Negócio de Risco

Tuesday, November 10, 2009 9:49 PM

Boletim de Segurança da Microsoft Novembro/2009

Este alerta tem por objetivo fornecer uma visão geral dos novos Boletins de Segurança disponibilizados em 10 de Novembro de 2009. Boletins de segurança são disponibilizados mensalmente para solucionar vulnerabilidades de segurança.

Novos Boletins de Segurança

A Microsoft está disponibilizando 6 novos boletins de segurança para vulnerabilidades recém-descobertas:

Número do Boletim	Título do Boletim	Severidade Máxima	Impacto da Vulnerabilidade	Requisitos de Reinicialização	Softwares Afetados*
MS09-063	Vulnerabilidade em Web Services na API Devices Pode Permitir Execução Remota de Código (973565)	Crítico	Execução Remota de Código	Requer reinicialização	Microsoft Windows Vista e Windows Server 2008
MS09-064 MS09-064	Vulnerabilidade no Servidor de Registro de Licenças Pode Permitir Execução Remota de Código (974783)	Crítico	Execução Remota de Código	Requer reinicialização	Microsoft Windows 2000 Server
MS09-065 MS09-065	Vulnerabilidades nos Drivers Modo Kernel do Windows Podem Permitir Execução Remota de Código (969947)	Crítico	Execução Remota de Código	Requer reinicialização	Microsoft Windows 2000, Windows XP, Windows Server 2003, Windows Vista e Windows Server 2008
MS09-066 MS09-066	Vulnerabilidade no Active Directory Pode Permitir Negação de Serviço (973309)	Importante	Negação de Serviço	Requer reinicialização	Microsoft Windows 2000 Server, Windows XP, Windows Server 2003 e Windows Server 2008
MS09-067 MS09-067	Vulnerabilidades no Microsoft Office Excel Podem Permitir Execução Remota de Código (972652)	Importante	Execução Remota de Código	Pode exigir a reinicialização	Microsoft Office Excel 2002, Excel 2003, Excel 2007, Office 2004 for Mac, Office 2008 for Mac, Conversor de formato de arquivo Open XML para Mac, Excel Viewer, Pacote de Compatibilidade do Office para Formatos de Arquivos do Word, Excel e PowerPoint 2007
MS09-068 MS09-068	Vulnerabilidade no Microsoft Office Word Pode Permitir Execução Remota de Código (976307)	Importante	Execução Remota de Código	Pode exigir a reinicialização	Microsoft Office Word 2002, Word 2003, Office 2004 for Mac, Office 2008 for Mac, Conversor de formato de arquivo Open XML para Mac, Office Word Viewer e Office Word Viewer 2003
A lista de softwares afetados na tabela é um resumo. Para conferir a lista de componentes afetados abra o boletim e analise a seção “Softwares Afetados”.

http://www.microsoft.com/brasil/technet/security/bulletin/MS09-nov.mspx (em português) http://www.microsoft.com/technet/security/bulletin/MS09-nov.mspx (em inglês)

Microsoft Windows Malicious Software Removal Tool

A Microsoft está lançando uma versão atualizada do Microsoft Windows Malicious Software Removal Tool no Windows Server Update Services (WSUS), Windows Update (WU) e no Centro de Download. OBS: Observe que esta ferramenta não será distribuída através do Software Update Services (SUS). Informações sobre o Microsoft Windows Malicious Software Removal Tool podem ser obtidas em (digite em seu browser): http://support.microsoft.com/?kbid=890830.

http://support.microsoft.com/?id=894199Atualizações Não Relacionadas à Segurança de Alta Prioridade Atualizações não relacionadas à segurança de alta prioridade no Microsoft Update (MU), Windows Update (WU) ou Windows Server Update Services (WSUS) estão detalhadas no seguinte artigo da Base de Conhecimento (digite em seu browser): http://support.microsoft.com/?id=894199.

REVISÃO DE BOLETIM DE SEGURANÇA

A Microsoft revisou o Boletim de Segurança MS09-045 - Vulnerabilidade no Mecanismo de Scripting JScript Pode Permitir Execução Remota de Código (971961) - em 10 de Novembro de 2009.

Visão geral das alterações: A Microsoft relançou este boletim para acrescentar o JScript 5.7 no Microsoft Windows 2000 Service Pack 4 como um produto afetado. Clientes que já instalaram esta atualização não precisam tomar nenhuma ação.

Mais Detalhes: http://www.microsoft.com/brasil/technet/security/bulletin/MS09-045.mspx

A Microsoft revisou também o Boletim de Segurança MS09-051 - Vulnerabilidades no Mecanismo do Windows Media Podem Permitir Execução Remota de Código (975682) - em 10 de Novembro de 2009.

Visão geral das alterações: A Microsoft relançou este boletim para oferecer novamente a atualização para o Gerenciador de Compressão de Áudio no Microsoft Windows 2000 Service Pack 4 para solucionar um problema de detecção. É apenas uma alteração de detecção, sem mudanças nos arquivos de atualização. Clientes que já instalaram com sucesso a atualização em seus sistemas não precisam reinstalar esta atualização.

Mais Detalhes: http://www.microsoft.com/brasil/technet/security/bulletin/MS09-051.mspx

WEBCAST PÚBLICO SOBRE OS BOLETINS

A Microsoft realizará um Webcast (em inglês) para solucionar as questões dos clientes sobre estes boletins:

Título: Informações sobre os Boletins de Segurança Microsoft de Novembro (Nível 200)

Data: 11.11.09, 11:00 A.M. Horário Pacífico – 15:00hrs no Brasil

URL: http://msevents.microsoft.com/CUI/WebCastEventDetails.aspx?EventID=1032407490

DETALHES TÉCNICOS SOBRE OS NOVOS BOLETINS DE SEGURANÇA

Nas tabelas a seguir são detalhados os softwares afetados e não afetados. As edições de software não listadas não possuem suporte. http://support.microsoft.com/lifecycle/Para determinar o ciclo de vida de suporte de seu produto ou edição, acesse (digite em seu browser): http://support.microsoft.com/lifecycle.

Identificador do Boletim	Boletim de Segurança Microsoft MS09-063
Título do Boletim	Vulnerabilidade em Web Services na API Devices Pode Permitir Execução Remota de Código (973565)
Sumário Executivo	Esta atualização de segurança soluciona uma vulnerabilidade relatada de forma privada nos Web Services na API Devices (WSDAPI) do sistema operacional Windows. A vulnerabilidade pode permitir a execução remota de código se um sistema Windows afetado receber um pacote especialmente criado. A atualização de segurança soluciona a vulnerabilidade corrigindo o processamento dos cabeçalhos nas mensagens WSD.
Softwares Afetados e Níveis de Severidade	Esta atualização de segurança foi classificada como Crítica para todas as edições suportadas do Windows Vista e Windows Server 2008.
CVEs e Índices de Exploração	CVE-2009-2512CVE-2009-2512 - Web Services on Devices API Memory Corruption Vulnerability EI = 2 (provável código de exploração inconsistente). OBS: Este cenário permite um ataque limitado de negação de serviço.
Vetores de Ataque	Pacote de rede mal intencionado
Fatores de Mitigação	O serviço vulnerável é exposto apenas em conexões de entrada da sub-rede local.
Requisitos de Reinicialização	Você deve reiniciar o sistema após aplicar esta atualização de segurança.
Informações sobre Remoção	O WUSA.exe não suporta a desinstalação das atualizações. Para remover uma atualização instalada pelo WUSA, clique em Painel de Controle e em Programas e Recursos. Clique em Exibir atualizações instaladas e selecione o item na lista de atualizações.
Boletins Substituídos por Esta Atualização	Nenhum
Mais Detalhes	http://www.microsoft.com/brasil/technet/security/bulletin/MS09-063.mspx

Identificador do Boletim	Boletim de Segurança Microsoft MS09-064
Título do Boletim	Vulnerabilidade no Servidor de Registro de Licenças Pode Permitir Execução Remota de Código (974783)
Sumário Executivo	Esta atualização de segurança soluciona uma vulnerabilidade relatada de forma privada no Microsoft Windows 2000. A vulnerabilidade pode permitir execução remota de código se um intruso enviar uma mensagem de rede especialmente criada para um computador que executa o Servidor de Registro de Licença. Um intruso que explorar com sucesso esta vulnerabilidade pode obter controle total do sistema. A atualização de segurança soluciona a vulnerabilidade alterando a forma como o serviço de Registro de Licença valida um campo específico dentro do pacote RPC.
Softwares Afetados e Níveis de Severidade	Esta atualização de segurança foi classificada como Crítica para o Microsoft Windows 2000.
CVEs e Índices de Exploração	CVE-2009-2523 CVE-2009-2523 - License Logging Server Heap Overflow Vulnerability EI = 2 (provável código de exploração inconsistente).
Vetores de Ataque	Enviar um pacote RPC especialmente criado.
Fatores de Mitigação	As melhores práticas e padrões de configurações de firewall podem ajudar a proteger as redes de ataques que são originados na rede externa ao perímetro corporativo.
Requisitos de Reinicialização	Você deve reiniciar o sistema após aplicar esta atualização de segurança.
Informações sobre Remoção	Use a ferramenta Adicionar ou Remover Programas do Painel de Controle ou o utilitário Spuninst.exe.
Boletins Substituídos por Esta Atualização	Nenhum
Mais Detalhes	http://www.microsoft.com/brasil/technet/security/bulletin/MS09-064.mspx

Identificador do Boletim	Boletim de Segurança Microsoft MS09-065
Título do Boletim	Vulnerabilidades nos Drivers Modo Kernel do Windows Podem Permitir Execução Remota de Código (969947)
Sumário Executivo	Esta atualização de segurança soluciona várias vulnerabilidades relatadas de forma privada no kernel do Windows. A mais severa das vulnerabilidades pode permitir a execução remota de código se um usuário exibir conteúdo renderizado em uma fonte especialmente criada EOT (Embedded OpenType). Em um cenário de ataque via Web, o intruso terá que hospedar um site da Web que contenha as fontes especialmente criadas usadas para a exploração da vulnerabilidade. Além disso, sites da Web comprometidos e que aceitam ou hospedam conteúdo fornecido por usuários podem conter conteúdo especialmente criado para explorar esta vulnerabilidade. A atualização de segurança soluciona a vulnerabilidade corrigindo o método usado para validar o argumento passado para a chamada de sistema, validando a entrada passada do modo usuário através do componente de kernel da GDI e corrigindo a maneira como os drivers de modo kernel do Windows tratam o código de fontes.
Softwares Afetados e Níveis de Severidade	Esta atualização de segurança foi classificada como Crítica para todas as edições suportadas do Microsoft Windows 2000, Windows XP e Windows Server 2003, e Importante para todas as edições suportadas do Windows Vista e Windows Server 2008.
CVEs e Índices de Exploração	· CVE-2009-1127 CVE-2009-1127 - Win32k NULL Pointer Dereferencing Vulnerability, EI = 2 (provável código de exploração inconsistente) · CVE-2009-2513 CVE-2009-2513 - Win32k Insufficient Data Validation Vulnerability, EI = 1 (provável código de exploração consistente) · CVE-2009-2514 CVE-2009-2514 - Win32k EOT Parsing Vulnerability, EI = 1 (provável código de exploração consistente)
Vetores de Ataque	· CVE-2009-1127 e CVE-2009-2513: Uma tentativa de logon com um nome de usuário legítimo · CVE-2009-2514: Um documento do Office, página Web ou anexo de email mal intencionados.
Fatores de Mitigação	· CVE-2009-1127 e CVE-2009-2513: O intruso precisa possuir credenciais válidas de logon e ser capaz de logar localmente para explorar estas vulnerabilidades. · CVE-2009-2514: O intruso pode não ter como forçar os usuários a visitar um site da Web especialmente criado. Não pode ser explorada automaticamente através de email, pois o usuário precisa abrir um anexo que foi enviado em uma mensagem.
Requisitos de Reinicialização	Você deve reiniciar o sistema após aplicar esta atualização de segurança.
Informações sobre Remoção	· Windows 2000, Windows XP e Windows Server 2003: Use a ferramenta Adicionar ou Remover Programas do Painel de Controle ou o utilitário Spuninst.exe. · Windows Vista e Windows Server 2008: O WUSA.exe não suporta a desinstalação das atualizações. Para remover uma atualização instalada pelo WUSA, clique em Painel de Controle e em Programas e Recursos. Clique em Exibir atualizações instaladas e selecione o item na lista de atualizações.
Boletins Substituídos por Esta Atualização	MS09-025
Mais Detalhes	http://www.microsoft.com/brasil/technet/security/bulletin/MS09-065.mspx

Identificador do Boletim	Boletim de Segurança Microsoft MS09-066
Título do Boletim	Vulnerabilidade no Active Directory Pode Permitir Negação de Serviço (973309)
Sumário Executivo	Esta atualização de segurança soluciona uma vulnerabilidade relatada de forma privada no Active Directory, no Active Directory Application Mode (ADAM) e no Active Directory Lightweight Directory Service (AD LDS). A vulnerabilidade pode permitir a negação de serviço se o espaço da pilha for sobrecarregado durante a execução de certos tipos de solicitação LDAP ou LDAPS. A atualização de segurança soluciona a vulnerabilidade alterando a forma que o Active Directory, ADAM e AD LDS processam solicitações LDAP e LDAPS mal formadas.
Softwares Afetados e Níveis de Severidade	Esta atualização de segurança foi classificada como Importante para o Active Directory, ADAM e AD LDS em todas as edições suportadas do Microsoft Windows 2000 Server, Windows XP, Windows Server 2003 e Windows Server 2008.
CVEs e Índices de Exploração	CVE-2009-1928 CVE-2009-1928 - LSASS Recursive Stack Overflow Vulnerability EI = 3 (improvável código de exploração funcional). OBS: A condição de negação de serviço existe.
Vetores de Ataque	Pacote de rede mal intencionado
Fatores de Mitigação	· Esta vulnerabilidade afeta apenas controladores de domínio e sistemas configurados para executar o ADAM ou AD LDS.
Requisitos de Reinicialização	Você deve reiniciar o sistema após aplicar esta atualização de segurança.
Informações sobre Remoção	· Windows 2000 Server, Windows XP e Windows Server 2003: Use a ferramenta Adicionar ou Remover Programas do Painel de Controle ou o utilitário Spuninst.exe. · Windows Server 2008: O WUSA.exe não suporta a desinstalação das atualizações. Para remover uma atualização instalada pelo WUSA, clique em Painel de Controle e em Programas e Recursos. Clique em Exibir atualizações instaladas e selecione o item na lista de atualizações.
Boletins Substituídos por Esta Atualização	· Windows 2000 Server, Windows XP e Windows Server 2003: MS09-018 · Windows Server 2008: MS08-035
Mais Detalhes	http://www.microsoft.com/brasil/technet/security/bulletin/MS09-066.mspx

Identificador do Boletim	Boletim de Segurança Microsoft MS09-067
Título do Boletim	Vulnerabilidades no Microsoft Office Excel Podem Permitir Execução Remota de Código (972652)
Sumário Executivo	Esta atualização de segurança soluciona várias vulnerabilidades relatadas de forma privada no Microsoft Office Excel. As vulnerabilidades podem permitir a execução remota de código se um usuário abrir um arquivo do Excel especialmente criado. A atualização soluciona as vulnerabilidades modificando a forma que o Excel abre e trata seus arquivos, e modificando a forma que o Excel trata registros mal formados.
Softwares Afetados e Níveis de Severidade	Esta atualização de segurança foi classificada como Importante para todas as edições suportadas do Microsoft Office Excel 2002, Microsoft Office Excel 2003, Microsoft Office Excel 2007, Microsoft Office 2004 for Mac e Microsoft Office 2008 for Mac; Conversor de Formato de Arquivos Open XML para Mac; e todas as versões suportadas do Microsoft Office Excel Viewer e Pacote de Compatibilidade do Microsoft Office.
CVEs e Índices de Exploração	· CVE-2009-3127 CVE-2009-3127 - Excel Cache Memory Corruption Vulnerability, EI = 2 · CVE-2009-3128 CVE-2009-3128 - Excel SxView Memory Corruption Vulnerability, EI = 2 · CVE-2009-3129 CVE-2009-3129 - Excel Featheader Record Memory Corruption Vulnerability, EI = 1 · CVE-2009-3130 CVE-2009-3130 - Excel Document Parsing Heap Overflow Vulnerability, EI = 1 · CVE-2009-3131 CVE-2009-3131 - Excel Formula Parsing Memory Corruption Vulnerability, EI = 1 · CVE-2009-3132 CVE-2009-3132 - Excel Index Parsing Vulnerability, EI = 2 · CVE-2009-3133 CVE-2009-3133 - Excel Document Parsing Memory Corruption Vulnerability, EI = 2 · CVE-2009-3134 CVE-2009-3134 - Excel Field Sanitization Vulnerability, EI = 2 o EI = 1: provável código de exploração consistente o EI = 2: provável código de exploração inconsistente
Vetores de Ataque	· Uma planilha do Excel mal intencionada · Anexo de email mal intencionado · Vetores de Ataque Página Web mal intencionada
Fatores de Mitigação	· Um intruso que explorar com sucesso qualquer uma destas vulnerabilidades pode obter os mesmos direitos do usuário conectado. Usuários cujas contas são configuradas com menos direitos no sistema podem ser menos impactados do que aqueles que possuem direitos administrativos. · Não pode ser explorada automaticamente através de email, pois o usuário precisa abrir um anexo que foi enviado em uma mensagem.
Requisitos de Reinicialização	Varia dependendo de qual atualização for instalada. Leia a seção Implantação da Atualização de Segurança do boletim no link abaixo para mais detalhes.
Informações sobre Remoção	Varia dependendo de qual atualização for instalada. Leia a seção Implantação da Atualização de Segurança do boletim no link abaixo para mais detalhes.
Boletins Substituídos por Esta Atualização	MS09-021
Mais Detalhes	http://www.microsoft.com/brasil/technet/security/bulletin/MS09-067.mspx

Identificador do Boletim	Boletim de Segurança Microsoft MS09-068
Título do Boletim	Vulnerabilidade no Microsoft Office Word Pode Permitir Execução Remota de Código (976307)
Sumário Executivo	Esta atualização de segurança soluciona uma vulnerabilidade relatada de forma privada que permite a execução remota de código se um usuário abrir um arquivo especialmente criado do Word. Um intruso que explorar com sucesso esta vulnerabilidade pode obter controle total do sistema. A atualização de segurança soluciona a vulnerabilidade modificando a forma que o Microsoft Office Word abre arquivos especialmente criados.
Softwares Afetados e Níveis de Severidade	Esta atualização de segurança foi classificada como Importante para todas as edições suportadas do Microsoft Office Word 2002 e Microsoft Office Word 2003, Microsoft Office 2004 for Mac, Microsoft Office 2008 for Mac, Conversor de Formato de Arquivos Open XML para Mac, e todas as versões suportadas do Microsoft Office Word Viewer.
CVEs e Índices de Exploração	CVE-2009-3135 CVE-2009-3135 - Microsoft Office Word File Information Memory Corruption Vulnerability EI = 1 (provável código de exploração consistente)
Vetores de Ataque	· Um documento do Word mal intencionado · Anexo de email mal intencionado · Vetores de Ataque Página Web mal intencionada
Fatores de Mitigação	· Os usuários precisam ser persuadidos a visitar um site da Web mal intencionado. · A exploração obtém os mesmos direitos do usuário conectado ao sistema. Usuários cujas contas são configuradas com menos direitos no sistema podem ser menos impactados do que aqueles que possuem direitos administrativos. · Não pode ser explorada automaticamente através de email, pois o usuário precisa abrir um anexo que foi enviado em uma mensagem.
Requisitos de Reinicialização	Varia dependendo de qual atualização for instalada. Leia a seção Implantação da Atualização de Segurança do boletim no link abaixo para mais detalhes.
Informações sobre Remoção	Varia dependendo de qual atualização for instalada. Leia a seção Implantação da Atualização de Segurança do boletim no link abaixo para mais detalhes.
Boletins Substituídos por Esta Atualização	MS09-027
Mais Detalhes	http://www.microsoft.com/brasil/technet/security/bulletin/MS09-068.mspx

Nota sobre a Consistência das Informações

Fornecemos a você informações precisas de forma estática (neste e-mail) e dinâmica (na Web). O conteúdo de segurança da Microsoft publicado na Web é atualizado ocasionalmente para refletir informações alteradas. Se os resultados forem inconsistentes entre a informação desta mensagem e a informação no conteúdo de segurança do site da Microsoft, a informação do site deve ser considerada a autoritativa/correta.

Posted by brzsec | 0 Comments

Filed under: Segurança, Boletins de Segurança, seguranca, Atualização de Segurança, Marines Gomes

Thursday, November 05, 2009 6:20 PM

Relatório de inteligência de segurança da Microsoft, volume 7 (jan a jun 2009)

Foi publicado no inicio desta semana o volume 7 do Relatório de inteligência de segurança da Microsoft® que fornece uma perspectiva detalhada dos softwares mal-intencionados ou potencialmente indesejados, dos exploits de software, das violações de segurança e das vulnerabilidades de software (tanto em produtos Microsoft como de terceiros). A Microsoft chegou a estes resultados baseando-se em análises detalhadas realizadas nos últimos anos, especialmente no primeiro semestre de 2009 .

Este relatório é mundial mas traz em destaque informações referentes ao Brasil e um resumo em português.O Relatório de inteligência de segurança completo também fornece estratégias, medidas atenuantes e alternativas e pode ser obtido em http://www.microsoft.com/sir.

Posted by brzsec | 0 Comments

Filed under: Segurança, seguranca, Relatório de Segurança, Marines Gomes

Thursday, October 15, 2009 3:04 PM

Prioridade na Implementação dos Boletins de Segurança

A Microsoft recomenda que você mantenha o seu PC atualizado com todas as atualizações de segurança. No entanto uma vulnerabilidade não tem o mesmo potencial de dano, nem a mesma facilidade de ser explorada, nem o mesmo conjunto de mitigações (workarounds) disponíveis. Organizações podem usar estas informações para priorizar a instalação de uma determinada atualização, ou eventualmente decidir adiar a instalação da atualização.

A Microsoft faz mensalmente uma análise destes e de outros fatores para estimar uma prioridade na implementação das diversas atualizações de segurança divulgadas. A tabela abaixo mostram os graus estimados de prioridade para as atualizações de Outubro de 2009:

Tabela de Priorização – Outubro de 2009

Boletim	Severidade do Boletim	Impacto	Conhecida Publicamente	Índice de Exploração	Prioridade de Implementação
MS09-051 (Speech codec)	Crítico	Execução de código remoto	Sim	1	1
MS09-050 (SMBv2)	Crítico	Execução de código remoto	Sim	1	1
MS09-054 (IE)	Crítico	Execução de código remoto	Sim	1	1
MS09-061 (.NET)	Crítico	Execução de código remoto	Sim	1	1
MS09-062 (GDI+)	Crítico	Execução de código remoto	Não	1	1
MS09-052 (WMP)	Crítico	Execução de código remoto	Não	1	1
MS09-055 (ActiveX)	Crítico	Execução de código remoto	Não	1	2
MS09-060 (Office ATL)	Crítico	Execução de código remoto	Não	1	2
MS09-057 (query.dll)	Importante	Execução de código remoto	Não	2	2
MS09-053 (IIS)	Importante	Execução de código remoto	Sim	1	2
MS09-059 (LSASS)	Importante	Negação de serviço	Sim	3	3
MS09-058 (Kernel)	Importante	Elevação de privilégios	Não	2	3
MS09-056 (x.509)	Importante	Falsificação (spoofing)	Sim	3	3

Posted by brzsec | 0 Comments

Filed under: Fernando Cima, Segurança, Boletins de Segurança, Atualização de Segurança

Tuesday, October 13, 2009 10:43 PM

Boletim de Segurança da Microsoft de Outubro/2009

Este alerta tem por objetivo fornecer uma visão geral dos novos Boletins de Segurança disponibilizados em 13 de Outubro de 2009. Boletins de segurança são disponibilizados mensalmente para solucionar vulnerabilidades de segurança.

Novos Boletins de Segurança

A Microsoft está disponibilizando 13 novos boletins de segurança para vulnerabilidades recém-descobertas:

Número do Boletim	Título	Severidade Máxima	Impacto da Vulnerabilidade	Necessidade de Reinicialização	Softwares Afetados*
MS09-050	Vulnerabilidades no SMBv2 Podem Permitir Execução Remota de Código (975517)	Crítico	Execução Remota de Código	Requer reinicialização	Microsoft Windows Vista e Windows Server 2008
MS09-051	Vulnerabilidades no Tempo de Execução do Windows Media Podem Permitir Execução Remota de Código (975682)	Crítico	Execução Remota de Código	Requer reinicialização	Microsoft Windows 2000, Windows XP, Windows Server 2003, Windows Vista e Windows Server 2008
MS09-052	Vulnerabilidades no Windows Media Player Podem Permitir Execução Remota de Código (974112)	Crítico	Execução Remota de Código	Pode exigir a reinicialização	Microsoft Windows 2000, Windows XP e Windows Server 2003
MS09-053	Vulnerabilidades no Serviço FTP dos Serviços de Informações da Internet (IIS) Podem Permitir Execução Remota de Código (975254)	Importante	Execução Remota de Código	Pode exigir a reinicialização	Microsoft Windows 2000, Windows XP, Windows Server 2003, Windows Vista e Windows Server 2008
MS09-054	Atualização de Segurança Acumulativa para Internet Explorer (974455)	Crítico	Execução Remota de Código	Requer reinicialização	Internet Explorer no Windows 2000, Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 e Windows Server 2008 R2
MS09-055	Atualização de Segurança Acumulativa para Kill Bits do ActiveX (973525)	Crítico	Execução Remota de Código	Pode exigir a reinicialização	Windows 2000, Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 e Windows Server 2008 R2
MS09-056	Vulnerabilidades na CryptoAPI do Windows Podem Permitir Spoofing (974571)	Importante	Spoofing	Requer reinicialização	Windows 2000, Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 e Windows Server 2008 R2
MS09-057	Vulnerabilidade no Serviço de Indexação Pode Permitir Execução Remota de Código (969059)	Importante	Execução Remota de Código	Requer reinicialização	Microsoft Windows 2000, Windows XP e Windows Server 2003
MS09-058	Vulnerabilidades no Kernel do Windows Podem Permitir Elevação de Privilégio (971486)	Importante	Elevação de Privilégio	Requer reinicialização	Microsoft Windows 2000, Windows XP, Windows Server 2003, Windows Vista e Windows Server 2008
MS09-059	Vulnerabilidade no Subsistema de Autoridade de Segurança Local Pode Permitir Negação de Serviço (975467)	Importante	Negação de Serviço	Requer reinicialização	Microsoft Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 e Windows Server 2008 R2
MS09-060	Vulnerabilidades nos Controle ActiveX da Biblioteca de Modelos Ativos (ATL) Microsoft Podem Permitir Execução Remota de Código (973965)	Crítico	Execução Remota de Código	Pode exigir a reinicialização	Microsoft Office Outlook 2002, Outlook 2003, Outlook 2007, Visio Viewer 2002, Visio Viewer 2003 e Visio Viewer 2007
MS09-061	Vulnerabilidades no Common Language Runtime (CLR) do Microsoft .NET Podem Permitir Execução Remota de Código (974378)	Crítico	Execução Remota de Código	Requer reinicialização	Windows 2000, Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2 e Microsoft Silverlight 2
MS09-062	Vulnerabilidades no GDI+ Podem Permitir Execução Remota de Código (957488)	Crítico	Execução Remota de Código	Requer reinicialização	Microsoft Windows, Microsoft Office, Microsoft SQL Server, Ferramentas de Desenvolvimento Microsoft e Microsoft Forefront
* Nota: A lista de softwares afetados na tabela é um resumo. Para conferir a lista de componentes afetados abra o boletim e analise a seção “Softwares Afetados”.

Os resumos destes novos boletins estão disponíveis na seguinte página (digite em seu browser):

http://www.microsoft.com/brasil/technet/security/bulletin/MS09-oct.mspx (em português)

http://www.microsoft.com/technet/security/bulletin/MS09-oct.mspx (em inglês)

Microsoft Windows Malicious Software Removal Tool

A Microsoft está lançando uma versão atualizada do Microsoft Windows Malicious Software Removal Tool no Windows Server Update Services (WSUS), Windows Update (WU) e no Centro de Download. Observe que esta ferramenta NÃO será distribuída através do Software Update Services (SUS). Informações sobre o Microsoft Windows Malicious Software Removal Tool podem ser obtidas em (digite em seu browser): http://support.microsoft.com/?kbid=890830.

Atualizações Não Relacionadas à Segurança de Alta Prioridade

Atualizações não relacionadas à segurança de alta prioridade no Microsoft Update (MU), Windows Update (WU) ou Windows Server Update Services (WSUS) estão detalhadas no seguinte artigo da Base de Conhecimento (digite em seu browser): http://support.microsoft.com/?id=894199.

REVISÃO DE BOLETIM DE SEGURANÇA

A Microsoft revisou o Boletim de Segurança MS08-069 – Vulnerabilidades nos Serviços XML Básicos da Microsoft Podem Permitir a Execução Remota de Código (955218) – em 13 de Outubro de 2009.

Visão geral das mudanças: O boletim foi revisado para incluir os Serviços XML Básicos da Microsoft 4.0 (KB954430) quando instalado em edições de 32 e 64 bits do Windows 7 e em edições x64 e para Itanium do Windows Server 2008 R2 como softwares afetados. É apenas um alteração de detecção, sem mudanças nos arquivos de atualização. Os clientes que já instalaram a atualização KB954430 não precisam fazer a reinstalação.

Mais Detalhes: http://www.microsoft.com/brasil/technet/security/bulletin/MS08-069.mspx

WEBCAST PÚBLICO SOBRE OS BOLETINS

A Microsoft realizará um Webcast (em inglês) para solucionar as questões dos clientes sobre estes boletins:

Título: Informações sobre os Boletins de Segurança Microsoft de Outubro (Nível 200)

Data: Quarta-feira, 14 de Outubro de 2009, 11:00 A.M. Horário Pacífico – 15:00hrs no Brasil

URL: http://msevents.microsoft.com/CUI/WebCastEventDetails.aspx?culture=en-US&EventID=1032407488

DETALHES TÉCNICOS SOBRE OS NOVOS BOLETINS DE SEGURANÇA

Nas tabelas a seguir são detalhados os softwares afetados e não afetados. As edições de software não listadas não possuem suporte. Para determinar o ciclo de vida de suporte de seu produto ou edição, acesse (digite em seu browser): http://support.microsoft.com/lifecycle.

Identificador do Boletim	Boletim de Segurança Microsoft MS09-050
Título do Boletim	Vulnerabilidades no SMBv2 Podem Permitir Execução Remota de Código (975517)
Sumário Executivo	Esta atualização de segurança soluciona um vulnerabilidade pública e duas privadas no SMBv2 (Server Message Block Version 2). A mais severa das vulnerabilidades pode permitir a Execução Remota de Código se um intruso enviar um pacote SMB especialmente criado para um computador que esteja executando o serviço Servidor. A atualização de segurança soluciona as vulnerabilidades validando corretamente os campos dentro dos pacotes SMBv2, corrigindo a forma que o SMB trata o valor do comando nos pacotes SMB e corrigindo a forma que o SMB trata pacotes SMB especialmente criados.
Softwares Afetados e Níveis de Severidade	Esta atualização de segurança foi classificada como Crítica para todas as edições suportadas do Windows Vista e Windows Server 2008.
Identificadores da Vulnerabilidade	· CVE-2009-2526: Vulnerabilidade de Loop Infinito do SMBv2 · CVE-2009-2532: Vulnerabilidade de Valor de Comando SMBv2 · CVE-2009-3103: Vulnerabilidade de Negociação SMBv2
Vetores de Ataque	Pacote de rede mal intencionado
Fatores de Mitigação	· As melhores práticas e padrões de configurações de firewall podem ajudar a proteger as redes de ataques que são originados na rede externa ao perímetro corporativo. Estas práticas recomendam que os sistemas que estão conectados à Internet possuam um número mínimo de portas expostas. · No Windows Vista se o perfil de rede for definido como “Público”, o sistema não será afetado pela vulnerabilidade.
Requisitos de Reinicialização	Você deve reiniciar o sistema após aplicar esta atualização de segurança.
Informações sobre Remoção	O WUSA.exe não suporta a desinstalação das atualizações. Para remover uma atualização instalada pelo WUSA, clique em Painel de Controle e em Programas e Recursos. Clique em Exibir atualizações instaladas e selecione o item na lista de atualizações.
Boletins Substituídos por Esta Atualização	Nenhum
Mais Detalhes	http://www.microsoft.com/brasil/technet/security/bulletin/MS09-050.mspx

Identificador do Boletim	Boletim de Segurança Microsoft MS09-051
Título do Boletim	Vulnerabilidades no Tempo de Execução do Windows Media Podem Permitir Execução Remota de Código (975682)
Sumário Executivo	Esta atualização de segurança soluciona duas vulnerabilidades relatadas de forma privada no Tempo de Execução do Windows Media. As vulnerabilidades podem permitir a Execução Remota de Código se um usuário abrir um arquivo de mídia especialmente criado ou receber um conteúdo em fluxo de mídia de um site da Web ou de qualquer aplicação que forneça conteúdo Web. A atualização de segurança soluciona as vulnerabilidades alterando a forma que o Tempo de Execução do Windows Media processa arquivos ASF e inicializa funções em arquivos de áudio comprimidos.
Softwares Afetados e Níveis de Severidade	Esta atualização de segurança foi classificada como Crítica para o Codec de Voz WMA do DirectShow, Decoder de Voz Windows Media Audio e Gerenciador de Compressão de Áudio em edições suportadas do Microsoft Windows 2000; Windows XP; Windows Server 2003, exceto edições para Itanium; Windows Vista e Windows Server 2008, exceto edições para Itanium.
Identificadores da Vulnerabilidade	· CVE-2009-0555: Vulnerabilidade de Taxa de Amostragem de Voz do Tempo de Execução do Windows Media · CVE-2009-2525: Vulnerabilidade de Corrupção do Tempo de Execução do Windows Media
Vetores de Ataque	· Um arquivo de áudio mal intencionado · Uma página Web mal intencionada · Um anexo de email mal intencionado
Fatores de Mitigação	· Os usuários precisam ser persuadidos a visitar um site da Web mal intencionado. · A exploração obtém os mesmos direitos do usuário conectado ao sistema. Usuários cujas contas são configuradas com menos direitos no sistema podem ser menos impactados do que aqueles que possuem direitos administrativos.
Requisitos de Reinicialização	Em alguns casos esta atualização não exigirá a reinicialização. Se os arquivos necessários estiverem em uso, a reinicialização será necessária. Se isso ocorrer, uma mensagem será exibida solicitando a reinicialização. Para reduzir as chances de uma reinicialização ser necessária, interrompa todos os serviços afetados e feche todas as aplicações que podem usar os arquivos afetados antes de instalar a atualização. Para mais informações sobre as razões para que a reinicialização seja necessária leia o Artigo da Base de Conhecimento Microsoft 887012.
Informações sobre Remoção	· Windows 2000, Windows XP e Windows Server 2003: Use a ferramenta Adicionar ou Remover Programas do Painel de Controle ou o utilitário Spuninst.exe. · Windows Vista e Windows Server 2008: O WUSA.exe não suporta a desinstalação das atualizações. Para remover uma atualização instalada pelo WUSA, clique em Painel de Controle e em Programas e Recursos. Clique em Exibir atualizações instaladas e selecione o item na lista de atualizações.
Boletins Substituídos por Esta Atualização	Nenhum
Mais Detalhes	http://www.microsoft.com/brasil/technet/security/bulletin/MS09-051.mspx

Identificador do Boletim	Boletim de Segurança Microsoft MS09-052
Título do Boletim	Vulnerabilidades no Windows Media Player Podem Permitir Execução Remota de Código (974112)
Sumário Executivo	Esta atualização de segurança soluciona uma vulnerabilidade relatada de forma privada no Windows Media Player. A vulnerabilidade pode permitir a execução remota de código se um arquivo ASF especialmente criado for executado no Windows Media Player 6.4. A atualização de segurança soluciona a vulnerabilidade corrigindo a forma como o Windows Media Player 6.4 trata arquivos ASF especialmente criados.
Softwares Afetados e Níveis de Severidade	Esta atualização de segurança foi classificada como Crítica para o Windows Media Player 6.4 quando instalado em todas as edições suportadas do Microsoft Windows 2000, Windows XP e Windows Server 2003.
Identificadores da Vulnerabilidade	CVE-2009-2527: Vulnerabilidade de Estouro de Heap do WMP
Vetores de Ataque	· Arquivo ASF mal intencionado · Página Web mal intencionada · Anexo de email mal intencionado
Fatores de Mitigação	· Os usuários precisam ser persuadidos a visitar um site da Web mal intencionado. · A exploração obtém os mesmos direitos do usuário conectado ao sistema. Usuários cujas contas são configuradas com menos direitos no sistema podem ser menos impactados do que aqueles que possuem direitos administrativos. · Não pode ser explorada automaticamente por email.
Requisitos de Reinicialização	Em alguns casos esta atualização não exigirá a reinicialização. Se os arquivos necessários estiverem em uso, a reinicialização será necessária. Se isso ocorrer, uma mensagem será exibida solicitando a reinicialização. Para reduzir as chances de uma reinicialização ser necessária, interrompa todos os serviços afetados e feche todas as aplicações que podem usar os arquivos afetados antes de instalar a atualização. Para mais informações sobre as razões para que a reinicialização seja necessária leia o Artigo da Base de Conhecimento Microsoft 887012.
Informações sobre Remoção	Use a ferramenta Adicionar ou Remover Programas do Painel de Controle ou o utilitário Spuninst.exe.
Boletins Substituídos por Esta Atualização	MS08-076
Mais Detalhes	http://www.microsoft.com/brasil/technet/security/bulletin/MS09-052.mspx

Identificador do Boletim	Boletim de Segurança Microsoft MS09-053
Título do Boletim	Vulnerabilidades no Serviço FTP dos Serviços de Informações da Internet (IIS) Podem Permitir Execução Remota de Código (975254)
Sumário Executivo	Esta atualização de segurança soluciona duas vulnerabilidades relatadas de forma pública no Serviço FTP dos Serviços de Informações da Internet (IIS) 5.0, 5.1, 6.0 e 7.0. No IIS 7.0 apenas o Serviço FTP 6.0 é afetado. As vulnerabilidades podem permitir a execução remota de código em sistemas que executam o Serviço FTP no IIS 5.0, ou negação de serviço (DoS) em sistemas que executam o Serviço FTP no IIS 5.0, 5.1, 6.0 ou 7.0. A atualização de segurança soluciona as vulnerabilidades modificando a forma como o Serviço FTP trata as operações de listas.
Softwares Afetados e Níveis de Severidade	Esta atualização de segurança foi classificada como Importante para o IIS 5.0, IIS 5.1, IIS 6.0 e Serviço FTP 6.0 no IIS 7.0.
Identificadores da Vulnerabilidade	· CVE-2009-2521: Vulnerabilidade de Negação de Serviço do Serviço FTP do IIS · CVE-2009-3023: Vulnerabilidade de Negação de Serviço e Execução Remota de Código no Serviço FTP do IIS
Vetores de Ataque	Comandos de lista FTP mal intencionados
Fatores de Mitigação	· O Serviço FTP não é instalado por padrão. · O IIS 5.1 e IIS 6.0 estão com risco reduzido pois estas versões foram compiladas com a opção /GS do compilador.
Requisitos de Reinicialização	Varia dependendo de qual atualização for instalada. Leia a seção Implantação da Atualização de Segurança do boletim no link abaixo para mais detalhes.
Informações sobre Remoção	· Windows 2000, Windows XP e Windows Server 2003: Use a ferramenta Adicionar ou Remover Programas do Painel de Controle ou o utilitário Spuninst.exe. · Windows Vista e Windows Server 2008: O WUSA.exe não suporta a desinstalação das atualizações. Para remover uma atualização instalada pelo WUSA, clique em Painel de Controle e em Programas e Recursos. Clique em Exibir atualizações instaladas e selecione o item na lista de atualizações.
Boletins Substituídos por Esta Atualização	Nenhum
Mais Detalhes	http://www.microsoft.com/brasil/technet/security/bulletin/MS09-053.mspx

Identificador do Boletim	Boletim de Segurança Microsoft MS09-054
Título do Boletim	Atualização de Segurança Acumulativa para Internet Explorer (974455)
Sumário Executivo	Esta atualização de segurança soluciona três vulnerabilidades relatadas de forma privada e uma relatada de forma pública no Internet Explorer. As vulnerabilidades podem permitir a execução remota de código se um usuário exibir uma página Web especialmente criada usando o Internet Explorer. A atualização de segurança soluciona as vulnerabilidades modificando a forma como o Internet Explorer processa cabeçalhos de fluxos de dados, valida argumentos e trata objetos na memória.
Softwares Afetados e Níveis de Severidade	Esta atualização de segurança foi classificada como Crítica para todas as versões suportadas do Internet Explorer: Internet Explorer 5.01, Internet Explorer 6, Internet Explorer 6 Service Pack 1, Internet Explorer 7 e Internet Explorer 8.
Identificadores da Vulnerabilidade	· CVE-2009-1547: Vulnerabilidade de Corrupção de Cabeçalho de Fluxo de Dados · CVE-2009-2529: Vulnerabilidade de Tratamento de Componente HTML · CVE-2009-2530: Vulnerabilidade de Corrupção de Memória Não Inicializada · CVE-2009-2531: Vulnerabilidade de Corrupção de Memória Não Inicializada
Vetores de Ataque	Página Web mal intencionada
Fatores de Mitigação	· Os usuários precisam ser persuadidos a visitar um site da Web mal intencionado. · A exploração obtém os mesmos direitos do usuário conectado ao sistema. Usuários cujas contas são configuradas com menos direitos no sistema podem ser menos impactados do que aqueles que possuem direitos administrativos. · Por padrão todas as versões suportadas do Microsoft Outlook e Microsoft Outlook Express abrem mensagens HTML na zona de Sites Restritos.
Requisitos de Reinicialização	Você deve reiniciar o sistema após aplicar esta atualização de segurança.
Informações sobre Remoção	· Windows 2000, Windows XP e Windows Server 2003: Use a ferramenta Adicionar ou Remover Programas do Painel de Controle ou o utilitário Spuninst.exe. · Windows Vista, Windows Server 2008, Windows 7 e Windows Server 2008 R2: O WUSA.exe não suporta a desinstalação das atualizações. Para remover uma atualização instalada pelo WUSA, clique em Painel de Controle e em Programas e Recursos. Clique em Exibir atualizações instaladas e selecione o item na lista de atualizações.
Boletins Substituídos por Esta Atualização	MS09-034
Mais Detalhes	http://www.microsoft.com/brasil/technet/security/bulletin/MS09-054.mspx

Identificador do Boletim	Boletim de Segurança Microsoft MS09-055
Título do Boletim	Atualização de Segurança Acumulativa para Kill Bits do ActiveX (973525)
Sumário Executivo	Esta atualização de segurança soluciona uma vulnerabilidade relatada de forma privada que é comum para múltiplos controles ActiveX e está sendo explorada atualmente. A vulnerabilidade que afeta controles ActiveX que foram compilados usando a versão vulnerável da Biblioteca de Modelos Ativos da Microsoft podem permitir a execução remota de código se um usuário exibir uma página Web especialmente criada com o Internet Explorer, instanciando o controle ActiveX. A atualização de segurança soluciona a vulnerabilidade definindo um kill bit para que o controle vulnerável não seja executado no Internet Explorer.
Softwares Afetados e Níveis de Severidade	· Esta atualização de segurança foi classificada como Crítica para todas as edições suportadas do Microsoft Windows 2000 e Windows XP. · Esta atualização de segurança foi classificada como Importante para todas as edições suportadas do Windows Vista e Windows 7. · Esta atualização de segurança foi classificada como Moderada para todas as edições suportadas do Windows Server 2003. · Esta atualização de segurança foi classificada como Baixa para todas as edições suportadas do Windows Server 2008 e Windows Server 2008 R2.
Identificadores da Vulnerabilidade	CVE-2009-2493: Vulnerabilidade de inicialização de COM ATL
Vetores de Ataque	Página Web mal intencionada
Fatores de Mitigação	· Por padrão, o IE no Windows Server 2003 e Windows Server 2008 são executados em modo restrito. · Por padrão todas as versões suportadas do Microsoft Outlook e Microsoft Outlook Express abrem mensagens HTML na zona de Sites Restritos. · A maioria dos controles ActievX não estão incluídos na lista de permissões padrão no IE7 ou IE8 executados no Windows Vista ou sistemas mais recentes. · O Internet Explorer 8 oferece proteção avançada usando o DEP/NX para usuários no Windows XP SP3 ou sistemas mais recentes. · Os usuários precisam ser persuadidos a visitar um site da Web mal intencionado. · A exploração obtém os mesmos direitos do usuário conectado ao sistema. Usuários cujas contas são configuradas com menos direitos no sistema podem ser menos impactados do que aqueles que possuem direitos administrativos.
Requisitos de Reinicialização	Em alguns casos esta atualização não exigirá uma reinicialização. Se ela for necessária uma mensagem será exibida para o usuário.
Informações sobre Remoção	· Windows 2000, Windows XP e Windows Server 2003: Use a ferramenta Adicionar ou Remover Programas do Painel de Controle ou o utilitário Spuninst.exe. · Windows Vista, Windows Server 2008, Windows 7 e Windows Server 2008 R2: O WUSA.exe não suporta a desinstalação das atualizações. Para remover uma atualização instalada pelo WUSA, clique em Painel de Controle e em Programas e Recursos. Clique em Exibir atualizações instaladas e selecione o item na lista de atualizações.
Boletins Substituídos por Esta Atualização	MS09-032
Mais Detalhes	http://www.microsoft.com/brasil/technet/security/bulletin/MS09-055.mspx

Identificador do Boletim	Boletim de Segurança Microsoft MS09-056
Título do Boletim	Vulnerabilidades na CryptoAPI do Windows Podem Permitir Spoofing (974571)
Sumário Executivo	Esta atualização de segurança soluciona duas vulnerabilidades relatadas de forma pública no Microsoft Windows. As vulnerabilidades podem permitir o spoofing se um intruso obter acesso ao certificado usado pelo usuário final para autenticação. A atualização de segurança soluciona as vulnerabilidades modificando a CryptoAPI para rejeitar nomes de certificados que contenham terminadores nulos e corrigindo a validação de identificadores de objetos ASN.1.
Softwares Afetados e Níveis de Severidade	Esta atualização de segurança foi classificada como Importante para todas as edições suportadas do Microsoft Windows 2000, Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008 e Windows 7.
Identificadores da Vulnerabilidade	· CVE-2009-2510: Vulnerabilidade de Nomes Comuns X.509 · CVE-2009-2511: Vulnerabilidade de Estouro de Inteiros em Identificadores de Objetos X.509
Vetores de Ataque	Um intruso pode criar um certificado mal intencionado e usá-lo para impersonar outro usuário ou sistema.
Fatores de Mitigação	A Microsoft não identificou nenhum fator de mitigação para esta vulnerabilidade.
Requisitos de Reinicialização	Você deve reiniciar o sistema após aplicar esta atualização de segurança.
Informações sobre Remoção	· Windows 2000, Windows XP e Windows Server 2003: Use a ferramenta Adicionar ou Remover Programas do Painel de Controle ou o utilitário Spuninst.exe. · Windows Vista, Windows Server 2008, Windows 7 and Windows Server 2008 R2: O WUSA.exe não suporta a desinstalação das atualizações. Para remover uma atualização instalada pelo WUSA, clique em Painel de Controle e em Programas e Recursos. Clique em Exibir atualizações instaladas e selecione o item na lista de atualizações.
Boletins Substituídos por Esta Atualização	Windows 2000: MS04-007
Mais Detalhes	http://www.microsoft.com/brasil/technet/security/bulletin/MS09-056.mspx

Identificador do Boletim	Boletim de Segurança Microsoft MS09-057
Título do Boletim	Vulnerabilidade no Serviço de Indexação Pode Permitir Execução Remota de Código (969059)
Sumário Executivo	Esta atualização de segurança soluciona uma vulnerabilidade relatada de forma privada no Microsoft Windows. A vulnerabilidade pode pemitir a execução remota de código se um intruso criar uma página Web mal intencionada que invoca o Serviço de Indexação através de uma chamada para um componente ActiveX. Essa chamada pode incluir uma URL mal intencionada e explorar a vulnerabilidade, dando ao intruso acesso ao sistema cliente com os privilégios do usuário que está navegando na Web. A atualização soluciona a vulnerabilidade modificando a forma que o controle ActiveX do Serviço de Indexação processa URLs.
Softwares Afetados e Níveis de Severidade	Esta atualização de segurança foi classificada como Importante para todas as edições suportadas do Microsoft Windows 2000, Windows XP e Windows Server 2003.
Identificadores da Vulnerabilidade	CVE-2009-2507: Vulnerabilidade de Corrupção de Memória no Serviço de Indexação
Vetores de Ataque	Página Web mal intencionada
Fatores de Mitigação	· Os usuários precisam ser persuadidos a visitar um site da Web mal intencionado. · A exploração obtém os mesmos direitos do usuário conectado ao sistema. Usuários cujas contas são configuradas com menos direitos no sistema podem ser menos impactados do que aqueles que possuem direitos administrativos. · Não pode ser explorada automaticamente através de email, pois o usuário precisa abrir um anexo que foi enviado em uma mensagem.
Requisitos de Reinicialização	Você deve reiniciar o sistema após aplicar esta atualização de segurança.
Informações sobre Remoção	Use a ferramenta Adicionar ou Remover Programas do Painel de Controle ou o utilitário Spuninst.exe.
Boletins Substituídos por Esta Atualização	MS06-053
Mais Detalhes	http://www.microsoft.com/brasil/technet/security/bulletin/MS09-057.mspx

Identificador do Boletim	Boletim de Segurança Microsoft MS09-058
Título do Boletim	Vulnerabilidades no Kernel do Windows Podem Permitir Elevação de Privilégio (971486)
Sumário Executivo	Esta atualização de segurança soluciona várias vulnerabilidades relatadas de forma privada no kernel do Windows. A mais severa das vulnerabilidades pode causar a elevação de privilégio se o intruso se conectar ao sistema e executar uma aplicação especialmente criada. A atualização soluciona as vulnerabilidades garantindo que o kernel do Windows trunca valores de 64 bits de forma correta, garantindo que o kernel do Windwos valida corretamente dados dentro de um executável e garantindo que o kernel do Windows faz a limpeza de exceções em certas condições de erro.
Softwares Afetados e Níveis de Severidade	· Esta atualização de segurança foi classificada como Importante para as edições suportadas do Microsoft Windows 2000, Windows XP, Windows Server 2003, Windows Vista e Windows Server 2008. · Esta atualização de segurança foi classificada como Moderada para o Service Pack 2 em todas as edições do Windows Vista e Windows Server 2008.
Identificadores da Vulnerabilidade	· CVE-2009-2515: Vulnerabilidade de Underflow de Inteiros no Kernel do Windows · CVE-2009-2516: Vulnerabilidade de Diferença de Ponteiros no Kernel do Windows · CVE-2009-2517: Vulnerabilidade de Fatores de Mitigação de Exceções para o Kernel do Windows
Vetores de Ataque	· Uma tentativa de logon com um nome de usuário legítimo · Uma aplicação mal intencionada
Fatores de Mitigação	· O intruso precisa possuir credenciais válidas de logon e ser capaz de logar localmente para explorar esta vulnerabilidade. · O intruso precisa ser capaz de colocar uma aplicação especialmente criada no sistema para explorar a vulnerabilidade. · As vulnerabilidades não podem ser exploradas remotamente ou por usuários anônimos.
Requisitos de Reinicialização	Você deve reiniciar o sistema após aplicar esta atualização de segurança.
Informações sobre Remoção	· Windows 2000, Windows XP e Windows Server 2003: Use a ferramenta Adicionar ou Remover Programas do Painel de Controle ou o utilitário Spuninst.exe. · Windows Vista e Windows Server 2008: O WUSA.exe não suporta a desinstalação das atualizações. Para remover uma atualização instalada pelo WUSA, clique em Painel de Controle e em Programas e Recursos. Clique em Exibir atualizações instaladas e selecione o item na lista de atualizações.
Boletins Substituídos por Esta Atualização	· MS08-064 · MS07-022 (apenas no Windows 2000)
Mais Detalhes	http://www.microsoft.com/brasil/technet/security/bulletin/MS09-058.mspx

Identificador do Boletim	Boletim de Segurança Microsoft MS09-059
Título do Boletim	Vulnerabilidade no Subsistema de Autoridade de Segurança Local Pode Permitir Negação de Serviço (975467)
Sumário Executivo	Esta atualização de segurança soluciona uma vulnerabilidade relatada de forma privada no Microsoft Windows. A vulnerabilidade pode permitir a negação de serviço se um intruso enviar um pacote mal intencionado durante o processo de autenticação NTLM. A atualização de segurança soluciona a vulnerabilidade implementando validações adicionais de conjuntos específicos de valores no processo de autenticação.
Softwares Afetados e Níveis de Severidade	· Esta atualização de segurança foi classificada como Importante para todas as edições suportadas do Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008 e Windows 7. · Edições suportadas do Windows XP e Windows Server 2003 são afetadas apenas se a instalação da atualização não relacionada com segurança do artigo 968389 da Base de Conhecimento Microsoft tiver sido realizada.
Identificadores da Vulnerabilidade	CVE-2009-2524: Vulnerabilidade de Estouro de Inteiro do Serviço de Subsistema LSA (Autoridade de Segurança Local)
Vetores de Ataque	Um pacote de rede mal intencionado
Fatores de Mitigação	A Microsoft não identificou nenhuma mitigação para esta vulnerabilidade.
Requisitos de Reinicialização	Você deve reiniciar o sistema após aplicar esta atualização de segurança.
Informações sobre Remoção	· Windows XP e Windows Server 2003: Use a ferramenta Adicionar ou Remover Programas do Painel de Controle ou o utilitário Spuninst.exe. · Windows Vista, Windows Server 2008, Windows 7 and Windows Server 2008 R2: O WUSA.exe não suporta a desinstalação das atualizações. Para remover uma atualização instalada pelo WUSA, clique em Painel de Controle e em Programas e Recursos. Clique em Exibir atualizações instaladas e selecione o item na lista de atualizações.
Boletins Substituídos por Esta Atualização	Nenhum
Mais Detalhes	http://www.microsoft.com/brasil/technet/security/bulletin/MS09-059.mspx

Identificador do Boletim	Boletim de Segurança Microsoft MS09-060
Título do Boletim	Vulnerabilidades nos Controle ActiveX da Biblioteca de Modelos Ativos (ATL) Microsoft Podem Permitir Execução Remota de Código (973965)
Sumário Executivo	Esta atualização de segurança soluciona várias vulnerabilidades relatadas de forma privada nos Controles ActiveX da Microsoft que foram compilados com uma versão vulnerável da Biblioteca de Modelos Ativos da Microsoft. As vulnerabilidades podem permitir a execução remota de código se um usuário carregar um componente ou controle especialmente criado. A atualização de segurança soluciona as vulnerabilidades corrigindo a forma como a biblioteca trata a criação de instâncias de objetos a partir de fluxos de dados, fornecendo versões atualizadas dos componentes e controles afetados com cabeçalhos corrigidos da biblioteca.
Softwares Afetados e Níveis de Severidade	Esta atualização de segurança foi classificada como Crítica para todas as edições suportadas do Microsoft Outlook 2002, Microsoft Office Outlook 2003, Microsoft Office Outlook 2007, Microsoft Visio 2002 Viewer, Microsoft Office Visio 2003 Viewer e Microsoft Office Visio Viewer 2007.
Identificadores da Vulnerabilidade	· CVE-2009-0901: Vulnerabilidade de Objeto não Inicializado da ATL · CVE-2009-2493: Vulnerabilidade de Inicialização de COM ATL · CVE-2009-2495: Vulnerabilidade de Sequência Nula da ATL
Vetores de Ataque	· Arquivo do Office mal intencionado · Página Web mal intencionada · Anexo de email mal intencionado
Fatores de Mitigação	· A exploração obtém os mesmos direitos do usuário conectado ao sistema. Usuários cujas contas são configuradas com menos direitos no sistema podem ser menos impactados do que aqueles que possuem direitos administrativos. · Não pode ser explorada automaticamente através de email, pois o usuário precisa abrir um anexo que foi enviado em uma mensagem. · Os usuários precisam ser persuadidos a visitar um site da Web mal intencionado.
Requisitos de Reinicialização	Em alguns casos esta atualização não exigirá a reinicialização. Se os arquivos necessários estiverem em uso, a reinicialização será necessária. Se isso ocorrer, uma mensagem será exibida solicitando a reinicialização. Para reduzir as chances de uma reinicialização ser necessária, interrompa todos os serviços afetados e feche todas as aplicações que podem usar os arquivos afetados antes de instalar a atualização. Para mais informações sobre as razões para que a reinicialização seja necessária leia o Artigo da Base de Conhecimento Microsoft 887012.
Informações sobre Remoção	Use a ferramenta Adicionar ou Remover Programas do Painel de Controle.
Boletins Substituídos por Esta Atualização	MS08-015
Mais Detalhes	http://www.microsoft.com/brasil/technet/security/bulletin/MS09-060.mspx

Identificador do Boletim	Boletim de Segurança Microsoft MS09-061
Título do Boletim	Vulnerabilidades no Common Language Runtime (CLR) do Microsoft .NET Podem Permitir Execução Remota de Código (974378)
Sumário Executivo	Esta atualização de segurança soluciona três vulnerabilidades relatadas de forma privada no Microsoft .NET Framework e Microsoft Silverlight. As vulnerabilidades podem permitir a execução remota de código em um sistema cliente se um usuário exibir uma página Web especialmente criada usando um navegador Web que pode executar aplicações XAML (XBAPs) ou aplicações Silverlight, ou se um intruso conseguir persuadir um usuário a exeutar uma aplicação Microsoft .NET especialmente criada. Usuários cujas contas são configuradas com menos direitos no sistema podem ser menos impactados do que aqueles que possuem direitos administrativos. As vulnerabilidades também podem permitir a execução remota de código em um servidor executando o IIS, se o servidor permitir o processamento de páginas ASP.NET e um intruso conseguir fazer o upload de uma página ASP.NET especialmente criada para o servidor e executá-la, como no caso de cenários de hospedagem Web. A atualização de segurança soluciona as vulnerabilidades modificando a forma com o Microsoft .NET verifica e aplica as regras de código verificável .NET e modificando a forma como o CLR (Common Language Runtime) do Microsoft .NET trata as interfaces.
Softwares Afetados e Níveis de Severidade	· Esta atualização de segurança foi classificada como Crítica para todas as edições do Microsoft .NET Framework no Microsoft Windows 2000, Windows XP, Windows Vista e Windows 7; Microsoft Silverlight 2 instalado em Mac e Microsoft Silverlight 2 instalado em todas as versões de clientes Microsoft Windows. · Esta atualização de segurança foi classificada como Importante para todas as edições suportadas do Microsoft .NET Framework no Windows Server 2003, Windows Server 2008 e Windows Server 2008 R2. · Esta atualização de segurança foi classificada como Moderada para o Microsoft Silverlight 2 quando instalado em todas as versões de servidores Microsoft Windows.
Identificadores da Vulnerabilidade	· CVE-2009-0090: Vulnerabilidade de Ponteiro do Microsoft .NET Framework · CVE-2009-0091: Vulnerabilidade de Verificação de Tipo do Microsoft .NET Framework · CVE-2009-2497: Vulnerabilidade do CLR no Microsoft Silverlight e Microsoft .NET Framework
Vetores de Ataque	· Página Web mal intencionada · Anexo de email mal intencionado · Aplicação mal intencionada
Fatores de Mitigação	· Aplicações Microsoft .NET, aplicações Silverlight, páginas XBAP e ASP.NET que não são mal intencionadas não estão em risco de ser comprometidas por esta vulnerabilidade. · Um intruso precisa de permissão para fazer o upload arbritrariamente de páginas ASP.NET para um site da Web e o ASP.NET precisa estar instalado no servidor Web. · Por padrão o IE no Windows 2003 e Windows 2008 é executado em modo restrito. · A exploração obtém os mesmos direitos do usuário conectado ao sistema. · Os usuários precisam ser persuadidos a visitar um site da Web mal intencionado.
Requisitos de Reinicialização	Em alguns casos esta atualização não exigirá a reinicialização. Se os arquivos necessários estiverem em uso, a reinicialização será necessária. Se isso ocorrer, uma mensagem será exibida solicitando a reinicialização.
Informações sobre Remoção	· Windows 2000, Windows XP e Windows Server 2003: Use a ferramenta Adicionar ou Remover Programas do Painel de Controle ou o utilitário Spuninst.exe. · Windows Vista, Windows Server 2008, Windows 7 e Windows Server 2008 R2: O WUSA.exe não suporta a desinstalação das atualizações. Para remover uma atualização instalada pelo WUSA, clique em Painel de Controle e em Programas e Recursos. Clique em Exibir atualizações instaladas e selecione o item na lista de atualizações.
Boletins Substituídos por Esta Atualização	MS07-040
Mais Detalhes	http://www.microsoft.com/brasil/technet/security/bulletin/MS09-061.mspx

Identificador do Boletim	Boletim de Segurança Microsoft MS09-062
Título do Boletim	Vulnerabilidades no GDI+ Podem Permitir Execução Remota de Código (957488)
Sumário Executivo	Esta atualização de segurança soluciona várias vulnerabilidades relatadas de forma privada no Microsoft Windows GDI+. Estas vulnerabilidades podem permitir a execução remota de código se um usuário exibir um arquivo de imagem especialmente criado usando os softwares afetados ou navegar em um site da Web que contenha conteúdo especialmente criado. Usuários cujas contas são configuradas com menos direitos no sistema podem ser menos impactados do que aqueles que possuem direitos administrativos. A atualização de segurança soluciona as vulnerabilidades introduzindo validações apropriadas de dados no GDI+ quando renderiza imagens WMF, modificando a forma que o GDI+ gerencia um heap de buffer ao ler arquivos PNG, modificando a forma que o GDI+ aloca o buffer usado ao ler arquivos TIFF. Esta atualização modifica a forma que o GDI+ gerencia buffers quando certas chamadas da API .NET são feitas, modificando a forma que o GDI+ calcula o tamanho necessário do buffer enquanto trata uma imagem PNG e modificando a forma que o Microsoft Office abre arquivos especialmente criados.
Softwares Afetados e Níveis de Severidade	· Esta atualização de segurança foi classificada como Crítica para todas as edições suportadas do Windows XP e Windows Server 2003; Windows Vista e Windows Vista Service Pack 1; Windows Vista x64 Edition e Windows Vista x64 Edition Service Pack 1; Windows Server 2008 32 bits, Windows Server 2008 para sistemas x64 e Windows Server 2008 para sistemas Itanium; Microsoft Internet Explorer 6 Service Pack 1 instalado no Microsoft Windows 2000 Service Pack 4, SQL Server 2000 Reporting Services Service Pack 2, todas as edições suportadas do SQL Server 2005, Microsoft Report Viewer 2005 Service Pack 1 Redistributable Package, Microsoft Report Viewer 2008 Redistributable Package e Microsoft Report Viewer 2008 Redistributable Package Service Pack 1. · Esta atualização de segurança foi classificada como Importante para todas as edições suportadas do Microsoft .NET Framework 1.1 e Microsoft .NET Framework 2.0 no Microsoft Windows 2000; Microsoft Office XP; Microsoft Office 2003; todos os visualizadores de arquivos do Microsoft Office 2003; 2007 Microsoft Office System; todos os visualizadores de arquivos do 2007 Microsoft Office System; Microsoft Office Compatibility Pack, Microsoft Expression Web, Microsoft Expression Web 2, Microsoft Office Groove 2007 e Microsoft Office Groove 2007 Service Pack 1; Microsoft Office Project 2002; Microsoft Office Visio 2002; Microsoft Works 8.5 e Microsoft Forefront Client Security 1.0.
Identificadores da Vulnerabilidade	· CVE-2009-2500: Vulnerabilidade de Estouro de Inteiro GDI+ WMF · CVE-2009-2501: Vulnerabilidade de Estouro de Heap GDI+ PNG · CVE-2009-2502: Vulnerabilidade de Estouro de Buffer GDI+ TIFF · CVE-2009-2503: Vulnerabilidade de Corrupção de Memória GDI+ TIFF · CVE-2009-2504: Vulnerabilidade da API GDI+ .NET · CVE-2009-3126: Vulnerabilidade de Estouro de Inteiro GDI+ PNG · CVE-2009-2528: Vulnerabilidade de Corrupção de Memória · CVE-2009-2518: Vulnerabilidade de Estouro de Inteiro de Office BMP
Vetores de Ataque	· Página Web mal intencionada · Anexo de email mal intencionado · Imagem mal intencionada
Fatores de Mitigação	· A exploração obtém os mesmos direitos do usuário conectado ao sistema. · Os usuários precisam ser persuadidos a visitar um site da Web mal intencionado. · Por padrão o IE no Windows 2003 e Windows 2008 é executado em modo restrito.
Requisitos de Reinicialização	Varia dependendo de qual atualização for instalada. Leia a seção Implantação da Atualização de Segurança do boletim no link abaixo para mais detalhes.
Informações sobre Remoção	Varia dependendo de qual atualização for instalada. Leia a seção Implantação da Atualização de Segurança do boletim no link abaixo para mais detalhes.
Boletins Substituídos por Esta Atualização	MS08-052
Mais Detalhes	http://www.microsoft.com/brasil/technet/security/bulletin/MS09-062.mspx

Posted by brzsec | 0 Comments

Filed under: Segurança, Boletins de Segurança, seguranca, Atualização de Segurança, Marines Gomes

Wednesday, October 07, 2009 2:06 PM

O Que Fazer Se Você Suspeita Que A Sua Senha do Hotmail Foi Roubada

Se você suspeita que uma pessoa não autorizada usou o seu Windows Live ID para entrar na sua conta do Windows Live Hotmail, ou qualquer outro serviço Windows Live (como o Windows Live Messenger), por favor leia este artigo para saber como proceder.

Muitas vezes uma conta é comprometida devido a sites web mal intencionados que foram enviados a você através de e-mail, mensagem instantânea ou outro web site, e que pediram a você para fornecer a sua conta e senha.Se você se lembra em qual site ou link isto aconteceu, por favor nos informe para que nós possamos ter este site removido o mais rapidamente possível.

A coisa importante a lembrar aqui é que se você ainda tem acesso a sua conta, então você deve mudar a sua senha e outras informações imediamente acessando os seguintes links:
Mude a sua senha
Atualize/Mude a sua resposta secreta
Atualize/Mude o seu endereço alternativo de e-mail

Se você não tem mais acesso a sua conta, você pode tentar as sugestões encontradas na nossa página Redefinir Sua Senha.

Existe ainda uma Página de Validação do Windows Live ID que foi criada para tentar validar a verdadeira identidade de uma conta caso os passos de redefinição de senha não funcionem. Esta página foi criada para pedir informações sobre a sua conta (que somente você é capaz de nos fornecer) quando você a criou ou atualizou. Quando mais informações você nos fornecer, mais fácil será para o nosso suporte validar a sua identidade. Para sua segurança e privacidade a Microsoft não vai dizer quais respostas você acertou ou error. Apreciamos a sua compreensão neste caso. O link direto para a página de validação é https://support.live.com/eform.aspx?productKey=wlidvalidation.

Aqui estão algumas situações que impedirão a Microsoft de ajudá-lo a redefinir a sua senha:

1. Você não forneceu informações corretas ao criar a conta.
2. Você não forneceu nenhuma informação ao criar a conta.
3. Você não consegue se lembrar de nenhum detalhe de sua conta.
4. A informação na conta não correspode ao que você forneceu.
5. Você não forneceu informação suficiente para validar a identidade da conta.
a. Ao completar a página de validação, você deve tentar fornecer o máximo de informação possível.
b. Somente o nome e endereço de e-mail não são informações suficientes para fim de validação.

Por favor aguarde até 24 horas por uma resposta do time de suporte da Microsoft. Esperamos que esta informação seja útil, e por favor nos informe de quaisquer sites ou links mal intencionados que você encontrar.

Posted by brzsec | 0 Comments

Filed under: Fernando Cima, Segurança

Monday, October 05, 2009 4:25 PM

Comparando o Microsoft Security Essentials com Outros Antivirus

O lançamento do Microsoft Security Essentials foi recebido com uma natural reação de alguns outros fabricantes de antivirus. Ninguém gosta de ter concorrência, ainda mais de um software sem custo, e alguns chegaram a encomendar relatórios que supostamente mostram deficiências no MSE. Afinal, se é de graça não pode ser tão bom assim, não é mesmo?

Err… não. O Microsoft Security Essentials oferece aos usuários uma das melhores engines de antivirus do mercado, exatamente a mesma utilizada pelo Microsoft Forefront. Ao usar o Security Essentials você está tendo um nível de proteção tão bom ou melhor do que os seus concorrentes pagos. Bom e de graça – uma combinação imbatível!

Uma das mais respeitadas avaliações de antivirus do mercado é a da Virus Bulletin. Desde 1998 a Virus Bulletin faz o seu teste VB100, onde 100 diferentes ameaças representativas do panorama atual de ataques na Internet são usadas para avaliar os diversos antivirus do mercado. As ameaças incluem um mix de vários tipos de malware, incluindo ataques polimórficos que visam detectar se os produtos conseguem identificar ameaças com base em comportamento e heurística. Se o antivirus consegue detectar todas as 100 ameaças e não mostra nenhum falso positivo, ela ganha o selo VB100 indicando o sucesso na avaliação.

No último teste da VB100, realizado no início de Agosto, o Microsoft Forefront (que usa a mesma engine do Microsoft Security Essentials) passou com sucesso no VB100. Todas as ameaças foram corretamente identificadas e nenhum falso positivo foi mostrado.

Nesta mesma análise, um terço dos antivirus avaliados falhou no teste e não foram capazes de identificar com sucesso todas as ameaças. Entre eles nomes conhecidos como CA, PC Tools e Symantec. Você pode ver o resumo dos resultados em http://www.virusbtn.com/vb100/archive/2009/08.

Testes de antivirus são notoriamente difíceis de serem feitos e dependem em boa parte da metodologia e da própria escolha das ameaças que serão testadas. Ainda assim se trata de um bom sinal de que o Microsoft Forefront (e por consequência o Microsoft Security Essentials) não devem nada para ninguém em termos de proteção. Uma discussão sobre os diversos testes de antivirus pode ser encontrado no blog do Microsoft Malware Protection Center.

Se você é usuário do Windows, você pode instalar o Microsoft Security Essentials sem custo indo em http://www.microsoft.com/security_essentials.

Posted by brzsec | 6 Comments

Filed under: Fernando Cima, Segurança, Security Essentials

Sunday, October 04, 2009 10:16 PM

Microsoft Lança Antivírus sem Custo para Usuários do Windows

A Microsoft lançou esta semana o Microsoft Security Essentials, um software antivirus disponível sem custo adicional para os usuários do Microsoft Windows XP, Windows Vista e Windows 7. O Microsoft Security Essentials ajuda a proteger o seu sistema contra ameaças como vírus, spyware, rootkits e trojans, sem necessidade do pagamento adicional de licenças ou assinaturas.

O Microsoft Security Essentials usa a mesma engine do Microsoft Forefront, reconhecida como uma das melhores do mercado, e incorpora recursos como proteção em tempo real, proteção contra rootkits (usando a tecnologia adquirida da Komoku), e o serviço de assinatura dinâmica que monitora comportamento suspeitos e e pode identificar novas ameaças em praticamente tempo real.

O Security Essentials também foi desenhado para ser fácil de usar. Você pode fazer o download diretamente no site da Microsoft sem necessidade de um longo cadastro ou compra de assinatura. A interface está em português, e uma vez instalado o produto se atualiza automaticamente a partir do Windows Update sem necessitar intervenção do usuário. A interface é simples e o usuário só é “incomodado” caso uma ameaça seja identificada.

Muitos antivírus praticamente destróem a performance do PC consumindo uma grande quantidade de memória e de ciclos de CPU. Ao contrário destes, o Security Essentials foi feito para rodar em PCs de menor porte sem prejudicar a experiência do usuário. Ele limita o seu próprio consumo de CPU para garantir a rápida resposta do sistema, e retira as assinaturas não-utilizadas da memória reduzindo o consumo de CPU. As verificações e atualizações são realizadas em momento de ociosidade do computador para que elas não afetem a performance do seu PC quando você mais precisa.

O Security Essentials complementa a proteção de rede já oferecida pelo Windows Firewall, e junto com as Atualizações Automáticas (Automatic Updates) fornecem gratuitamente para os usuários do Windows os três passos básicos de proteção que todo usuário deve seguir: ter um antivirus rodando, um firewall habilitado e o sistema atualizado.

Os requisitos mínimos para usar o Security Essentials são ter um sistema Windows XP SP2 ou superior, 256 MB de memória RAM (1GB para Windows Vista e Windows 7), 140 MB de espaço em disco livre, e uma conexão Internet para atualização das assinaturas. Para conhecer mais (e obter sem custo o produto), visite o site do Microsoft Security Essentials.

Posted by brzsec | 0 Comments

Filed under: Fernando Cima, Segurança, Security Essentials

Tuesday, September 29, 2009 1:09 PM

Configuração da Cadeia de Certificados em Sites Web

Para exemplificarmos este tema, utilizaremos os certificados da estrutura ICP-Brasil. Tanto a primeira versão do certificado root emitido pela ICP-Brasil "Autoridade Certificadora Raiz Brasileira" (ver imagem abaixo) que já é distribuido pelo Windows (tornando-se automaticamente disponivel para as versões do Internet Explorer ),

quanto o novo certificado raiz da ICP-Brasil (mesmo após o usuário ter efetuado a importação), em algumas situações, podem fazer com que o usuário encontre uma mensagem no Internet Explorer dizendo que o certificado digital do site não é confiável.

Em alguns destes estes casos o problema pode estar no servidor Web, e não no computador do usuário.

Quando um cliente acessa um site Web usando SSL, o servidor Web envia para o navegador o certificado digital do servidor. O navegador então valida o certificado do servidor, em seguida o certificado da autoridade certificadora (AC) que emitiu o certificado do servidor, e em seguida o certificado da AC que emitiu o certificado daquela AC, e assim sucessivamente até encontrar no topo da cadeia de confiança uma autoridade certificadora raiz em que o usuário confia.

Para fazer isso, no entanto, o navegador precisa ter os certificados de todas estas autoridades certificadoras intermediárias, isto é, aquelas autoridades certificadoras que estão entre a AC raiz e o certificado do servidor. Como geralmente as distribuições automaticas de certificados digitais contemplam somente a AC raiz (Isto também é verdade no caso do Windows), é necessário que de alguma forma o cliente obtenha também os certificados das autoridades certificadoras intermediárias para fazer a validação.

A maioria dos sites web "dá uma ajuda" ao navegador enviando já todos os certificados da cadeia de confiança, não só o certificado do site. Com isso o cliente monta toda a cadeia e valida o certificado sem que precise previamente ter o certificado de todas as autoridades intermediárias.

Alguns sites no entanto não seguem este comportamente, e enviam somente o certificado do site. O navegador precisa então ter previamente configurados os certificados intermediários, ou usar uma forma para localizá-los automaticamente utilizando uma extensão dos certificados chamada Authority Information Access (AIA), que ainda não está implementada amplamente na ICP-Brasil.

A melhor forma para resolver este problema seria configurar o servidor Web para enviar toda a cadeia de certificação. A forma como isto é feita depende do servidor Web utilizado:

Microsoft IIS - Verifique se toda a cadeia foi importada no seu servidor Windows, incluindo os certificados das ACs intermediárias. O IIS já manda por default toda a cadeia para o cliente, mas a partir do IIS 6 precisa ter instalado localmente todos certificados intermediários para fazer isso.

Apache - Verifique se o parâmetro SSLCertificateChainFile do arquivo de configuração do Apache está apontando para um arquivo que contenha todos os certificados da cadeia de certificação, concatenados em formato PEM (o chamado arquivo "PKCS#7 Bundle" ou .p7b). Este arquivo é em geral fornecido pela autoridade certificadora que emitiu o seu certificado.

Posted by brzsec | 0 Comments

Filed under: Djalma Andrade, Fernando Cima, ICP-Brasil, Segurança

Friday, September 25, 2009 4:16 PM

Retorno Sobre o Investimento de um Processo Seguro de Desenvolvimento

Quando uma organização cosidera a implementação de um processo de desenvolvimento de software seguro como o Microsoft SDL, três perguntas são comumente feitas pela gerência:

1. Quanto isso vai custar?

2. Como posso medir os resultados?

3. Como posso justificar o investimento?

Para auxiliar as organizações a responder a estas perguntas e definir um processo que seja acessível, mensurável e justificável, a Microsoft e a iSec Partners publicaram o documento Microsoft SDL: Return on Investment (em inglês).

Este documento é baseado na experiência real de 7 anos de uso e evolução do processo SDL na Microsoft e em outras organizações, e tem como objetivos ajudar equipes de desenvolvimento a:

■ Entender e comunicar os benefícios de uma abordagem estruturada no desenvolvimento de um software com segurança.

■ Desenvolver e usar métricas para melhorar o processo e definir o retorno sobre o investimento (ROI).

■ Obter resultados concretos e otimizar o uso de um orçamento limitado.

O documento também referencia recursos que organizações podem utilizar ao começar a implementação de um processo de desenvolvimento seguro, como o Microsoft SDL Developer Starter Kit, um conjunto completo de materiais de treinamento em desenvolvimento seguro para uso dentro da organização, e o modelo de maturidade SDL Optimization Model que ajuda organizações a definir a estratégia de implementação do processo.

Uma dica interessante que o documento recomenda para organizações começando a implementar hoje o processo é se concentrar nas fases iniciais do processo, que são as que o processo obtém a melhor relação custo/benefício em termos de redução de vulnerabilidades. Educação da equipe, correta especificação dos requerimentos e modelagem de ameaças vão em princípio oferecer melhor ROI do que um investimento em ferramentas de verificação estática de código e testes de penetração, que ocorrem mais tarde dentro do processo. O que não quer dizer que todas estas atividades não tenham valor.

Para mais informações sobre a justificativa de negócio de um processo de desenvolvimento seguro, veja os demais recursos existentes na página The Business Case for the Microsoft Security Development Lifecycle.

Posted by brzsec | 1 Comments

Filed under: Fernando Cima, Segurança, SDL, Desenvolvimento

Friday, September 25, 2009 12:26 AM

Como Importar o Novo Certificado da ICP-Brasil

O sistema Windows distribui hoje automaticamente o certificado raiz da Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil), emitido em 2002, sendo ele o único sistema operacional que faz esta distribuição.

No ano passado a ICP-Brasil emitiu uma nova versão do certificado raiz, chamado “Autoridade Certificadora Raiz Brasileira v1” (veja imagem abaixo). Este certificado ainda não é distribuido automaticamente pelo Windows, nem por nenhum outro sistema operacional e ou browser disponivel no mercado. A Microsoft vem trabalhando junto ao Instituto Nacional de Tecnologia da Informação (ITI) para que isto seja feito o mais rapidamente possível, e acreditamos que em breve esta distribuição também estará ocorrendo de forma automática como já é feita com o primeiro certificado raiz, de forma que o usuário não mais receba um alerta de segurança informando que os certificados emitidos sob a nova raiz não são confiáveis.

Enquanto esta distribuição não é operacionalizada, o usuário deverá importar o novo certificado no seu sistema. Esta importação pode ser feita manualmente pelo usuário, ou de forma automática em ambientes corporativos que usem o Active Directory.

Importação no Sistema Operacional Windows Vista e ou Windows 7

Quando você importa um certificado raiz no Windows Vista e ou Windows 7, e não especifica para onde o certificado deve ser importado, o sistema por default vai importar o certificado como sendo de uma autoridade certificadora intermediária e não de uma raiz. Isto é uma proteção colocada no sistema para evitar que o usuário coloque certificados de autoridades raiz de forma não-intencional.

Para fazer a importação para o local correto, durante o wizard de importação é necessário especificar que ele deve ser importado como certificado raiz ao invés de deixar o Windows automaticamente selecionar o tipo de certificado. Para isto siga os passos abaixo:

1. Obtenha o certificado da Autoridade Certificadora Raiz Brasileira v1, fazendo o download a partir do site http://acraiz.icpbrasil.gov.br/ICP-Brasil.crt e selecionando “Open / Abrir”.

2. Após abrir o certificado, clique em “Install Certificate / Instalar Certificado"

3. Clique em "Next / Avançar"

4. Aqui o passo importante. Procure e selecione "Trusted Root Certification Authorities / Autoridades de Certificação Raiz Confiáveis" e clique em avançar.

5. Clique em “Finish / Concluir”

Usuários Corporativos

Usuários corporativos que usem o Active Directory podem importar automaticamente o certificado raiz para todos os sistemas que sejam parte da floresta. Para isto siga os passos abaixo:

1. Faça o download do certificado raiz, e depois copie o arquivo para um controlador de domínio qualquer do sua floresta Active Directory.

2. Faça o logon neste controlador de domínio privilégios de Enterprise Administrator.

3. Abra o prompt de comandos, digite o comando certutil –dspublish icp-brasil.crt RootCA e pressione Enter.

Pronto. Todos os computadores rodando o sistema Windows 2000 ou mais recente e que estejam ligados ao AD passarão a confiar no certificado.

Posted by brzsec | 3 Comments

Filed under: Djalma Andrade, Fernando Cima, ICP-Brasil, IE8, Segurança, IE

Sunday, September 13, 2009 10:36 AM

Atualização Muda o Comportamento do AutoRun no Windows XP e Vista

O AutoRun é uma funcionalidade do Windows que permite que determinadas ações pudessem ser especificadas quando um dispositivo de dados era inserido no sistema. Esta funcionalidade permite maior comodidade aos usuários (principalmente usuários não-técnicos) em diversas situações, como a instalação de novos softwares, mas recentemente tem sido usada também para a disseminação de software mal-intencionado (como o Conficker).

Este blog já havia indicado em um post anterior como desabilitar o AutoRun, e agora a Microsoft divulgou a atualização 971029 que altera o comportamento do AutoRun nos sistemas Windows XP, Windows Server 2003, Windows Vista e Windows Server 2008. A partir da instalação desta atualização, a funcionalidade AutoRun passa a ser restrita a dispositivos CD e DVD. Para outros tipos de dispositivo - incluindo dispositivos USB - o AutoRun não é mais acionado, dificultando o seu uso como canal para softwares maliciosos.

O comportamento implementado por esta atualização é o mesmo adotado pelo Windows 7. A atualização está disponível no Centro de Download da Microsoft, e os links para cada versão estão listados no artigo 971029 sob o título "Links de Download".

Posted by brzsec | 0 Comments

Filed under: Fernando Cima, Segurança, Atualização de Segurança, Conficker

Saturday, September 12, 2009 1:05 AM

InfoSecCouncil no GRM 2009

Olá, hoje participamos do evento Global Risk Meeting (http://www.globalriskmeeting.com.br/2009/ ) que ocorreu em São Paulo na seda da Microsoft. Tive a oportunidade de moderar uma interação do grupo InfoSecCouncil do qual tenho muito orgulho de ter cordenado durante os ultimos 2 anos.

A nossa interação foi baseada principalmente na grande experiencia e talento dos que dividiram o “palco” de hoje comigo:

· Astor Calasso – Gerente Consultor Consist

· Giugiliano Giova – Presidente IBP (Institudo Brasileiro de Peritos)

· Valmir Schreiber – CSO Banco BNP Paribas

· Dr Renato Opice Blum – Sócio Opice Blum Advogados

Agradeço imensamente aos ilustres companheiros e acima de tudo grandes amigos !!!

Jeferson D'Addario (organizador do evento) parabéns por mais uma grande edição do GRM.

Também, abordamos temas do documento “Planejamento da Segurança da Informação” que deverá estar disponivel para todos até o final do mês de setembro/2009.

Iremos manter todos informados sobre a disponibilidade e daremos mais informações sobre o documento, os integrantes e o que é o InfoSecCouncil em breve

Abraços,

Djalma Andrade

Posted by brzsec | 2 Comments

Filed under: Djalma Andrade, Segurança, seguranca, Global Risk Meeting, GRM

Thursday, September 10, 2009 11:01 PM

Alerta de Vulnerabilidade - Protocolo SMB no Windows Vista e Windows Server 2008

UPDATE: A Microsoft divulgou que a correção para esta vulnerabilidade. Mais informações em http://www.microsoft.com/brasil/technet/security/bulletin/MS09-050.mspx.

A Microsoft divulgou o Security Advisory 975497 sobre uma vulnerabilidade no protocolo SMB, utilizado para compartilhamento de arquivos e impressoras. Esta vulnerabilidade permite que potencialmente um atacante possa executar código remoto com permissão de administrador nos sistemas afetados, apesar de que na maioria dos casos o sistema simplesmente irá reiniciar.

A vulnerabilidade existe na implementação da versão 2 do protocolo SMB, e afeta somente os sistemas operacionais Windows Vista, Windows Server 2008 e a versões Release Candidate do Windows 7 e Windows Server 2008 R2. Windows XP e anteriores não são afetados porque não suportam esta versão do protocolo. As versões finais do Windows 7 e o Windows Server 2008 R2 também não são afetadas.

A Microsoft está trabalhando ativamente em uma correção para esta vulnerabilidade. Enquanto uma correção não está disponível, você pode se proteger adotando os seguintes passos:

■ Use um firewall - O Windows Firewall por default não permite conexões usando este protocolo nas interfaces de rede ligadas a Internet. Organizações e redes caseiras podem bloquear a entrada de tráfego de rede para as portas TCP 139 e 445 nos seus firewalls.

■ Desabilite o suporte a SMB versão 2 - Esta alteração pode ser feita no registro do sistema, e desabilita temporariamente o suporte ao protocolo SMBv2. O sistema automaticamente continuará se comunidando usando a versão 1 do protocolo.

1. Execute o comando regedit para abrir o Editor de Registro.

2. Localize e selecione a seguinte chave de registro: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services.

3. Selecione LanmanServer.

4. Selecione Parameters.

5. Clique no botão direito para acrescentar um novo valor do tipo DWORD (32 bit).

6. Digite smb2 no campo Nome, e mude o campo Valor para 0.

8. Reinicie o serviço "Servidor" abrindo o prompt de comandos como administrador do sistema, e digitando net stop server e em seguida net start server.

A Microsoft também recomenda que todos os usuários mantenham os seus software antivírus ativos e atualizados, e caso utilizem sistema de detecção e prevenção de ataques em rede que atualizem os seus softwares. Mais informações sobre esta vulnerabilidade estão disponíveis (em inglês) nos blog do Microsoft Security Response Center.

UPDATE: Você pode se proteger desabilitando o suporte ao protocolo SMBv2 usando o link abaixo:

Clique Aqui Para Desabilitar o SMBv2

Para reverter esta mudança, e reativar o suporte a SMBv2, você pode usar o link abaixo:

Clique Aqui para Reativar o SMBv2

Desabilitar o SMBv2 pode tornar mais lentas conexões de compartilhamentos de arquivos entre sistemas Windows Vista e Windows Server 2008.

Posted by brzsec | 4 Comments

Tuesday, September 08, 2009 10:03 PM

Boletins de Segurança da Microsoft de Setembro de 2009

Este alerta tem por objetivo fornecer uma visão geral dos novos Boletins de Segurança disponibilizados em 08 de Setembro de 2009. Boletins de segurança são disponibilizados mensalmente para solucionar vulnerabilidades de segurança.

Novos Boletins de Segurança

A Microsoft está disponibilizando 5 novos boletins de segurança para vulnerabilidades recém-descobertas:

Número do Boletim	Título	Severidade Máxima	Impacto da Vulnerabilidade	Necessidade de Reinicialização	Softwares Afetados*
MS09-045	Vulnerabilidade no Mecanismo de Scripting JScript Pode Permitir Execução Remota de Código (971961)	Crítico	Execução Remota de Código	Pode exigir a reinicialização	Microsoft Windows 2000, Windows XP, Windows Server 2003, Windows Vista e Windows Server 2008
MS09-046	Vulnerabilidade no Controle ActiveX de Componente de Edição DHTML Pode Permitir Execução Remota de Código (956844)	Crítico	Execução Remota de Código	Pode exigir a reinicialização	Microsoft Windows 2000, Windows XP e Windows Server 2003
MS09-047	Vulnerabilidades no Formato Windows Media Podem Permitir Execução Remota de Código (973812)	Crítico	Execução Remota de Código	Pode exigir a reinicialização	Microsoft Windows 2000, Windows XP, Windows Server 2003, Windows Vista e Windows Server 2008
MS09-048	Vulnerabilidades no TCP/IP do Windows Podem Permitir Execução Remota de Código (967723)	Crítico	Execução Remota de Código	Exige a reinicialização	Microsoft Windows 2000, Windows Server 2003, Windows Vista e Windows Server 2008
MS09-049	Vulnerabilidade no Serviço de Autoconfiguração de Rede sem Fios Pode Permitir Execução Remota de Código (970710)	Crítico	Execução Remota de Código	Exige a reinicialização	Microsoft Windows Vista e Windows Server 2008
Nota: A lista de softwares afetados na tabela é um resumo. Para conferir a lista de componentes afetados abra o boletim e analise a seção “Softwares Afetados”.

Os resumos destes novos boletins estão disponíveis na seguinte página (digite em seu browser):

http://www.microsoft.com/brasil/technet/security/bulletin/MS09-sep.mspx (em português)

http://www.microsoft.com/technet/security/bulletin/MS09-sep.mspx (em inglês)

Microsoft Windows Malicious Software Removal Tool

A Microsoft está lançando uma versão atualizada do Microsoft Windows Malicious Software Removal Tool no Windows Server Update Services (WSUS), Windows Update (WU) e no Centro de Download. Observe que esta ferramenta NÃO será distribuída através do Software Update Services (SUS). Informações sobre o Microsoft Windows Malicious Software Removal Tool podem ser obtidas em (digite em seu browser): http://support.microsoft.com/?kbid=890830.

Atualizações Não Relacionadas à Segurança de Alta Prioridade

Atualizações não relacionadas à segurança de alta prioridade no Microsoft Update (MU), Windows Update (WU) ou Windows Server Update Services (WSUS) estão detalhadas no seguinte artigo da Base de Conhecimento (digite em seu browser): http://support.microsoft.com/?id=894199.

REVISÃO DE BOLETIM DE SEGURANÇA

A Microsoft revisou o Boletim de Segurança MS09-037 – Vulnerabilidades na Microsoft Active Template Library (ATL) Podem Permitir Execução Remota de Código (973908) – em 8 de Setembro de 2009.

A Microsoft relançou este boletim para oferecer novas atualizações para o controle ActiveX HtmlInput Object no Windows XP Media Center Edition 2005, Windows Vista, Windows Vista Service Pack 1, Windows Vista Service Pack 2, Windows Vista x64 Edition, Windows Vista x64 Edition Service Pack 1 e Windows Vista x64 Edition Service Pack 2. O boletim revisado também corrige várias entradas na tabela da seção Implantação da Atualização de Segurança para o Windows Media Player no Microsoft Windows 2000, Windows XP e Windows Server 2003.

Mais Detalhes: http://www.microsoft.com/brasil/technet/security/bulletin/MS09-037.mspx

WEBCAST PÚBLICO SOBRE OS BOLETINS

A Microsoft realizará um Webcast (em inglês) para solucionar as questões dos clientes sobre estes boletins:

Título: Informações sobre os Boletins de Segurança Microsoft de Setembro (Nível 200)

Data: Quarta-feira, 09 de Setembro de 2009, 11:00 A.M. Horário Pacífico – 15:00hrs no Brasil

URL: https://msevents.microsoft.com/cui/r.aspx?r=1303248085&c=en-US&t=4

DETALHES TÉCNICOS SOBRE OS NOVOS BOLETINS DE SEGURANÇA

Nas tabelas a seguir são detalhados os softwares afetados e não afetados. As edições de software não listadas não possuem suporte. Para determinar o ciclo de vida de suporte de seu produto ou edição, acesse (digite em seu browser): http://support.microsoft.com/lifecycle.

Identificador do Boletim	Boletim de Segurança Microsoft MS09-045
Título do Boletim	Vulnerabilidade no Mecanismo de Scripting JScript Pode Permitir Execução Remota de Código (971961)
Sumário Executivo	Esta atualização de segurança soluciona uma vulnerabilidade relatada de forma privada no mecanismo de scripting Jscript que pode permitir a execução remota de código se um usuário abrir um arquivo especialmente criado ou visitar uma página Web especialmente criada e invocar um script malformado. Se um usuário estiver conectado com um usuário administrativo, o intruso que explorar com sucesso esta vulnerabilidade pode obter controle total do sistema afetado. Esta atualização de segurança soluciona a vulnerabilidade modificando a forma que o mecanismo Jscript processa scripts em páginas Web.
Níveis de Severidade	Esta atualização de segurança foi classificada como crítica para o Jscript 5.1 no Microsoft Windows 2000 Service Pack 4 e crítica para o JScript 5.6, JScript 5.7 e JScript 5.8 em todas as edições suportadas do sistema operacional Windows, exceto Windows 7 e Windows Server 2008 R2.
Softwares Afetados	Microsoft Windows 2000, Windows XP, Windows Server 2003, Windows Vista e Windows Server 2008.
Vetores de Ataque	· Script mal-intencionado · Anexo de e-mail mal-intencionado · Página Web mal-intencionada
Fatores de Mitigação	· Por padrão, o IE no Windows 2003 e Windows Server 2008 é executado em modo restrito. · Por padrão todas as versões suportadas do Microsoft Outlook e Microsoft Outlook Express abrem mensagens de e-mail HTML na zona de Sites Restritos. · Os usuários precisam ser persuadidos a visitar um site mal-intencionado. · A exploração obtém apenas os mesmos direitos de uso do usuário conectado. Usuários cujas contas são configuradas com menos direitos no sistema podem ser menos impactados do que aqueles que possuem direitos administrativos.
Requisitos de Reinicialização	Esta atualização pode exigir a reinicialização.
Informações sobre Remoção	· Para o Windows 2000, Windows XP e Windows Server 2003 utilize a ferramenta Adicionar ou Remover Programas no Painel de Controle ou o utilitário Spuninst.exe. · Para o Windows Vista e Windows Server 2008: O WUSA.exe não suporta a desinstalação das atualizações. Para remover uma atualização instalada pelo WUSA, clique em Painel de Controle e em Programas e Recursos. Clique em Exibir atualizações instaladas e selecione o item na lista de atualizações.
Boletins Substituídos por Esta Atualização	MS06-023
Mais Detalhes	http://www.microsoft.com/brasil/technet/security/bulletin/MS09-045.mspx

Identificador do Boletim	Boletim de Segurança Microsoft MS09-046
Título do Boletim	Vulnerabilidade no Controle ActiveX de Componente de Edição DHTML Pode Permitir Execução Remota de Código (956844)
Sumário Executivo	Esta atualização de segurança soluciona uma vulnerabilidade relatada de forma privada no controle ActiveX do Componente de Edição DHTML. Um intruso pode explorar a vulnerabilidade criando uma página Web especial. Quando um usuário acessar a página Web, a vulnerabilidade pode permitir a execução remota de código. Um intruso que explorar com sucesso esta vulnerabilidade pode obter os mesmos direitos do usuário conectado. Esta atualização de segurança soluciona a vulnerabilidade revisando a forma como o controle ActiveX formata a marcação HTML.
Níveis de Severidade	Esta atualização de segurança foi classificada como crítica para todas as edições suportadas do Microsoft Windows 2000 e Windows XP, e Moderada para todas as edições suportadas do Windows Server 2003.
Softwares Afetados	Microsoft Windows 2000, Windows XP e Windows Server 2003.
Vetores de Ataque	· Uma página Web mal-intencionada
Fatores de Mitigação	· Os usuários precisam ser persuadidos a visitar um site mal-intencionado. · Por padrão todas as versões suportadas do Microsoft Outlook e Microsoft Outlook Express abrem mensagens de e-mail HTML na zona de Sites Restritos. · Por padrão, o IE no Windows 2003 e Windows Server 2008 é executado em modo restrito. · A exploração obtém apenas os mesmos direitos de uso do usuário conectado. Usuários cujas contas são configuradas com menos direitos no sistema podem ser menos impactados do que aqueles que possuem direitos administrativos.
Requisitos de Reinicialização	Esta atualização pode exigir a reinicialização.
Informações sobre Remoção	· Para o Windows 2000, Windows XP e Windows Server 2003 utilize a ferramenta Adicionar ou Remover Programas no Painel de Controle ou o utilitário Spuninst.exe.
Boletins Substituídos por Esta Atualização	Nenhum
Mais Detalhes	http://www.microsoft.com/brasil/technet/security/bulletin/MS09-046.mspx

Identificador do Boletim	Boletim de Segurança Microsoft MS09-047
Título do Boletim	Vulnerabilidades no Formato Windows Media Podem Permitir Execução Remota de Código (973812)
Sumário Executivo	Esta atualização de segurança soluciona duas vulnerabilidades relatadas de forma privada no Formato Windows Media. Ambas as vulnerabilidades podem permitir a execução remota de código se um usuário abrir um arquivo de mídia especialmente criado. Se o usuário estiver conectado com direitos administrativos, um intruso que explorar com sucesso esta vulnerabilidade pode obter controle total do sistema afetado. A atualização de segurança soluciona as vulnerabilidades modificando a forma que o mecanismo de Formato Windows Media trata arquivos ASF (Advanced Systems Format) e arquivos MP3 (MPEG-1 Audio Layer 3).
Níveis de Severidade	Esta atualização de segurança foi classificada como crítica para o Windows Media Format Runtime 9.0, Windows Media Format Runtime 9.5, Windows Media Format Runtime 11, Microsoft Media Foundation, Windows Media Services 9.1 e Windows Media Services 2008.
Softwares Afetados	Microsoft Windows 2000, Windows XP, Windows Server 2003, Windows Vista e Windows Server 2008.
Vetores de Ataque	· Arquivo .ASF mal-intencionado · Arquivo MP3 mal-intencionado · Página Web mal-intencionada · Anexo de e-mail mal-intencionado
Fatores de Mitigação	· Os usuários precisam ser persuadidos a visitar um site mal-intencionado. · Não pode ser explorada automaticamente via e-mail, pois o usuário precisa abrir o anexo que é enviado na mensagem. · Por padrão, o IE no Windows 2003 e Windows Server 2008 é executado em modo restrito. · A exploração obtém apenas os mesmos direitos de uso do usuário conectado. Usuários cujas contas são configuradas com menos direitos no sistema podem ser menos impactados do que aqueles que possuem direitos administrativos.
Requisitos de Reinicialização	Esta atualização pode exigir a reinicialização.
Informações sobre Remoção	· Para o Windows 2000, Windows XP e Windows Server 2003 utilize a ferramenta Adicionar ou Remover Programas no Painel de Controle ou o utilitário Spuninst.exe. · Para o Windows Vista e Windows Server 2008: O WUSA.exe não suporta a desinstalação das atualizações. Para remover uma atualização instalada pelo WUSA, clique em Painel de Controle e em Programas e Recursos. Clique em Exibir atualizações instaladas e selecione o item na lista de atualizações.
Boletins Substituídos por Esta Atualização	MS08-076
Mais Detalhes	http://www.microsoft.com/brasil/technet/security/bulletin/MS09-047.mspx

Identificador do Boletim	Boletim de Segurança Microsoft MS09-048
Título do Boletim	Vulnerabilidades no TCP/IP do Windows Podem Permitir Execução Remota de Código (967723)
Sumário Executivo	Esta atualização de segurança soluciona várias vulnerabilidades relatadas de forma privada no processamento TCP/IP (Transmission Control Protocol/Internet Protocol). As vulnerabilidades podem permitir a execução remota de código se um intruso enviar pacotes TCP/IP especialmente criados através da rede para um computador que possuir um serviço em escuta. A atualização de segurança soluciona as vulnerabilidades negando conexões TCP existentes de forma adaptativa, limitando o número de novas conexões TCP até que os recursos do sistema sejam restaurados, e mudando a forma como os pacotes TCP/IP são processados.
Níveis de Severidade	Esta atualização de segurança foi classificada como crítica para todas as edições suportadas do Windows Vista e Windows Server 2008 e importante para todas as edições suportadas do Microsoft Windows 2000 Service Pack 4 e Windows Server 2003.
Softwares Afetados	Microsoft Windows 2000*, Windows Server 2003, Windows Vista e Windows Server 2008.
Vetores de Ataque	· Pacote de rede mal-intencionado
Fatores de Mitigação	· As melhores práticas e padrões de configurações de firewall podem ajudar a proteger as redes de ataques que são originados na rede externa ao perímetro corporativo. Estas práticas recomendam que os sistemas que estão conectados à Internet possuam um número mínimo de portas expostas. · No Windows Vista, se o perfil de rede for definido como “Público”, o sistema não será afetado por esta vulnerabilidade pois pacotes de rede no sentido de entrada são bloqueados por padrão.
Requisitos de Reinicialização	Esta atualização exige a reinicialização.
Informações sobre Remoção	· Para o Windows 2000, Windows XP e Windows Server 2003 utilize a ferramenta Adicionar ou Remover Programas no Painel de Controle ou o utilitário Spuninst.exe. · Para o Windows Vista e Windows Server 2008: O WUSA.exe não suporta a desinstalação das atualizações. Para remover uma atualização instalada pelo WUSA, clique em Painel de Controle e em Programas e Recursos. Clique em Exibir atualizações instaladas e selecione o item na lista de atualizações.
Boletins Substituídos por Esta Atualização	Nenhum
Mais Detalhes	http://www.microsoft.com/brasil/technet/security/bulletin/MS09-048.mspx

* Apesar do Windows 2000 estar listado como um produto afetado, não existe atualização disponível para este sistema operacional. Leia a seção de Perguntas Frequentes do boletim (no link acima) para obter mais detalhes.

Identificador do Boletim	Boletim de Segurança Microsoft MS09-049
Título do Boletim	Vulnerabilidade no Serviço de Autoconfiguração de Rede sem Fios Pode Permitir Execução Remota de Código (970710)
Sumário Executivo	Esta atualização de segurança soluciona uma vulnerabilidade relatada de forma privada no Serviço de Autoconfiguração de Rede sem Fios. A vulnerabilidade pode permitir a execução remota de código se um cliente ou servidor com uma interface de rede sem fios receber quadros especialmente criados. Sistemas sem uma interface de rede sem fios habilitada não correm risco de serem impactados por esta vulnerabilidade. A atualização de segurança soluciona a vulnerabilidade estendendo o serviço de Autoconfiguração de Redes sem Fios para validar corretamente quadros sem fios antes de processá-los.
Níveis de Severidade	Esta atualização de segurança foi classificada como crítica para todas as edições suportadas do Windows Vista e importante para todas as edições suportadas do Windows Server 2008.
Softwares Afetados	Microsoft Windows Vista e Windows Server 2008.
Vetores de Ataque	Quadros de rede sem fios mal-intencionados
Fatores de Mitigação	Sistemas sem uma interface de rede sem fios habilitada não correm risco de serem impactados por esta vulnerabilidade.
Requisitos de Reinicialização	Esta atualização exige a reinicialização.
Informações sobre Remoção	O WUSA.exe não suporta a desinstalação das atualizações. Para remover uma atualização instalada pelo WUSA, clique em Painel de Controle e em Programas e Recursos. Clique em Exibir atualizações instaladas e selecione o item na lista de atualizações.
Boletins Substituídos por Esta Atualização	Nenhum
Mais Detalhes	http://www.microsoft.com/brasil/technet/security/bulletin/MS09-049.mspx

Posted by brzsec | 2 Comments

Filed under: Segurança, Boletins de Segurança, seguranca, Marines Gomes

Friday, September 04, 2009 3:32 PM

Microsoft e ITA criam Security Lab

Microsoft e Associação de Pós-graduandos do ITA criam primeiro laboratório de segurança de software do Brasil

Em mais uma iniciativa dentro de sua política de "Computação e Navegação Confiáveis", a Microsoft estabelece, em parceria com a Associação de Pós-graduandos do Instituto Tecnológico de Aeronáutica (ITA), o primeiro laboratório de segurança de software do Brasil. O projeto, formado por três alunos de pós graduação e dois professores tem como objetivo o desenvolvimento de ações conjuntas em prol de soluções práticas e da conscientização sobre o tema segurança da informação entre usuários corporativos e domésticos.

O Security Lab começa com testes do IE8 e os próximos passos deverão ser referentes a Segurança e Riscos em Cloud Computing.

Maiores informações veja no link :

http://porta25.technetbrasil.com.br/porta25/Home/tabid/36/EntryID/592/Default.aspx

Posted by brzsec | 0 Comments

Filed under: IE8, Segurança, in the cloud, seguranca, formando pessoas, IE, Marines Gomes

Negócio de Risco

This Blog

Syndication

Search

Tags

Recent Posts

Archives

Boletim de Segurança da Microsoft Novembro/2009

Relatório de inteligência de segurança da Microsoft, volume 7 (jan a jun 2009)

Prioridade na Implementação dos Boletins de Segurança

Boletim de Segurança da Microsoft de Outubro/2009

O Que Fazer Se Você Suspeita Que A Sua Senha do Hotmail Foi Roubada

Comparando o Microsoft Security Essentials com Outros Antivirus

Microsoft Lança Antivírus sem Custo para Usuários do Windows

Configuração da Cadeia de Certificados em Sites Web

Retorno Sobre o Investimento de um Processo Seguro de Desenvolvimento

Como Importar o Novo Certificado da ICP-Brasil

Importação no Sistema Operacional Windows Vista e ou Windows 7

Usuários Corporativos

Atualização Muda o Comportamento do AutoRun no Windows XP e Vista

InfoSecCouncil no GRM 2009

Alerta de Vulnerabilidade - Protocolo SMB no Windows Vista e Windows Server 2008

Boletins de Segurança da Microsoft de Setembro de 2009

Microsoft e ITA criam Security Lab