Assessoria de Segurança
Comunicado de Segurança da Microsoft 956391
Pacote cumulativo de atualizações para kill bits ActiveX
Publicado: terça-feira, 14 de outubro de 2008 | Atualizado: June 17, 2009
Versão: 1.3
A Microsoft está lançando um novo conjunto de kill bits ActiveX com este comunicado. Os identificadores de classe (CLSIDs) para esses controles ActiveX são os listados na seção Perguntas freqüentes deste comunicado.
Esta atualização define os kill bits para o seguinte software de terceiros:
- Microgaming Baixar Helper. A Microgaming emitiu um aviso e uma atualização que aborda vulnerabilidades. Consulte o comunicado da Microgaming para obter mais informações. Esse kill bit está sendo definido a pedido do proprietário do controle ActiveX. Os clientes que precisarem de suporte devem entrar em contato com a Microgaming. Os identificadores de classe (CLSIDs) para este controle ActiveX são os listados na seção Perguntas freqüentes deste comunicado.
- Laboratório de Requisitos do Sistema. Husdawg emitiu um aviso e uma atualização que aborda uma vulnerabilidade. Consulte o comunicado da Husdawg para obter mais informações. Esse kill bit está sendo definido a pedido do proprietário do controle ActiveX. Os clientes que precisarem de suporte devem entrar em contato com a Husdawg. Os identificadores de classe (CLSIDs) para este controle ActiveX são os listados na seção Perguntas freqüentes deste comunicado.
- Ferramenta PhotoStockPlus Uploader. PhotoStockPlus emitiu um aviso sobre um controle vulnerável. Consulte o comunicado da PhotoStockPlus para obter mais informações. Esse kill bit está sendo definido a pedido do proprietário do controle ActiveX. Os clientes que precisarem de suporte devem entrar em contato com PhotoStockPlus. Os identificadores de classe (CLSIDs) para este controle ActiveX são os listados na seção Perguntas freqüentes deste comunicado.
Esta atualização define os kill bits para controles ActiveX abordados em Boletins de Segurança anteriores da Microsoft. Esses kill bits estão sendo definidos nesta atualização como uma medida de defesa em profundidade:
- Funções não seguras no Office Web Components (328130), MS02-044.
- Vulnerabilidades no Microsoft Office Web Components podem permitir a execução remota de código (933103), MS08-017.
- Uma vulnerabilidade no controlo ActiveX do Snapshot Viewer para Microsoft Access pode permitir a execução remota de código (955617), MS08-041.
- Vulnerabilidades no GDI+ podem permitir a execução remota de código (954593), MS08-052.
Para obter mais informações sobre como instalar esta atualização, consulte o artigo 956391 da Base de Dados de Conhecimento Microsoft.
Informações Gerais
Descrição geral
Objetivo do Aviso: Notificação da disponibilidade de uma atualização de kill bits do ActiveX.
Status do comunicado: O artigo da Base de Dados de Conhecimento Microsoft e a atualização associada foram lançados.
Recomendação: Revise o artigo da Base de Dados de Conhecimento referenciado e aplique a atualização apropriada.
| Referências | Identificação |
|---|---|
| Artigo da Base de Dados de Conhecimento Microsoft | 956391 |
Este comunicado descreve o seguinte software.
| Software relacionado |
|---|
| Microsoft Windows 2000 Service Pack 4 |
| Windows XP Service Pack 2 e Windows XP Service Pack 3 |
| Windows XP Professional x64 Edition e Windows XP Professional x64 Edition Service Pack 2 |
| Windows Server 2003 Service Pack 1 e Windows Server 2003 Service Pack 2 |
| Windows Server 2003 x64 Edition e Windows Server 2003 x64 Edition Service Pack 2 |
| Windows Server 2003 com SP1 para sistemas baseados em Itanium e Windows Server 2003 com SP2 para sistemas baseados em Itanium |
| Windows Vista e Windows Vista Service Pack 1 |
| Windows Vista x64 Edition e Windows Vista x64 Edition Service Pack 1 |
| Windows Server 2008 para sistemas de 32 bits |
| Windows Server 2008 para sistemas baseados em x64 |
| Windows Server 2008 para sistemas baseados em Itanium |
Perguntas Mais Frequentes
Os usuários com uma instalação do Windows Server 2008 Server Core precisam instalar esta atualização?
Esta atualização será oferecida aos usuários com uma instalação do Windows Server 2008 Server Core, mas não precisará instalá-la. Para obter mais informações sobre a opção de instalação Server Core, consulte Server Core. Observe que a opção de instalação Server Core não se aplica a determinadas edições do Windows Server 2008; consulte Comparar opções de instalação Server Core.
Ao aplicar essa atualização, o controle ActiveX RSClientPrint para de funcionar. Como resolvo este problema?
Os utilizadores que instalaram esta atualização e estão a imprimir relatórios a partir de um Web site que incorpora o Microsoft Report Viewer Redistributable não poderão imprimir até atualizarem os seus servidores para a versão mais recente do Microsoft Report Viewer Redistributable. As atualizações para o Microsoft Report Viewer Redistributable estão disponíveis no boletim MS08-052. Os usuários que instalaram esta atualização e estão imprimindo relatórios de um site do Microsoft SharePoint com o Suplemento Microsoft SQL Server 2005 Reporting Services para Tecnologias Microsoft SharePoint instalado não poderão imprimir até atualizarem seus servidores SharePoint para a versão mais recente do Suplemento Microsoft SQL Server 2005 Reporting Services para Tecnologias Microsoft SharePoint. A atualização necessária está disponível no Centro de Download da Microsoft.
Esta atualização substitui a atualização de segurança cumulativa de kill bits ActiveX (950760)?
Não, para efeitos de atualização automática, esta atualização não substitui a atualização de segurança cumulativa de kill bits ActiveX (950760) descrita no Boletim de Segurança da Microsoft MS08-032. A atualização automática ainda oferecerá a atualização MS08-032 aos clientes, independentemente de terem ou não instalado esta atualização (956391). No entanto, os clientes que instalam esta atualização (956391) não precisam de instalar a atualização MS08-032 para estarem protegidos com todos os kill bits definidos no MS08-032.
Por que a Microsoft está lançando este pacote cumulativo de atualizações para kill bits ActiveX com um aviso de segurança quando atualizações de kill bit anteriores foram lançadas com um boletim de segurança?
A Microsoft está lançando este pacote cumulativo de atualizações para kill bits ActiveX com um aviso porque os novos kill bits não afetam o software da Microsoft ou foram definidos anteriormente em um Boletim de Segurança da Microsoft.
Porque é que este aviso não tem uma classificação de segurança associada?
Esta atualização contém kill bits para controles de terceiros ou controles que foram abordados anteriormente em atualizações de segurança. A Microsoft não fornece uma classificação de segurança para controles de terceiros vulneráveis.
Esta atualização contém kill bits que foram lançados anteriormente em um pacote cumulativo de atualizações para kill bits do ActiveX?
Sim, esta atualização também inclui kill bits que foram definidos anteriormente no 953839 do Comunicado de Segurança da Microsoft.
Esta atualização contém kill bits que foram enviados anteriormente em uma atualização de segurança do Internet Explorer?
Não, esta atualização não inclui kill bits que foram fornecidos anteriormente numa atualização de segurança do Internet Explorer. Recomendamos que instale a Atualização de Segurança Cumulativa mais recente para o Internet Explorer.
O que é um kill bit?
Um recurso de segurança no Microsoft Internet Explorer torna possível impedir que um controle ActiveX seja carregado pelo mecanismo de renderização HTML do Internet Explorer. Isso é feito fazendo uma configuração de registro e é referido como definir o kill bit. Depois que o kill bit é definido, o controle nunca pode ser carregado, mesmo quando está totalmente instalado. Definir o kill bit garante que, mesmo que um componente vulnerável seja introduzido ou reintroduzido em um sistema, ele permaneça inerte e inofensivo.
Para obter mais informações, consulte o artigo 240797 da Base de Dados de Conhecimento Microsoft: Como impedir que um controle ActiveX seja executado no Internet Explorer.
O que é uma atualização de segurança de kill bits do ActiveX?
Esta atualização de segurança contém apenas os IDs de classe (CLSID) de determinados controlos ActiveX que são a base desta atualização de segurança.
Porque é que esta atualização não contém quaisquer ficheiros binários?
Esta atualização apenas faz alterações ao registo para desativar o controlo de instanciação no Internet Explorer.
Devo instalar esta atualização se não tiver o componente afetado instalado ou usar a plataforma afetada?
Sim. A instalação desta atualização impedirá a execução do controlo vulnerável no Internet Explorer.
Preciso reaplicar esta atualização se instalar um controle ActiveX discutido nesta atualização de segurança em uma data posterior?
Não, não é necessário reaplicar esta atualização. O kill bit impedirá o Internet Explorer de executar o controle, mesmo que o controle seja instalado em uma data posterior.
O que faz esta atualização?
Esta atualização define o kill bit para uma lista de identificadores de classe (CLSIDs).
O Identificador de Classe a seguir está relacionado a uma solicitação da Microgaming para definir o kill bit para um controle ActiveX vulnerável. Mais detalhes podem ser encontrados no comunicado emitido pela Microgaming:
| Identificador de classe |
|---|
| {AED98630-0251-4E83-917D-43A23D66D507} |
O identificador de classe a seguir está relacionado a uma solicitação do Husdawg para definir o kill bit para um controle ActiveX vulnerável. Mais detalhes podem ser encontrados no comunicado emitido pela Husdawg:
| Identificador de classe |
|---|
| {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} |
O identificador de classe a seguir está relacionado a uma solicitação do PhotoStockPlus para definir o kill bit para um controle ActiveX vulnerável. Mais detalhes podem ser encontrados no comunicado emitido pela PhotoStockPlus:
| Identificador de classe |
|---|
| {E48BB416-C578-4A62-84C9-5E3389ABE5FC} |
Os seguintes identificadores de classe estão relacionados com os Boletins de Segurança da Microsoft MS02-044, MS08-017, MS08-041 e MS08-052 que foram abordados anteriormente. Esses kill bits estão sendo definidos como uma Defesa em Profundidade.
| Identificador de classe | |
| {0002E500-0000-0000-C000-000000000046} | MS02-044 |
| {0002E520-0000-0000-C000-000000000046} | MS02-044 |
| {0002E510-0000-0000-C000-000000000046} | MS08-017 |
| {0002E511-0000-0000-C000-000000000046} | MS08-017 |
| {0002E530-0000-0000-C000-000000000046} | MS08-017 |
| {F0E42D50-368C-11D0-AD81-00A0C90DC8D9} | MS08-041 |
| {F0E42D60-368C-11D0-AD81-00A0C90DC8D9} | MS08-041 |
| {F2175210-368C-11D0-AD81-00A0C90DC8D9} | MS08-041 |
| {FA91DF8D-53AB-455D-AB20-F2F023E498D3} | MS08-052 |
Ações Sugeridas
Consulte o artigo da Base de Dados de Conhecimento Microsoft associado a este comunicado
A Microsoft incentiva os clientes a instalar esta atualização. Os clientes interessados em saber mais sobre esta atualização devem consultar o artigo 956391 da Base de Dados de Conhecimento Microsoft.
Soluções
Solução alternativa refere-se a uma definição ou alteração de configuração que não corrige a vulnerabilidade subjacente, mas que ajudaria a bloquear vetores de ataque conhecidos antes de aplicar a atualização. A Microsoft testou as seguintes soluções alternativas e estados na discussão se uma solução alternativa reduz a funcionalidade:
Impedir que objetos COM sejam executados no Internet Explorer
Você pode desabilitar as tentativas de instanciar um objeto COM no Internet Explorer definindo o kill bit para o controle no registro.Aviso Se você usar o Editor do Registro incorretamente, poderá causar problemas sérios que podem exigir a reinstalação do sistema operacional. A Microsoft não pode garantir que você possa resolver problemas resultantes do uso incorreto do Editor do Registro. Use o Editor do Registro por sua conta e risco.
Para obter etapas detalhadas que você pode usar para impedir que um controle seja executado no Internet Explorer, consulte o artigo 240797 da Base de Dados de Conhecimento Microsoft. Siga as etapas neste artigo para criar um valor de Compatibility Flags no Registro para impedir que um objeto COM seja instanciado no Internet Explorer.
Observação Os identificadores de classe e os arquivos correspondentes nos quais os objetos ActiveX estão contidos estão documentados em "O que faz esta atualização?" na seção Perguntas frequentes acima. Substitua {XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX} abaixo pelos Identificadores de Classe encontrados nesta seção.
Para definir o kill bit para um CLSID com um valor de {XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}, cole o texto a seguir em um editor de texto, como o Bloco de Notas. Em seguida, salve o arquivo usando a extensão de nome de arquivo .reg.
Editor do Registro do Windows Versão 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{ XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX }] "Sinalizadores de Compatibilidade"=dword:00000400
Você pode aplicar esse arquivo .reg a sistemas individuais clicando duas vezes nele. Você também pode aplicá-lo entre domínios usando a Diretiva de Grupo. Para obter mais informações sobre a diretiva de grupo, visite os seguintes sites:
- Coleção de Diretiva de Grupo
- O que é o Editor de Objeto de Diretiva de Grupo?
- Principais ferramentas e configurações da Diretiva de Grupo
Observação Você deve reiniciar o Internet Explorer para que as alterações entrem em vigor.
Impacto da solução alternativa: Não há impacto desde que o objeto não se destine a ser usado no Internet Explorer.
Outras informações
Recursos:
- Você pode fornecer comentários preenchendo o formulário visitando Ajuda e Suporte da Microsoft: Entre em contato conosco.
- Os clientes nos Estados Unidos e no Canadá podem receber suporte técnico do Atendimento Microsoft. Para obter mais informações sobre as opções de suporte disponíveis, consulte a Ajuda e Suporte da Microsoft.
- Os clientes internacionais podem receber suporte de suas subsidiárias locais da Microsoft. Para obter mais informações sobre como entrar em contato com a Microsoft para problemas de suporte internacional, visite Suporte internacional.
- O Microsoft TechNet Security fornece informações adicionais sobre segurança em produtos Microsoft.
Exclusão de responsabilidade:
As informações fornecidas neste comunicado são fornecidas "no estado em que se encontram", sem garantia de qualquer tipo. A Microsoft se isenta de todas as garantias, expressas ou implícitas, incluindo as garantias de comercialização e adequação a uma finalidade específica. Em nenhuma circunstância a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, incluindo danos diretos, indiretos, incidentais, consequenciais, perda de lucros comerciais ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido avisados da possibilidade de tais danos. Alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou incidentais, portanto, a limitação acima pode não se aplicar.
Revisões:
- V1.0 (14 de outubro de 2008): Comunicado publicado
- V1.1 (29 de outubro de 2008): Adicionada entrada de Perguntas Freqüentes para comunicar a disponibilidade de uma atualização para um controle para o qual o kill bit foi definido.
- V1.2 (12 de novembro de 2008): Removida uma referência incorreta de que a instalação do Windows Server 2008 Server Core é afetada. Adicionada uma entrada às Perguntas Frequentes para comunicar que os utilizadores com a instalação do Windows Server 2008 Server Core continuarão a ser oferecidos, mas não precisam de instalar esta atualização.
- V1.3 (17 de junho de 2009): Foi adicionada uma entrada às Perguntas Mais Frequentes para comunicar que, para efeitos de atualização automática, esta atualização não substitui a Atualização de Segurança Cumulativa de Kill Bits do ActiveX (950760) descrita no Boletim de Segurança da Microsoft MS08-032.
Construído em 2014-04-18T13:49:36Z-07:00