Boletim de Segurança da Microsoft MS05-017

Vulnerabilidade no MSMQ pode permitir execução de código (892944)

Publicado em: 12 de abril de 2005
Versão: 1.0

Resumo

Quem deve ler este documento: clientes que usam o Microsoft Message Queuing (MSMQ).

Impacto da vulnerabilidade: execução remota de códigos

Classificação máxima de gravidade: importante

Recomendação: os clientes devem aplicar a atualização assim que possível.

Substituição da atualização de segurança: nenhuma

Advertências: nenhuma

Locais de software testado e de download de atualização de segurança:

Softwares afetados:

•	Microsoft Windows 2000 Service Pack 3 e Microsoft Windows 2000 Service Pack 4 – Baixar a atualização
•	Microsoft Windows XP Service Pack 1 – Baixar a atualização
•	Microsoft Windows XP 64-Bit Edition Service Pack 1 (Itanium) – Baixar a atualização
•	Microsoft Windows 98 e Microsoft Windows 98 Second Edition (SE) – Examine a seção de perguntas freqüentes deste boletim para obter detalhes sobre esses sistemas operacionais.

Softwares não afetados:

•	Microsoft Windows XP Service Pack 2
•	Microsoft Windows XP Edição de 64 bits Versão 2003 (Itanium)
•	Microsoft Windows Server 2003 e Windows Server 2003 Service Pack 1
•	Microsoft Windows Server 2003 para sistemas baseados no Itanium
•	Microsoft Windows Millennium Edition (ME)

Os softwares dessa lista foram testados para determinar se as versões são afetadas. Outras versões não incluem suporte para a atualização de segurança ou podem não ser afetadas. Para determinar o ciclo de vida do suporte para seu produto e sua versão, visite o site Ciclo de Vida do Suporte Microsoft.

Início da sessão

Informações Gerais

Sinopse

Sinopse:

Esta atualização elimina uma vulnerabilidade descoberta recentemente e reportada em particular. Há uma vulnerabilidade de execução remota de códigos no componente Message Queuing. Por padrão, o componente Message Queuing não é instalado em nenhuma versão do sistema operacional afetado. Somente os clientes que instalaram manualmente o componente Message Queuing podem estar vulneráveis a esse problema. A vulnerabilidade é documentada neste boletim na seção “Detalhes da vulnerabilidade”.

O invasor que explorar com êxito essa vulnerabilidade poderá assumir o controle total de um sistema afetado. O invasor poderá instalar programas; exibir, alterar ou excluir dados; ou criar novas contas com direitos totais de usuário.

Recomendamos que os clientes apliquem a atualização o mais rápido possível.

Classificações de gravidade e identificadores de vulnerabilidade:

Identificadores de Vulnerabilidade	Impacto da Vulnerabilidade	Windows 98, 98 SE	Windows 2000 (site em inglês)	Windows XP Service Pack 1
Vulnerabilidade de enfileiramento de mensagens - CAN-2005-0059	Execução Remota de Códigos	Não Crítica	Importante	Importante

Essa avaliação baseia-se nos tipos de sistemas afetados pela vulnerabilidade, seus padrões comuns de implantação e o efeito da exploração da vulnerabilidade sobre eles.

Início da sessão

Perguntas freqüentes relacionadas a esta atualização de segurança

Ainda uso o Windows XP, mas o suporte estendido para a atualização de segurança foi encerrado em 30 de setembro de 2004. O que devo fazer?

O ciclo de vida do suporte ampliado da atualização de segurança da versão original do Windows XP, geralmente citada como Windows XP Gold ou Windows XP Release to Manufacturing (RTM), terminou em 30 de setembro de 2004.

Os clientes que possuem essa versão de sistema operacional devem ter como prioridade migrar para uma versão com suporte a fim de evitar uma possível exposição a vulnerabilidades. Para obter mais informações sobre o ciclo de vida do produto Windows Service Pack, visite o site Microsoft Support Lifecycle na Web (em inglês). Para obter mais informações sobre o ciclo de vida do produto Windows, visite o site Microsoft Support Lifecycle (em inglês).

Para obter mais informações, consulte a seção Perguntas Freqüentes sobre o ciclo de vida do suporte ao produto sistema operacional Windows.

O suporte estendido de atualização de segurança para Microsoft Windows NT Workstation 4.0 Service Pack 6a e Windows 2000 Service Pack 2 foi encerrado em 30 de Junho de 2004. O suporte estendido de atualização de segurança para Microsoft Windows NT Server 4.0 Service Pack 6a foi encerrado em 31 de Dezembro de 2004. Ainda uso um desses sistemas operacionais. O que devo fazer?

Os ciclos de vida do Windows NT Workstation 4.0 Service Pack 6a, Windows NT Server 4.0 Service Pack 6a e Windows 2000 Service Pack 2 chegou ao fim. Os clientes que possuem essas versões de sistema operacional devem priorizar a migração para as versões com suporte, a fim de evitar uma possível exposição a vulnerabilidades. Para obter mais informações sobre o ciclo de vida do produto Windows, visite o site Microsoft Support Lifecycle (em inglês). Para obter mais informações sobre o período de suporte ampliado para atualização de segurança dessas versões de sistema operacional, visite o site Serviços de Suporte aos Produtos Microsoft.

Os clientes que precisarem de suporte adicional para o Windows NT 4.0 SP6a deverão entrar em contato com o representante da equipe da conta da Microsoft, com o gerente técnico da conta ou com o representante do parceiro Microsoft apropriado para obter opções de suporte personalizadas. Os clientes em um contrato Alliance, Premier ou Authorized podem entrar em contato com o escritório de vendas local da Microsoft. Para obter informações de contato, visite o site de Informações internacionais da Microsoft, selecione o país e clique em Ir para ver uma lista de telefones. Ao ligar, peça para falar com o gerente de vendas local de Suporte Premier.

Para obter mais informações, consulte a seção Perguntas Freqüentes sobre o ciclo de vida do suporte ao produto sistema operacional Windows.

Como o suporte estendido para Windows 98, Windows 98 Second Edition e Windows Millennium Edition afeta o lançamento das atualizações de segurança para estes sistemas operacionais?
A Microsoft lançará atualizações de segurança somente para problemas de segurança críticos. Os problemas de segurança não críticos não serão abordados neste período de suporte. Para obter mais informações sobre as diretivas do ciclo de vida do suporte Microsoft para esses sistemas operacionais, visite este site.

Para obter mais informações sobre as classificações de gravidade, visite este site.

O Windows 98, o Windows 98 Second Edition ou o Windows Millennium Edition são afetados drasticamente por uma ou mais vulnerabilidades apresentadas neste boletim de segurança?
Não. Não havia suporte para enfileiramento de mensagens no Windows 98 e Windows 98 Second Edition. Não havia suporte para o enfileiramento de mensagens no Windows Millennium Edition. O enfileiramento de mensagens era fornecido somente como uma instalação separada e não como parte do sistema operacional. Como o enfileiramento de mensagens está disponível somente como parte de uma instalação manual, esse problema não seria classificado como crítico nas versões do sistema operacional afetado. No entanto, os clientes que estão usando o enfileiramento de mensagens nessas versões do sistema operacional são aconselhados a fazer a atualização para uma versão do sistema operacional que contenha a versão atualizada do componente afetado. Para obter mais informações sobre as classificações de gravidade, visite este site.

Posso usar o MBSA (Microsoft Baseline Security Analyzer) para determinar se esta atualização é necessária?
Sim. O MBSA determinará se a atualização é necessária. Para obter mais informações sobre o MBSA, visite o site do MBSA.

Posso usar o SMS (Systems Management Server) para determinar se esta atualização é necessária?
Sim. O SMS pode ajudar a detectar e implantar a atualização de segurança. Para mais informações sobre o SMS, visite o site do SMS. A ferramenta Inventário da Atualização de Segurança é necessária para a detecção do Microsoft Windows e de outros produtos Microsoft afetados. Para obter mais informações sobre as limitações da ferramenta Security Update Inventory, consulte o Artigo 306460 do Microsoft Knowledge Base

Início da sessão

Detalhes da Vulnerabilidade

Vulnerabilidade de enfileiramento de mensagens - CAN-2005-0059:

Há uma vulnerabilidade de execução remota de código no enfileiramento de mensagens que pode permitir a um invasor que tenha explorado com sucesso essa vulnerabilidade assumir total controle do sistema afetado.

Fatores atenuantes da vulnerabilidade de enfileiramento de mensagens - CAN-2005-0059:

•	Por padrão, o componente Message Queuing não é instalado em nenhuma versão do sistema operacional afetado. Somente os clientes que instalaram manualmente o componente Message Queuing podem estar vulneráveis a esse problema.
•	As instalações do Message Queuing que expõem somente a entrega de mensagem HTTP do MSMQ na Internet não estão vulneráveis.
•	Para os clientes que exigem o componente afetado, as práticas recomendadas e as configurações padrão do firewall podem ajudar a proteger as redes de ataques originados fora do perímetro da empresa. Essas práticas também recomendam que os sistemas conectados à Internet tenham um número mínimo de portas expostas.

Início da sessão

Soluções alternativas para a vulnerabilidade de enfileiramento de mensagens - CAN-2005-0059:

A Microsoft testou as seguintes soluções alternativas. Apesar de essas soluções alternativas não corrigirem a vulnerabilidade subjacente, elas ajudam a bloquear vetores de ataque conhecidos. Quando uma solução alternativa reduz a funcionalidade, ela é indicada na seção a seguir.

•

Bloquear o seguinte no firewall:

•	Portas UDP 135, 137, 138, 445, 1801 e 3527, e portas TCP 135, 139, 445, 593, 1801, 2101, 2103, 2105, e 2107
•	Todos os tráfegos de entrada não solicitados nas portas acima de 1024
•	Qualquer outra porta RPC especialmente configurada

Essas portas são usadas pra iniciar uma conexão com RPC. O bloqueio dessas portas no firewall ajudará a proteger os sistemas atrás do firewall contra as tentativas de exploração dessa vulnerabilidade. Certifique-se também de bloquear qualquer outra porta RPC especificamente configurada no sistema remoto. Recomendamos que você bloqueie todas as comunicações de entrada não solicitadas da Internet para ajudar a evitar ataques que possam usar outras portas. Para obter mais informações sobre as portas usadas por RPC, visite o seguinte site.

•

Remova o enfileiramento de mensagens se não for necessário.

Se você não necessita mais do Message Queuing, remova-o. Para isso, siga estas etapas: Estas etapas aplicam-se somente ao Windows XP Service Pack 1. Para o Windows 2000, siga o procedimento incluído na documentação do produto.

Observação As permissões especiais podem ser necessárias para remover o Message Queuing. Para obter mais informações, consulte a seguinte documentação do Message Queuing.

1.	Clique em Iniciar e em Painel de controle.
2.	Clique duas vezes em Adicionar ou Remover Programas.
3.	No modo de exibição por categoria padrão, clique em Adicionar ou Remover programas.
4.	Clique em Adicionar/Remover Componentes do Windows.
5.	Na página Assistente de Componentes do Windows, em Componentes, clique para desmarcar a caixa de seleção Message Queuing a fim de remover o Message Queuing e clique em Avançar.
6.	Encerre o Assistente de componentes do Windows seguindo as instruções fornecidas na tela.

Impacto da solução alternativa: muitas empresas exigem o Message Queuing para executar funções essenciais. Os administradores não devem remover o Message Queuing a menos que compreendam totalmente o efeito disso no ambiente. Para obter mais informações sobre o enfileiramento de mensagens, consulte a documentação do Message Queuing.

Início da sessão

Perguntas freqüentes sobre a vulnerabilidade de enfileiramento de mensagens - CAN-2005-0059:

Qual é o escopo da vulnerabilidade?
Essa é uma vulnerabilidade de execução remota de códigos. O invasor que explorar com êxito essa vulnerabilidade poderá assumir o controle total de um sistema afetado. O invasor poderá instalar programas; exibir, alterar ou excluir dados; ou criar novas contas com direitos totais de usuário.

O que provoca a vulnerabilidade?
Um buffer sem verificação de tamanho no componente Message Queuing.

O que é Enfileiramento de Mensagens?
A tecnologia Microsoft Message Queuing (MSMQ) permite que os aplicativos que são executados em horários diferentes se comuniquem através de redes e sistemas heterogêneos que podem estar temporariamente offline. Os aplicativos enviam e lêem mensagens de filas. O Message Queuing fornece entrega garantida de de mensagens, roteamento eficaz, segurança e mensagem baseada na prioridade. Ele pode ser usado para implementar soluções em situações de mensagem síncrona e assíncrona. Para obter mais informações sobre o enfileiramento de mensagens, consulte a documentação do Message Queuing.

Quais aplicativos da Microsoft usam o Message Queuing?
O Message Queuing deve ser instalado antes que você possa instalar o BizTalk Server 2000 ou o BizTalk Server 2002. O MSMQ é um componente opcional que pode ser usado pelo BizTalk Server 2004. Alguns aplicativos de terceiros também usam o Message Queuing.

Para que um invasor pode usar a vulnerabilidade?
Um invasor que explorar com êxito essa vulnerabilidade poderá assumir o controle total do sistema afetado.

Quem pode explorar a vulnerabilidade?
Qualquer usuário anônimo que enviar uma mensagem especialmente elaborada ao sistema afetado poderá tentar explorar essa vulnerabilidade.

De que forma o invasor pode explorar a vulnerabilidade?
Um invasor pode tentar explorar a vulnerabilidade criando uma mensagem específica e enviando-a a um sistema afetado. A mensagem poderá, então, fazer com que o sistema afetado execute códigos.

Quais são os principais sistemas que correm riscos com a vulnerabilidade?
Todos os sistemas que instalaram o MSMQ estão em risco com essa vulnerabilidade. Por padrão, o componente Message Queuing não é instalado em nenhuma versão do sistema operacional afetado. Somente os clientes que instalaram manualmente o componente Message Queuing podem estar vulneráveis a esse problema.

A vulnerabilidade pode ser explorada pela Internet?
Sim. Um invasor pode tentar explorar essa vulnerabilidade pela Internet usando as portas RPC. A maioria das implementações do MSMQ que está disponível na Internet usa o componente de entrega de mensagem HTTP do MSMQ que não é vulnerável a esse problema. As práticas recomendadas de firewall e as configurações de firewall padrão podem ajudar na proteção contra ataques originados na Internet que usam RPC. A Microsoft forneceu informações sobre como você pode ajudar a proteger o seu PC. Os usuários finais podem visitar o site Proteja seu PC Os profissionais de TI podem visitar o site Security Guidance Center (em inglês).

O que a atualização faz?
A atualização elimina a vulnerabilidade modificando a maneira como o MSMQ valida o tamanho de uma mensagem antes de transmiti-la ao buffer alocado.

Quando este boletim de segurança foi publicado, essa vulnerabilidade já havia sido divulgada publicamente?
Não. A Microsoft recebeu informações sobre essa vulnerabilidade por meio de divulgação responsável. A Microsoft não recebeu nenhuma informação indicando que essa vulnerabilidade tenha sido divulgada publicamente quando este boletim de segurança foi lançado pela primeira vez.

Quando este boletim de segurança foi publicado, a Microsoft havia recebido algum relatório informando que essa vulnerabilidade estava sendo explorada?
Não. A Microsoft não recebeu nenhuma informação indicando que essa vulnerabilidade tenha sido usada publicamente para atacar clientes e não testemunhou nenhum exemplo de publicação de código de verificação de conceito quando este boletim de segurança foi lançado pela primeira vez.

Início da sessão

Informações de Atualização de Segurança

Software afetado:

Para obter informações sobre uma atualização de segurança específica para seu software afetado, clique no link apropriado:

Windows XP Service Pack 1 (todas as versões)

Pré-requisitos
Esta atualização de segurança requer o Microsoft Windows XP Service Pack 1. Para obter mais informações, consulte o artigo 322389 (em inglês) do Microsoft Knowledge Base.

Inclusão em Service Packs futuros:
A atualização para esse problema está incluída no Windows XP Service Pack 2.

Informações de instalação

Esta atualização de segurança oferece suporte às seguintes opções de instalação:

Opções de instalação da atualização de segurança para as quais há suporte
Opção	Descrição
/help	Exibe as opções de linha de comando
Modos de Instalação
/passive	Modo de instalação autônomo. Não é necessária a interação do usuário, mas o status da instalação é exibido. Se a reinicialização for necessária no fim da instalação, uma caixa de diálogo será apresentada para o usuário com um timer avisando que o computador será reiniciado em 30 segundos.
/quiet	Modo silencioso. O mesmo que modo autônomo, mas nenhum status ou nenhuma mensagem de erro é exibida.
Opções de Reinicialização
/norestart	Não reinicia quando a instalação é concluída
/forcerestart	Reinicia o computador após a instalação e força o fechamento de outros aplicativos no desligamento sem antes salvar os arquivos abertos.
/warnrestart[:x]	Apresenta uma caixa de diálogo com um timer avisando ao usuário que o computador será reiniciado em x segundos. (O padrão é 30 segundos.) Destina-se ao uso com as opções /quiet ou /passive.
/promptrestart	Exibe uma caixa de diálogo solicitando que o usuário local permita a reinicialização
Opções Especiais
/overwriteoem	Sobrescreve arquivos OEM sem notificação
/nobackup	Não faz backup de arquivos necessários à desinstalação
/forceappsclose	Força o encerramento de outros programas quando o computador é desligado
/log:caminho	Permite o redirecionamento dos arquivos de log da instalação
/integrate:caminho	Integra a atualização nos arquivos-fonte do Windows. Esses arquivos se encontram no caminho especificado na opção.
/extract[:caminho]	Extrai os arquivos sem iniciar o programa de instalação
/ER	Habilita o relatório de erros estendido
/verbose	Habilita o registro extenso. Durante a instalação, cria o %Windir%\CabBuild.log. Esse registro detalha os arquivos que são copiados. Se você usar esta opção, a instalação será bem mais lenta.

Observação É possível combinar essas opções em uma única linha de comando. Para obter compatibilidade com versões anteriores, a atualização de segurança também oferece suporte às opções de instalação utilizadas por versões anteriores do utilitário de instalação. Para obter mais informações sobre as opções de instalação suportadas, consulte o Artigo 262841 (em inglês) do Microsoft Knowledge Base. Para obter mais informações sobre o instalador Update.exe, visite o site Microsoft TechNet.

Informações de implantação

Para instalar a atualização de segurança sem qualquer intervenção do usuário, use o seguinte comando em um prompt de comando do Microsoft Windows XP:

Windowsxp-kb892944-x86-enu /quiet

Para instalar a atualização de segurança sem forçar a reinicialização do sistema, use o seguinte comando em um prompt de comando do Windows XP:

Windowsxp-kb892944-x86-enu /norestart

Para obter informações sobre como implantar esta atualização de segurança com os serviços de atualização de software, visite o site Software Update Services.

Requisito de reinicialização

Essa atualização não requer uma reinicialização. Se esses serviços necessários não puderem ser interrompidos por algum motivo, ou se os arquivos necessários estiverem em uso, a atualização exigirá uma reinicialização. Se isso ocorrer, uma mensagem que aconselha a reinicialização será exibida. Para reduzir a chance de uma reinicialização não ser solicitada, interrompa todos os serviços afetados e feche todos os aplicativos que possam usar os arquivos afetados antes de instalar a atualização de segurança. Para obter mais informações sobre os motivos pelos quais você será solicitado a reiniciar, consulte o artigo 887012 do Microsoft Knowledge Base.

Informações sobre remoção

Para remover esta atualização de segurança, use a ferramenta Adicionar ou Remover Programas, no Painel de Controle.

Os administradores de sistema também podem usar o utilitário Spuninst.exe para remover esta atualização de segurança. O utilitário Spuninst.exe está localizado na pasta %Windir%\$NTUninstallKB892944$\Spuninst.

Opções do Spuninst.exe com suporte
Opção	Descrição
/help	Exibe as opções de linha de comando
Modos de Instalação
/passive	Modo de instalação autônomo. Não é necessária a interação do usuário, mas o status da instalação é exibido. Se a reinicialização for necessária no fim da instalação, uma caixa de diálogo será apresentada para o usuário com um timer avisando que o computador será reiniciado em 30 segundos.
/quiet	Modo silencioso. O mesmo que modo autônomo, mas nenhum status ou nenhuma mensagem de erro é exibida.
Opções de Reinicialização
/norestart	Não reinicia quando a instalação é concluída
/forcerestart	Reinicia o computador após a instalação e força o fechamento de outros aplicativos no desligamento sem antes salvar os arquivos abertos.
/warnrestart[:x]	Apresenta uma caixa de diálogo com um timer avisando ao usuário que o computador será reiniciado em x segundos. (O padrão é 30 segundos.) Destina-se ao uso com as opções /quiet ou /passive.
/promptrestart	Exibe uma caixa de diálogo solicitando que o usuário local permita a reinicialização
Opções Especiais
/forceappsclose	Força o encerramento de outros programas quando o computador é desligado
/log:caminho	Permite o redirecionamento dos arquivos de log da instalação

Informações sobre o arquivo

A versão em inglês desta atualização de segurança tem os atributos de arquivo relacionados na tabela abaixo. As datas e as horas destes arquivos estão de acordo com o tempo universal coordenado (UTC). Quando você exibe as informações do arquivo, a hora é convertida para o horário local. Para saber a diferença entre o UTC e o horário local, use a guia Fuso Horário na ferramenta Data e Hora, no Painel de Controle.

Windows XP Home Edition Service Pack 1, Windows XP Professional Service Pack 1, Windows XP Tablet PC Edition, Windows XP Media Center Edition:

Nome do arquivo	Versão	Data	Hora	Tamanho	Pasta
Mqac.sys	5.1.0.1044	23 de março de 2005	00:55	67.456	SP1QFE\IP
Mqad.dll	5.1.0.1044	23 de março de 2005	18:12	130,048	SP1QFE\IP
Mqdscli.dll	5.1.0.1044	23 de março de 2005	18:12	44.032	SP1QFE\IP
Mqise.dll	5.1.0.1044	23 de março de 2005	18:12	14.848	SP1QFE\IP
Mqqm.dll	5.1.0.1044	23 de março de 2005	18:12	608.768	SP1QFE\IP
Mqrt.dll	5.1.0.1044	23 de março de 2005	18:12	165.888	SP1QFE\IP
Mqsec.dll	5.1.0.1044	23 de março de 2005	18:12	88,576	SP1QFE\IP
Mqupgrd.dll	5.1.0.1044	23 de março de 2005	18:12	44.544	SP1QFE\IP
Mqutil.dll	5.1.0.1044	23 de março de 2005	18:12	467.456	SP1QFE\IP
Updspapi.dll	6.1.22.4	25 de fevereiro de 2005	03:53	371.936

Windows XP 64-Bit Edition Service Pack 1 (Itanium):

Nome do arquivo	Versão	Data	Hora	Tamanho	CPU	Pasta
Mqac.sys	5.1.0.1044	23 de março de 2005	01:18	286.336	IA-64	SP1QFE
Mqad.dll	5.1.0.1044	23 de março de 2005	23:13	465.408	IA-64	SP1QFE
Mqdscli.dll	5.1.0.1044	23 de março de 2005	23:13	129.024	IA-64	SP1QFE
Mqise.dll	5.1.0.1044	23 de março de 2005	23:13	44.032	IA-64	SP1QFE
Mqqm.dll	5.1.0.1044	23 de março de 2005	23:13	2.338.304	IA-64	SP1QFE
Mqrt.dll	5.1.0.1044	23 de março de 2005	23:13	540.160	IA-64	SP1QFE
Mqsec.dll	5.1.0.1044	23 de março de 2005	23:13	319,488	IA-64	SP1QFE
Mqupgrd.dll	5.1.0.1044	23 de março de 2005	23:13	159.232	IA-64	SP1QFE
Mqutil.dll	5.1.0.1044	23 de março de 2005	23:13	570.880	IA-64	SP1QFE
Wmqad.dll	5.1.0.1044	23 de março de 2005	23:13	130,048	x86	SP1QFE\WOW
Wmqdscli.dll	5.1.0.1044	23 de março de 2005	23:13	44.032	x86	SP1QFE\WOW
Wmqrt.dll	5.1.0.1044	23 de março de 2005	23:13	165.888	x86	SP1QFE\WOW
Wmqsec.dll	5.1.0.1044	23 de março de 2005	23:13	88,576	x86	SP1QFE\WOW
Wmqutil.dll	5.1.0.1044	23 de março de 2005	23:13	467.456	x86	SP1QFE\WOW
Updspapi.dll	6.1.22.4	25 de fevereiro de 2005	03:50	639.712	IA-64

Para obter mais informações sobre o instalador Update.exe, visite o site Microsoft TechNet.

Para obter mais informações sobre a terminologia que aparece neste boletim, como hotfix, consulte o artigo 824684 do Microsoft Knowledge Base.

Verificando se a atualização foi aplicada

•

Microsoft Baseline Security Analyzer

Para verificar se uma atualização de segurança foi aplicada em um sistema afetado, é possível utilizar a ferramenta MBSA (Microsoft Baseline Security Analyzer). Essa ferramenta permite que os administradores examinem os sistemas locais e remotos para saber se faltam atualizações de segurança ou se existem problemas de configuração comuns. Para obter mais informações sobre o MBSA, visite o site Microsoft Baseline Security Analyzer (em inglês).

•

Verificação de versão de arquivo

Observação Como existem várias versões do Microsoft Windows, as etapas a seguir podem ser diferentes no seu computador. Se isso acontecer, consulte as etapas completas na documentação do produto.

1.	Clique em Iniciar e, em seguida, clique em Pesquisar.
2.	No painel Resultados da Pesquisa, clique em Todos os arquivos e pastas, em Complemento de Pesquisa.
3.	Na caixa Todo ou parte do nome do arquivo, digite um nome de arquivo da tabela de informações de arquivo correta e clique em Pesquisar.
4.	Na lista de arquivos, clique com o botão direito do mouse em um nome de arquivo da tabela de informações de arquivo correta e clique em Propriedades. Observação: dependendo da versão do sistema operacional ou dos programas instalados, alguns dos arquivos listados na tabela de informações de arquivos talvez não estejam instalados.
5.	Na guia Versão, determine a versão do arquivo instalado no computador, comparando-a com a versão documentada na tabela de informações de arquivos correta. Observação: os atributos com versão diferente da versão do arquivo podem ser alterados durante a instalação. A comparação de outros atributos de arquivo com as informações na tabela não é um método suportado para verificar se a atualização foi aplicada. Além disso, em alguns casos, arquivos podem ser renomeados durante a instalação. Se as informações sobre o arquivo ou a versão não estiverem presentes, use um dos outros métodos disponíveis para verificar a instalação da atualização.

•

Verificação da chave do Registro

Também é possível verificar os arquivos instalados por esta atualização de segurança analisando as seguintes chaves do Registro:

Para Windows XP Home Edition Service Pack 1, Windows XP Professional Service Pack 1, Windows XP Tablet PC Edition, Windows XP Media Center Edition:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP3\KB892944\Filelist

Observação Estas chaves do Registro podem não conter uma lista completa dos arquivos instalados. Além disso, essas chaves do Registro talvez não sejam criadas corretamente caso o administrador ou um OEM integre ou corrija a atualização de segurança 892944 nos arquivos originais de instalação do Windows.

Início da sessão

Windows 2000 (todas as versões)

Pré-requisitos
Para o Windows 2000, esta atualização de segurança requer Service Pack 3 (SP3) ou Service Pack 4 (SP4). Para o Small Business Server 2000, esta atualização de segurança requer que o Small Business Server 2000 Service Pack 1a ou o Small Business Server 2000 esteja em execução no Windows 2000 Server Service Pack 4.

Os softwares relacionados foram testados para determinar se suas versões são afetadas. Outras versões não incluem suporte para a atualização de segurança ou podem não ser afetadas. Para determinar o ciclo de vida do suporte para seu produto e sua versão, visite o site Ciclo de Vida do Suporte Microsoft.

Para obter mais informações sobre como obter o service pack mais recente, consulte o Artigo 260910 do Microsoft Knowledge Base.

Inclusão em service packs futuros:
A atualização para esse problema será incluída em um conjunto de atualizações futuro.

Informações de instalação

Esta atualização de segurança oferece suporte às seguintes opções de instalação:

Opções de instalação da atualização de segurança para as quais há suporte
Opção	Descrição
/help	Exibe as opções de linha de comando
Modos de Instalação
/passive	Modo de instalação autônomo. Não é necessária a interação do usuário, mas o status da instalação é exibido. Se a reinicialização for necessária no fim da instalação, uma caixa de diálogo será apresentada para o usuário com um timer avisando que o computador será reiniciado em 30 segundos.
/quiet	Modo silencioso. O mesmo que modo autônomo, mas nenhum status ou nenhuma mensagem de erro é exibida.
Opções de Reinicialização
/norestart	Não reinicia quando a instalação é concluída
/forcerestart	Reinicia o computador após a instalação e força o fechamento de outros aplicativos no desligamento sem antes salvar os arquivos abertos.
/warnrestart[:x]	Apresenta uma caixa de diálogo com um timer avisando ao usuário que o computador será reiniciado em x segundos. (O padrão é 30 segundos.) Destina-se ao uso com as opções /quiet ou /passive.
/promptrestart	Exibe uma caixa de diálogo solicitando que o usuário local permita a reinicialização
Opções Especiais
/overwriteoem	Sobrescreve arquivos OEM sem notificação
/nobackup	Não faz backup de arquivos necessários à desinstalação
/forceappsclose	Força o encerramento de outros programas quando o computador é desligado
/log:caminho	Permite o redirecionamento dos arquivos de log da instalação
/integrate:caminho	Integra a atualização nos arquivos-fonte do Windows. Esses arquivos se encontram no caminho especificado na opção.
/extract[:caminho]	Extrai os arquivos sem iniciar o programa de instalação
/ER	Habilita o relatório de erros estendido
/verbose	Habilita o registro extenso. Durante a instalação, cria o %Windir%\CabBuild.log. Esse registro detalha os arquivos que são copiados. Se você usar esta opção, a instalação será bem mais lenta.

Informações de implantação

Para instalar a atualização de segurança sem qualquer intervenção do usuário, utilize o comando a seguir em um prompt de comando para o Windows 2000 Service Pack 3 e Windows 2000 Service Pack 4:

Windows2000-kb892944-x86-enu /quiet

Para instalar a atualização de segurança sem forçar a reinicialização do sistema, use o comando a seguir no prompt de comando para Windows 2000 Service Pack 3 e Windows 2000 Service Pack 4:

Windows2000-kb892944-x86-enu /norestart

Para obter informações sobre como implantar esta atualização de segurança com os serviços de atualização de software, visite o site Serviços de Atualização de Software.

Requisito de reinicialização

Esta atualização requer reinicialização. Se você usar a opção /norestart, impedirá a reinicialização após a instalação da atualização. No entanto, o sistema permanecerá vulnerável a esse problema até ser reiniciado.

Informações sobre remoção

Para remover esta atualização de segurança, use a ferramenta Adicionar ou Remover Programas, no Painel de Controle.

Opções do Spuninst.exe com suporte
Opção	Descrição
/help	Exibe as opções de linha de comando
Modos de Instalação
/passive	Modo de instalação autônomo. Não é necessária a interação do usuário, mas o status da instalação é exibido. Se a reinicialização for necessária no fim da instalação, uma caixa de diálogo será apresentada para o usuário com um timer avisando que o computador será reiniciado em 30 segundos.
/quiet	Modo silencioso. O mesmo que modo autônomo, mas nenhum status ou nenhuma mensagem de erro é exibida.
Opções de Reinicialização
/norestart	Não reinicia quando a instalação é concluída
/forcerestart	Reinicia o computador após a instalação e força o fechamento de outros aplicativos no desligamento sem antes salvar os arquivos abertos.
/warnrestart[:x]	Apresenta uma caixa de diálogo com um timer avisando ao usuário que o computador será reiniciado em x segundos. (O padrão é 30 segundos.) Destina-se ao uso com as opções /quiet ou /passive.
/promptrestart	Exibe uma caixa de diálogo solicitando que o usuário local permita a reinicialização
Opções Especiais
/forceappsclose	Força o encerramento de outros programas quando o computador é desligado
/log:caminho	Permite o redirecionamento dos arquivos de log da instalação

Informações sobre o arquivo

Windows 2000 Service Pack 3, Windows 2000 Service Pack 4 e Small Business Server 2000:

Nome do arquivo	Versão	Data	Hora	Tamanho
Mq1repl.dll	5.0.0.792	21 de março de 2005	09:51	291.088
Mq1sync.exe	5.0.0.791	22 de dezembro de 2003	22:26	14.096
Mqac.sys	5.0.0.798	25 de outubro de 2004	03:40	77.680
Mqads.dll	5.0.0.791	21 de março de 2005	09:51	217.360
Mqclus.dll	5.0.0.779	21 de março de 2005	09:51	50.448
Mqdscli.dll	5.0.0.785	21 de março de 2005	09:51	76.560
Mqdssrv.dll	5.0.0.773	21 de março de 2005	09:51	42.256
Mqmig.exe	5.0.0.791	22 de dezembro de 2003	22:26	98.064
Mqmigrat.dll	5.0.0.791	21 de março de 2005	09:51	266.512
Mqoa.dll	5.0.0.793	21 de março de 2005	09:51	222.480
Mqperf.dll	5.0.0.784	21 de março de 2005	09:51	10.000
Mqqm.dll	5.0.0.798	21 de março de 2005	09:51	438.544
Mqrt.dll	5.0.0.799	21 de março de 2005	09:51	102.672
Mqsec.dll	5.0.0.776	21 de março de 2005	09:51	70.928
Mqsnap.dll	5.0.0.783	21 de março de 2005	09:51	400.656
Mqupgrd.dll	5.0.0.762	21 de março de 2005	09:51	23.824
Mqutil.dll	5.0.0.798	21 de março de 2005	09:51	110.864
Msmq.cpl	5.0.0.748	21 de março de 2005	09:51	64.784
Updspapi.dll	6.1.22.4	25 de fevereiro de 2005	17:43	371.936

Verificando se a atualização foi aplicada

•

Microsoft Baseline Security Analyzer

•

Verificação de versão de arquivo

1.	Clique em Iniciar e, em seguida, clique em Pesquisar.
2.	No painel Resultados da Pesquisa, clique em Todos os arquivos e pastas, em Complemento de Pesquisa.
3.	Na caixa Todo ou parte do nome do arquivo, digite um nome de arquivo da tabela de informações de arquivo correta e clique em Pesquisar.
4.	Na lista de arquivos, clique com o botão direito do mouse em um nome de arquivo da tabela de informações de arquivo correta e clique em Propriedades. Observação: dependendo da versão do sistema operacional ou dos programas instalados, alguns dos arquivos listados na tabela de informações de arquivos talvez não estejam instalados.
5.	Na guia Versão, determine a versão do arquivo instalado no computador, comparando-a com a versão documentada na tabela de informações de arquivos correta. Observação: os atributos com versão diferente da versão do arquivo podem ser alterados durante a instalação. A comparação de outros atributos de arquivo com as informações na tabela não é um método suportado para verificar se a atualização foi aplicada. Além disso, em alguns casos, arquivos podem ser renomeados durante a instalação. Se as informações sobre o arquivo ou a versão não estiverem presentes, use um dos outros métodos disponíveis para verificar a instalação da atualização.

•

Verificação da chave do Registro

Também é possível verificar os arquivos que esta atualização de segurança instalou analisando a seguinte chave do Registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP5\KB892944\Filelist

Observação Essa chave do Registro pode não conter uma lista completa de arquivos instalados. Além disso, essa chave do Registro talvez não seja criada corretamente quando um administrador ou um OEM integrar ou corrigir a atualização de segurança 892944 nos arquivos originais de instalação do Windows.

Início da sessão

Agradecimentos

A Microsoft agradece à pessoa citada abaixo por trabalhar conosco para ajudar a proteger os clientes:

•	Kostya Kortchinsky da CERT RENATER por reportar a vulnerabilidade de enfileiramento de mensagens (CAN-2005-0059).

Obtendo outras atualizações de segurança:

As atualizações para outros problemas de segurança estão disponíveis nos seguintes locais:

•	As atualizações de segurança estão disponíveis no Centro de Download da Microsoft. Você poderá encontrá-las com mais facilidade ao executar uma pesquisa com a palavra-chave "patch_de_segurança".
•	Atualizações para plataformas do cliente estão disponíveis no site Windows Update.

Suporte:

•	Os clientes nos EUA e Canadá podem receber suporte técnico no site de Atendimento Microsoft no telefone 1-866-PCSAFETY. As ligações para obter suporte associado a atualizações de segurança são gratuitas.
•	Os clientes de outros países podem obter suporte nas subsidiárias locais da Microsoft. O suporte associado a atualizações de segurança é gratuito. Para obter mais informações sobre como entrar em contato com a Microsoft a fim de obter suporte a problemas, visite o site de Suporte Internacional.

Recursos de segurança:

•	O site Microsoft TechNet Security fornece informações adicionais sobre segurança em produtos da Microsoft.
•	Microsoft Software Update Services
•	Microsoft Baseline Security Analyzer (MBSA)
•	Windows Update
•	Catálogo do Windows Update: para obter mais informações sobre o Catálogo do Windows Update, consulte o artigo 323166 (em inglês) do Microsoft Knowledge Base.
•	Office Update

Software Update Services:

Usando o Microsoft Software Update Services (SUS), os administradores podem implantar de maneira rápida e confiável as últimas atualizações críticas e de segurança em servidores executando o Windows 2000 e Windows Server 2003 e em sistemas desktop executando o Windows 2000 Professional ou Windows XP Professional.

Para obter mais informações sobre como implantar esta atualização de segurança usando os serviços de atualização de software, visite o site Software Update Services.

Systems Management Server:

O SMS (Microsoft Systems Management Server) fornece uma solução corporativa altamente configurável para gerenciar atualizações. Ao usar o SMS, os administradores podem identificar os sistemas baseados no Windows que precisam de atualizações de segurança, bem como executar uma implantação controlada dessas atualizações em toda a empresa com o mínimo de interrupção para os usuários finais. Para obter mais informações sobre como os administradores podem usar o SMS 2003 para implantar atualizações de segurança, visite o site Gerenciamento de Patches de Segurança do SMS 2003. Os usuários do SMS 2.0 também podem usar o Software Updates Service Feature Pack (site em inglês) para ajudar a implantar atualizações de segurança. Para mais informações sobre o SMS, visite o site do SMS.

Observação O SMS usa o Microsoft Baseline Security Analyze, a Microsoft Office Detection Tool e a Enterprise Update Scanning Tool para oferecer amplo suporte à detecção e à implantação da atualização do boletim de segurança. Algumas atualizações de software não podem ser detectadas por essas ferramentas. Os administradores podem usar os recursos de inventário do SMS nesses casos para as atualizações alvo de sistemas específicos. Para obter mais informações sobre esse procedimento, consulte o seguinte site. Algumas atualizações de segurança exigirão direitos administrativos quando o sistema for reiniciado. Os administradores podem usar a Elevated Rights Deployment Tool (disponível no SMS 2003 Administration Feature Pack e no SMS 2.0 Administration Feature Pack) (sites em inglês) para instalar essas atualizações.

Aviso de isenção de responsabilidade:

As informações fornecidas no Microsoft Knowledge Base são apresentadas "no estado em que se encontram", sem garantia de qualquer tipo. A Microsoft se isenta de todas as garantias, expressas ou implícitas, incluindo as garantias de comercialização e adequação a um propósito específico. Em hipótese alguma a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, inclusive danos diretos, indiretos, incidentais, conseqüenciais, danos por lucros cessantes ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido alertados da possibilidade dos referidos danos. Como alguns estados não permitem a exclusão ou limitação de responsabilidade por danos conseqüenciais ou indiretos, a limitação acima pode não ser aplicável a você.

Revisões:

•	V1.0 (12 de abril de 2005): boletim publicado

Início da página