Aviso de Segurança da Microsoft 956391

Update Rollup para Kill Bits do ActiveX

Data de publicação: 14 de outubro de 2008 | Updated: 17 de junho de 2009

actualizada: 1.3

A Microsoft está a publicar um novo conjunto de kill bits do ActiveX com este aviso. Os identificadores de classe (CLSIDs) para estes controlos ActiveX estão indicados na secção de Perguntas Mais Frequentes deste aviso.

Esta actualização define os kill bits para o seguinte software de outras empresas:

  • Microgaming Download Helper. A Microgaming publicou um aviso e uma actualização que corrige as vulnerabilidades. Consulte o aviso da Microgaming para obter mais informações. Este kill bit é definido com a permissão do detentor do controlo ActiveX. Os clientes que necessitem de suporte devem contactar a Microgaming. Os identificadores de classe (CLSIDs) para este controlo ActiveX estão indicados na secção de Perguntas Mais Frequentes, neste aviso.
  • System Requirements Lab. A Husdawg publicou um aviso e uma actualização que corrige uma vulnerabilidade. Consulte o aviso da Husdawg para obter mais informações. Este kill bit é definido com a permissão do detentor do controlo ActiveX. Os clientes que necessitem de suporte devem contactar a Husdawg. Os identificadores de classe (CLSIDs) para este controlo ActiveX estão indicados na secção de Perguntas Mais Frequentes, neste aviso.
  • PhotoStockPlus Uploader Tool. O PhotoStockPlus publicou um aviso sobre um controlo vulnerável. Consulte o aviso do PhotoStockPlus para obter mais informações. Este kill bit é definido com a permissão do detentor do controlo ActiveX. Os clientes que necessitem de suporte devem contactar o PhotoStockPlus. Os identificadores de classe (CLSIDs) para este controlo ActiveX estão indicados na secção de Perguntas Mais Frequentes, neste aviso.

Esta actualização define os kill bits para controlos ActiveX anteriormente corrigidos em Boletins de Segurança Microsoft. Estes kill bits são definidos nesta actualização como medida de defesa profunda:

  • Funções inseguras em Componentes Web do Office (328130), MS02-044.
  • Vulnerabilidades em Componentes Web do Microsoft Office poderiam permitir Execução Remota de Código (933103), MS08-017.
  • Vulnerabilidade no Controlo ActiveX para o Snapshot Viewer para Microsoft Access poderia permitir Execução Remota de Código (955617), MS08-041.
  • Vulnerabilidades no GDI+ poderiam permitir Execução Remota de Código (954593), MS08-052.

Para obter mais informações sobre a instalação desta actualização, consulte o Artigo 956391 da Base de Dados de Conhecimento da Microsoft.

Informações Gerais

Objectivo do Aviso: Notificação sobre a disponibilidade de uma actualização de kill bits do ActiveX.

Estado do Aviso: Foi lançado um artigo da Base de Dados de Conhecimento da Microsoft e uma actualização associada.

Recomendação: Consulte o artigo da Base de Dados de Conhecimento mencionado e aplique a actualização adequada.

ReferênciasIdentificação
O artigo da Base de Dados de Conhecimento da Microsoft 956391

Este aviso abrange o seguinte software.

Software Relacionado
Microsoft Windows 2000 Service Pack 4
Windows XP Service Pack 2 e Windows XP Service Pack 3
Windows XP Professional x64 Edition e Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 1 e Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition e Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 com SP1 para sistemas baseados em Itanium e Windows Server 2003 com SP2 para sistemas baseados em Itanium
Windows Vista e Windows Vista Service Pack 1
Windows Vista x64 Edition e Windows Vista x64 Edition Service Pack 1
Windows Server 2008 para sistemas de 32 bits
Windows Server 2008 para sistemas baseados em x64
Windows Server 2008 para sistemas baseados em Itanium

Os utilizadores com uma instalação do Windows Server 2008 Server Core necessitam de instalar esta actualização?
Os utilizadores com uma instalação do Windows Server 2008 Server Core receberão esta actualização, mas não necessitam de a instalar. Para mais informações sobre a opção de instalação Server Core, consulte a informação sobre Server Core. Tenha em atenção que a opção de instalação Server Core não se aplica a determinadas edições do Windows Server 2008; consulte Comparar as Opções de Instalação Server Core.

Ao aplicar esta actualização, o controlo ActiveX RSClientPrint deixa de funcionar. Como posso resolver esta questão?
Os utilizadores que tenham instalado esta actualização e que imprimam relatórios a partir de um Web site que incorpore o Microsoft Report Viewer Redistributable não conseguirão imprimir sem que antes tenham actualizado os seus servidores com a versão mais recente do Microsoft Report Viewer Redistributable. As actualizações para o Microsoft Report Viewer Redistributable estão disponíveis no boletim MS08-052. Os utilizadores que tenham instalado esta actualização e que imprimam relatórios a partir de um Web site Microsoft SharePoint com o Suplemento Microsoft SQL Server 2005 Reporting Services para Microsoft SharePoint Technologies instalado não conseguirão imprimir sem que antes tenham actualizado os seus servidores SharePoint com a versão mais recente do Suplemento Microsoft SQL Server 2005 Reporting Services para Microsoft SharePoint Technologies. A actualização necessária está disponível no Centro de Transferências da Microsoft.

Esta actualização substitui a Actualização de Segurança Cumulativa de Kill Bits do ActiveX (950760)?
Não. Para efeitos de actualizações automáticas, esta actualização não substitui a Actualização de Segurança Cumulativa de Kill Bits do ActiveX (950760) descrita no Boletim de Segurança Microsoft MS08-032. As actualizações automáticas continuarão a disponibilizar aos clientes a actualização do boletim MS08-032, independentemente de terem instalado ou não esta actualização (956391). No entanto, os clientes que instalarem esta actualização (956391) não necessitam de instalar a actualização do boletim MS08-032 para estarem protegidos com todos os kill bits definidos no boletim MS08-032.

Por que razão está a Microsoft a lançar um Update Rollup para Kill Bits do ActiveX com um aviso de segurança, quando as actualizações de kill bits anteriores foram lançadas com um boletim de segurança?
A Microsoft está a lançar um Update Rollup para Kill Bits do ActiveX com um aviso porque os novos kill bits não afectam software da Microsoft ou não tinham sido previamente definidos num Boletim de Segurança Microsoft.

Por que razão este aviso não tem a respectiva classificação de segurança?
Esta actualização contém kill bits para controlos de outras empresas ou controlos que foram previamente abordados em actualizações de segurança. A Microsoft não fornece classificações de gravidade para controlos vulneráveis de outras empresas.

Esta actualização contém kill bits previamente lançados num Update Rollup para Kill Bits do ActiveX?
Sim, esta actualização também inclui kill bits previamente definidos no Aviso de Segurança da Microsoft 953839.

Esta actualização contém kill bits previamente fornecidos numa actualização de segurança do Internet Explorer?
Não, esta actualização não contém kill bits previamente fornecidos numa actualização de segurança do Internet Explorer. Recomendamos a instalação da Actualização de Segurança Cumulativa para o Internet Explorer mais recente.

O que é um kill bit?
Existe uma funcionalidade de segurança no Microsoft Internet Explorer que permite impedir de forma permanente que um controlo ActiveX seja carregado pelo motor de processamento de HTML do Internet Explorer. Isso é feito através duma definição de registo e é denominado como definição do kill bit. Depois de o kill bit ser definido, o controlo deixa de poder ser carregado, mesmo estando completamente instalado. A definição do kill bit garante que um componente vulnerável permanece inerte ou inofensivo, mesmo que seja introduzido ou reintroduzido num sistema.

Para obter mais informações, consulte o Artigo 240797 da Base de Dados de Conhecimento da Microsoft: Como impedir que um controlo ActiveX seja executado no Internet Explorer.

O que é uma actualização de segurança de kill bits do ActiveX?  
Esta actualização de segurança só contém os identificadores de classe (CLSID) de determinados controlos ActiveX que constituem a base desta actualização de segurança.

Por que razão esta actualização não contém nenhum ficheiro binário?
Esta actualização só efectua alterações no registo para desactivar a instanciação do controlo no Internet Explorer.

Devo instalar esta actualização se não tiver o componente afectado instalado ou utilizar a plataforma afectada?
Sim. A instalação desta actualização bloqueará a execução do controlo vulnerável no Internet Explorer.

Tenho de reaplicar esta actualização se posteriormente instalar um controlo ActiveX discutido nesta actualização de segurança?
Não, não é necessário reaplicar esta actualização. O kill bit bloqueará a execução do controlo no Internet Explorer, mesmo se o controlo for instalado posteriormente.

O que faz esta actualização?
Esta actualização define o kill bit para uma lista de Identificadores de Classe (CLSIDs).

O seguinte Identificador de Classe está relacionado com um pedido da Microgaming para definir o kill bit para um controlo ActiveX que é vulnerável. Estão disponíveis mais detalhes no aviso publicado pela Microgaming:

Identificador de classe
{AED98630-0251-4E83-917D-43A23D66D507}

O seguinte Identificador de Classe está relacionado com um pedido da Husdawg para definir o kill bit para um controlo ActiveX que é vulnerável. Estão disponíveis mais detalhes no aviso publicado pela Husdawg:

Identificador de classe
{67A5F8DC-1A4B-4D66-9F24-A704AD929EEE}

O seguinte Identificador de Classe está relacionado com um pedido do PhotoStockPlus para definir o kill bit para um controlo ActiveX que é vulnerável. Estão disponíveis mais detalhes no aviso publicado pelo PhotoStockPlus:

Identificador de classe
{E48BB416-C578-4A62-84C9-5E3389ABE5FC}

Os seguintes Identificadores de Classe estão relacionados com os Boletins de Segurança Microsoft MS02-044, MS08-017, MS08-041 e MS08-052 que foram previamente abordados. Estes kill bits são definidos como medida de defesa profunda.

Identificador de classe
{0002E500-0000-0000-C000-000000000046} MS02-044
{0002E520-0000-0000-C000-000000000046} MS02-044
{0002E510-0000-0000-C000-000000000046} MS08-017
{0002E511-0000-0000-C000-000000000046} MS08-017
{0002E530-0000-0000-C000-000000000046} MS08-017
{F0E42D50-368C-11D0-AD81-00A0C90DC8D9} MS08-041
{F0E42D60-368C-11D0-AD81-00A0C90DC8D9} MS08-041
{F2175210-368C-11D0-AD81-00A0C90DC8D9} MS08-041
{FA91DF8D-53AB-455D-AB20-F2F023E498D3} MS08-052

Consulte o artigo da Base de Dados de Conhecimento da Microsoft que está associado a este aviso

A Microsoft aconselha os clientes a instalarem esta actualização. Os clientes que estiverem interessados em saber mais sobre esta actualização devem consultar o Artigo 956391 da Base de Dados de Conhecimento da Microsoft.

Soluções alternativas

Uma solução alternativa refere-se a uma definição ou alteração de configuração que não corrige a vulnerabilidade subjacente, mas que ajudaria a bloquear vectores de ataque conhecidos antes de aplicar a actualização. A Microsoft testou as seguintes soluções alternativas e estados na discussão acerca de casos em que uma solução alternativa reduz a funcionalidade:

  • Impeça a execução de objectos COM no Internet Explorer

    Pode desactivar tentativas de instanciar o objecto COM no Internet Explorer definindo o kill bit para o controlo no registo.

    Aviso Se utilizar o Editor de Registo incorrectamente, pode causar problemas sérios que podem vir a obrigar à reinstalação do seu sistema operativo. A Microsoft não pode garantir que consiga resolver problemas que resultam da utilização incorrecta do Editor de Registo. A utilização do Editor de Registo é da sua responsabilidade.

    Para obter informações detalhadas sobre o que pode usar para impedir que um controlo seja executado no Internet Explorer, consulte o Artigo 240797 da Base de Dados de Conhecimento da Microsoft. Siga os passos apresentados neste artigo para criar um valor Compatibility Flags no registo para impedir que o objecto COM seja instanciado no Internet Explorer.

    Nota Os Identificadores de Classe e os ficheiros correspondentes onde os objectos ActiveX estão contidos encontram-se documentados em "O que faz esta actualização?", na secção de Perguntas Mais Frequentes, acima. Substitua {XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX} abaixo pelos Identificadores de Classe desta secção.

    Para definir o kill bit para um controlo CLSID com o valor de {XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}, cole o seguinte texto num editor de texto como o Notepad. Depois, guarde o ficheiro com a extensão de nome de ficheiro .reg.

    Editor de registo do Windows versão 5.00
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{ XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX }]
    "Compatibility Flags"=dword:00000400

    Pode aplicar este ficheiro .reg a sistemas individuais ao clicar duas vezes sobre ele. Pode ainda aplicá-lo através de domínios usando uma Política de Grupo. Para mais informações sobre as Políticas de Grupos, consulte os seguintes Web sites da Microsoft:

    Nota Tem de reiniciar o Internet Explorer para que as alterações tenham efeito.

    Impacto da solução alternativa: Não há qualquer impacto desde que o objecto não seja para utilização no Internet Explorer.

Outras informações

Recursos:

Exclusão de garantia:

As informações fornecidas neste aviso são fornecidas "tal como estão", sem garantias de qualquer tipo. A Microsoft exclui todas as garantias, sejam expressas ou implícitas, incluindo as garantias de comercialização e adequação a um fim específico. Em caso algum serão a Microsoft Corporation ou os seus fornecedores responsáveis por quaisquer prejuízos, incluindo prejuízos directos, indirectos, incidentais ou consequentes, extraordinários ou por perda de lucros negociais, ainda que a Microsoft Corporation, ou os seus fornecedores tenham sido notificados da possibilidade de ocorrência de tais prejuízos. A exclusão ou limitação de responsabilidade por prejuízos consequentes ou incidentais não é permitida em alguns estados ou jurisdições, pelo que a limitação supra poderá não ser aplicável.

Revisões:

  • V1.0 (14 de Outubro de 2008): Aviso publicado
  • V1.1 (29 de Outubro de 2008): Adicionada entrada às Perguntas Mais Frequentes para comunicar a disponibilidade de uma actualização de um controlo para o qual o kill bit foi definido.
  • V1.2 (12 de Novembro de 2008): Remoção de uma referência incorrecta de indicava que a instalação do Windows Server 2008 Server Core era afectada. Entrada adicionada às Perguntas Mais Frequentes para informar que os utilizadores com instalações do Windows Server 2008 Server Core continuarão a receber a actualização, mas não necessitam de a instalar.
  • V1.3 (17 de Junho de 2009): Entrada adicionada às Perguntas Mais Frequentes para comunicar que, para efeitos de actualizações automáticas, esta actualização não substitui a Actualização de Segurança Cumulativa de Kill Bits do ActiveX (950760) descrita no Boletim de Segurança Microsoft MS08-032.

Built at 2014-04-18T01:50:00Z-07:00

Mostrar: