Microsoft Security Bulletin MS07-010 - Crítica

Vulnerabilidade no Motor Microsoft de Protecção contra Malware poderia permitir Execução Remota de Código (932135)

Data de publicação: 13 de fevereiro de 2007 | Updated: 22 de fevereiro de 2007

actualizada: 1.1

Resumo

Quem deve ler este documento: Clientes que utilizam o Motor Microsoft de Protecção contra Malware

Impacto da Vulnerabilidade: Execução Remota de Código

Classificação de Gravidade Máxima: Crítica

Recomendação: Os clientes devem certificar-se imediatamente de que têm a actualização mais recente do Motor Microsoft de Protecção contra Malware

Substituição de Actualizações de Segurança: Nenhum

Avisos: Nenhum

Software Testado:

Software Afectado:

  • Windows Live OneCare
  • Microsoft Antigen para Exchange 9.x
  • Microsoft Antigen para SMTP Gateway 9.x
  • Microsoft Windows Defender
  • Microsoft Windows Defender x64 Edition
  • Microsoft Windows Defender no Windows Vista
  • Microsoft Forefront Security para Exchange Server
  • Microsoft Forefront Security para SharePoint

Componentes afectados:

  • Motor Microsoft de Protecção contra Malware

O software referido nesta lista foi testado para determinar se todas as suas versões são afectadas. As outras versões ou não são abrangidas pelo suporte de actualizações de segurança ou podem não ser afectadas. Para determinar o ciclo de vida do suporte do seu produto e versão visite o Web site do Ciclo de Vida do Suporte Microsoft.

Informações Gerais

Resumo Executivo:

Esta actualização resolve uma vulnerabilidade recentemente descoberta e comunicada de forma privada no Motor Microsoft de Protecção contra Malware. A vulnerabilidade está documentada na secção "Detalhes sobre a Vulnerabilidade" deste boletim.

Um intruso que conseguisse tirar partido desta vulnerabilidade poderia obter o controlo total de um sistema afectado. Um intruso poderia então instalar programas; ver, alterar ou eliminar dados; ou ainda criar novas contas com todos os privilégios.

Recomendamos que os clientes se certifiquem imediatamente de que têm a actualização mais recente do Motor Microsoft de Protecção contra Malware.

Classificações da Gravidade e Identificadores da Vulnerabilidade:

Identificadores da VulnerabilidadeImpacto da VulnerabilidadeWindows Live OneCareMicrosoft Antigen para Exchange 9.x Microsoft Antigen para SMTP Gateway 9.xMicrosoft Windows DefenderMicrosoft Windows Defender x64Microsoft Windows Defender no Windows VistaMicrosoft Forefront Security para Exchange Server Microsoft Forefront Security para SharePoint
Vulnerabilidade no Motor Microsoft de Protecção contra Malware - CVE-2006-5270Execução Remota de Código
Crítica
Crítica
CríticaCríticaCrítica
CríticaCríticaCrítica

Esta avaliação baseia-se nos tipos de sistemas que são afectados pela vulnerabilidade, nos respectivos padrões típicos de implementação e no efeito que a exploração da vulnerabilidade teria sobre os mesmos.

Os meus produtos Microsoft que utilizam o Motor Microsoft de Protecção contra Malware são actualizados automaticamente?

A tabela seguinte fornece os métodos de implementação desta actualização de segurança.

ProdutoActualizado automaticamenteNúmero de versão do motor
Windows Live OneCareSim (Actualizações Automáticas Windows Live OneCare)1.1.2101.0
Microsoft Antigen para Exchange 9.xSim (serviço de actualizações de segurança Forefront Server)0.1.8.53
Microsoft Antigen para SMTP Gateway 9.xSim (serviço de actualizações de segurança Forefront Server)0.1.8.53
Microsoft Windows DefenderSim (Microsoft Update)1.1.2101.0
Microsoft Windows Defender no Windows VistaSim (Microsoft Update)1.1.2101.0
Microsoft Windows Defender x64 EditionSim (Microsoft Update)1.1.2101.0
Microsoft Forefront Security para Exchange ServerSim (serviço de actualizações de segurança Forefront Server)0.1.8.53
Microsoft Forefront Security para SharePointSim (serviço de actualizações de segurança Forefront Server)0.1.8.53

Nota Se a sua versão do motor for igual ou superior ao número de versão do motor listado acima, não será afectado por esta vulnerabilidade e não precisa de executar qualquer acção.

Nota Os utilizadores que desactivaram as Actualizações Automáticas ou o Microsoft Update para o seu software de cliente Microsoft Antivirus terão de reactivar as Actualizações Automáticas ou actualizar o software de cliente Microsoft Antivirus manualmente para receber o motor Microsoft de Protecção contra Malware. Para actualizar o software de cliente Microsoft Antivirus manualmente, os utilizadores devem seguir a documentação de produto fornecida com o software afectado.

Nota Para o Microsoft Antigen e o Microsoft Forefront, o motor Microsoft é actualizado automaticamente. Para sistemas em que tenham sido feitas alterações à instalação predefinida, é possível efectuar actualizações manuais do motor através da ferramenta do administrador. Se o motor tiver sido desactivado, pode ser reactivado e de seguida actualizado imediatamente, clicando em “actualizar agora”. Para clientes que actualizem os motores utilizando o Microsoft Antigen Enterprise Manager, os utilizadores devem seleccionar Engine Update Redistribution Job e clicar em Run Now.

Nota As actualizações do Motor Microsoft de Protecção contra Malware para o Windows Defender são distribuídas durante o processo de actualização de assinatura normal do Windows Defender. Para mais informações sobre como utilizar os Windows Server Update Services (WSUS) para implementar as actualizações de definição do Windows Defender, consulte o Artigo 919772 da Base de Dados de Conhecimento da Microsoft.

Vulnerabilidade no Motor Microsoft de Protecção contra Malware - CVE-2006-5270:

Existe uma vulnerabilidade de execução remota de código no Motor Microsoft de Protecção contra Malware devido à forma como este analisa ficheiros PDF (Portable Document Format). Um intruso poderia explorar a vulnerabilidade construindo um ficheiro PDF especialmente concebido para o efeito que pudesse potencialmente permitir a execução remota de código quando o sistema informático visado recebesse esse ficheiro e o Motor Microsoft de Protecção contra Malware o analisasse.

Factores atenuantes para a Vulnerabilidade no Motor Microsoft de Protecção contra Malware - CVE-2006-5270:

Não identificámos quaisquer factores atenuantes para esta vulnerabilidade.

Soluções alternativas para a Vulnerabilidade no Motor Microsoft de Protecção contra Malware - CVE-2006-5270:

  • O Microsoft Forefront Security para Exchange Server, o Microsoft Forefront Security para SharePoint e o Microsoft Antigen suportam vários motores além do Motor Microsoft de Protecção contra Malware num único sistema. Se vários motores estiverem disponíveis num sistema afectado, os administradores podem desactivar o Motor Microsoft de Protecção contra Malware como solução alternativa, até que este possa ser actualizado. Antes de desactivar o Motor Microsoft de Protecção contra Malware, os administradores devem assegurar-se de que têm as assinaturas de vírus mais recentes instaladas para todos os motores de outras empresas.
  • Não identificámos quaisquer soluções alternativas para o Windows Live OneCare e Microsoft Windows Defender.

Perguntas mais frequentes sobre a Vulnerabilidade no Motor Microsoft de Protecção contra Malware - CVE-2006-5270:

Qual é a abrangência desta vulnerabilidade?
Existe uma vulnerabilidade de execução remota de código no Motor Microsoft de Protecção contra Malware devido à forma como este analisa ficheiros PDF (Portable Document Format). Um intruso poderia explorar a vulnerabilidade construindo um ficheiro PDF especialmente concebido para o efeito que pudesse potencialmente permitir a execução remota de código quando o sistema informático visado recebesse esse ficheiro e o Motor Microsoft de Protecção contra Malware o analisasse.

O que provoca a vulnerabilidade?
Uma sobrecarga total do Motor Microsoft de Protecção contra Malware ao processar um ficheiro PDF especialmente concebido para o efeito.

O que é o Motor Microsoft de Protecção contra Malware
O Motor Microsoft de Protecção contra Malware, mpengine.dll, fornece funcionalidades de análise, detecção e limpeza para os seguintes clientes anti-vírus e anti-spyware: Windows Live OneCare, Microsoft Forefront Security, Microsoft Antigen e Windows Defender.

Como poderia um intruso utilizar a vulnerabilidade?
Um intruso que conseguisse tirar partido desta vulnerabilidade com êxito poderia provocar a execução remota do código e assumir controlo total sobre o sistema afectado.

Quem poderia explorar a vulnerabilidade?
Qualquer utilizador anónimo que pudesse entregar um PDF especialmente concebido para o efeito a um sistema afectado poderia tentar explorar esta vulnerabilidade.

Como poderia um intruso explorar a vulnerabilidade?
Um intruso poderia tentar explorar a vulnerabilidade criando um anexo PDF especialmente concebido para o efeito e forçando o sistema afectado a processá-lo. Quando o Motor Microsoft de Protecção contra Malware no computador visado analisa automaticamente o PDF, este poderia fazer com que o sistema afectado executasse código arbitrário.

Por último, um intruso também poderia disponibilizar um PDF especialmente concebido para o efeito num Web site. Um intruso não conseguiria obrigar os utilizadores a visitarem um determinado Web site. Em vez disso, um intruso teria de persuadi-los a visitar o Web site, normalmente conseguindo que clicassem numa ligação que os levasse ao site do intruso.

Quais são os sistemas mais susceptíveis a esta vulnerabilidade?
Qualquer cliente Microsoft Antivirus que esteja a utilizar o Motor Microsoft de Protecção contra Malware e cujos filtros estejam configurados para permitir o processamento de ficheiros PDF está em risco.

O que faz a actualização?
A actualização remove a sobrecarga total modificando a forma como o Motor Microsoft de Protecção contra Malware valida o comprimento de dados no PDF antes de os passar para a memória intermédia atribuída.

Quando este boletim de segurança foi publicado, esta vulnerabilidade já tinha sido divulgada publicamente?
Não. A Microsoft recebeu informações sobre esta vulnerabilidade através de divulgação responsável. A Microsoft ainda não tinha recebido informações que indicassem que esta vulnerabilidade tivesse sido divulgada publicamente, quando este boletim de segurança foi publicado pela primeira vez. Este boletim de segurança resolve a vulnerabilidade e outras questões descobertas através de investigações internas.

Quando este boletim de segurança foi publicado, a Microsoft já tinha recebido relatórios de que esta vulnerabilidade estava a ser explorada?
Não. A Microsoft não tinha recebido quaisquer informações que indicassem que esta vulnerabilidade tivesse sido utilizada publicamente para atacar clientes e não tinha conhecimento de exemplos publicados de código para prova de conceito quando este boletim de segurança foi criado pela primeira vez.

Software Afectado:

Para obter mais informações sobre a actualização de segurança específica do software afectado, clique na ligação adequada:

Windows Live OneCare

Pré-requisitos
Esta actualização de segurança necessita do Windows Live OneCare.

Requisito de Reinício

Esta actualização não requer um reinício. O programa de instalação pára os serviços necessários, aplica a actualização e, em seguida, reinicia os serviços. Contudo, se não for possível interromper os serviços necessários por qualquer motivo, ou se os ficheiros necessários estiverem a ser utilizados, esta actualização vai requerer o reinício do computador. Se for esse o caso, será apresentada uma mensagem aconselhando-o a reiniciar.

Para mais informações sobre por que razão pode ser solicitada a sua confirmação para o reinício do seu computador, consulte o Artigo 887012 da Base de Dados de Conhecimento da Microsoft.

Informações de Remoção

Esta actualização não pode ser desinstalada quando é utilizado o Windows Live OneCare no Windows XP.

Esta actualização pode ser desinstalada quando é utilizado o Windows Live OneCare no Windows Vista.

Verificação da Instalação da Actualização

Para verificar se a actualização foi aplicada ao sistema afectado, siga os seguintes passos:

  1. Clique em Ajuda e depois em Acerca do Windows Live OneCare.
  2. Verifique o número da versão. Se a versão das definições de vírus e spyware for 1.1.2101.0 ou superior, a actualização foi instalada com sucesso.

Microsoft Antigen para Exchange 9.x

Pré-requisitos
Esta actualização de segurança requer o Microsoft Antigen para Exchange 9.x.

Requisito de Reinício

Esta actualização é automática e não necessita de um reinício.

O serviço de actualizações de segurança Forefront Server actualiza automaticamente o motor Microsoft Antivirus no Microsoft Antigen para Exchange Server. Contudo, em sistemas informáticos com o Microsoft Antigen em que os utilizadores tenham desactivado o motor Microsoft Antivirus, os utilizadores terão de reactivar o motor através da ferramenta do administrador. Depois de reactivado, o motor deve ser actualizado clicando em “actualizar agora”.

Informações de Remoção

Esta actualização não pode ser desinstalada.

Verificação da Instalação da Actualização

Para verificar se a actualização foi aplicada ao sistema afectado, siga os seguintes passos:

  1. Em Antigen Administrator, clique em Scanner Updates e depois em Microsoft Antivirus.
  2. Verifique o número da versão. Se o número de versão do motor Microsoft Antivirus for 0.1.8.53 ou superior, a actualização foi instalada com sucesso.

Para obter instruções de configuração de motores Microsoft Antigen, visite o seguinte Web site da Microsoft.

Microsoft Antigen para SMTP Gateway 9.x

Pré-requisitos
Esta actualização de segurança requer o Microsoft Antigen para SMTP Gateway 9.x.

Requisito de Reinício

Esta actualização é automática e não necessita de um reinício.

O serviço de actualizações de segurança Forefront Server actualiza automaticamente o motor Microsoft Antivirus no Microsoft Antigen para SMTP Gateway. Contudo, em sistemas informáticos com o Microsoft Antigen em que os utilizadores tenham desactivado o motor Microsoft Antivirus, os utilizadores terão de reactivar o motor através da ferramenta do administrador. Depois de reactivado, o motor deve ser actualizado clicando em “actualizar agora”.

Informações de Remoção

Esta actualização não pode ser desinstalada.

Verificação da Instalação da Actualização

Para verificar se a actualização foi aplicada ao sistema afectado, siga os seguintes passos:

  1. Em Antigen Administrator, clique em Scanner Updates e depois em Microsoft Antivirus.
  2. Verifique o número da versão. Se o número de versão do motor Microsoft Antivirus for 0.1.8.53 ou superior, a actualização foi instalada com sucesso.

Para obter instruções de configuração de motores Microsoft Antigen, visite o seguinte Web site da Microsoft.

Microsoft Windows Defender e Windows Defender no Windows Vista

Pré-requisitos
Esta actualização de segurança requer o Windows Defender.

Requisito de Reinício

Esta actualização não requer um reinício. O programa de instalação pára os serviços necessários, aplica a actualização e, em seguida, reinicia os serviços. Contudo, se não for possível interromper os serviços necessários por qualquer motivo, ou se os ficheiros necessários estiverem a ser utilizados, esta actualização vai requerer o reinício do computador. Se for esse o caso, será apresentada uma mensagem aconselhando-o a reiniciar.

Para mais informações sobre por que razão pode ser solicitada a sua confirmação para o reinício do seu computador, consulte o Artigo 887012 da Base de Dados de Conhecimento da Microsoft.

Informações de Remoção

Esta actualização não pode ser desinstalada do Windows XP ou Windows Server 2003.

Esta actualização pode ser desinstalada do Windows Vista.

Verificação da Instalação da Actualização

Para verificar se a actualização foi aplicada ao sistema afectado, siga os seguintes passos:

  1. Clique em Ajuda e depois em Acerca do Windows Defender.
  2. Verifique o número da versão. Se o número de versão do motor Microsoft Antivirus for 1.1.2101.0 ou superior, a actualização foi instalada com sucesso.

Microsoft Forefront Security para Exchange Server

Pré-requisitos
Esta actualização de segurança requer o Forefront Security para Exchange Server.

Requisito de Reinício

Esta actualização é automática e não necessita de um reinício.

O serviço de actualizações de segurança Forefront Server actualiza automaticamente o Motor Microsoft de Protecção contra Malware no Forefront Security para Exchange Server. Contudo, em sistemas informáticos com o Forefront Security para Exchange Server em que os utilizadores tenham desactivado o Motor Microsoft de Protecção contra Malware, os utilizadores terão de reactivar o motor através da ferramenta do administrador. Depois de reactivado, o motor deve ser actualizado clicando em “actualizar agora”.

Informações de Remoção

Esta actualização não pode ser desinstalada.

Verificação da Instalação da Actualização

Para verificar se a actualização foi aplicada ao sistema afectado, siga os seguintes passos:

  1. Em Forefront Administrator, clique em Scanner Updates e depois em Antimalware Engine.
  2. Verifique o número da versão. Se o número de versão do Motor Microsoft de Protecção contra Malware for 0.1.8.53 ou superior, a actualização foi instalada com sucesso.

Para obter instruções de configuração de motores Forefront Server Security para Exchange Server, visite o seguinte Web site da Microsoft.

Microsoft Forefront Security para SharePoint

Pré-requisitos
Esta actualização de segurança requer o Forefront Security para SharePoint.

Requisito de Reinício

Esta actualização é automática e não necessita de um reinício.

O serviço de actualizações de segurança Forefront Server actualiza automaticamente o Motor Microsoft de Protecção contra Malware no Forefront Security para SharePoint. Contudo, em sistemas informáticos com o Forefront Security para SharePoint em que os utilizadores tenham desactivado o Motor Microsoft de Protecção contra Malware, os utilizadores terão de reactivar o motor através da ferramenta do administrador. Depois de reactivado, o motor deve ser actualizado clicando em “actualizar agora”.

Informações de Remoção

Esta actualização não pode ser desinstalada.

Verificação da Instalação da Actualização

Para verificar se a actualização foi aplicada ao sistema afectado, siga os seguintes passos:

  1. Em Forefront Administrator, clique em Scanner Updates e depois em Microsoft Antimalware Engine.
  2. Verifique o número da versão. Se o número de versão do Motor Microsoft de Protecção contra Malware for 0.1.8.53 ou superior, a actualização foi instalada com sucesso.

Para obter instruções de configuração de motores Forefront Server Security para SharePoint, visite o seguinte Web site da Microsoft.

Outras informações

Agradecimentos

A Microsoft agradece às seguintes entidades por trabalharem connosco para proteger os clientes:

  • Neel Mehta e Alex Wheeler, da ISS X-Force, por fornecerem informações sobre a Vulnerabilidade no Motor Microsoft Antivirus (CVE-2006-5270).

Obter Outras Actualizações de Segurança:

Estão disponíveis actualizações para outras questões de segurança nas seguintes localizações:

Suporte:

  • Os clientes nos E.U.A. e no Canadá podem receber suporte técnico a partir do web site de Suporte Técnico da Microsoft em 1-866-PCSAFETY. As chamadas de suporte técnico associadas a actualizações de segurança são gratuitas.
  • Os clientes internacionais podem receber suporte das subsidiárias locais da Microsoft. O suporte técnico associado às actualizações de segurança é gratuito. Para mais informações sobre como contactar a Microsoft relativamente a questões de suporte, visite o Web site de Suporte Internacional.

Recursos de Segurança:

Software Update Services:

Utilizando os Microsoft Software Update Services (SUS) os administradores podem implementar rápida e eficazmente as mais recentes actualizações críticas e actualizações de segurança em servidores baseados no Windows 2000 e no Windows Server 2003, bem como em sistemas de computadores de secretária que executem o Windows 2000 Professional ou o Windows XP Professional.

Para obter mais informações sobre como implementar actualizações de segurança com os Software Update Services, visite o Web site dos Software Update Services.

Windows Server Update Services:

Ao utilizar os Windows Server Update Services (WSUS), os administradores podem rápida e fiavelmente implementar as actualizações críticas mais recentes e as actualizações de segurança para os sistemas operativos Windows 2000 e posteriores, Office XP e posteriores, Exchange Server 2003 e SQL Server 2000 até Windows 2000 e sistemas operativos posteriores.

Para mais informações sobre como implementar actualizações de segurança usando os Windows Server Update Services, visite o Web site dos Windows Server Update Services.

Systems Management Server:

O Microsoft Systems Management Server (SMS) fornece uma solução empresarial altamente configurável para gerir actualizações. O SMS permite aos administradores identificarem sistemas baseados no Windows que necessitem de actualizações de segurança e executar a implementação controlada dessas actualizações em toda a empresa, com um mínimo de incómodo para os utilizadores finais. Para mais informações sobre como os administradores podem utilizar o SMS 2003 para implementar actualizações, visite o Web site SMS 2003 Security Patch Management. Os utilizadores do SMS 2.0 também podem utilizar o Software Updates Service Feature Pack para ajudar na implementação das actualizações de segurança. Para obter informações sobre o SMS, visite o Web site do SMS.

Nota O SMS utiliza as ferramentas Microsoft Baseline Security Analyzer, Microsoft Office Detection Tool e Enterprise Update Scan Tool para fornecer um suporte abrangente na detecção e implementação de actualizações dos boletins de segurança. Algumas actualizações de software poderão não ser detectadas por estas ferramentas. Nestes casos, os administradores podem utilizar as capacidades de inventário do SMS para fornecer actualizações a sistemas específicos. Para mais informações sobre este procedimento, visite o seguinte Web site. Algumas actualizações de segurança requerem direitos administrativos após o reinício do sistema. Os administradores podem utilizar a ferramenta Elevated Rights Deployment Tool (disponível no SMS 2003 Administration Feature Pack e no SMS 2.0 Administration Feature Pack) para instalar estas actualizações.

Exclusão de garantia:

As informações fornecidas na Base de Dados de Conhecimento da Microsoft são fornecidas "tal como estão", sem garantias de qualquer tipo. A Microsoft exclui todas as garantias, sejam expressas ou implícitas, incluindo as garantias de comercialização e adequação a um fim específico. Em caso algum serão a Microsoft Corporation ou os seus fornecedores responsáveis por quaisquer prejuízos, incluindo prejuízos directos, indirectos, incidentais ou consequentes, extraordinários ou por perda de lucros negociais, ainda que a Microsoft Corporation, ou os seus fornecedores tenham sido notificados da possibilidade de ocorrência de tais prejuízos. A exclusão ou limitação de responsabilidade por prejuízos consequentes ou incidentais não é permitida em alguns estados ou jurisdições, pelo que a limitação supra poderá não ser aplicável.

Revisões:

  • V1.0 (13 de Fevereiro de 2007): Boletim publicado.
  • V1.1 (2 de Fevereiro de 2007): Boletim actualizado: Secção "Perguntas mais frequentes relativas a esta actualização de segurança" no "Resumo Executivo" do processo de actualização dos WSUS do Windows Defender.

Built at 2014-04-18T01:50:00Z-07:00

Mostrar: