questões conhecidas relacionadas com a funcionalidade de Validação de Ficheiros do Microsoft Office?  
O Artigo 2501584 da Base de Dados de Conhecimento da Microsoft documenta as questões actualmente conhecidas que os clientes podem experimentar quando utilizam a funcionalidade de Validação de Ficheiros do Office.

De que forma a Validação de Ficheiros do Office protege?  
A Validação de Ficheiros do Office detecta e impede um tipo de exploração conhecido como ataque de formato de ficheiro. Os ataques de formato de ficheiro exploram a integridade de um ficheiro e ocorrem quando a estrutura de um ficheiro é modificada com a intenção de adicionar código malicioso. Geralmente, o código malicioso é executado remotamente e é utilizado para elevar os privilégios de contas restritas no computador. Como resultado, um intruso poderia obter acesso a um computador ao qual não poderia aceder anteriormente. Isto poderia permitir que um intruso lesse informações confidenciais da unidade de disco rígido do computador ou instalasse malware, como um worm ou um programa de registo de chaves. A funcionalidade de Validação de Ficheiros do Office ajuda a impedir ataques de formato de ficheiro analisando e validando os ficheiros antes de serem abertos. Para validar ficheiros, a Validação de Ficheiros do Office compara uma estrutura do ficheiro com um esquema de ficheiro predefinido, que é um conjunto de regras que define as condições de um ficheiro legível. Se a Validação de Ficheiros do Office detectar que uma estrutura de ficheiro não segue todas as regras descritas no esquema, o ficheiro não passa na validação.

Os ficheiros que falham na validação não abrem automaticamente. Em vez disso, para abrir o ficheiro o utilizador tem de clicar num aviso que indica que a abertura do ficheiro pode ser perigosa.

De que forma as actualizações de segurança lançadas a 12 de Abril de 2011 estão relacionadas com a funcionalidade de Validação de Ficheiros do Office?  
As actualizações de segurança lançadas para edições 2003 e 2007 suportadas do Microsoft Excel, Microsoft PowerPoint e Microsoft Office nos boletins MS11-021, MS11-022 e MS11-023, respectivamente, são pré-requisitos para activar a funcionalidade de Validação de Ficheiros do Office.

Não foram lançadas actualizações de segurança para o Microsoft Word e Microsoft Publisher a 12 de Abril de 2011. Onde estão as actualizações para o Microsoft Word e para o Microsoft Publisher?  
As actualizações para suportar a Validação de Ficheiros do Office no Microsoft Word 2003, Microsoft Word 2007, Microsoft Publisher 2003 e Microsoft Publisher 2007 estão disponíveis como transferências em separado e são pré-requisitos para activar a funcionalidade de Validação de Ficheiros do Office. Para ligações de transferência, consulte o artigo TechNet sobre Validação de Ficheiros do Office para Office 2003 e Office 2007.

O que é o suplemento de Validação de Ficheiros do Office?  
O suplemento de Validação de Ficheiros do Office fornece a estrutura e os ficheiros de definição para a funcionalidade de Validação de Ficheiros do Office. A funcionalidade de Validação de Ficheiros do Office funciona para aplicações específicas do Office quando o suplemento de Validação de Ficheiros do Office está instalado como complemento de todas as actualizações de pré-requisitos para o Microsoft Office e respectivas aplicações do Office.

Como posso instalar o suplemento de Validação de Ficheiros do Office e as actualizações de pré-requisitos?  
Para informações sobre como obter o suplemento de Validação de Ficheiros do Office e as actualizações de pré-requisitos, consulte o artigo TechNet sobre Validação de Ficheiros do Office para Office 2003 e Office 2007.

Posso utilizar esta nova funcionalidade com o Microsoft Office XP?  
Não. A arquitectura para suportar adequadamente a Validação de Ficheiros do Office não existe no Microsoft Office XP, inviabilizando a criação da funcionalidade para produtos Microsoft Office XP. Para o fazer, seria necessário reconstruir a arquitectura de uma porção significativa do Microsoft Office XP. O produto de tal esforço poderia ser suficiente para introduzir uma incompatibilidade com outras aplicações de tal forma que não haveria qualquer garantia de que estes produtos Microsoft Office continuassem a operar no sistema actualizado da forma pretendida.

De que forma este aviso está relacionado com a Validação de Ficheiros do Office para Microsoft Office 2010?  
Embora este aviso não se aplique à funcionalidade de Validação de Ficheiros do Office para Microsoft Office 2010, a Microsoft lançou soluções automáticas de correcção da Microsoft que podem ser utilizadas para configurar a Validação de Ficheiros do Office para edições suportadas do Microsoft Office 2003, Microsoft Office 2007 e Microsoft Office 2010. Estas soluções automáticas de correcção da Microsoft estão disponíveis no artigo da base de dados de conhecimento associado a este aviso, o Artigo 2501584 da Base de Dados de Conhecimento da Microsoft.

Como posso alterar as definições da Validação de Ficheiros do Office?  
Está disponível uma definição de chave de registo que permite que os administradores alterem a forma como os documentos se comportam quando um ficheiro falha na validação. Ao modificar a definição de registo, pode ser seleccionada uma das seguintes opções:

  • Bloquear ficheiros e pedir confirmação ao utilizador (predefinição)
    Os ficheiros que falham na validação não abrem; contudo, o utilizador poderá abrir o ficheiro na mesma.

    Nota O comportamento acima verifica-se no Microsoft Office 2003 e no Microsoft Office 2007 e é diferente do comportamento no Microsoft Office 2010. No Microsoft Office 2010, os ficheiros que falham na validação abrem na Vista Protegida; o utilizador terá de clicar em várias mensagens de aviso antes de o ficheiro poder ser aberto para edição.

  • Bloquear completamente os ficheiros
    Os ficheiros que falham na validação são impedidos de serem abertos.

    Nota O comportamento acima verifica-se no Microsoft Office 2003 e no Microsoft Office 2007 e é diferente do comportamento no Microsoft Office 2010. No Microsoft Office 2010, os ficheiros que falham na validação abrem na Vista Protegida; o utilizador não poderá abrir o ficheiro para edição.

Para obter mais informações sobre as definições de Validação de Ficheiros do Office e a utilização das soluções automáticas de correcção da Microsoft para configurar as definições de Validação de Ficheiros do Office, consulte o Artigo 2501584 da Base de Dados de Conhecimento da Microsoft.

Como posso desactivar a Validação de Ficheiros do Office? 
Pode desactivar a Validação de Ficheiros do Office definindo chaves de registo específicas para desactivar a Validação de Ficheiros do Office. As chaves de registo têm de ser configuradas com base por aplicação para o Excel 2003, PowerPoint 2003, Word 2003, Excel 2007, PowerPoint 2007 e Word 2007. Estas chaves de registo impedem que ficheiros que estão guardados no formato de ficheiro binário do Office sejam analisados e validados. Por exemplo, se desactivar a Validação de Ficheiros do Office para Excel 2007, a Validação de Ficheiros do Office não analisa nem valida ficheiros de livros do Excel 97-2003, ficheiros de modelos do Excel 97-2003 ou ficheiros 5.0/95 do Microsoft Excel. Se um utilizador abrir um desses tipos de ficheiro e se o ficheiro contiver um ataque de formato de ficheiro, o ataque não será detectado ou impedido, a não ser que outro controlo de segurança detecte e impeça tal ataque.

Para obter informações sobre a desactivação da funcionalidade de Validação de Ficheiros do Office, consulte o artigo TechNet sobre Validação de Ficheiros do Office para Office 2003 e Office 2007.

A Microsoft não recomenda a desactivação da Validação de Ficheiros do Office. A Validação de Ficheiros do Office é uma parte essencial da estratégia de defesa em camadas no Microsoft Office e deve ser activada em todos os computadores de uma organização. No Microsoft Office 2007, para os clientes que querem impedir a validação de ficheiros pela funcionalidade de Validação de Ficheiros do Office, a Microsoft recomenda a utilização da funcionalidade de Localizações Fidedignas. Os ficheiros que são abertos a partir de localizações fidedignas não são verificados pela Validação de Ficheiros do Office.

De que forma a funcionalidade de Validação de Ficheiros do Office altera a experiência do utilizador ao abrir e inserir ficheiros no Microsoft Publisher?  
Ao abrir ficheiros Publisher, a funcionalidade de Validação de Ficheiros do Office não altera o comportamento do Microsoft Publisher 2003 e do Microsoft Publisher 2007, porque o Microsoft Publisher já analisa e valida ficheiros Publisher quando estes são abertos, independentemente de a funcionalidade de Validação de Ficheiros do Office estar activada. No entanto, o comportamento ao inserir documentos Word no Microsoft Publisher é alterado pela funcionalidade de Validação de Ficheiros do Office. Ao tentar inserir ficheiros Word com formato de binário no Microsoft Publisher 2003 ou no Microsoft Publisher 2007, os ficheiros que falham na validação não são inseridos no Microsoft Publisher. Em vez disso, para inserir o ficheiro o utilizador tem de clicar num aviso que indica que a abertura do ficheiro pode ser perigosa.

Consulte artigo TechNet sobre Validação de Ficheiros do Office para Office 2003 e Office 2007, para obter informações sobre implementação, instalação e configuração da funcionalidade de Validação de Ficheiros do Office para Microsoft Office 2003 e Microsoft Office 2007.

Outras informações

Feedback

Assistência

  • Os clientes nos Estados Unidos e no Canadá podem receber suporte técnico através do Suporte de Segurança. Para obter mais informações sobre opções de suporte disponíveis, consulte a Ajuda e Suporte da Microsoft.
  • Os clientes internacionais podem receber suporte das subsidiárias locais da Microsoft. Para mais informações sobre como contactar a Microsoft relativamente a questões de suporte internacional, visite o Web site de Suporte Internacional.
  • O Microsoft TechNet Security fornece informações adicionais sobre segurança em produtos Microsoft.

Exclusão de garantia

As informações fornecidas neste aviso são fornecidas "tal como estão", sem garantias de qualquer tipo. A Microsoft exclui todas as garantias, sejam expressas ou implícitas, incluindo as garantias de comercialização e adequação a um fim específico. Em caso algum serão a Microsoft Corporation ou os seus fornecedores responsáveis por quaisquer prejuízos, incluindo prejuízos directos, indirectos, incidentais ou consequentes, extraordinários ou por perda de lucros negociais, ainda que a Microsoft Corporation, ou os seus fornecedores tenham sido notificados da possibilidade de ocorrência de tais prejuízos. A exclusão ou limitação de responsabilidade por prejuízos consequentes ou incidentais não é permitida em alguns estados ou jurisdições, pelo que a limitação supra poderá não ser aplicável.

Revisões

  • V1.0 (12 de Abril de 2011): Aviso publicado.

Built at 2014-04-18T01:50:00Z-07:00

Mostrar: