Assessoria de Segurança
969898 do Comunicado de Segurança da Microsoft
Pacote cumulativo de atualizações para kill bits ActiveX
Publicado: terça-feira, 9 de junho de 2009 | Atualizado: June 17, 2009
Versão: 1.1
A Microsoft está lançando um novo conjunto de kill bits ActiveX com este comunicado.
A atualização inclui um kill bit de uma atualização cumulativa da Microsoft publicada anteriormente:
A atualização também inclui kill bits para o seguinte software de terceiros:
- Microgaming. Esta atualização de segurança define um kill bit para um controle ActiveX desenvolvido pela Microgaming. A Microgaming lançou uma atualização de segurança que aborda uma vulnerabilidade no componente afetado. Para obter mais informações e locais de download, consulte a versão de segurança da Microgaming. Esse kill bit está sendo definido a pedido do proprietário dos controles ActiveX. Os identificadores de classe (CLSIDs) para este controle ActiveX são os listados na seção Perguntas freqüentes deste comunicado.
- Componente de Carregamento Avançado de Imagens do eBay. Esta atualização de segurança define um kill bit para um controle ActiveX desenvolvido pelo eBay. O eBay lançou uma atualização de segurança que elimina uma vulnerabilidade no componente afetado. Para obter mais informações e locais de download, consulte a versão de segurança do eBay. Esse kill bit está sendo definido a pedido do proprietário dos controles ActiveX. Os identificadores de classe (CLSIDs) para este controle ActiveX são os listados na seção Perguntas freqüentes deste comunicado.
- Sala Virtual HP v7.0. Esta atualização de segurança define um kill bit para um controle ActiveX desenvolvido pela Hewlett-Packard (HP). A HP lançou uma atualização de segurança que elimina uma vulnerabilidade no componente afetado. Para obter mais informações e localizações de transferência, consulte a versão de segurança da HP. Esse kill bit está sendo definido a pedido do proprietário dos controles ActiveX. Os identificadores de classe (CLSIDs) para este controle ActiveX são os listados na seção Perguntas freqüentes deste comunicado.
Para obter mais informações sobre como instalar esta atualização, consulte o artigo 969898 da Base de Dados de Conhecimento Microsoft.
Informações Gerais
Descrição geral
Objetivo do Aviso: Notificação da disponibilidade de uma atualização de kill bits do ActiveX.
Status do comunicado: O artigo da Base de Dados de Conhecimento Microsoft e a atualização associada foram lançados.
Recomendação: Revise o artigo da Base de Dados de Conhecimento referenciado e aplique a atualização apropriada.
| Referências | Identificação |
|---|---|
| Referência CVE | CVE-2008-0024 |
| Artigo da Base de Dados de Conhecimento Microsoft | 969898 |
Este comunicado descreve o seguinte software.
| Software relacionado |
|---|
| Microsoft Windows 2000 Service Pack 4 |
| Windows XP Service Pack 2 e Windows XP Service Pack 3 |
| Windows XP Professional x64 Edition Service Pack 2 |
| Windows Server 2003 Service Pack 2 |
| Windows Server 2003 x64 Edition Service Pack 2 |
| Windows Server 2003 com SP2 para sistemas baseados em Itanium |
| Windows Vista, Windows Vista Service Pack 1 e Windows Vista Service Pack 2 |
| Windows Vista x64 Edition, Windows Vista x64 Edition Service Pack 1 e Windows Vista x64 Edition Service Pack 2 |
| Windows Server 2008 para sistemas de 32 bits e Windows Server 2008 para sistemas de 32 bits Service Pack 2 |
| Windows Server 2008 para sistemas baseados em x64 e Windows Server 2008 para sistemas baseados em x64 Service Pack 2 |
| Windows Server 2008 para sistemas baseados em Itanium e Windows Server 2008 para sistemas baseados em Itanium Service pack 2 |
Perguntas Mais Frequentes
Os usuários com uma instalação do Windows Server 2008 Server Core precisam instalar esta atualização?
Os usuários com uma instalação do Windows Server 2008 Server Core não precisam instalar esta atualização. Para obter mais informações sobre a opção de instalação Server Core, consulte Server Core. Observe que a opção de instalação Server Core não se aplica a determinadas edições do Windows Server 2008; consulte Comparar opções de instalação Server Core.
Porque é que este aviso não tem uma classificação de segurança associada?
Esta atualização contém um kill bit para uma atualização lançada anteriormente em um service pack, bem como kill bits para controles de terceiros que não pertencem à Microsoft. A Microsoft não fornece uma classificação de segurança para service packs ou controles de terceiros vulneráveis.
Esta atualização substitui a atualização de segurança cumulativa de kill bits ActiveX (950760)?
Não, para efeitos de atualização automática, esta atualização não substitui a atualização de segurança cumulativa de kill bits ActiveX (950760) descrita no Boletim de Segurança da Microsoft MS08-032. A atualização automática ainda oferecerá a atualização MS08-032 aos clientes, independentemente de terem ou não instalado esta atualização (969898). No entanto, os clientes que instalam esta atualização (969898) não precisam de instalar a atualização MS08-032 para estarem protegidos com todos os kill bits definidos no MS08-032.
Por que a Microsoft está lançando este pacote cumulativo de atualizações para kill bits ActiveX com um aviso de segurança quando atualizações de kill bit anteriores foram lançadas com um boletim de segurança?
A Microsoft está lançando este pacote cumulativo de atualizações para kill bits ActiveX com um aviso porque os novos kill bits não afetam o software da Microsoft ou foram definidos anteriormente em uma atualização de software da Microsoft.
Esta atualização contém kill bits que foram lançados anteriormente em um pacote cumulativo de atualizações para kill bits do ActiveX?
Sim, esta atualização também inclui kill bits que foram definidos anteriormente no Comunicado de Segurança da Microsoft 960715.
Esta atualização contém kill bits lançados anteriormente em uma atualização de segurança do Internet Explorer?
Não, esta atualização não inclui kill bits lançados anteriormente em uma atualização de segurança do Internet Explorer. Recomendamos que instale a Atualização de Segurança Cumulativa mais recente para o Internet Explorer.
O que é um kill bit?
Um recurso de segurança no Microsoft Internet Explorer torna possível impedir que um controle ActiveX seja carregado pelo mecanismo de renderização HTML do Internet Explorer. Isso é feito fazendo uma configuração de registro e é referido como definir o kill bit. Depois que o kill bit é definido, o controle nunca pode ser carregado, mesmo quando está totalmente instalado. Definir o kill bit garante que, mesmo que um componente vulnerável seja introduzido ou reintroduzido em um sistema, ele permaneça inerte e inofensivo.
Para obter mais informações, consulte o artigo 240797 da Base de Dados de Conhecimento Microsoft: Como impedir que um controle ActiveX seja executado no Internet Explorer.
O que é uma atualização de segurança de kill bits do ActiveX?
Esta atualização de segurança contém apenas os IDs de classe (CLSID) de determinados controlos ActiveX que são a base desta atualização de segurança.
Porque é que esta atualização não contém quaisquer ficheiros binários?
Esta atualização apenas faz alterações ao registo para desativar o controlo de instanciação no Internet Explorer.
Devo instalar esta atualização se não tiver o componente afetado instalado ou usar a plataforma afetada?
Sim. A instalação desta atualização impedirá a execução do controlo vulnerável no Internet Explorer.
Preciso reaplicar esta atualização se instalar um controle ActiveX discutido nesta atualização de segurança em uma data posterior?
Não, não é necessário reaplicar esta atualização. O kill bit impedirá o Internet Explorer de executar o controle, mesmo que o controle seja instalado em uma data posterior.
O que faz esta atualização?
Esta atualização define o kill bit para uma lista de identificadores de classe (CLSIDs).
Os seguintes identificadores de classe estão relacionados ao MSCOMM32. Controle de carregador OCX ATL abordado na atualização cumulativa (KB957924) do Microsoft Visual Basic 6.0 Service Pack 6:
| Identificador de classe |
|---|
| {648A5600-2C6E-101B-82B6-000000000014} |
O Identificador de Classe a seguir está relacionado a uma solicitação da Microgaming para definir o kill bit para um Identificador de Classe vulnerável. Mais detalhes podem ser encontrados no comunicado de segurança emitido pela Microgaming:
| Identificador de classe |
|---|
| {D8089245-3211-40F6-819B-9E5E92CD61A2} |
O Identificador de Classe a seguir está relacionado a uma solicitação do eBay para definir o kill bit para um Identificador de Classe vulnerável. Mais detalhes podem ser encontrados no comunicado de segurança emitido pelo eBay:
| Identificador de classe |
|---|
| {4C39376E-FA9D-4349-BACC-D305C1750EF3} |
| {C3EB1670-84E0-4EDA-B570-0B51AAE81679} |
O Identificador de Classe a seguir está relacionado a uma solicitação da HP para definir o kill bit para um Identificador de Classe vulnerável. Mais detalhes podem ser encontrados no comunicado de segurança emitido pela HP:
| Identificador de classe |
|---|
| {00000032-9593-4264-8B29-930B3E4EDCCD} |
Ações Sugeridas
Consulte o artigo da Base de Dados de Conhecimento Microsoft associado a este comunicado
A Microsoft incentiva os clientes a instalar esta atualização. Os clientes interessados em saber mais sobre esta atualização devem consultar o artigo 969898 da Base de Dados de Conhecimento Microsoft.
Soluções
Solução alternativa refere-se a uma definição ou alteração de configuração que não corrige a vulnerabilidade subjacente, mas que ajudaria a bloquear vetores de ataque conhecidos antes de aplicar a atualização. A Microsoft testou as seguintes soluções alternativas e estados na discussão se uma solução alternativa reduz a funcionalidade:
Impedir que objetos COM sejam executados no Internet Explorer
Você pode desabilitar as tentativas de instanciar um objeto COM no Internet Explorer definindo o kill bit para o controle no registro.Aviso Se você usar o Editor do Registro incorretamente, poderá causar problemas sérios que podem exigir a reinstalação do sistema operacional. A Microsoft não pode garantir que você possa resolver problemas resultantes do uso incorreto do Editor do Registro. Use o Editor do Registro por sua conta e risco.
Para obter etapas detalhadas que você pode usar para impedir que um controle seja executado no Internet Explorer, consulte o artigo 240797 da Base de Dados de Conhecimento Microsoft. Siga as etapas neste artigo para criar um valor de Compatibility Flags no Registro para impedir que um objeto COM seja instanciado no Internet Explorer.
Observação Os identificadores de classe e os arquivos correspondentes nos quais os objetos ActiveX estão contidos estão documentados em "O que faz esta atualização?" na seção Perguntas frequentes acima. Substitua {XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX} abaixo pelos Identificadores de Classe encontrados nesta seção.
Para definir o kill bit para um CLSID com um valor de {XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}, cole o texto a seguir em um editor de texto, como o Bloco de Notas. Em seguida, salve o arquivo usando a extensão de nome de arquivo .reg.
Editor do Registro do Windows Versão 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{ XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX }] "Sinalizadores de Compatibilidade"=dword:00000400
Você pode aplicar esse arquivo .reg a sistemas individuais clicando duas vezes nele. Você também pode aplicá-lo entre domínios usando a Diretiva de Grupo. Para obter mais informações sobre a diretiva de grupo, visite os seguintes sites:
- Coleção de Diretiva de Grupo
- O que é o Editor de Objeto de Diretiva de Grupo?
- Principais ferramentas e configurações da Diretiva de Grupo
Observação Você deve reiniciar o Internet Explorer para que as alterações entrem em vigor.
Impacto da solução alternativa: Não há impacto desde que o objeto não se destine a ser usado no Internet Explorer.
Outras informações
Agradecimentos
A Microsoft agradece o seguinte por trabalhar conosco para ajudar a proteger os clientes:
- Robert Freeman, da ISS X-Force , por relatar o MSCOMM32. Vulnerabilidade de execução remota de código do carregador OCX ATL (CVE-2008-0024)
Recursos:
- Você pode fornecer comentários preenchendo o formulário visitando Ajuda e Suporte da Microsoft: Entre em contato conosco.
- Os clientes nos Estados Unidos e Canadá podem receber suporte técnico do Suporte de Segurança. Para obter mais informações sobre as opções de suporte disponíveis, consulte a Ajuda e Suporte da Microsoft.
- Os clientes internacionais podem receber suporte de suas subsidiárias locais da Microsoft. Para obter mais informações sobre como entrar em contato com a Microsoft para problemas de suporte internacional, visite Suporte internacional.
- O Microsoft TechNet Security fornece informações adicionais sobre segurança em produtos Microsoft.
Exclusão de responsabilidade:
As informações fornecidas neste comunicado são fornecidas "no estado em que se encontram", sem garantia de qualquer tipo. A Microsoft se isenta de todas as garantias, expressas ou implícitas, incluindo as garantias de comercialização e adequação a uma finalidade específica. Em nenhuma circunstância a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, incluindo danos diretos, indiretos, incidentais, consequenciais, perda de lucros comerciais ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido avisados da possibilidade de tais danos. Alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou incidentais, portanto, a limitação acima pode não se aplicar.
Revisões:
- V1.0 (9 de junho de 2009): Comunicado publicado
- V1.1 (17 de junho de 2009): Foi adicionada uma entrada às Perguntas Mais Frequentes para comunicar que, para efeitos de atualização automática, esta atualização não substitui a Atualização de Segurança Cumulativa de Kill Bits ActiveX (950760) descrita no Boletim de Segurança da Microsoft MS08-032.
Construído em 2014-04-18T13:49:36Z-07:00