Este alerta tem por objetivo fornecer uma visão geral de dois novos Boletins de Segurança e um Comunicado de Segurança lançado (fora do ciclo regular) em 28 de Julho de 2009.

 

Novos Boletins de Segurança

 

Número do Boletim

Título

Severidade Máxima

Impacto da Vulnerabilidade

Necessidade de Reinicialização

Softwares Afetados

MS09-034

Atualização Acumulativa de Segurança para Internet Explorer (972260)

Crítica

Execução Remota de Código

Exige a reinicialização

Todas as versões suportadas do Internet Explorer no Windows 2000, Windows XP, Windows Server 2003, Windows Vista, e Windows Server 2008

MS09-035

Vulnerabilidades na Biblioteca de Modelo Ativo do Visual Studio Pode Permitir Execução Remota de Código (969706)

Moderada

Execução Remota de Código

Exige a reinicialização

Microsoft Visual Studio .NET 2003,

Microsoft Visual Studio 2005,

Microsoft Visual Studio 2008,

Microsoft Visual C++ 2005, and

Microsoft Visual C++ 2008

 

Comunicado de Segurança 973882 – Visão Geral

 

A Microsoft está lançando o Comunicado de Segurança 973882 para fornecer informações sobre nossa contínua investigação quanto a vulnerabilidades nas versões públicas e privadas da Biblioteca de Modelo Ativo da Microsoft (ATL). Este comunicado também fornece orientações sobre o que desenvolvedores podem fazer para ajudar a garantir que os controles e componentes que eles criaram não estejam vulneráveis aos problemas com a ATL; e o que profissionais de TI e usuários finais podem fazer para mitigar ataques potenciais que utilizem estas vulnerabilidades; e o que a Microsoft está fazendo como parte de sua contínua investigação em relação ao problema descrito no comunicado. Este comunicado de segurança também fornece uma lista abrangente de todos os Boletins de Segurança Microsoft e as Atualizações de Segurança relacionadas a estas vulnerabilidades da ATL. A investigação da Microsoft nas versões públicas e privadas da ATL é contínua, e nós lançaremos atualizações e orientações de segurança conforme apropriado, como parte de nosso processo de investigação.

 

A Microsoft está ciente das vulnerabilidades de segurança as versões pública e privada da ATL. A ATL da Microsoft é usada pelos desenvolvedores de software para a criação de controles ou componentes para a plataforma Windows. As vulnerabilidades descritas neste comunicado e no Boletim de Segurança MS09-035 podem resultar em ataque de divulgação de informações ou execução remota de código em controles e componentes criados a partir das versões vulneráveis da ATL. Os componentes e controles criados com a versão vulnerável da ATL podem ser expostos a uma condição vulnerável devido ao modo como a ATL é usada ou devido a problema no código da própria ATL.

 

Recomendações

 

Leia atentamente o Comunicado de Segurança 973882, o Boletim de Segurança MS09-034 e o Boletim de Segurança MS09-035 a partir dos links fornecidos abaixo e obtenha uma visão geral do problema, detalhes sobre os componentes afetados, fatores de mitigação, ações sugeridas, perguntas mais frequentes e links para recursos adicionais.

 

Os clientes brasileiros que acreditam que foram afetados devem contatar o Suporte ao Cliente Microsoft através do telefone  0800-888-4081.

 

Ou acesssar o site http://support.microsoft.com/contactus/cu_sc_virsec_master?ws=support#tab3

 

Recursos adicionais

 

·         Comunicado de Segurança Microsoft 973882 –Vulnerabilidades na Biblioteca de Modelo Ativo (ATL) Microsoft Podem Permitir Execução Remota de Código:  http://www.microsoft.com/brasil/technet/security/advisory/973882.mspx  

 

·         Boletim de Segurança Microsoft MS09-034 – Atualização Acumulativa para Internet Explorer (972260): http://www.microsoft.com/brasil/technet/security/bulletin/MS09-034.mspx

 

·         Boletim de Segurança Microsoft MS09-035 – Vulnerabilidades na Biblioteca de Modelo Ativo (ATL) do Visual Studio Podem Permitir Execução Remota de Código (969706): http://www.microsoft.com/brasil/technet/security/bulletin/MS09-035.mspx

 

·         Site de Orientações sobre ATL (para usuários finais, profissionais de TI e desenvolvedores – em inglês): http://www.microsoft.com/atl/ 

 

·         Blog do Microsoft Security Response Center (MSRC – em inglês): http://blogs.technet.com/msrc/

 

·         Blog do Microsoft Malware Protection Center (MMPC – em inglês): http://blogs.technet.com/mmpc/

 

·         Blog do Security Research & Defense (SRD - em inglês): http://blogs.technet.com/srd/

 

WEBCAST PÚBLICO SOBRE OS BOLETINS

 

A Microsoft realizará dois Webcasts (em inglês) para solucionar as questões dos clientes sobre estes boletins:

Título: Informações sobre o Lançamento de Boletins de Segurança Fora do Ciclo – Julho de 2009
Data: Terça-feira, 28 de Julho de 2009, 1:00 P.M. Horário Pacífico – 17:00hrs no Brasil
URL:
http://msevents.microsoft.com/CUI/WebCastEventDetails.aspx?culture=en-US&EventID=1032422339

Título: Informações sobre o Lançamento de Boletins de Segurança Fora do Ciclo – Julho de 2009
Data: Terça-feira, 28 de Julho de 2009, 4:00 P.M. Horário Pacífico – 20:00hrs no Brasil

URL: http://msevents.microsoft.com/CUI/WebCastEventDetails.aspx?culture=en-US&EventID=1032422341

 

DETALHES TÉCNICOS SOBRE OS NOVOS BOLETINS DE SEGURANÇA

 

Nas tabelas a seguir são detalhados os softwares afetados e não afetados. As edições de software não listadas não possuem suporte. Para determinar o ciclo de vida de suporte de seu produto ou edição, acesse (digite em seu browser): http://support.microsoft.com/lifecycle.

 

Identificador do Boletim

Boletim de Segurança Microsoft MS09-034

Título do Boletim

Atualização Acumulativa de Segurança para Internet Explorer (972260)

Sumário Executivo

Esta atualização de segurança está sendo lançada fora do ciclo mensal regular, em conjunto com o Boletim de Segurança Microsoft MS09-035, que descreve vulnerabilidades nos componentes e controles que foram desenvolvidos usando-se as versões vulneráveis da ATL (Active Template Library – Biblioteca de Modelo Ativo) da Microsoft. Como uma medida de defesa em profundidade, esta atualização do Internet Explorer ajuda a mitigar fatores de ataque conhecidos no Internet Explorer para os componentes e controles que foram desenvolvidos com versões vulneráveis da ATL conforme descrito no Comunicado de Segurança (973882) e no Boletim de Segurança Microsoft MS09-035.

 

Esta atualização de segurança também soluciona três vulnerabilidades relatadas de forma privada no Internet Explorer. A atualização de segurança endereça estas vulnerabilidades modificando a forma como o Internet Explorer trata objetos na memória e operações de tabelas.

Níveis de Severidade e Softwares Afetados

Esta atualização de segurança foi classificada como Crítica para o Internet Explorer 5.01 e Internet Explorer 6 Service Pack 1, executados em edições suportadas do Microsoft Windows 2000; Crítica para o Internet Explorer 6, Internet Explorer 7 e Internet Explorer 8 executados em edições suportadas do Windows XP; Crítica para o Internet Explorer 7 e Internet Explorer 8 executados em edições suportadas do Windows Vista; Moderada para o Internet Explorer 6, Internet Explorer 7 e Internet Explorer 8 executados em edições suportadas do Windows Server 2003 e Moderada para Internet Explorer 7 e Internet Explorer 8 executados em edições suportadas do Windows Server 2008.

Vulnerabilidades

CVE-2009-1917 | Vulnerabilidade de Corrupção de Memória (EI = 1)*

CVE-2009-1918 | Vulnerabilidade de Corrupção de Memória de Objetos HTML (EI = 2)**

CVE-2009-1919 | Vulnerabilidade de Corrupção de Memória Não Inicializada (EI = 2)**

  *Índice de Exploração com Nota 1: provável código cosistente de exploração

** Índice de Exploração com Nota 2: provável código inconsistente de exploração

Vetores de Ataque

Estas vulnerabilidades podem permitir a execução remota de código se um usuário visualizar uma página Web especialmente criada usando o Internet Explorer.

Fatores de Mitigação

·         Os usuários devem ser persuadidos a visitar um site da Web mal-intencionado.

·         A exploração fornece apenas os mesmos direitos da conta do usuário conectado. Usuários cujas contas estiverem configuradas com menos privilégios no sistema podem ser menos impactados do que aqueles cujas contas operarem com direitos administrativos.

·         Por padrão todas as versões suportadas do Microsoft Outlook e Microsoft Outlook Express abrem mensagens de e-mail HTML na zona de Sites Restritos.

·         Por padrão o Internet Explorer no Windows 2003 e Windows 2008 são executados em modo restrito.

Necessidade de reinicialização

Esta atualização exige a reinicialização.

Informações sobre Remoção

·         No Windows 2000, Windows XP e Windows Server 2003 utilize a ferramenta Adicionar ou Remover Programas no Painel de Controle ou o utilitário Spuninst.exe.

·         No Windows Vista e Windows Server 2008, o processo WUSA.exe não suporta a desinstalação das atualizações. Para remover uma atualização instalada pelo WUSA, clique em Painel de Controle e em Programas e Recursos. Clique em Exibir atualizações instaladas e selecione o item na lista de atualizações.

Boletins Substituídos por Esta Atualização

MS09-019

Mais Detalhes

http://www.microsoft.com/brasil/technet/security/bulletin/MS09-034.mspx

 

 

Identificador do Boletim

Boletim de Segurança Microsoft MS09-035

Título do Boletim

Vulnerabilidades na Biblioteca de Modelo Ativo (ATL) do Visual Studio Pode Permitir Execução Remota de Código (969706)

Sumário Executivo

Esta atualização de segurança soluciona várias vulnerabilidades relatadas de forma privada nas versões públicas da ATL (Active Template Library – Biblioteca de Modelo Ativo) da Microsoft incluída no Visual Studio. Esta atualização de segurança é voltada especificamente para desenvolvedores de componentes e controles. Os desenvolvedores que criaram e redistribuíram componentes e controles usando a ATL devem instalar esta atualização fornecida no boletim e seguir as orientações fornecidas para criar – e distribuir para todos os clientes – os componentes e controles que não são sensíveis às vulnerabilidades descritas neste boletim de segurança.

 

Este boletim de segurança discute as vulnerabilidades que podem permitir a execução remota de código se um usuário carregar um componente ou controle criado com versões vulneráveis da ATL. A atualização de segurança soluciona as vulnerabilidades modificando os cabeçalhos da ATL para que os componentes e os controles criados usando-se estes cabeçalhos possam ser inicializados de forma segura a partir de um fluxo de dados.

Níveis de Severidade e Softwares Afetados

Apesar da maioria dos Boletins de Segurança Microsoft discutirem o risco da vulnerabilidde de um produto específico, este boletim discute as vulnerabilidades que podem estar presentes em produtos criados com o uso da ATL. Portanto, esta atualização de segurança foi classificada como Moderada para todas as edições suportadas do Microsoft Visual Studio .NET 2003, Microsoft Visual Studio 2005, Microsoft Visual Studio 2008, Microsoft Visual C++ 2005 Redistributable Package e  Microsoft Visual C++ 2008 Redistributable Package.

Vulnerabilidades

CVE-2009-0901 | Vulnerabilidade de Objeto Não Inicializado na ATL (EI = 1)*

CVE-2009-2493 | Vulnerabilidade de Inicialização COM da ATL (EI = 1)*

CVE-2009-2495 | Vulnerabilidade de String Nula da ATL (EI = 3)**

  *Índice de Exploração com Nota 1: provável código cosistente de exploração

** Índice de Exploração com Nota 3: improvável código funcional de exploração

Vetores de Ataque

·         Uma página Web especialmente criada.

Fatores de Mitigação

·         Por padrão, o Visual Studio como produto não é vulnerável a este problema. Apesar disso, componentes e controles criados em versões vulneráveis da ATL podem ser vulneráveis.

·         Fatores de Mitigação e correções temporárias para componentes e controle potencialmente vulneráveis  estão presentes no Comunicado de Segurança Microsoft (973882).

Necessidade de reinicialização

Esta atualização exige a reinicialização.

Informações sobre Remoção

Utilize a ferramenta Adicionar ou Remover Programas no Painel de Controle.

Boletins Substituídos por Esta Atualização

Nenhum

Mais Detalhes

http://www.microsoft.com/brasil/technet/security/bulletin/MS09-035.mspx

 

NOTA SOBRE A CONSISTÊNCIA DAS INFORMAÇÕES

 

Fornecemos a você informações precisas de forma estática (neste e-mail) e dinâmica (na Web). O conteúdo de segurança da Microsoft publicado na Web é atualizado ocasionalmente para refletir informações alteradas. Se os resultados forem inconsistentes entre a informação desta mensagem e a informação no conteúdo de segurança do site da Microsoft, a informação do site deve ser considerada a autoritativa/correta.

Se você ainda tiver alguma dúvida sobre este alerta, por favor, entre em contato com seu Gerente de Contas Técnico ou Consultor de Desenvolvimento de Aplicações.

 

Atenciosamente,

Equipe de Segurança Microsoft