Home Segurança

Boletim de Segurança da Microsoft MS05-022

Vulnerabilidade no MSN Messenger pode permitir a execução remota de códigos (896597)

Publicado em: 12 de abril de 2005
Versão: 1.0

Resumo

Quem deve ler este documento: clientes que usam o MSN Messenger

Impacto da vulnerabilidade: execução remota de códigos

Classificação máxima de gravidade: crítica

Recomendação: os clientes devem aplicar a atualização imediatamente

Substituição da atualização de segurança: este boletim substitui uma atualização de segurança anterior. Veja a lista completa na seção Perguntas freqüentes deste boletim.

Advertências: nenhuma

Locais de softwares testados e de download de atualização de segurança:

Software afetado:

MSN Messenger 6.2 – Baixar a atualização

Softwares não afetados:

MSN Messenger 7.0

Os softwares dessa lista foram testados para determinar se as versões são afetadas. Outras versões não incluem suporte para a atualização de segurança ou podem não ser afetadas. Para determinar o ciclo de vida do suporte para seu produto e sua versão, visite o site Ciclo de Vida do Suporte Microsoft.

Informações Gerais

Sinopse

Sinopse:

Esta atualização elimina uma vulnerabilidade descoberta recentemente e reportada em particular. A vulnerabilidade é documentada neste boletim na seção “Detalhes da vulnerabilidade”.

O invasor que explorar com êxito essa vulnerabilidade poderá assumir o controle total de um sistema afetado. O invasor poderá instalar programas; exibir, alterar ou excluir dados; ou criar novas contas com direitos totais de usuário.

Classificações de gravidade e identificadores de vulnerabilidade:

Identificadores de Vulnerabilidade

Impacto da vulnerabilidade

MSN Messenger 6.2

Vulnerabilidade do MSN Messenger - CAN-2005-0562

Execução Remota de Códigos

Crítica

Gravidade agregada de todas as vulnerabilidades

 

Crítica

Essa avaliação baseia-se nos tipos de sistemas afetados pela vulnerabilidade, seus padrões comuns de implantação e o efeito da exploração da vulnerabilidade sobre eles.

Início da sessãoInício da sessão

Perguntas freqüentes relacionadas a esta atualização de segurança

Quais atualizações esta versão substitui?
Esta atualização de segurança substitui um boletim de segurança anterior. A identificação do boletim de segurança e os sistemas operacionais afetados estão relacionados na tabela a seguir.

ID do Boletim

MSN Messenger 6.2

MS05-009

Substituído

Posso usar o MBSA (Microsoft Baseline Security Analyzer) para determinar se esta atualização é necessária?
Não. O MBSA não oferece suporte ao MSN Messenger e não detectará se a atualização é necessária para o software afetado. No entanto, a Microsoft desenvolveu uma versão da EST (Enterprise Update Scanning Tool) que ajudará os clientes a determinar se a atualização de segurança do MSN Messenger é necessária.

Para obter informações detalhadas sobre os programas que o MBSA não detecta atualmente, consulte o artigo 306460 do Microsoft Knowledge Base. Para obter mais informações sobre o MBSA, visite o site do MBSA.

O que é EST (Enterprise Update Scanning Tool)?
Como parte de um compromisso contínuo de fornecer ferramentas de detecção para atualizações de segurança da classe de boletins, a Microsoft oferece uma ferramenta de detecção independente sempre que o MBSA (Microsoft Baseline Security Analyzer) e a ODT (Office Detection Tool) não podem detectar se a atualização é necessária para um ciclo de lançamento MSRC. Essa ferramenta independente é denominada EST (Enterprise Update Scanning Tool) e foi criada para administradores de empresas. Quando uma versão da Enterprise Update Scanning Tool é criada para um boletim específico, os clientes podem executar a ferramenta de uma interface de linha de comando e exibir os resultados do arquivo de saída XML. Para ajudar os clientes a utilizarem melhor a ferramenta, uma documentação detalhada será fornecida com a mesma. Também há uma versão da ferramenta que oferece uma experiência integrada para administradores SMS.

Posso usar uma versão da EST (Enterprise Update Scanning Tool) para determinar se essa atualização é necessária?
Sim. A Microsoft criou uma versão da EST que determinará se é necessário aplicar a atualização. Para obter mais informações sobre a versão da EST sendo lançada este mês, consulte o site da Microsoft a seguir. Para obter informações de implantação mais detalhadas sobre a versão da EST sendo lançada este mês, consulte o site da Microsoft a seguir.

Também existe uma versão dessa ferramenta que clientes SMS podem obter no site da Microsoft a seguir. Essa ferramenta também pode estar disponível para clientes SMS no site do SMS.

Posso usar o SMS (Systems Management Server) para determinar se esta atualização é necessária?
Não. O SMS utiliza o MBSA para detecção, e esta atualização não é detectada pelo MBSA. Para obter mais informações sobre o SMS, visite o site do SMS

Entretanto, há uma versão da EST que os clientes SMS podem obter, que proporciona uma experiência integrada para os administradores SMS do site da Microsoft a seguir.

A ferramenta Inventário da Atualização de Segurança é necessária para a detecção do Microsoft Windows e de outros produtos Microsoft afetados. Para obter mais informações sobre as limitações da ferramenta Security Update Inventory, consulte o Artigo 306460 do Microsoft Knowledge Base

Para obter mais informações sobre o SMS, visite o site do SMS.

Você pode implantar esta atualização usando o recurso Distribuição de Software e Inventário do SMS.

Início da sessãoInício da sessão

Detalhes da Vulnerabilidade

Vulnerabilidade do MSN Messenger - CAN-2005-0562:

Há uma vulnerabilidade de execução remota de código no MSN Messenger que pode permitir a um invasor que tenha explorado com sucesso essa vulnerabilidade assumir total controle do sistema afetado.

Fatores atenuantes da vulnerabilidade do MSN Messenger - CAN-2005-0562:

O MSN Messenger, por padrão, não permite que pessoas anônimas enviem mensagens ao usuário. Um invasor precisaria primeiro convencer o usuário a adicioná-lo a sua lista de contatos.

Início da sessãoInício da sessão
Soluções alternativas para a vulnerabilidade do MSN Messenger - CAN-2005-0562:

A Microsoft testou as seguintes soluções alternativas. Apesar de essas soluções alternativas não corrigirem a vulnerabilidade subjacente, elas ajudam a bloquear vetores de ataque conhecidos. Quando uma solução alternativa reduz a funcionalidade, ela é indicada na seção a seguir.

Revise todos os contatos em sua lista de contatos e remova ou bloqueie qualquer um que não conheça, não confie ou que não seja mais necessário.

Não concorde em aceitar transferências de arquivos de contatos que não conhece ou não confia.

Bloqueie o acesso ao MSN Messenger e ao Web Messenger em um ambiente corporativo.

Bloqueie o acesso à porta de saída 1863 no ambiente corporativo. Observe que o MSN Messenger é conectado por meio da porta 1863 quando uma conexão direta é estabelecida. Quando não é possível estabelecer uma conexão direta, o MSN Messenger é conectado por meio da porta 80.

Bloqueie o acesso HTTP a gateway.messenger.hotmail.com. Se quiser bloquear o acesso ao MSN Web Messenger, você também precisará bloquear o acesso HTTP a webmessenger.msn.com.

Impacto da solução alternativa: os cliente do MSN Messenger não poderão se conectar à rede do MSN Messenger

Início da sessãoInício da sessão
Pergunta freqüente sobre a vulnerabilidade do MSN Messenger - CAN-2005-0562:

O MSN Messenger 7.0 beta é afetado por essa vulnerabilidade?
Sim. Essa vulnerabilidade foi reportada após o lançamento do MSN Messenger 7.0 beta. Os clientes executando a versão 7.0 beta do MSN Messenger devem atualizar para a versão já lançada do software, que não é vulnerável.

Qual é o escopo da vulnerabilidade?
Essa é uma vulnerabilidade de execução remota de códigos. O invasor que explorar com êxito essa vulnerabilidade poderá assumir o controle total de um sistema afetado.

O que provoca a vulnerabilidade?
O MSN Messenger tem a capacidade de processar e exibir arquivos no formato de imagem GIF. Uma imagem GIF malformada com altura e largura inadequadas talvez não seja processada corretamente pelo MSN Messenger.

O que é GIF?
GIF significa Graphic Interchange Format. É uma paleta de 256 cores mais antiga que era mais compatível com as placas de vídeo de 8 bits. Esse formato vem sendo amplamente substituído pelos formato gráficos PNG e TIF.

Para que um invasor pode usar a vulnerabilidade?
Um invasor que explorar com êxito essa vulnerabilidade poderá assumir o controle total do sistema afetado.

Quem pode explorar a vulnerabilidade?
Um invasor iria provavelmente tentar explorar essa vulnerabilidade convencendo um usuário a adicioná-lo à lista de contatos, e enviaria um emoticon ou imagem de exibição criada especialmente.

Quais são os principais sistemas que correm riscos com a vulnerabilidade?
As estações de trabalho e os servidores de terminal são os que correm mais risco. Os servidores correrão mais risco se usuários que não tiverem permissões administrativas suficientes puderem fazer logon nos servidores e executar programas. Entretanto, as práticas recomendadas desestimulam esse procedimento.

O Windows 98, o Windows 98 Second Edition ou o Windows Millennium Edition são drasticamente por essa vulnerabilidade?
Sim. Os clientes que estejam executando uma versão afetada do MSN Messenger devem instalar a versão atualizada do MSN Messenger.

O que a atualização faz?
A atualização remove a vulnerabilidade modificando o modo como o MSN Messenger valida arquivos GIF, antes de processá-los.

Quando este boletim de segurança foi publicado, essa vulnerabilidade já havia sido divulgada publicamente?
Não. A Microsoft recebeu informações sobre essa vulnerabilidade por meio de divulgação responsável.

Como essa vulnerabilidade está relacionada à vulnerabilidade do PNG que é corrigida pelo MS05-009?
As duas vulnerabilidades afetaram os formatos gráficos. No entanto, essa atualização trata de uma nova vulnerabilidade em um tipo diferente de formato gráfico que não foi abordado como parte do MS05-009. O MS05-009 ajuda a proteger contra a vulnerabilidade discutida naquele boletim, mas não soluciona esta nova vulnerabilidade. Essa atualização substitui o MS05-009 para MSN Messenger.

Início da sessãoInício da sessão
Início da sessãoInício da sessão
Início da sessãoInício da sessão

Informações de Atualização de Segurança

Software afetado:

Para obter informações sobre uma atualização de segurança específica para seu software afetado, clique no link apropriado:

MSN Messenger 6.2

Pré-requisitos
Esta atualização de segurança requer o MSN Messenger 6.2.

Requisito de reinicialização

Essa atualização pode exigir a reinicialização do computador.

Informações sobre remoção

Esta atualização não pode ser desinstalada.

Verificando a instalação da atualização

Para verificar se uma atualização de segurança está instalada em um sistema afetado, execute as etapas a seguir:

1. No MSN Messenger, clique em Ajuda e, em seguida, clique em Sobre.

2. Verifique o número da versão.

Se o número de versão for 6.2.208 ou superior, a atualização foi instalada com êxito.

Início da sessãoInício da sessão
Início da sessãoInício da sessão

Agradecimentos

A Microsoft agradece à pessoa citada abaixo por trabalhar conosco para ajudar a proteger os clientes:

hongzhenzhou por reportar a vulnerabilidade do MSN Messenger (CAN-2005-0562).

Obtendo outras atualizações de segurança:

As atualizações para outros problemas de segurança estão disponíveis nos seguintes locais:

As atualizações de segurança estão disponíveis no Centro de Download da Microsoft. Você poderá encontrá-las com mais facilidade ao executar uma pesquisa com a palavra-chave "patch_de_segurança".

Atualizações para plataformas do cliente estão disponíveis no site Windows Update.

Suporte:

Os clientes nos EUA e Canadá podem receber suporte técnico no site de Atendimento Microsoft no telefone 1-866-PCSAFETY. As ligações para obter suporte associado a atualizações de segurança são gratuitas.

Os clientes de outros países podem obter suporte nas subsidiárias locais da Microsoft. O suporte associado a atualizações de segurança é gratuito. Para obter mais informações sobre como entrar em contato com a Microsoft a fim de obter suporte a problemas, visite o site de Suporte Internacional.

Recursos de segurança:

O site Microsoft TechNet Security fornece informações adicionais sobre segurança em produtos da Microsoft.

Microsoft Software Update Services

Microsoft Baseline Security Analyzer (MBSA)

Windows Update

Catálogo do Windows Update: para obter mais informações sobre o Catálogo do Windows Update, consulte o artigo 323166 (em inglês) do Microsoft Knowledge Base.

Office Update

Software Update Services:

Usando o Microsoft Software Update Services (SUS), os administradores podem implantar de maneira rápida e confiável as últimas atualizações críticas e de segurança em servidores executando o Windows 2000 e Windows Server 2003 e em sistemas desktop executando o Windows 2000 Professional ou Windows XP Professional.

Para obter mais informações sobre como implantar esta atualização de segurança usando os serviços de atualização de software, visite o site Software Update Services.

Systems Management Server:

O SMS (Microsoft Systems Management Server) fornece uma solução corporativa altamente configurável para gerenciar atualizações. Ao usar o SMS, os administradores podem identificar os sistemas baseados no Windows que precisam de atualizações de segurança, bem como executar uma implantação controlada dessas atualizações em toda a empresa com o mínimo de interrupção para os usuários finais. Para obter mais informações sobre como os administradores podem usar o SMS 2003 para implantar atualizações de segurança, visite o site Gerenciamento de Patches de Segurança do SMS 2003. Os usuários do SMS 2.0 também podem usar o Software Updates Service Feature Pack (site em inglês) para ajudar a implantar atualizações de segurança. Para mais informações sobre o SMS, visite o site do SMS.

Observação O SMS usa o Microsoft Baseline Security Analyze, a Microsoft Office Detection Tool e a Enterprise Update Scanning Tool para oferecer amplo suporte à detecção e à implantação da atualização do boletim de segurança. Algumas atualizações de software não podem ser detectadas por essas ferramentas. Os administradores podem usar os recursos de inventário do SMS nesses casos para as atualizações alvo de sistemas específicos. Para obter mais informações sobre esse procedimento, consulte o seguinte site. Algumas atualizações de segurança exigirão direitos administrativos quando o sistema for reiniciado. Os administradores podem usar a Elevated Rights Deployment Tool (disponível no SMS 2003 Administration Feature Pack e no SMS 2.0 Administration Feature Pack) (sites em inglês) para instalar essas atualizações.

Aviso de isenção de responsabilidade:

As informações fornecidas no Microsoft Knowledge Base são apresentadas "no estado em que se encontram", sem garantia de qualquer tipo. A Microsoft se isenta de todas as garantias, expressas ou implícitas, incluindo as garantias de comercialização e adequação a um propósito específico. Em hipótese alguma a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, inclusive danos diretos, indiretos, incidentais, conseqüenciais, danos por lucros cessantes ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido alertados da possibilidade dos referidos danos. Como alguns estados não permitem a exclusão ou limitação de responsabilidade por danos conseqüenciais ou indiretos, a limitação acima pode não ser aplicável a você.

Revisões: 

V1.0 12 de abril de 2005: Boletim publicado


Início da páginaInício da página