Este alerta tem por objetivo fornecer uma visão geral de dois novos Boletins de Segurança e um Comunicado de Segurança lançado (fora do ciclo regular) em 28 de Julho de 2009.
Novos Boletins de Segurança
| Número do Boletim | Título | Severidade Máxima | Impacto da Vulnerabilidade | Necessidade de Reinicialização | Softwares Afetados |
| MS09-034 | Atualização Acumulativa de Segurança para Internet Explorer (972260) | Crítica | Execução Remota de Código | Exige a reinicialização | Todas as versões suportadas do Internet Explorer no Windows 2000, Windows XP, Windows Server 2003, Windows Vista, e Windows Server 2008 |
| MS09-035 | Vulnerabilidades na Biblioteca de Modelo Ativo do Visual Studio Pode Permitir Execução Remota de Código (969706) | Moderada | Execução Remota de Código | Exige a reinicialização | Microsoft Visual Studio .NET 2003,Microsoft Visual Studio 2005,Microsoft Visual Studio 2008,
Microsoft Visual C++ 2005, and Microsoft Visual C++ 2008 |
Comunicado de Segurança 973882 – Visão Geral
A Microsoft está lançando o Comunicado de Segurança 973882 para fornecer informações sobre nossa contínua investigação quanto a vulnerabilidades nas versões públicas e privadas da Biblioteca de Modelo Ativo da Microsoft (ATL). Este comunicado também fornece orientações sobre o que desenvolvedores podem fazer para ajudar a garantir que os controles e componentes que eles criaram não estejam vulneráveis aos problemas com a ATL; e o que profissionais de TI e usuários finais podem fazer para mitigar ataques potenciais que utilizem estas vulnerabilidades; e o que a Microsoft está fazendo como parte de sua contínua investigação em relação ao problema descrito no comunicado. Este comunicado de segurança também fornece uma lista abrangente de todos os Boletins de Segurança Microsoft e as Atualizações de Segurança relacionadas a estas vulnerabilidades da ATL. A investigação da Microsoft nas versões públicas e privadas da ATL é contínua, e nós lançaremos atualizações e orientações de segurança conforme apropriado, como parte de nosso processo de investigação.
A Microsoft está ciente das vulnerabilidades de segurança as versões pública e privada da ATL. A ATL da Microsoft é usada pelos desenvolvedores de software para a criação de controles ou componentes para a plataforma Windows. As vulnerabilidades descritas neste comunicado e no Boletim de Segurança MS09-035 podem resultar em ataque de divulgação de informações ou execução remota de código em controles e componentes criados a partir das versões vulneráveis da ATL. Os componentes e controles criados com a versão vulnerável da ATL podem ser expostos a uma condição vulnerável devido ao modo como a ATL é usada ou devido a problema no código da própria ATL.
Recomendações
Leia atentamente o Comunicado de Segurança 973882, o Boletim de Segurança MS09-034 e o Boletim de Segurança MS09-035 a partir dos links fornecidos abaixo e obtenha uma visão geral do problema, detalhes sobre os componentes afetados, fatores de mitigação, ações sugeridas, perguntas mais frequentes e links para recursos adicionais.
Os clientes brasileiros que acreditam que foram afetados devem contatar o Suporte ao Cliente Microsoft através do telefone 0800-888-4081.
Ou acesssar o site http://support.microsoft.com/contactus/cu_sc_virsec_master?ws=support#tab3
Recursos adicionais
- Comunicado de Segurança Microsoft 973882 –Vulnerabilidades na Biblioteca de Modelo Ativo (ATL) Microsoft Podem Permitir Execução Remota de Código: http://www.microsoft.com/brasil/technet/security/advisory/973882.mspx
- Boletim de Segurança Microsoft MS09-034 – Atualização Acumulativa para Internet Explorer (972260): http://www.microsoft.com/brasil/technet/security/bulletin/MS09-034.mspx
- Boletim de Segurança Microsoft MS09-035 – Vulnerabilidades na Biblioteca de Modelo Ativo (ATL) do Visual Studio Podem Permitir Execução Remota de Código (969706): http://www.microsoft.com/brasil/technet/security/bulletin/MS09-035.mspx
- Site de Orientações sobre ATL (para usuários finais, profissionais de TI e desenvolvedores – em inglês): http://www.microsoft.com/atl/
- Blog do Microsoft Security Response Center (MSRC – em inglês): http://blogs.technet.com/msrc/
- Blog do Microsoft Malware Protection Center (MMPC – em inglês): http://blogs.technet.com/mmpc/
- Blog do Security Research & Defense (SRD – em inglês): http://blogs.technet.com/srd/
WEBCAST PÚBLICO SOBRE OS BOLETINS
A Microsoft realizará dois Webcasts (em inglês) para solucionar as questões dos clientes sobre estes boletins:
Título: Informações sobre o Lançamento de Boletins de Segurança Fora do Ciclo – Julho de 2009
Data: Terça-feira, 28 de Julho de 2009, 1:00 P.M. Horário Pacífico – 17:00hrs no Brasil
URL: http://msevents.microsoft.com/CUI/WebCastEventDetails.aspx?culture=en-US&EventID=1032422339
Título: Informações sobre o Lançamento de Boletins de Segurança Fora do Ciclo – Julho de 2009
Data: Terça-feira, 28 de Julho de 2009, 4:00 P.M. Horário Pacífico – 20:00hrs no Brasil
URL: http://msevents.microsoft.com/CUI/WebCastEventDetails.aspx?culture=en-US&EventID=1032422341
DETALHES TÉCNICOS SOBRE OS NOVOS BOLETINS DE SEGURANÇA
Nas tabelas a seguir são detalhados os softwares afetados e não afetados. As edições de software não listadas não possuem suporte. Para determinar o ciclo de vida de suporte de seu produto ou edição, acesse (digite em seu browser): http://support.microsoft.com/lifecycle.
| Identificador do Boletim | Boletim de Segurança Microsoft MS09-034 |
| Título do Boletim | Atualização Acumulativa de Segurança para Internet Explorer (972260) |
| Sumário Executivo | Esta atualização de segurança está sendo lançada fora do ciclo mensal regular, em conjunto com o Boletim de Segurança Microsoft MS09-035, que descreve vulnerabilidades nos componentes e controles que foram desenvolvidos usando-se as versões vulneráveis da ATL (Active Template Library – Biblioteca de Modelo Ativo) da Microsoft. Como uma medida de defesa em profundidade, esta atualização do Internet Explorer ajuda a mitigar fatores de ataque conhecidos no Internet Explorer para os componentes e controles que foram desenvolvidos com versões vulneráveis da ATL conforme descrito no Comunicado de Segurança (973882) e no Boletim de Segurança Microsoft MS09-035.Esta atualização de segurança também soluciona três vulnerabilidades relatadas de forma privada no Internet Explorer. A atualização de segurança endereça estas vulnerabilidades modificando a forma como o Internet Explorer trata objetos na memória e operações de tabelas. |
| Níveis de Severidade e Softwares Afetados | Esta atualização de segurança foi classificada como Crítica para o Internet Explorer 5.01 e Internet Explorer 6 Service Pack 1, executados em edições suportadas do Microsoft Windows 2000; Crítica para o Internet Explorer 6, Internet Explorer 7 e Internet Explorer 8 executados em edições suportadas do Windows XP; Crítica para o Internet Explorer 7 e Internet Explorer 8 executados em edições suportadas do Windows Vista; Moderada para o Internet Explorer 6, Internet Explorer 7 e Internet Explorer 8 executados em edições suportadas do Windows Server 2003 e Moderada para Internet Explorer 7 e Internet Explorer 8 executados em edições suportadas do Windows Server 2008. |
| Vulnerabilidades | CVE-2009-1917 | Vulnerabilidade de Corrupção de Memória (EI = 1)*CVE-2009-1918 | Vulnerabilidade de Corrupção de Memória de Objetos HTML (EI = 2)**CVE-2009-1919 | Vulnerabilidade de Corrupção de Memória Não Inicializada (EI = 2)**
*Índice de Exploração com Nota 1: provável código cosistente de exploração ** Índice de Exploração com Nota 2: provável código inconsistente de exploração |
| Vetores de Ataque | Estas vulnerabilidades podem permitir a execução remota de código se um usuário visualizar uma página Web especialmente criada usando o Internet Explorer. |
| Fatores de Mitigação |
|
| Necessidade de reinicialização | Esta atualização exige a reinicialização. |
| Informações sobre Remoção |
|
| Boletins Substituídos por Esta Atualização | MS09-019 |
| Mais Detalhes | http://www.microsoft.com/brasil/technet/security/bulletin/MS09-034.mspx |
| Identificador do Boletim | Boletim de Segurança Microsoft MS09-035 |
| Título do Boletim | Vulnerabilidades na Biblioteca de Modelo Ativo (ATL) do Visual Studio Pode Permitir Execução Remota de Código (969706) |
| Sumário Executivo | Esta atualização de segurança soluciona várias vulnerabilidades relatadas de forma privada nas versões públicas da ATL (Active Template Library – Biblioteca de Modelo Ativo) da Microsoft incluída no Visual Studio. Esta atualização de segurança é voltada especificamente para desenvolvedores de componentes e controles. Os desenvolvedores que criaram e redistribuíram componentes e controles usando a ATL devem instalar esta atualização fornecida no boletim e seguir as orientações fornecidas para criar – e distribuir para todos os clientes – os componentes e controles que não são sensíveis às vulnerabilidades descritas neste boletim de segurança.Este boletim de segurança discute as vulnerabilidades que podem permitir a execução remota de código se um usuário carregar um componente ou controle criado com versões vulneráveis da ATL. A atualização de segurança soluciona as vulnerabilidades modificando os cabeçalhos da ATL para que os componentes e os controles criados usando-se estes cabeçalhos possam ser inicializados de forma segura a partir de um fluxo de dados. |
| Níveis de Severidade e Softwares Afetados | Apesar da maioria dos Boletins de Segurança Microsoft discutirem o risco da vulnerabilidde de um produto específico, este boletim discute as vulnerabilidades que podem estar presentes em produtos criados com o uso da ATL. Portanto, esta atualização de segurança foi classificada como Moderada para todas as edições suportadas do Microsoft Visual Studio .NET 2003, Microsoft Visual Studio 2005, Microsoft Visual Studio 2008, Microsoft Visual C++ 2005 Redistributable Package e Microsoft Visual C++ 2008 Redistributable Package. |
| Vulnerabilidades | CVE-2009-0901 | Vulnerabilidade de Objeto Não Inicializado na ATL (EI = 1)*CVE-2009-2493 | Vulnerabilidade de Inicialização COM da ATL (EI = 1)*CVE-2009-2495 | Vulnerabilidade de String Nula da ATL (EI = 3)**
*Índice de Exploração com Nota 1: provável código cosistente de exploração ** Índice de Exploração com Nota 3: improvável código funcional de exploração |
| Vetores de Ataque |
|
| Fatores de Mitigação |
|
| Necessidade de reinicialização | Esta atualização exige a reinicialização. |
| Informações sobre Remoção | Utilize a ferramenta Adicionar ou Remover ProgramasPainel de Controle.no |
| Boletins Substituídos por Esta Atualização | Nenhum |
| Mais Detalhes | http://www.microsoft.com/brasil/technet/security/bulletin/MS09-035.mspx |
NOTA SOBRE A CONSISTÊNCIA DAS INFORMAÇÕES
Fornecemos a você informações precisas de forma estática (neste e-mail) e dinâmica (na Web). O conteúdo de segurança da Microsoft publicado na Web é atualizado ocasionalmente para refletir informações alteradas. Se os resultados forem inconsistentes entre a informação desta mensagem e a informação no conteúdo de segurança do site da Microsoft, a informação do site deve ser considerada a autoritativa/correta.
Se você ainda tiver alguma dúvida sobre este alerta, por favor, entre em contato com seu Gerente de Contas Técnico ou Consultor de Desenvolvimento de Aplicações.
Atenciosamente,
Equipe de Segurança Microsoft
