Boletim de Segurança da Microsoft MS05-019

Vulnerabilidades no TCP/IP podem permitir Execução Remota de Códigos e Negação de Serviço (893066)

Publicado em: 12 de abril de 2005
Atualizado em: 14 de junho de 2005
Versão: 2.0

Resumo

Quem deve ler este documento: clientes que usam o Microsoft Windows

Impacto da vulnerabilidade: Execução Remota de Códigos

Classificação máxima de gravidade: Crítica

Recomendação: Os clientes devem aplicar a atualização imediatamente.

Substituição da atualização de segurança: nenhum

Advertências: O artigo 833987 do Microsoft Knowledge Base documenta os problemas recentemente detectados que os clientes podem enfrentar ao instalar esta atualização de segurança. O artigo também documenta as soluções recomendadas para esses problemas. Para obter mais informações, consulte o artigo 893066 do Microsoft Knowledge Base.

Locais de software testado e de download de atualização de segurança:

Software afetado:

•	Microsoft Windows 2000 Service Pack 3 e Microsoft Windows 2000 Service Pack 4 – Fazer o download da atualização
•	Microsoft Windows XP Service Pack 1 e Microsoft Windows XP Service Pack 2 – Fazer o download da atualização
•	Microsoft Windows XP 64-Bit Edition Service Pack 1 (Itanium) – Fazer o download da atualização
•	Microsoft Windows XP 64-Bit Edition Versão 2003 (Itanium) – Fazer o download da atualização
•	Microsoft Windows Server 2003 – Fazer o download da atualização
•	Sistemas baseados em Microsoft Windows Server 2003 for Itanium – Fazer o download da atualização
•	Microsoft Windows 98, Microsoft Windows 98 SE (Second Edition), Microsoft Windows ME (Millennium Edition) – Consulte as Perguntas freqüentes para obter detalhes sobre esses sistemas operacionais.

Softwares não afetados:

•	Microsoft Windows Server 2003 Service Pack 1
•	Microsoft Windows Server 2003 com SP1 para sistemas baseados no Itanium
•	Microsoft Windows Server 2003 x64 Edition
•	Microsoft Windows XP Professional x64 Edition

Os softwares dessa lista foram testados para determinar se as versões são afetadas. Outras versões não incluem suporte para a atualização de segurança ou podem não ser afetadas. Para determinar o ciclo de vida do suporte para seu produto e sua versão, visite o site Ciclo de Vida do Suporte Microsoft.

Início da sessão

Informações Gerais

Sinopse

Sinopse:

Esta atualização elimina várias vulnerabilidades públicas descobertas recentemente e reportadas em particular. Cada vulnerabilidade está documentada neste boletim em sua própria seção “Detalhes da vulnerabilidade”.

Um invasor que explorar com êxito a mais grave dessas vulnerabilidades poderá obter o controle total de um sistema afetado. O invasor poderá instalar programas; exibir, alterar ou excluir dados; ou criar novas contas com direitos totais de usuário. No entanto, o invasor que explorar com êxito a mais grave dessas vulnerabilidades poderá fazer com que o sistema afetado pare de responder.

Recomendamos que os clientes apliquem a atualização imediatamente.

Classificações de gravidade e identificadores de vulnerabilidade:

Identificadores de Vulnerabilidade	Impacto da Vulnerabilidade	Windows 98, 98 SE, ME	Windows 2000 (site em inglês)	Windows XP Service Pack 1	Windows XP Service Pack 2	Windows Server 2003 (site em inglês)
Vulnerabilidade de validação de IP - CAN-2005-0048:	Execução Remota de Códigos	Não Crítica	Crítica	Crítica	Nenhum	Nenhum
Vulnerabilidade de reinicialização da conexão ICMP - CAN-2004-0790	Negação de Serviço	Não Crítica	Moderada	Moderada	Moderada	Moderada
Vulnerabilidade de ICMP Path MTU - CAN-2004-1060	Negação de Serviço	Não Crítica	Moderada	Moderada	Moderada	Moderada
Vulnerabilidade de reinicialização da conexão TCP - CAN-2004-0230:	Negação de Serviço	Não Crítica	Baixa	Baixa	Nenhum	Baixa
Vulnerabilidade de solicitação de conexão falsificada - CAN-2005-0688	Negação de Serviço	Nenhum	Nenhum	Nenhum	Baixa	Baixa
Gravidade agregada de todas as vulnerabilidades		Não crítica	Crítica	Crítica	Moderada	Moderada

Essa avaliação baseia-se nos tipos de sistemas afetados pela vulnerabilidade, seus padrões comuns de implantação e o efeito da exploração da vulnerabilidade sobre eles.

Observação As classificações de gravidade para versões de sistema operacional não x86 mapeiam para as versões de sistemas operacionais x86 da seguinte forma:

•	A classificação de gravidade do Microsoft Windows XP 64-Bit Edition Service Pack 1 (Itanium) é a mesma do Windows XP Service Pack 1.
•	A classificação de gravidade do Microsoft Windows XP 64-Bit Edition Versão 2003 (Itanium) é a mesma do Windows XP Service Pack 1.
•	A classificação de gravidade do Microsoft Windows Server 2003 para sistemas baseados no Itanium é a mesma do Windows Server 2003.

Início da sessão

Perguntas freqüentes relacionadas a esta atualização de segurança

Por que a Microsoft atualizou este boletim em 14 de junho de 2005?
A Microsoft atualizou este boletim hoje para informar os clientes sobre a disponibilidade de uma versão revisada da atualização de segurança. A atualização de segurança original eliminou com êxito as vulnerabilidades descritas neste boletim de segurança. Entretanto, existe um problema de conectividade de rede conhecido que afeta um tipo particular de configuração de rede quando a atualização de segurança original é usada. Para obter mais informações sobre esse problema, consulte o Artigo 989060 do Microsoft Knowledge Base.

Estamos distribuindo amplamente essa nova versão aos clientes para ajudar a diminuir a probabilidade de eles encontrarem esse problema de conectividade de rede no futuro. Recomendamos a instalação dessa atualização de segurança revisada mesmo se você tiver instalado a versão anterior. A atualização de segurança revisada estará disponível no Windows Update, SUS (Software Update Services) e será recomendada pelo MBSA (Microsoft Baseline Security Analyzer). Os clientes que instalaram o hotfix disponibilizado para eliminar esse problema de conectividade de rede também devem instalar a atualização de segurança revisada.

Por que esta atualização elimina várias vulnerabilidades de segurança reportadas?
Esta atualização contém suporte para diversas vulnerabilidades porque as modificações necessárias para corrigir esses problemas foram feitas em arquivos relacionados. Em vez de instalar várias atualizações quase iguais, os clientes poderão instalar apenas esta atualização.

Esta atualização contém alterações relacionadas à segurança da funcionalidade?
Sim. Além das mudanças listadas em cada seção "Detalhes da vulnerabilidade" deste boletim, esta atualização inclui outras alterações de segurança baseadas no resultado de uma revisão de segurança dos componentes afetados. O valor TCPWindowSize do Registro padrão foi alterado em alguns sistemas operacionais. Um novo valor MaxIcmpHostRoutes para o Registro também foi apresentado a fim de controlar o comportamento relacionado ao ICMP Path MTU. Os administradores devem examinar os artigos 890345 e 896350 do Microsoft Knowledge Base para obterem mais informações sobre essas alterações no Registro antes de instalarem esta atualização de segurança.

Como o suporte estendido para Windows 98, Windows 98 Second Edition e Windows Millennium Edition afeta o lançamento das atualizações de segurança para estes sistemas operacionais?
A Microsoft lançará atualizações de segurança somente para problemas de segurança críticos. Os problemas de segurança não críticos não serão abordados neste período de suporte. Para obter mais informações sobre as diretivas do ciclo de vida do suporte Microsoft para esses sistemas operacionais, visite este site.

Para obter mais informações sobre as classificações de gravidade, visite este site.

O Windows 98, o Windows 98 Second Edition ou o Windows Millennium Edition são afetados drasticamente por uma ou mais vulnerabilidades apresentadas neste boletim de segurança?
Não. No que diz respeito à gravidade, nenhuma dessas vulnerabilidades é crítica no Windows 98, no Windows 98 Second Edition, nem no Windows Millennium Edition. Para obter mais informações sobre as classificações de gravidade, visite este site.

Ainda uso o Windows XP, mas o suporte estendido para atualização de segurança foi encerrado em 30 de setembro de 2004. O que devo fazer?

O ciclo de vida do suporte ampliado da atualização de segurança da versão original do Windows XP, geralmente citada como Windows XP Gold ou Windows XP Release to Manufacturing (RTM), terminou em 30 de setembro de 2004.

Os clientes que possuem essa versão de sistema operacional devem ter como prioridade migrar para uma versão com suporte a fim de evitar uma possível exposição a vulnerabilidades. Para obter mais informações sobre o ciclo de vida do produto Windows Service Pack, visite o site Microsoft Support Lifecycle na Web (em inglês). Para obter mais informações sobre o ciclo de vida do produto Windows, visite o site Microsoft Support Lifecycle (em inglês).

Para obter mais informações, consulte a seção Perguntas Freqüentes sobre o ciclo de vida do suporte ao produto sistema operacional Windows.

O suporte estendido para atualização de segurança do Microsoft Windows NT 4.0 Workstation Service Pack 6a e Windows 2000 Service Pack 2 foi encerrado em 30 de junho de 2004. O suporte estendido para atualização de segurança do Microsoft Windows NT 4.0 Server Service Pack 6a foi encerrado em 31 de dezembro de 2004. Ainda estou usando um desses sistemas operacionais. O que devo fazer?

O ciclo de vida do Windows NT 4.0 Workstation Service Pack 6a, do Windows NT 4.0 Server Service Pack 6a e do Windows 2000 Service Pack 2 chegou ao fim. Os clientes que possuem essas versões de sistema operacional devem priorizar a migração para as versões com suporte, a fim de evitar uma possível exposição a vulnerabilidades. Para obter mais informações sobre o ciclo de vida do produto Windows, visite o site Microsoft Support Lifecycle (em inglês). Para obter mais informações sobre o período de suporte ampliado para atualização de segurança dessas versões de sistema operacional, visite o site Serviços de Suporte aos Produtos Microsoft.

Os clientes que precisarem de suporte adicional para o Windows NT 4.0 SP6a deverão entrar em contato com o representante da equipe da conta da Microsoft, com o gerente técnico da conta ou com o representante do parceiro Microsoft apropriado para obter opções de suporte personalizadas. Os clientes em um contrato Alliance, Premier ou Authorized podem entrar em contato com o escritório de vendas local da Microsoft. Para obter informações de contato, visite o site de Informações internacionais da Microsoft, selecione o país e clique em Ir para ver uma lista de telefones. Ao ligar, peça para falar com o gerente de vendas local de Suporte Premier.

Para obter mais informações, consulte a seção Perguntas Freqüentes sobre o ciclo de vida do suporte ao produto sistema operacional Windows.

Posso usar o MBSA (Microsoft Baseline Security Analyzer) para determinar se esta atualização é necessária?
Sim. O MBSA determinará se a atualização é necessária. Para obter mais informações sobre o MBSA, visite o site do MBSA.

Posso usar o SMS (Systems Management Server) para determinar se esta atualização é necessária?
Sim. O SMS pode ajudar a detectar e implantar a atualização de segurança. Para mais informações sobre o SMS, visite o site do SMS. A ferramenta Inventário da Atualização de Segurança é necessária para a detecção do Microsoft Windows e de outros produtos Microsoft afetados. Para obter mais informações sobre as limitações da ferramenta Security Update Inventory, consulte o Artigo 306460 do Microsoft Knowledge Base

Início da sessão

Detalhes da Vulnerabilidade

Vulnerabilidade de validação de IP - CAN-2005-0048:

Existe uma vulnerabilidade de execução remota de código que pode permitir que um invasor envie uma mensagem IP específica a um sistema afetado. O invasor que explorar essa vulnerabilidade com êxito poderá fazer com que o sistema afetado execute remotamente o código. Entretanto, é mais provável que as tentativas de explorar essa vulnerabilidade resultem em uma negação de serviço.

Fatores atenuantes da vulnerabilidade de validação de IP - CAN-2005-0048:

•	Este ataque requer que os roteadores encaminhem pacotes de rede IP malformados. A maioria dos roteadores não encaminha esses tipos de pacotes de rede IP malformados.
•	As práticas recomendadas para firewall e as configurações de firewall padrão podem ajudar a proteger as redes contra ataques com origem externa ao perímetro da empresa. Essas práticas também recomendam que os sistemas conectados à Internet tenham um número mínimo de portas expostas. Os sistemas afetados que permitem qualquer conexão IP com a Internet podem ser vulneráveis a esse problema.
•	Se for habilitado, o Firewall de Conexão com a Internet atenua essa vulnerabilidade no Windows XP Service Pack 1. O Windows XP Service Pack 2 e o Windows Server 2003 não eram vulneráveis a esse problema.

Início da sessão

Soluções alternativas para a vulnerabilidade de validação de IP - CAN-2005-0048:

•

O ISA Server 2000 e o ISA Server 2004 podem ser usados para bloquear os tipos afetados de tráfego. Releia a Preventative Measures Documentation do ISA Server para obter mais informações sobre como usá-lo para atenuar essa vulnerabilidade.

•

Use um firewall pessoal como o Firewall de Conexão com a Internet, incluído no Windows XP e no Windows Server 1..

Por padrão, o recurso Firewall de Conexão com a Internet do Windows XP ajuda a proteger a sua conexão com a Internet bloqueando tráfegos de entrada não solicitados. É recomendável que você bloqueie toda a comunicação de entrada não solicitada da Internet.

Para habilitar o recurso Firewall de Conexão com a Internet, usando o Assistente para Configuração de Rede, siga estas etapas:

1.	Clique em Iniciar e em Painel de controle.
2.	No modo Exibição por Categoria padrão, clique em Conexões de Rede e de Internet e, em seguida, clique em Configurar ou alterar a rede doméstica ou de pequena empresa. O recurso Firewall de Conexão com a Internet é habilitado quando você escolhe uma configuração no Assistente para Configuração de Rede que indica se seu sistema está conectado diretamente à Internet.

Para configurar o Firewall de Conexão com a Internet manualmente para uma conexão, siga estas etapas:

1.	Clique em Iniciar e em Painel de controle.
2.	No modo Exibição por Categoria padrão, clique em Conexões de Rede e de Internet e, em seguida, clique em Conexões de Rede.
3.	Clique com o botão direito do mouse na conexão desejada para habilitar o Firewall de Conexão com a Internet e clique em Propriedades.
4.	Clique na guia Avançado.
5.	Marque a caixa de seleção Proteger o computador e a rede limitando ou impedindo o acesso a este computador através da Internet e, em seguida, clique em OK.

Observação: se desejar habilitar determinados programas e serviços para que eles se comuniquem através do firewall, clique em Configurações na guia Avançado e selecione os programas, os protocolos e os serviços necessários.

Início da sessão

Perguntas freqüentes sobre a vulnerabilidade de validação de IP - CAN-2005-0048:

Qual é o escopo da vulnerabilidade?

Essa é uma vulnerabilidade de execução remota de códigos. O invasor que explorar com êxito essa vulnerabilidade poderá assumir o controle total de um sistema afetado. Entretanto, é mais provável que as tentativas de explorar essa vulnerabilidade resultem em uma negação de serviço. O invasor que explorar essa vulnerabilidade poderá fazer com que o sistema afetado pare de responder e reinicie automaticamente. Durante esse período, os sistemas afetados não poderão responder a solicitações.

O que provoca a vulnerabilidade?
Os sistemas operacionais afetados executam uma validação incompleta de pacotes de rede IP.

O que é IP?
O Protocolo Internet (IP) é parte do conjunto de protocolos TCP/IP. TCP/IP é um conjunto de protocolos de rede amplamente utilizados na Internet. O TCP/IP permite a comunicação entre redes interconectadas de computadores que possuem arquiteturas de hardware diferentes e executam sistemas operacionais distintos. O TCP/IP inclui padrões para a forma como os computadores se comunicam e convenções para a conexão de redes e roteamento de tráfego. Para obter mais informações sobre TCP/IP, visite o seguinte site da Microsoft.

Para que um invasor pode usar a vulnerabilidade?
Um invasor que explorar com êxito essa vulnerabilidade poderá assumir o controle total do sistema afetado. Entretanto, é provável que o invasor que explorar essa vulnerabilidade possa fazer o sistema afetado parar de responder e reiniciar automaticamente.

Quem pode explorar a vulnerabilidade?
Qualquer usuário anônimo que enviar uma mensagem especialmente elaborada ao sistema afetado poderá tentar explorar essa vulnerabilidade.

Quais são os principais sistemas que correm riscos com a vulnerabilidade?
Essa vulnerabilidade põe em risco principalmente o Windows 2000 e o Windows XP Service Pack 1. O Windows XP Service Pack 2 e o Windows Server 2003 oferecem validação adicional que resolve essa vulnerabilidade.

A vulnerabilidade pode ser explorada pela Internet?
Sim. Um invasor pode tentar explorar essa vulnerabilidade através da Internet. No entanto, esse ataque requer que os roteadores encaminhem pacotes de rede IP malformados. A maioria dos roteadores não encaminha esses tipos de pacotes de rede IP malformados.

O que a atualização faz?
A atualização remove a vulnerabilidade, modificando a forma como os sistemas operacionais afetados validam solicitações IP.

Quando este boletim de segurança foi publicado, essa vulnerabilidade já havia sido divulgada publicamente?
Não. A Microsoft recebeu informações sobre essa vulnerabilidade por meio de divulgação responsável. A Microsoft não recebeu nenhuma informação indicando que essa vulnerabilidade tenha sido divulgada publicamente quando este boletim de segurança foi lançado pela primeira vez.

Quando este boletim de segurança foi publicado, a Microsoft havia recebido algum relatório informando que essa vulnerabilidade estava sendo explorada?
Não. A Microsoft não recebeu nenhuma informação indicando que essa vulnerabilidade tenha sido usada publicamente para atacar clientes e não testemunhou nenhum exemplo de publicação de código de verificação de conceito quando este boletim de segurança foi lançado pela primeira vez.

Início da sessão

Vulnerabilidade de reinicialização da conexão ICMP - CAN-2004-0790:

Fatores atenuantes da vulnerabilidade de reinicialização da conexão ICMP - CAN-2004-0790:

•	As práticas recomendadas de firewall ou as configurações de roteador que bloqueiam todo o tráfego ICMP podem proteger as redes contra ataques vindos de fora do perímetro da empresa. Essas práticas também recomendam que os sistemas conectados à Internet tenham um número mínimo de portas expostas.
•	O invasor que tentar explorar essa vulnerabilidade deve primeiro prever ou obter o endereço IP e as informações sobre portas de origem e destino de uma conexão de rede TCP existente.
•	Esse ataque deveria ser realizado em cada conexão TCP destinada à reinicialização. Vários aplicativos irão restaurar automaticamente as conexões que foram redefinidas.

Início da sessão

Soluções alternativas para a vulnerabilidade de reinicialização da conexão ICMP - CAN-2004-0790:

A Microsoft testou as seguintes soluções alternativas. Apesar de essas soluções alternativas não corrigirem a vulnerabilidade subjacente, elas ajudam a bloquear vetores de ataque conhecidos. Quando uma solução alternativa reduz a funcionalidade, ela é indicada na seção a seguir.

•

Bloquear todos os pacotes de rede ICMP no firewall ou no roteador:

Os pacotes de rede ICMP são usados para iniciar uma conexão com os componentes afetados. Bloqueá-los no firewall ou no roteador ajudará a proteger os sistemas sob o firewall ou sob o roteador contra tentativas de exploração dessa vulnerabilidade. É recomendável que você bloqueie toda a comunicação de entrada não solicitada da Internet. O ISA Server 2000 e o ISA Server 2004 podem ser usados para bloquear os tipos afetados de tráfego.

Impacto da solução alternativa: Essa solução alternativa também pode causar um impacto negativo no desempenho impedindo que o TCP otimize a comunicação de rede. Os pacotes de rede ICMP podem eliminar a fragmentação em roteadores que conectam redes com MTUs diferentes. A fragmentação reduz a taxa de transferência de TCP e aumenta o congestionamento na rede.

•

Bloquear o tráfego ICMP usando IPSec nos sistemas afetados.

Use o Internet Protocol Security (IPSec, segurança de protocolo da Internet) para ajudar a proteger as comunicações de rede. Informações detalhadas sobre o IPSec e a aplicação de filtros estão disponíveis nos artigos 313190 e 813878 do Microsoft Knowledge Base.

Início da sessão

Perguntas freqüentes sobre a vulnerabilidade de reinicialização da conexão ICMP - CAN-2004-0790:

Qual é o escopo da vulnerabilidade?

Existe uma vulnerabilidade de negação de serviço que pode permitir que um invasor envie uma mensagem ICMP especialmente criada para um sistema afetado. O invasor que explorar essa vulnerabilidade com êxito poderá fazer o sistema afetado reiniciar conexões TCP existentes. Essas conexões precisariam ser restabelecidas para que a comunicação normal pudesse continuar. Observe que a vulnerabilidade de negação de serviço não permite que o invasor execute códigos ou aumente seus direitos de usuário.

O que provoca a vulnerabilidade?
As mensagens afetadas não estão sendo ignoradas em determinados casos que permitem que um invasor envie um pacote malformado. Esse pacote pode causar a redefinição de uma conexão existente.

O que é TCP/IP?
TCP/IP é um conjunto de protocolos de rede amplamente utilizados na Internet. O TCP/IP permite a comunicação entre redes interconectadas de computadores que possuem arquiteturas de hardware diferentes e executam sistemas operacionais distintos. O TCP/IP inclui padrões para a forma como os computadores se comunicam e convenções para a conexão de redes e roteamento de tráfego. Para obter mais informações sobre TCP/IP, visite o seguinte site da Microsoft.

O que é ICMP?
O ICMP (Internet Control Message Protocol) é um padrão TCP/IP necessário definido no RFC 792, "Internet Control Message Protocol (ICMP)" (site em inglês). Hosts e roteadores que usam comunicação IP podem reportar erros e trocar informações limitadas sobre controle e status usando o ICMP.

As mensagens do ICMP normalmente são enviadas automaticamente em uma das seguintes situações:

•	Um datagrama IP não consegue chegar ao seu destino.
•	Um roteador IP (gateway) não consegue encaminhar datagramas à taxa de transmissão atual.
•	Um roteador IP redireciona o host de envio a uma rota melhor para o destino.

Você pode usar o comando ping para enviar mensagens de solicitação de eco ICMP e registrar o recebimento de mensagens de resposta de eco ICMP. Usando essas mensagens, você pode detectar falhas de comunicação de rede ou host e solucionar problemas comuns de conectividade TCP/IP. Para obter mais informações sobre ICMP, visite o seguinte site da Microsoft.

Para que um invasor pode usar a vulnerabilidade?
O invasor que explorar essa vulnerabilidade com êxito poderá fazer o sistema afetado reiniciar conexões TCP existentes.

Quem pode explorar a vulnerabilidade?
Qualquer usuário anônimo que enviar uma mensagem especialmente elaborada ao sistema afetado poderá tentar explorar essa vulnerabilidade.

A vulnerabilidade pode ser explorada pela Internet?
Sim. Um invasor pode tentar explorar essa vulnerabilidade através da Internet. Por padrão, o Microsoft Internet Connection Firewall (ICF) permite esses tipos de pacotes de rede mal-intencionados e não pode ser usado para filtrá-los.

O que a atualização faz?
A atualização remove a vulnerabilidade, modificando a forma como os sistemas operacionais afetados validam solicitações de ICMP.

Quando este boletim de segurança foi publicado, essa vulnerabilidade já havia sido divulgada publicamente?
Sim. Essa vulnerabilidade foi divulgada publicamente. Ela recebeu o número CAN-2004-0790 de Vulnerabilidade e Exposição Comum. Existe uma variante desse problema que recebeu o número CAN-2004-0791de Vulnerabilidade e Exposição Comum. A atualização de segurança da Microsoft de número CAN-2004-0790 também corrige o CAN-2004-0791.

Início da sessão

Vulnerabilidade de ICMP Path MTU - CAN-2004-1060:

Fatores atenuantes da vulnerabilidade de ICMP Path MTU - CAN-2004-1060:

•	As práticas recomendadas de firewall ou as configurações de roteador que bloqueiam todo o tráfego ICMP podem proteger as redes contra ataques vindos de fora do perímetro da empresa. Essas práticas também recomendam que os sistemas conectados à Internet tenham um número mínimo de portas expostas.
•	O invasor que tentar explorar essa vulnerabilidade deve primeiro prever ou saber informações do endereço IP de origem e destino de uma conexão de rede TCP existente.

Início da sessão

Soluções alternativas para a vulnerabilidade de ICMP Path MTU - CAN-2004-1060:

•

Desabilitar a Descoberta Path MTU.
Se você desabilitar a Descoberta Path MTU, impedirá um ataque a partir da especificação de um valor de MTU baixo, que pode degradar o desempenho da rede ao seguir estas etapas:

Observação O uso incorreto do Editor do Registro pode causar problemas sérios e exigir a reinstalação do sistema operacional. A Microsoft não oferece garantias de que os problemas resultantes do uso incorreto do Editor do Registro podem ser solucionados. Você é o único responsável pelo uso do Editor do Registro. Para obter informações sobre como editar o Registro, consulte o tópico da Ajuda "Alterar chaves e valores" do Editor do Registro (Regedit.exe) ou exiba os tópicos da Ajuda "Adicionar e excluir informações no Registro" e "Editar informações do Registro" no Regedt32.exe.

Observação É recomendável fazer backup do Registro antes de editá-lo.

1.	Clique em Iniciar, clique em Executar, digite "rregedt32" (sem as aspas) e clique em OK.
2.	No Editor do Registro, localize esta chave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
3.	Adicione o valor DWORD: EnablePMTUDiscovery. Defina o valor como 0. Esse valor desabilita a Descoberta Path MTU. Por padrão, essa chave não existe.
4.	Você deve reiniciar o sistema para que esta alteração tenha efeito.

Impacto da solução alternativa: Essas alterações ajudarão a impedir ataques restringindo a capacidade de um invasor reduzir o valor Path MTU. Essa configuração também pode ter um desempenho de impacto negativo impedindo que o TCP otimize a comunicação de rede. A otimização pode eliminar a fragmentação nos roteadores que conectam redes com MTUs diferentes. A fragmentação reduz a taxa de transferência de TCP e aumenta o congestionamento na rede. Para obter mais informações sobre EnablePMTUDiscovery, consulte o seguinte site.

•

Bloquear todos os pacotes de rede ICMP no firewall ou no roteador:

•

Bloquear o tráfego ICMP usando IPSec nos sistemas afetados.

Início da sessão

Perguntas freqüentes sobre a vulnerabilidade de ICMP Path MTU - CAN-2004-1060:

Qual é o escopo da vulnerabilidade?

Existe uma vulnerabilidade de negação de serviço que pode permitir que um invasor envie uma mensagem do protocolo ICMP (Internet Control Message Protocol) específica para um sistema afetado, que pode degradar o desempenho da rede e impedir que o sistema afetado responda a solicitações. Observe que a vulnerabilidade de negação de serviço não permite que o invasor execute códigos ou aumente seus direitos de usuário.

O que provoca a vulnerabilidade?
O processo de Descoberta ICMP Path MTU permite que um invasor especifique um valor Path MTU que pode degradar o desempenho da rede.

•	Um datagrama IP não consegue chegar ao seu destino.
•	Um roteador IP (gateway) não consegue encaminhar datagramas à taxa de transmissão atual.
•	Um roteador IP redireciona o host de envio a uma rota melhor para o destino.

O que é Descoberta Path MTU?
Descoberta de unidade máxima de transmissão do caminho (PMTU) é o processo de descoberta do tamanho máximo do pacote que pode ser enviado pela rede entre dois hosts sem fragmentação (isto é, sem a quebra do pacote em vários quadros durante a transmissão). Ela está descrita no RFC 1191. Para obter mais informações, consulte RFC 1191. Para obter informações adicionais, consulte o site do MSDN (em inglês).

O que há de errado com o processo de Descoberta Path MTU?
A descoberta de unidade máxima de transmissão do caminho (PMTU) permite que um invasor especifique um valor que pode degradar o desempenho da rede para outras conexões. Nas redes desprotegidas, permitindo que a descoberta PMTU se responsabilize pelo risco de um invasor forçar a MTU para um valor muito baixo e trabalhar em excesso na pilha de TCP/IP do sistema local. Normalmente, este comportamento seria restrito para a única conexão que o invasor poderia estabelecer. No entanto, esta vulnerabilidade permite que o invasor modifique o valor MTU em outras conexões, além da sua própria conexão para o sistema afetado.

Para que um invasor pode usar a vulnerabilidade?
O invasor que explorar essa vulnerabilidade pode fazer o sistema afetado degradar o desempenho da rede.

Quem pode explorar a vulnerabilidade?
Qualquer usuário anônimo que enviar uma mensagem especialmente elaborada ao sistema afetado poderá tentar explorar essa vulnerabilidade.

O que a atualização faz?
A atualização remove a vulnerabilidade restringindo o valor mínimo de MTU para 576 bytes. Esta atualização também modifica a maneira como os sistemas operacionais afetados validam as solicitações ICMP.

Início da sessão

Vulnerabilidade de reinicialização da conexão TCP - CAN-2004-0230:

Fatores atenuantes da vulnerabilidade de reinicialização da conexão TCP - CAN-2004-0230:

•	O invasor que tentar explorar essa vulnerabilidade deve primeiro prever ou obter o endereço IP e as informações sobre portas de origem e destino de uma conexão de rede TCP existente. O invasor também teria que prever ou obter certos detalhes difíceis sobre o pacote de rede TCP. Os protocolos ou programas que mantêm longas sessões e possuem informações de TCP/IP previsíveis, como o BGP, correm maior risco com esse problema.
•	As práticas recomendadas para firewall e as configurações de firewall padrão podem ajudar a proteger as redes contra ataques com origem externa ao perímetro da empresa. Essas práticas também recomendam que os sistemas conectados à Internet tenham um número mínimo de portas expostas. Os sistemas afetados que permitem qualquer conexão TCP com a Internet podem ser vulneráveis a esse problema.
•	Esse ataque deveria ser realizado em cada conexão TCP destinada à reinicialização. Vários aplicativos irão restaurar automaticamente as conexões que foram redefinidas.

Início da sessão

Soluções alternativas para a vulnerabilidade de reinicialização da conexão TCP - CAN-2004-0230:

Não identificamos nenhuma solução alternativa para essa vulnerabilidade.

Início da sessão

Perguntas freqüentes sobre a vulnerabilidade de reinicialização da conexão TCP - CAN-2004-0230:

Qual é o escopo da vulnerabilidade?

Existe uma vulnerabilidade de negação de serviço que pode permitir que um invasor envie uma mensagem TCP especialmente criada para um sistema afetado. O invasor que explorar essa vulnerabilidade com êxito poderá fazer o sistema afetado reiniciar conexões TCP existentes. Essas conexões precisariam ser restabelecidas para que a comunicação normal pudesse continuar. Observe que a vulnerabilidade de negação de serviço não permite que o invasor execute códigos ou aumente seus direitos de usuário.

O que provoca a vulnerabilidade?
As mensagens afetadas não estão sendo ignoradas em determinados casos que permitem que um invasor envie um pacote TCP malformado. Esse pacote pode causar a redefinição de uma conexão existente.

Para que um invasor pode usar a vulnerabilidade?
O invasor que explorar essa vulnerabilidade com êxito poderá fazer o sistema afetado reiniciar conexões TCP existentes.

Quem pode explorar a vulnerabilidade?
Qualquer usuário anônimo que enviar uma mensagem especialmente elaborada ao sistema afetado, e obter ou prever os detalhes de TCP necessários, poderá tentar explorar essa vulnerabilidade.

De que forma o invasor pode explorar a vulnerabilidade?
Um invasor pode tentar explorar a vulnerabilidade criando uma mensagem específica e enviando-a ao sistema afetado. A mensagem poderia fazer o sistema afetado redefinir as conexões TCP.

Para um invasor tentar explorar essa vulnerabilidade, primeiramente ele deve prever ou saber o endereço IP e as informações de porta da origem e do destino de uma conexão de rede TCP existente. O invasor também teria que prever ou obter certos detalhes difíceis sobre o pacote de rede TCP.

Quais são os principais sistemas que correm riscos com a vulnerabilidade?
Todos os sistemas operacionais afetados correm risco por conta dessa vulnerabilidade. No entanto, os servidores correm mais risco com essa vulnerabilidade porque mantêm conexões com clientes que podem ser vulneráveis à reinicialização de conexão. Os protocolos ou programas que mantêm longas sessões e possuem informações de TCP/IP previsíveis, como o BGP, correm maior risco com esse problema.

A vulnerabilidade pode ser explorada pela Internet?
Sim. Um invasor pode tentar explorar essa vulnerabilidade através da Internet.

O que a atualização faz?
A atualização remove a vulnerabilidade, modificando a forma como os sistemas operacionais afetados validam solicitações de TCP.

Quando este boletim de segurança foi publicado, a Microsoft havia recebido algum relatório informando que essa vulnerabilidade estava sendo explorada?
Não. A Microsoft viu exemplos de código de verificação de conceito divulgados publicamente, mas não recebeu nenhuma informação indicando que essa vulnerabilidade tenha sido usada publicamente para atacar clientes quando este boletim de segurança foi originalmente lançado.

A aplicação dessa atualização de segurança ajuda a proteger os clientes contra código divulgado publicamente que tente explorar essa vulnerabilidade?
Sim. Esta atualização de segurança corrige o código de verificação de conceito que foi divulgado publicamente. A vulnerabilidade tratada recebeu o número CAN-2004-0230 de Vulnerabilidade e Exposição Comum.

Início da sessão

Vulnerabilidade de solicitação de conexão falsificada - CAN-2005-0688:

Existe uma vulnerabilidade de negação de serviço que pode permitir que um invasor envie uma mensagem TCP/IP especialmente criada para um sistema afetado. O invasor que explorar essa vulnerabilidade com êxito poderá fazer o sistema afetado parar de responder.

Fatores atenuantes da vulnerabilidade de solicitação de conexão falsificada - CAN-2005-0688:

•	O sistema afetado pode funcionar normalmente depois que os pacotes mal-intencionados concluírem o processo.
•	Este ataque requer que os roteadores encaminhem pacotes de rede TCP/IP malformados. A maioria dos roteadores não encaminha esses tipos de pacotes de rede TCP/IP malformados.
•	As práticas recomendadas para firewall e as configurações de firewall padrão podem ajudar a proteger as redes contra ataques com origem externa ao perímetro da empresa. Essas práticas também recomendam que os sistemas conectados à Internet tenham um número mínimo de portas expostas. Os sistemas afetados que permitem qualquer conexão IP com a Internet podem ser vulneráveis a esse problema.
•	Os sistemas Windows Server 2003 que habilitaram o valor SynAttackProtect do Registro não são vulneráveis a esse problema. Para obter informações sobre como habilitar esse valor do Registro, consulte a seção “Soluções alternativas” dessa vulnerabilidade. Esse valor do Registro não protege outros sistemas operacionais afetados.

Início da sessão

Soluções alternativas para a vulnerabilidade de solicitação de conexão falsificada - CAN-2005-0688:

•

Se você habilitar o valor SynAttackProtect do Registro, atenuará essa vulnerabilidade. Os sistemas Windows Server 2003 que habilitaram este valor do Registro não são vulneráveis a esse problema. A Microsoft recomenda que os clientes habilitem esse valor do Registro. Para obter informações sobre como habilitar esse valor do Registro, consulte o seguinte site da Microsoft. Esse valor do Registro não protege outros sistemas operacionais afetados.

Início da sessão

Perguntas freqüentes sobre a vulnerabilidade de solicitação de conexão falsificada - CAN-2005-0688:

Qual é o escopo da vulnerabilidade?

É uma vulnerabilidade de negação de serviço. O invasor que explorar essa vulnerabilidade poderá fazer o sistema afetado parar de responder por um tempo limitado. Durante esse período, os sistemas afetados não poderão responder a solicitações. Observe que a vulnerabilidade de negação de serviço não permite que os invasores executem códigos nem aumentem seus direitos de usuário, mas pode fazer o sistema afetado parar de aceitar solicitações.

O que provoca a vulnerabilidade?
Os sistemas operacionais afetados executam uma validação incompleta de pacotes de rede TCP/IP. Essa vulnerabilidade ocorre quando um pacote SYN do TCP (Transmission Control Protocol) é recebido com um endereço e número de porta IP (Internet Protocol) de origem falsificado idêntico ao endereço e à porta IP de destino. Com esse efeito, parece que o computador host enviou um pacote para ele mesmo. Se um ataque tiver êxito, será criado um loop e o tempo extra da CPU do computador será usado.

Para que um invasor pode usar a vulnerabilidade?
O invasor que explorar essa vulnerabilidade poderá fazer com que o sistema afetado pare de responder.

Quem pode explorar a vulnerabilidade?
Qualquer usuário anônimo que enviar uma mensagem especialmente elaborada ao sistema afetado poderá tentar explorar essa vulnerabilidade.

Quais são os principais sistemas que correm riscos com a vulnerabilidade?
Principalmente o Windows XP Service Pack 2 e o Windows Server 2003 estão em risco com essa vulnerabilidade. As versões de sistemas operacionais anteriores não são vulneráveis a esse problema.

A vulnerabilidade pode ser explorada pela Internet?
Sim. Um invasor pode tentar explorar essa vulnerabilidade através da Internet. No entanto, esse ataque requer que os roteadores encaminhem pacotes de rede TCP/IP malformados. A maioria dos roteadores não encaminha esses tipos de pacotes de rede TCP/IP malformados.

O que a atualização faz?
A atualização remove a vulnerabilidade, modificando a forma como os sistemas operacionais afetados validam solicitações de TCP/IP.

Quando este boletim de segurança foi publicado, essa vulnerabilidade já havia sido divulgada publicamente?
Sim. Essa vulnerabilidade foi divulgada publicamente. Ela recebeu o número CAN-2005-0688 de Vulnerabilidade e Exposição Comum. Além disso, foi nomeada como “Invasão Terrestre” por grande parte da comunidade de segurança.

A aplicação dessa atualização de segurança ajuda a proteger os clientes contra código divulgado publicamente que tente explorar essa vulnerabilidade?
Sim. Esta atualização de segurança aborda a vulnerabilidade demonstrada pela prova existente de código de conceito que foi publicada.

Início da sessão

Informações de Atualização de Segurança

Software afetado:

Para obter informações sobre uma atualização de segurança específica para seu software afetado, clique no link apropriado:

Windows Server 2003 (todas as versões)

Pré-requisitos
Esta atualização de segurança requer uma versão de lançamento do Windows Server 2003.

Inclusão em Service Packs futuros:
A atualização para este problema está incluída no Windows Server 2003 Service Pack 1.

Informações de instalação

Esta atualização de segurança oferece suporte às seguintes opções de instalação:

Opções de instalação da atualização de segurança para as quais há suporte
Opção	Descrição
/help	Exibe as opções de linha de comando
Modos de Instalação
/passive	Modo de instalação autônomo. Não é necessária a interação do usuário, mas o status da instalação é exibido. Se a reinicialização for necessária no fim da instalação, uma caixa de diálogo será apresentada para o usuário com um timer avisando que o computador será reiniciado em 30 segundos.
/quiet	Modo silencioso - o mesmo que modo autônomo, mas nenhum status ou nenhuma mensagem de erro é exibida.
Opções de Reinicialização
/norestart	Não reinicia quando a instalação é concluída
/forcerestart	Reinicia o computador após a instalação e força o fechamento de outros aplicativos no desligamento sem antes salvar os arquivos abertos.
/warnrestart[:x]	Apresenta uma caixa de diálogo com um timer avisando ao usuário que o computador será reiniciado em x segundos. (O padrão é 30 segundos). Destina-se ao uso com as opções /quiet ou /passive.
/promptrestart	Exibe uma caixa de diálogo solicitando que o usuário local permita a reinicialização
Opções Especiais
/overwriteoem	Sobrescreve arquivos OEM sem notificação
/nobackup	Não faz backup de arquivos necessários à desinstalação
/forceappsclose	Força o encerramento de outros programas quando o computador é desligado
/log:caminho	Permite o redirecionamento dos arquivos de log da instalação
/integrate:caminho	Integra a atualização nos arquivos de origem do Windows localizados no caminho especificado
/extract[:caminho]	Extrai os arquivos sem iniciar o programa de instalação
/ER	Habilita o relatório de erros estendido
/verbose	Habilita o registro extenso. Durante a instalação, cria %Windir%\CabBuild.log. Esse log detalha os arquivos copiados. Se você usar esta opção, a instalação será bem mais lenta.

Observação É possível combinar essas opções em uma única linha de comando. Para obter compatibilidade com versões anteriores, a atualização de segurança também oferece suporte às opções de instalação utilizadas por versões anteriores do utilitário de instalação. Para obter mais informações sobre opções com suporte de segurança consulte o Artigo 262841 (site em inglês) do Microsoft Knowledge Base. Para obter mais informações sobre o instalador Update.exe, visite o site Microsoft TechNet.

Informações de implantação

Para instalar a atualização de segurança sem nenhuma intervenção do usuário, utilize o seguinte comando em um prompt de comando para o Windows Server 2003:

Windowsserver2003-kb893066-v2-x86-enu /quiet

Para instalar a atualização de segurança sem forçar a reinicialização do sistema, use o seguinte comando em um prompt de comando para o Windows Server 2003:

Windowsserver2003-kb893066--v2-x86-enu /norestart

Para obter informações sobre como implantar esta atualização de segurança com os serviços de atualização de software, visite o site Software Update Services.

Requisito de reinicialização

É necessário reiniciar o sistema depois de aplicar essa atualização de segurança.

Informações sobre remoção

Para remover esta atualização, use a ferramenta Adicionar ou Remover Programas, no Painel de Controle.

Os administradores de sistema também podem usar o utilitário Spuninst.exe para remover esta atualização de segurança. O utilitário Spuninst.exe está localizado na pasta %Windir%\$NTUninstallKB893066$\Spuninst. O utilitário Spuninst.exe oferece suporte às seguintes opções de instalação:

Opções do Spuninst.exe com suporte
Opção	Descrição
/help	Exibe as opções de linha de comando
Modos de Instalação
/passive	Modo de instalação autônomo. Não é necessária a interação do usuário, mas o status da instalação é exibido. Se a reinicialização for necessária no fim da instalação, uma caixa de diálogo será apresentada para o usuário com um timer avisando que o computador será reiniciado em 30 segundos.
/quiet	Modo silencioso - o mesmo que modo de instalação autônomo, mas nenhum status ou nenhuma mensagem de erro é exibida.
Opções de Reinicialização
/norestart	Não reinicia quando a instalação é concluída
/forcerestart	Reinicia o computador após a instalação e força o fechamento de outros aplicativos no desligamento sem antes salvar os arquivos abertos.
/warnrestart[:x]	Apresenta uma caixa de diálogo com um timer avisando ao usuário que o computador será reiniciado em x segundos. (O padrão é 30 segundos). Destina-se ao uso com as opções /quiet ou /passive.
/promptrestart	Exibe uma caixa de diálogo solicitando que o usuário local permita a reinicialização
Opções Especiais
/forceappsclose	Força o encerramento de outros programas quando o computador é desligado

Informações sobre o arquivo

A versão em inglês desta atualização de segurança tem os atributos de arquivo relacionados na tabela abaixo. As datas e as horas destes arquivos estão de acordo com o tempo universal coordenado (UTC). Quando você exibe as informações do arquivo, a hora é convertida para o horário local. Para saber a diferença entre o UTC e o horário local, use a guia Fuso Horário na ferramenta Data e Hora, no Painel de Controle.

Windows Server 2003, Web Edition; Windows Server 2003, Standard Edition; Windows Server 2003, Enterprise Edition; Windows Server 2003, Datacenter Edition e Windows Small Business Server 2003:

Nome do arquivo	Versão	Data	Hora	Tamanho	Pasta
Tcpip.sys	5.2.3790.336	25-maio-2005	19:08	335,360	RTMGDR
Tcpip.sys	5.2.3790.336	25-maio-2005	19:21	336,896	RTMQFE

Windows Server 2003, Enterprise Edition para sistemas baseados em Itanium e Windows Server 2003, Datacenter Edition para sistemas baseados em Itanium:

Nome do arquivo	Versão	Data	Hora	Tamanho	CPU	Pasta
Tcpip.sys	5.2.3790.336	25-maio-2005	18:58	973.824	IA-64	RTMGDR
Tcpip.sys	5.2.3790.336	25-maio-2005	19:10	977.920	IA-64	RTMQFE

Observação: quando você instalar esta atualização de segurança no Windows Server 2003, o instalador verificará se um ou mais arquivos que estão sendo atualizados no sistema já foram atualizados por uma hotfix da Microsoft. Se você já tiver instalado um hotfix para atualizar algum desses arquivos, o instalador copiará os arquivos RTMQFE para o sistema. Caso contrário, o instalador copiará os arquivos RTMGDR para o sistema.

Para obter mais informações sobre esse comportamento, consulte o Artigo 824994 do Microsoft Knowledge Base.

Para obter mais informações sobre o instalador Update.exe, visite o site Microsoft TechNet.

Para obter mais informações sobre a terminologia que aparece neste boletim, como hotfix, consulte o artigo 824684 do Microsoft Knowledge Base.

Verificando se a atualização foi aplicada

•

Microsoft Baseline Security Analyzer

Para verificar se uma atualização de segurança foi aplicada em um sistema afetado, é possível utilizar a ferramenta MBSA (Microsoft Baseline Security Analyzer). Essa ferramenta permite que os administradores examinem os sistemas locais e remotos para saber se faltam atualizações de segurança ou se existem problemas de configuração comuns. Para obter mais informações sobre o MBSA, visite o site Microsoft Baseline Security Analyzer (em inglês).

•

Verificação de versão de arquivo

Observação Como existem várias versões do Microsoft Windows, as etapas a seguir podem ser diferentes no seu computador. Se isso acontecer, consulte as etapas completas na documentação do produto.

1.	Clique em Iniciar e, em seguida, clique em Pesquisar.
2.	No painel Resultados da Pesquisa, clique em Todos os arquivos e pastas, em Complemento de Pesquisa.
3.	Na caixa Todo ou parte do nome do arquivo, digite um nome de arquivo da tabela de informações de arquivo correta e clique em Pesquisar.
4.	Na lista de arquivos, clique com o botão direito do mouse em um nome de arquivo da tabela de informações de arquivo correta e clique em Propriedades. Observação Dependendo da versão do sistema operacional ou dos programas instalados, alguns dos arquivos listados na tabela de informações de arquivos podem não estar instalados.
5.	Na guia Versão, determine a versão do arquivo instalado no computador comparando-o com a versão documentada na tabela de informações de arquivos correta. Observação: atributos que não sejam a versão do arquivo podem ser alterados durante a instalação. A comparação de outros atributos de arquivo com as informações na tabela não é um método suportado para verificar se a atualização foi aplicada. Além disso, em alguns casos, arquivos podem ser renomeados durante a instalação. Se as informações sobre o arquivo ou a versão não estiverem presentes, use um dos outros métodos disponíveis para verificar a instalação da atualização.

•

Verificação da chave do Registro

Também é possível verificar os arquivos instalados por esta atualização de segurança analisando as seguintes chaves do Registro:

Windows Server 2003, Web Edition; Windows Server 2003, Standard Edition; Windows Server 2003, Enterprise Edition; Windows Server 2003, Datacenter Edition; Windows Small Business Server 2003; Windows Server 2003, Enterprise Edition para sistemas baseados em Itanium, e Windows Server 2003, Datacenter Edition para sistemas baseados em Itanium:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows Server 2003\SP1\KB893066\Filelist

Observação essa chave do Registro pode não conter informações atualizadas da versão revisada desta atualização de segurança se a versão original estiver instalada. Consulte o artigo XXXX (site em inglês) do Microsoft Knowledge Base para obter mais informações.

Observação Essa chave do Registro pode não conter uma lista completa de arquivos instalados. Além disso, essa chave do Registro talvez não seja criada corretamente caso o administrador ou um OEM integre ou corrija a atualização de segurança 893066 nos arquivos originais de instalação do Windows.

Início da sessão

Windows XP (todas as versões)

Pré-requisitos
Esta atualização de segurança requer o Microsoft Windows XP Service Pack 1 ou uma versão posterior. Para obter mais informações, consulte o artigo 322389 (em inglês) do Microsoft Knowledge Base.

Inclusão em Service Packs futuros:
A atualização desse problema será incluída em um futuro Service Pack ou Pacote Cumulativo de Atualizações.

Informações de instalação

Esta atualização de segurança oferece suporte às seguintes opções de instalação:

Opções de instalação da atualização de segurança para as quais há suporte
Opção	Descrição
/help	Exibe as opções de linha de comando
Modos de Instalação
/passive	Modo de instalação autônomo. Não é necessária a interação do usuário, mas o status da instalação é exibido. Se a reinicialização for necessária no fim da instalação, uma caixa de diálogo será apresentada para o usuário com um timer avisando que o computador será reiniciado em 30 segundos.
/quiet	Modo silencioso - o mesmo que modo autônomo, mas nenhum status ou nenhuma mensagem de erro é exibida.
Opções de Reinicialização
/norestart	Não reinicia quando a instalação é concluída
/forcerestart	Reinicia o computador após a instalação e força o fechamento de outros aplicativos no desligamento sem antes salvar os arquivos abertos.
/warnrestart[:x]	Apresenta uma caixa de diálogo com um timer avisando ao usuário que o computador será reiniciado em x segundos. (O padrão é 30 segundos). Destina-se ao uso com as opções /quiet ou /passive.
/promptrestart	Exibe uma caixa de diálogo solicitando que o usuário local permita a reinicialização
Opções Especiais
/overwriteoem	Sobrescreve arquivos OEM sem notificação
/nobackup	Não faz backup de arquivos necessários à desinstalação
/forceappsclose	Força o encerramento de outros programas quando o computador é desligado
/log:caminho	Permite o redirecionamento dos arquivos de log da instalação
/integrate:caminho	Integra a atualização nos arquivos de origem do Windows localizados no caminho especificado
/extract[:caminho]	Extrai os arquivos sem iniciar o programa de instalação
/ER	Habilita o relatório de erros estendido
/verbose	Habilita o registro extenso. Durante a instalação, cria %Windir%\CabBuild.log. Esse log detalha os arquivos copiados. Se você usar esta opção, a instalação será bem mais lenta.

Informações de implantação

Para instalar a atualização de segurança sem qualquer intervenção do usuário, use o seguinte comando em um prompt de comando do Microsoft Windows XP:

Windowsxp-kb893066-v2-x86-enu /quiet

Para instalar a atualização de segurança sem forçar a reinicialização do sistema, use o seguinte comando em um prompt de comando do Windows XP:

Windowsxp-kb893066-v2-x86-enu /norestart

Para obter informações sobre como implantar esta atualização de segurança com os serviços de atualização de software, visite o site Software Update Services.

Requisito de reinicialização

É necessário reiniciar o sistema depois de aplicar essa atualização de segurança.

Informações sobre remoção

Para remover esta atualização de segurança, use a ferramenta Adicionar ou Remover Programas, no Painel de Controle.

Opções do Spuninst.exe com suporte
Opção	Descrição
/help	Exibe as opções de linha de comando
Modos de Instalação
/passive	Modo de instalação autônomo. Não é necessária a interação do usuário, mas o status da instalação é exibido. Se a reinicialização for necessária no fim da instalação, uma caixa de diálogo será apresentada para o usuário com um timer avisando que o computador será reiniciado em 30 segundos.
/quiet	Modo silencioso - o mesmo que modo de instalação autônomo, mas nenhum status ou nenhuma mensagem de erro é exibida.
Opções de Reinicialização
/norestart	Não reinicia quando a instalação é concluída
/forcerestart	Reinicia o computador após a instalação e força o fechamento de outros aplicativos no desligamento sem antes salvar os arquivos abertos.
/warnrestart[:x]	Apresenta uma caixa de diálogo com um timer avisando ao usuário que o computador será reiniciado em x segundos. (O padrão é 30 segundos). Destina-se ao uso com as opções /quiet ou /passive.
/promptrestart	Exibe uma caixa de diálogo solicitando que o usuário local permita a reinicialização
Opções Especiais
/forceappsclose	Força o encerramento de outros programas quando o computador é desligado

Informações sobre o arquivo

Windows XP Home Edition Service Pack 1, Windows XP Professional Service Pack 1, Windows XP Tablet PC Edition, Windows XP Media Center Edition, Windows XP Home Edition Service Pack 2, Windows XP Professional Service Pack 2, Windows XP Tablet PC Edition 2005 e Windows XP Media Center Edition 2005:

Nome do arquivo	Versão	Data	Hora	Tamanho	Pasta
Tcpip.sys	5.1.2600.1693	25-maio-2005	19:41	339,968	SP1QFE
Tcpip.sys	5.1.2600.2685	25-maio-2005	19:04	359,808	SP2GDR
Tcpip.sys	5.1.2600.2685	25-maio-2005	19:07	359,936	SP2QFE

Windows XP 64-Bit Edition Service Pack 1 (Itanium):

Nome do arquivo	Versão	Data	Hora	Tamanho	CPU
Tcpip.sys	5.1.2600.1693	25-maio-2005	19:30	1.110.912	IA-64

Windows XP 64-Bit Edition Versão 2003 (Itanium):

Nome do arquivo	Versão	Data	Hora	Tamanho	CPU	Pasta
Tcpip.sys	5.2.3790.336	25-maio-2005	18:58	973.824	IA-64	RTMGDR
Tcpip.sys	5.2.3790.336	25-maio-2005	19:10	977.920	IA-64	RTMQFE

Observações A atualização de segurança do Windows XP está em pacotes de modo duplo. Esses pacotes de modo duplo contêm arquivos para a versão original do Windows XP Service Pack 1 (SP1) e arquivos para Windows XP Service Pack 2 (SP2).

Para obter mais informações sobre pacotes de modo duplo, consulte o Artigo 328848 (site em inglês) do Microsoft Knowledge Base.

Quando você instala essas atualizações de segurança, o instalador verifica se um ou mais arquivos que estão sendo atualizados no sistema já foram atualizados por um hotfix da Microsoft.
Caso tenham sido, poderá ocorrer uma das seguintes situações, dependendo do sistema operacional:

•	Windows XP SP2 O instalador copia os arquivos SP2QFE para o seu sistema.
•	Windows XP 64-Bit Edition Versão 2003 (Itanium) O instalador copia os arquivos RTMQFE no seu sistema.

Se você não tiver instalado anteriormente um hotfix para atualizar um arquivo afetado, poderá ocorrer uma das seguintes situações, dependendo do seu sistema operacional:

•	Windows XP SP2 O instalador copia os arquivos SP2GDR para o seu sistema.
•	Windows XP 64-Bit Edition Versão 2003 (Itanium) O instalador copia os arquivos RTMGDR no seu sistema.

Para obter mais informações sobre esse comportamento, consulte o Artigo 824994 do Microsoft Knowledge Base.

Para obter mais informações sobre o instalador Update.exe, visite o site Microsoft TechNet.

Para obter mais informações sobre a terminologia que aparece neste boletim, como hotfix, consulte o artigo 824684 do Microsoft Knowledge Base.

Observação: no caso do Windows XP 64-Bit Edition Versão 2003 (Itanium), esta atualização de segurança é igual à atualização de segurança do Windows Server 2003 para sistemas baseados em Itanium.

Verificando se a atualização foi aplicada

•

Microsoft Baseline Security Analyzer

•

Verificação de versão de arquivo

1.	Clique em Iniciar e, em seguida, clique em Pesquisar.
2.	No painel Resultados da Pesquisa, clique em Todos os arquivos e pastas, em Complemento de Pesquisa.
3.	Na caixa Todo ou parte do nome do arquivo, digite um nome de arquivo da tabela de informações de arquivo correta e clique em Pesquisar.
4.	Na lista de arquivos, clique com o botão direito do mouse em um nome de arquivo da tabela de informações de arquivo correta e clique em Propriedades. Observação Dependendo da versão do sistema operacional ou dos programas instalados, alguns dos arquivos listados na tabela de informações de arquivos podem não estar instalados.
5.	Na guia Versão, determine a versão do arquivo instalado no computador comparando-o com a versão documentada na tabela de informações de arquivos correta. Observação: atributos que não sejam a versão do arquivo podem ser alterados durante a instalação. A comparação de outros atributos de arquivo com as informações na tabela não é um método suportado para verificar se a atualização foi aplicada. Além disso, em alguns casos, arquivos podem ser renomeados durante a instalação. Se as informações sobre o arquivo ou a versão não estiverem presentes, use um dos outros métodos disponíveis para verificar a instalação da atualização.

•

Verificação da chave do Registro

Também é possível verificar os arquivos instalados por esta atualização de segurança analisando as seguintes chaves do Registro:

Para Windows XP Home Edition Service Pack 1, Windows XP Professional Service Pack 1, Windows XP Tablet PC Edition, Windows XP Media Center Edition, Windows XP Home Edition Service Pack 2, Windows XP Professional Service Pack 2, Windows XP Tablet PC Edition 2005 e Windows XP Media Center Edition 2005:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP3\KB893066\Filelist

Para Windows XP 64-Bit Edition Versão 2003:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows Server 2003\SP1\KB893066\Filelist

Observação essas chaves do Registro podem não conter informações atualizadas da versão revisada desta atualização de segurança se a versão original estiver instalada. Consulte o artigo XXXX (site em inglês) do Microsoft Knowledge Base para obter mais informações.

Observação Estas chaves do Registro podem não conter uma lista completa dos arquivos instalados. Além disso, essas chaves do Registro talvez não sejam criadas corretamente caso o administrador ou um OEM integre ou corrija a atualização de segurança 893066 nos arquivos originais de instalação do Windows.

Início da sessão

Windows 2000 (todas as versões)

Pré-requisitos
Para o Windows 2000, esta atualização de segurança requer Service Pack 3 (SP3) ou Service Pack 4 (SP4). Para o Small Business Server 2000, esta atualização de segurança requer que o Small Business Server 2000 Service Pack 1a ou o Small Business Server 2000 esteja em execução no Windows 2000 Server Service Pack 4.

Os softwares relacionados foram testados para determinar se suas versões são afetadas. Outras versões não incluem suporte para a atualização de segurança ou podem não ser afetadas. Para determinar o ciclo de vida do suporte para seu produto e sua versão, visite o site Ciclo de Vida do Suporte Microsoft.

Para obter mais informações sobre como obter o service pack mais recente, consulte o Artigo 260910 do Microsoft Knowledge Base.

Inclusão em Service Packs futuros:
A atualização desse problema será incluída em um Pacote Cumulativo de Atualizações futuro.

Informações de instalação

Esta atualização de segurança oferece suporte às seguintes opções de instalação:

Opções de instalação da atualização de segurança para as quais há suporte
Opção	Descrição
/help	Exibe as opções de linha de comando
Modos de Instalação
/passive	Modo de instalação autônomo. Não é necessária a interação do usuário, mas o status da instalação é exibido. Se a reinicialização for necessária no fim da instalação, uma caixa de diálogo será apresentada para o usuário com um timer avisando que o computador será reiniciado em 30 segundos.
/quiet	Modo silencioso - o mesmo que modo autônomo, mas nenhum status ou nenhuma mensagem de erro é exibida.
Opções de Reinicialização
/norestart	Não reinicia quando a instalação é concluída
/forcerestart	Reinicia o computador após a instalação e força o fechamento de outros aplicativos no desligamento sem antes salvar os arquivos abertos.
/warnrestart[:x]	Apresenta uma caixa de diálogo com um timer avisando ao usuário que o computador será reiniciado em x segundos. (O padrão é 30 segundos). Destina-se ao uso com as opções /quiet ou /passive.
/promptrestart	Exibe uma caixa de diálogo solicitando que o usuário local permita a reinicialização
Opções Especiais
/overwriteoem	Sobrescreve arquivos OEM sem notificação
/nobackup	Não faz backup de arquivos necessários à desinstalação
/forceappsclose	Força o encerramento de outros programas quando o computador é desligado
/log:caminho	Permite o redirecionamento dos arquivos de log da instalação
/integrate:caminho	Integra a atualização nos arquivos de origem do Windows localizados no caminho especificado
/extract[:caminho]	Extrai os arquivos sem iniciar o programa de instalação
/ER	Habilita o relatório de erros estendido
/verbose	Habilita o registro extenso. Durante a instalação, cria %Windir%\CabBuild.log. Esse log detalha os arquivos copiados. Se você usar esta opção, a instalação será bem mais lenta.

Informações de implantação

Para instalar a atualização de segurança sem qualquer intervenção do usuário, utilize o comando a seguir em um prompt de comando para o Windows 2000 Service Pack 3 e Windows 2000 Service Pack 4:

Windows2000-kb893066-v2-x86-enu /quiet

Para instalar a atualização de segurança sem forçar a reinicialização do sistema, use o comando a seguir no prompt de comando para Windows 2000 Service Pack 3 e Windows 2000 Service Pack 4:

Windows2000-kb893066-v2-x86-enu /norestart

Para obter informações sobre como implantar esta atualização de segurança com os serviços de atualização de software, visite o site Serviços de Atualização de Software.

Requisito de reinicialização

É necessário reiniciar o sistema depois de aplicar essa atualização de segurança.

Informações sobre remoção

Para remover esta atualização de segurança, use a ferramenta Adicionar ou Remover Programas, no Painel de Controle.

Opções do Spuninst.exe com suporte
Opção	Descrição
/help	Exibe as opções de linha de comando
Modos de Instalação
/passive	Modo de instalação autônomo. Não é necessária a interação do usuário, mas o status da instalação é exibido. Se a reinicialização for necessária no fim da instalação, uma caixa de diálogo será apresentada para o usuário com um timer avisando que o computador será reiniciado em 30 segundos.
/quiet	Modo silencioso - o mesmo que modo de instalação autônomo, mas nenhum status ou nenhuma mensagem de erro é exibida.
Opções de Reinicialização
/norestart	Não reinicia quando a instalação é concluída
/forcerestart	Reinicia o computador após a instalação e força o fechamento de outros aplicativos no desligamento sem antes salvar os arquivos abertos.
/warnrestart[:x]	Apresenta uma caixa de diálogo com um timer avisando ao usuário que o computador será reiniciado em x segundos. (O padrão é 30 segundos). Destina-se ao uso com as opções /quiet ou /passive.
/promptrestart	Exibe uma caixa de diálogo solicitando que o usuário local permita a reinicialização
Opções Especiais
/forceappsclose	Força o encerramento de outros programas quando o computador é desligado

Informações sobre o arquivo

Windows 2000 Service Pack 3, Windows 2000 Service Pack 4 e Small Business Server 2000:

Nome do arquivo	Versão	Data	Hora	Tamanho
Afd.sys	5.0.2195.6687	19-Jun-2003	20:05	120.240
Msafd.dll	5.0.2195.6602	19-Jun-2003	20:05	108.816
Tcpip.sys	5.0.2195.7049	12-maio-2005	10:25	320.176
Tdi.sys	5.0.2195.6655	19-Jun-2003	20:05	16.240
Wshtcpip.dll	5.0.2195.6601	19-Jun-2003	20:05	17.680

Verificando se a atualização foi aplicada

•

Microsoft Baseline Security Analyzer

•

Verificação de versão de arquivo

1.	Clique em Iniciar e, em seguida, clique em Pesquisar.
2.	No painel Resultados da Pesquisa, clique em Todos os arquivos e pastas, em Complemento de Pesquisa.
3.	Na caixa Todo ou parte do nome do arquivo, digite um nome de arquivo da tabela de informações de arquivo correta e clique em Pesquisar.
4.	Na lista de arquivos, clique com o botão direito do mouse em um nome de arquivo da tabela de informações de arquivo correta e clique em Propriedades. Observação Dependendo da versão do sistema operacional ou dos programas instalados, alguns dos arquivos listados na tabela de informações de arquivos podem não estar instalados.
5.	Na guia Versão, determine a versão do arquivo instalado no computador comparando-o com a versão documentada na tabela de informações de arquivos correta. Observação: atributos que não sejam a versão do arquivo podem ser alterados durante a instalação. A comparação de outros atributos de arquivo com as informações na tabela não é um método suportado para verificar se a atualização foi aplicada. Além disso, em alguns casos, arquivos podem ser renomeados durante a instalação. Se as informações sobre o arquivo ou a versão não estiverem presentes, use um dos outros métodos disponíveis para verificar a instalação da atualização.

•

Verificação da chave do Registro

Também é possível verificar os arquivos que esta atualização de segurança instalou analisando a seguinte chave do Registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP5\KB893066\Filelist

Observação Essa chave do Registro pode não conter uma lista completa de arquivos instalados. Além disso, essa chave do Registro talvez não seja criada corretamente quando um administrador ou um OEM integrar ou corrigir a atualização de segurança 893066 nos arquivos originais de instalação do Windows.

Início da sessão

Agradecimentos

A Microsoft agradece à pessoa citada abaixo por trabalhar conosco para ajudar a proteger os clientes:

•	Song Liu, Hongzhen Zhou e Neel Mehta da ISS X-Force por reportar a vulnerabilidade de validação de IP (CAN-2005-0048).
•	Fernando Gont da Universidad Tecnologica Nacional/Facultad Regional Haedo da Argentina por trabalhar conosco com responsabilidade na vulnerabilidade de reinicialização da conexão ICMP (CAN-2004-0790) e na vulnerabilidade ICMP Path MTU (CAN-2004-1060).
•	Qualys por reportar a vulnerabilidade de ICMP Path MTU (CAN-2004-1060).

Obtendo outras atualizações de segurança:

As atualizações para outros problemas de segurança estão disponíveis nos seguintes locais:

•	As atualizações de segurança estão disponíveis no Centro de Download da Microsoft. Você poderá encontrá-las com mais facilidade ao executar uma pesquisa com a palavra-chave "patch_de_segurança".
•	Atualizações para plataformas do cliente estão disponíveis no site Windows Update.

Suporte:

•	Os clientes nos EUA e Canadá podem receber suporte técnico no site de Atendimento Microsoft no telefone 1-866-PCSAFETY. As ligações para obter suporte associado a atualizações de segurança são gratuitas.
•	Os clientes de outros países podem obter suporte nas subsidiárias locais da Microsoft. O suporte associado a atualizações de segurança é gratuito. Para obter mais informações sobre como entrar em contato com a Microsoft a fim de obter suporte a problemas, visite o site de Suporte Internacional.

Recursos de segurança:

•	O site Microsoft TechNet Security fornece informações adicionais sobre segurança em produtos da Microsoft.
•	Microsoft Software Update Services
•	Microsoft Baseline Security Analyzer (MBSA)
•	Windows Update
•	Catálogo do Windows Update: Para obter mais informações sobre o Catálogo do Windows Update, consulte o artigo (em inglês) 323166 do Microsoft Knowledge Base.
•	Office Update

Software Update Services:

Usando o Microsoft Software Update Services (SUS), os administradores podem implantar de maneira rápida e confiável as últimas atualizações críticas e de segurança em servidores executando o Windows 2000 e Windows Server 2003 e em sistemas desktop executando o Windows 2000 Professional ou Windows XP Professional.

Para obter mais informações sobre como implantar esta atualização de segurança usando os serviços de atualização de software, visite o site Software Update Services.

Systems Management Server:

O SMS (Microsoft Systems Management Server) fornece uma solução corporativa altamente configurável para gerenciar atualizações. Ao usar o SMS, os administradores podem identificar os sistemas baseados no Windows que precisam de atualizações de segurança, bem como executar uma implantação controlada dessas atualizações em toda a empresa com o mínimo de interrupção para os usuários finais. Para obter mais informações sobre como os administradores podem usar o SMS 2003 para implantar atualizações de segurança, visite o site Gerenciamento de Patches de Segurança do SMS 2003. Os usuários do SMS 2.0 também podem usar o Software Updates Service Feature Pack (site em inglês) para ajudar a implantar atualizações de segurança. Para mais informações sobre o SMS, visite o site do SMS.

Observação O SMS usa o Microsoft Baseline Security Analyzer e o Microsoft Office Detection Tool para fornecer amplo suporte à detecção e à implantação de atualizações do boletim de segurança. Algumas atualizações de software não podem ser detectadas por essas ferramentas. Os administradores podem usar os recursos de inventário do SMS nesses casos para as atualizações alvo de sistemas específicos. Para obter mais informações sobre esse procedimento, consulte o seguinte site. Algumas atualizações de segurança exigirão direitos administrativos quando o sistema for reiniciado. Os administradores podem usar a Elevated Rights Deployment Tool (disponível no SMS 2003 Administration Feature Pack e no SMS 2.0 Administration Feature Pack) (sites em inglês) para instalar essas atualizações.

Aviso de isenção de responsabilidade:

As informações fornecidas no Microsoft Knowledge Base são apresentadas "no estado em que se encontram", sem garantia de qualquer tipo. A Microsoft se isenta de todas as garantias, expressas ou implícitas, incluindo as garantias de comercialização e adequação a um propósito específico. Em hipótese alguma a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, inclusive danos diretos, indiretos, incidentais, conseqüenciais, danos por lucros cessantes ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido alertados da possibilidade dos referidos danos. Como alguns estados não permitem a exclusão ou limitação de responsabilidade por danos conseqüenciais ou indiretos, a limitação acima pode não ser aplicável a você.

Revisões:

•	V1.0 (12 de abril de 2005): Boletim publicado
•	V1.1 (11 de maio de 2005): A Microsoft atualizou este boletim hoje para informar os clientes que planejamos lançar uma nova versão da atualização de segurança MS05-019 em junho de 2005. Até que a nova versão dessa atualização de segurança fique disponível, os clientes que apresentarem os sintomas descritos no Artigo 898060 do Microsoft Knowledge Base devem seguir as instruções documentadas para resolver esse problema. Se você não estiver tendo esse problema de conectividade de rede, recomendamos que instale a atualização de segurança disponível no momento para se proteger contra as vulnerabilidades descritas neste boletim de segurança.
•	V2.0 (14 de junho de 2005): A Microsoft atualizou este boletim hoje para informar os clientes sobre a disponibilidade de uma versão revisada da atualização de segurança. Recomendamos a instalação dessa atualização de segurança revisada mesmo se você tiver instalado a versão anterior. A atualização de segurança revisada estará disponível no Windows Update, SUS (Software Update Services) e será recomendada pelo MBSA (Microsoft Baseline Security Analyzer).

Início da página