Microsoft Security Bulletin MS07-054 - Importante

Vulnerabilidade no MSN Messenger e no Windows Live Messenger poderia permitir a Execução Remota de Código (942099)

Data de publicação: 11 de setembro de 2007 | Updated: 12 de setembro de 2007

actualizada: 1.1

Informações Gerais

Resumo Executivo

Esta actualização de segurança importante corrige uma vulnerabilidade divulgada publicamente no MSN Messenger e no Windows Live Messenger. A vulnerabilidade poderia permitir a execução remota de código se um utilizador aceitasse um convite de um intruso para participar numa conversação de vídeo. Um intruso que tirasse partido desta vulnerabilidade com êxito poderia controlar totalmente o sistema afectado. Os utilizadores cujas contas estão configuradas com menos direitos de utilização no sistema podem correr menos riscos do que os utilizadores que trabalham com direitos de utilização de administrador.

Os clientes que utilizam o MSN Messenger 7.0.0820 ou o Windows Live Messenger 8.1 não são afectados por esta vulnerabilidade. Para mais informações consulte a subsecção Software Afectado e Software Não Afectado, nesta secção.

Para mais informações sobre a vulnerabilidade, consulte a subsecção de Perguntas Mais Frequentes (FAQ) quanto à vulnerabilidade específica na secção seguinte, Informações sobre as vulnerabilidades.

Recomendação. A Microsoft recomenda que, na primeira oportunidade, os clientes que utilizam o MSN Messenger 6.2 e o MSN Messenger 7.0 no Microsoft Windows 2000 Service Pack 4 façam a actualização para o MSN Messenger 7.0.0820. Os clientes que utilizam outras plataformas suportadas do Windows que executam o MSN Messenger 6.2, MSN Messenger 7.0, MSN Messenger 7.5 ou Windows Live Messenger 8.0, devem fazer a actualização para o Windows Live Messenger 8.1 na primeira oportunidade.

Questões conhecidas. Nenhum

Software Afectado e Software Não Afectado

O software que se segue foi testado para determinar quais as versões ou edições afectadas. As outras versões ou edições são antigas, ultrapassaram o respectivo ciclo de vida de suporte ou não são afectadas.

Software Afectado

Sistema OperativoSoftwareImpacto de Segurança MáximoClassificação de Gravidade AgregadaBoletins substituídos por esta actualização
Microsoft Windows 2000 Service Pack 4 MSN Messenger 6.2
MSN Messenger 7.0
Execução Remota de CódigoImportanteNenhum
Windows XP Service Pack 2 MSN Messenger 6.2
MSN Messenger 7.0
MSN Messenger 7.5
Windows Live Messenger 8.0
Execução Remota de CódigoImportanteNenhum
Windows XP Professional x64 Edition MSN Messenger 6.2
MSN Messenger 7.0
MSN Messenger 7.5
Windows Live Messenger 8.0
Execução Remota de CódigoImportanteNenhum
Windows XP Professional x64 Edition Service Pack 2 MSN Messenger 6.2
MSN Messenger 7.0
MSN Messenger 7.5
Windows Live Messenger 8.0
Execução Remota de CódigoImportanteNenhum
Windows Server 2003 Service Pack 1 e Windows Server 2003 Service Pack 2 MSN Messenger 6.2
MSN Messenger 7.0
MSN Messenger 7.5
Windows Live Messenger 8.0
Execução Remota de CódigoImportanteNenhum
Windows Server 2003 x64 Edition MSN Messenger 6.2
MSN Messenger 7.0
MSN Messenger 7.5
Windows Live Messenger 8.0
Execução Remota de CódigoImportanteNenhum
Windows Server 2003 x64 Edition Service Pack 2 MSN Messenger 6.2
MSN Messenger 7.0
MSN Messenger 7.5
Windows Live Messenger 8.0
Execução Remota de CódigoImportanteNenhum
Windows Vista MSN Messenger 6.2
MSN Messenger 7.0
MSN Messenger 7.5
Windows Live Messenger 8.0
Execução Remota de CódigoImportanteNenhum
Windows Vista x64 Edition MSN Messenger 6.2
MSN Messenger 7.0
MSN Messenger 7.5
Windows Live Messenger 8.0
Execução Remota de CódigoImportanteNenhum

Software Não Afectado

Sistema OperativoSoftware
Microsoft Windows 2000 Service Pack 4MSN Messenger 7.0.0820
Windows XP Service Pack 2Windows Live Messenger 8.1
Windows XP Professional x64 EditionWindows Live Messenger 8.1
Windows XP Professional x64 Edition Service Pack 2Windows Live Messenger 8.1
Windows Server 2003 Service Pack 1 e Windows Server 2003 Service Pack 2Windows Live Messenger 8.1
Windows Server 2003 x64 EditionWindows Live Messenger 8.1
Windows Server 2003 x64 Edition Service Pack 2Windows Live Messenger 8.1
Windows VistaWindows Live Messenger 8.1
Windows Vista x64 EditionWindows Live Messenger 8.1

Como é que esta actualização será distribuída?  
Ao iniciar sessão no serviço MSN Messenger, o mecanismo de implementação de cliente no serviço MSN Messenger pedirá aos utilizadores do MSN Messenger 6.2 e MSN Messenger 7.0 em edições suportadas do sistema operativo Windows anteriores ao Windows XP para aceitarem a actualização para o MSN Messenger 7.0.0820.

Além disso, os utilizadores que pretendam transferir imediatamente a actualização para o MSN Messenger 7.0.0820, podem fazê-lo utilizando a hiperligação para o Centro de Transferências na tabela "Software Afectado". Tenha em conta que isto se aplica apenas a utilizadores do MSN Messenger 6.2 e MSN Messenger 7.0 em edições suportadas do Microsoft Windows 2000 Service Pack 4.

Ao iniciar sessão no serviço MSN Messenger ou no Windows Live Messenger, o mecanismo de implementação de cliente no serviço MSN Messenger ou Windows Live Messenger pedirá aos utilizadores do MSN Messenger 6.2, MSN Messenger 7.0, MSN Messenger 7.5 e Windows Live Messenger 8.0 em edições suportadas do Windows XP e posteriores para aceitarem a actualização para o Windows Live Messenger 8.1.

Além disso, os utilizadores que pretendam transferir imediatamente a actualização para o Windows Live Messenger 8.1, podem fazê-lo utilizando a hiperligação para o Centro de Transferências na tabela "Software Afectado". Tenha em conta que isto se aplica apenas a utilizadores do MSN Messenger 6.2, MSN Messenger 7.0, MSN Messenger 7.5 e Windows Live Messenger 8.0 em edições suportadas de plataformas posteriores ao Microsoft Windows 2000 Service Pack 4.

Caso contrário, os utilizadores de versões vulneráveis de clientes MSN Messenger ou Windows Live Messenger podem não ter autorização para se ligarem ao serviço MSN Messenger ou Windows Live Messenger.

Por que razão a Microsoft está a lançar esta actualização através do serviço MSN Messenger ou Windows Live Messenger, bem como através de transferências?  
Actualmente, a Microsoft lança actualizações para o MSN Messenger ou Windows Live Messenger utilizando o serviço MSN Messenger ou Windows Live Messenger, pois estes serviços online possuem o seu próprio mecanismo de implementação de cliente. No entanto, estão também disponíveis ligações para o Centro de Transferências para clientes específicos do MSN Messenger ou Windows Live Messenger que utilizam plataformas apresentadas na tabela "Software Afectado", pois os utilizadores poderão querer transferir as actualizações imediatamente.

Se se trata de uma actualização, como posso detectar se tenho uma versão vulnerável do MSN Messenger ou do Windows Live Messenger?  
Quando tenta iniciar sessão no serviço MSN Messenger ou Windows Live Messenger, o mecanismo de implementação de cliente determinará automaticamente a versão e plataforma actual do cliente e, se necessário, recomendará a actualização adequada. Além disso, poderá verificar a sua versão de cliente do MSN Messenger ou Windows Live Messenger clicando em Ajuda e depois em Acerca.

O que acontece se não fizer a actualização para o MSN Messenger 7.0.0820 ou Windows Live Messenger 8.1?  
Se não fizer a actualização para uma versão não afectada do cliente MSN Messenger ou Windows Live Messenger, dependendo da sua plataforma, será notificado para fazer a actualização a cada tentativa de início de sessão. Se não aceitar a actualização, pode não ser autorizado a aceder ao serviço MSN Messenger ou Windows Live Messenger. Consulte a tabela de software não afectado nesta secção para obter mais detalhes sobre plataformas e versões seguras de clientes MSN Messenger e Windows Live Messenger.

Existem outras aplicações de colaboração em tempo real da Microsoft, tais como o Windows Messenger ou o Office Communicator, afectadas por esta vulnerabilidade?  
Não. As outras aplicações de troca de mensagens não são afectadas, uma vez que não contêm o componente vulnerável.

Informações sobre as vulnerabilidades

Classificações da Gravidade da Vulnerabilidade e Impacto de Segurança Máximo por Software Afectado
Software AfectadoVulnerabilidade de Execução Remota de Código em Sessões de Conversação de Vídeo no MSN Messenger – CVE-2007-2931Classificação de Gravidade Agregada
MSN Messenger 6.2
MSN Messenger 7.0
MSN Messenger 7.5
Windows Live Messenger 8.0
Importante

Execução Remota de Código

Importante

Existe uma vulnerabilidade de execução remota de código no MSN Messenger 6.2, MSN Messenger 7.0, MSN Messenger 7.5 e Windows Live Messenger 8.0. A vulnerabilidade poderia permitir a execução remota de código se um utilizador aceitasse o convite de um intruso para participar numa conversação de vídeo. Um intruso que tirasse partido desta vulnerabilidade com êxito poderia controlar totalmente o sistema afectado. Os utilizadores cujas contas estão configuradas com menos direitos de utilização no sistema podem correr menos riscos do que os utilizadores que trabalham com direitos de utilização de administrador.

Para visualizar esta vulnerabilidade como uma entrada comum na lista de Vulnerabilidades e Exposições Comuns, consulte o boletim CVE-2007-2931.

Factores atenuantes para a vulnerabilidade de Execução Remota de Código em Sessões de Conversação de Vídeo no MSN Messenger – CVE-2007-2931

A atenuação refere-se a uma definição, uma configuração comum ou uma prática recomendada geral, que existe num estado predefinido, que poderia reduzir a gravidade da exploração de uma vulnerabilidade. Os seguintes factores atenuantes podem ser úteis para a sua situação:

  • Para explorar a vulnerabilidade, um intruso teria de persuadir um utilizador a aceitar um convite para uma conversação de vídeo numa mensagem do MSN Messenger ou do Windows Live Messenger. Um intruso não teria forma de obrigar os utilizadores a aceitarem o convite para uma conversação de vídeo. Em vez disso, um intruso teria de convencer os utilizadores a aceitarem o convite para uma conversação de vídeo.
  • Um intruso que explorasse com sucesso esta vulnerabilidade poderia obter os mesmos privilégios que o utilizador local. Os utilizadores cujas contas estão configuradas com menos direitos de utilização no sistema podem correr menos riscos do que os utilizadores que trabalham com direitos de utilização de administrador.
  • Os utilizadores do Windows Live Messenger 8.1, lançado em Janeiro de 2007, já estão protegidos contra esta vulnerabilidade. Os utilizadores do MSN Messenger 7.0.0820, lançado recentemente, também já estão protegidos contra esta vulnerabilidade.

Soluções alternativas para a vulnerabilidade de Execução Remota de Código em Sessões de Conversação de Vídeo no MSN Messenger – CVE-2007-2931

Uma solução alternativa refere-se a uma definição ou alteração de configuração que não corrige a vulnerabilidade subjacente, mas que ajudaria a bloquear vectores de ataque conhecidos antes de aplicar a actualização. A Microsoft testou as seguintes soluções alternativas e estados na discussão acerca de casos em que uma solução alternativa reduz a funcionalidade:

  • Bloqueie o tráfego do MSN Messenger ou Windows Live Messenger usando o ISA Server. Consulte o Artigo 925120 da Base de Dados de Conhecimento da Microsoft.

    Impacto da solução alternativa. Tal impede o tráfego de MSN Messenger ou Windows Live Messenger de entrar ou sair da sua empresa.

  • Bloqueie a selecção de portas de rede para o MSN Messenger ou Windows Live Messenger. Consulte o Artigo 927847 da Base de Dados de Conhecimento da Microsoft.

    Impacto da solução alternativa. Isto permite aos administradores impedir, de forma selectiva, conversações de vídeo, em vez de bloquear o tráfego do MSN Messenger ou Windows Live Messenger totalmente.

Perguntas frequentes para a vulnerabilidade de Execução Remota de Código em Sessões de Conversação de Vídeo no MSN Messenger – CVE-2007-2931

Qual é a abrangência desta vulnerabilidade?  
Esta é uma vulnerabilidade de execução remota de código. Um intruso que conseguisse tirar partido desta vulnerabilidade poderia obter o controlo total de um sistema afectado. Um intruso poderia então instalar programas, ver, alterar ou eliminar dados, ou ainda criar novas contas com todos os privilégios. Os utilizadores cujas contas estão configuradas com menos direitos de utilização no sistema podem correr menos riscos do que os utilizadores que trabalham com direitos de utilização de administrador.

O que provoca a vulnerabilidade?  
Existe uma vulnerabilidade na forma como o MSN Messenger ou o Windows Live Messenger processam sessões de conversação de vídeo especialmente concebidas para o efeito. Como resultado desta operação, a memória pode ficar corrompida de uma forma que pode permitir que um intruso execute código arbitrário no contexto de segurança do utilizador com sessão iniciada.

Como poderia um intruso utilizar a vulnerabilidade?  
Um intruso que conseguisse tirar partido desta vulnerabilidade poderia obter o controlo total de um sistema afectado. Um intruso poderia então instalar programas, ver, alterar ou eliminar dados, ou ainda criar novas contas com todos os privilégios. Os utilizadores cujas contas estão configuradas com menos direitos de utilização no sistema podem correr menos riscos do que os utilizadores que trabalham com direitos de utilização de administrador.

Como poderia um intruso explorar a vulnerabilidade?  
Um intruso poderia enviar um convite a um utilizador para se juntar a uma sessão de conversação de vídeo especialmente concebida para explorar esta vulnerabilidade. Contudo, um intruso não teria como obrigar os utilizadores a juntarem-se a uma sessão de conversação de vídeo. Em vez disso, um intruso teria de convencer os utilizadores a aceitarem o convite para uma conversação de vídeo.

Quais os sistemas mais susceptíveis face a esta vulnerabilidade?  
Para que ocorra qualquer acção nociva, esta vulnerabilidade requer que um utilizador tenha iniciado sessão no serviço MSN Messenger ou Windows Live Messenger e aceite um convite para uma conversação de vídeo. Por isso, qualquer sistema que utilize o MSN Messenger 6.2, MSN Messenger 7.0, MSN Messenger 7.5 ou Windows Live Messenger 8.0, tais como estações de trabalho ou servidores, está susceptível a esta vulnerabilidade.

O que faz a actualização?  
O MSN Messenger 7.0.0820 e o Windows Live Messenger 8.1 foram actualizados para gerir devidamente as sessões de conversação de vídeo.

Não utilizo câmaras Web. Tenho de implementar a actualização?  
Sim. Quando iniciar sessão, o serviço MSN Messenger ou Windows Live Messenger notificá-lo-á para fazer a actualização para o cliente MSN Messenger ou Windows Live Messenger adequado para a sua plataforma, caso não o tenha feito ainda.

Quando este boletim de segurança foi publicado, esta vulnerabilidade já tinha sido divulgada publicamente?  
Sim. Esta vulnerabilidade foi divulgada publicamente. Foi-lhe atribuído o número de Vulnerabilidade e Exposição Comum CVE-2007-2931.

Quando este boletim de segurança foi publicado, a Microsoft já tinha recebido relatórios indicando que esta vulnerabilidade estava a ser explorada?  
Não. Quando este boletim de segurança foi publicado pela primeira vez, a Microsoft tinha conhecimento de exemplos divulgados publicamente de código para prova de conceito, mas não tinha recebido quaisquer informações que indicassem que esta vulnerabilidade tivesse sido utilizada publicamente para atacar clientes.

Informação de actualização

Software Afectado

Para obter mais informações sobre a actualização de segurança específica do software afectado, clique na ligação adequada:

MSN Messenger (todas as versões) no Windows 2000

Tabela de referência

A tabela seguinte contém a informação para fazer a actualização para o MSN Messenger 7.0.0820:

Pré-requisitos MSN Messenger 6.2 no Microsoft Windows 2000 Service Pack 4
MSN Messenger 7.0 no Microsoft Windows 2000 Service Pack 4
Implementação Ao iniciar sessão no serviço MSN Messenger, aceite a solicitação para fazer a actualização para o MSN Messenger 7.0.0820.

Além disso, os utilizadores que pretendam transferir imediatamente a actualização para o MSN Messenger 7.0.0820, podem fazê-lo utilizando a hiperligação para o Centro de Transferências na tabela "Software Afectado". Tenha em conta que isto se aplica apenas a utilizadores do MSN Messenger 6.2 e MSN Messenger 7.0 em edições suportadas do Microsoft Windows 2000 Service Pack 4.
Requisito de Reinício Sim, pode ter de reiniciar o seu sistema após a actualização se, durante a actualização, existirem utilizadores com várias sessões do MSN Messenger activas no sistema
Informações de Remoção Utilize a ferramenta Adicionar ou Remover Programas, no Painel de Controlo
Verificação da Actualização No MSN Messenger, clique em Ajuda e depois em Acerca. Verifique se o número de versão é 7.0.0820.

MSN Messenger ou Windows Live Messenger (todas as versões) no Windows XP, Windows Server 2003 e Windows Vista

Tabela de referência

A tabela seguinte contém a informação para fazer a actualização para o Windows Live Messenger 8.1:

Pré-requisitos MSN Messenger 6.2 no Windows XP Service Pack 2
MSN Messenger 7.0 no Windows XP Service Pack 2
MSN Messenger 7.5 no Windows XP Service Pack 2
Windows Live Messenger 8.0 no Windows XP Service Pack 2
MSN Messenger 6.2 no Windows XP Professional x64 Edition
MSN Messenger 7.0 no Windows XP Professional x64 Edition
MSN Messenger 7.5 no Windows XP Professional x64 Edition
Windows Live Messenger 8.0 no Windows XP Professional x64 Edition
MSN Messenger 6.2 no Windows XP Professional x64 Edition Service Pack 2
MSN Messenger 7.0 no Windows XP Professional x64 Edition Service Pack 2
MSN Messenger 7.5 no Windows XP Professional x64 Edition Service Pack 2
Windows Live Messenger 8.0 no Windows XP Professional x64 Edition Service Pack 2
MSN Messenger 6.2 no Windows Server 2003 Service Pack 1 e Windows Server 2003 Service Pack 2
MSN Messenger 7.0 no Windows Server 2003 Service Pack 1 e Windows Server 2003 Service Pack 2
MSN Messenger 7.5 no Windows Server 2003 Service Pack 1 e Windows Server 2003 Service Pack 2
Windows Live Messenger 8.0 no Windows Server 2003 Service Pack 1 e Windows Server 2003 Service Pack 2
MSN Messenger 6.2 no Windows Server 2003 x64 Edition
MSN Messenger 7.0 no Windows Server 2003 x64 Edition
MSN Messenger 7.5 no Windows Server 2003 x64 Edition
Windows Live Messenger 8.0 no Windows Server 2003 x64 Edition
MSN Messenger 6.2 no Windows Server 2003 x64 Edition Service Pack 2
MSN Messenger 7.0 no Windows Server 2003 x64 Edition Service Pack 2
MSN Messenger 7.5 no Windows Server 2003 x64 Edition Service Pack 2
Windows Live Messenger 8.0 no Windows Server 2003 x64 Edition Service Pack 2
MSN Messenger 6.2 no Windows Vista
MSN Messenger 7.0 no Windows Vista
MSN Messenger 7.5 no Windows Vista
Windows Live Messenger 8.0 no Windows Vista
MSN Messenger 6.2 no Windows Vista x64 Edition
MSN Messenger 7.0 no Windows Vista x64 Edition
MSN Messenger 7.5 no Windows Vista x64 Edition
Windows Live Messenger 8.0 no Windows Vista x64 Edition
Implementação Ao iniciar sessão no MSN Messenger ou no Windows Live Messenger, aceite a solicitação para fazer a actualização para o Windows Live Messenger 8.1.

Além disso, os utilizadores que pretendam transferir imediatamente a actualização para o Windows Live Messenger 8.1, podem fazê-lo utilizando a hiperligação para o Centro de Transferências na tabela "Software Afectado". Tenha em conta que isto se aplica apenas a utilizadores do MSN Messenger 6.2, MSN Messenger 7.0, MSN Messenger 7.5 e Windows Live Messenger 8.0 em edições suportadas de plataformas posteriores ao Microsoft Windows 2000 Service Pack 4.
Requisito de Reinício Sim, pode ter de reiniciar o seu sistema após a actualização se, durante a actualização, existirem utilizadores com várias sessões do MSN Messenger ou do Windows Live Messenger activas no sistema
Informações de Remoção Utilize a ferramenta Adicionar ou Remover Programas, no Painel de Controlo
Verificação da Actualização No Windows Live Messenger, clique em Ajuda e depois em Acerca. Verifique se o número de versão é 8.1.0178.00.

Outras informações

Agradecimentos

A Microsoft agradece às seguintes entidades por trabalharem connosco para proteger os clientes:

  • Woo Shi, da team 509, por comunicar a Vulnerabilidade de Execução Remota de Código em Conversações de Vídeo no MSN Messenger – CVE-2007-2931

Assistência

  • Os clientes nos E.U.A. e no Canadá podem receber suporte técnico a partir do web site de Suporte Técnico da Microsoft em 1-866-PCSAFETY. As chamadas de suporte técnico associadas a actualizações de segurança são gratuitas.
  • Os clientes internacionais podem receber suporte das subsidiárias locais da Microsoft. O suporte técnico associado às actualizações de segurança é gratuito. Para mais informações sobre como contactar a Microsoft relativamente a questões de suporte, visite o Web site de Suporte Internacional.

Exclusão de garantia

As informações fornecidas na Base de Dados de Conhecimento da Microsoft são fornecidas "tal como estão", sem garantias de qualquer tipo. A Microsoft exclui todas as garantias, sejam expressas ou implícitas, incluindo as garantias de comercialização e adequação a um fim específico. Em caso algum serão a Microsoft Corporation ou os seus fornecedores responsáveis por quaisquer prejuízos, incluindo prejuízos directos, indirectos, incidentais ou consequentes, extraordinários ou por perda de lucros negociais, ainda que a Microsoft Corporation, ou os seus fornecedores tenham sido notificados da possibilidade de ocorrência de tais prejuízos. A exclusão ou limitação de responsabilidade por prejuízos consequentes ou incidentais não é permitida em alguns estados ou jurisdições, pelo que a limitação supra poderá não ser aplicável.

Revisões

  • V1.0 (11 de Setembro de 2007): Boletim publicado.
  • V1.1 (12 de Setembro de 2007): Ligações para o Centro de Transferências adicionadas à tabela "Software Afectado" para actualização para o Windows Live Messenger 8.1.

Built at 2014-04-18T01:50:00Z-07:00

Mostrar: