Aviso de Segurança da Microsoft 919637

Vulnerabilidade no Word poderia permitir Execução Remota de Código

Data de publicação: 5 de outubro de 2005 | Updated: 2 de junho de 2006

A Microsoft está a investigar novas informações públicas de ataques limitados do tipo “zero-day” usando uma vulnerabilidade existente no Microsoft Word XP e Microsoft Word 2003. Para que este ataque seja executado, um utilizador tem de, em primeiro lugar, abrir um documento Word nocivo, anexo a uma mensagem de correio electrónico ou distribuída por outro meio. A Microsoft continuará a investigar os relatórios públicos para ajudar a fornecer orientação adicional aos seus clientes, conforme necessário.

A Microsoft está a concluir o desenvolvimento de uma actualização de segurança para o Microsoft Word que resolve esta vulnerabilidade. A actualização de segurança está agora na fase final de testes, para garantir a qualidade e a compatibilidade da aplicação, prevendo-se que seja publicada como parte das actualizações de segurança de Junho, no dia 13 de Junho de 2006, ou mais cedo, se possível.

A Microsoft está preocupada com o facto de este novo relatório sobre uma vulnerabilidade no Word não ter sido divulgado de forma responsável, colocando potencialmente os utilizadores de sistemas informáticos em risco. Continuamos a encorajar a divulgação responsável das vulnerabilidades. Acreditamos que a prática geralmente aceite de comunicar vulnerabilidades directamente a um vendedor é do interesse de todos. Esta prática ajuda a assegurar que os clientes recebem actualizações completas e de grande qualidade para vulnerabilidades de segurança, sem exposição a intrusos maliciosos, enquanto uma actualização de segurança está a ser desenvolvida.

Informações Gerais

Objectivo do Aviso: Fornecer aos clientes um aviso inicial relativo a uma vulnerabilidade divulgada publicamente. Consulte as secções "Soluções alternativas e atenuações" e "Acções Sugeridas" do aviso de segurança para mais informações.

Estado do Aviso: Sob investigação.

Recomendação: Não abra ou guarde ficheiros Microsoft Word que tenha recebido de origens não-fidedignas, ou que recebeu de fontes fidedignas, mas que de alguma forma não correspondem ao que é habitual. É possível tirar partido desta vulnerabilidade quando um utilizador abre um ficheiro.

ReferênciasIdentificação
Referência CERT VU#446012
Referência CVE 2006-2492

Este aviso abrange o seguinte software.

Software Relacionado
Microsoft Word 2002
Microsoft Word 2003

Qual é a abrangência deste aviso?
A Microsoft teve conhecimento de um novo relatório de vulnerabilidade que afecta o Microsoft Word, que é um componente do Microsoft Office. Esta vulnerabilidade afecta o software listado na secção “Visão Geral”.

Esta é uma vulnerabilidade de segurança que requer que a Microsoft publique uma actualização de segurança?
A Microsoft está a concluir o desenvolvimento de uma actualização de segurança para o Microsoft Word que resolve esta vulnerabilidade. A actualização de segurança está agora na fase final de testes, para garantir a qualidade e a compatibilidade da aplicação, prevendo-se que seja publicada como parte das actualizações de segurança de Junho, no dia 13 de Junho de 2006, ou mais cedo, se possível.

Que versões do Microsoft Office Word estão associadas a este aviso?
Este aviso destina-se a funcionalidades no Word 2002 e no Word 2003.

O que provoca a vulnerabilidade?
Quando um utilizador abre um ficheiro Word concebido especialmente para o efeito usando um ponteiro de objecto mal formado, este pode corromper a memória do sistema de tal forma que um intruso poderia executar código arbitrário.

Como poderia um intruso explorar a vulnerabilidade?
Num cenário de ataque com base na Web, um intruso teria de alojar um Web site contendo um ficheiro do Office que fosse utilizado para tentar tirar partido desta vulnerabilidade. Um intruso não conseguiria obrigar os utilizadores a visitarem um Web site mal intencionado. Em vez disso, um intruso teria de persuadir os utilizadores a visitar o Web site, normalmente conseguindo que clicassem numa hiperligação que os levasse ao site do intruso.

Num cenário de ataque com base em correio electrónico, um intruso poderia explorar a vulnerabilidade enviando um ficheiro especialmente concebido para o efeito ao utilizador e persuadindo-o a abrir o ficheiro.

Porque é que a desactivação do Word como editor de correio electrónico faz parte da solução alternativa?
O Outlook instancia o Word se o Word estiver definido como editor de correio electrónico. Assim que tentar executar o Word ao clicar duas vezes no ficheiro, o programa irá reutilizar a instância que já tinha começado. Se, em vez disso, o Word for iniciado no modo de segurança quando o Word já estiver a ser executado no modo normal, o modo de segurança não será aplicado. Por isso, recomendamos que os utilizadores desactivem o Word como editor de correio electrónico para ajudar a proteger contra esta vulnerabilidade.

Porque é que executar o Word no modo de segurança faz parte desta solução alternativa?
A execução em modo de segurança evita a execução de suplementos, evitando, neste caso, a execução de malware.

Tive de executar a funcionalidade de reparação do Office e agora o Word não abre no Modo de segurança. Qual é a razão?
A execução em modo de segurança evita que várias funções do Word sejam executadas. No processo, o código vulnerável não é carregado.

  • Os utilizadores cujas contas estão configuradas para usarem direitos restritos no sistema podem correr menos riscos do que os utilizadores que trabalham com direitos de utilização de administrador.
  • Quando se utiliza o Office XP ou o Office 2003, a vulnerabilidade não pode ser automaticamente explorada através de correio electrónico. Para um ataque poder ser bem sucedido, é necessário que um utilizador abra um anexo que é enviado numa mensagem de correio electrónico.
  • No Office XP e no Office 2003, esta vulnerabilidade não pode ser automaticamente explorada através de um cenário de um ataque baseado na Web. Um intruso teria de alojar um Web site contendo um ficheiro do Office que fosse utilizado para tirar partido desta vulnerabilidade. Um intruso não conseguiria obrigar os utilizadores a visitarem um Web site mal intencionado. Em vez disso, um intruso teria de persuadi-los a visitar o Web site, normalmente conseguindo que clicassem numa hiperligação que os levasse ao site do intruso.
  • O Office 2000 não é vulnerável a esta questão.
  • Use o Word Viewer 2003 para abrir e ver ficheiros. O Word Viewer 2003 não contém o código vulnerável e não é susceptível a este ataque. Pode ser transferido gratuitamente em:. http://www.microsoft.com/downloads/details.aspx?familyid=95E24C87-8732-48D5-8689-AB826E7B8FDF&displaylang=en.

A Microsoft testou as seguintes soluções alternativas. Apesar de estas soluções alternativas não corrigirem a vulnerabilidade subjacente, elas ajudam a bloquear vectores de ataque conhecidos. Na secção seguinte identificam-se os casos em que uma solução alternativa reduz a funcionalidade.

Use sempre o Microsoft Word em Modo de segurança

Siga estes passos para usar sempre o Microsoft Word em Modo de segurança

Passo 1 - Desactive a função do Outlook de usar o Word como editor de correio

Clientes empresariais

Manual (Interacção com o utilizador)
Os utilizadores empresariais devem seguir estes passos para desactivarem a função do Outlook de usar o Word como editor de correio:

Nota Mesmo depois de aplicar as soluções alternativas, não abra ficheiros Word directamente a partir de QUAISQUER clientes de correio, como o Outlook ou o Hotmail, fazendo duplo clique sobre os ficheiros. Guarde o documento Word numa disquete ou para a área de trabalho e use o atalho “Word: modo de segurança”.

1.Reinicie o computador.

  1. Abra o Outlook
  2. Clique em Ferramentas, clique em Opções e a seguir clique no separador Formato de correio.
  3. Desactive a caixa de verificação Utilizar o Microsoft Word para editar mensagens.
  4. Desactive a caixa de verificação Utilizar o Microsoft Word para ler mensagens de correio electrónico em formato RTF.
  5. Saia do Outlook.
  6. Reinicie o computador.

Para mais informações sobre a activação ou desactivação do Word como editor de correio electrónico, consulte o seguinte Web site.

Impacto da solução alternativa: Os utilizadores não conseguirão usar o Word como o seu Editor de correio electrónico, ou usar o formato RTF para lerem o seu correio.

Usar uma política de grupo

Os administradores de domínios podem usar uma política de grupo para desactivarem o Word como o editor de correio dos utilizadores. Não é necessário reiniciar o computador para implementar esta atenuação.

Para informações sobre a utilização de chaves de registo com uma política de grupo, veja os artigos Use Administrative Template Files with Registry-Based Group Policy (Utilizar modelos administrativos com políticas de grupo baseadas no registo) e Distributing Registry Changes (Distribuir alterações ao registo).

Nota Mesmo depois de aplicar as soluções alternativas que implementam uma alteração de registo, não abra ficheiros Word directamente a partir de clientes de correio que não o Outlook, como o Hotmail, fazendo duplo clique sobre eles.

Desactivar o WordMail no Word 2003

Editor de registo do Windows versão 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Office\11.0\Outlook\Options\Mail]

"EditorPreference"=dword:00020000

"UseWordMail"=dword:00000000

Desactivar o WordMail no Word 2002

Editor de registo do Windows versão 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Office\10.0\Outlook\Options\Mail]

"EditorPreference"=dword:00020000

"UseWordMail"=dword:00000000

Impacto da solução alternativa: Os utilizadores não conseguirão usar o Word como o seu Editor de correio electrónico, ou usar o formato RTF como pré-definição para lerem o seu correio.

Para utilizadores domésticos

Os utilizadores devem seguir estes passos para desactivarem a função do Outlook de usar o Word como editor de correio:

Nota Mesmo depois de aplicar as soluções alternativas, não abra ficheiros Word directamente a partir de QUAISQUER clientes de correio, como o Outlook ou o Hotmail, fazendo duplo clique sobre os ficheiros. Guarde o documento Word numa disquete ou para a área de trabalho e use o atalho “Word: modo de segurança”.

1.Reinicie o computador.

  1. Abra o Outlook
  2. Clique em Ferramentas, clique em Opções e a seguir clique no separador Formato de correio.
  3. Desactive a caixa de verificação Utilizar o Microsoft Word para editar mensagens.
  4. Desactive a caixa de verificação Utilizar o Microsoft Word para ler mensagens de correio electrónico em formato RTF.
  5. Saia do Outlook.
  6. Reinicie o computador.
  7. Para mais informações sobre a activação ou desactivação do Word como editor de correio electrónico, consulte o seguinte Web site.

Impacto da solução alternativa: Os utilizadores não conseguirão usar o Word como o seu Editor de correio electrónico, ou usar o formato RTF como pré-definição para lerem o seu correio.

Passo 2 Escrever /safe na linha de comandos do WINWORD.EXE

Para clientes empresariais

Utilizar o Word em Modo de segurança ajuda a proteger o sistema afectado contra tentativas de exploração desta vulnerabilidade.

Todas as versões do Word têm uma funcionalidade de recuperação de aplicações que permite a execução do Word em modo de segurança. O modo de segurança desactiva esta funcionalidade e impede a execução do código vulnerável. Pode encontrar aqui uma descrição completa das limitações criadas por este método: http://office.microsoft.com/en-us/assistance/HP030823931033.aspx

Nota Mesmo depois de aplicar as soluções alternativas, não abra ficheiros Word directamente a partir de QUAISQUER clientes de correio, como o Outlook ou o Hotmail, fazendo duplo clique sobre os ficheiros. Guarde o documento Word numa disquete ou para a área de trabalho e use o atalho “Word: modo de segurança”.

  1. O Word apresenta o texto (Modo de segurança) na barra de título quando é aberto em modo de segurança.
  2. Faça clique com o botão do lado direito do rato sobre a área de trabalho
  3. Seleccione Novo/Atalho
  4. Seleccione Procurar.
  5. Localize o winword.exe.
  6. Escreva “ /safe” (sem as aspas) no final do nome do ficheiro, depois do ponto de interrogação.
  7. Clique em Seguinte e escreva o nome do atalho como “Word: modo de segurança”.
  8. Clique em Terminar.

Para abrir um documento do Word, siga os passos apresentados abaixo:

  1. Guarde o seu documento numa disquete ou para a área de trabalho.
  2. Inicie o Word usando o atalho “Word: modo de segurança”.
  3. Clique em Ficheiro, clique em Abrir e procure o documento que deseja abrir.

Impacto da solução alternativa: Os utilizadores que trabalham em modo de segurança estarão sujeitos às limitações descritas nesta página de assistência online: http://office.microsoft.com/en-us/assistance/HP030823931033.aspx

Clientes empresariais usando uma política de grupo

Os administradores podem usar uma Política de grupo para activarem o Modo de segurança. Não é necessário reiniciar o computador para implementar esta atenuação.

Nota Mesmo depois de aplicar as soluções alternativas que implementam uma alteração de registo, não abra ficheiros Word directamente a partir de clientes de correio que não o Outlook, como o Hotmail, fazendo duplo clique sobre eles.

Para informações sobre a utilização de chaves de registo com uma política de grupo, veja os artigos Use Administrative Template Files with Registry-Based Group Policy (Utilizar modelos administrativos com políticas de grupo baseadas no registo) e Distributing Registry Changes (Distribuir alterações ao registo).

Nota A localização exacta das chaves de registo depende dos caminhos de instalação para o Office usados em cada empresa. As chaves de registo terão de ser determinadas pelos administradores de sistema, de forma a que correspondam aos seus caminhos específicos de instalação. As localizações apresentadas nos exemplos anteriores correspondem aos caminhos de instalação pré-definidos para o Microsoft Office. Por exemplo, o caminho pré-definido para o Office 10 no Windows em Inglês seria "c:\program files\microsoft office\office10".

Nota Para assegurar que o Word está a ser carregado em Modo de segurança ao abrir, editar ou imprimir documentos, os valores de registo ‘Default' e ‘Command’ dentro das seguintes chaves de registo devem ser editados de forma a incluir o parâmetro “/safe” na linha de comandos (sem as aspas).

Por exemplo, se o Office 2003 estiver instalado com o valor ‘Default’, este deve ser alterado de forma a ficar como indicado a seguir: "C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE" /n /dde /safe; o valor ‘Comando’ deve ser alterado para ficar da seguinte forma: “']gAVn-}f(ZXfeAR6.jiWORDFiles>P`os,1@SW=P7v6GPl]Xh /n /dde /safe”.

Nota O valor ‘Command’ é uma cadeia codificada específica a cada versão e idioma e pode não surgir exactamente da forma acima indicada em todos os sistemas.

[HKEY_CLASSES_ROOT\Word.Document.8\shell\Edit\command]

[HKEY_CLASSES_ROOT\Word.Document.8\shell\New\command]

[HKEY_CLASSES_ROOT\Word.Document.8\shell\Open\command]

[HKEY_CLASSES_ROOT\Word.Document.8\shell\OpenAsReadOnly\command]

[HKEY_CLASSES_ROOT\Word.Document.8\shell\Print\command]

[HKEY_CLASSES_ROOT\Word.Document.8\shell\Printto\command]

[HKEY_CLASSES_ROOT\Word.Backup.8\shell\New\command]

[HKEY_CLASSES_ROOT\Word.Backup.8\shell\Open\command]

[HKEY_CLASSES_ROOT\Word.Backup.8\shell\Print\command]

[HKEY_CLASSES_ROOT\Word.Backup.8\shell\Printto\command]

[HKEY_CLASSES_ROOT\Word.RTF.8\shell\Edit\command]

[HKEY_CLASSES_ROOT\Word.RTF.8\shell\New\command]

[HKEY_CLASSES_ROOT\Word.RTF.8\shell\Open\command]

[HKEY_CLASSES_ROOT\Word.RTF.8\shell\Print\command]

[HKEY_CLASSES_ROOT\Word.RTF.8\shell\Printto\command]

[HKEY_CLASSES_ROOT\Word.Template.8\shell\New\command]

[HKEY_CLASSES_ROOT\Word.Template.8\shell\Open\command]

[HKEY_CLASSES_ROOT\Word.Template.8\shell\Print\command]

[HKEY_CLASSES_ROOT\Word.Template.8\shell\Printto\command]

[HKEY_CLASSES_ROOT\Word.Wizard.8\shell\New\command]

Impacto da solução alternativa: Os utilizadores que trabalham em modo de segurança estarão sujeitos às limitações descritas nesta página de assistência online: http://office.microsoft.com/en-us/assistance/HP030823931033.aspx

Para utilizadores domésticos

  • Utilização do Word em Modo de segurança para utilizadores domésticos

    Utilizar o Word em Modo de segurança ajuda a proteger o sistema afectado contra tentativas de exploração desta vulnerabilidade.

    Todas as versões do Word têm uma funcionalidade de recuperação de aplicações que permite a execução do Word em modo de segurança. O modo de segurança desactiva esta funcionalidade e impede a execução do código vulnerável. Pode encontrar aqui uma descrição completa das limitações criadas por este método: http://office.microsoft.com/en-us/assistance/HP030823931033.aspx

    Nota Mesmo depois de aplicar as soluções alternativas, não abra ficheiros Word directamente a partir de QUAISQUER clientes de correio, como o Outlook ou o Hotmail, fazendo duplo clique sobre os ficheiros. Guarde o documento Word numa disquete ou para a área de trabalho e use o atalho “Word: modo de segurança”.

    1. O Word apresenta o texto (Modo de segurança) na barra de título quando é aberto em modo de segurança.
    2. Faça clique com o botão do lado direito do rato sobre a área de trabalho
    3. Seleccione Novo/Atalho
    4. Seleccione Procurar.
    5. Localize o winword.exe.
    6. Escreva “ /safe” (sem as aspas) no final do nome do ficheiro, depois do ponto de interrogação.
    7. Clique em Seguinte e escreva o nome do atalho como “Word: modo de segurança”.
    8. Clique em Terminar.

    Para abrir um documento do Word, siga os passos apresentados abaixo:

    1. Guarde o seu documento numa disquete ou para a área de trabalho.
    2. Inicie o Word usando o atalho “Word: modo de segurança”.
    3. Clique em Ficheiro, clique em Abrir e procure o documento que deseja abrir.

    Impacto da solução alternativa: Os utilizadores que trabalham em modo de segurança estarão sujeitos às limitações descritas nesta página de assistência online: http://office.microsoft.com/en-us/assistance/HP030823931033.aspx.

Orientações para documentos do Office em Modo de segurança

  • Não abra ficheiros Word que estão inseridos noutras aplicações, como o Excel, o PowerPoint e outras.
  • Não abra ficheiros .doc de um Web site através do Internet Explorer ou de qualquer outro browser.
  • Se não vir as palavras “Modo de segurança” na barra de título do Word, não está a executar o Word em modo de segurança. Não tente abrir quaisquer ficheiros do Word, uma vez que pode estar vulnerável aos ficheiros nocivos .doc.
  • Pode usar o Word Viewer 2003 para abrir quaisquer ficheiros sem ser afectado por esta vulnerabilidade.

    Proteja o seu PC

    Continuamos a encorajar os clientes a seguir os nossos conselhos para proteger o computador e activar uma firewall, obter actualizações de software e instalar software anti-vírus. Os clientes poderão saber mais sobre estes passos no Web site Proteja o Seu PC .

  • Para obter mais informações sobre como estar seguro na Internet, os clientes podem visitar a página inicial de Segurança Microsoft.
  • Os clientes que pensem ter sido atacados devem contactar a filial local do FBI ou apresentar a sua queixa no Web site Internet Fraud Complaint Center. Os clientes fora dos Estados Unidos devem contactar a instituição de segurança e defesa da lei do seu país.

    Todos os clientes devem aplicar as actualizações mais recentes de segurança publicadas pela Microsoft para ajudar a assegurar que os seus sistemas estão protegidos contra exploração do código. Os clientes que tiverem as Actualizações automáticas activadas receberão automaticamente todas as actualizações do Windows. Para mais informações sobre as actualizações de segurança, visite o Web site de Segurança Microsoft.
  • Recomendamos que os clientes usem de extrema cautela quando aceitam transferências de ficheiros, tanto de origens desconhecidas, como conhecidas. Para mais informações sobre a forma de ajudar a proteger o seu computador enquanto usa o MSN Messenger, visite o Web site de Perguntas mais frequentes do MS Messenger.

    Manter o Windows actualizado

  • Todos os utilizadores do Windows devem aplicar as actualizações de segurança da Microsoft mais recentes para ajudar a garantir que os seus computadores estão o mais protegidos possível. Se não tiver a certeza se o seu software está actualizado, visite o Web site do Windows Update, procure actualizações disponíveis para o seu computador e instale todas as actualizações de prioridade elevada que lhe são oferecidas. Se tiver as Actualizações Automáticas activadas, as actualizações ser-lhe-ão entregues quando são lançadas, mas tem de se certificar de que as instala.

Outras informações

Recursos:

  • Pode fornecer o seu feedback preenchendo o formulário que encontrará no seguinte Web site.
  • Os clientes nos E.U.A. e no Canadá podem receber suporte técnico através do Suporte Técnico da Microsoft. Para obter mais informações sobre opções de suporte disponíveis, consulte o Web site Ajuda e Suporte da Microsoft.
  • Os clientes internacionais podem receber suporte das subsidiárias locais da Microsoft. Para mais informações sobre como contactar a Microsoft relativamente a questões de suporte internacionais, visite o Web site de Suporte Internacional.
  • O Web Site Microsoft TechNet Security fornece informações adicionais sobre segurança em produtos Microsoft.

Exclusão de garantia:

As informações fornecidas neste aviso são fornecidas "tal como estão", sem garantias de qualquer tipo. A Microsoft exclui todas as garantias, sejam expressas ou implícitas, incluindo as garantias de comercialização e adequação a um fim específico. Em caso algum serão a Microsoft Corporation ou os seus fornecedores responsáveis por quaisquer prejuízos, incluindo prejuízos directos, indirectos, incidentais ou consequentes, extraordinários ou por perda de lucros negociais, ainda que a Microsoft Corporation, ou os seus fornecedores tenham sido notificados da possibilidade de ocorrência de tais prejuízos. A exclusão ou limitação de responsabilidade por prejuízos consequentes ou incidentais não é permitida em alguns estados ou jurisdições, pelo que a limitação supra poderá não ser aplicável.

Revisões:

  • V1.0 (22 de Maio de 2006): Aviso publicado.
  • V1.1 (2 de Junho de 2006): Aviso revisto para actualizar a secção de “Perguntas Mais Frequentes” e clarificar melhor questões relacionadas com o “Passo 2 Escrever /safe na linha de comandos do WINWORD.EXE” para a secção “Clientes empresariais usando uma política de grupo” em “Usar sempre o Microsoft Word em Modo de segurança”.

Built at 2014-04-18T01:50:00Z-07:00

Mostrar: