*
Microsoft*
resultados por Bing
|TechNet EUA|MS Brasil|Desenvolvedores|Assinatura|Fale Conosco|Meu TechNet|Horário de Verão
Pesquisa rápida


Boletim de Segurança da Microsoft MS07-018

Vulnerabilidades no Microsoft Content Management Server podem permitir a execução remota de código (925939)

Publicado em: 10 10e abril 10e 2007

Versão: 1.0

Resumo

Quem deve ler este documento: Clientes que usam o Microsoft Content Management Server

Impacto da vulnerabilidade: Execução Remota de Código

Classificação máxima de gravidade: Crítica

Recomendação: Os clientes devem aplicar a atualização imediatamente.

Substituição da atualização de segurança: Nenhuma

Advertências: Nenhuma

Locais de softwares testados e de download de atualização de segurança:

Softwares afetados:

Microsoft Content Management Server 2001 Service Pack 1 – Fazer o download da atualização (KB924430)

Microsoft Content Management Server 2002 Service Pack 2 – Fazer o download da atualização (KB924429)

Os softwares dessa lista foram testados para se determinar se as versões são afetadas. Outras versões já não incluem suporte para a atualização de segurança ou podem não ser afetadas. Para determinar o ciclo de vida do suporte para seu produto e sua versão, visite o site do Microsoft Support Lifecycle.

Informações Gerais

Sinopse

Sinopse:

Esta atualização elimina duas vulnerabilidades descobertas recentemente e reportadas em particular. Cada vulnerabilidade é documentada neste boletim na seção “Detalhes da vulnerabilidade”.

Recomendamos que os clientes apliquem a atualização imediatamente.

Classificação de Gravidade e Identificadores de Vulnerabilidade:

Identificadores de VulnerabilidadeImpacto da VulnerabilidadeMicrosoft Content Management Server 2001 Service Pack 1Microsoft Content Management Server 2002 Service Pack 2

Vulnerabilidade de corrupção de memória de CMS - CVE-2007-0938

Execução Remota de Código

Crítica

Crítica

Vulnerabilidade de falsificação e script entre sites do CMS - CVE-2007-0939

Divulgação não autorizada de informação e falsificação

Importante

Importante

Gravidade Agregada de Todas as Vulnerabilidades

 

Crítica

Crítica

Essa avaliação baseia-se nos tipos de sistemas afetados pela vulnerabilidade, seus padrões comuns de implantação e o efeito da exploração da vulnerabilidade sobre eles.

Perguntas mais freqüentes relacionadas a esta atualização de segurança

Quais atualizações esta versão substitui?
Esta atualização não substitui nenhuma atualização de segurança anterior. Se executar o Content Management Server 2001, recomendamos instalar MS03-002 antes de instalar esta atualização.

Posso usar o MBSA (Microsoft Baseline Security Analyzer) para determinar se esta atualização é necessária?
A tabela a seguir fornece o resumo de detecção do MBSA para esta atualização de segurança.

ProdutoMBSA 1.2.1MBSA 2.0.1

Microsoft Content Management Server 2001 Service Pack 1

Sim

Não

Microsoft Content Management Server 2002 Service Pack 2

Sim

Sim

Observação O MBSA 1.2.1 usa uma versão integrada do Office Detection Tool (ODT) que não oferece suporte a verificações remotas desta atualização de segurança. Para obter mais informações sobre o MBSA, visite o site do MBSA.

Para obter mais informações sobre o MBSA, visite o site do MBSA. Para obter mais informações sobre os programas que o Microsoft Update e o MBSA 2.0.1 atualmente não detectam, consulte o artigo 895660 (em inglês) da Base de Conhecimento Microsoft.

Para obter informações detalhadas, consulte o artigo 910723 (em inglês) da Base de Conhecimento Microsoft. Lista de resumo de detecção mensal e os artigos de diretrizes de implantação.

Posso usar o SMS (Systems Management Server) para determinar se esta atualização é necessária?
A tabela a seguir fornece o resumo de detecção de SMS para esta atualização de segurança.

ProdutoSMS 2.0SMS 2003

Microsoft Content Management Server 2001 Service Pack 1

Sim

Não

Microsoft Content Management Server 2002 Service Pack 2

Sim

Sim

SMS 2.0 e SMS 2003 Software Update Services (SUS) Feature Pack podem usar MBSA 1.2.1 para detecção e assim têm a mesma limitação listada anteriormente neste boletim relacionada a programas que o MBSA 1.2.1 não detecta.

Para o SMS 2.0, o SMS SUS Feature Pack, que inclui a ferramenta Inventário da Atualização de Segurança (SUIT), pode ser usado pelo SMS para detectar atualizações de segurança. O SMS SUIT usa o mecanismo do MBSA 1.2.1 para detecção. Para obter mais informações sobre SUIT, visite o seguinte site da Microsoft. Para obter mais informações sobre as limitações da SUIT, consulte o artigo 306460 da Base de Conhecimento Microsoft. O SMS SUS Feature Pack também inclui a ferramenta Office Inventory da Microsoft para detectar atualizações necessárias para aplicativos do Microsoft Office.

Para o SMS 2003, a ferramenta Inventário do SMS 2003 para Microsoft Updates pode ser usada pelo SMS para detectar as atualizações de segurança oferecidas pelo Microsoft Update e que tenham suporte do Windows Server Update Services. Para obter mais informações a ferramenta ITMU do SMS 2003, visite o seguinte site da Microsoft. O SMS 2003 também pode usar a ferramenta Office Inventory da Microsoft para detectar as atualizações necessárias dos aplicativos do Microsoft Office.

Para obter mais informações sobre o SMS, visite o site do SMS.

Para obter informações detalhadas, consulte o artigo 910723 (em inglês) da Base de Conhecimento Microsoft. Lista de resumo de detecção mensal e os artigos de diretrizes de implantação.

Detalhes da Vulnerabilidade

Vulnerabilidade de corrupção de memória de CMS - CVE-2007-0938:

Existe uma vulnerabilidade de execução remota de códigos no Content Management Server devido à forma como ele gerencia solicitações HTTP especialmente desenvolvidas.

O invasor que explorar com êxito essa vulnerabilidade poderá assumir o controle total de um sistema afetado. O invasor poderá instalar programas; exibir, alterar ou excluir dados; ou criar novas contas com direitos totais de usuário.

Fatores atenuantes da vulnerabilidade de corrupção de memória do CMS - CVE-2007-0938:

No Microsoft Internet Information Service 6.0, o processo de trabalho W3WP.exe por padrão tem baixo privilégio executado como a conta incorporada Serviço de Rede.
Observação – Isso só se aplica ao Content Management Server 2002.

Os clientes que configuraram os sites do MCMS (Microsoft Content Management Server) em seus próprios pools de aplicativos para isolá-los de outros sites podem limitar o impacto de um ataque.

Soluções alternativas para a vulnerabilidade de corrupção de memória de CMS - CVE-2007-0938:

Não identificamos nenhuma solução alternativa para esta vulnerabilidade.

Perguntas freqüentes sobre a vulnerabilidade de corrupção de memória do CMS - CVE-2007-0938:

Qual é o escopo da vulnerabilidade? 
Existe uma vulnerabilidade de execução remota de códigos no Content Management Server devido à forma como ele gerencia solicitações HTTP especialmente desenvolvidas. O invasor que explorar com êxito essa vulnerabilidade poderá assumir o controle total de um sistema afetado. O invasor poderá instalar programas; exibir, alterar ou excluir dados; ou criar novas contas com direitos totais de usuário.

O que provoca a vulnerabilidade? 
Uma vulnerabilidade de execução remota de código resulta do modo como o Microsoft Content Management Server manipula caracteres inesperados em uma solicitação HTTP.

O que é o Microsoft Content Management Server? 
O Microsoft Content Management Server (MCMS) permite que os clientes criem, implantem e mantenham sites da Web. Usando o MCMS, os clientes podem criar, publicar e gerenciar conteúdos da Web, assim como administrar os recursos de servidor disponíveis ao site.

Estou executando o Microsoft Content Management Server 2001 e personalizei o arquivo ManualLogin.asp. Existe alguma coisa que eu precise fazer? 
Esta atualização de segurança não atualiza Manuallogin.asp. Quaisquer personalizações feitas nesta página permanecerão depois que esta atualização tiver sido aplicada. Nós ainda recomendamos fazer backup de páginas ASP personalizadas antes da manutenção em qualquer site.

Para que um invasor pode usar a vulnerabilidade? 
O invasor que explorar com êxito essa vulnerabilidade poderá assumir o controle total do sistema afetado.

De que forma o invasor pode explorar a vulnerabilidade? 
Um invasor pode tentar explorar a vulnerabilidade criando uma URL especialmente desenvolvida e enviando uma solicitação HTTP GET a um sistema CMS.

Quais são os principais sistemas que correm riscos com a vulnerabilidade? 
Os sites que são mantidos usando uma das versões afetadas do Microsoft Content Management Server.

O que a atualização faz? 
A atualização elimina a vulnerabilidade modificando o modo como o Content Management Server valida uma solicitação HTTP.

Quando esse boletim de segurança foi lançado, essa vulnerabilidade já tinha sido divulgada publicamente? 
Não. A Microsoft recebeu informações sobre essa vulnerabilidade por meio de divulgação responsável. A Microsoft não recebeu nenhuma informação indicando que essa vulnerabilidade tenha sido divulgada publicamente quando este boletim de segurança foi lançado pela primeira vez.

Quando este boletim de segurança foi lançado, a Microsoft tinha recebido algum relatório informando que essa vulnerabilidade estava sendo explorada? 
Não. A Microsoft não recebeu nenhuma informação indicando que essa vulnerabilidade tenha sido usada publicamente para atacar clientes e não testemunhou nenhum exemplo de publicação de código de verificação de conceito, quando este boletim de segurança foi lançado pela primeira vez.

Vulnerabilidade de falsificação e script entre sites no CMS - CVE-2007-0939:

Existe uma vulnerabilidade de falsificação e script entre sites no Microsoft Content Management Server (MCMS) que pode permitir que um invasor convença um usuário a executar um script mal-intencionado. Se este script mal-intencionado for executado, ele será executado no contexto de segurança do usuário. As tentativas de explorar essa vulnerabilidade exigem a interação do usuário. Essa vulnerabilidade pode permitir que um invasor acesse qualquer dado que, nos sistemas afetados, possa ser acessado pelo usuário individual.

O invasor também poderá explorar essa vulnerabilidade para modificar os caches do navegador da Web e os caches intermediários do servidor proxy, e colocar conteúdo falso nesses caches.

Fatores atenuantes da vulnerabilidade de script entre sites e falsificação no CMS - CVE-2007-0939:

A vulnerabilidade não pode ser explorada automaticamente por email. Para que um ataque seja bem sucedido, um usuário deve clicar em um link da Web enviado em uma mensagem de email.

Um ataque só seria bem-sucedido se o usuário que foi convencido a clicar na URL especialmente desenvolvida do invasor tivesse acesso ao servidor Web do CMS.

O invasor que tiver explorado com êxito o aspecto de script entre sites desta vulnerabilidade obterá somente as mesmas permissões do usuário.

Os clientes que, no Internet Explorer, tiverem ativado a opção avançada de Internet Não salvar páginas criptografadas em disco não correrão o risco de qualquer tentativa de colocação de conteúdo falso no cache cliente se acessarem sites da Web por meio do protocolo Secure Sockets Layer (SSL).

Os clientes que usam conexões de acesso a sites afetados, as quais são protegidas por SSL, não estão vulneráveis a tentativas de colocação de conteúdo falso em caches intermediários de servidor proxy. Isso ocorre porque os dados da sessão SSL são criptografados e não estão em cache nos servidores proxy intermediários.

Se o conteúdo falso for colocado com êxito em um cache do servidor proxy intermediário, será difícil um invasor prever quais usuários utilizarão o conteúdo falso em cache.

Soluções alternativas para a vulnerabilidade de script entre sites e falsificação no CMS - CVE-2007-0939:

A Microsoft testou as seguintes soluções alternativas. Embora essas soluções alternativas não corrijam a vulnerabilidade subjacente, elas ajudam a bloquear vetores de ataque conhecidos. Quando uma solução alternativa reduz a funcionalidade, ela é identificada na seção a seguir.

A configuração de um site MCMS como Sim-Somente Leitura desativará a criação de conteúdo e o acesso ao ponto de entrada desse servidor MCMS a partir do Gerenciador de Sites

A configuração de um site MCMS como Sim-Somente Leitura desativará a criação de conteúdo e o acesso ao ponto de entrada desse servidor MCMS a partir do Gerenciador de Sites, mas não removerá nenhum arquivo do sistema de arquivos. Se você quiser usar a ferramenta Gerenciador de Sites para modificar configurações em um site MCMS somente leitura, precisará primeiro tornar o site somente leitura na ferramenta Configuração do servidor Web.
A configuração de um site MCMS como somente leitura significa que não é possível usar o SDAPI (ou o Gerenciador de Sites) do lado do cliente para implantar conteúdo. Em um site somente leitura, você deve usar o SDAPI do lado do servidor para a API de implantação de conteúdo, a menos que tenha um ponto de entrada da Web leitura-gravação separado.

Para modificar o site MCMS para Sim-Somente Leitura, siga estes passos:

1.

Clique em Iniciar, em Programas e selecione Microsoft Content Management Server.

2.

Clique em Server Configuration Application.

3.

Clique na guia Web e selecione Configurar.

4.

Na caixa de diálogo para o site MCMS que você deseja configurar, selecione Sim – Somente leitura.

5.

Clique em OK para salvar as alterações.

Impacto da solução alternativa: Os usuários não poderão mais criar conteúdo através da interface de criação de páginas da Web do MCMS (não é possível fazer login com direitos de edição em um Servidor MCMS) nem via Gerenciador de Sites.

Perguntas freqüentes sobre a vulnerabilidade de script entre sites e falsificação no Microsoft Content Management Server - CVE-2007-0939:

Qual é o escopo da vulnerabilidade? 
Existe uma vulnerabilidade de falsificação e script entre sites no Microsoft Content Management Server (MCMS). A vulnerabilidade pode permitir o injeção de um script do lado do cliente no navegador do usuário. No cenário de ataque baseado na Web, um site comprometido pode aceitar ou hospedar conteúdo fornecido pelo usuário ou anúncios que podem conter conteúdo especialmente desenvolvido para explorar esta vulnerabilidade.

O script pode realizar qualquer ação em nome do usuário que o site esteja autorizado a realizar. Isso pode incluir monitoração da sessão da Web e encaminhamento de informações a terceiros, execução de outro código no sistema do usuário e leitura e gravação de cookies.

O que provoca a vulnerabilidade? 
A vulnerabilidade de script entre sites (XSS) é causada porque o Microsoft Content Management Server não valida completamente a entrada que é fornecida numa consulta de redirecionamento de HTML antes de enviar esta entrada ao navegador.

O que é o Microsoft Content Management Server? 
O Microsoft Content Management Server (MCMS) permite que os clientes criem, implantem e mantenham sites da Web. Usando o MCMS, os clientes podem criar, publicar e gerenciar conteúdos da Web, assim como administrar os recursos de servidor disponíveis ao site.

O que é script entre sites? 
O script entre sites (XSS) é uma classe de vulnerabilidade de segurança que pode permitir a um invasor "inserir" um código de script na sessão do usuário com um site. A vulnerabilidade pode afetar servidores Web que geram dinamicamente páginas em HTML. Se esses servidores incorporarem entradas do navegador nas páginas dinâmicas que enviam de volta ao navegador, esses servidores poderão ser manipulados de forma a incluir conteúdo mal-intencionado nas páginas dinâmicas. Isso permitirá a execução do script mal-intencionado. Os navegadores podem perpetuar esse problema devido a seus pressupostos quanto a sites "confiáveis" e seu uso de cookies para manter um estado persistente com os sites que freqüentam. Esse ataque XSS não modifica o conteúdo do site. Em vez disso, insere novo script mal-intencionado que pode ser executado no navegador no contexto associado a um servidor confiável.

Como funciona o script entre sites? 
As páginas da Web contêm texto e marcação de HTML. O texto e as marcações de HTML são gerados pelo servidor e interpretados pelo cliente. Se um conteúdo não confiável for introduzido na página dinâmica, nem o servidor nem o cliente terão informações suficientes para reconhecer esse fato e tomar medidas de proteção.

Estou executando o Microsoft Content Management Server 2001 e personalizei o arquivo ManualLogin.asp. Existe alguma coisa que eu precise fazer? 
Esta atualização de segurança não atualiza Manuallogin.asp. Quaisquer personalizações feitas nesta página permanecerão depois que esta atualização tiver sido aplicada. Nós ainda recomendamos fazer backup de páginas ASP personalizadas antes da manutenção em qualquer site.

Para que um invasor pode usar a vulnerabilidade?
Um invasor que explore a vulnerabilidade com êxito pode injetar um script do lado do cliente no navegador do usuário. O script pode falsificar conteúdo, divulgar informações ou realizar todas as ações que o usuário pode realizar no site afetado. As tentativas de explorar essa vulnerabilidade exigem a interação do usuário. Também é possível explorar a vulnerabilidade para manipular os caches do navegador da Web e do servidor proxy intermediário, bem como colocar conteúdo falso nesses caches.

De que forma o invasor pode explorar a vulnerabilidade? 
Em um cenário de ataque por email, o invasor pode explorar a vulnerabilidade enviando uma mensagem de email especialmente criada para um usuário de um servidor que esteja executando um aplicativo de software afetado. O invasor poderá então convencer o usuário a clicar em um link na mensagem de email.

No cenário de ataque na Web, um invasor pode injetar um script do lado do cliente no navegador do usuário. O script pode falsificar conteúdo, divulgar informações ou realizar todas as ações que o usuário pode realizar no site afetado. As tentativas de explorar essa vulnerabilidade exigem a interação do usuário.

Também é possível explorar a vulnerabilidade para modificar os caches do navegador da Web e do servidor proxy intermediário, bem como colocar conteúdo falso nesses caches.

Quais são os principais sistemas que correm riscos com a vulnerabilidade? 
Os sites que são mantidos usando uma das versões afetadas do Microsoft Content Management Server.

A vulnerabilidade pode ser explorada pela Internet? 
Sim. Um invasor pode tentar explorar essa vulnerabilidade através da Internet. O invasor precisa saber o nome completo do servidor CMS visado para o ataque.

O que a atualização faz? 
A atualização elimina a vulnerabilidade modificando o modo como o Content Management Server valida solicitações de redirecionamento de HTTP.

Quando esse boletim de segurança foi lançado, essa vulnerabilidade já tinha sido divulgada publicamente? 
Não. A Microsoft recebeu informações sobre essa vulnerabilidade por meio de divulgação responsável. A Microsoft não recebeu nenhuma informação indicando que essa vulnerabilidade tenha sido divulgada publicamente quando este boletim de segurança foi lançado pela primeira vez. Este boletim de segurança trata a vulnerabilidade exposta em particular assim como problemas adicionais descobertos por investigações internas.

Quando este boletim de segurança foi lançado, a Microsoft tinha recebido algum relatório informando que essa vulnerabilidade estava sendo explorada? 
Não. A Microsoft não recebeu nenhuma informação indicando que essa vulnerabilidade tenha sido usada publicamente para atacar clientes e não testemunhou nenhum exemplo de publicação de código de verificação de conceito, quando este boletim de segurança foi lançado pela primeira vez.

Informações de atualização de segurança

Softwares afetados:

Para obter informações sobre a atualização de segurança específica para seu software afetado, consulte a seção apropriada:

Content Management Server

Detalhes sobre pré-requisitos e atualização adicional

Importante: Antes de instalar essa atualização, confirme se estes requisitos foram atendidos:

Para instalar, o Content Management Server 2001 Service Pack 1 deve estar instalado. Antes de instalar essa atualização, instale o Content Management Server 2001 Service Pack 1.

Para instalar, o Content Management Server 2002 Service Pack 2 deve estar instalado. Antes de instalar essa atualização, instale o Content Management Server 2002 Service Pack 2.

Recomendamos que os usuários do Content Management Server 2001 Service Pack 1 instalem MS03-002 antes de instalar esta atualização.

Inclusão em Service Packs futuros

Não há planejamento para Service Packs futuros do Content Management Server 2001 ou Content Management Server 2002; o Service Pack 2 é o mais recente.

Necessidade de Reinicialização

Para reduzir a chance de uma reinicialização não ser solicitada, interrompa todos os serviços afetados e feche todos os aplicativos que possam usar os arquivos afetados antes de instalar a atualização de segurança. Para obter mais informações sobre os motivos pelos quais você será solicitado a reiniciar, consulte o artigo 887012 (em inglês) da Base de Conhecimento Microsoft.

Informações sobre remoção

Depois que você instalar a atualização, não será possível removê-la. Para reverter para uma instalação antes de a atualização ter sido instalada, será necessário remover o aplicativo e instalá-lo novamente a partir do CD-ROM original.

Informações de instalação automatizada

Site do Microsoft Update

Esta atualização também está disponível no site Microsoft Update. O Microsoft Update consolida as atualizações disponibilizadas pelo Windows Update e pelo Office Update em um único local e permite que você escolha a entrega e instalação automáticas de atualizações de segurança de prioridade alta. Recomendamos que você instale essa atualização usando o site Windows Update. O site Microsoft Update detecta sua instalação em particular e solicita que você instale exatamente o que for necessário para que a instalação seja atualizada por completo.

Para que o site Microsoft Update detecte as atualizações necessárias que devem ser instaladas no computador, visite o site Microsoft Update. Você terá as opções Expressa (Recomendado) ou Personalizada. Concluída a detecção, você receberá uma lista de atualizações recomendadas para aprovação. Clique em Instalar Atualizações ou Revisar e instalar atualizações para concluir o processo.

Informações de instalação

Se você instalou o aplicativo a partir de uma localização de servidor, o administrador do servidor deve atualizar essa localização com a atualização administrativa e implantar essa atualização no seu computador.

Informações sobre instalação

As opções de instalação a seguir são relevantes para instalações administrativas, pois permitem que um administrador personalize o modo de extração dos arquivos na atualização de segurança.

A atualização de segurança oferece suporte às seguintes opções de instalação para o Content Management Server 2001 Service Pack 1:

Opções de instalação da atualização de segurança para as quais há suporte
OpçãoDescrição

/q

Especifica o modo silencioso ou suprime avisos durante a extração dos arquivos.

A atualização de segurança oferece suporte às seguintes opções de instalação para o Content Management Server 2002 Service Pack 1:

Opções de instalação da atualização de segurança para as quais há suporte
OpçãoDescrição

/q

Especifica o modo silencioso ou suprime avisos durante a extração dos arquivos.

/q:u

Especifica o modo silencioso-usuário, que exibe algumas caixas de diálogo ao usuário.

/q:a

Especifica o modo silencioso do administrador, que não exibe nenhuma caixa de diálogo ao usuário.

/t:caminho

Especifica a pasta de destino para extração dos arquivos.

/c

Extrai os arquivos sem instalá-los. Se /t:caminho não for especificado, será solicitada uma pasta de destino.

/c:path

Substitui o comando Instalar definido pelo autor. Especifica o caminho e o nome do arquivo .inf ou .exe da instalação.

/r:n

Nunca reinicia o computador após a instalação.

/r:I

Solicita que o usuário reinicie o computador, se necessário, exceto quando usado com /q:a

/r:a

Sempre reinicia o computador após a instalação.

/r:s

Reinicia o computador após a instalação sem consultar o usuário.

/n:v

Não é feita a verificação de versão – Instala o programa sobre qualquer versão anterior.

Observação Essas opções não funcionam necessariamente com todas as atualizações. Se uma opção não estiver disponível, essa funcionalidade será necessária para a instalação apropriada da atualização. Além disso, não há suporte à opção /n:v, o que pode resultar na impossibilidade de reinicialização do sistema. Se a instalação não foi bem-sucedida, consulte o profissional de suporte para saber o motivo.

Para obter mais informações sobre essas opções de instalação com suporte, leia o artigo 197147 (em inglês) da Base de Conhecimento Microsoft.

Informações sobre implantação

1.

Baixe esta atualização de segurança para Content Management Server 2001 Service Pack 1 ou Content Management Server 2002 Service Pack 2.

2.

Clique em Salvar este programa em disco e, em seguida, clique em OK.

3.

Clique em Salvar.

4.

Usando o Windows Explorer, navegue até a pasta que contém o arquivo salvo e clique duas vezes nele.

5.

Se for solicitada a instalação da atualização, clique em Sim.

6.

Clique em Sim para aceitar o Contrato de Licença.

7.

Insira o CD-ROM original quando solicitado e, em seguida, clique em OK.

8.

Quando aparecer uma mensagem informando que a instalação foi bem-sucedida, clique em OK.

Informações sobre o arquivo de instalação

A versão em inglês desta atualização tem os atributos de arquivo relacionados na tabela abaixo. As datas e as horas destes arquivos estão de acordo com a hora universal coordenada (UTC). Quando você exibe as informações do arquivo, ele é convertido para a hora local. Para saber a diferença entre o UTC e o horário local, use a guia Fuso Horário na ferramenta Data e Hora, no Painel de Controle.

Content Management Server 2001 Service Pack 1:

Nome do arquivoVersãoDataHoraTamanho

Aesecurityclient.dll

4.10.1157.0

09 de novembro de 2006

00:30

124.704

Aesecurityservice.exe

4.10.1157.0

09 de novembro de 2006

00:30

154.400

Aeserverobject.dll

4.10.1157.0

09 de novembro de 2006

00:30

1.157.400

Ncaspextensions.dll

4.10.1157.0

09 de novembro de 2006

00:30

117.536

Nrmsgres.dll

4.10.1157.0

09 de novembro de 2006

00:30

160.016

Reauthfilt.dll

4.10.1157.0

09 de novembro de 2006

00:30

50.448

Resolutionobjectmodel.dll

4.10.1157.0

09 de novembro de 2006

00:30

1.133.352

Serverconfigurationapi.dll

4.10.1157.0

09 de novembro de 2006

00:30

641.320

Content Management Server 2002 Service Pack 2:

Nome do arquivoVersãoDataHoraTamanho

Activexediting.vbs

 

30 de janeiro de 2007

20:47

17.857

Aejavaproxy.dll

5.0.4484.0

24 de outubro de 2003

10:33

1.994.752

Aeserverobject.dll

5.0.5317.0

30 de janeiro de 2007

21:14

1.193.472

Authformclientie.js

 

30 de janeiro de 2007

20:47

7.422

Cms2002.xml

 

26 de fevereiro de 2007

21:39

7.972

Console.js

 

30 de janeiro de 2007

20:47

9.501

Emitterthineditie_activex.inc

 

30 de janeiro de 2007

23:05

24.371

Hlink.js

 

30 de janeiro de 2007

20:47

5.204

Microsoft.contentmanagement.common.dll

5.0.5317.0

30 de janeiro de 2007

21:13

57.344

Microsoft.contentmanagement.developertools.visualstudio.dll

5.0.5317.0

30 de janeiro de 2007

21:17

126.976

Microsoft.contentmanagement.webauthor.dll

5.0.5317.0

30 de janeiro de 2007

21:15

397.312

Microsoft.contentmanagement.webcontrols.dll

5.0.5317.0

30 de janeiro de 2007

21:15

204.800

Ncaspextensions.dll

5.0.5317.0

30 de janeiro de 2007

21:13

164.864

Ncbmprdr.dll

5.0.5317.0

30 de janeiro de 2007

21:13

149.504

Nrdcapplication.exe

5.0.0.5317

30 de janeiro de 2007

21:18

2.240.608

Nrdhtml.cab

 

30 de janeiro de 2007

21:30

233.743

Nrsitedeployclient.dll

5.0.5317.0

30 de janeiro de 2007

21:15

588.800

Nrsitedeployserver.dll

5.0.5317.0

30 de janeiro de 2007

21:15

2.051.072

Resolutionobjectmodel.dll

5.0.5317.0

30 de janeiro de 2007

21:14

1.485.312

Verificando a aplicação da atualização

Microsoft Baseline Security Analyzer

Para verificar se uma atualização de segurança foi aplicada em um sistema afetado, é possível utilizar a ferramenta MBSA (Microsoft Baseline Security Analyzer). Consulte a seção de perguntas mais freqüentes, “Posso usar o MBSA (Microsoft Baseline Security Analyzer) para determinar se esta atualização é necessária?” na seção Perguntas mais freqüentes relacionadas a esta atualização de segurança, anteriormente neste boletim.

Verificação de Versão do Arquivo

Observação Como existem diversas versões do Microsoft Windows, as etapas a seguir podem ser diferentes no seu computador. Se isso acontecer, consulte a documentação do produto para completar estas etapas.

1.

Clique em Iniciar e, em seguida, clique em Pesquisar.

2.

No painel Resultados da Pesquisa, clique em Todos os arquivos e pastas, em Search Companion.

3.

Na caixa Todo ou parte do nome do arquivo, digite um nome de arquivo da tabela de informações de arquivo correta e clique em Pesquisar.

4.

Na lista de arquivos, clique com o botão direito do mouse em um nome de arquivo da tabela de informações de arquivo correta e clique em Propriedades.

Observação: dependendo da versão do sistema operacional ou dos programas instalados, alguns dos arquivos listados na tabela de informações de arquivos talvez não estejam instalados.

5.

Na guia Versão, determine a versão do arquivo instalado no computador comparando-o com a versão documentada na tabela de informações de arquivos correta.

Observação Atributos que não sejam a versão do arquivo podem ser alterados durante a instalação. A comparação de outros atributos de arquivo com as informações na tabela não é um método suportado para verificar se a atualização foi aplicada. Além disso, em alguns casos, arquivos podem ser renomeados durante a instalação. Se as informações sobre o arquivo ou a versão não estiverem presentes, use um dos outros métodos disponíveis para verificar a instalação da atualização.

Agradecimentos

A Microsoft agradece à pessoa citada abaixo por trabalhar conosco para ajudar a proteger os clientes:

Martyn Tovey, da Netcraft, por relatar a vulnerabilidade de script entre sites e falsificação no Serviço de Gerenciamento de Conteúdo da Microsoft – (CVE-2007-0939)

Obtendo Outras Atualizações de Segurança:

As atualizações para outros problemas de segurança estão disponíveis nos seguintes locais:

As atualizações de segurança estão disponíveis no Centro de Download da Microsoft. você poderá encontrá-las com mais facilidade, executando uma pesquisa com a palavra-chave "patch_de_segurança".

Atualizações para plataformas do cliente estão disponíveis no site Microsoft Update.

Suporte:

Os clientes nos EUA e Canadá podem receber suporte técnico dos Serviços de suporte ao produto Microsoft pelo telefone 1-866-PCSAFETY. As ligações para obter suporte associado a atualizações de segurança são gratuitas.

Os clientes de outros países podem obter suporte nas subsidiárias locais da Microsoft. O suporte associado a atualizações de segurança é gratuito. Para obter mais informações sobre como entrar em contato com a Microsoft a fim de obter suporte a problemas, visite o site de Suporte Internacional.

Recursos de segurança:

O site Microsoft TechNet Security fornece informações adicionais sobre segurança em produtos da Microsoft.

TechNet Update Management Center

Microsoft Software Update Services

Microsoft Windows Server Update Services

Microsoft Baseline Security Analyzer (MBSA)

Windows Update

Microsoft Update

Catálogo do Windows Update: Para obter mais informações sobre o Catálogo do Windows Update, consulte o artigo 323166 (em inglês) da Base de Conhecimento Microsoft.

Atualização do Office 

Serviços de Atualização de Software:

Usando o Microsoft Software Update Services (SUS), os administradores podem implantar de maneira rápida e confiável as últimas atualizações críticas e de segurança em servidores que executem o Windows 2000 e o Windows Server 2003 e em sistemas desktop que executem o Windows 2000 Professional ou o Windows XP Professional.

Para obter mais informações sobre como implantar atualizações de segurança usando os serviços de atualização de software, visite o site Software Update Services.

Windows Server Update Services

Usando o WSUS (Windows Server Update Services), os administradores podem implantar de forma rápida e confiável as mais recentes atualizações críticas e de segurança dos sistemas operacionais Windows 2000 e posterior, Office XP e posterior, Exchange Server 2003, e SQL Server 2000 nos sistemas operacionais Windows 2000 e posteriores.

Para obter mais informações sobre como implantar atualizações de segurança usando o recurso Windows Server Update Services, visite o site do Windows Server Update Services.

Systems Management Server:

O SMS (Microsoft Systems Management Server) fornece uma solução corporativa altamente configurável para gerenciar atualizações. Ao usar o SMS, os administradores podem identificar os sistemas baseados no Windows que precisam de atualizações de segurança, bem como executar uma implantação controlada dessas atualizações em toda a empresa com o mínimo de interrupção para os usuários finais. Para obter mais informações sobre como os administradores podem usar o SMS 2003 para implantar atualizações de segurança, visite o site Gerenciamento de Patches de Segurança do SMS 2003. Os usuários do SMS 2.0 também podem usar o Software Updates Service Feature Pack (site em inglês) para ajudar a implantar atualizações de segurança. Para obter mais informações sobre o SMS, visite o site do SMS.

Observação O SMS usa o Microsoft Baseline Security Analyzer, a Microsoft Office Detection Tool e a Enterprise Update Scanning Tool para oferecer amplo suporte à detecção e à implantação da atualização do boletim de segurança. Algumas atualizações de software podem não ser detectadas por essas ferramentas. Os administradores podem usar os recursos de inventário do SMS nesses casos para apontar as atualizações de sistemas específicos. Para obter mais informações sobre as classificações de gravidade, visite este site (em inglês). Algumas atualizações de segurança exigirão direitos administrativos quando o sistema for reiniciado. Os administradores podem usar a Elevated Rights Deployment Tool (disponível no SMS 2003 Administration Feature Pack e no SMS 2.0 Administration Feature Pack) (sites em inglês) para instalar essas atualizações.

Aviso de isenção de responsabilidade:

As informações fornecidas na Base de Conhecimento Microsoft são apresentadas "no estado em que se encontram", sem garantia de qualquer tipo. A Microsoft se isenta de todas as garantias, expressas ou implícitas, inclusive as garantias de comercialização e adequação a um propósito específico. Em hipótese alguma a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, inclusive danos diretos, indiretos, incidentais, conseqüenciais, danos por lucros cessantes ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido alertados da possibilidade dos referidos danos. Como alguns estados não permitem a exclusão ou limitação de responsabilidade por danos conseqüenciais ou indiretos, a limitação acima pode não ser aplicável a você.

Revisões: 

V1.0 (10 de abril de 2007): Boletim publicado.



©2015 Microsoft Corporation. Todos os direitos reservados. Entre em contato |Nota Legal |Marcas comerciais |Política de Privacidade
Microsoft