Clique aqui para instalar o Silverlight*
BrasilAlterar|Todos os sites da Microsoft
Microsoft
Segurança 

Boletim de Segurança da Microsoft MS04-040

Atualização de segurança cumulativa para Internet Explorer (889293)

Publicado em: 1 de dezembro de 2004
Versão: 1.0

Resumo

Quem deve ler este documento: clientes que usam o Microsoft Windows

Impacto da vulnerabilidade: execução remota de código

Classificação máxima de gravidade: crítica

Recomendação: os clientes devem instalar a atualização imediatamente.

Substituição da atualização de segurança: esta atualização substitui a atualização incluída no Boletim de Segurança da Microsoft MS04-038. Essa atualização é também uma atualização cumulativa.

Advertência: o artigo 889293 do Microsoft Knowledge Base documenta os problemas atualmente conhecidos e que os clientes podem enfrentar ao instalar esta atualização de segurança. O artigo também documenta as soluções recomendadas para esses problemas.

Importante: esta atualização pode não incluir hotfixes que foram lançados desde o lançamento do MS04-004 ou do MS04-038. Clientes que receberam hotfixes da Microsoft ou de seus fornecedores de suporte desde o lançamento do MS04-004 ou do MS04-038 não devem instalar esta atualização. Em vez disso, os clientes devem implantar a atualização 889669.

Esta atualização contém várias alterações na funcionalidade e na segurança que estão documentadas na seção de perguntas freqüentes da mesma.

Locais de software testado e de download de atualização de segurança:

Softwares afetados:

Microsoft Windows NT Server 4.0 Service Pack 6a

Microsoft Windows NT Server 4.0 Terminal Server Edition Service Pack 6

Microsoft Windows 2000 Service Pack 3 e Microsoft Windows 2000 Service Pack 4:

Microsoft Windows XP Service Pack 1

Microsoft Windows XP 64-Bit Edition Service Pack 1

Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE) e Microsoft Windows Millennium Edition (SE) – Consulte a seção de perguntas freqüentes deste boletim para obter detalhes sobre esses sistemas operacionais.

Componentes afetados:

Internet Explorer 6 Service Pack 1 no Microsoft Windows 2000 Service Pack 3, no Microsoft Windows 2000 Service Pack 4 ou no Microsoft Windows XP Service Pack 1: Fazer o download da atualização.

Internet Explorer 6 Service Pack 1 no Microsoft Windows NT Server 4.0 Service Pack 6a, no Microsoft Windows NT Server 4.0 Terminal Service Edition Service Pack 6, no Microsoft Windows 98, no Microsoft Windows 98 SE ou no Microsoft Windows Me: Fazer o download da atualização.

Internet Explorer 6 para Windows XP Service Pack 1 (Edição de 64 bits): Fazer o download da atualização.

Os softwares dessa lista foram testados para determinar se as versões são afetadas. Outras versões não incluem suporte para a atualização de segurança ou podem não ser afetadas. Para determinar o ciclo de vida do suporte para seu produto e sua versão, visite o site Ciclo de Vida do Suporte Microsoft.

Informações Gerais

Sinopse

Sinopse:

Esta atualização elimina uma vulnerabilidade recém-descoberta e informada publicamente. Existe uma vulnerabilidade no Internet Explorer que pode permitir a execução remota de códigos em um sistema afetado. A vulnerabilidade é documentada na seção Detalhes da Vulnerabilidade deste boletim.

Se um usuário fizer logon com privilégios administrativos, um invasor que tenha explorado essa vulnerabilidade com êxito poderá assumir o controle total do sistema afetado, inclusive instalando programas, exibindo, alterando ou excluindo dados, ou ainda criando novas contas com privilégios totais. Os usuários cujas contas são configuradas com poucos privilégios no sistema correm menos riscos que aqueles que possuem privilégios administrativos.

A Microsoft recomenda que os clientes instalem a atualização imediatamente.

Classificações de gravidade e identificadores de vulnerabilidade:

Identificadores de VulnerabilidadeImpacto da VulnerabilidadeInternet Explorer 6 SP1 (Todas as versões anteriores ao Windows Server 2003)

Vulnerabilidade nos elementos em HTML - CAN-2004-1050

Execução Remota de Código

Crítica

Essa avaliação baseia-se nos tipos de sistemas afetados pela vulnerabilidade, seus padrões comuns de implantação e o efeito da exploração da vulnerabilidade sobre eles.

Perguntas freqüentes relacionadas a esta atualização de segurança

Quais atualizações esta versão substitui?
Esta atualização de segurança substitui os boletins de segurança lançados anteriormente para o Internet Explorer. O boletim de segurança mais recente e as versões do Internet Explorer afetadas estão relacionados na tabela a seguir.

Número do boletimInternet Explorer 6 SP1 (Todas as versões anteriores ao Windows Server 2003)

MS04-038

Substituído

Recebi um hotfix da Microsoft ou do meu provedor de suporte desde o lançamento do MS04-004. Esse hotfix está incluído na atualização de segurança?
Para Internet Explorer 6 Service Pack 1 para Windows 2000 Service Pack 3, Windows 2000 Service Pack 4, Windows XP, Windows XP Service Pack 1, Windows NT Server 4.0 Service Pack 6a, Windows NT Server 4.0 Terminal Server Edition Service Pack 6, Windows 98, Windows 98 Second Edition e Windows Me, a maioria dos hotfixes do Internet Explorer não estão incluídos na atualização de segurança do M04-040. Quando você instalar uma das atualizações de segurança do M04-040 para o Internet Explorer 6 SP1, os hotfixes do Internet Explorer lançados desde o MS04-004 serão removidos caso o hotfix tenha substituído um dos arquivos listados na seção “Informações de atualização de segurança” deste boletim.

A partir do MS04-038, os hotfixes cumulativos para o Internet Explorer estão disponíveis em um conjunto de atualizações separado que inclui os hotfixes cumulativos e as correções de segurança incluídas na atualização de segurança mais recente do Internet Explorer. Por exemplo, o conjunto de atualizações 871260 inclui as correções de segurança cumulativas no MS04-038 assim como os hotfixes lançados desde o MS04-004. O conjunto de atualizações 889669 inclui as correções de segurança cumulativas no M04-040 assim como os hotfixes lançados desde o MS04-004. Para obter informações adicionais sobre os hotfixes incluídos no conjunto de atualizações 889669, assim como as instruções sobre como obter e implantar o conjunto de atualizações, entre em contato com o provedor de suporte da Microsoft ou veja o arquivo 889669 do Microsoft Knowledge Base.

Esta atualização contém outras alterações de funcionalidade?
Sim. Além das alterações listadas na seção Detalhes da Vulnerabilidade deste boletim, esta atualização inclui as alterações abaixo em relação à funcionalidade:

Assim como as Atualizações de Segurança Cumulativas anteriores do Internet Explorer lançadas desde o MS03-004, esta atualização impede o funcionamento do controle window.showHelp( ), se a atualização da Ajuda do HTML não tiver sido aplicada. Se você tiver instalado o controle de Ajuda em HTML atualizado do artigo 811630 do Microsoft Knowledge Base, ainda será possível usar a funcionalidade da Ajuda em HTML após a instalação dessa atualização.

Assim como a Atualização de segurança cumulativa para Internet Explorer anterior, MS04-004, esta atualização impede que você visite sites da Web que possuam URLS "nomedeusuário:senha@host.com" para for XMLHTTP. Nós criamos uma atualização para o MSXML que soluciona este problema especificamente para o XMLHTTP. Para obter mais informações, consulte o artigo 832414 (em inglês) do Microsoft Knowledge Base.

Esta atualização contém outras alterações de segurança?
Sim. Além das alterações listadas na seção Detalhes da Vulnerabilidade deste boletim, esta atualização inclui as seguintes alterações de segurança:

Assim como as Atualizações de Segurança Cumulativas anteriores do Internet Explorer lançadas desde o MS04-004, esta atualização também inclui uma alteração na funcionalidade de um recurso de autenticação para limpeza de texto no Internet Explorer. A atualização remove o suporte para lidar com nomes de usuário e senhas em HTTP e HTTP com SSL (Secure Sockets Layer) ou URLs HTTPS no Microsoft Internet Explorer. A sintaxe de URL a seguir não será mais suportada pelo Internet Explorer ou Windows Explorer após a instalação desta atualização de software:

http(s)://nomedeusuario:senha@servidor/recurso.ext

Para obter mais informações sobre esta alteração, consulte o artigo 834489 (em inglês) do Microsoft Knowledge Base.

Como o suporte estendido para Windows 98, Windows 98 Second Edition e Windows Millennium Edition afeta o lançamento das atualizações de segurança para estes sistemas operacionais?
A Microsoft lançará atualizações de segurança somente para problemas de segurança críticos. Os problemas de segurança não críticos não serão abordados neste período de suporte. Para obter mais informações sobre as diretivas do ciclo de vida do suporte da Microsoft para esses sistemas operacionais, visite este site de suporte da Microsoft.

Para obter mais informações sobre as classificações de gravidade, visite o seguinte site do Microsoft TechNet (em inglês).

Observação: as atualizações de segurança críticas para essas plataformas podem não estar disponíveis simultaneamente com as outras atualizações de segurança fornecidas como parte deste boletim de segurança. Elas serão disponibilizadas tão logo seja possível após o lançamento. Quando essas atualizações de segurança estiverem disponíveis, você poderá baixá-las somente do site Windows Update.

O Windows 98, o Windows 98 Second Edition ou o Windows Millennium Edition são afetados drasticamente por alguma vulnerabilidade apresentada neste boletim de segurança?
Sim. O Windows 98, o Windows 98 Second Edition e o Windows Millennium Edition são afetados drasticamente por essa vulnerabilidade. As atualizações de segurança críticas para essas plataformas podem não estar disponíveis simultaneamente com as outras atualizações de segurança fornecidas como parte deste boletim de segurança. Elas serão disponibilizadas tão logo seja possível após o lançamento. Quando essas atualizações de segurança estiverem disponíveis, você poderá baixá-las somente do site Windows Update. Para obter mais informações sobre as classificações de gravidade, visite este site.

Ainda uso o Microsoft Windows NT 4.0 Workstation Service Pack 6a ou o Windows 2000 Service Pack 2, mas o suporte estendido para a atualização de segurança foi encerrado em 30 de junho de 2004. O que devo fazer?
O Windows NT 4.0 Workstation Service Pack 6a e o Windows 2000 Service Pack 2 chegaram ao fim de seus ciclos de vida, como previamente documentado, e a Microsoft estendeu esse suporte até 30 de junho de 2004.

Deve ser uma prioridade dos clientes que possuem essas versões de sistema operacional migrar para as versões com suporte a fim de evitar uma possível exposição a futuras vulnerabilidades. Para obter mais informações sobre o ciclo de vida do produto Windows, visite o site Microsoft Support Lifecycle (em inglês). Para obter mais informações sobre o período de suporte ampliado para atualização de segurança dessas versões de sistema operacional, visite o site Serviços de Suporte aos Produtos Microsoft.

Os clientes que precisarem de suporte adicional para o Windows NT Workstation 4.0 SP6a deverão entrar em contato com o representante da equipe da conta da Microsoft, o gerente técnico da conta ou o representante do parceiro Microsoft apropriado para obter opções de suporte personalizadas. Os clientes em um contrato Alliance, Premier ou Authorized podem entrar em contato com o escritório de vendas local da Microsoft. Para obter informações de contato, visite o site de Informações Internacionais da Microsoft, selecione o país e clique em Ir para ver uma lista de telefones. Ao ligar, peça para falar com o gerente de vendas local de Suporte Premier.

Para obter mais informações, consulte o site Perguntas Freqüentes sobre o Sistema Operacional Windows.

Ainda uso o Windows XP, mas o suporte estendido para a atualização de segurança foi encerrado em 30 de setembro de 2004. O que devo fazer?
A versão original do Windows XP, também conhecida como Windows XP Gold ou Windows XP Release to Manufacturing (RTM), chegou ao fim do ciclo de vida do suporte estendido para a atualização de segurança em 30 de setembro de 2004.

Deve ser uma prioridade dos clientes que possuem essas versões de sistema operacional migrar para as versões com suporte a fim de evitar uma possível exposição a futuras vulnerabilidades. Para obter mais informações sobre o ciclo de vida do produto Windows, visite o site Microsoft Support Lifecycle (em inglês). Para obter mais informações sobre o período de suporte ampliado para atualização de segurança dessas versões de sistema operacional, visite o site Serviços de Suporte aos Produtos Microsoft.

Os clientes que precisarem de suporte adicional para o Windows XP RTM deverão entrar em contato com o representante da equipe da conta da Microsoft, o gerente técnico da conta ou o representante do parceiro Microsoft apropriado para obter opções de suporte personalizadas. Os clientes em um contrato Alliance, Premier ou Authorized podem entrar em contato com o escritório de vendas local da Microsoft. Para obter informações de contato, visite o site de Informações Internacionais da Microsoft, selecione o país e clique em Ir para ver uma lista de telefones. Ao ligar, peça para falar com o gerente de vendas local de Suporte Premier.

Para obter mais informações, consulte o site Perguntas Freqüentes sobre o Sistema Operacional Windows.

Por que as opções de instalação da linha de comando dos sistemas operacionais Windows 2000 e Windows XP para esta versão são diferentes se comparadas à Atualização de segurança cumulativa do Internet Explorer, MS04-025?
A partir do MS04-038, os pacotes para Windows 2000 e Windows XP Service Pack 1 usam uma nova tecnologia de instalação, o Update.exe. Por isso, as opções de instalação são diferentes das opções das versões anteriores. Além disso, como parte da mudança para a tecnologia de instalação Update.exe, o número do artigo do Knowledge Base nesta atualização não será mais exibido na janela Ajuda, Sobre do Internet Explorer. Para obter mais informações sobre as opções da linha de comando usadas nessa versão, consulte a seção Informações de Atualização de Segurança deste boletim. Há mais informações sobre o Update.exe no seguinte site da Microsoft na Web.

Por que há duas versões de atualização do Internet Explorer 6 Service Pack 1?
Um pacote em separado foi criado para o Internet Explorer 6 Service Pack 1 quando usado no Windows NT Server Service Pack 6a, Windows 98, Windows 98SE e no Windows Me. Essa atualização usa a mesma tecnologia de instalador das versões anteriores, o Iexpress. Para obter detalhes sobre como instalar essa atualização de segurança nesses sistemas operacionais, consulte as seções Informações de Atualização de Segurança deste boletim. Para obter mais informações sobre o Iexpress, consulte o artigo (em inglês) 197147 do Microsoft Knowledge Base.

Posso usar o MBSA (Microsoft Baseline Security Analyzer) para determinar se esta atualização é necessária?
Sim. O MBSA determinará se a atualização é necessária. Para obter mais informações sobre o MBSA, visite o site do MBSA.

Observação: depois de 20 de abril de 2004, o arquivo Mssecure.xml usado pelo MBSA 1.1.1 e pelas versões anteriores não foi mais atualizado com novos dados do boletim de segurança. Portanto, as verificações realizadas depois dessa data com o MBSA 1.1.1 ou uma versão anterior serão incompletas. Todos os usuários deverão atualizar para o MBSA 1.2 porque ele fornece uma detecção mais precisa da atualização de segurança e oferece suporte a produtos adicionais. Os usuários podem baixar o MBSA 1.2 do site do MBSA. Para obter mais informações sobre o suporte ao MBSA, visite o site Microsoft Baseline Security Analyzer 1.2 Q&A (em inglês).

Posso usar o SMS (Systems Management Server) para determinar se a atualização é necessária?
Conforme observado na seção Componentes afetados deste boletim, esta versão inclui dois pacotes para o Internet Explorer 6 SP1. Um pacote é designado para o Windows 2000 e o Windows XP Service Pack 1. Esse pacote usa a tecnologia de instalação Update.exe discutida anteriormente. O segundo pacote é designado para o Windows NT, Windows 98 e o Windows Me. O MBSA (Microsoft Baseline Security Analyzer) não é capaz de determinar qual atualização do Internet Explorer 6 SP1 é necessária para um determinado sistema operacional. Um pacote somente para a implantação do SMS foi criado, contendo ambas as versões das atualizações do Internet Explorer 6 Service Pack 1. Quando esse pacote for implantado com o SMS, ele detectará o sistema operacional e instalará a versão correta da atualização para esse sistema operacional. Quando o MBSA for usado com o SMS, ele instruirá os administradores do SMS a usarem esse pacote de implantação do SMS. Para obter mais informações sobre essa atualização, consulte o artigo (em inglês) 887437 do Microsoft Knowledge Base.

Detalhes da Vulnerabilidade

Vulnerabilidade nos elementos em HTML - CAN-2004-1050:

Existe uma vulnerabilidade de execução remota de códigos no Internet Explorer que pode permitir a execução remota de código em um sistema afetado. Um invasor pode explorar essa vulnerabilidade criando uma página mal-intencionada que pode permitir a execução remota de códigos se o usuário visitou o site mal-intencionado. O invasor que explorar com êxito essa vulnerabilidade poderá assumir o controle total de um sistema afetado.

Fatores atenuantes da vulnerabilidade nos elementos em HTML - CAN-2004-1050:

No cenário de ataque na Web, o invasor terá que hospedar um site contendo uma página da Web usada para explorar essas vulnerabilidades. Não há como o invasor forçar os usuários a visitarem o site mal-intencionado. Em vez disso, o invasor terá que atraí-los para lá, normalmente fazendo com que cliquem em um link para esse site.

Um invasor que explore com êxito essa vulnerabilidade poderá conseguir os mesmos privilégios do usuário. Os usuários cujas contas são configuradas com poucos privilégios no sistema correm menos riscos que aqueles que possuem privilégios administrativos.

Por padrão, o Outlook Express 6, o Outlook 2002 e o Outlook 2003 abrem mensagens de email em HTML na zona de Sites restritos. Além disso, o Outlook 98 e o Outlook 2000 abrem mensagens de email em HTML na zona Sites restritos se a Atualização de Segurança de Email do Outlook estiver instalada. O Outlook Express 5.5 Service Pack 2 abre emails em HTML na zona Sites restritos se o Boletim de Segurança da Microsoft MS04-018 estiver instalado. A zona Sites restritos ajuda a reduzir os ataques que poderiam tentar explorar essa vulnerabilidade.

O risco de ataque a partir do vetor de email em HTML pode ser reduzido consideravelmente se você atender a estas condições:

Instale a atualização incluída no Boletim de Segurança da Microsoft MS03-040 ou uma Atualização de segurança cumulativa posterior para o Internet Explorer.

Use o Outlook Express 5.5 Service Pack 2 ou posterior e aplique a atualização incluída no Boletim de Segurança da Microsoft MS04-018 ou uma Atualização de Segurança Cumulativa posterior para o Outlook Express.

Use o Microsoft Outlook 98 e o Outlook 2000 com a Atualização de Segurança de Email do Microsoft Outlook instalada

Use o Microsoft Outlook Express 6 ou posterior, ou o Microsoft Outlook 2000 Service Pack 2 ou posterior na configuração padrão.

Estes produtos não são afetados por essa vulnerabilidade.

Internet Explorer 5.01 Service Pack 3

Internet Explorer 5.01 Service Pack 4

Internet Explorer 5.5 Service Pack 2

Internet Explorer 6 no Windows Server 2003

Internet Explorer 6 no Windows XP Service Pack 2

Soluções alternativas para a vulnerabilidade nos elementos em HTML - CAN-2004-1050:

A Microsoft testou as seguintes soluções alternativas. Apesar de essas soluções alternativas não corrigirem a vulnerabilidade subjacente, elas ajudam a bloquear vetores de ataque conhecidos. Quando uma solução alternativa reduz a funcionalidade, ela é identificada abaixo.

Instale a atualização de segurança de email do Outlook se você estiver usando o Outlook 2000 SP1 ou anterior.

Por padrão, o Outlook Express 6, o Outlook 2002 e o Outlook 2003 abrem mensagens de email em HTML na zona de Sites restritos. Além disso, o Outlook 98 e o Outlook 2000 abrem mensagens de email em HTML na zona Sites restritos se a Atualização de segurança de email do Outlook tiver sido aplicada.

Os clientes que utilizam qualquer um desses produtos correm menor risco de um ataque originado por um email que tente explorar essa vulnerabilidade, a menos que o usuário clique em um link mal-intencionado no email.

Instale a atualização incluída no Boletim de Segurança da Microsoft MS04-018 se você estiver usando o Outlook Express 5.5 SP2.

O Outlook Express 5.5 Service Pack 2 abrirá email em HTML na zona Sites restritos se a atualização incluída no Boletim de Segurança da Microsoft MS04-018 tiver sido aplicada.

Os clientes que utilizam qualquer um desses produtos correm menor risco de um ataque originado por um email que tente explorar essa vulnerabilidade, a menos que o usuário clique em um link mal-intencionado no email.

Se você estiver usando o Outlook 2002 ou posterior ou o Outlook Express 6 SP1 ou posterior, leia as mensagens de email no formato de texto sem formatação para ajudar a proteger-se do vetor de ataque de email em HTML.

Os usuários do Microsoft Outlook 2002 que aplicaram o Office XP Service Pack 1 ou posterior e os usuários do Microsoft Outlook Express 6 que aplicaram o Internet Explorer 6 Service Pack 1 podem habilitar essa configuração e exibir todas as mensagens de email assinadas de forma não digital ou não criptografadas como texto sem formatação apenas.

Mensagens de email assinadas digitalmente ou criptografadas não são afetadas por essa configuração e podem ser lidas em seus formatos originais. Para obter mais informações sobre como habilitar essa configuração no Outlook 2002, consulte o artigo 307594 do Microsoft Knowledge Base.

Para obter informações sobre essa configuração no Outlook Express 6, consulte o artigo 291387 (em inglês) do Microsoft Knowledge Base.

Impacto da solução alternativa: as mensagens de email exibidas no formato de texto sem formatação não conterão figuras, fontes específicas, animações ou outro conteúdo formatado. Além disso:

As alterações são aplicadas ao painel de visualização e a mensagens abertas.

As imagens passam a ser anexos para não serem perdidas.

Como a mensagem ainda será armazenada como Rich Text ou HTML, o modelo de objeto (soluções de código personalizado) pode comportar-se de maneira inesperada.

Perguntas freqüentes sobre a vulnerabilidade nos elementos em HTML - CAN-2004-1050:

Qual é o escopo da vulnerabilidade?
Essa é uma vulnerabilidade de execução remota de códigos. Se um usuário fizer logon com privilégios administrativos, um invasor que tenha explorado essa vulnerabilidade com êxito poderá assumir o controle total do sistema afetado, inclusive instalando programas, exibindo, alterando ou excluindo dados, ou ainda criando novas contas com privilégios totais. Os usuários cujas contas são configuradas com poucos privilégios no sistema correm menos riscos que aqueles que possuem privilégios administrativos.

O que provoca a vulnerabilidade?
Um buffer não verificado no processamento de certos elementos em HTML no Internet Explorer, tais como FRAME e IFRAME.

O que são elementos IFRAME?
IFRAME (Inline Floating Frames) é uma tecnologia que permite a autores da Web terem maior controle da criação e interação de suas páginas na Web. Para obter mais informações sobre elementos IFRAME, visite este site da Web do Microsoft Developer Network (MSDN).

De que forma o invasor pode explorar a vulnerabilidade?
Um invasor pode explorar essa vulnerabilidade criando uma página da Web ou uma mensagem de email em HTML mal-intencionadas e convencendo um usuário a visitar essa página ou exibir essa mensagem de email. Quando o usuário visitar a página ou exibir a mensagem de email, o invasor poderá acessar informações de outros sites da Web, acessar arquivos locais no sistema ou fazer com que o código mal-intencionado seja executado como o usuário conectado localmente.

Quais são os principais sistemas que correm riscos com a vulnerabilidade?
Esta vulnerabilidade requer que um usuário leia emails ou visite sites da Web para que ações mal-intencionadas ocorram. Portanto, quaisquer sistemas em que emails são lidos ou em que o Internet Explorer é usado com freqüência, como as estações de trabalho ou servidores de terminal dos usuários, correm mais riscos com essa vulnerabilidade. Os sistemas que não são usados normalmente para ler emails ou visitar sites, como a maioria dos sistemas de servidor, correm menos riscos.

Deve-se observar que os elementos FRAME não são processados na zona restrita, que é onde o Outlook Express e o Outlook, por padrão, abrem mensagens de email em HTML. Entretanto, a exploração dessa vulnerabilidade através de email requer a interação do usuário na forma de um link mal-intencionado na mensagem de email. Consulte a seção Soluções alternativas neste boletim para obter mais informações sobre este assunto.

O Windows 98, o Windows 98 Second Edition ou o Windows Millennium Edition são drasticamente por essa vulnerabilidade?
Sim. O Windows 98, o Windows 98 Second Edition e o Windows Millennium Edition são afetados drasticamente por essa vulnerabilidade. As atualizações de segurança críticas para essas plataformas podem não estar disponíveis simultaneamente com as outras atualizações de segurança fornecidas como parte deste boletim de segurança. Elas serão disponibilizadas tão logo seja possível após o lançamento. Quando essas atualizações de segurança estiverem disponíveis, você poderá baixá-las somente do site Windows Update. Para obter mais informações sobre as classificações de gravidade, visite este site da Microsoft na Web.

O que a atualização faz?
A atualização remove a vulnerabilidade, modificando a forma como o Internet Explorer valida o tamanho de uma mensagem durante o processamento dos elementos em HTML.

Quando este boletim de segurança foi publicado, essa vulnerabilidade já havia sido divulgada publicamente?
Sim. Essa vulnerabilidade foi divulgada publicamente. Ela recebeu o número CAN-2004-1050 de Vulnerabilidade e exposição comum.

Quando este boletim de segurança foi publicado, a Microsoft havia recebido algum relatório informando que essa vulnerabilidade estava sendo explorada?
Sim. Quando o boletim de segurança foi lançado, a Microsoft recebeu informações de que essa vulnerabilidade tinha sido explorada.

Informações de Atualização de Segurança

Plataformas de instalação e pré-requisitos:

Para obter informações adicionais sobre como determinar qual versão do Internet Explorer você está executando, veja o artigo 164539 do Microsoft Knowledge Base.

Para obter informações sobre uma atualização de segurança específica para o seu sistema, clique no link apropriado:

Internet Explorer 6 SP1 para Windows XP Service Pack 1 e Windows 2000 (todas as versões)

Pré-requisitos
Para instalar as versões do Internet Explorer 6 Service Pack 1 (SP1) dessa atualização, você deverá executar o Internet Explorer 6 SP1 (versão 6.00.2800.1106) em uma das seguintes versões do Windows:

Microsoft Windows 2000 Service Pack 3, Service Pack 4

Microsoft Windows XP Service Pack 1

Microsoft Windows XP 64-Bit Edition Service Pack 1

Informações de instalação

Esta atualização de segurança oferece suporte às seguintes opções de instalação:

/help  Exibe as opções de linha de comando

Modos de instalação

/quiet Modo Silencioso (sem interação com o usuário ou exibição)

/passive Modo Autônomo (apenas barra de progresso)

/uninstall Desinstala o pacote

Opções de reinicialização

/norestart Não reinicia após a conclusão da instalação

/forcerestart Reinicia após a instalação

Opções especiais

/l Lista hotfixes do Windows ou pacotes de atualização instalados

/o  Sobrescreve arquivos OEM sem notificação

/n  Não faz backup de arquivos necessários para a desinstalação

/f Força o encerramento de outros programas quando o computador é desligado

/extract  Extrai arquivos sem iniciar a instalação

Observação É possível combinar essas opções em uma única linha de comando. Para obter compatibilidade com versões anteriores, a atualização de segurança também oferece suporte a opções de instalação que as versões anteriores do utilitário de instalação usam. Para obter mais informações sobre as opções de instalação com suporte, consulte o artigo do Microsoft Knowledge Base sobre as opções de instalação com suporte; consulte o artigo 262841 do Microsoft Knowledge Base.

Informações de implantação

Para instalar a atualização de segurança sem nenhuma intervenção do usuário, use o seguinte comando em um prompt de comando:

 IE6.0sp1-KB889293-Windows-2000-XP-x86-enu /passive /quiet

Para instalar a atualização de segurança sem forçar a reinicialização do sistema, use o seguinte comando em um prompt de comando:

 IE6.0sp1-KB889293-Windows-2000-XP-x86-enu /norestart

Para obter informações sobre como implantar esta atualização de segurança com os serviços de atualização de software, visite o site Software Update Services.

Para obter informações sobre como implantar essa atualização com o SMS, consulte o artigo 887437 (em inglês) do Microsoft Knowledge Base a seguir.

Requisito de reinicialização

É necessário reiniciar o sistema depois de instalar essa atualização de segurança. Não é necessário usar o logon de administrador depois que o computador for reiniciado para nenhuma versão dessa atualização.

Informações sobre remoção

Para remover esta atualização, use a ferramenta Adicionar ou Remover Programas, no Painel de Controle. O item referente a essa atualização a listará como uma atualização do Windows e não como uma atualização do Internet Explorer. Essa é uma alteração de Atualizações de Segurança Cumulativas anteriores do Internet Explorer.

Os administradores de sistema também podem usar o utilitário Spuninst.exe para remover esta atualização de segurança. O utilitário Spuninst.exe está localizado na pasta Windir%\$NTUninstallKB889293-ie6sp1-20041111.235619$\Spuninst. O utilitário Spuninst.exe oferece suporte às seguintes opções de instalação:

/?: Mostra a lista de opções de instalação.

/u: Usa o modo Autônomo.

/f: Força o encerramento de outros programas quando o computador é desligado.

/z: Não reinicia após a conclusão da instalação.

/q: Usa o modo Silencioso (sem interação com o usuário).

Informações sobre o arquivo

A versão em inglês desta atualização (ou a posterior) tem os atributos de arquivo relacionados na tabela abaixo. As datas e as horas destes arquivos estão de acordo com o tempo universal coordenado (UTC). Quando você exibe as informações do arquivo, a hora é convertida para o horário local. Para saber a diferença entre o UTC e o horário local, use a guia Fuso Horário na ferramenta Data e Hora, no Painel de Controle.

Internet Explorer 6 Service Pack 1 no Windows 2000 e no Windows XP:

Nome do arquivoVersãoDataHoraTamanho

Browseui.dll

6.0.2800.1584

23 de agosto de 2004

02:34

1.025.536

Inseng.dll

6.0.2800.1469

26 de agosto de 2004

17:53

69.632

Mshtml.dll

6.0.2800.1479

25 de outubro de 2004

18:39

2.693.120

Shdocvw.dll

6.0.2800.1606

12 de novembro de 2004

07:20

1.332.224

Shlwapi.dll

6.0.2800.1584

20 de agosto de 2004

22:01

422.912

Urlmon.dll

6.0.2800.1479

25 de outubro de 2004

18:39

450.048

Wininet.dll

6.0.2800.1468

24 de agosto de 2004

03:32

589.312

Internet Explorer 6 Service Pack 1 (Edição de 64 bits) no Windows XP:

Nome do arquivoVersãoDataHoraTamanhoCPUPasta

Browseui.dll

6.0.2800.1584

22 de agosto de 2004

23:49

2.855.936

IA-64

Nenhum

Inseng.dll

6.0.2800.1469

26 de agosto de 2004

17:53

230.912

IA-64

Nenhum

Mshtml.dll

6.0.2800.1479

25 de outubro de 2004

19:34

9.107.456

IA-64

Nenhum

Shdocvw.dll

6.0.2800.1606

12 de novembro de 2004

07:22

3.651.072

IA-64

Nenhum

Shlwapi.dll

6.0.2800.1584

20 de agosto de 2004

21:52

1.117.184

IA-64

Nenhum

Urlmon.dll

6.0.2800.1479

25 de outubro de 2004

19:33

1.425.408

IA-64

Nenhum

Wininet.dll

6.0.2800.1468

24 de agosto de 2004

01:56

1.798.656

IA-64

Nenhum

Wbrowseui.dll

6.0.2800.1584

23 de agosto de 2004

02:34

1.025.536

x86

WOW

Winseng.dll

6.0.2800.1469

26 de agosto de 2004

17:53

69.632

x86

WOW

Wmshtml.dll

6.0.2800.1479

25 de outubro de 2004

18:39

2.693.120

x86

WOW

Wshdocvw.dll

6.0.2800.1606

12 de novembro de 2004

07:20

1.332.224

x86

WOW

Wshlwapi.dll

6.0.2800.1584

20 de agosto de 2004

22:01

422.912

x86

WOW

Wurlmon.dll

6.0.2800.1479

25 de outubro de 2004

18:39

450.048

x86

WOW

Wwininet.dll

6.0.2800.1468

24 de agosto de 2004

03:32

589.312

x86

WOW

Verificando a instalação da atualização

Microsoft Baseline Security Analyzer

Para verificar se uma atualização de segurança está instalada em um sistema afetado, é possível utilizar a ferramenta MBSA (Microsoft Baseline Security Analyzer). Essa ferramenta permite que os administradores examinem os sistemas locais e remotos para saber se faltam atualizações de segurança ou se existem problemas de configuração comuns. Para obter mais informações sobre o MBSA, visite o site Microsoft Baseline Security Analyzer

Verificação de versão de arquivo

Observação Como existem várias versões do Microsoft Windows, as etapas a seguir podem ser diferentes no seu computador. Se isso acontecer, consulte as etapas completas na documentação do produto.

1.

Clique em Iniciar e, em seguida, clique em Pesquisar.

2.

No painel Resultados da Pesquisa, clique em Todos os arquivos e pastas em Search Companion.

3.

Na caixa Todo ou parte do nome do arquivo, digite um nome de arquivo da tabela de informações de arquivo correta e clique em Pesquisar.

4.

Na lista de arquivos, clique com o botão direito do mouse em um nome de arquivo da tabela de informações de arquivo correta e clique em Propriedades.

Observação Dependendo da versão do sistema operacional ou dos programas instalados, alguns dos arquivos listados na tabela de informações de arquivos podem não estar instalados.

5.

Na guia Versão, determine a versão do arquivo instalado no computador comparando-o com a versão documentada na tabela de informações de arquivos correta.

Observação Os atributos diferentes da versão do arquivo podem ser alterados durante a instalação. A comparação de outros atributos de arquivo com as informações na tabela não é um método com suporte para verificar a instalação da atualização. Além disso, em alguns casos, arquivos podem ser renomeados durante a instalação. Se as informações sobre o arquivo ou a versão não estiverem presentes, use um dos outros métodos disponíveis para verificar a instalação da atualização.

Verificação da chave do Registro

Você também poderá verificar os arquivos que a atualização de segurança instalou confirmando que o valor Installed DWORD com um valor de dados 1 existe em uma das seguintes chaves do Registro.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Hotfix\KB889293-ie6sp1-20041111.235619

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{839117ee-2132-4bae-a56a-42b50204c9b9}

Internet Explorer 6 SP1 para Windows NT Server 4.0 Service Pack 6a (todas as versões), Windows Millennium Edition (Me) e Windows 98 (todas as versões)

Pré-requisitos
Para instalar as versões do Internet Explorer 6 Service Pack 1 (SP1) dessa atualização, você deverá executar o Internet Explorer 6 SP1 (versão 6.00.2800.1106) em uma das seguintes versões do Windows:

Microsoft Windows 98

Microsoft Windows 98 Segunda Edição (SE)

Microsoft Windows Millennium Edition (Me)

Microsoft Windows NT Server 4.0 Service Pack 6a

Microsoft Windows NT Server 4.0 Terminal Server Edition, Service Pack 6

Observação: as versões do Windows e do Internet Explorer que não estão listadas nesse artigo não possuem mais suporte nem são afetadas. A Microsoft recomenda fazer uma atualização para uma versão do Windows e do Internet Explorer à qual seja fornecido suporte e, então, instalar a atualização adequada.

Para obter mais informações sobre os ciclos de vida do suporte para componentes do Windows, consulte o site Ciclo de Vida do Suporte Microsoft.

Para obter mais informações sobre como obter o service pack mais recente para o Internet Explorer 6, consulte o artigo 328548 (em inglês) do Microsoft Knowledge Base.

Inclusão em Service Packs futuros:
A atualização desse problema será incluída em uma versão futura do Windows XP.

A atualização de segurança fornece suporte às seguintes opções de instalação:

 /Q Especifica o modo silencioso ou suprime avisos durante a extração dos arquivos.

 /Q:U Especifica o modo silencioso do usuário, que exibe algumas caixas de diálogo ao usuário.

 /Q:A Especifica o modo silencioso do administrador, que não exibe nenhuma caixa de diálogo ao usuário.

 /T: <caminho completo> Especifica a pasta de destino para extração dos arquivos.

 /C Extrai os arquivos, sem instalá-los. Se /T: path não for especificado, será solicitada uma pasta de destino.

 /C: <Cmd> Substitui o comando Instalar definido pelo autor. Especifica o caminho e o nome do arquivo .inf ou .exe da instalação.

 /R:N Nunca reinicia o computador após a instalação.

 /R:I Solicita que o usuário reinicie o computador se necessário, exceto quando usada com /Q:A.

 /R:A Sempre reinicia o computador após a instalação.

 /R:S Reinicia o computador após a instalação, sem avisar o usuário.

Observação: essas opções não funcionam necessariamente com todas as atualizações. Se uma opção não estiver disponível, essa funcionalidade será necessária para a instalação apropriada da atualização. Além disso, não há suporte para a opção /N:V, o que pode resultar na impossibilidade de reinicialização de um sistema. Se a instalação não foi bem-sucedida, consulte o profissional de suporte.

Para obter informações adicionais sobre as opções de instalação com suporte, consulte o artigo 197147 (em inglês) do Microsoft Knowledge Base.

Informações de implantação

Por exemplo, para instalar a atualização sem nenhuma intervenção do usuário e sem forçar a reinicialização do sistema, use o seguinte comando em um prompt de comando:

IE6.0sp1-KB889293-Windows NT4sp6a-98-ME-x86-ENU.exe /q:a /r:n

Para obter informações sobre como implantar esta atualização de segurança com os serviços de atualização de software, visite o site Software Update Services.

Para obter informações sobre como implantar essa atualização com o SMS, consulte o artigo 887437 (em inglês) do Microsoft Knowledge Base.

Requisito de reinicialização

É necessário reiniciar o sistema depois de instalar essa atualização de segurança.

Para remover esta atualização, use a ferramenta Adicionar ou Remover Programas, no Painel de Controle. Clique em Internet Explorer 889293 e em Alterar/Remover (ou clique em Adicionar/Remover).

Os administradores de sistema podem usar o utilitário Ieuninst.exe para remover essa atualização. Essa atualização de segurança instala o utilitário Ieuninst.exe na pasta %Windir%. Esse utilitário fornece suporte às seguintes opções de instalação:

 /?: mostra a lista de opções com suporte

 /z: não reinicia após a conclusão da instalação

 /q: usa o modo Silencioso (sem interação com o usuário)

Por exemplo, para remover essa atualização silenciosamente, use o seguinte comando:

 c:\windows\ieuninst /q c:\windows\inf\q889293.inf

Observação: esse comando presume que o Windows esteja instalado na pasta C:\Windows.

Informações sobre o arquivo

A versão em inglês desta atualização (ou a posterior) tem os atributos de arquivo relacionados na tabela abaixo. As datas e as horas destes arquivos estão de acordo com o tempo universal coordenado (UTC). Quando você exibe as informações do arquivo, a hora é convertida para o horário local. Para saber a diferença entre o UTC e o horário local, use a guia Fuso Horário na ferramenta Data e Hora, no Painel de Controle.

Internet Explorer 6 Service Pack 1 no Windows 98, Windows 98 SE, Windows Me e Windows NT:

Nome do arquivoVersãoDataHoraTamanho

Browseui.dll

6.0.2800.1584

23 de agosto de 2004

02:34

1.025.536

Inseng.dll

6.0.2800.1469

26 de agosto de 2004

17:53

69.632

Mshtml.dll

6.0.2800.1479

25 de outubro de 2004

18:39

2.693.120

Shdocvw.dll

6.0.2800.1606

12 de novembro de 2004

07:20

1.332.224

Shlwapi.dll

6.0.2800.1584

20 de agosto de 2004

22:01

422.912

Urlmon.dll

6.0.2800.1479

25 de outubro de 2004

18:39

450.048

Wininet.dll

6.0.2800.1468

24 de agosto de 2004

03:32

589.312

Verificando a instalação da atualização

Microsoft Baseline Security Analyzer

Para verificar se uma atualização de segurança está instalada em um sistema afetado, é possível utilizar a ferramenta MBSA (Microsoft Baseline Security Analyzer). Essa ferramenta permite que os administradores examinem os sistemas locais e remotos para saber se faltam atualizações de segurança ou se existem problemas de configuração comuns. Para obter mais informações sobre o MBSA, visite o site Microsoft Baseline Security Analyzer.

Verificação de versão de arquivo

Observação Como existem várias versões do Microsoft Windows, as etapas a seguir podem ser diferentes no seu computador. Se isso acontecer, consulte as etapas completas na documentação do produto.

1.

Clique em Iniciar e, em seguida, clique em Pesquisar.

2.

No painel Resultados da Pesquisa, clique em Todos os arquivos e pastas em Search Companion.

3.

Na caixa Todo ou parte do nome do arquivo, digite um nome de arquivo da tabela de informações de arquivo correta e clique em Pesquisar.

4.

Na lista de arquivos, clique com o botão direito do mouse em um nome de arquivo da tabela de informações de arquivo correta e clique em Propriedades.

Observação Dependendo da versão do sistema operacional ou dos programas instalados, alguns dos arquivos listados na tabela de informações de arquivos podem não estar instalados.

5.

Na guia Versão, determine a versão do arquivo instalado no computador comparando-o com a versão documentada na tabela de informações de arquivos correta.

Observação Os atributos diferentes da versão do arquivo podem ser alterados durante a instalação. A comparação de outros atributos de arquivo com as informações na tabela não é um método com suporte para verificar a instalação da atualização. Além disso, em alguns casos, arquivos podem ser renomeados durante a instalação. Se as informações sobre o arquivo ou a versão não estiverem presentes, use um dos outros métodos disponíveis para verificar a instalação da atualização.

Verificação da chave do Registro

Você também poderá verificar os arquivos que esta atualização de segurança instalou confirmando que o valor Installed DWORD com um valor de dados 1 existe na seguinte chave do Registro.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{839117ee-2132-4bae-a56a-42b50204c9b9}

Verificação de versão de programa

Confirme se Q889293 está listado no campo Versões de Atualização, na caixa de diálogo Sobre o Internet Explorer.

Obtendo outras atualizações de segurança:

As atualizações para outros problemas de segurança estão disponíveis nos seguintes locais:

As atualizações de segurança estão disponíveis no Centro de Download da Microsoft: Você poderá encontrá-las com mais facilidade, executando uma pesquisa com a palavra-chave "patch_de_segurança".

Atualizações para plataformas do cliente estão disponíveis no site do Windows Update.

Suporte:

Os clientes nos EUA e Canadá podem receber suporte técnico no site de Atendimento Microsoft no telefone 1-866-PCSAFETY. As ligações para obter suporte associado a atualizações de segurança são gratuitas.

Os clientes de outros países podem obter suporte nas subsidiárias locais da Microsoft. O suporte associado a atualizações de segurança é gratuito. Para obter mais informações sobre como entrar em contato com a Microsoft a fim de obter suporte a problemas, visite o site de Suporte Internacional.

Recursos de segurança:

O site Microsoft TechNet Security fornece informações adicionais sobre segurança em produtos da Microsoft.

Microsoft Software Update Services

MBSA (Microsoft Baseline Security Analyzer)

Windows Update 

Catálogo do Windows Update: para obter mais informações sobre o Catálogo do Windows Update, consulte o artigo 323166 (em inglês) do Microsoft Knowledge Base.

Office Update 

Software Update Services:

Usando o Microsoft Software Update Services (SUS), os administradores podem implantar de maneira rápida e confiável as últimas atualizações críticas e de segurança em servidores executando o Windows 2000 e Windows Server 2003 e em sistemas desktop executando o Windows 2000 Professional ou Windows XP Professional.

Para obter informações sobre como implantar esta atualização de segurança com os serviços de atualização de software, visite o site Serviços de Atualização de Software.

Systems Management Server:

O Microsoft SMS (Systems Management Server) fornece uma solução corporativa altamente configurável para gerenciar atualizações. Ao usar o SMS, os administradores podem identificar os sistemas baseados no Windows que precisam de atualizações de segurança, bem como executar uma implantação controlada dessas atualizações em toda a empresa com o mínimo de interrupção para os usuários finais. Para obter mais informações sobre como os administradores podem usar o SMS 2003 para implantar atualizações de segurança, consulte o site SMS 2003 Security Patch Management (em inglês). Os usuários do SMS 2.0 também podem usar o Software Updates Service Feature Pack (site em inglês) para ajudar a implantar atualizações de segurança. Para obter informações sobre o SMS, visite o site do SMS (em inglês).

Observação O SMS usa o Microsoft Baseline Security Analyzer e o Microsoft Office Detection Tool para fornecer amplo suporte à detecção e à implantação de atualizações do boletim de segurança. Algumas atualizações de software não podem ser detectadas por essas ferramentas. Os administradores podem usar os recursos de inventário do SMS nesses casos para as atualizações alvo de sistemas específicos. Para obter mais informações sobre esse procedimento, consulte o seguinte site. Algumas atualizações de segurança exigirão direitos administrativos quando o sistema for reiniciado. Os administradores podem usar a Elevated Rights Deployment Tool (disponível no SMS 2003 Administration Feature Pack e no SMS 2.0 Administration Feature Pack) para instalar essas atualizações.

Aviso de isenção de responsabilidade:

As informações fornecidas no Microsoft Knowledge Base são apresentadas "no estado em que se encontram", sem garantia de qualquer tipo. A Microsoft se isenta de todas as garantias, expressas ou implícitas, incluindo as garantias de comercialização e adequação a um propósito específico. Em hipótese alguma a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, inclusive danos diretos, indiretos, incidentais, conseqüenciais, danos por lucros cessantes ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido alertados da possibilidade dos referidos danos. Como alguns estados não permitem a exclusão ou limitação de responsabilidade por danos conseqüenciais ou indiretos, a limitação acima pode não ser aplicável a você.

Revisões: 

V1.0 (1 de dezembro de 2004): Boletim publicado



©2018 Microsoft Corporation. Todos os direitos reservados. Entre em contato |Nota Legal |Marcas comerciais |Política de Privacidade