Aviso de Segurança da Microsoft 960715

Update Rollup para Kill Bits do ActiveX

Data de publicação: 10 de fevereiro de 2009 | Updated: 17 de junho de 2009

actualizada: 1.2

A Microsoft está a publicar um novo conjunto de kill bits do ActiveX com este aviso.

A actualização inclui kill bits para boletins de segurança Microsoft previamente publicados:

  • MS08-070, Vulnerabilidades nos Ficheiros Expandidos de Runtime do Visual Basic 6.0 (Controlos ActiveX) poderiam permitir Execução Remota de Código (932349)

A actualização também inclui kill bits para o seguinte software de outras empresas:

  • Akamai Download Manager. Esta actualização de segurança define um kill bit para um controlo ActiveX desenvolvido pela Akamai Technologies. A Akamai Technologies lançou uma actualização de segurança que resolve uma vulnerabilidade no componente afectado. Para mais informações e localização de transferências, consulte a actualização de segurança da Akamai Technologies. Este kill bit é definido com a permissão do detentor do controlo ActiveX. Os identificadores de classe (CLSIDs) para este controlo ActiveX estão indicados na secção de Perguntas Mais Frequentes, neste aviso.
  • Research in Motion (RIM) AxLoader. Esta actualização de segurança define um kill bit para um controlo ActiveX desenvolvido pela Research In Motion (RIM). A RIM lançou uma actualização de segurança que resolve uma vulnerabilidade no componente afectado. Para mais informações e localização de transferências, consulte a actualização de segurança da Research In Motion. Este kill bit é definido com a permissão do detentor do controlo ActiveX. Os identificadores de classe (CLSIDs) para este controlo ActiveX estão indicados na secção de Perguntas Mais Frequentes, neste aviso.

Para obter mais informações sobre a instalação desta actualização, consulte o Artigo 960715 da Base de Dados de Conhecimento da Microsoft.

Informações Gerais

Objectivo do Aviso: Notificação sobre a disponibilidade de uma actualização de kill bits do ActiveX.

Estado do Aviso: Foi lançado um artigo da Base de Dados de Conhecimento da Microsoft e uma actualização associada.

Recomendação: Consulte o artigo da Base de Dados de Conhecimento mencionado e aplique a actualização adequada.

ReferênciasIdentificação
O artigo da Base de Dados de Conhecimento da Microsoft 960715

Este aviso abrange o seguinte software.

Software Relacionado
Microsoft Windows 2000 Service Pack 4
Windows XP Service Pack 2 e Service Pack 3
Windows XP Professional x64 Edition e Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 1 e Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition e Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 com SP1 para sistemas baseados em Itanium e Windows Server 2003 com SP2 para sistemas baseados em Itanium
Windows Vista e Windows Vista Service Pack 1
Windows Vista x64 Edition e Windows Vista x64 Edition Service Pack 1
Windows Server 2008 para sistemas de 32 bits
Windows Server 2008 para sistemas baseados em x64
Windows Server 2008 para sistemas baseados em Itanium

Os utilizadores com uma instalação do Windows Server 2008 Server Core necessitam de instalar esta actualização?
Os utilizadores com uma instalação do Windows Server 2008 Server Core não necessitam de instalar esta actualização. Para mais informações sobre a opção de instalação Server Core, consulte a informação sobre Server Core. Tenha em atenção que a opção de instalação Server Core não se aplica a determinadas edições do Windows Server 2008; consulte Comparar as Opções de Instalação Server Core.

Por que razão este aviso não tem a respectiva classificação de segurança?
Esta actualização contém kill bits para controlos de outras empresas exteriores à Microsoft. A Microsoft não fornece classificações de gravidade para controlos vulneráveis de outras empresas.

Esta actualização substitui a Actualização de Segurança Cumulativa de Kill Bits do ActiveX (950760)?
Não. Para efeitos de actualizações automáticas, esta actualização não substitui a Actualização de Segurança Cumulativa de Kill Bits do ActiveX (950760) descrita no Boletim de Segurança Microsoft MS08-032. As actualizações automáticas continuarão a disponibilizar aos clientes a actualização do boletim MS08-032, independentemente de terem instalado ou não esta actualização (960715). No entanto, os clientes que instalarem esta actualização (960715) não necessitam de instalar a actualização do boletim MS08-032 para estarem protegidos com todos os kill bits definidos no boletim MS08-032.

Por que razão está a Microsoft a lançar um Update Rollup para Kill Bits do ActiveX com um aviso de segurança, quando as actualizações de kill bits anteriores foram lançadas com um boletim de segurança?
A Microsoft está a lançar um Update Rollup para Kill Bits do ActiveX com um aviso porque os novos kill bits não afectam software da Microsoft ou não tinham sido previamente definidos num Boletim de Segurança Microsoft.

Esta actualização contém kill bits previamente lançados num Update Rollup para Kill Bits do ActiveX?
Sim, esta actualização também inclui kill bits previamente definidos no Aviso de Segurança Microsoft 956391.

Esta actualização contém kill bits previamente lançados numa actualização de segurança do Internet Explorer?
Não, esta actualização não contém kill bits previamente lançados numa actualização de segurança do Internet Explorer. Recomendamos a instalação da Actualização de Segurança Cumulativa para o Internet Explorer mais recente.

O que é um kill bit?
Existe uma funcionalidade de segurança no Microsoft Internet Explorer que permite impedir de forma permanente que um controlo ActiveX seja carregado pelo motor de processamento de HTML do Internet Explorer. Isso é feito através duma definição de registo e é denominado como definição do kill bit. Depois de o kill bit ser definido, o controlo deixa de poder ser carregado, mesmo estando completamente instalado. A definição do kill bit garante que um componente vulnerável permanece inerte ou inofensivo, mesmo que seja introduzido ou reintroduzido num sistema.

Para obter mais informações, consulte o Artigo 240797 da Base de Dados de Conhecimento da Microsoft: Como impedir que um controlo ActiveX seja executado no Internet Explorer.

O que é uma actualização de segurança de kill bits do ActiveX?  
Esta actualização de segurança só contém os identificadores de classe (CLSID) de determinados controlos ActiveX que constituem a base desta actualização de segurança.

Por que razão esta actualização não contém nenhum ficheiro binário?
Esta actualização só efectua alterações no registo para desactivar a instanciação do controlo no Internet Explorer.

Devo instalar esta actualização se não tiver o componente afectado instalado ou utilizar a plataforma afectada?
Sim. A instalação desta actualização bloqueará a execução do controlo vulnerável no Internet Explorer.

Tenho de reaplicar esta actualização se posteriormente instalar um controlo ActiveX discutido nesta actualização de segurança?
Não, não é necessário reaplicar esta actualização. O kill bit bloqueará a execução do controlo no Internet Explorer, mesmo se o controlo for instalado posteriormente.

O que faz esta actualização?
Esta actualização define o kill bit para uma lista de identificadores de classe (CLSIDs).

O seguinte identificador de classe está relacionado com um pedido da Akamai para definir o kill bit para um identificador de classe que é vulnerável. Estão disponíveis mais detalhes na actualização de segurança publicada pela Akamai:

Identificador de classe
{FFBB3F3B-0A5A-4106-BE53-DFE1E2340CB1}

O seguinte identificador de classe está relacionado com um pedido da Research In Motion (RIM) para definir o kill bit para um identificador de classe que é vulnerável. Estão disponíveis mais detalhes na actualização de segurança publicada pela RIM:

Identificador de classe
{4788DE08-3552-49EA-AC8C-233DA52523B9}

Os seguintes identificadores de classe estão relacionados com o controlo CAPICOM abordado no Boletim de Segurança Microsoft MS08-070, Vulnerabilidades nos Ficheiros Expandidos de Runtime do Visual Basic 6.0 (Controlos ActiveX) poderiam permitir Execução Remota de Código (932349):

Identificador de classe
{1E216240-1B7D-11CF-9D53-00AA003C9CB6}
{3A2B370C-BA0A-11d1-B137-0000F8753F5D}
{B09DE715-87C1-11d1-8BE3-0000F8754DA1}
{cde57a43-8b86-11d0-b3c6-00a0c90aea82}
{6262d3a0-531b-11cf-91f6-c2863c385e30}
{0ECD9B64-23AA-11d0-B351-00A0C9055D8E}
{C932BA85-4374-101B-A56C-00AA003668DC}
{248dd896-bb45-11cf-9abc-0080c7e7b78d}

Consulte o artigo da Base de Dados de Conhecimento da Microsoft que está associado a este aviso

A Microsoft aconselha os clientes a instalarem esta actualização. Os clientes que estiverem interessados em saber mais sobre esta actualização devem consultar o Artigo 960715 da Base de Dados de Conhecimento da Microsoft.

Soluções alternativas

Uma solução alternativa refere-se a uma definição ou alteração de configuração que não corrige a vulnerabilidade subjacente, mas que ajudaria a bloquear vectores de ataque conhecidos antes de aplicar a actualização. A Microsoft testou as seguintes soluções alternativas e estados na discussão acerca de casos em que uma solução alternativa reduz a funcionalidade:

  • Impeça a execução de objectos COM no Internet Explorer

    Pode desactivar tentativas de instanciar o objecto COM no Internet Explorer definindo o kill bit para o controlo no registo.

    Aviso Se utilizar o Editor de Registo incorrectamente, pode causar problemas sérios que podem vir a obrigar à reinstalação do seu sistema operativo. A Microsoft não pode garantir que consiga resolver problemas que resultam da utilização incorrecta do Editor de Registo. A utilização do Editor de Registo é da sua responsabilidade.

    Para obter informações detalhadas sobre o que pode usar para impedir que um controlo seja executado no Internet Explorer, consulte o Artigo 240797 da Base de Dados de Conhecimento da Microsoft. Siga os passos apresentados neste artigo para criar um valor Compatibility Flags no registo para impedir que o objecto COM seja instanciado no Internet Explorer.

    Nota Os identificadores de classe e os ficheiros correspondentes onde os objectos ActiveX estão contidos encontram-se documentados em "O que faz esta actualização?", na secção de Perguntas Mais Frequentes, acima. Substitua {XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX} abaixo pelos identificadores de classe desta secção.

    Para definir o kill bit para um controlo CLSID com o valor de {XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}, cole o seguinte texto num editor de texto como o Notepad. Depois, guarde o ficheiro com a extensão de nome de ficheiro .reg.

    Editor de registo do Windows versão 5.00
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{ XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX }]
    "Compatibility Flags"=dword:00000400

    Pode aplicar este ficheiro .reg a sistemas individuais ao clicar duas vezes sobre ele. Pode ainda aplicá-lo através de domínios usando uma Política de Grupo. Para mais informações sobre as Políticas de Grupos, consulte os seguintes Web sites da Microsoft:

    Nota Tem de reiniciar o Internet Explorer para que as alterações tenham efeito.

    Impacto da solução alternativa: Não há qualquer impacto desde que o objecto não seja para utilização no Internet Explorer.

Outras informações

Recursos:

Exclusão de garantia:

As informações fornecidas neste aviso são fornecidas "tal como estão", sem garantias de qualquer tipo. A Microsoft exclui todas as garantias, sejam expressas ou implícitas, incluindo as garantias de comercialização e adequação a um fim específico. Em caso algum serão a Microsoft Corporation ou os seus fornecedores responsáveis por quaisquer prejuízos, incluindo prejuízos directos, indirectos, incidentais ou consequentes, extraordinários ou por perda de lucros negociais, ainda que a Microsoft Corporation, ou os seus fornecedores tenham sido notificados da possibilidade de ocorrência de tais prejuízos. A exclusão ou limitação de responsabilidade por prejuízos consequentes ou incidentais não é permitida em alguns estados ou jurisdições, pelo que a limitação supra poderá não ser aplicável.

Revisões:

  • V1.0 (10 de Fevereiro de 2009): Aviso publicado
  • V1.1 (29 de Abril de 2009): Entrada adicionada às Perguntas Mais Frequentes para informar que os utilizadores com instalações do Windows Server 2008 Server Core não necessitam de instalar esta actualização.
  • V1.2 (17 de Junho de 2009): Entrada adicionada às Perguntas Mais Frequentes para comunicar que, para efeitos de actualizações automáticas, esta actualização não substitui a Actualização de Segurança Cumulativa de Kill Bits do ActiveX (950760) descrita no Boletim de Segurança Microsoft MS08-032.

Built at 2014-04-18T01:50:00Z-07:00

Mostrar: