Boletim de Segurança da Microsoft MS05-006

Vulnerabilidade no Windows SharePoint Services e no SharePoint Team Services pode permitir ataques de script e falsificação entre sites (887981)

Publicado em: 8 de fevereiro de 2005
Versão: 1.0

Resumo

Quem deve ler este documento: clientes que usam o Microsoft Windows SharePoint Services ou o SharePoint Team Services da Microsoft

Impacto da vulnerabilidade: execução remota de código

Classificação máxima de gravidade: moderada

Recomendação: os clientes devem aplicar a atualização de segurança.

Substituição da atualização de segurança: nenhuma

Advertências: nenhuma

Softwares testados e downloads das atualizações de segurança :

Softwares afetados:

•	Windows SharePoint Services – Fazer o download da atualização (KB887981)
•	SharePoint Team Services da Microsoft – Baixar a atualização (KB890829) – Fazer o download do arquivo completo de atualização (KB890829)

Usuários do SharePoint Team Services: o Office XP Service Pack 2 for Office XP Web Components e o Office XP Service Pack 3 for SharePoint Team Services são vulneráveis a este problema. No entanto, a atualização de segurança para o Office XP Service Pack 2 for Office XP Web Components é fornecida apenas como parte do arquivo completo da atualização de segurança do Office XP. Para obter mais informações, consulte a seção "Informações de atualização de segurança".

Os softwares dessa lista foram testados para determinar se as versões são afetadas. Outras versões não incluem suporte para a atualização de segurança ou podem não ser afetadas. Para determinar o ciclo de vida do suporte para seu produto e sua versão, visite o site Ciclo de Vida do Suporte Microsoft.

Início da sessão

Informações Gerais

Sinopse

Sinopse:

Esta atualização elimina uma vulnerabilidade descoberta recentemente e reportada em particular. Existe uma vulnerabilidade de falsificação e script entre sites nos softwares afetados que pode permitir que um invasor convença um usuário a executar um script mal-intencionado. A vulnerabilidade é documentada neste boletim na seção “Detalhes da vulnerabilidade”.

O invasor que explorar a vulnerabilidade com êxito poderá modificar caches de navegadores da Web e caches intermediários de servidor proxy. Além disso, poderá incluir conteúdo falsificado nesses caches. Os invasores também podem explorar a vulnerabilidade para realizar ataques de script entre sites.

Recomendamos que os clientes apliquem a atualização de segurança.

Classificações de gravidade e identificadores de vulnerabilidade:

Identificadores de Vulnerabilidade	Impacto da Vulnerabilidade	Windows SharePoint Services	SharePoint Team Services da Microsoft
Vulnerabilidade de falsificação e script entre sites - CAN-2005-0049	Execução Remota de Código	Moderada	Moderada

Essa avaliação baseia-se nos tipos de sistemas afetados pela vulnerabilidade, seus padrões comuns de implantação e o efeito da exploração da vulnerabilidade sobre eles.

Início da sessão

Perguntas freqüentes relacionadas a esta atualização de segurança

Posso usar o MBSA (Microsoft Baseline Security Analyzer) para determinar se esta atualização é necessária?
Sim. O MBSA determinará se essa atualização é necessária, mas apenas para os programas aos quais o MBSA oferece suporte. Por exemplo, o MBSA tem suporte para SharePoint Team Services e detectará se a atualização é necessária para esse programa. O MBSA oferece suporte para a atualização do SharePoint Team Services por meio do recurso Office Detection Tool e, por isso, está limitado a exames locais.

O MBSA não tem suporte para o Windows SharePoint Services, portanto, não detectará se a atualização é necessária ao programa. A Microsoft, porém, desenvolveu uma versão do recurso Enterprise Update Scanning Tool para ajudar os clientes a determinar se o Windows SharePoint Services precisa da atualização de segurança.

Para obter informações detalhadas sobre os programas não detectados no momento pelo MBSA, consulte o artigo 306460 do Microsoft Knowledge Base. Para obter mais informações sobre o MBSA, visite o site do MBSA.

Observação: depois de 20 de abril de 2004, o arquivo Mssecure.xml usado pelo MBSA 1.1.1 e pelas versões anteriores não foi mais atualizado com novos dados do boletim de segurança. Portanto, as verificações realizadas depois dessa data com o MBSA 1.1.1 ou uma versão anterior serão incompletas. Todos os usuários deverão atualizar para o MBSA 1.2 porque ele fornece uma detecção mais precisa da atualização de segurança e oferece suporte a produtos adicionais. Os usuários podem baixar o MBSA 1.2.1 do site do MBSA. Para obter mais informações sobre o suporte ao MBSA, visite o site Microsoft Baseline Security Analyzer (MBSA) 1.2.1 Q&A.

Posso usar uma versão da EST (Enterprise Update Scanning Tool) para determinar se esta atualização é necessária?
Sim. A Microsoft criou uma versão da EST que determinará se você precisa aplicar esta atualização. A ferramenta está disponível no Centro de Download da Microsoft (site em inglês). Também existe uma versão dessa ferramenta que clientes SMS podem obter no site SMS da Web.

O que é o recursoEST(Enterprise Update Scanning Tool)?
Como parte do compromisso contínuo de fornecer ferramentas de detecção para atualizações complexas relacionadas a vulnerabilidades classificadas como Importante ou Crítica, uma ferramenta autônoma pode ser fornecida para determinados boletins. A Microsoft avaliará a complexidade da detecção e implantação de cada boletim e fornecerá suporte para detecção com base nas especificidades de cada versão. Quando uma ferramenta de detecção é criada para um boletim específico, os clientes podem executá-la com uma interface de linha de comando. Os clientes podem então utilizar o arquivo de saída XML para processar os resultados. A Microsoft fornecerá junto com a ferramenta uma documentação detalhada para assegurar que os clientes possam extrair os benefícios de sua utilização.

Posso usar o SMS (Systems Management Server) para determinar se esta atualização é necessária?
Sim. O SMS pode ajudar a detectar e implantar a atualização de segurança. O SMS usa o MBSA para detecção; portanto, o SMS tem a mesma limitação listada anteriormente neste boletim relacionada aos programas que o MBSA não detecta. Para obter informações sobre o SMS, visite o site do SMS (em inglês). A ferramenta Inventário da Atualização de Segurança é necessária para a detecção do Microsoft Windows e de outros produtos Microsoft afetados. Para obter mais informações sobre as limitações da ferramenta Inventário da Atualização de Segurança, consulte o artigo 306460 do Microsoft Knowledge Base Article . O SMS também pode usar o recurso Office Inventory Tool da Microsoft para detectar as atualizações necessárias aos aplicativos do Microsoft Office, como o SharePoint Team Services.

Início da sessão

Detalhes da Vulnerabilidade

Vulnerabilidade de falsificação e script entre sites - CAN-2005-0049:

Esta é uma vulnerabilidade de falsificação e de scripts entre sites. A vulnerabilidade de script entre sites pode permitir que um invasor convença um usuário a executar um script mal-intencionado. Se este script malicioso for executado, ele será executado no contexto de segurança do usuário. As tentativas de explorar essa vulnerabilidade exigem a interação do usuário. Essa vulnerabilidade pode permitir que um invasor acesse qualquer dado que, nos sistemas afetados, possa ser acessado pelo usuário individual.

O invasor também poderá explorar essa vulnerabilidade para modificar os caches do navegador da Web e os caches intermediários do servidor proxy, e colocar conteúdo falso nesses caches.

Fatores atenuantes para a vulnerabilidade de falsificação e script entre sites - CAN-2005-0049:

Fatores atenuantes para ataques de script entre sites:

•	O invasor que tiver explorado com êxito o aspecto de script entre sites desta vulnerabilidade obterá somente as mesmas permissões do usuário.

Fatores atenuantes para colocação de conteúdo falso em um cache de navegador da Web do usuário:

•	Os clientes que, no Internet Explorer, tiverem ativado a opção avançada de Internet Não salvar páginas criptografadas em disco não correrão o risco de qualquer tentativa de colocação de conteúdo falso no cache cliente se acessarem sites da Web por meio do protocolo Secure Sockets Layer (SSL).

Fatores atenuantes para a colocação de conteúdo falso em um cache intermediário de servidor proxy

•	Os clientes que usam conexões de acesso a sites afetados, as quais são protegidas por SSL, não estão vulneráveis a tentativas de colocação de conteúdo falso em caches intermediários de servidor proxy. Isso ocorre porque os dados da sessão SSL são criptografados e não estão em cache nos servidores proxy intermediários.
•	Se o conteúdo falso for colocado com êxito em um cache do servidor proxy intermediário, será difícil um invasor prever quais usuários utilizarão o conteúdo falso em cache.
•	Um invasor deve ser capaz de fazer logon no site afetado para tentar explorar esta vulnerabilidade. Se você não permitir o acesso anônimo ao seu site, somente os usuários autenticados poderão tentar explorar essa vulnerabilidade.

Início da sessão

Soluções alternativas para a vulnerabilidade de falsificação e script entre sites - CAN-2005-0049:

Não identificamos nenhuma solução alternativa para essa vulnerabilidade.

Início da sessão

Perguntas freqüentes sobre a vulnerabilidade de falsificação e script entre sites - CAN-2005-0049:

Qual é o escopo da vulnerabilidade?
Esta é uma vulnerabilidade de falsificação e scripts entre sites. A vulnerabilidade de script entre sites pode permitir que um invasor convença um usuário a executar um script malicioso. Se este script malicioso for executado, ele será executado no contexto de segurança do usuário. As tentativas de explorar essa vulnerabilidade exigem a interação do usuário. Essa vulnerabilidade pode permitir que um invasor acesse qualquer dado que, nos sistemas afetados, possa ser acessado pelo usuário individual.

Também é possível explorar a vulnerabilidade para modificar os caches do navegador da Web e do servidor proxy intermediário, bem como colocar conteúdo falso nesses caches.

O que provoca a vulnerabilidade?
O software afetado não valida corretamente a entrada fornecida em uma consulta de redirecionamento de HTML antes de essa entrada ser enviada para o navegador.

O que é o Windows SharePoint Services?
O Windows SharePoint Services permite que equipes criem sites para compartilhamento de informações e colaboração de documentos, benefícios que aumentam a produtividade individual e da equipe. Disponível como um download separado, o Windows SharePoint Services 2003 é um componente de infra-estrutura da equipe de informações do Windows Server 2003 e oferece serviços de equipe e sites para o Microsoft Office System e outros programa de desktop. Ele também serve como plataforma para o desenvolvimento de aplicativos. Para obter mais informações sobre o Windows SharePoint Services, visite o seguinte site da Microsoft.

O que é o SharePoint Team Servicesda Microsoft?
O SharePoint Team Services da Microsoft oferece recursos de publicação e colaboração na Web para facilitar a comunicação de idéias e o compartilhamento de informações. O SharePoint Team Services é um superconjunto do Microsoft FrontPage Server Extensions 2002 e inclui todos os recursos disponíveis com as extensões do servidor. Além disso, o SharePoint Team Services contém novos recursos para grupos de trabalho, criando um ambiente valioso para a publicação na Web e a comunicação entre a equipe. Ao usar o SharePoint Team Services, os administradores podem criar e administrar sites que ajudam uma equipe a organizar e desenvolver um projeto. Para obter mais informações sobre o SharePoint Team Services, visite o seguinte site da Microsoft. O FrontPage Server Extensions 2002 não é vulnerável a esse problema.

Para que um invasor pode usar a vulnerabilidade?
O invasor que explorar a vulnerabilidade com êxito poderá executar ataques de script entre sites, exibir respostas falsas a usuários ou redirecionar respostas do servidor para outro usuário.

De que forma o invasor pode explorar a vulnerabilidade?
O invasor também pode criar uma mensagem de email específica para tentar explorar essa vulnerabilidade. O invasor pode explorar a vulnerabilidade enviando essa mensagem de email específica para um usuário de um servidor que esteja executando um aplicativo de software afetado. O invasor poderá então persuadir o usuário a clicar em um link na mensagem de email.

Também é possível explorar a vulnerabilidade para modificar os caches do navegador da Web e do servidor proxy intermediário, bem como colocar conteúdo falso nesses caches.

A vulnerabilidade pode ser explorada pela Internet?
Sim. Um invasor pode tentar explorar essa vulnerabilidade através da Internet.

O que a atualização faz?
A atualização remove a vulnerabilidade modificando a maneira como o software afetado valida a entrada fornecida para uma consulta de redirecionamento de HTTP antes de a entrada ser enviada para o cliente.

Quando este boletim de segurança foi publicado, essa vulnerabilidade já havia sido divulgada publicamente?
Não. A Microsoft não recebeu nenhuma informação indicando que essa vulnerabilidade havia sido divulgada publicamente quando este boletim de segurança foi lançado pela primeira vez.

Quando este boletim de segurança foi publicado, a Microsoft havia recebido algum relatório informando que essa vulnerabilidade estava sendo explorada?
Não. A Microsoft não recebeu nenhuma informação indicando que essa vulnerabilidade havia sido usada publicamente para atacar clientes e não teve conhecimento de nenhum fato que comprovasse a publicação do código quando esse boletim de segurança foi originalmente lançado.

Início da sessão

Informações de Atualização de Segurança

Software afetado:

Para obter informações sobre uma atualização de segurança específica para seu software afetado, clique no link apropriado:

Windows SharePoint Services

Detalhes sobre Pré-requisitos e Atualização Adicional

Importante: antes de instalar essa atualização, verifique se este requisito foi atendido:

•	O Windows SharePoint Services 2003 Service Pack1 deve estar instalado. Para obter informações adicionais sobre como instalar o Windows SharePoint Services Service Pack 1, visite o seguinte site da Microsoft.

Inclusão em Service Packs futuros:

A correção deste problema será incluída em um service pack futuro.

Requisito de reinicialização

Informações sobre remoção

Depois que você instalar a atualização, não será possível removê-la. Para reverter para uma instalação antes de a atualização ter sido instalada, será necessário remover o aplicativo e instalá-lo novamente a partir do CD-ROM original.

Início da sessão

Informações de instalação automatizada de cliente

Site Windows Update

Recomendamos que você instale essa atualização, baixando-a do site Windows Update. O site Windows Update detecta sua instalação e solicita que você instale exatamente o que for necessário para que a instalação seja completamente atualizada.

Início da sessão

Informações de instalação manual de cliente

Para obter informações necessárias sobre como instalar manualmente essa atualização, consulte esta seção.

Informações sobre instalação

A atualização de segurança fornece suporte às seguintes opções de instalação:

/Q Especifica o modo silencioso ou suprime avisos durante a extração dos arquivos.

/Q:U Especifica o modo silencioso do usuário, que exibe algumas caixas de diálogo ao usuário.

/Q:A Especifica o modo silencioso do administrador, que não exibe nenhuma caixa de diálogo ao usuário.

/T: <full path> Especifica a pasta de destino para extração dos arquivos.

/C Extrai os arquivos, sem instalá-los. Se /T: path não for especificado, será solicitada uma pasta de destino.

/C: <Cmd> Substitui o comando Instalar definido pelo autor. Especifica o caminho e o nome do arquivo .inf ou .exe da instalação.

/R:N Nunca reinicia o computador após a instalação.

/R:I Solicita que o usuário reinicie o computador se necessário, exceto quando usado com /Q:A.

/R:A Sempre reinicia o computador após a instalação.

/R:S Reinicia o computador após a instalação, sem avisar o usuário.

/N:V Não é feita a verificação de versão - Instala o programa sobre qualquer versão anterior.

Observação Essas opções não funcionam necessariamente com todas as atualizações. Se uma opção não estiver disponível, essa funcionalidade será necessária para a instalação apropriada da atualização. Além disso, não há suporte para a opção /N:V, o que pode resultar na impossibilidade de reinicialização do sistema. Se a instalação não foi bem-sucedida, consulte o profissional de suporte para saber o motivo.

Para obter informações adicionais sobre as opções de instalação com suporte, consulte o artigo 197147 (em inglês) do Microsoft Knowledge Base.

Informações sobre a implantação cliente

1.	Baixar esta atualização de segurança.
2.	Clique em Salvar este programa em disco e em OK.
3.	Clique em Salvar.
4.	Usando o Windows Explorer, navegue até a pasta que contém o arquivo salvo e clique duas vezes nele.
5.	Se for solicitada a instalação da atualização, clique em Sim.
6.	Clique em Sim para aceitar o Contrato de Licença.
7.	Insira o CD-ROM original se solicitado e, em seguida, clique em OK.
8.	Quando aparecer uma mensagem informando que a instalação foi bem-sucedida, clique em OK.

Observação Se a atualização de segurança já estiver instalada no computador, você receberá a seguinte mensagem de erro: Esta atualização já foi aplicada ou está incluída em uma atualização que já foi aplicada.

Informações sobre o arquivo de instalação cliente

A versão em inglês desta atualização tem os atributos de arquivo relacionados na tabela abaixo. As datas e as horas destes arquivos estão de acordo com o tempo universal coordenado (UTC). Quando você exibe as informações do arquivo, a hora é convertida para o horário local. Para saber a diferença entre o UTC e o horário local, use a guia Fuso Horário na ferramenta Data e Hora, no Painel de Controle.

Windows SharePoint Services:

Nome do arquivo	Versão	Data	Hora	Tamanho
Microsoft_sharepoint_dsp_xmlurl.dll	11.0.6407.0	1o. de outubro de 2004	03:01	84,728
Onetutil.dll	11.0.6411.0	11 de novembro de 2004	04:47	1.410.248
Owssvr.dll_0001 Nome instalado: Owssvr.dll	11.0.6411.0	11 de novembro de 2004	04:50	2.222.784
Sqmsto.dll	11.0.6411.0	11 de novembro de 2004	04:36	2.255.560
Sqmstoup.dll	11.0.6411.0	11 de novembro de 2004	04:36	2.190.024
Store.sql		4 de novembro de 2004	05:31	1.141.841
Storeup.sql		4 de novembro de 2004	05:31	1.108.009
Stsadm.exe	11.0.6409.0	16 de outubro de 2004	18:39	137,920
Stsap.dll	11.0.6409.0	16 de outubro de 2004	18:39	248,576
Stslib.dll_0001 Nome instalado: Microsoft.SharePoint.Library.dll	11.0.6402.0	27 de agosto de 2004	01:03	92,912
Stsom.dll Nome instalado: Microsoft.SharePoint.dll	11.0.6411.0	11 de novembro de 2004	04:50	1.501.920
Stsom.dll_0001 Nome instalado: Microsoft.SharePoint.dll	11.0.6411.0	11 de novembro de 2004	04:50	1.501.920
Stswel.dll	11.0.6411.0	11 de novembro de 2004	04:50	1.055.424

Verificando a aplicação da atualização

•

Verificação de versão de arquivo

Observação Como existem várias versões do Microsoft Windows, as etapas a seguir podem ser diferentes no seu computador. Se isso acontecer, consulte as etapas completas na documentação do produto.

1.	Clique em Iniciar e, em seguida, clique em Pesquisar.
2.	No painel Resultados da Pesquisa, clique em Todos os arquivos e pastas, em Complemento de Pesquisa.
3.	Na caixa Todo ou parte do nome do arquivo, digite um nome de arquivo da tabela de informações de arquivo correta e clique em Pesquisar.
4.	Na lista de arquivos, clique com o botão direito do mouse em um nome de arquivo da tabela de informações de arquivo correta e clique em Propriedades. Observação: dependendo da versão do sistema operacional ou dos programas instalados, alguns dos arquivos listados na tabela de informações de arquivos talvez não estejam instalados.
5.	Na guia Versão, determine a versão do arquivo instalado no computador, comparando-a com a versão documentada na tabela de informações de arquivos correta. Observação: os atributos com versão diferente da versão do arquivo podem ser alterados durante a instalação. A comparação de outros atributos de arquivo com as informações na tabela não é um método suportado para verificar se a atualização foi aplicada. Além disso, em alguns casos, arquivos podem ser renomeados durante a instalação. Se as informações sobre o arquivo ou a versão não estiverem presentes, use um dos outros métodos disponíveis para verificar a instalação da atualização.

Início da sessão

SharePoint Team Services da Microsoft

Detalhes sobre Pré-requisitos e Atualização Adicional

Importante: antes de instalar a atualização, confirme se os requisitos a seguir foram atendidos:

•

O Microsoft Windows Installer 2.0 precisa estar instalado. O Microsoft Windows Server 2003, o Windows XP e o Microsoft Windows 2000 Service Pack 3 (SP3) incluem o Windows Installer 2.0 ou posterior. Para instalar a versão mais recente do Windows Installer, visite um destes sites (em inglês) da Microsoft:

Windows Installer 2.0 para Windows 2000 e Windows NT 4.0

•

O Office XP Service Pack 3 (SP3) for SharePoint Team Services deve ser instalado. Antes de instalar esta atualização, instale o Office XP Service Pack 3 (SP3) for SharePoint Team Services. Para obter mais informações sobre como instalar o Office XP Service Pack 3 (SP3) for SharePoint Team Services, consulte o artigo 839025 do Microsoft Knowledge Base (site em inglês). A atualização completa também pode ser instalada em sistemas que estejam executando o Office XP Service Pack 2 for Office Web Components ou o Office XP Service Pack 3 for SharePoint Team Services.

Inclusão em Service Packs futuros:

A correção deste problema será incluída em um service pack futuro.

Requisito de reinicialização

Essa atualização não requer uma reinicialização. O instalador interrompe os serviços necessários, aplica a atualização e reinicia-os em seguida. Contudo, se esses serviços necessários não puderem ser interrompidos por algum motivo, ou se os arquivos necessários estiverem em uso, a atualização exigirá uma reinicialização. Se ocorrer esse comportamento, uma mensagem será exibida, aconselhando você a reinicializar.

Se você instalar a atualização por meio do site Office Update, talvez seja necessário reinicializar o sistema afetado. Para evitar a exigência de reinicialização, siga as etapas da seção “Site Office Update”, neste boletim.

Informações sobre remoção

Início da sessão

Informações de instalação automatizada de cliente

Site de atualização do Office

É recomendável que você instale as atualizações do cliente usando o site Office Update. Esse site detecta a sua instalação e solicita que você instale exatamente o que for necessário para que a instalação seja completamente atualizada.

Para que o site Office Update detecte as atualizações necessárias que devem ser instaladas no seu computador, visite o site Office Update e clique em Verificar se Há Atualizações. Concluída a detecção, você receberá uma lista de atualizações recomendadas para aprovação. Clique em Iniciar Instalação para concluir o processo.

Observação: se instalar a atualização por meio do site Office Update, você precisará reinicializar o sistema afetado, a menos que você interrompa os serviços iisreset e sptimer antes de iniciar a instalação da atualização. Para evitar a exigência de reinicialização do servidor, siga estas etapas:

No menu Iniciar do Windows, clique em Executar.

Na caixa Abrir, digite “CMD” (sem as aspas) e clique em OK.

No prompt de comando, siga estas etapas:

•	Digite “net stop iisadmin /y” (sem as aspas) e pressione ENTER.
•	Digite “net stop sptimer” (sem as aspas) e pressione ENTER.

Instale a atualização por meio do site Office Update

No prompt de comando, siga estas etapas:

•	Digite “net start w3svc” (sem as aspas) e pressione ENTER.
•	Digite “net start sptimer” (sem as aspas) e pressione ENTER.

Digite “Exit” (sem as aspas) para voltar ao Windows.

Início da sessão

Informações de instalação manual de cliente

Para obter informações necessárias sobre como instalar manualmente essa atualização, consulte esta seção.

Informações sobre instalação

A atualização de segurança fornece suporte às seguintes opções de instalação:

/Q Especifica o modo silencioso ou suprime avisos durante a extração dos arquivos.

/Q:U Especifica o modo silencioso do usuário, que exibe algumas caixas de diálogo ao usuário.

/Q:A Especifica o modo silencioso do administrador, que não exibe nenhuma caixa de diálogo ao usuário.

/T: <full path> Especifica a pasta de destino para extração dos arquivos.

/C Extrai os arquivos, sem instalá-los. Se /T: path não for especificado, será solicitada uma pasta de destino.

/C: <Cmd> Substitui o comando Instalar definido pelo autor. Especifica o caminho e o nome do arquivo .inf ou .exe da instalação.

/R:N Nunca reinicia o computador após a instalação.

/R:I Solicita que o usuário reinicie o computador se necessário, exceto quando usado com /Q:A.

/R:A Sempre reinicia o computador após a instalação.

/R:S Reinicia o computador após a instalação, sem avisar o usuário.

/N:V Não é feita a verificação de versão - Instala o programa sobre qualquer versão anterior.

Para obter informações adicionais sobre as opções de instalação com suporte, consulte o artigo 197147 (em inglês) do Microsoft Knowledge Base.

Informações sobre a implantação cliente

1.	Baixe a versão de cliente desta atualização de segurança. Ou baixe a versão completa desta atualização de segurança.
2.	Clique em Salvar este programa em disco e em OK.
3.	Clique em Salvar.
4.	Usando o Windows Explorer, navegue até a pasta que contém o arquivo salvo e clique duas vezes nele.
5.	Se for solicitada a instalação da atualização, clique em Sim.
6.	Clique em Sim para aceitar o Contrato de Licença.
7.	Insira o CD-ROM original se solicitado e, em seguida, clique em OK.
8.	Quando aparecer uma mensagem informando que a instalação foi bem-sucedida, clique em OK.

Informações sobre o arquivo de instalação completo e cliente

SharePoint Team Services da Microsoft (atualização cliente e completa):

Nome do arquivo	Versão	Data	Hora	Tamanho
Fp5amsft.dll	10.0.6738.0	29 de outubro de 2004	22:38	142,024
Fp5autl.dll	10.0.6738.0	8 de abril de 2004	02:24	944,840
Fp5awec.dll	10.0.6738.0	8 de abril de 2004	02:24	608,968
Fp5awel.dll	10.0.6738.0	29 de outubro de 2004	22:38	1.379.016
Fpcutl.dll	10.0.6738.0	29 de outubro de 2004	22:38	1.170.112
Fpeditax.dll	10.0.6714.0	26-Jan-2005	22:21	4.258.504
Fpmmc.dll	10.0.6738.0	29 de outubro de 2004	22:38	400.064
Owssvr.dll	10.0.6738.0	29-Out-2004	22:38	834.240
Owstimer.exe	10.0.6738.0	8-Abril-2004	02:24	346.824

Verificando a aplicação da atualização

•

Microsoft Baseline Security Analyzer

Para verificar se a atualização de segurança está instalada em um sistema afetado, você pode usar a ferramenta MBSA (Microsoft Baseline Security Analyzer), que permite aos administradores analisar os sistemas local e remoto para identificar as atualizações de segurança ausentes e as configurações incorretas de segurança mais comuns. Para obter mais informações sobre o MBSA, visite o site Microsoft Baseline Security Analyzer.

•

Verificação de versão de arquivo

1.	Clique em Iniciar e, em seguida, clique em Pesquisar.
2.	No painel Resultados da Pesquisa, clique em Todos os arquivos e pastas, em Complemento de Pesquisa.
3.	Na caixa Todo ou parte do nome do arquivo, digite um nome de arquivo da tabela de informações de arquivo correta e clique em Pesquisar.
4.	Na lista de arquivos, clique com o botão direito do mouse em um nome de arquivo da tabela de informações de arquivo correta e clique em Propriedades. Observação: dependendo da versão do sistema operacional ou dos programas instalados, alguns dos arquivos listados na tabela de informações de arquivos talvez não estejam instalados.
5.	Na guia Versão, determine a versão do arquivo instalado no computador, comparando-a com a versão documentada na tabela de informações de arquivos correta. Observação: os atributos com versão diferente da versão do arquivo podem ser alterados durante a instalação. A comparação de outros atributos de arquivo com as informações na tabela não é um método suportado para verificar se a atualização foi aplicada. Além disso, em alguns casos, arquivos podem ser renomeados durante a instalação. Se as informações sobre o arquivo ou a versão não estiverem presentes, use um dos outros métodos disponíveis para verificar a instalação da atualização.

Início da sessão

Agradecimentos

A Microsoft agradece à pessoa citada abaixo por trabalhar conosco para ajudar a proteger os clientes:

•	Norman Chiong, da Accenture, por reportar a vulnerabilidade de script e falsificação entre sites (CAN-2005-0049).

Obtendo outras atualizações de segurança:

As atualizações para outros problemas de segurança estão disponíveis nos seguintes locais:

•	As atualizações de segurança estão disponíveis no Centro de Download da Microsoft. Você poderá encontrá-las com mais facilidade ao executar uma pesquisa com a palavra-chave "patch_de_segurança".
•	Atualizações para plataformas do cliente estão disponíveis no site Windows Update.

Suporte:

•	Os clientes nos EUA e Canadá podem receber suporte técnico no site de Atendimento Microsoft no telefone 1-866-PCSAFETY. As ligações para obter suporte associado a atualizações de segurança são gratuitas.
•	Os clientes de outros países podem obter suporte nas subsidiárias locais da Microsoft. O suporte associado a atualizações de segurança é gratuito. Para obter mais informações sobre como entrar em contato com a Microsoft a fim de obter suporte a problemas, visite o site de Suporte Internacional.

Recursos de segurança:

•	O site Central de Segurança TechNet fornece informações adicionais sobre segurança em produtos da Microsoft.
•	Microsoft Software Update Services
•	Microsoft Baseline Security Analyzer (MBSA)
•	Windows Update
•	Catálogo do Windows Update: para obter mais informações sobre o Catálogo do Windows Update, consulte o artigo 323166 (em inglês) do Microsoft Knowledge Base.
•	Office Update

Software Update Services:

Usando o Microsoft Software Update Services (SUS), os administradores podem implantar de maneira rápida e confiável as últimas atualizações críticas e de segurança em servidores executando o Windows 2000 e Windows Server 2003 e em sistemas desktop executando o Windows 2000 Professional ou Windows XP Professional.

Para obter mais informações sobre como implantar esta atualização de segurança usando os Software Update Services, visite o site Software Update Services.

Systems Management Server:

O Microsoft SMS (Systems Management Server) fornece uma solução corporativa altamente configurável para gerenciar atualizações. Ao usar o SMS, os administradores podem identificar os sistemas baseados no Windows que precisam de atualizações de segurança, bem como executar uma implantação controlada dessas atualizações em toda a empresa com o mínimo de interrupção para os usuários finais. Para obter mais informações sobre como os administradores podem usar o SMS 2003 para implantar atualizações de segurança, visite o site Gerenciamento de Patches de Segurança do SMS 2003. Os usuários do SMS 2.0 também podem usar o Software Updates Service Feature Pack (site em inglês) para ajudar a implantar atualizações de segurança. Para obter informações sobre o SMS, visite o site do SMS (em inglês).

Observação O SMS usa o Microsoft Baseline Security Analyzer e o Microsoft Office Detection Tool para fornecer amplo suporte à detecção e à implantação de atualizações do boletim de segurança. Algumas atualizações de software não podem ser detectadas por essas ferramentas. Os administradores podem usar os recursos de inventário do SMS nesses casos para as atualizações alvo de sistemas específicos. Para obter mais informações sobre esse procedimento, consulte o seguinte site. Algumas atualizações de segurança exigirão direitos administrativos quando o sistema for reiniciado. Os administradores podem usar a Elevated Rights Deployment Tool (disponível no SMS 2003 Administration Feature Pack e no SMS 2.0 Administration Feature Pack) para instalar essas atualizações.

Aviso de isenção de responsabilidade:

As informações fornecidas no Microsoft Knowledge Base são apresentadas "no estado em que se encontram", sem garantia de qualquer tipo. A Microsoft se isenta de todas as garantias, expressas ou implícitas, incluindo as garantias de comercialização e adequação a um propósito específico. Em hipótese alguma a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, inclusive danos diretos, indiretos, incidentais, conseqüenciais, danos por lucros cessantes ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido alertados da possibilidade dos referidos danos. Como alguns estados não permitem a exclusão ou limitação de responsabilidade por danos conseqüenciais ou indiretos, a limitação acima pode não ser aplicável a você.

Revisões:

•	V1.0 (8 de fevereiro de 2005): Boletim publicado

Início da página