Artigo
03/19/2024

Boletim de Segurança

Microsoft Security Bulletin MS04-011 - Crítica

Atualização de segurança para o Microsoft Windows (835732)

Publicado: terça-feira, 13 de abril de 2004 | Atualizado: August 10, 2004

Versão: 2.1

Emitido: 13 de abril de 2004
Atualizado: August 10, 2004
Versão: 2.1

Resumo

Quem deve ler este documento: Clientes que usam o Microsoft® Windows®

Impacto da vulnerabilidade: Execução remota de código

Classificação de gravidade máxima: Crítica

Recomendação: Os clientes devem aplicar a atualização imediatamente.

Substituição da atualização de segurança: este boletim substitui várias atualizações de segurança anteriores. Consulte a seção de perguntas frequentes (FAQ) deste boletim para obter a lista completa.

Advertências: A atualização de segurança para o Windows NT Server 4.0 Terminal Server Edition Service Pack 6 requer, como pré-requisito, o pacote cumulativo de segurança (SRP) do Windows NT Server 4.0 Terminal Server Edition. Para baixar o SRP, visite o seguinte site. Você deve instalar o SRP antes de instalar a atualização de segurança fornecida neste boletim de segurança. Se você não estiver usando o Windows NT Server 4.0, Terminal Server Edition Service Pack 6, não é necessário instalar o SRP.

O Artigo 835732 Base de Dados de Conhecimento Microsoft documenta os problemas atualmente conhecidos que os clientes podem enfrentar ao instalar esta atualização de segurança. O artigo também documenta soluções recomendadas para esses problemas. Para obter mais informações, consulte o artigo 835732 da Base de Dados de Conhecimento Microsoft.

Locais de download de software testado e atualização de segurança:

Software afetado:

Microsoft Windows NT® Workstation 4.0 Service Pack 6a - Baixar a atualização
Microsoft Windows NT Server 4.0 Service Pack 6a - Baixar a atualização
Microsoft Windows NT Server 4.0 Terminal Server Edition Service Pack 6 - Baixar a atualização
Microsoft Windows 2000 Service Pack 2, Microsoft Windows 2000 Service Pack 3 e Microsoft Windows 2000 Service Pack 4 - Baixar a atualização
Microsoft Windows XP e Microsoft Windows XP Service Pack 1 - Baixar a atualização
Microsoft Windows XP 64-Bit Edition Service Pack 1 - Baixar a atualização
Microsoft Windows XP 64-Bit Edition Versão 2003 - Baixar a atualização
Microsoft Windows Server™ 2003 - Baixar a atualização
Microsoft Windows Server 2003 64-Bit Edition - Baixar a atualização
Microsoft NetMeeting
Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE) e Microsoft Windows Millennium Edition (ME) - Consulte a seção Perguntas frequentes deste boletim para obter detalhes sobre esses sistemas operacionais.

O software listado acima foi testado para determinar se as versões são afetadas. Outras versões não incluem mais suporte a atualizações de segurança ou podem não ser afetadas. Para determinar o ciclo de vida do suporte para seu produto e versão, visite o seguinte site do Ciclo de Vida do Suporte da Microsoft.

Informações Gerais

Detalhes técnicos

Resumo:

A Microsoft relançou este boletim em 15 de junho de 2004 para aconselhar sobre a disponibilidade de uma atualização atualizada do Windows NT 4.0 Workstation para o idioma chinês pan.

Esta atualização revisada corrige um problema de instalação que alguns clientes enfrentaram com a atualização original. Esse problema não está relacionado à vulnerabilidade de segurança discutida neste boletim. No entanto, esse problema causou alguns clientes dificuldade para instalar a atualização. Se você aplicou anteriormente esta atualização de segurança, ela precisa ser instalada para evitar possíveis problemas ao instalar atualizações de segurança futuras. Esse problema afeta apenas a versão de idioma chinês pan da atualização e somente as versões da atualização estão sendo relançadas. Outras versões de idioma desta atualização não são afetadas e não estão sendo relançadas.

Esta atualização resolve várias vulnerabilidades recém-descobertas. Cada vulnerabilidade está documentada neste boletim em sua própria seção.

Um invasor que explorar com êxito a mais grave dessas vulnerabilidades poderá assumir o controle total de um sistema afetado, incluindo a instalação de programas; visualizar, alterar ou excluir dados; ou criar novas contas que tenham privilégios completos.

A Microsoft recomenda que os clientes apliquem a atualização imediatamente.

Classificações de gravidade e identificadores de vulnerabilidade:

Identificadores de vulnerabilidade	Impacto da vulnerabilidade	Janelas 98, 98 SE, ME	Windows NT 4.0	Windows 2000	Windows XP	Windows Server 2003
Vulnerabilidade LSASS - CAN-2003-0533	Execução remota de código	Nenhum	Nenhum	Crítico	Crítico	Baixo
Vulnerabilidade LDAP - CAN-2003-0663	Negação de Serviço	Nenhum	Nenhum	Importante	Nenhum	Nenhum
Vulnerabilidade de PCT - CAN-2003-0719	Execução remota de código	Nenhum	Crítico	Crítico	Importante	Baixo
Vulnerabilidade de Winlogon - CAN-2003-0806	Execução remota de código	Nenhum	Moderado	Moderado	Moderado	Nenhum
Vulnerabilidade de metarquivo - CAN-2003-0906	Execução remota de código	Nenhum	Crítico	Crítico	Crítico	Nenhum
Vulnerabilidade no Centro de Ajuda e Suporte - CAN-2003-0907	Execução remota de código	Nenhum	Nenhum	Nenhum	Crítico	Crítico
Vulnerabilidade do Gerenciador de utilitários - CAN-2003-0908	Elevação de privilégio	Nenhum	Nenhum	Importante	Nenhum	Nenhum
Vulnerabilidade de gerenciamento do Windows - CAN-2003-0909	Elevação de privilégio	Nenhum	Nenhum	Nenhum	Importante	Nenhum
Vulnerabilidade de tabela de descritor local - CAN-2003-0910	Elevação de privilégio	Nenhum	Importante	Importante	Nenhum	Nenhum
Vulnerabilidade H.323* - CAN-2004-0117	Execução remota de código	Não crítico	Nenhum	Importante	Importante	Importante
Vulnerabilidade de máquina virtual DOS - CAN-2004-0118	Elevação de privilégio	Nenhum	Importante	Importante	Nenhum	Nenhum
Vulnerabilidade de SSP de negociação - CAN-2004-0119	Execução remota de código	Nenhum	Nenhum	Crítico	Crítico	Crítico
Vulnerabilidade de SSL - CAN-2004-0120	Negação de Serviço	Nenhum	Nenhum	Importante	Importante	Importante
Vulnerabilidade "Double Free" do ASN.1 - CAN-2004-0123	Execução remota de código	Não crítico	Crítico	Crítico	Crítico	Crítico
Gravidade agregada de todas as vulnerabilidades		Não crítico	Crítico	Crítico	Crítico	Crítico

*Observação A classificação de gravidade da vulnerabilidade H.323 - CAN-2004-0117 é importante para a versão autônoma do NetMeeting. Para transferir uma versão actualizada do NetMeeting que resolve esta vulnerabilidade, visite o seguinte Web site. Esta versão do NetMeeting pode ser instalada em todos os sistemas que executam o Windows 98, Windows 98 Second Edition, Windows Millennium Edition e Windows NT 4.0. A versão actualizada do NetMeeting que resolve esta vulnerabilidade é a versão 3.01 (4.4.3399).

A avaliação acima é baseada nos tipos de sistemas que são afetados pela vulnerabilidade, seus padrões de implantação típicos e o efeito que a exploração da vulnerabilidade teria sobre eles.

Por que a Microsoft relançou este boletim?
A Microsoft relançou este boletim em 15 de junho de 2004 para aconselhar sobre a disponibilidade de uma atualização atualizada do Windows NT 4.0 Workstation para o idioma chinês pan.

Por que esta atualização elimina várias vulnerabilidades de segurança relatadas?
Esta atualização contém suporte para várias vulnerabilidades porque as modificações necessárias para resolver esses problemas estão localizadas em arquivos relacionados. Em vez de ter que instalar várias atualizações que contêm arquivos quase idênticos, os clientes podem instalar apenas essa atualização.

Quais atualizações esta versão substitui?
Esta atualização de segurança substitui vários boletins de segurança anteriores. Os IDs dos boletins de segurança e os sistemas operacionais afetados estão listados na tabela abaixo.

ID do boletim	Windows NT 4.0	Windows 2000	Windows XP	Windows Server 2003
MS99-023	Replaced	Não Aplicável	Não Aplicável	Não Aplicável
MS00-027	Não substituído	Replaced	Não Aplicável	Não Aplicável
MS00-032	Não Aplicável	Replaced	Não Aplicável	Não Aplicável
MS00-070	Não substituído	Replaced	Não Aplicável	Não Aplicável
MS02-050	Replaced	Não substituído	Não substituído	Não Aplicável
MS02-051	Não Aplicável	Replaced	Não substituído	Não Aplicável
MS02-071	Replaced	Replaced	Não substituído	Não Aplicável
MS03-007	Não substituído	Replaced	Não substituído	Não Aplicável
MS03-013	Replaced	Replaced	Não substituído	Não Aplicável
MS03-025	Não Aplicável	Replaced	Não Aplicável	Não Aplicável
MS03-041	Replaced	Não substituído	Não substituído	Não substituído
MS03-045	Replaced	Replaced	Não substituído	Não substituído
MS04-007	Replaced	Replaced	Replaced	Replaced

Esta atualização é uma Atualização de Segurança Cumulativa ou um Pacote Cumulativo de Atualizações de Segurança?
Nenhum. Uma Atualização de Segurança Cumulativa normalmente incluiria suporte para todas as atualizações anteriores. Esta atualização não inclui suporte para todas as atualizações anteriores em todos os sistemas operacionais.

Um Pacote Cumulativo de Atualizações de Segurança é normalmente usado para combinar versões anteriores em uma única atualização para permitir uma instalação mais fácil e um download mais rápido. Os pacotes cumulativos de atualizações de segurança normalmente não incluem modificações para resolver novas vulnerabilidades; esta atualização faz.

Como o suporte estendido para Windows 98, Windows 98 Second Edition e Windows Millennium Edition afeta o lançamento de atualizações de segurança para esses sistemas operacionais?
A Microsoft só lançará atualizações de segurança para problemas críticos de segurança. Problemas de segurança não críticos não são oferecidos durante esse período de suporte. Para obter mais informações sobre as políticas de ciclo de vida de suporte da Microsoft para esses sistemas operacionais, visite o seguinte site.

Para obter mais informações sobre classificações de gravidade, visite o seguinte site.

O Windows 98, o Windows 98 Second Edition ou o Windows Millennium Edition são afetados criticamente por alguma das vulnerabilidades abordadas neste boletim de segurança?
Não. Nenhuma dessas vulnerabilidades é crítica em gravidade no Windows 98, no Windows 98 Second Edition ou no Windows Millennium Edition.

Esta actualização contém outras alterações à funcionalidade?
Sim. Além das alterações listadas em cada uma das seções de detalhes da vulnerabilidade deste boletim, esta atualização inclui a seguinte alteração na funcionalidade: os arquivos que terminam com a extensão de nome de arquivo ".folder" não estão mais associados a um diretório. Os arquivos que têm essa extensão ainda são suportados pelo sistema operacional afetado. No entanto, esses arquivos não aparecerão mais como um diretório no Windows Explorer e em outros programas.

Posso usar o MBSA (Microsoft Baseline Security Analyzer) para determinar se essa atualização é necessária?
Sim. O MBSA determinará se essa atualização é necessária. No entanto, o MBSA atualmente não oferece suporte à versão autônoma do NetMeeting para detecção. O MBSA não oferecerá a atualização necessária para a versão autônoma do NetMeeting se ele tiver sido instalado em sistemas Windows NT 4.0. Para baixar a versão autônoma atualizada do NetMeeting que aborda a vulnerabilidade H.323 (CAN-2004-0117), visite o seguinte site. O MBSA detecta se a atualização para a vulnerabilidade H.323 (CAN-2004-0117) é necessária para a versão do NetMeeting fornecida como parte do Windows 2000, Windows XP ou Windows Server 2003.

Para obter mais informações sobre a vulnerabilidade H.323 (CAN-2004-0117), consulte a seção de detalhes da vulnerabilidade deste boletim. Para obter mais informações sobre o MBSA, visite o site do MBSA. Para obter mais informações sobre as limitações de detecção do MBSA, consulte o artigo 306460 (em inglês) da Microsoft Knowledge Base.

Como isso mudou em relação ao lançamento inicial do boletim?
Quando o boletim foi lançado em 13 de abril de 2004, a detecção do MBSA para esta atualização de segurança foi desabilitada para o Windows NT 4.0 devido à falta de suporte de detecção para a versão autônoma do NetMeeting descrita anteriormente neste boletim. Isso mudou em 21 de abril de 2004. O MBSA agora detectará se esta atualização de segurança é necessária para o Windows NT 4.0, mesmo que essa limitação exista.

Posso usar o Systems Management Server (SMS) para determinar se essa atualização é necessária?
Sim. O SMS pode ajudar a detectar e implantar esta atualização de segurança. Para obter informações sobre o SMS, visite o site do SMS. O SMS usa o MBSA para detecção; portanto, o SMS tem a mesma limitação listada anteriormente neste boletim relacionada à versão autônoma do NetMeeting.

Posso usar o Systems Management Server (SMS) para determinar se a versão autônoma do NetMeeting foi instalada em sistemas Windows NT 4.0?
Sim. O SMS pode ajudar a detectar se a versão autônoma atualizada do NetMeeting é necessária para sistemas Windows NT 4.0. O SMS pode procurar a presença do arquivo "Conf.exe". Todas as versões anteriores à versão 3.01 (4.4.3399) devem ser atualizadas.

Detalhes da vulnerabilidade

Vulnerabilidade LSASS - CAN-2003-0533:

Existe uma vulnerabilidade de saturação de buffer no LSASS que pode permitir a execução remota de código em um sistema afetado. O invasor que explorar com êxito essa vulnerabilidade poderá assumir o controle total do sistema afetado.

Fatores atenuantes da vulnerabilidade do LSASS - CAN-2003-0533:

Somente o Windows 2000 e o Windows XP podem ser atacados remotamente por um usuário anônimo. Embora o Windows Server 2003 e o Windows XP 64-Bit Edition Versão 2003 contenham a vulnerabilidade, somente um administrador local poderia explorá-la.
Windows NT 4.0 não é afectado por esta vulnerabilidade.
As práticas recomendadas de firewall e as configurações padrão de firewall podem ajudar a proteger as redes contra ataques que se originam fora do perímetro da empresa. As práticas recomendadas recomendam que os sistemas conectados à Internet tenham um número mínimo de portas expostas.

Soluções alternativas para a vulnerabilidade do LSASS - CAN-2003-0533:

A Microsoft testou as seguintes soluções alternativas. Embora essas soluções alternativas não corrijam a vulnerabilidade subjacente, elas ajudam a bloquear vetores de ataque conhecidos. Quando uma solução alternativa reduz a funcionalidade, ela é identificada abaixo.

Crie um arquivo chamado %systemroot%\debug\dcpromo.log e torne o arquivo somente leitura. Para fazer isso, digite o seguinte comando:

echo dcpromo >%systemroot%\debug\dcpromo.log & attrib +r %systemroot%\debug\dcpromo.log

Observação Essa é a técnica de mitigação mais eficaz, pois atenua completamente essa vulnerabilidade, fazendo com que o código vulnerável nunca seja executado. Essa solução alternativa funcionará para pacotes enviados para qualquer porta vulnerável.
Use um firewall pessoal, como o Firewall de Conexão com a Internet, incluído no Windows XP e noWindows Server 2003.

Se você usar o recurso Firewall de Conexão com a Internet no Windows XP ou no Windows Server 2003 para ajudar a proteger sua conexão com a Internet, ele bloqueará o tráfego de entrada não solicitado por padrão. A Microsoft recomenda o bloqueio de todas as comunicações de entrada não solicitadas da Internet.

Para activar a funcionalidade Firewall de ligação à Internet utilizando o Assistente de configuração de rede, siga estes passos:
1. Clique em Iniciar e em Painel de Controle.
2. Na Vista de Categoria predefinida, clique em Ligações de Rede e Internet e, em seguida, clique em Configurar ou alterar a rede doméstica ou de pequena empresa. O recurso Firewall de Conexão com a Internet é habilitado quando você seleciona uma configuração no Assistente para Configuração de Rede que indica que o sistema está conectado diretamente à Internet.
Para configurar o firewall de conexão com a Internet manualmente para uma conexão, execute estas etapas:
1. Clique em Iniciar e em Painel de Controle.
2. Na Vista de Categoria predefinida, clique em Ligações de Rede e Internet e, em seguida, clique em Ligações de Rede.
3. Clique com o botão direito do mouse na conexão na qual você deseja habilitar o Firewall de Conexão com a Internet e clique em Propriedades.
4. Clique na guia Avançado.
5. Clique para seleccionar a caixa de verificação Proteger o meu computador ou rede limitando ou impedindo o acesso a este computador a partir da Internet e, em seguida, clique em OK .
Observação Se desejar habilitar o uso de alguns programas e serviços por meio do firewall, clique em Configurações na guia Avançado e selecione os programas, protocolos e serviços necessários.
Bloqueie o seguinte no firewall:
- Portas UDP 135, 137, 138 e 445 e portas TCP 135, 139, 445 e 593
- Todo o tráfego de entrada não solicitado em portas superiores a 1024
- Qualquer outra porta RPC especificamente configurada
Essas portas são usadas para iniciar uma conexão com RPC. Bloqueá-los no firewall ajudará a impedir que os sistemas que estão atrás desse firewall tentem explorar essa vulnerabilidade. Além disso, certifique-se de bloquear qualquer outra porta RPC especificamente configurada no sistema remoto. A Microsoft recomenda que você bloqueie todas as comunicações de entrada não solicitadas da Internet para ajudar a evitar ataques que possam usar outras portas. Para obter mais informações sobre as portas que RPC usa, visite o seguinte site.
Habilite a filtragem avançada de TCP/IP em sistemas que oferecem suporte a esse recurso.

Você pode habilitar a filtragem TCP/IP avançada para bloquear todo o tráfego de entrada não solicitado. Para obter mais informações sobre como configurar a filtragem TCP/IP, consulte o artigo 309798 da Base de Dados de Conhecimento Microsoft.
Bloqueie as portas afetadas usando IPSec nos sistemas afetados.

Use o protocolo IPSec para ajudar a proteger as comunicações de rede. Informações detalhadas sobre IPSec e como aplicar filtros estão disponíveis nos artigos 313190 e 813878 da Base de Dados de Conhecimento Microsoft.

Perguntas frequentes sobre a vulnerabilidade do LSASS - CAN-2003-0533:

Qual é a abrangência da vulnerabilidade?
Esta é uma vulnerabilidade de saturação de buffer. Um intruso que conseguisse tirar partido desta vulnerabilidade poderia assumir remotamente o controlo total de um sistema afectado, incluindo a instalação de programas; visualizar, alterar ou excluir dados; ou criar novas contas que tenham privilégios completos.

O que causa a vulnerabilidade?
Um buffer não verificado no serviço LSASS.

O que é LSASS?
O LSASS (Local Security Authority Subsystem Service) fornece uma interface para gerenciar a segurança local, a autenticação de domínio e os processos do Active Directory. Ele lida com a autenticação para o cliente e para o servidor. Ele também contém recursos que são usados para oferecer suporte a utilitários do Active Directory.

Para que um invasor pode usar a vulnerabilidade?
O invasor que explorar com êxito essa vulnerabilidade poderá assumir o controle total do sistema afetado.

Quem poderia explorar a vulnerabilidade?
No Windows 2000 e no Windows XP, qualquer usuário anônimo que pudesse entregar uma mensagem especialmente criada ao sistema afetado poderia tentar explorar essa vulnerabilidade.

Como um invasor pode explorar essa vulnerabilidade?
Um invasor pode explorar a vulnerabilidade criando uma mensagem especialmente criada e enviando a mensagem para um sistema afetado, o que pode fazer com que o sistema afetado execute código.

Um invasor também pode acessar o componente afetado por meio de outro vetor. Por exemplo, um invasor pode fazer logon no sistema interativamente ou usando outro programa que passe parâmetros para o componente vulnerável (local ou remotamente).

Quais são os sistemas que mais correm risco com a vulnerabilidade?
O Windows 2000 e o Windows XP são os que mais correm risco com esta vulnerabilidade.

O Windows Server 2003 e o Windows XP 64-Bit Edition Versão 2003 fornecem proteção adicional que exigiria que um administrador fizesse logon localmente em um sistema afetado para explorar essa vulnerabilidade.

O que a atualização faz?
A atualização elimina a vulnerabilidade modificando a maneira como o LSASS valida o comprimento de uma mensagem antes de passá-la para o buffer alocado.

Esta atualização também remove o código vulnerável do Windows 2000 Professional e do Windows XP porque esses sistemas operacionais não exigem a interface vulnerável. Isso ajuda a proteger contra possíveis vulnerabilidades futuras neste serviço.

Vulnerabilidade LDAP - CAN-2003-0663:

Existe uma vulnerabilidade de negação de serviço que pode permitir que um invasor envie uma mensagem LDAP especialmente criada para um controlador de domínio do Windows 2000. Um invasor pode fazer com que o serviço responsável por autenticar usuários em um domínio do Active Directory pare de responder.

Fatores atenuantes da vulnerabilidade LDAP - CAN-2003-0663:

Para explorar esta vulnerabilidade, um intruso teria de enviar uma mensagem LDAP especialmente concebida para o efeito para o controlador de domínio. Se as portas LDAP não estiverem bloqueadas por um firewall, um invasor não precisará de privilégios adicionais para explorar essa vulnerabilidade.
Esta vulnerabilidade afeta apenas controladores de domínio do Windows 2000 Server; Os controladores de domínio do Windows Server 2003 não são afetados.
O Windows NT 4.0 e o Windows XP não são afetados por esta vulnerabilidade.
Se um invasor explorar com êxito essa vulnerabilidade, o sistema afetado poderá exibir um aviso de que será reiniciado automaticamente após uma contagem regressiva de 60 segundos. Ao final dessa contagem regressiva de 60 segundos, o sistema afetado seria reiniciado automaticamente. Após a reinicialização, o sistema afetado seria restaurado para a funcionalidade normal. No entanto, o sistema afetado pode ser suscetível a um novo ataque de negação de serviço, a menos que a atualização seja aplicada.
As práticas recomendadas de firewall e as configurações padrão de firewall podem ajudar a proteger as redes contra ataques originados fora do perímetro da empresa. As práticas recomendadas recomendam que os sistemas conectados à Internet tenham um número mínimo de portas expostas.

Soluções alternativas para a vulnerabilidade LDAP - CAN-2003-0663:

Bloqueie as portas TCP LDAP 389, 636, 3268 e 3269 no firewall.

Essas portas são usadas para iniciar uma conexão LDAP com um controlador de domínio do Windows 2000. Bloqueá-los no firewall ajudará a impedir que os sistemas que estão atrás desse firewall tentem explorar essa vulnerabilidade originada fora do perímetro da empresa. Embora outras portas possam ser usadas para explorar essa vulnerabilidade, as portas listadas são os vetores de ataque mais comuns. A Microsoft recomenda o bloqueio de todas as comunicações de entrada não solicitadas da Internet para ajudar a evitar ataques que possam usar outras portas.

Impacto da solução alternativa: a autenticação de domínio do Active Directory não será possível em uma conexão de rede em que essas portas estejam bloqueadas.

Perguntas frequentes sobre a vulnerabilidade LDAP - CAN-2003-0663:

Qual é a abrangência da vulnerabilidade?

Esta é uma vulnerabilidade de negação de serviço . Um intruso que explorasse esta vulnerabilidade poderia fazer com que o servidor fosse reiniciado automaticamente e, durante esse período, impedir que o servidor respondesse a pedidos de autenticação. Esta vulnerabilidade existe em sistemas Windows 2000 Server que desempenham a função de controlador de domínio. O único efeito em outros sistemas Windows 2000 é que os clientes podem não ser capazes de fazer logon no domínio se o controlador de domínio pára de responder.

O que causa a vulnerabilidade?

O processamento de mensagens LDAP especialmente criadas pelo Local Security Authority Subsystem Service (LSASS).

O que é LDAP?

O LDAP (Lightweight Directory Access Protocol) é um protocolo padrão do setor que permite que usuários autorizados consultem ou modifiquem os dados em um metadiretório. Por exemplo, no Windows 2000, LDAP é um protocolo que é usado para acessar dados no Active Directory.

O que há de errado com a maneira como as mensagens LDAP especialmente criadas são tratadas?

Um invasor pode enviar uma mensagem LDAP especialmente criada para o serviço LSASS e fazer com que ele pare de responder.

O que é LSASS?

O LSASS (Local Security Authority Subsystem Service) fornece uma interface para gerenciar a segurança local, a autenticação de domínio e os processos do Active Directory. Ele lida com a autenticação para o cliente e para o servidor. Ele também contém recursos que são usados para oferecer suporte a utilitários do Active Directory.

Para que um invasor pode usar a vulnerabilidade?

Um intruso que explorasse esta vulnerabilidade poderia fazer com que o LSASS deixasse de responder e o sistema afectado fosse reiniciado. O sistema afetado pode exibir um aviso de que seria reiniciado automaticamente após uma contagem regressiva de 60 segundos. Durante essa contagem regressiva de 60 segundos, a autenticação local no console do sistema afetado e a autenticação de domínio do usuário com o sistema afetado não seriam possíveis. Ao final dessa contagem regressiva de 60 segundos, o sistema afetado seria reiniciado automaticamente. Se os usuários não puderem executar a autenticação de domínio com o sistema afetado, talvez não consigam acessar os recursos do domínio. Após a reinicialização, o sistema afetado seria restaurado para a funcionalidade normal. No entanto, ele pode ser suscetível a um novo ataque de negação de serviço, a menos que a atualização seja aplicada.

Quem poderia explorar a vulnerabilidade?

Qualquer usuário anônimo que pudesse entregar a mensagem LDAP especialmente criada ao sistema afetado poderia explorar essa vulnerabilidade.

Como um invasor pode explorar a vulnerabilidade?

Um invasor pode explorar essa vulnerabilidade enviando uma mensagem LDAP especialmente criada para os controladores de domínio em uma única floresta ou em várias florestas, potencialmente causando uma negação de serviço à autenticação de domínio em toda a empresa. Isso pode fazer com que o LSASS pare de responder e fazer com que o sistema afetado seja reiniciado. Um invasor não precisa ter uma conta de usuário válida no domínio para enviar essa mensagem LDAP especialmente criada. Esse ataque pode ser realizado usando acesso anônimo.

Quais são os sistemas que mais correm risco com a vulnerabilidade?

Somente controladores de domínio do Windows 2000 são vulneráveis.

Estou executando o Windows 2000. Quais sistemas preciso atualizar?

A atualização para resolver essa vulnerabilidade deve ser instalada em sistemas usados como controladores de domínio do Windows 2000. No entanto, a atualização pode ser instalada com segurança em servidores Windows 2000 em outras funções. A Microsoft recomenda que você instale essa atualização em sistemas que podem ser promovidos a controladores de domínio no futuro.

O que a atualização faz?

A atualização elimina a vulnerabilidade modificando a maneira como o LSASS processa a mensagem LDAP especialmente criada.

Vulnerabilidade de PCT - CAN-2003-0719:

Existe uma vulnerabilidade de saturação de buffer no protocolo PCT (Private Communications Transport), que faz parte da biblioteca SSL (Secure Sockets Layer) da Microsoft. Somente os sistemas que têm SSL habilitado e, em alguns casos, controladores de domínio do Windows 2000 são vulneráveis. O invasor que explorar com êxito essa vulnerabilidade poderá assumir o controle total de um sistema afetado.

Fatores atenuantes da vulnerabilidade PCT - CAN-2003-0719:

Somente os sistemas que habilitaram o SSL são afetados, normalmente apenas os sistemas de servidor. O suporte a SSL não está habilitado por padrão em nenhum dos sistemas afetados. No entanto, o SSL é geralmente usado em servidores Web para oferecer suporte a programas de comércio eletrônico, serviços bancários on-line e outros programas que exigem comunicações seguras.
O Windows Server 2003 só estará vulnerável a esse problema se um administrador tiver habilitado manualmente o PCT (mesmo que o SSL tenha sido habilitado).
Em algumas situações, os recursos de publicação na Web do ISA Server 2000 ou Proxy Server 2.0 podem bloquear com êxito as tentativas de explorar essa vulnerabilidade. O teste mostrou que os recursos de publicação na Web do ISA Server 2000, com a Filtragem de Pacotes habilitada e todas as opções de Filtragem de Pacotes selecionadas, podem bloquear com êxito esse ataque sem efeitos colaterais perceptíveis. O Proxy Server 2.0 também bloqueia com êxito esse ataque. No entanto, até que a atualização de segurança seja aplicada no sistema Proxy Server 2.0, esse ataque faz com que os serviços Web do Proxy Server 2.0 parem de responder e o sistema deve ser reiniciado.
As práticas recomendadas de firewall e as configurações padrão de firewall podem ajudar a proteger as redes contra ataques que se originam fora do perímetro da empresa. As práticas recomendadas recomendam que os sistemas conectados à Internet tenham um número mínimo de portas expostas.

Soluções alternativas para a vulnerabilidade de PCT - CAN-2003-0719:

Desativar o suporte a PCT por meio do registro

Esta solução alternativa está totalmente documentada no Artigo 187498 da Base de Dados de Conhecimento Microsoft. Este artigo é resumido abaixo.

As etapas a seguir demonstram como desabilitar o protocolo PCT 1.0 que impede que o sistema afetado negocie seu uso.

Observação Usar o Editor do Registro incorretamente pode causar problemas sérios que podem exigir a reinstalação do sistema operacional. A Microsoft não garante que problemas resultantes do uso incorreto do Editor do Registro possam ser solucionados. Use o Editor do Registro por sua conta e risco.

Para obter informações sobre como editar o Registro, consulte o tópico da Ajuda "Alterando chaves e valores" no Editor do Registro (Regedit.exe) ou os tópicos da Ajuda "Adicionar e excluir informações no Registro" e "Editar dados do Registro" no Regedt32.exe.

Observação É uma boa ideia fazer backup do registro antes de editá-lo.
1. Clique em Iniciar , clique em Executar , digite "regedt32" (sem as aspas) e, em seguida, clique em OK .
2. No Editor do Registro, localize a seguinte chave de registro:
  
  HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\PCT 1.0\Server
3. No menu Editar, clique em Adicionar Valor para criar um novo valor de REG_DWORD chamado "Habilitado" na subchave Servidor.
4. Na lista Tipo de Dados, clique em REG_DWORD.
5. Na caixa de texto Nome do valor, digite "Habilitado" (sem as aspas) e clique em OK.
  
  Observação Se esse valor já estiver presente, clique duas vezes no valor para editar seu valor atual e vá para a etapa 6.
6. No Editor binário, defina o novo valor de chaves como igual a 0 digitando a seguinte cadeia de caracteres: 00000000.
7. Clique em OK e, em seguida, reinicie o sistema.
  
  Observação Para habilitar o PCT, altere o valor da chave do Registro habilitada para 00000001 e reinicie o sistema.
  
  Observação Se você estiver usando o Windows XP RTM, você também deve criar uma segunda chave do Registro para desabilitar totalmente o PCT. Isso não é necessário em versões posteriores do Windows XP ou outros sistemas operacionais afetados. Use as instruções fornecidas anteriormente e crie um segundo valor REG_DWORD chamado "Client". Use os mesmos valores documentados anteriormente.

Perguntas frequentes sobre a vulnerabilidade de PCT - CAN-2003-0719:

Qual é a abrangência da vulnerabilidade?

Todos os programas que usam SSL podem ser afetados. Embora o SSL seja geralmente associado aos Serviços de Informações da Internet usando HTTPS e a porta 443, qualquer serviço que implemente SSL em uma plataforma afetada provavelmente estará vulnerável. Isso inclui, mas não está limitado a, Microsoft Internet Information Services 4.0, Microsoft Internet Information Services 5.0, Microsoft Internet Information Services 5.1, Microsoft Exchange Server 5.5, Microsoft Exchange Server 2000, Microsoft Exchange Server 2003, Microsoft Analysis Services 2000 (incluído no SQL Server 2000) e quaisquer programas de terceiros que usam PCT. O SQL Server 2000 não é vulnerável porque bloqueia especificamente conexões PCT.

O Windows Server 2003 e os Serviços de Informações da Internet 6.0 só estarão vulneráveis a esse problema se um administrador tiver habilitado manualmente o PCT (mesmo que o SSL tenha sido habilitado).

Um intruso que conseguisse tirar partido desta vulnerabilidade poderia assumir o controlo total de um sistema afectado, incluindo a instalação de programas; visualizar, alterar ou excluir dados; ou criar novas contas que tenham privilégios completos.

O que causa a vulnerabilidade?

O processo usado pela Biblioteca SSL para verificar entradas de mensagens.

O que é a biblioteca SSL?

A biblioteca SSL (Secure Sockets Layer) da Microsoft contém suporte para vários protocolos de comunicação segura. Isso inclui o Transport Layer Security 1.0 (TLS 1.0), o Secure Sockets Layer 3.0 (SSL 3.0) e o protocolo Secure Sockets Layer 2.0 (SSL 2.0) e Private Communication Technology 1.0 (PCT 1.0) mais antigos e raramente usados.

Esses protocolos fornecem uma conexão criptografada entre um servidor e um sistema cliente. O SSL pode ajudar a proteger as informações quando transmitidas através de redes públicas, como a Internet. O suporte a SSL requer um certificado SSL, que deve ser instalado em um servidor. Para obter mais informações sobre SSL, consulte o artigo 245152 da Base de Dados de Conhecimento Microsoft.

O que é PCT?

Private Communication Technology (PCT) é um protocolo desenvolvido pela Microsoft e Visa International para comunicação criptografada na Internet. Foi desenvolvido como uma alternativa ao SSL 2.0. É semelhante ao SSL. Os formatos de mensagem são semelhantes o suficiente para que um servidor possa interagir com clientes que oferecem suporte a SSL, bem como clientes que oferecem suporte a PCT.

PCT é um protocolo anterior que foi substituído pelo SSL 3.0 e não é mais usado geralmente. A biblioteca SSL (Secure Sockets Layer) da Microsoft oferece suporte a PCT somente para compatibilidade com versões anteriores. A maioria dos programas e servidores modernos usam SSL 3.0, e o PCT não é mais necessário. Para obter informações mais detalhadas, visite o site da MSDN Library.

Para que um invasor pode usar a vulnerabilidade?

Quem poderia explorar a vulnerabilidade?

Qualquer invasor anônimo que pudesse entregar uma mensagem TCP especialmente criada a um serviço habilitado para SSL em um sistema afetado poderia tentar explorar essa vulnerabilidade.

Como um invasor pode explorar essa vulnerabilidade?

Um invasor pode explorar essa vulnerabilidade se comunicando com um sistema afetado por meio de um serviço habilitado para SSL e enviando uma mensagem TCP especialmente criada. O recebimento de tal mensagem pode fazer com que o serviço afetado no sistema vulnerável falhe de tal forma que ele possa executar o código.

Quais são os sistemas que mais correm risco com a vulnerabilidade?

Todos os programas que usam SSL podem ser afetados. Embora o SSL seja geralmente associado aos Serviços de Informações da Internet usando HTTPS e a porta 443, qualquer serviço que implemente SSL em uma plataforma afetada provavelmente estará vulnerável. Isso inclui, mas não está limitado a, Serviços de Informações da Internet 4.0, Serviços de Informações da Internet 5.0, Serviços de Informações da Internet 5.1, Exchange Server 5.5, Exchange Server 2000, Exchange Server 2003, Analysis Services 2000 (incluído no SQL Server 2000) e quaisquer programas de terceiros que usam PCT. O SQL Server 2000 não é vulnerável porque bloqueia especificamente conexões PCT.

Os domínios do Active Directory que têm uma autoridade de certificação Enterprise Root instalada também são afetados por esta vulnerabilidade porque os controladores de domínio do Windows 2000 escutarão automaticamente as conexões SSL.

Como o Windows Server 2003 é afetado?

A maneira como o Windows Server 2003 implementa o PCT contém a mesma saturação de buffer encontrada em outras plataformas. No entanto, o PCT está desabilitado por padrão. Se o protocolo PCT estivesse habilitado usando uma chave do Registro, o Windows Server 2003 poderia estar vulnerável a esse problema. A Microsoft está, portanto, lançando uma atualização de segurança para o Windows Server 2003 que corrige a saturação de buffer enquanto continua a deixar o PCT desabilitado.

O que a atualização faz?

A atualização elimina a vulnerabilidade alterando a maneira como a implementação PCT valida as informações passadas para ela e também desabilita o protocolo PCT.

Esta atualização introduz alguma mudança de comportamento?

Sim. Embora a atualização resolva a vulnerabilidade no PCT, ela também desabilita o PCT porque esse protocolo não é mais usado e foi substituído pelo SSL 3.0. Esse comportamento é consistente com as configurações padrão do Windows Server 2003. Se os administradores exigirem o uso do PCT, eles poderão habilitá-lo usando a chave do Registro descrita na seção Solução alternativa deste boletim.

Vulnerabilidade de Winlogon - CAN-2003-0806:

Existe uma vulnerabilidade de saturação de buffer no processo de logon do Windows (Winlogon). Ele não verifica o tamanho de um valor usado durante o processo de logon antes de inseri-lo no buffer alocado. A saturação resultante pode permitir que um invasor execute código remotamente em um sistema afetado. Os sistemas que não são membros de um domínio não são afetados por esta vulnerabilidade. O invasor que explorar com êxito essa vulnerabilidade poderá assumir o controle total de um sistema afetado.

Fatores atenuantes da vulnerabilidade do Winlogon - CAN-2003-0806:

Somente os sistemas Windows NT 4.0, Windows 2000 e Windows XP que são membros de um domínio são afetados por esta vulnerabilidade. O Windows Server 2003 não é afectado por esta vulnerabilidade.
Um invasor exigiria permissão para modificar objetos de usuário em um domínio para tentar explorar essa vulnerabilidade. Normalmente, apenas os membros dos grupos Administradores ou Operadores de Conta teriam essa permissão. No entanto, essa permissão pode ter sido delegada a outras contas de usuário no domínio.
Os domínios normalmente oferecem suporte à auditoria de alterações em objetos de usuário. Esses registros de auditoria podem ser revisados para determinar qual conta de usuário pode ter modificado maliciosamente outras contas de usuário para tentar explorar essa vulnerabilidade.

Soluções alternativas para a vulnerabilidade do Winlogon - CAN-2003-0806:

Reduza o número de usuários que têm permissões de modificação de conta.

Para explorar esta vulnerabilidade, um intruso requer a capacidade de modificar objectos de utilizador no domínio. Algumas organizações adicionam contas de usuário aos grupos Administradores ou Operadores de Conta desnecessariamente. Por exemplo, se um representante do Helpdesk exigir apenas a capacidade de redefinir senhas de usuário, o administrador deverá delegar diretamente essa permissão sem adicionar o representante ao grupo Operador de Conta. Reduzir o número de contas de usuário em grupos administrativos ajuda a bloquear vetores de ataque conhecidos. Somente funcionários confiáveis devem ser membros de grupos administrativos. Para obter mais informações sobre práticas recomendadas de domínio, visite o seguinte site.

Perguntas frequentes sobre a vulnerabilidade do Winlogon - CAN-2003-0806:

Qual é a abrangência da vulnerabilidade?

Esta é uma vulnerabilidade de saturação de buffer. Um intruso que conseguisse tirar partido desta vulnerabilidade poderia assumir o controlo total de um sistema afectado, incluindo a instalação de programas; visualizar, alterar ou excluir dados; ou criar novas contas que tenham privilégios completos.

O que causa a vulnerabilidade?

Winlogon lê um valor do domínio, mas não verifica o tamanho desse valor antes de inseri-lo no buffer alocado.

O que é winlogon?

O processo de logon do Windows (Winlogon) é o componente do sistema operacional Windows que fornece suporte a logon interativo. Winlogon.exe é o processo que gerencia as interações do usuário relacionadas à segurança no Windows. Ele lida com solicitações de logon e logoff, bloqueando ou desbloqueando o sistema, alterando a senha e outras solicitações. Ele lê dados do domínio durante o processo de logon e usa esses dados para configurar o ambiente de um usuário. Para obter mais informações sobre Winlogon, visite o site da MSDN Library.

O que é um domínio?

Um domínio pode ser usado para armazenar informações sobre praticamente qualquer objeto de rede, como impressoras, locais de compartilhamento de arquivos e informações pessoais. Para obter mais informações sobre como criar domínios usando o Windows 2000 Server ou Windows Server 2003, visite o seguinte site.

O que essa vulnerabilidade pode permitir que um invasor faça?

Quem poderia explorar a vulnerabilidade?

Um invasor exigiria permissão para modificar objetos de usuário em um domínio para tentar explorar essa vulnerabilidade. Normalmente, apenas os membros dos grupos Administradores ou Operadores de Conta teriam essa permissão. No entanto, essa permissão pode ter sido delegada a outras contas de usuário no domínio. As contas de usuário que não têm essa permissão ou usuários anônimos não puderam explorar essa vulnerabilidade.

Como um invasor pode explorar essa vulnerabilidade?

Um invasor pode modificar especialmente um valor armazenado no domínio para incluir dados mal-intencionados. Quando esse valor é passado para um buffer não verificado no Winlogon durante o processo de logon, o Winlogon pode permitir que código mal-intencionado seja executado.

Quais são os sistemas que mais correm risco com a vulnerabilidade?

Somente os sistemas Windows NT 4.0, Windows 2000 e Windows XP que são membros de um domínio são afetados por esta vulnerabilidade.

O que a atualização faz?

Esta atualização elimina a vulnerabilidade modificando a maneira como o processo Winlogon valida o comprimento de um valor antes de passá-lo para o buffer alocado.

Vulnerabilidade de metarquivo - CAN-2003-0906:

Existe uma vulnerabilidade de saturação de buffer na renderização dos formatos de imagem WMF (Metarquivo do Windows) e EMF (Metarquivo Avançado) que pode permitir a execução remota de código em um sistema afetado. Qualquer programa que renderize imagens WMF ou EMF nos sistemas afetados pode estar vulnerável a esse ataque. O invasor que explorar com êxito essa vulnerabilidade poderá assumir o controle total de um sistema afetado.

Fatores atenuantes da vulnerabilidade de metarquivo - CAN-2003-0906:

A vulnerabilidade só pode ser explorada por um invasor que persuadiu um usuário a abrir um arquivo especialmente criado ou a exibir um diretório que contém a imagem especialmente criada. Não há como um invasor forçar um usuário a abrir um arquivo mal-intencionado.
Num cenário de ataque baseado na Web, um intruso teria de alojar um Web site que contivesse uma página Web utilizada para explorar esta vulnerabilidade. Um invasor não teria como forçar os usuários a visitar um site mal-intencionado. Em vez disso, um invasor teria que persuadi-los a visitar o site, geralmente fazendo com que eles cliquem em um link que os leve ao site do invasor.
Um intruso que conseguisse explorar esta vulnerabilidade com êxito poderia obter os mesmos privilégios que o utilizador. Os usuários cujas contas estão configuradas para ter menos privilégios no sistema correriam menos riscos do que os usuários que operam com privilégios administrativos.
O Windows Server 2003 não é afectado por esta vulnerabilidade.

Soluções alternativas para a vulnerabilidade de metarquivo - CAN-2003-0906:

Leia mensagens de email em formato de texto sem formatação se você estiver usando o Outlook 2002 ou posterior, ou o Outlook Express 6 SP1 ou posterior, para ajudar a se proteger do vetor de ataque de email HTML.

Os usuários do Microsoft Outlook 2002 que aplicaram o Office XP Service Pack 1 ou posterior e os usuários do Microsoft Outlook Express 6 que aplicaram o Internet Explorer 6 Service Pack 1 podem habilitar essa configuração e exibir todas as mensagens de email não assinadas digitalmente ou mensagens de email não criptografadas somente em texto sem formatação.

Mensagens de email assinadas digitalmente ou mensagens de email criptografadas não são afetadas pela configuração e podem ser lidas em seus formatos originais. Para obter mais informações sobre como habilitar essa configuração no Outlook 2002, consulte o artigo 307594 da Base de Dados de Conhecimento Microsoft.

Para obter informações sobre essa configuração no Outlook Express 6, consulte o artigo 291387 da Base de Dados de Conhecimento Microsoft.

Impacto da solução alternativa: as mensagens de email exibidas em formato de texto sem formatação não conterão imagens, fontes especializadas, animações ou outro conteúdo avançado. Além disso:
- As alterações são aplicadas ao painel de visualização e às mensagens abertas.
- As imagens tornam-se anexos para que não se percam.
- Como a mensagem ainda está no formato Rich Text ou HTML no armazenamento, o modelo de objeto (soluções de código personalizado) pode se comportar inesperadamente.

Perguntas frequentes sobre a vulnerabilidade de metarquivo - CAN-2003-0906:

Qual é a abrangência da vulnerabilidade?

O que causa a vulnerabilidade?

Um buffer não verificado na renderização dos formatos de imagem WMF (Metarquivo do Windows) e EMF (Metarquivo Avançado).

O que são os formatos de imagem WMF (Metarquivo do Windows) e EMF (Metarquivo Avançado)?

Uma imagem WMF é um formato de metarquivo de 16 bits que pode conter informações vetoriais e informações de bitmap. Ele é otimizado para o sistema operacional Windows.

Uma imagem EMF é um formato de 32 bits que pode conter informações vetoriais e informações de bitmap. Esse formato é uma melhoria em relação ao Formato de Metarquivo do Windows e contém recursos estendidos.

Para obter mais informações sobre tipos e formatos de imagem, consulte o artigo 320314 da Base de Dados de Conhecimento Microsoft. Informações adicionais sobre esses formatos de arquivo também estão disponíveis no site da MSDN Library.

Para que um invasor pode usar a vulnerabilidade?

Como um invasor pode explorar essa vulnerabilidade?

Qualquer programa que renderize os tipos de imagem afetados pode estar vulnerável a esse ataque. Estes são alguns exemplos:

Um intruso poderia alojar um Web site malicioso concebido para explorar esta vulnerabilidade através do Internet Explorer 6 e, em seguida, persuadir um utilizador a visualizar o Web site.
Um invasor também pode criar uma mensagem de email HTML que tenha uma imagem especialmente criada anexada. A imagem especialmente concebida para o efeito pode ser concebida para explorar esta vulnerabilidade através do Outlook 2002 ou do Outlook Express 6. Um invasor pode persuadir o usuário a exibir a mensagem de email em HTML.
Um invasor pode incorporar uma imagem especialmente criada em um documento do Office e, em seguida, persuadir o usuário a exibir o documento.
Um invasor pode adicionar uma imagem especialmente criada ao sistema de arquivos local ou a um compartilhamento de rede e, em seguida, persuadir o usuário a visualizar o diretório usando o Windows Explorer no Windows XP.

Quais são os sistemas que mais correm risco com a vulnerabilidade?

A vulnerabilidade só pôde ser explorada nos sistemas afetados por um invasor que persuadiu um usuário a abrir um arquivo especialmente criado ou exibir um diretório que contém a imagem especialmente criada. Não há como um invasor forçar um usuário a abrir um arquivo mal-intencionado.

Num cenário de ataque baseado na Web, um intruso teria de alojar um Web site que contivesse uma página Web utilizada para explorar esta vulnerabilidade. Um invasor não teria como forçar os usuários a visitar um site mal-intencionado. Em vez disso, um invasor teria que persuadi-los a visitar o site, geralmente fazendo com que eles cliquem em um link que os leve ao site do invasor.

O que a atualização faz?

A atualização elimina a vulnerabilidade modificando a maneira como o Windows valida os tipos de imagem afetados.

Vulnerabilidade do Centro de Ajuda e Suporte - CAN-2003-0907:

Existe uma vulnerabilidade de execução remota de código no Centro de Ajuda e Suporte devido à maneira como ele manipula a validação de URL do HCP. Um invasor pode explorar a vulnerabilidade criando uma URL HCP mal-intencionada que pode permitir a execução remota de código se um usuário visitar um site mal-intencionado ou exibir uma mensagem de email mal-intencionada. O invasor que explorar com êxito essa vulnerabilidade poderá assumir o controle total de um sistema afetado.

Fatores atenuantes da vulnerabilidade do Centro de Ajuda e Suporte - CAN-2003-0907:

Num cenário de ataque baseado na Web, um intruso teria de alojar um Web site que contivesse uma página Web utilizada para explorar esta vulnerabilidade. Um invasor não teria como forçar os usuários a visitar um site mal-intencionado. Em vez disso, um invasor teria que persuadi-los a visitar o site, geralmente fazendo com que eles cliquem em um link que os leve ao site do invasor.
Por padrão, o Outlook Express 6, o Outlook 2002 e o Outlook 2003 abrem mensagens de email em HTML na zona Sites restritos. Além disso, o Outlook 98 e o Outlook 2000 abrem mensagens de correio electrónico HTML na zona de sites restritos se a actualização de segurança de correio electrónico do Outlook tiver sido instalada. A zona Sites restritos ajuda a reduzir os ataques que podem tentar explorar esta vulnerabilidade.

O risco de ataque do vetor de email HTML pode ser significativamente reduzido se você atender a todas as seguintes condições:
- Aplique a atualização incluída no Boletim de Segurança da Microsoft MS03-040 ou em uma Atualização de Segurança Cumulativa posterior para o Internet Explorer.
- Use o Internet Explorer 6 ou posterior.
- Use a Atualização de segurança de email do Microsoft Outlook, use o Microsoft Outlook Express 6 ou posterior ou use o Microsoft Outlook 2000 Service Pack 2 ou posterior em sua configuração padrão.
Um intruso que conseguisse explorar esta vulnerabilidade com êxito poderia obter os mesmos privilégios que o utilizador. Os usuários cujas contas estão configuradas para ter menos privilégios no sistema correriam menos riscos do que os usuários que operam com privilégios administrativos.
Windows NT 4.0 e Windows 2000 não são afetados por esta vulnerabilidade.

Soluções alternativas para a vulnerabilidade do Centro de Ajuda e Suporte - CAN-2003-0907:

Cancele o registro do protocolo HCP.

Para ajudar a evitar um ataque, cancele o registro do protocolo HCP excluindo a seguinte chave do registro: HKEY_CLASSES_ROOT\HCP. Para fazer isso, siga estas etapas:
1. Clique em Iniciare em Executar.
2. Digite regedit e clique em OK.
  
  O programa do editor do Registro é iniciado.
3. Expanda HKEY_CLASSES_ROOT e realce a chave HCP .
4. Clique com o botão direito do mouse na chave HCP e, em seguida, clique em Excluir .
Observação Usar o Editor do Registro incorretamente pode causar problemas sérios que podem exigir a reinstalação do Windows. A Microsoft não garante que problemas resultantes do uso incorreto do Editor do Registro possam ser solucionados. Use o Editor do Registro por sua conta e risco.

Impacto da solução alternativa: Cancelar o registro do protocolo HCP interromperá todos os links de ajuda locais e legítimos que usam hcp://. Por exemplo, links no painel de controle podem não funcionar mais.
Instale aAtualizaçãode Segurança de Email do Outlook se você estiver usando o Outlook 2000 SP1 ou anterior.

Por padrão, o Outlook Express 6, o Outlook 2002 e o Outlook 2003 abrem mensagens de email em HTML na zona Sites restritos. Além disso, o Outlook 98 e o Outlook 2000 abrem mensagens de correio electrónico HTML na zona de sites restritos se a actualização de segurança de correio electrónico do Outlook tiver sido instalada.

Os clientes que usam qualquer um desses produtos podem correr um risco reduzido de um ataque por email que tente explorar essa vulnerabilidade, a menos que o usuário clique em um link mal-intencionado na mensagem de email.
Leia mensagens de email em formato de texto sem formatação se você estiver usando o Outlook 2002 ou posterior, ou o Outlook Express 6 SP1 ou posterior, para ajudar a se proteger do vetor de ataque de email HTML.

Os usuários do Microsoft Outlook 2002 que aplicaram o Office XP Service Pack 1 ou posterior e os usuários do Microsoft Outlook Express 6 que aplicaram o Internet Explorer 6 Service Pack 1 podem habilitar essa configuração e exibir todas as mensagens de email não assinadas digitalmente ou mensagens de email não criptografadas somente em texto sem formatação.

Mensagens de email assinadas digitalmente ou mensagens de email criptografadas não são afetadas pela configuração e podem ser lidas em seus formatos originais. Para obter mais informações sobre como habilitar essa configuração no Outlook 2002, consulte o artigo 307594 da Base de Dados de Conhecimento Microsoft.

Para obter informações sobre essa configuração no Outlook Express 6, consulte o artigo 291387 da Base de Dados de Conhecimento Microsoft.

Impacto da solução alternativa: as mensagens de email exibidas em formato de texto sem formatação não conterão imagens, fontes especializadas, animações ou outro conteúdo avançado. Além disso:
- As alterações são aplicadas ao painel de visualização e às mensagens abertas.
- As imagens tornam-se anexos para que não se percam.
- Como a mensagem ainda está no formato Rich Text ou HTML no armazenamento, o modelo de objeto (soluções de código personalizado) pode se comportar inesperadamente.

Perguntas frequentes sobre a vulnerabilidade do Centro de Ajuda e Suporte - CAN-2003-0907:

Qual é a abrangência da vulnerabilidade?

Esta é uma vulnerabilidade de execução remota de código. Um intruso que conseguisse tirar partido desta vulnerabilidade poderia obter controlo total sobre um sistema afectado. Um invasor pode executar qualquer ação no sistema, incluindo instalar programas, exibir dados, alterar dados, excluir dados ou criar novas contas com privilégios completos.

O que causa a vulnerabilidade?

O processo usado pelo Centro de Ajuda e Suporte para validar entradas de dados.

O queéo Centro deAjudaeSuporte?

O Centro de Ajuda e Suporte (HSC) é um recurso do Windows que fornece ajuda em uma variedade de tópicos. Por exemplo, o HSC pode ensinar os usuários sobre os recursos do Windows, como baixar e instalar atualizações de software, como determinar se um dispositivo de hardware específico é compatível com o Windows e como receber ajuda da Microsoft. Os usuários e programas podem usar links de URL para o Centro de Ajuda e Suporte usando o prefixo "hcp://" em um link de URL em vez de "https://".

O que é o protocolo do PID?

Semelhante à maneira como o protocolo HTTP pode usar links de URL de execução para abrir um navegador da Web, o protocolo HCP pode executar links de URL para abrir o recurso Centro de Ajuda e Suporte.

O que háde erradocomo Centro deAjudaeSuporte?

Ocorre um erro na validação de entrada.

Para que um invasor pode usar a vulnerabilidade?

Como um invasor pode explorar essa vulnerabilidade?

Para explorar esta vulnerabilidade, um intruso teria de alojar um Web site malicioso e, em seguida, persuadir um utilizador a visualizar esse Web site. Um invasor também pode criar uma mensagem de email HTML que tenha um link especialmente criado e, em seguida, persuadir um usuário a exibir a mensagem de email HTML e, em seguida, clicar no link mal-intencionado. Se o usuário clicasse nesse link, uma janela do Internet Explorer poderia ser aberta com uma URL HCP de escolha do invasor, o que poderia permitir a execução arbitrária de código.

Quais são os sistemas que mais correm risco com a vulnerabilidade?

O Windows XP e o Windows Server 2003 contêm a versão afetada do Centro de Ajuda e Suporte. Windows NT 4.0 e Windows 2000 não são afetados porque eles não contêm o Centro de Ajuda e Suporte.

Estou executando o Internet Explorer no Windows Server 2003. O Windows Server 2003 atenua esta vulnerabilidade?

Não. Por padrão, o Internet Explorer no Windows Server 2003 é executado em um modo restrito conhecido como Configuração de Segurança Reforçada do Internet Explorer. No entanto, o protocolo HCP tem permissão para acessar o Centro de Ajuda e Suporte por padrão. Portanto, o Windows Server 2003 é vulnerável. Para obter mais informações sobre a configuração de segurança reforçada do Internet Explorer, visite o seguinte site.

O que a atualização faz?

Esta atualização elimina a vulnerabilidade modificando a validação dos dados passados para o Centro de Ajuda e Suporte.

Vulnerabilidade do Gerenciador de utilitários - CAN-2003-0908:

Existe uma vulnerabilidade de elevação de privilégio na maneira como o Gerenciador de Utilitários inicia aplicativos. Um usuário conectado pode forçar o Utility Manager a iniciar um aplicativo com privilégios de sistema e assumir o controle total do sistema.

Fatores atenuantes da vulnerabilidade do Gerenciador de utilitários - CAN-2003-0908:

Um invasor deve ter credenciais de logon válidas para explorar a vulnerabilidade. A vulnerabilidade não pôde ser explorada por usuários anônimos.
Windows NT 4.0, Windows XP e Windows Server 2003 não são afetados por esta vulnerabilidade. Windows NT 4.0 não implementa o Gerenciador de utilitários.
O Guia de proteção do Windows 2000 recomenda desabilitar o serviço Gerenciador de utilitários. Os ambientes que estão em conformidade com essas diretrizes podem estar em um risco reduzido com essa vulnerabilidade.

Soluções alternativas para a vulnerabilidade do Gerenciador de utilitários - CAN-2003-0908:

Use as Diretivas de Grupo para desabilitar o Gerenciador de Utilitários em todos os sistemas afetados que não exigem esse recurso.

Como o Gerenciador de Utilitários é um possível vetor de ataque, desative-o usando Diretivas de Grupo. O nome do processo do Gerenciador de Utilitários é Utilman.exe. O guia a seguir fornece informações sobre como exigir que os usuários executem somente aplicativos aprovados usando Diretivas de Grupo.

Observação Você também pode examinar o Guia de proteção do Windows 2000. Este guia inclui informações sobre como desativar o Gerenciador de utilitários.

Impacto da solução alternativa:

O Gerenciador de Utilitários fornece acesso fácil a muitos dos recursos de acessibilidade do sistema operacional. Esse acesso ficaria indisponível até que as restrições fossem removidas. Para encontrar informações sobre como iniciar manualmente muitos dos recursos de acessibilidade, visite este site.

Perguntas frequentes sobre a vulnerabilidade do Gerenciador de utilitários - CAN-2003-0908:

Qual é a abrangência da vulnerabilidade?

Esta é uma vulnerabilidade de elevação de privilégio. Um intruso que conseguisse tirar partido desta vulnerabilidade poderia assumir o controlo total de um sistema afectado, incluindo a instalação de programas; visualizar, alterar ou excluir dados; ou criar novas contas que tenham privilégios completos.

O que causa a vulnerabilidade?

O processo usado pelo Utility Manager para iniciar aplicativos. É possível que o Utility Manager possa iniciar aplicativos com privilégios de sistema.

O que é o Gerenciador de Utilitários?

O Gerenciador de Utilitários é um utilitário de acessibilidade que permite aos usuários verificar o status de programas de acessibilidade, como a Lupa da Microsoft, o Narrador ou o Teclado Virtual, e iniciá-los ou interrompê-los.

Para que um invasor pode usar a vulnerabilidade?

Quem poderia explorar a vulnerabilidade?

Um invasor deve ser capaz de fazer logon no sistema e, em seguida, depois de iniciar o Gerenciador de utilitários, executar um programa que envia uma mensagem especialmente criada para o Gerenciador de utilitários para tentar explorar a vulnerabilidade.

Como um invasor pode explorar essa vulnerabilidade?

Para explorar esta vulnerabilidade, um intruso teria primeiro de iniciar o Gestor de Utilitários no Windows 2000 e, em seguida, executar uma aplicação especialmente concebida para explorar a vulnerabilidade. Nas configurações padrão do Windows 2000, o Gerenciador de utilitários está instalado, mas não está em execução. Esta vulnerabilidade pode permitir que um invasor obtenha controle total sobre um sistema Windows 2000.

Quais são os sistemas que mais correm risco com a vulnerabilidade?

Apenas o Windows 2000 é afectado por esta vulnerabilidade. As estações de trabalho e os servidores de terminal baseados no Windows 2000 são os que correm mais risco. Os servidores só estarão em risco se os usuários que não tiverem credenciais administrativas suficientes tiverem a capacidade de fazer logon nos servidores e executar programas. No entanto, as práticas recomendadas desencorajam fortemente a permissão disso.

Estou usando o Windows 2000, mas não estou usando o Gerenciador de utilitários ou qualquer um dos recursos de acessibilidade. Ainda estou vulnerável?

Sim. Por padrão, o Gerenciador de Utilitários é instalado e habilitado. No entanto, o Gerenciador de utilitários não está sendo executado por padrão.

A vulnerabilidade pode ser explorada pela Internet?

Não. Um invasor deve ser capaz de fazer logon no sistema específico alvo do ataque. Um invasor não pode carregar e executar um programa remotamente usando esta vulnerabilidade.

O que a atualização faz?

Esta atualização elimina a vulnerabilidade modificando a maneira como o Gerenciador de utilitários inicia aplicativos.

Vulnerabilidade de gerenciamento do Windows - CAN-2003-0909

Existe uma vulnerabilidade de elevação de privilégio na maneira como o Windows XP permite que tarefas sejam criadas. Sob condições especiais, um usuário sem privilégios poderia criar uma tarefa que pudesse ser executada com permissões do sistema e, portanto, assumir o controle total do sistema.

Fatores atenuantes da vulnerabilidade de gerenciamento do Windows - CAN-2003-0909:

Um invasor deve ter credenciais de logon válidas para explorar a vulnerabilidade. A vulnerabilidade não pôde ser explorada por um usuário anônimo.
Windows NT 4.0, Windows 2000 e Windows Server 2003 não são afetados por esta vulnerabilidade.

Soluções alternativas para a vulnerabilidade de gerenciamento do Windows - CAN-2003-0909:

Exclua o Provedor de Interface de Gerenciamento do Windows afetado.

Um administrador com permissões administrativas locais pode excluir o Provedor WMI (Interface de Gerenciamento do Windows) afetado inserindo o seguinte script em um arquivo de texto que tenha uma extensão de nome de arquivo '.vbs' e executando-o.

Para excluir o provedor WMI afetado:

set osvc = getobject("winmgmts:root\cimv2")set otrigger = osvc.get("__win32provider='cmdtriggerconsumer'")otrigger.delete_

A instalação da atualização registra automaticamente novamente o Provedor WMI afetado mencionado acima. Não é necessário executar nenhuma etapa adicional para restaurar o sistema para a funcionalidade típica após a atualização ter sido aplicada.

Impacto da solução alternativa: as tarefas criadas como gatilhos baseados em eventos não funcionarão enquanto esse provedor não estiver registrado. Para obter mais informações sobre gatilhos baseados em eventos, visite o seguinte site.

Observação Em casos raros, o Windows XP pode registrar novamente esse provedor WMI. Por exemplo, se o Windows XP detectar que o repositório WMI foi corrompido, ele poderá tentar registrar novamente o Provedor WMI afetado.

Perguntas frequentes sobre a vulnerabilidade de gerenciamento do Windows - CAN-2003-0909:

Qual é a abrangência da vulnerabilidade?

O que causa a vulnerabilidade?

Sob condições especiais, um usuário não privilegiado do Microsoft Windows XP poderia criar uma tarefa que poderia ser executada com permissões do sistema.

Para que um invasor pode usar a vulnerabilidade?

Como um invasor pode explorar essa vulnerabilidade?

Para explorar a vulnerabilidade, um invasor deve ser capaz de fazer logon no sistema e criar uma tarefa. Como um invasor deve ter credenciais de logon válidas para explorar a vulnerabilidade, os sistemas remotos não correm risco.

Quais são os sistemas que mais correm risco com a vulnerabilidade?

Apenas o Windows XP é afectado por esta vulnerabilidade.

O que a atualização faz?

A atualização elimina a vulnerabilidade, impedindo que os usuários criem tarefas em um nível elevado de privilégio.

Esta atualização contém outras alterações comportamentais?

Sim. Esta atualização também inclui várias alterações na funcionalidade, documentadas abaixo:

Antes dessa atualização, às vezes um usuário podia criar gatilhos baseados em eventos usando a ferramenta de linha de comando Eventtriggers.exe sem precisar fornecer um nome de usuário e senha. Depois que essa atualização for instalada, um usuário talvez precise fornecer um nome de usuário e senha válidos para criar gatilhos baseados em eventos usando Eventttrigers.exe. Para obter informações detalhadas sobre as opções de linha de comando Eventtriggers.exe, visite o seguinte site.
Anteriormente, os administradores podiam criar gatilhos baseados em eventos com o serviço Agendador de Tarefas interrompido ou desabilitado. Agora, o serviço Agendador de Tarefas deve estar em execução. Para obter mais informações sobre o Agendador de tarefas, visite o seguinte site.
Um novo limite de 1.000 gatilhos também foi estabelecido como parte desta atualização. Os gatilhos baseados em eventos existentes acima desse limite continuarão a funcionar após a instalação da atualização. No entanto, nenhum gatilho adicional baseado em evento pode ser criado.
As permissões foram reforçadas em gatilhos baseados em eventos criados após a instalação da atualização.

Vulnerabilidade de tabela de descritor local - CAN-2003-0910

Existe uma vulnerabilidade de elevação de privilégio em uma interface de programação usada para criar entradas na Tabela de Descritores Local (LDT). Essas entradas contêm informações sobre segmentos de memória. Um invasor que está conectado localmente, pode criar uma entrada maliciosa e, assim, obter acesso à memória protegida, pode assumir o controle total do sistema.

Fatores atenuantes da vulnerabilidade de tabela de descritor local - CAN-2003-0910:

Um intruso tem de ter credenciais de início de sessão válidas e ser capaz de iniciar sessão localmente para explorar esta vulnerabilidade. Não poderia ser explorado remotamente.
O Windows XP e o Windows Server 2003 não são afetados por esta vulnerabilidade.

Soluções alternativas para a vulnerabilidade de tabela de descritor local - CAN-2003-0910:

Nenhum.

Perguntas frequentes sobre a vulnerabilidade de tabela de descritor local - CAN-2003-0910:

Qual é a abrangência da vulnerabilidade?

O que causa a vulnerabilidade?

A interface de programação usada para criar entradas no LDT. Essas entradas contêm informações sobre segmentos de memória. Um invasor pode criar uma entrada maliciosa para obter acesso à memória protegida do kernel.

O que é a Tabela de Descritores Locais?

A Tabela de Descritores Local (LDT) contém entradas chamadas descritores. Esses descritores contêm informações que definem um determinado segmento de memória.

O que há de errado com a maneira como uma entrada descritora pode ser criada no LDT?

A interface de programação não deve permitir que programas criem entradas de descritor no LDT que apontem para áreas de memória protegida.

Para que um invasor pode usar a vulnerabilidade?

O invasor que explorar com êxito a vulnerabilidade poderá assumir o controle total do sistema afetado. Um invasor pode executar qualquer ação no sistema, incluindo instalar programas, exibir dados, alterar dados, excluir dados ou criar novas contas com privilégios completos.

Quem poderia explorar a vulnerabilidade?

Um intruso tem de conseguir iniciar sessão localmente no sistema e executar um programa para explorar esta vulnerabilidade.

Como um invasor pode explorar essa vulnerabilidade?

Para explorar esta vulnerabilidade, um intruso teria primeiro de iniciar sessão no sistema. Um invasor pode então executar um programa especialmente projetado que pode explorar a vulnerabilidade e potencialmente obter controle total sobre o sistema afetado.

Quais são os sistemas que mais correm risco com a vulnerabilidade?

As estações de trabalho e os servidores de terminal são os que correm mais risco. Os servidores só estarão em risco se os usuários que não tiverem credenciais administrativas suficientes tiverem a capacidade de fazer logon e executar programas. No entanto, as práticas recomendadas desencorajam fortemente a permissão disso.

A vulnerabilidade pode ser explorada pela Internet?

Não. Um invasor deve ser capaz de fazer logon no sistema específico alvo do ataque. Um invasor não pode carregar e executar um programa remotamente usando esta vulnerabilidade.

O que a atualização faz?

A atualização elimina a vulnerabilidade modificando a maneira como as entradas de descritores são criadas no LDT.

Vulnerabilidade H.323 - CAN-2004-0117

Existe uma vulnerabilidade de execução remota de código na maneira como a implementação do protocolo Microsoft H.323 manipula solicitações malformadas. O invasor que explorar com êxito essa vulnerabilidade poderá assumir o controle total de um sistema afetado.

Fatores atenuantes da vulnerabilidade H.323 - CAN-2004-0117:

Nos cenários mais comuns, o NetMeeting (que usa H.323) deve estar em execução para se tornar vulnerável.
Nos cenários mais comuns, os sistemas que usam o Firewall de Conexão com a Internet (ICF) e que não executam nenhum aplicativo baseado em H.323 não são vulneráveis.
Windows NT 4.0 não é afectado por esta vulnerabilidade, a menos que a versão autónoma do NetMeeting tenha sido instalada manualmente por um administrador.

Soluções alternativas para a vulnerabilidade H.323 - CAN-2004-0117:

Bloqueie as portas TCP 1720 e TCP 1503 de entrada e saída no firewall.

As práticas recomendadas de firewall e as configurações padrão de firewall podem ajudar a proteger as redes contra ataques que se originam fora do perímetro da empresa. As práticas recomendadas recomendam que os sistemas conectados à Internet tenham um número mínimo de portas expostas. A Microsoft recomenda o bloqueio de todas as comunicações de entrada não solicitadas da Internet para ajudar a evitar ataques que possam usar outras portas.

Impacto da solução alternativa:

Se as portas TCP de entrada e saída 1503 e 1720 estiverem bloqueadas, os usuários não poderão se conectar ao ILS (Internet Locator Service ) ou a outros clientes do NetMeeting.

Perguntas frequentes sobre a vulnerabilidade H.323 - CAN-2004-0117:

Qual é a abrangência da vulnerabilidade?

O que causa a vulnerabilidade?

Buffers não verificados na implementação H.323 da Microsoft.

O que é H.323?

H.323 é um padrão da UIT que especifica como PCs, equipamentos e serviços para multimídia se comunicam através de redes que não fornecem um nível garantido de serviço, como a Internet. Os terminais e equipamentos H.323 podem transportar vídeo, voz, dados ou qualquer combinação desses elementos em tempo real. Os produtos que usam H.323 para áudio e vídeo permitem que os usuários se conectem e se comuniquem com outras pessoas pela Internet, assim como as pessoas que usam diferentes marcas e modelos de telefones podem se comunicar usando o telefone.

Quais aplicativos afetados usam o protocolo H.323?

O protocolo H.323 é implementado em vários aplicativos da Microsoft e componentes do sistema operacional. Esse problema pode afetar sistemas que tenham um ou mais dos seguintes serviços ou aplicativos em execução:

Aplicativos baseados em TAPI (Telephony Application Programming Interface)
NetMeeting
Firewall de Conexão com a Internet (ICF)
Compartilhamento de Conexão com a Internet
O serviço Roteamento e Acesso Remoto da Microsoft

O que é TAPI?

A TAPI (Windows Telephony Applications Programming Interface) faz parte da Arquitetura de Sistema Aberto do Windows. Usando TAPI, os desenvolvedores podem criar aplicativos de telefonia. O TAPI é um padrão aberto da indústria, definido com contribuições significativas e contínuas da comunidade mundial de telefonia e computação. Como o TAPI é independente de hardware, os aplicativos compatíveis podem ser executados em uma variedade de hardware de PC e telefonia e podem oferecer suporte a uma variedade de serviços de rede. A TAPI implementa o protocolo H.323. Os aplicativos que usam TAPI podem estar vulneráveis ao problema descrito neste boletim.

Algum aplicativo H.323 baseado em TAPI é instalado por padrão em qualquer um dos sistemas afetados?

Microsoft Phone Dialer é o único aplicativo baseado em H.323 TAPI que é instalado por padrão no Windows 2000 e Windows XP. Aplicativos de terceiros podem habilitar e usar a funcionalidade H.323 no TAPI.

Observação O Microsoft Phone Dialer não está incluído no Windows Server 2003.

O que é o NetMeeting?

O NetMeeting oferece uma solução completa de conferência corporativa e pela Internet para todos os usuários do Windows, com conferência de dados multiponto, bate-papo de texto, quadro de comunicações e transferência de arquivos, além de áudio e vídeo ponto a ponto. O NetMeeting implementa o protocolo H.323 e é instalado por padrão, mas não está em execução por padrão, em todos os sistemas afetados.

Se eu estiver executando o NetMeeting, mas não estiver executando o Compartilhamento de Conexão com a Internet, o ICF ou o serviço Roteamento e Acesso Remoto. Estou vulnerável?

Sim. Quando você estiver executando o NetMeeting, você está vulnerável a esse problema.

Se eu estiver executando o NetMeeting, mas não estiver conectado a um servidor ILS ou em uma sessão ponto a ponto do NetMeeting, estou vulnerável?

Sim, a menos que as portas TCP 1720 e 1503 estejam bloqueadas no sistema.

Se eu nunca instalei a versão autônoma do NetMeeting, estou vulnerável?

O NetMeeting foi incluído como parte do Windows 2000, Windows XP e Windows Server 2003. Esta actualização resolve as versões do NetMeeting que foram incluídas com estes sistemas operativos. O NetMeeting também está disponível como um download autônomo para outros sistemas operacionais e como parte de outros aplicativos, que também podem ser vulneráveis a esse problema. Se você tiver instalado a versão autônoma do NetMeeting, instale uma versão atualizada que corrija essa vulnerabilidade. Para baixar a versão atualizada, visite o seguinte site. A versão actualizada que elimina esta vulnerabilidade é a versão 3.01 (4.4.3399).

O Windows 98, o Windows 98 Second Edition ou o Windows Millennium Edition são afetados criticamente por esta vulnerabilidade?

Não. Embora esses sistemas operacionais possam conter o NetMeeting, a vulnerabilidade não é crítica nesses sistemas operacionais. Como método para resolver esta vulnerabilidade, pode transferir e instalar a versão autónoma do NetMeeting para estes sistemas operativos a partir do seguinte Web site. Para obter mais informações sobre classificações de gravidade, visite o seguinte site.

O que é o Firewall de Conexão com a Internet?

O Firewall de Conexão com a Internet (ICF) fornece funcionalidade básica de prevenção de intrusão para sistemas que executam o Windows XP ou o Windows Server 2003. Ele foi projetado para sistemas que estão diretamente conectados a uma rede pública ou sistemas que fazem parte de uma rede doméstica quando usados com o Compartilhamento de Conexão com a Internet.

Se eu estiver executando apenas o Firewall de Conexão com a Internet no Windows XP ou no Windows Server 2003, estou vulnerável?

Não, não automaticamente. No entanto, se você usar o NetMeeting, mesmo com o ICF em execução, poderá ficar vulnerável a esse problema. O NetMeeting abre portas no ICF que podem expor essa vulnerabilidade.

Abrir manualmente as portas TCP 1720 e 1503 também pode expor essa vulnerabilidade. Aplicativos de terceiros também podem fazer com que o ICF abra portas em resposta à comunicação H.323.

O que é o Compartilhamento de Conexão com a Internet?

Usando o Compartilhamento de Conexão com a Internet, os usuários podem conectar um sistema à Internet e compartilhar o serviço de Internet com vários outros sistemas em uma rede doméstica ou de pequena empresa. O Assistente de configuração de rede no Windows XP fornece automaticamente todas as configurações de rede necessárias para compartilhar uma conexão com a Internet com todos os sistemas em uma rede. Cada sistema pode usar programas como o Internet Explorer e o Outlook Express como se o sistema estivesse diretamente conectado à Internet.

O Compartilhamento de Conexão com a Internet é um recurso do Windows 2000, Windows XP e Windows Server 2003, mas não está habilitado por padrão em nenhum dos sistemas afetados.

Se eu tiver ativado o Compartilhamento de Conexão com a Internet, mas não tiver habilitado o Firewall de Conexão com a Internet, estou vulnerável?

Sim, o Compartilhamento de Conexão com a Internet habilita as portas que podem permitir que um sistema se torne vulnerável a esse problema.

Se o ICF e o Compartilhamento de Conexão com a Internet estiverem em execução, esse ataque não poderá ocorrer, a menos que o usuário também esteja usando o NetMeeting ou tenha aberto manualmente a porta 1503 ou a porta 1720.

O que é o serviço Roteamento e Acesso Remoto da Microsoft?

O serviço Microsoft Routing and Remote Access possibilita que um sistema que esteja executando o Windows 2000 Server ou o Windows Server 2003 funcione como um roteador de rede. O acesso remoto permite que os usuários que têm sistemas remotos criem uma conexão lógica com a rede de uma organização ou com a Internet. O serviço Microsoft Routing and Remote Access oferece suporte a solicitações H.323 que são roteadas de ou para uma rede.

Se eu estiver executando o serviço Roteamento e Acesso Remoto da Microsoft no Windows 2000, estou vulnerável?

Sim. Por padrão, o Windows 2000 usa o serviço Microsoft Roteamento e acesso remoto com funcionalidade NAT (conversão de endereços de rede), que expõe a vulnerabilidade. No entanto, um administrador pode desativar a funcionalidade H.323 usando o comando netsh . As etapas detalhadas são descritas no Artigo 838834 (em inglês) da Microsoft Knowledge Base.

Observação Se um sistema estiver configurado para executar outro serviço de Roteamento e Acesso Remoto da Microsoft sem NAT (por exemplo, Rede Privada Virtual, OSPF ou Protocolo de Informações de Roteamento), ele não será afetado por essa vulnerabilidade.

Se eu estiver executando o serviço Roteamento e Acesso Remoto da Microsoft no Windows Server 2003, estou vulnerável?

Não. Por padrão, o serviço Roteamento e Acesso Remoto do Windows Server 2003 não habilita a funcionalidade H.323. No entanto, um administrador pode habilitar a funcionalidade H.323 e, em seguida, expor o sistema a essa vulnerabilidade.

Para que um invasor pode usar a vulnerabilidade?

Quem poderia explorar a vulnerabilidade?

Qualquer usuário anônimo que possa entregar uma solicitação H.323 especialmente criada para qualquer um dos sistemas afetados acima.

Como um invasor pode explorar essa vulnerabilidade?

Um invasor pode tentar explorar a vulnerabilidade localizando usuários que executam o NetMeeting, um programa TAPI baseado em H.323 ou ambos.

Um invasor também pode tentar explorar a vulnerabilidade por meio do Compartilhamento de Conexão com a Internet executando código remotamente em sistemas que tenham o Compartilhamento de Conexão com a Internet habilitado. Se o ICF e o compartilhamento de conexão com a Internet estiverem em execução, esse ataque não será possível, a menos que o usuário também esteja usando o NetMeeting.

Quais são os sistemas que mais correm risco com a vulnerabilidade?

Sistemas que estejam executando o NetMeeting ou que estejam executando um programa baseado em H.323.

O que a atualização faz?

A atualização modifica a maneira como os sistemas afetados processam as solicitações H.323 especialmente criadas.

Vulnerabilidade de máquina virtual DOS - CAN-2004-0118:

Existe uma vulnerabilidade de elevação de privilégio no componente do sistema operacional que manipula o subsistema Virtual DOS Machine (VDM). Esta vulnerabilidade pode permitir que um usuário conectado assuma o controle total do sistema.

Fatores atenuantes da vulnerabilidade da máquina virtual DOS - CAN-2004-0118:

Um intruso tem de ter credenciais de início de sessão válidas e ser capaz de iniciar sessão localmente para explorar esta vulnerabilidade. Não poderia ser explorado remotamente.
O Windows XP e o Windows Server 2003 não são afetados por esta vulnerabilidade.

Soluções alternativas para a vulnerabilidade de máquina virtual DOS - CAN-2004-0118:

Nenhum.

Perguntas frequentes sobre a vulnerabilidade da máquina virtual DOS - CAN-2004-0118:

Qual é a abrangência da vulnerabilidade?

Esta é uma vulnerabilidade de avaliação de privilégio. Um intruso que conseguisse tirar partido desta vulnerabilidade poderia assumir o controlo total de um sistema afectado, incluindo a instalação de programas; visualizar, alterar ou excluir dados; ou criar novas contas que tenham privilégios completos. Para explorar a vulnerabilidade, um invasor deve ser capaz de fazer logon localmente no sistema e executar um programa.

O que causa a vulnerabilidade?

O componente do sistema operacional que manipula o subsistema VDM pode ser usado para obter acesso à memória protegida do kernel. Em determinadas circunstâncias, algumas funções privilegiadas do sistema operacional podem não validar as estruturas do sistema e permitir que um invasor execute código mal-intencionado com privilégios do sistema.

O que é o subsistema Virtual DOS Machine?

Uma máquina virtual DOS (VDM) é um ambiente que emula o Windows baseado em MS-DOS e DOS em sistemas operacionais baseados no Windows NT. Um VDM é criado sempre que um usuário inicia um aplicativo MS-DOS em um sistema operacional baseado no Windows NT.

Para que um invasor pode usar a vulnerabilidade?

Quem poderia explorar a vulnerabilidade?

Para explorar a vulnerabilidade, um invasor deve ser capaz de fazer logon localmente em um sistema e executar um programa.

Como um invasor pode explorar essa vulnerabilidade?

Para explorar esta vulnerabilidade, um intruso teria primeiro de iniciar sessão no sistema. Um invasor pode então executar um aplicativo especialmente projetado que pode explorar a vulnerabilidade e, assim, obter controle total sobre o sistema afetado.

Quais são os sistemas que mais correm risco com a vulnerabilidade?

As estações de trabalho e os servidores de terminal são os que correm mais risco. Os servidores só estarão em risco se os usuários que não tiverem credenciais administrativas suficientes tiverem a capacidade de fazer logon nos servidores e executar programas. No entanto, as práticas recomendadas desencorajam fortemente a permissão disso.

A vulnerabilidade pode ser explorada pela Internet?

Não. Um invasor deve ser capaz de fazer logon no sistema específico alvo do ataque. Um invasor não pode carregar e executar um programa remotamente usando esta vulnerabilidade.

O que a atualização faz?

Esta atualização modifica a maneira como o Windows valida dados ao fazer referência a locais de memória alocados a um VDM.

Vulnerabilidade de SSP de negociação - CAN-2004-0119

Existe uma vulnerabilidade de saturação de buffer na interface do SSP (Negotiate Security Software Provider) que pode permitir a execução remota de código. Essa vulnerabilidade existe devido à maneira como a interface do SSP de negociação valida um valor usado durante a seleção do protocolo de autenticação. O invasor que explorar com êxito essa vulnerabilidade poderá assumir o controle total de um sistema afetado.

Fatores atenuantes da vulnerabilidade de SSP de negociação - CAN-2004-0119:

Nos cenários mais comuns, essa vulnerabilidade é uma vulnerabilidade de negação de serviço .
A interface Negociar SSP também é habilitada por padrão no IIS (Serviços de Informações da Internet). No entanto, somente o Windows 2000 (IIS 5.0) e o Windows Server 2003 Web Server Edition (IIS 6.0) instalam o IIS (Serviços de Informações da Internet) por padrão.
Windows NT 4.0 não é afectado por esta vulnerabilidade.

Soluções alternativas para a vulnerabilidade de SSP de negociação - CAN-2004-0119:

Soluções alternativas para o vetor de ataque dos Serviços de Informações da Internet
- Desabilitar a autenticação integrada do Windows
  
  Os administradores podem ajudar a reduzir o risco de ataque por meio dos Serviços de Informações da Internet desabilitando a Autenticação Integrada do Windows. Informações sobre como habilitar ou desabilitar essa opção estão disponíveis no seguinte site.
  
  Impacto da solução alternativa: Todos os aplicativos baseados no IIS que exigem autenticação NTLM (Desafio/Resposta do Windows NT) ou autenticação Kerberos não funcionarão mais corretamente.
- Desabilitar o SSP de negociação
  
  Os administradores podem desabilitar apenas o SSP de negociação (que mantém o NTLM habilitado) seguindo as instruções no Artigo 215383 da Base de Dados de Conhecimento Microsoft, que é resumido abaixo:
  
  Para desabilitar Negociar (e, portanto, impedir a autenticação Kerberos), use o seguinte comando . Observe que "NTLM" deve ser maiúscula para evitar quaisquer efeitos adversos):
  
  cscript adsutil.vbs set w3svc/NTAuthenticationProviders “NTLM”
  
  Impacto da solução alternativa: Todos os aplicativos baseados no IIS que exigem autenticação Kerberos não funcionarão mais corretamente.

Perguntas frequentes sobre a vulnerabilidade de SSP de negociação - CAN-2004-0119:

Qual é a abrangência da vulnerabilidade?

Esta é uma vulnerabilidade de saturação de buffer. No entanto, é mais provável que seja uma vulnerabilidade de negação de serviço. Um intruso que conseguisse tirar partido desta vulnerabilidade poderia assumir o controlo total de um sistema afectado, incluindo a instalação de programas; visualizar, alterar ou excluir dados; ou criar novas contas que tenham privilégios completos.

O que causa a vulnerabilidade?

Um buffer não verificado na interface Negociar SSP.

O que é a interface fornecida pelo Negotiate Security Support?

Como o Windows oferece suporte a muitos tipos diferentes de autenticação, o método de autenticação usado quando um cliente se conecta a um servidor deve ser negociado. A Interface de SSP de Negociação é o componente do sistema operacional que fornece essa funcionalidade. Ele é baseado no mecanismo de negociação GSS-API simples e protegido (SPNEGO) que é definido na RFC 2478. Para obter mais informações sobre métodos de autenticação do Windows, visite o seguinte site.

Por que os Serviços de Informações da Internet são afetados?

A Interface de SSP de Negociação também é habilitada por padrão no IIS (Serviços de Informações da Internet) para que o IIS possa usar protocolos de autenticação como NTLM ou Kerberos para fornecer acesso seguro aos recursos. Para obter mais informações sobre os métodos de autenticação suportados pelo IIS, visite o seguinte Web site.

Para que um invasor pode usar a vulnerabilidade?

Embora seja mais provável que resulte apenas uma negação de serviço, um invasor que explorar com êxito essa vulnerabilidade poderá assumir o controle total de um sistema afetado, incluindo a instalação de programas; visualizar, alterar ou excluir dados; ou criar novas contas que tenham privilégios completos. Se um invasor fez com que o sistema afetado deixasse de responder, um administrador poderia restaurar a funcionalidade normal reiniciando o sistema afetado. No entanto, o sistema pode permanecer suscetível a um novo ataque de negação de serviço até que a atualização seja aplicada.

Quem poderia explorar a vulnerabilidade?

Qualquer usuário anônimo que pudesse entregar uma mensagem especialmente criada a um sistema afetado poderia tentar explorar essa vulnerabilidade. Como esse recurso é habilitado por padrão em todos os sistemas afetados, qualquer usuário que pudesse estabelecer uma conexão com um sistema afetado poderia tentar explorar essa vulnerabilidade.

Como um invasor pode explorar essa vulnerabilidade?

Um invasor pode explorar essa vulnerabilidade criando uma mensagem de rede especialmente criada e enviando a mensagem para o sistema afetado.

Quais são os sistemas que mais correm risco com a vulnerabilidade?

Todos os sistemas afetados podem estar vulneráveis a esse problema por padrão. Além disso, por padrão, os sistemas que executam o Internet Information Services 5.0, o Internet Information Services 5.1 e o Internet Information Services 6.0 também são vulneráveis a esse problema por meio de qualquer porta de escuta.

O que a atualização faz?

A atualização elimina a vulnerabilidade modificando a maneira como a Interface de SSP de Negociação valida o comprimento de uma mensagem antes de passá-la para o buffer alocado.

Vulnerabilidade de SSL - CAN-2004-0120:

Existe uma vulnerabilidade de negação de serviço na biblioteca SSL (Secure Sockets Layer) da Microsoft. A vulnerabilidade resulta da maneira como a biblioteca SSL da Microsoft manipula mensagens SSL malformadas. Esta vulnerabilidade pode fazer com que o sistema afetado pare de aceitar conexões SSL no Windows 2000 e no Windows XP. No Windows Server 2003, a vulnerabilidade pode fazer com que o sistema afetado seja reiniciado automaticamente.

Fatores atenuantes da vulnerabilidade de SSL - CAN-2004-0120:

Somente os sistemas que habilitaram o SSL são afetados, normalmente apenas os sistemas de servidor. O suporte a SSL não está habilitado por padrão em nenhum dos sistemas afetados. No entanto, o SSL é geralmente usado em servidores Web para oferecer suporte a programas de comércio eletrônico, serviços bancários on-line e outros programas que exigem comunicações seguras.
As práticas recomendadas de firewall e as configurações padrão de firewall podem ajudar a proteger as redes contra ataques que se originam fora do perímetro da empresa. As práticas recomendadas recomendam que os sistemas conectados à Internet tenham um número mínimo de portas expostas.
Windows NT 4.0 não é afectado por esta vulnerabilidade.

Soluções alternativas para a vulnerabilidade de SSL - CAN-2004-0120:

Bloquear as portas 443 e 636 no firewall

A porta 443 é usada para receber tráfego SSL. A porta 636 é usada para conexões LDAP SSL (LDAPS). Bloqueá-los no firewall ajudará a impedir que os sistemas que estão atrás desse firewall tentem explorar essa vulnerabilidade. Podem ser encontradas outras portas que podem ser usadas para explorar essa vulnerabilidade. No entanto, as portas listadas aqui são os vetores de ataque mais comuns. A Microsoft recomenda o bloqueio de todas as comunicações de entrada não solicitadas da Internet para ajudar a evitar ataques que possam usar outras portas.

Impacto da solução alternativa: Se as portas 443 ou 636 estiverem bloqueadas, os sistemas afetados não poderão mais aceitar conexões externas usando SSL ou LDAPS.

Perguntas frequentes sobre a vulnerabilidade de SSL - CAN-2004-0120:

Qual é a abrangência da vulnerabilidade?

Uma vulnerabilidade de negação de serviço na biblioteca SSL (Secure Sockets Layer) da Microsoft afeta como ela manipula mensagens SSL especialmente criadas. Esta vulnerabilidade pode fazer com que o sistema afetado pare de aceitar conexões SSL no Windows 2000 e no Windows XP. A vulnerabilidade no Windows Server 2003 pode fazer com que o sistema afetado seja reiniciado automaticamente.

Observe que a vulnerabilidade de negação de serviço não permitiria que invasores executassem código ou elevassem seus privilégios, mas poderia fazer com que o sistema afetado parasse de aceitar solicitações.

O que causa a vulnerabilidade?

O processo usado pela Biblioteca SSL para verificar entradas de mensagens.

O que é a biblioteca Microsoft Secure Sockets Layer?

A biblioteca Microsoft Secure Sockets Layer contém suporte para vários protocolos de comunicação segura. Isso inclui o Transport Layer Security 1.0 (TLS 1.0), o Secure Sockets Layer 3.0 (SSL 3.0), o protocolo Secure Sockets Layer 2.0 (SSL 2.0) mais antigo e raramente usado e o protocolo PCT 1.0 (Private Communication Technology 1.0).

Esses protocolos fornecem uma conexão criptografada entre um servidor e um sistema cliente. O SSL pode ajudar a proteger as informações quando os usuários se conectam em redes públicas, como a Internet. O suporte a SSL requer um certificado SSL, que deve ser instalado em um servidor. Para obter mais informações sobre SSL, consulte o artigo 245152 da Base de Dados de Conhecimento Microsoft.

Para que um invasor pode usar a vulnerabilidade?

No Windows 2000 e no Windows XP, um intruso que explorasse esta vulnerabilidade com êxito poderia fazer com que um sistema afectado deixasse de aceitar ligações SSL. No Windows Server 2003, um invasor pode fazer com que o sistema afetado seja reiniciado automaticamente. Durante esse tempo, o sistema afetado não seria capaz de responder a solicitações de autenticação. Após a reinicialização, o sistema afetado seria restaurado para a funcionalidade típica. No entanto, ele ainda seria suscetível a um novo ataque de negação de serviço, a menos que a atualização seja aplicada.

Se um invasor explorar essa vulnerabilidade, um evento de erro do sistema poderá ser registrado. A identificação de evento 5000 pode ser registrada no log de eventos do sistema, com o valor SymbolicName de "SPMEVENT_PACKAGE_FAULT" e a seguinte descrição:

"O pacote de segurança NAME gerou uma exceção", onde NAME contém o valor de "Schannel" ou "Microsoft Unified Security Protocol Provider".

Quem poderia explorar a vulnerabilidade?

Qualquer usuário anônimo que pudesse entregar uma mensagem SSL especialmente criada a um sistema afetado poderia tentar explorar essa vulnerabilidade.

Como um invasor pode explorar essa vulnerabilidade?

Um invasor pode explorar essa vulnerabilidade criando um programa que pode se comunicar com um servidor vulnerável por meio de um serviço habilitado para SSL para enviar um tipo específico de mensagem TCP especialmente criada. O recebimento de tal mensagem poderia fazer com que o sistema vulnerável falhasse de tal forma que poderia causar uma negação de serviço.

Quais são os sistemas que mais correm risco com a vulnerabilidade?

Todos os sistemas que possuem SSL habilitado são vulneráveis. Embora o SSL seja geralmente associado aos Serviços de Informações da Internet usando HTTPS e a porta 443, qualquer serviço que implemente SSL em uma plataforma afetada provavelmente estará vulnerável. Isso inclui, mas não está limitado a, Serviços de Informações da Internet 4.0, Serviços de Informações da Internet 5.0, Serviços de Informações da Internet 5.1, Exchange Server 5.5, Exchange Server 2000, Exchange Server 2003, Analysis Services 2000 (incluído no SQL Server 2000) e quaisquer programas de terceiros que usam SSL.

Os controladores de domínio do Windows 2000 instalados em um domínio do Active Directory que também tenha uma autoridade de certificação Enterprise Root instalada são afetados por essa vulnerabilidade porque escutam automaticamente conexões SSL seguras.

O que a atualização faz?

A atualização elimina a vulnerabilidade modificando o processamento de mensagens SSL especialmente criadas.

Vulnerabilidade "Double Free" do ASN.1 - CAN-2004-0123

Existe uma vulnerabilidade de execução remota de código na Biblioteca Microsoft ASN.1. A vulnerabilidade é causada por uma possível condição de "liberação dupla" na Biblioteca Microsoft ASN.1 que pode levar à corrupção de memória em um sistema afetado. O invasor que explorar com êxito essa vulnerabilidade poderá assumir o controle total de um sistema afetado. No entanto, no cenário de ataque mais provável, esse problema é uma vulnerabilidade de negação de serviço .

Fatores atenuantes da vulnerabilidade "Double Free" do ASN.1 - CAN-2004-0123:

Devido ao layout exclusivo das estruturas de memória em cada sistema afetado, explorar essa vulnerabilidade em grande escala pode ser potencialmente difícil.

Soluções alternativas para a vulnerabilidade "Double Free" do ASN.1 - CAN-2004-0123:

Nenhum.

Perguntas frequentes sobre a vulnerabilidade "Double Free" do ASN.1 - CAN-2004-0123:

Qual é a abrangência da vulnerabilidade?

Embora seja potencialmente uma vulnerabilidade de execução remota de código, é provavelmente uma vulnerabilidade de negação de serviço . No entanto, um invasor que explorar com êxito essa vulnerabilidade para permitir a execução de código poderá obter controle total sobre um sistema afetado, incluindo a instalação de programas; visualizar, alterar ou excluir dados; ou criar novas contas que tenham privilégios completos.

O que causa a vulnerabilidade?

Existe uma condição potencial de "liberação dupla" que pode levar à corrupção de memória na Biblioteca do Microsoft ASN.1.

O que é uma condição "double free"?

Um invasor pode fazer com que um sistema afetado, ao processar uma mensagem especialmente criada, tente liberar ou "liberar" memória que pode ter sido reservada para uso várias vezes. Liberar memória que já foi liberada pode levar à corrupção de memória. Um invasor pode adicionar código arbitrário à memória que é executado quando a corrupção ocorre. Esse código poderia então ser executado em um nível de privilégio do sistema.

Normalmente, essa vulnerabilidade fará com que ocorra uma negação de serviço. No entanto, em uma base limitada, a execução de código pode ocorrer. Devido ao layout exclusivo da memória em cada sistema afetado, explorar essa vulnerabilidade em grande escala pode ser potencialmente difícil.

O que é ASN.1?

Abstract Syntax Notation 1 (ASN.1) é uma linguagem usada para definir padrões. Ele é usado por muitos aplicativos e dispositivos na indústria de tecnologia para permitir a troca de dados em várias plataformas. O ASN.1 não tem relação direta com nenhum padrão específico, método de codificação, linguagem de programação ou plataforma de hardware. Para obter mais informações sobre ASN.1, consulte o artigo 252648 da Base de Dados de Conhecimento Microsoft.

Para que um invasor pode usar a vulnerabilidade?

Um intruso que conseguisse explorar esta vulnerabilidade com êxito para permitir a execução de código poderia assumir o controlo total de um sistema afectado, incluindo a instalação de programas; visualizar, alterar ou excluir dados; ou criar novas contas que tenham privilégios completos.

No cenário mais provável, um invasor pode causar uma condição de negação de serviço . Um administrador pode reiniciar o sistema afetado para restaurar a funcionalidade típica.

Como um invasor pode explorar essa vulnerabilidade?

Como o ASN.1 é um padrão para muitos aplicativos e dispositivos, há muitos vetores de ataque em potencial. Para explorar com êxito esta vulnerabilidade, um intruso tem de forçar um sistema a descodificar dados ASN.1 especialmente concebidos para o efeito. Por exemplo, usando protocolos de autenticação baseados em ASN.1, um invasor pode construir uma solicitação de autenticação especialmente criada que pode expor essa vulnerabilidade.

Quais são os sistemas que mais correm risco com essa vulnerabilidade?

Os sistemas de servidor correm maior risco do que os sistemas cliente porque é mais provável que tenham um processo de servidor em execução que decodifice dados ASN.1.

O Windows 98, o Windows 98 Second Edition ou o Windows Millennium Edition são afetados criticamente por esta vulnerabilidade?

Não. Embora o Windows Millennium Edition contenha o componente afetado, a vulnerabilidade não é crítica. Para obter mais informações sobre classificações de gravidade, visite o seguinte site.

O que a atualização faz?

A atualização elimina a vulnerabilidade modificando o tratamento de dados especialmente criados pela Biblioteca ASN.1.

Como esta vulnerabilidade se relaciona com a vulnerabilidade corrigida pelo boletim MS04-007?

Ambas as vulnerabilidades estavam no componente ASN.1. No entanto, esta atualização corrige uma vulnerabilidade recém-relatada que não foi abordada como parte do boletim MS04-007. O boletim MS04-007 protege totalmente contra as vulnerabilidades discutidas nesse boletim, mas esta atualização inclui todas as atualizações fornecidas no boletim MS04-007 e as substitui. Se instalar esta actualização, não é necessário instalar o boletim MS04-007.

Informações de atualização de segurança

Pré-requisitos e plataformas de instalação:

Para obter informações sobre a atualização de segurança específica para sua plataforma, clique no link apropriado:

Windows Server 2003 (todas as versões)

Pré-requisitos Esta atualização de segurança requer uma versão lançada do Windows Server 2003.

Inclusão em Service Packs futuros: A atualização para esse problema será incluída no Windows Server 2003 Service Pack 1.

Informações de instalação

Esta atualização de segurança oferece suporte às seguintes opções de instalação:

/help Exibe as opções de linha de comando

Modos de configuração

/quiet Use o modo silencioso (sem interação do usuário ou exibição)

/passive Modo autônomo (somente barra de progresso)

/uninstall Desinstala o pacote

Opções de reinicialização

/norestart Não reiniciar quando a instalação estiver concluída

/forcerestart Reiniciar após a instalação

Opções Especiais

/l Lista os hotfixes ou pacotes de atualização do Windows instalados

/o Substituir arquivos OEM sem solicitar

/n Não faça backup de arquivos necessários para desinstalar

/f Forçar o fechamento de outros programas quando o computador é desligado

Observação Você pode combinar essas opções em um comando. Para compatibilidade com versões anteriores, a atualização de segurança também oferece suporte às opções de instalação usadas pela versão anterior do utilitário de instalação. Para obter mais informações sobre as opções de instalação com suporte, consulte o Artigo 262841 (em inglês) da Microsoft Knowledge Base.

Informações de implantação

Para instalar a atualização de segurança sem qualquer intervenção do usuário, use o seguinte comando em um prompt de comando para o Windows Server 2003:

Windowsserver2003-kb835732-x86-enu /passive /quiet

Para instalar a atualização de segurança sem forçar a reinicialização do sistema, use o seguinte comando em um prompt de comando para o Windows Server 2003:

Windowsserver2003-kb835732-x86-enu /norestart

Para obter informações sobre como implantar esta atualização de segurança com o Software Update Services, visite o site do Software Update Services.

Requisito de reinicialização

Tem de reiniciar o sistema depois de aplicar esta actualização de segurança.

Informações de remoção

Para remover essa atualização, use a ferramenta Adicionar ou remover programas no painel de controle.

Os administradores de sistema também podem usar o utilitário Spuninst.exe para remover esta atualização de segurança. O utilitário Spuninst.exe está localizado na pasta %Windir%\$NTUninstallKB 835732$\Spuninst. O utilitário Spuninst.exe suporta as seguintes opções de instalação:

/?: Mostrar a lista de opções de instalação.

/u: Use o modo autônomo.

/f: Força o encerramento de outros programas quando o computador é desligado.

/z: Não reinicie quando a instalação estiver concluída.

/q: Use o modo silencioso (sem interação do usuário).

Informações de arquivo

A versão em inglês desta atualização tem os atributos de arquivo (ou posteriores) listados na tabela a seguir. As datas e horas desses arquivos são listadas em tempo universal coordenado (UTC). Quando você exibe as informações do arquivo, elas são convertidas para a hora local. Para localizar a diferença entre UTC e hora local, use a guia Fuso horário na ferramenta Data e hora no Painel de controle.

Windows Server 2003 Enterprise Edition, Windows Server 2003 Standard Edition, Windows Server 2003 Web Edition e Windows Server 2003 Datacenter Edition:

Date Time Version Size File name Platform Folder
-----------------------------------------------------------------------------
16-Mar-2004 02:00 5.2.3790.132 364,544 Callcont.dll X86 RTMGDR
16-Mar-2004 02:00 5.2.3790.121 61,440 Eventlog.dll X86 RTMGDR
16-Mar-2004 02:00 5.2.3790.132 256,000 H323.tsp X86 RTMGDR
16-Mar-2004 02:00 5.2.3790.132 601,600 H323msp.dll X86 RTMGDR
16-Mar-2004 02:00 5.2.3790.125 783,360 Helpctr.exe X86 RTMGDR
16-Mar-2004 02:00 5.2.3790.142 448,512 Ipnathlp.dll X86 RTMGDR
16-Mar-2004 02:00 5.2.3790.134 799,232 Lsasrv.dll X86 RTMGDR
16-Mar-2004 02:00 5.2.3790.139 60,928 Msasn1.dll X86 RTMGDR
16-Mar-2004 02:00 5.2.3790.132 253,952 Mst120.dll X86 RTMGDR
16-Mar-2004 02:00 5.2.3790.132 73,728 Nmcom.dll X86 RTMGDR
16-Mar-2004 02:00 5.2.3790.121 565,760 Rtcdll.dll X86 RTMGDR
16-Mar-2004 02:00 5.2.3790.132 153,088 Schannel.dll X86 RTMGDR
16-Mar-2004 02:09 5.2.3790.132 364,544 Callcont.dll X86 RTMQFE
16-Mar-2004 02:09 5.2.3790.121 64,000 Eventlog.dll X86 RTMQFE
16-Mar-2004 02:09 5.2.3790.132 256,000 H323.tsp X86 RTMQFE
16-Mar-2004 02:09 5.2.3790.132 601,600 H323msp.dll X86 RTMQFE
16-Mar-2004 02:09 5.2.3790.125 783,360 Helpctr.exe X86 RTMQFE
16-Mar-2004 02:09 5.2.3790.142 448,512 Ipnathlp.dll X86 RTMQFE
16-Mar-2004 02:09 5.2.3790.134 801,280 Lsasrv.dll X86 RTMQFE
16-Mar-2004 02:09 5.2.3790.139 60,928 Msasn1.dll X86 RTMQFE
16-Mar-2004 02:09 5.2.3790.132 253,952 Mst120.dll X86 RTMQFE
16-Mar-2004 02:09 5.2.3790.132 73,728 Nmcom.dll X86 RTMQFE
16-Mar-2004 02:09 5.2.3790.121 565,760 Rtcdll.dll X86 RTMQFE
16-Mar-2004 02:09 5.2.3790.132 153,088 Schannel.dll X86 RTMQFE

Windows Server 2003 Enterprise Edition de 64 bits e Windows Server 2003 Datacenter Edition de 64 bits:

Date Time Version Size File name Platform Folder
-----------------------------------------------------------------------------
16-Mar-2004 01:54 5.2.3790.121 160,768 Eventlog.dll IA64 RTMGDR
16-Mar-2004 01:54 5.2.3790.132 816,128 H323.tsp IA64 RTMGDR
16-Mar-2004 01:54 5.2.3790.132 1,874,432 H323msp.dll IA64 RTMGDR
05-Feb-2004 00:43 5.2.3790.125 2,063,360 Helpctr.exe IA64 RTMGDR
16-Mar-2004 01:54 5.2.3790.142 1,421,312 Ipnathlp.dll IA64 RTMGDR
16-Mar-2004 01:54 5.2.3790.134 2,034,176 Lsasrv.dll IA64 RTMGDR
16-Mar-2004 01:54 5.2.3790.139 160,256 Msasn1.dll IA64 RTMGDR
16-Mar-2004 01:54 5.2.3790.132 479,744 Schannel.dll IA64 RTMGDR
16-Mar-2004 02:00 5.2.3790.132 256,000 Wh323.tsp X86 RTMGDR\WOW
16-Mar-2004 02:00 5.2.3790.132 601,600 Wh323msp.dll X86 RTMGDR\WOW
16-Mar-2004 02:00 5.2.3790.142 448,512 Wipnathlp.dll X86 RTMGDR\WOW
16-Mar-2004 02:00 5.2.3790.139 60,928 Wmsasn1.dll X86 RTMGDR\WOW
16-Mar-2004 02:00 5.2.3790.132 153,088 Wschannel.dll X86 RTMGDR\WOW
16-Mar-2004 02:12 5.2.3790.121 167,424 Eventlog.dll IA64 RTMQFE
16-Mar-2004 02:12 5.2.3790.132 816,128 H323.tsp IA64 RTMQFE
16-Mar-2004 02:12 5.2.3790.132 1,874,432 H323msp.dll IA64 RTMQFE
05-Feb-2004 00:42 5.2.3790.125 2,063,360 Helpctr.exe IA64 RTMQFE
16-Mar-2004 02:12 5.2.3790.142 1,421,312 Ipnathlp.dll IA64 RTMQFE
16-Mar-2004 02:12 5.2.3790.134 2,038,272 Lsasrv.dll IA64 RTMQFE
16-Mar-2004 02:12 5.2.3790.139 160,256 Msasn1.dll IA64 RTMQFE
16-Mar-2004 02:12 5.2.3790.132 479,744 Schannel.dll IA64 RTMQFE
16-Mar-2004 02:09 5.2.3790.132 256,000 Wh323.tsp X86 RTMQFE\WOW
16-Mar-2004 02:09 5.2.3790.132 601,600 Wh323msp.dll X86 RTMQFE\WOW
16-Mar-2004 02:09 5.2.3790.142 448,512 Wipnathlp.dll X86 RTMQFE\WOW
16-Mar-2004 02:09 5.2.3790.139 60,928 Wmsasn1.dll X86 RTMQFE\WOW
16-Mar-2004 02:09 5.2.3790.132 153,088 Wschannel.dll X86 RTMQFE\WOW

Observação Quando você instala esta atualização de segurança no Windows Server 2003 ou no Windows XP 64-Bit Edition Versão 2003, o instalador verifica se algum dos arquivos que estão sendo atualizados em seu sistema foram atualizados anteriormente por um hotfix da Microsoft. Se você tiver instalado anteriormente um hotfix para atualizar um desses arquivos, o instalador copia os arquivos RTMQFE para o sistema. Caso contrário, o instalador copia os arquivos RTMGDR para o sistema. Para obter mais informações, consulte o artigo 824994 da Base de Dados de Conhecimento Microsoft.

Verificando a instalação da atualização

Para verificar se uma atualização de segurança está instalada em um sistema afetado, você poderá usar a ferramenta MBSA (Microsoft Baseline Security Analyzer), que permite aos administradores verificar os sistemas locais e remotos em busca de atualizações de segurança ausentes e de configurações incorretas de segurança comuns. Para obter mais informações sobre o MBSA, visite o site Microsoft Baseline Security Analyzer.

Você também poderá verificar os arquivos que esta atualização de segurança instalou examinando a seguinte chave do Registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows Server 2003\SP1\KB835732\Lista de arquivos

Observação Essa chave do Registro pode não ser criada corretamente se um administrador ou um OEM integrar ou adicionar a atualização de segurança 835732 aos arquivos de origem da instalação do Windows.

Windows XP (todas as versões)

Observação Para o Windows XP 64-Bit Edition Versão 2003, esta atualização de segurança é igual à atualização de segurança do Windows Server 2003 64-Bit Edition.

Pré-requisitos Esta atualização de segurança requer a versão lançada do Windows XP ou Windows XP Service Pack 1 (SP1). Para obter mais informações, consulte o artigo 322389 da Base de Dados de Conhecimento Microsoft.

As atualizações para esses problemas serão incluídas no Windows XP Service Pack 2.

Informações de instalação

Esta atualização de segurança oferece suporte às seguintes opções de instalação:

/help Exibe as opções de linha de comando

Modos de configuração

/quiet Use o modo silencioso (sem interação do usuário ou exibição)

/passive Modo autônomo (somente barra de progresso)

/uninstall Desinstala o pacote

Opções de reinicialização

/norestart Não reiniciar quando a instalação estiver concluída

/forcerestart Reiniciar após a instalação

Opções Especiais

/l Lista os hotfixes ou pacotes de atualização do Windows instalados

/o Substituir arquivos OEM sem solicitar

/n Não faça backup de arquivos necessários para desinstalar

/f Forçar o fechamento de outros programas quando o computador é desligado

Informações de implantação

Para instalar a atualização de segurança sem qualquer intervenção do usuário, use o seguinte comando em um prompt de comando para o Windows XP:

Windowsxp-kb835732-x86-enu /passivo /silencioso

Para instalar a atualização de segurança sem forçar a reinicialização do sistema, use o seguinte comando em um prompt de comando para o Windows XP:

Windowsxp-kb835732-x86-enu /norestart

Para obter informações sobre como implantar esta atualização de segurança com o Software Update Services, visite o site do Software Update Services.

Requisito de reinicialização

Tem de reiniciar o sistema depois de aplicar esta actualização de segurança.

Informações de remoção

Para remover essa atualização, use a ferramenta Adicionar ou remover programas no painel de controle.

/?: Mostrar a lista de opções de instalação.

/u: Use o modo autônomo.

/f: Força o encerramento de outros programas quando o computador é desligado.

/z: Não reinicie quando a instalação estiver concluída.

/q: Use o modo silencioso (sem interação do usuário).

Informações de arquivo

Windows XP Home Edition, Windows XP Professional, Windows XP Home Edition Service Pack 1, Windows XP Professional Service Pack 1, Windows XP Tablet PC Edition e Windows XP Media Center Edition:

Date Time Version Size File name Folder
-----------------------------------------------------------------------
27-Mar-2004 01:01 5.1.2600.105 48,640 Browser.dll (pre-sp1)
27-Mar-2004 01:01 5.1.2600.133 364,544 Callcont.dll (pre-sp1)
27-Mar-2004 01:01 5.1.2600.136 40,960 Evtgprov.dll (pre-sp1)
27-Mar-2004 01:01 5.1.2600.132 241,664 Gdi32.dll (pre-sp1)
27-Mar-2004 01:01 5.1.2600.134 253,440 H323.tsp (pre-sp1)
27-Mar-2004 01:01 5.1.2600.134 593,408 H323msp.dll (pre-sp1)
05-Feb-2004 22:14 5.1.2600.128 727,040 Helpctr.exe (pre-sp1)
27-Mar-2004 01:01 5.1.2600.137 454,656 Ipnathlp.dll (pre-sp1)
27-Mar-2004 01:01 5.1.2600.134 648,192 Lsasrv.dll (pre-sp1)
27-Mar-2004 01:01 5.1.2600.132 36,864 Mf3216.dll (pre-sp1)
27-Mar-2004 01:01 5.1.2600.137 51,712 Msasn1.dll (pre-sp1)
27-Mar-2004 01:01 5.1.2600.128 969,216 Msgina.dll (pre-sp1)
27-Mar-2004 01:01 5.1.2600.133 253,952 Mst120.dll (pre-sp1)
27-Mar-2004 01:01 5.1.2600.122 301,568 Netapi32.dll (pre-sp1)
27-Mar-2004 01:01 5.1.2600.133 73,728 Nmcom.dll (pre-sp1)
27-Mar-2004 01:01 5.1.2600.134 550,400 Rtcdll.dll (pre-sp1)
27-Mar-2004 01:01 5.1.2600.136 136,704 Schannel.dll (pre-sp1)
26-Mar-2004 19:43 5.1.2600.1348 364,544 Callcont.dll (with sp1)
26-Mar-2004 19:43 5.1.2600.1363 40,960 Evtgprov.dll (with sp1)
26-Mar-2004 19:43 5.1.2600.1346 257,536 Gdi32.dll (with sp1)
26-Mar-2004 19:43 5.1.2600.1348 253,440 H323.tsp (with sp1)
26-Mar-2004 19:43 5.1.2600.1348 593,408 H323msp.dll (with sp1)
26-Mar-2004 19:30 5.1.2600.1340 741,376 Helpctr.exe (with sp1)
26-Mar-2004 19:43 5.1.2600.1364 439,808 Ipnathlp.dll (with sp1)
26-Mar-2004 19:43 5.1.2600.1361 667,648 Lsasrv.dll (with sp1)
26-Mar-2004 19:43 5.1.2600.1331 36,864 Mf3216.dll (with sp1)
26-Mar-2004 19:43 5.1.2600.1362 51,712 Msasn1.dll (with sp1)
26-Mar-2004 19:43 5.1.2600.1343 971,264 Msgina.dll (with sp1)
26-Mar-2004 19:43 5.1.2600.1348 253,952 Mst120.dll (with sp1)
26-Mar-2004 19:43 5.1.2600.1343 306,176 Netapi32.dll (with sp1)
26-Mar-2004 19:43 5.1.2600.1348 73,728 Nmcom.dll (with sp1)
26-Mar-2004 19:43 5.1.2600.1351 548,352 Rtcdll.dll (with sp1)
26-Mar-2004 19:43 5.1.2600.1347 136,704 Schannel.dll (with sp1)
10-Mar-2004 17:59 5.1.2600.1363 593,408 Xpsp2res.dll (with sp1)

Windows XP 64-Bit Edition Service Pack 1:

Date Time Version Size File name Platform
--------------------------------------------------------------------------
26-Mar-2004 19:40 5.1.2600.1363 134,656 Evtgprov.dll IA64
26-Mar-2004 19:40 5.1.2600.1346 884,736 Gdi32.dll IA64
26-Mar-2004 19:40 5.1.2600.1348 1,035,264 H323.tsp IA64
26-Mar-2004 19:40 5.1.2600.1348 2,230,272 H323msp.dll IA64
05-Feb-2004 21:40 5.1.2600.1340 2,426,368 Helpctr.exe IA64
26-Mar-2004 19:40 5.1.2600.1364 1,782,784 Ipnathlp.dll IA64
26-Mar-2004 19:40 5.1.2600.1361 2,069,504 Lsasrv.dll IA64
26-Mar-2004 19:40 5.1.2600.1331 128,512 Mf3216.dll IA64
26-Mar-2004 19:40 5.1.2600.1362 179,200 Msasn1.dll IA64
26-Mar-2004 19:40 5.1.2600.1343 1,272,320 Msgina.dll IA64
26-Mar-2004 19:40 5.1.2600.1343 903,168 Netapi32.dll IA64
26-Mar-2004 19:40 5.1.2600.1347 508,416 Schannel.dll IA64
26-Mar-2004 19:43 5.1.2600.1346 237,568 Wgdi32.dll X86
26-Mar-2004 19:43 5.1.2600.1348 253,440 Wh323.tsp X86
26-Mar-2004 19:43 5.1.2600.1348 593,408 Wh323msp.dll X86
26-Mar-2004 19:43 5.1.2600.1364 439,808 Wipnathlp.dll X86
26-Mar-2004 19:43 5.1.2600.1331 36,864 Wmf3216.dll X86
26-Mar-2004 19:43 5.1.2600.1362 51,712 Wmsasn1.dll X86
26-Mar-2004 19:43 5.1.2600.1343 971,264 Wmsgina.dll X86
26-Mar-2004 19:43 5.1.2600.1343 306,176 Wnetapi32.dll X86
26-Mar-2004 19:43 5.1.2600.1347 136,704 Wschannel.dll X86
10-Mar-2004 17:59 5.1.2600.1363 593,408 Wxpsp2res.dll X86
10-Mar-2004 17:59 5.1.2600.1363 592,896 Xpsp2res.dll IA64

Windows XP 64-Bit Edition Versão 2003:

Date Time Version Size File name Platform Folder
-----------------------------------------------------------------------------
16-Mar-2004 01:54 5.2.3790.121 160,768 Eventlog.dll IA64 RTMGDR
16-Mar-2004 01:54 5.2.3790.132 816,128 H323.tsp IA64 RTMGDR
16-Mar-2004 01:54 5.2.3790.132 1,874,432 H323msp.dll IA64 RTMGDR
05-Feb-2004 00:43 5.2.3790.125 2,063,360 Helpctr.exe IA64 RTMGDR
16-Mar-2004 01:54 5.2.3790.142 1,421,312 Ipnathlp.dll IA64 RTMGDR
16-Mar-2004 01:54 5.2.3790.134 2,034,176 Lsasrv.dll IA64 RTMGDR
16-Mar-2004 01:54 5.2.3790.139 160,256 Msasn1.dll IA64 RTMGDR
16-Mar-2004 01:54 5.2.3790.132 479,744 Schannel.dll IA64 RTMGDR
16-Mar-2004 02:00 5.2.3790.132 256,000 Wh323.tsp X86 RTMGDR\WOW
16-Mar-2004 02:00 5.2.3790.132 601,600 Wh323msp.dll X86 RTMGDR\WOW
16-Mar-2004 02:00 5.2.3790.142 448,512 Wipnathlp.dll X86 RTMGDR\WOW
16-Mar-2004 02:00 5.2.3790.139 60,928 Wmsasn1.dll X86 RTMGDR\WOW
16-Mar-2004 02:00 5.2.3790.132 153,088 Wschannel.dll X86 RTMGDR\WOW
16-Mar-2004 02:12 5.2.3790.121 167,424 Eventlog.dll IA64 RTMQFE
16-Mar-2004 02:12 5.2.3790.132 816,128 H323.tsp IA64 RTMQFE
16-Mar-2004 02:12 5.2.3790.132 1,874,432 H323msp.dll IA64 RTMQFE
05-Feb-2004 00:42 5.2.3790.125 2,063,360 Helpctr.exe IA64 RTMQFE
16-Mar-2004 02:12 5.2.3790.142 1,421,312 Ipnathlp.dll IA64 RTMQFE
16-Mar-2004 02:12 5.2.3790.134 2,038,272 Lsasrv.dll IA64 RTMQFE
16-Mar-2004 02:12 5.2.3790.139 160,256 Msasn1.dll IA64 RTMQFE
16-Mar-2004 02:12 5.2.3790.132 479,744 Schannel.dll IA64 RTMQFE
16-Mar-2004 02:09 5.2.3790.132 256,000 Wh323.tsp X86 RTMQFE\WOW
16-Mar-2004 02:09 5.2.3790.132 601,600 Wh323msp.dll X86 RTMQFE\WOW
16-Mar-2004 02:09 5.2.3790.142 448,512 Wipnathlp.dll X86 RTMQFE\WOW
16-Mar-2004 02:09 5.2.3790.139 60,928 Wmsasn1.dll X86 RTMQFE\WOW
16-Mar-2004 02:09 5.2.3790.132 153,088 Wschannel.dll X86 RTMQFE\WOW

Observação As versões Windows XP e Windows XP 64-Bit Edition Versão 2003 desta atualização de segurança são empacotadas como pacotes de modo duplo, que contêm arquivos para a versão original do Windows XP e Windows XP Service Pack 1 (SP1). Para obter informações adicionais sobre pacotes de modo duplo, consulte o Artigo 328848 (em inglês) da Microsoft Knowledge Base.

Quando você instala a atualização de segurança do Windows XP 64-Bit Edition Versão 2003, o instalador verifica se algum dos arquivos que estão sendo atualizados em seu sistema foi atualizado anteriormente por um hotfix da Microsoft. Se você tiver instalado anteriormente um hotfix para atualizar um desses arquivos, o instalador copia os arquivos RTMQFE para o sistema. Caso contrário, o instalador copia os arquivos RTMGDR para o sistema. Para obter mais informações, consulte o artigo 824994 da Base de Dados de Conhecimento Microsoft.

Verificando a instalação da atualização

Você também poderá verificar os arquivos que esta atualização de segurança instalou examinando as seguintes chaves do Registro:

Para Windows XP Home Edition, Windows XP Professional, Windows XP Home Edition Service Pack 1, Windows XP Professional Service Pack 1, Windows XP 64-Bit Edition Service Pack 1, Windows XP Tablet PC Edition e Windows XP Media Center Edition:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP2\KB835732\Lista de arquivos

Para o Windows XP 64-Bit Edition Versão 2003:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows Server 2003\SP1\KB835732\Lista de arquivos

Windows 2000 (todas as versões)

Pré-requisitos Para o Windows 2000, esta atualização de segurança requer Service Pack 2 (SP2), Service Pack 3 (SP3) ou Service Pack 4 (SP4).

Para obter mais informações sobre como obter o service pack mais recente, consulte o Artigo 260910 (em inglês) da Microsoft Knowledge Base.

Inclusão em Service Packs futuros: A atualização para esse problema será incluída no Windows 2000 Service Pack 5.

Informações de instalação

Esta atualização de segurança oferece suporte às seguintes opções de instalação:

/help Exibe as opções de linha de comando

Modos de configuração

/quiet Use o modo silencioso (sem interação do usuário ou exibição)

/passive Modo autônomo (somente barra de progresso)

/uninstall Desinstala o pacote

Opções de reinicialização

/norestart Não reiniciar quando a instalação estiver concluída

/forcerestart Reiniciar após a instalação

Opções Especiais

/l Lista os hotfixes ou pacotes de atualização do Windows instalados

/o Substituir arquivos OEM sem solicitar

/n Não faça backup de arquivos necessários para desinstalar

/f Forçar o fechamento de outros programas quando o computador é desligado

Informações de implantação

Para instalar a atualização de segurança sem qualquer intervenção do usuário, use o seguinte comando em um prompt de comando para Windows 2000 Service Pack 2, Windows 2000 Service Pack 3 e Windows 2000 Service Pack 4:

Windows2000-kb835732-x86-enu /passive /quiet

Para instalar a atualização de segurança sem forçar a reinicialização do sistema, use o seguinte comando em um prompt de comando para Windows 2000 Service Pack 2, Windows 2000 Service Pack 3 e Windows 2000 Service Pack 4:

Windows2000-kb835732-x86-enu /norestart

Para obter informações sobre como implantar esta atualização de segurança com o Software Update Services, visite o site do Software Update Services.

Requisito de reinicialização

Tem de reiniciar o sistema depois de aplicar esta actualização de segurança.

Informações de remoção

Para remover essa atualização, use a ferramenta Adicionar ou remover programas no painel de controle.

/?: Mostrar a lista de opções de instalação.

/u: Use o modo autônomo.

/f: Força o encerramento de outros programas quando o computador é desligado.

/z: Não reinicie quando a instalação estiver concluída.

/q: Use o modo silencioso (sem interação do usuário).

Informações de arquivo

Observação As informações de data e hora podem ser alteradas durante a instalação. As informações de versão, tamanho e nome de arquivo devem ser usadas para determinar a exatidão dos arquivos.

Windows 2000 Service Pack 2, Windows 2000 Service Pack 3 e Windows 2000 Service Pack 4:

Date Time Version Size File name Folder
-----------------------------------------------------------------------
24-Mar-2004 02:17 5.0.2195.6876 388,368 Advapi32.dll
24-Mar-2004 02:17 5.0.2195.6824 42,256 Basesrv.dll
24-Mar-2004 02:17 5.0.2195.6866 69,904 Browser.dll
24-Mar-2004 02:17 5.0.2195.6901 394,512 Callcont.dll
21-Sep-2003 00:45 5.0.2195.6824 236,304 Cmd.exe
24-Mar-2004 02:17 5.131.2195.6824 543,504 Crypt32.dll
24-Mar-2004 02:17 5.131.2195.6824 61,200 Cryptnet.dll
24-Mar-2004 02:17 5.0.2195.6868 76,048 Cryptsvc.dll
24-Mar-2004 02:17 5.0.2195.6824 134,928 Dnsapi.dll
24-Mar-2004 02:17 5.0.2195.6876 92,432 Dnsrslvr.dll
24-Mar-2004 02:17 5.0.2195.6883 47,888 Eventlog.dll
24-Mar-2004 02:17 5.0.2195.6898 242,448 Gdi32.dll
24-Mar-2004 02:17 5.0.2195.6901 255,248 H323.tsp
24-Mar-2004 00:46 502 Hfsecper.inf
17-Mar-2004 21:50 502 Hfsecupd.inf
24-Mar-2004 02:17 5.0.2195.6902 442,640 Ipnathlp.dll
24-Mar-2004 02:17 5.0.2195.6890 143,632 Kdcsvc.dll
11-Mar-2004 02:37 5.0.2195.6903 210,192 Kerberos.dll
24-Mar-2004 02:17 5.0.2195.6897 742,160 Kernel32.dll
21-Sep-2003 00:32 5.0.2195.6824 71,888 Ksecdd.sys
11-Mar-2004 02:37 5.0.2195.6902 520,976 Lsasrv.dll
25-Feb-2004 23:59 5.0.2195.6902 33,552 Lsass.exe
24-Mar-2004 02:17 5.0.2195.6898 37,136 Mf3216.dll
10-Feb-2004 19:47 5.0.2195.6897 30,160 Mountmgr.sys
24-Mar-2004 02:17 5.0.2195.6824 54,544 Mpr.dll
24-Mar-2004 02:17 5.0.2195.6905 53,520 Msasn1.dll
24-Mar-2004 02:17 5.0.2195.6895 335,120 Msgina.dll
24-Mar-2004 02:17 5.0.2195.6901 249,616 Mst120.dll
11-Mar-2004 02:37 5.0.2195.6897 123,152 Msv1_0.dll
24-Mar-2004 02:17 5.0.2195.6897 312,592 Netapi32.dll
24-Mar-2004 02:17 5.0.2195.6891 371,472 Netlogon.dll
24-Mar-2004 02:17 5.0.2195.6901 62,224 Nmcom.dll
24-Mar-2004 02:17 5.0.2195.6899 497,936 Ntdll.dll
24-Mar-2004 02:17 5.0.2195.6896 1,028,880 Ntdsa.dll
25-Feb-2004 23:55 5.0.2195.6902 1,699,904 Ntkrnlmp.exe
25-Feb-2004 23:55 5.0.2195.6902 1,699,264 Ntkrnlpa.exe
25-Feb-2004 23:55 5.0.2195.6902 1,720,064 Ntkrpamp.exe
11-Mar-2004 02:37 5.0.2195.6902 1,726,032 Ntoskrnl.exe
24-Mar-2004 02:17 5.0.2195.6824 115,984 Psbase.dll
24-Mar-2004 02:17 5.0.2195.6892 90,264 Rdpwd.sys
24-Mar-2004 02:17 5.0.2195.6897 49,936 Samlib.dll
24-Mar-2004 02:17 5.0.2195.6897 388,368 Samsrv.dll
24-Mar-2004 02:17 5.0.2195.6893 111,376 Scecli.dll
24-Mar-2004 02:17 5.0.2195.6903 253,200 Scesrv.dll
11-Mar-2004 02:37 5.1.2195.6899 143,120 Schannel.dll
19-Jun-2003 20:05 5.0.2195.6707 17,168 Seclogon.dll
24-Mar-2004 02:17 5.0.2195.6894 971,536 Sfcfiles.dll
05-Feb-2004 20:18 5.0.2195.6896 5,869,056 Sp3res.dll
24-Mar-2004 02:17 1.0.0.4 27,920 Umandlg.dll
24-Mar-2004 02:17 5.0.2195.6897 403,216 User32.dll
05-Aug-2003 22:14 5.0.2195.6794 385,808 Userenv.dll
24-Mar-2004 02:17 5.0.2195.6824 50,960 W32time.dll
21-Sep-2003 00:32 5.0.2195.6824 57,104 W32tm.exe
11-Mar-2004 02:37 5.0.2195.6897 1,720,368 Win32k.sys
12-Dec-2003 21:38 5.1.2600.1327 311,296 Winhttp.dll
11-Mar-2004 02:37 5.0.2195.6898 181,520 Winlogon.exe
25-Sep-2003 18:08 5.0.2195.6826 243,984 Winsrv.dll
24-Mar-2004 02:17 5.131.2195.6824 167,184 Wintrust.dll
24-Mar-2004 02:17 5.0.2195.6897 742,160 Kernel32.dll Uniproc
24-Mar-2004 02:17 5.0.2195.6899 497,936 Ntdll.dll Uniproc
11-Mar-2004 02:37 5.0.2195.6897 1,720,368 Win32k.sys Uniproc
25-Sep-2003 18:08 5.0.2195.6826 243,984 Winsrv.dll Uniproc

Verificando a instalação da atualização

Você também poderá verificar os arquivos que esta atualização de segurança instalou examinando a seguinte chave do Registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Atualizações\Windows 2000\SP5\KB835732\Lista de arquivos

Windows NT 4.0 (todas as versões)

Pré-requisitos Esta atualização de segurança requer o Windows NT Workstation 4.0 Service Pack 6a (SP6a), Windows NT Server 4.0 Service Pack 6a (SP6a) ou Windows NT Server 4.0 Terminal Server Edition Service Pack 6 (SP6).

Observação A atualização de segurança para o Windows NT Server 4.0 Terminal Server Edition Service Pack 6 requer, como pré-requisito, o Windows NT Server 4.0 Terminal Server Edition Security Rollup Package (SRP). Para baixar o SRP, visite o seguinte site. Você deve instalar o SRP antes de instalar a atualização de segurança fornecida neste boletim de segurança. Se você não estiver usando o Windows NT Server 4.0, Terminal Server Edition Service Pack 6, não é necessário instalar o SRP.

Para obter mais informações sobre como obter o service pack mais recente, consulte o Artigo 152734 (em inglês) da Microsoft Knowledge Base.

Informações de instalação

Esta atualização de segurança oferece suporte às seguintes opções de instalação:

/y: Executar remoção (somente com /m ou /q )

/f: Forçar o encerramento de programas durante o processo de desligamento

/n: Não crie uma pasta de desinstalação

/z: Não reiniciar quando a atualização for concluída

/q: Use o modo Silencioso ou Autônomo sem interface de usuário (essa opção é um superconjunto de /m )

/m: Usar o modo autônomo com uma interface de usuário

/l: Lista os hotfixes instalados

/x: Extraia os arquivos sem executar a Instalação

Observação Você pode combinar essas opções em um comando. Para obter mais informações sobre as opções de instalação com suporte, consulte o artigo 262841 da Base de Dados de Conhecimento Microsoft.

Informações de implantação

Para instalar a actualização de segurança sem qualquer intervenção do utilizador, utilize o seguinte comando numa linha de comandos para o Windows NT 4.0:

Windowsnt4server-kb835732-x86-enu /q

Para Windows NT Server 4.0 Terminal Server Edition:

Windowsnt4terminalserver-kb835732-x86-enu /q

Para o Windows NT Workstation 4.0:

Windowsnt4workstation-kb835732-x86-enu /q

Para instalar a atualização de segurança sem forçar a reinicialização do sistema, use o seguinte comando em um prompt de comando para o Windows NT Server 4.0:

Windowsnt4server-kb835732-x86-enu /z

Para Windows NT Server 4.0 Terminal Server Edition:

Windowsnt4terminalserver-kb835732-x86-enu /z

Para o Windows NT Workstation 4.0:

Windowsnt4workstation-kb835732-x86-enu /z

Para obter mais informações sobre como implantar esta atualização de segurança com o Software Update Services, visite o site do Software Update Services.

Requisito de reinicialização

Tem de reiniciar o sistema depois de aplicar esta actualização de segurança.

Informações de remoção

Para remover esta actualização de segurança, utilize a ferramenta Adicionar/Remover Programas no Painel de Controlo.

Os administradores de sistema podem usar o utilitário Hotfix.exe para remover esta atualização de segurança. O utilitário Hotfix.exe está localizado na pasta %Windir%\$NTUninstallKB 835732$. O utilitário Hotfix.exe suporta as seguintes opções de instalação:

/y: Execute a remoção (somente com a opção /m ou /q )

/f: Forçar o encerramento de programas durante o processo de desligamento

/n: Não crie uma pasta de desinstalação

/z: Não reinicie quando a instalação estiver concluída

/q: Use o modo Silencioso ou Autônomo sem interface de usuário (essa opção é um superconjunto da opção /m )

/m: Usar o modo autônomo com uma interface de usuário

/l: Lista os hotfixes instalados

Informações de arquivo

Windows NT Workstation 4.0

Date Time Version Size File name Folder
--------------------------------------------------------------------
24-Jan-2004 00:12 5.131.1880.14 465,680 Crypt32.dll
25-Sep-2002 21:36 5.0.1558.6072 90,384 Cryptdlg.dll
12-Dec-2003 00:10 5.131.1878.14 440,080 Cryptui.dll
27-Feb-2004 16:43 4.0.1381.7263 205,584 Gdi32.dll
23-Feb-2004 15:13 4.0.1381.7263 40,720 Mf3216.dll
05-Mar-2004 23:59 5.0.2195.6905 53,520 Msasn1.dll
28-Feb-2004 01:31 5.131.1880.14 37,136 Mscat32.dll
09-Jan-2004 15:40 4.0.1381.7255 125,200 Msgina.dll
07-Jan-2003 02:22 5.131.1878.13 28,432 Mssip32.dll
18-Mar-2004 10:20 4.0.1381.7265 958,336 Ntkrnlmp.exe
18-Mar-2004 10:20 4.0.1381.7265 937,984 Ntoskrnl.exe
25-Oct-2003 01:13 4.86.1964.1880 143,632 Schannel.dll
12-Dec-2003 22:24 5.131.1880.14 6,928 Softpub.dll
27-Feb-2004 16:43 4.0.1381.7255 326,928 User32.dll
07-Jan-2004 10:47 4.0.1381.7255 1,255,152 Win32k.sys
27-Feb-2004 16:43 4.0.1381.7260 174,864 Winsrv.dll
19-Feb-2004 17:50 5.131.1880.14 165,648 Wintrust.dll
25-Oct-2003 01:13 4.87.1964.1880 112,912 Schannel.dll 128bit

Windows NT Server 4.0:

Date Time Version Size File name Folder
-----------------------------------------------------------------------
24-Jan-2004 00:12 5.131.1880.14 465,680 Crypt32.dll
25-Sep-2002 21:36 5.0.1558.6072 90,384 Cryptdlg.dll
12-Dec-2003 00:10 5.131.1878.14 440,080 Cryptui.dll
27-Feb-2004 16:43 4.0.1381.7263 205,584 Gdi32.dll
23-Feb-2004 15:13 4.0.1381.7263 40,720 Mf3216.dll
05-Mar-2004 23:59 5.0.2195.6905 53,520 Msasn1.dll
28-Feb-2004 01:31 5.131.1880.14 37,136 Mscat32.dll
09-Jan-2004 15:40 4.0.1381.7255 125,200 Msgina.dll
07-Jan-2003 02:22 5.131.1878.13 28,432 Mssip32.dll
18-Mar-2004 10:20 4.0.1381.7265 958,336 Ntkrnlmp.exe
18-Mar-2004 10:20 4.0.1381.7265 937,984 Ntoskrnl.exe
25-Oct-2003 01:13 4.86.1964.1880 143,632 Schannel.dll
12-Dec-2003 22:24 5.131.1880.14 6,928 Softpub.dll
27-Feb-2004 16:43 4.0.1381.7255 326,928 User32.dll
07-Jan-2004 10:47 4.0.1381.7255 1,255,152 Win32k.sys
27-Feb-2004 16:43 4.0.1381.7260 174,864 Winsrv.dll
19-Feb-2004 17:50 5.131.1880.14 165,648 Wintrust.dll
25-Oct-2003 01:13 4.87.1964.1880 112,912 Schannel.dll 128 Bit

Windows NT Server 4.0 Terminal Server Edition:

Date Time Version Size File name Folder
-----------------------------------------------------------------------
24-Jan-2004 00:12 5.131.1880.14 465,680 Crypt32.dll
25-Sep-2002 21:36 5.0.1558.6072 90,384 Cryptdlg.dll
12-Dec-2003 00:10 5.131.1878.14 440,080 Cryptui.dll
24-Feb-2004 18:25 4.0.1381.33562 206,096 Gdi32.dll
24-Feb-2004 18:25 4.0.1381.33562 40,208 Mf3216.dll
05-Mar-2004 23:59 5.0.2195.6905 53,520 Msasn1.dll
28-Feb-2004 01:31 5.131.1880.14 37,136 Mscat32.dll
09-Jan-2004 15:41 4.0.1381.33559 208,656 Msgina.dll
07-Jan-2003 02:22 5.131.1878.13 28,432 Mssip32.dll
18-Mar-2004 11:44 4.0.1381.33563 1,004,160 Ntkrnlmp.exe
18-Mar-2004 11:44 4.0.1381.33563 983,104 Ntoskrnl.exe
25-Oct-2003 01:13 4.86.1964.1880 143,632 Schannel.dll
12-Dec-2003 22:24 5.131.1880.14 6,928 Softpub.dll
19-Aug-2003 13:58 4.0.1381.33552 332,048 User32.dll
26-Jan-2004 16:59 4.0.1381.33559 1,280,816 Win32k.sys
16-Dec-2003 17:56 4.0.1381.33559 196,368 Winsrv.dll
19-Feb-2004 17:50 5.131.1880.14 165,648 Wintrust.dll
25-Oct-2003 01:13 4.87.1964.1880 112,912 Schannel.dll 128bit

Verificando a instalação da atualização

Você também poderá verificar os arquivos que esta atualização de segurança instalou examinando a seguinte chave do Registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Hotfix\KB835732\Arquivo 1

Outras Informações

Confirmações

A Microsoft agradece o seguinte por trabalhar conosco para ajudar a proteger os clientes:

Carlos Sarraute da Core Security Technologies por relatar a vulnerabilidade LDAP (CAN-2003-0663).
Internet Security Systems por relatar a vulnerabilidade PCT (CAN-2003-0719).
Ondrej Sevecek por relatar a vulnerabilidade do Winlogon (CAN-2003-0806).
iDefense e Jouko Pynnönen por relatarem a Vulnerabilidade de Ajuda e Suporte (CAN-2003-0907).
Brett Moore, da Security-Assessment.com, Cesar Cerrudo e Ben Pryor , por relatarem a vulnerabilidade do Gerenciador de utilitários (CAN-2003-0908).
Erik Kamphuis, da LogicaCMG , que trabalha em nome do Departamento de Impostos da Holanda, por relatar a vulnerabilidade de gerenciamento do Windows (CAN-2003-0909).
NSFOCUS Security Team por relatar a vulnerabilidade de SSP de negociação (CAN-2004-0119).
John Lampe, da Tenable Network Security , por relatar a vulnerabilidade de SSL (CAN-2004-0120)
Foundstone Labs e Qualys por relatar a vulnerabilidade "Double Free" do ASN.1 (CAN-2004-0123).
eEye Digital Security por relatar a vulnerabilidade do LSASS (CAN-2003-0533), a vulnerabilidade de metarquivo (CAN-2003-0906), a vulnerabilidade de tabela de descritor local (CAN-2003-0910) e a vulnerabilidade da máquina virtual do DOS (CAN-2004-0118)

Obtendo outras atualizações de segurança:

Atualizações para outros problemas de segurança estão disponíveis nos seguintes locais:

As atualizações de segurança estão disponíveis no Centro de Download da Microsoft: você pode encontrá-las mais facilmente fazendo uma pesquisa de palavra-chave para "security_patch".
As atualizações para plataformas de consumidor estão disponíveis no site Windows Update .

Suporte:

Os clientes nos EUA e no Canadá podem obter suporte técnico do Atendimento Microsoft em 1-866-PCSAFETY. Não há cobrança por chamadas de suporte associadas a atualizações de segurança.
Os clientes internacionais podem obter suporte de suas subsidiárias locais da Microsoft. Não há cobrança pelo suporte associado às atualizações de segurança. Para obter mais informações sobre como entrar em contato com a Microsoft para problemas de suporte, visite o site de suporte internacional.

Recursos de segurança:

O site Microsoft TechNet Security fornece informações adicionais sobre segurança em produtos Microsoft.
Serviços de Atualização de Software da Microsoft
MBSA (Microsoft Baseline Security Analyzer )
Windows Update
Catálogo do Windows Update: para obter mais informações sobre o Catálogo do Windows Update, consulte o Artigo 323166 da Base de Dados de Conhecimento Microsoft.
Atualização do Office

Serviços de Atualização de Software (SUS):

O Microsoft Software Update Services (SUS) permite que os administradores implantem de forma rápida e confiável as atualizações críticas e de segurança mais recentes em servidores baseados no Windows® 2000 e no Windows Server™ 2003, bem como em sistemas de área de trabalho que executam o Windows 2000 Professional ou o Windows XP Professional.

Para obter informações sobre como implantar esta atualização de segurança com o Software Update Services, visite o site do Software Update Services .

Servidor de Gerenciamento de Sistemas (SMS):

O Systems Management Server pode fornecer assistência na implantação desta atualização de segurança. Para obter informações sobre o Systems Management Server, visite o site do SMS. Para obter informações detalhadas sobre os muitos aprimoramentos no processo de implantação da atualização de segurança fornecido pelo SMS 2003, visite o site do SMS 2003 Security Patch Management. Para usuários do SMS 2.0, ele também fornece várias ferramentas adicionais para ajudar os administradores na implantação de atualizações de segurança, como o SMS 2.0 Software Update Services Feature Pack e o SMS 2.0 Administration Feature Pack. O SMS 2.0 Software Update Services Feature Pack utiliza o Microsoft Baseline Security Analyzer e a Microsoft Office Detection Tool para fornecer amplo suporte para correção de boletins de segurança. Algumas atualizações de software podem exigir direitos administrativos após uma reinicialização do computador

Observação Os recursos de inventário do SMS 2.0 Software Update Services Feature Pack podem ser usados para direcionar atualizações para computadores específicos, e a Ferramenta de Implantação de Direitos Elevados do SMS 2.0 Administration Feature Pack pode ser usada para instalação. Isso fornece a implantação ideal para atualizações que exigem direcionamento explícito usando o Systems Management Server e direitos administrativos após o computador ter sido reiniciado.

Aviso de Isenção de Responsabilidade:

As informações fornecidas na Base de Dados de Conhecimento Microsoft são fornecidas "no estado em que se encontram", sem qualquer tipo de garantia. A Microsoft se isenta de todas as garantias, expressas ou implícitas, incluindo as garantias de comercialização e adequação a uma finalidade específica. Em nenhuma circunstância a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, incluindo danos diretos, indiretos, incidentais, consequenciais, perda de lucros comerciais ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido avisados da possibilidade de tais danos. Alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou incidentais, portanto, a limitação acima pode não se aplicar.

Revisões:

V1.0 13 de abril de 2004: Boletim publicado
V1.1 21 de abril de 2004: Boletim atualizado para refletir informações atualizadas na seção Atualizar substituição. O boletim também foi atualizado para refletir a alteração no comportamento de detecção do MBSA, conforme descrito na seção Perguntas frequentes atualizadas. O boletim também contém revisões da seção de solução alternativa para a vulnerabilidade do Gerenciador do utilitário (CAN-2003-0908).
V1.2 28 de abril de 2004: Seção Advertências atualizadas para refletir a disponibilidade de um artigo revisado da Base de Dados de Conhecimento 835732. Ele documenta os problemas atualmente conhecidos que os clientes podem enfrentar ao instalar esta atualização de segurança. O artigo também documenta soluções recomendadas para esses problemas.
V1.3 4 de maio de 2004: Adicionadas novas informações na seção Soluções alternativas para a vulnerabilidade LSASS.
V2.0 15 de junho de 2004: Boletim atualizado para aconselhar sobre a disponibilidade de uma atualização atualizada do Windows NT 4.0 Workstation para o idioma chinês pan. Esta atualização deve ser instalada pelos clientes mesmo se a atualização original foi instalada.
V2.1 10 de agosto de 2004: Boletim atualizado para modificar a seção de solução alternativa para a vulnerabilidade PCT ao usar o Windows XP RTM.

Construído em 2014-04-18T13:49:36Z-07:00

Microsoft Security Bulletin MS04-011 - Crítica

Atualização de segurança para o Microsoft Windows (835732)

Resumo

Informações Gerais

Detalhes técnicos

Perguntas frequentes relacionadas a esta atualização de segurança

Detalhes da vulnerabilidade

Vulnerabilidade LSASS - CAN-2003-0533:

Fatores atenuantes da vulnerabilidade do LSASS - CAN-2003-0533:

Soluções alternativas para a vulnerabilidade do LSASS - CAN-2003-0533:

Perguntas frequentes sobre a vulnerabilidade do LSASS - CAN-2003-0533:

Vulnerabilidade LDAP - CAN-2003-0663:

Fatores atenuantes da vulnerabilidade LDAP - CAN-2003-0663:

Soluções alternativas para a vulnerabilidade LDAP - CAN-2003-0663:

Perguntas frequentes sobre a vulnerabilidade LDAP - CAN-2003-0663:

Vulnerabilidade de PCT - CAN-2003-0719:

Fatores atenuantes da vulnerabilidade PCT - CAN-2003-0719:

Soluções alternativas para a vulnerabilidade de PCT - CAN-2003-0719:

Perguntas frequentes sobre a vulnerabilidade de PCT - CAN-2003-0719:

Vulnerabilidade de Winlogon - CAN-2003-0806:

Fatores atenuantes da vulnerabilidade do Winlogon - CAN-2003-0806:

Soluções alternativas para a vulnerabilidade do Winlogon - CAN-2003-0806:

Perguntas frequentes sobre a vulnerabilidade do Winlogon - CAN-2003-0806:

Vulnerabilidade de metarquivo - CAN-2003-0906:

Fatores atenuantes da vulnerabilidade de metarquivo - CAN-2003-0906:

Soluções alternativas para a vulnerabilidade de metarquivo - CAN-2003-0906:

Perguntas frequentes sobre a vulnerabilidade de metarquivo - CAN-2003-0906:

Vulnerabilidade do Centro de Ajuda e Suporte - CAN-2003-0907:

Fatores atenuantes da vulnerabilidade do Centro de Ajuda e Suporte - CAN-2003-0907:

Soluções alternativas para a vulnerabilidade do Centro de Ajuda e Suporte - CAN-2003-0907:

Perguntas frequentes sobre a vulnerabilidade do Centro de Ajuda e Suporte - CAN-2003-0907:

Vulnerabilidade do Gerenciador de utilitários - CAN-2003-0908:

Fatores atenuantes da vulnerabilidade do Gerenciador de utilitários - CAN-2003-0908:

Soluções alternativas para a vulnerabilidade do Gerenciador de utilitários - CAN-2003-0908:

Perguntas frequentes sobre a vulnerabilidade do Gerenciador de utilitários - CAN-2003-0908:

Vulnerabilidade de gerenciamento do Windows - CAN-2003-0909

Fatores atenuantes da vulnerabilidade de gerenciamento do Windows - CAN-2003-0909:

Soluções alternativas para a vulnerabilidade de gerenciamento do Windows - CAN-2003-0909:

Perguntas frequentes sobre a vulnerabilidade de gerenciamento do Windows - CAN-2003-0909:

Vulnerabilidade de tabela de descritor local - CAN-2003-0910

Fatores atenuantes da vulnerabilidade de tabela de descritor local - CAN-2003-0910:

Soluções alternativas para a vulnerabilidade de tabela de descritor local - CAN-2003-0910:

Perguntas frequentes sobre a vulnerabilidade de tabela de descritor local - CAN-2003-0910:

Vulnerabilidade H.323 - CAN-2004-0117

Fatores atenuantes da vulnerabilidade H.323 - CAN-2004-0117:

Soluções alternativas para a vulnerabilidade H.323 - CAN-2004-0117:

Perguntas frequentes sobre a vulnerabilidade H.323 - CAN-2004-0117:

Vulnerabilidade de máquina virtual DOS - CAN-2004-0118:

Fatores atenuantes da vulnerabilidade da máquina virtual DOS - CAN-2004-0118:

Soluções alternativas para a vulnerabilidade de máquina virtual DOS - CAN-2004-0118:

Perguntas frequentes sobre a vulnerabilidade da máquina virtual DOS - CAN-2004-0118:

Vulnerabilidade de SSP de negociação - CAN-2004-0119

Fatores atenuantes da vulnerabilidade de SSP de negociação - CAN-2004-0119:

Soluções alternativas para a vulnerabilidade de SSP de negociação - CAN-2004-0119:

Perguntas frequentes sobre a vulnerabilidade de SSP de negociação - CAN-2004-0119:

Vulnerabilidade de SSL - CAN-2004-0120:

Fatores atenuantes da vulnerabilidade de SSL - CAN-2004-0120:

Soluções alternativas para a vulnerabilidade de SSL - CAN-2004-0120:

Perguntas frequentes sobre a vulnerabilidade de SSL - CAN-2004-0120:

Vulnerabilidade "Double Free" do ASN.1 - CAN-2004-0123

Fatores atenuantes da vulnerabilidade "Double Free" do ASN.1 - CAN-2004-0123:

Soluções alternativas para a vulnerabilidade "Double Free" do ASN.1 - CAN-2004-0123:

Perguntas frequentes sobre a vulnerabilidade "Double Free" do ASN.1 - CAN-2004-0123:

Informações de atualização de segurança

Windows Server 2003 (todas as versões)

Windows XP (todas as versões)

Windows 2000 (todas as versões)

Windows NT 4.0 (todas as versões)

Outras Informações

Recursos adicionais