Boletim de Segurança da Microsoft MS06-059

Vulnerabilidades no Microsoft Excel podem permitir a execução remota de código (924164)

Publicado em: 10 10e outubro 10e 2006 | Atualizado em: 12 12e dezembro 12e 2006

Versão: 2.0

Resumo

Quem deve ler este documento: Clientes que usam o Microsoft Excel

Impacto da vulnerabilidade: Execução Remota de Código

Classificação máxima de gravidade: Crítica

Recomendação: Os clientes devem aplicar a atualização imediatamente.

Substituição da atualização de segurança: Esse boletim substitui uma atualização de segurança anterior. Veja a lista completa na seção Perguntas mais freqüentes deste boletim.

Advertências: Nenhuma

Locais de softwares testados e de download de atualização de segurança:

Softwares afetados:

•

Microsoft Office 2000 Service Pack 3

•	Microsoft Excel 2000 - Fazer o download da atualização (KB923090)

•

Microsoft Office XP Service Pack 3

•	Microsoft Excel 2002 - Fazer o download da atualização (KB923089)

•

Microsoft Office 2003 Service Pack 1 ou Service Pack 2

•	Microsoft Excel 2003 - Fazer o download da atualização (KB923088)
•	Microsoft Office Excel Viewer 2003 - Fazer o download da atualização (KB923275)

•

Microsoft Office 2004 para Mac

•	Microsoft Excel 2004 para Mac - Fazer o download da atualização (KB924999)

•

Microsoft Office v. X para Mac

•	Microsoft Excel v. X para Mac - Fazer o download da atualização (KB924998)

•

Microsoft Works Suites:

•	Microsoft Works Suite 2004 - Fazer o download da atualização (KB923089) (idêntica à atualização do Microsoft Excel 2002)
•	Microsoft Works Suite 2005 - Fazer o download da atualização (KB923089) (idêntica à atualização do Microsoft Excel 2002)
•	Microsoft Works Suite 2006 - Fazer o download da atualização (KB923089) (idêntica à atualização do Microsoft Excel 2002)

Os softwares dessa lista foram testados para se determinar se as versões são afetadas. Outras versões já não incluem suporte para a atualização de segurança ou podem não ser afetadas. Para determinar o ciclo de vida do suporte para seu produto e sua versão, visite o site do Microsoft Support Lifecycle.

Início da sessão

Informações Gerais

Sinopse

Sinopse:

Esta atualização elimina várias vulnerabilidades públicas descobertas recentemente e reportadas em particular. Cada vulnerabilidade está documentada neste boletim em sua própria seção “Detalhes da vulnerabilidade”.

Em versões vulneráveis do Office, se um usuário tiver feito logon com direitos de usuário administrativo, um invasor que tenha explorado com êxito essas vulnerabilidades poderá obter controle total da estação de trabalho cliente. O invasor poderá instalar programas; exibir, alterar ou excluir dados; ou criar novas contas com direitos totais de usuário. Os usuários cujas contas são configuradas com poucos direitos de usuário no sistema correm menos riscos do que aqueles que possuem direitos administrativos.

Recomendamos que os clientes apliquem a atualização imediatamente.

Classificação de Gravidade e Identificadores de Vulnerabilidade:

Identificadores de Vulnerabilidade	Impacto da Vulnerabilidade	Microsoft Excel 2000	Microsoft Excel 2002	Microsoft Excel 2003 e Excel Viewer 2003	Microsoft Excel 2004 para Mac e Excel v.X para Mac
Vulnerabilidade de registro DATETIME malformado do Excel - CVE-2006-2387	Execução Remota de Código	Crítica	Importante	Importante	Importante
Vulnerabilidade de registro STYLE malformado do Excel - CVE-2006-3431	Execução Remota de Código	Crítica	Importante	Importante	Importante
Vulnerabilidade da manipulação de arquivos Lotus 1-2-3 pelo Excel - CVE-2006-3867	Execução Remota de Código	Crítica	Importante	Importante	Importante
Vulnerabilidade de registro COLINFO malformado do Excel - CVE-2006-3875	Execução Remota de Código	Crítica	Importante	Importante	Importante
Gravidade agregada de todas as vulnerabilidades		Crítica	Importante	Importante	Importante

Essa avaliação baseia-se nos tipos de sistemas afetados pela vulnerabilidade, seus padrões comuns de implantação e o efeito da exploração da vulnerabilidade sobre eles.

Observação As classificações de gravidade do Microsoft Works Suite mapeiam-se para as versões do Microsoft Excel da seguinte forma:

•	A classificação de gravidade do Microsoft Works Suite 2004 é a mesma do Microsoft Excel 2002.
•	A classificação de gravidade do Microsoft Works Suite 2005 é a mesma do Microsoft Excel 2002.
•	A classificação de gravidade do Microsoft Works Suite 2006 é a mesma do Microsoft Excel 2002.

Início da sessão

Perguntas mais freqüentes relacionadas a esta atualização de segurança

Por que a Microsoft relançou este boletim em 12 de dezembro de 2006?
A Microsoft atualizou este boletim e as atualizações de segurança associadas a fim de abordar os problemas identificados no Artigo 924164 (em inglês) da Base de Conhecimento Microsoft que afetam o Microsoft Excel 2002.

Por que esta atualização elimina várias vulnerabilidades de segurança reportadas?
Esta atualização elimina várias vulnerabilidades porque as modificações necessárias para solucionar esses problemas se encontram em arquivos relacionados. Em vez de instalar várias atualizações quase iguais, os clientes poderão instalar apenas esta atualização.

Quais atualizações esta versão substitui?
Esta atualização de segurança substitui um boletim de segurança anterior. A identificação do boletim de segurança e os sistemas operacionais afetados estão relacionados na tabela a seguir.

ID do Boletim	Microsoft Excel 2000	Microsoft Excel 2002	Microsoft Excel 2003 e Excel Viewer 2003	Microsoft Excel 2004 para Mac e Excel v.X para Mac
MS06-037	Substituído	Substituído	Substituído	Substituído

Posso usar o MBSA (Microsoft Baseline Security Analyzer) para determinar se esta atualização é necessária?
A tabela a seguir fornece o resumo de detecção do MBSA para esta atualização de segurança.

Software	MBSA 1.2.1	MBSA 2.0
Microsoft Excel 2000	Sim	Não
Microsoft Excel 2002	Sim	Sim
Microsoft Excel 2003	Sim	Sim
Microsoft Excel 2004 para Mac	Não	Não
Microsoft Excel v. X para Mac	Não	Não

Observação O MBSA 1.2.1 usa uma versão integrada do Office Detection Tool (ODT) que não oferece suporte a verificações remotas desta atualização de segurança. Para obter mais informações sobre o MBSA, visite o site do MBSA.

Para obter mais informações sobre os programas que o Microsoft Update e o MBSA 2.0 atualmente não detectam, consulte o artigo 895660 (em inglês) da Base de Conhecimento Microsoft.

Para obter informações mais detalhadas sobre as diretrizes para detecção e implantação, consulte o Artigo 910723 da Base de Conhecimento Microsoft.

Posso usar o SMS (Systems Management Server) para determinar se esta atualização é necessária?
A tabela a seguir fornece o resumo de detecção de SMS para esta atualização de segurança.

Software	SMS 2.0	SMS 2003
Microsoft Excel 2000	Sim	Sim
Microsoft Excel 2002	Sim	Sim
Microsoft Excel 2003	Sim	Sim
Microsoft Excel 2004 para Mac	Não	Não
Microsoft Excel v. X para Mac	Não	Não

O SMS usa o MBSA para detecção. Portanto, o SMS tem a mesma limitação listada anteriormente neste boletim relacionada a programas que o MBSA não detecta.

Para o SMS 2.0, o SMS SUS Feature Pack, que inclui a ferramenta Security Update Inventory Tool, pode ser usado pelo SMS para detectar atualizações de segurança. O SMS SUIT usa o mecanismo do MBSA 1.2.1 para detecção. Para obter mais informações sobre a ferramenta Inventário da Atualização de Segurança, visite o seguinte site da Microsoft. Para obter mais informações sobre as limitações da ferramenta Security Update Inventory Tool, consulte o artigo 306460 (em inglês) da Base de Conhecimento Microsoft. O SMS SUS Feature Pack também inclui a ferramenta Office Inventory da Microsoft para detectar atualizações necessárias para aplicativos do Microsoft Office.

Para o SMS 2003, ferramenta de inventário do SMS 2003 para Microsoft Updates pode ser usada pelo SMS para detectar as atualizações de segurança oferecidas pelo Microsoft Update e que tenham suporte do Windows Server Update Services. Para obter mais informações sobre a ferramenta de inventário do SMS 2003 para Microsoft Updates, consulte o seguinte site da Microsoft. O SMS 2003 também pode usar a ferramenta Office Inventory da Microsoft para detectar as atualizações necessárias dos aplicativos do Microsoft Office.

Para obter mais informações sobre o SMS, visite o site do SMS.

Início da sessão

Detalhes da Vulnerabilidade

Vulnerabilidade de registro DATETIME malformado do Excel - CVE-2006-2387:

Existe uma vulnerabilidade de execução remota de código no Excel. Um invasor pode explorar esta vulnerabilidade quando o Excel analisa um arquivo e processa um registro DATETIME malformado.

Se um usuário tiver feito logon com direitos administrativos, o invasor que explorar com êxito essa vulnerabilidade poderá obter o controle total do sistema afetado. O invasor poderá instalar programas; exibir, alterar ou excluir dados; ou criar novas contas com direitos totais de usuário. Os usuários cujas contas são configuradas com poucos direitos de usuário no sistema correm menos riscos do que aqueles que possuem direitos administrativos.

Fatores atenuantes da vulnerabilidade de registro DATETIME malformado do Excel - CVE-2006-2387:

•	O invasor que explorar com êxito a vulnerabilidade poderá obter os mesmos direitos que o usuário local. Os usuários cujas contas são configuradas com poucos direitos de usuário no sistema correm menos riscos do que aqueles que possuem direitos administrativos.
•	Em um possível ataque pela Web, o invasor terá que hospedar um site que contenha o arquivo do Excel usado para tentar explorar essa vulnerabilidade. Além disso, sites comprometidos e sites que aceitem ou hospedem conteúdo fornecido pelo usuário podem conter conteúdo especialmente desenvolvido que pode explorar esta vulnerabilidade. Não há como o invasor forçar os usuários a visitarem o site mal-intencionado. Em vez disso, o invasor terá que atraí-los para lá, fazendo com que cliquem em um link que leve para esse site.
•	A vulnerabilidade não pode ser explorada automaticamente por email. Para que um ataque seja bem sucedido, um usuário deve abrir um anexo enviado em uma mensagem de email.
•	Os usuários que instalaram e usam a Office Document Open Confirmation Tool para Office 2000 receberão as opções Abrir, Salvar ou Cancelar antes de abrir um documento. Os recursos da Office Document Open Confirmation Tool estão incorporados no Office XP e no Office 2003.

Início da sessão

Soluções alternativas para a vulnerabilidade de registro DATETIME malformado do Excel - CVE-2006-2387:

•	Não abra nem salve arquivos do Microsoft Excel recebidos de fontes não confiáveis ou recebidos inesperadamente de fontes confiáveis. Essa vulnerabilidade pode ser explorada quando o usuário abre um arquivo especialmente criado.

Início da sessão

Perguntas freqüentes sobre a vulnerabilidade de registro DATETIME malformado do Excel - CVE-2006-2387:

Qual é o escopo da vulnerabilidade?
Existe uma vulnerabilidade de execução remota de código no Excel. Um invasor pode explorar esta vulnerabilidade quando o Excel analisa um arquivo e processa um registro DATETIME malformado.

O que provoca a vulnerabilidade?
O Excel não executa validação de dados suficiente quando processa o conteúdo de um arquivo .xls. Ao abrir um arquivo do Excel especialmente criado e analisar um registro DATETIME malformado, o Excel pode danificar a memória do sistema de forma que um invasor possa executar código arbitrário.

Para que um invasor pode usar a vulnerabilidade?
O invasor que explorar com êxito esta vulnerabilidade poderá executar qualquer ação no sistema que o usuário que abrir o arquivo puder executar.

De que forma o invasor pode explorar a vulnerabilidade?
Em um cenário de ataque por email, um invasor pode explorar a vulnerabilidade, enviando um arquivo especialmente criado para o usuário e persuadindo-o a abrir o arquivo.

Em um possível ataque pela Web, o invasor terá que hospedar um site que contenha o arquivo do Excel usado para tentar explorar essa vulnerabilidade. Além disso, sites comprometidos e sites que aceitem ou hospedem conteúdo fornecido pelo usuário podem conter conteúdo especialmente desenvolvido que pode explorar esta vulnerabilidade. Não há como o invasor forçar os usuários a visitarem o site mal-intencionado. Em vez disso, o invasor terá que atraí-los para lá, fazendo com que cliquem em um link que leve para esse site.

Quais são os principais sistemas que correm riscos com a vulnerabilidade?
As estações de trabalho e os servidores de terminal são os que correm mais risco. Os servidores correrão mais risco se usuários que tiverem permissões administrativas suficientes puderem fazer logon nos servidores e executar programas. Entretanto, as práticas recomendadas não recomendam esse procedimento.

O que a atualização faz?
A atualização elimina a vulnerabilidade modificando o modo como o Excel analisa o arquivo e valida um registro antes de transmiti-lo ao buffer alocado.

Quando esse boletim de segurança foi lançado, essa vulnerabilidade já tinha sido divulgada publicamente?
Não. A Microsoft recebeu informações sobre essa vulnerabilidade por meio de divulgação responsável. A Microsoft não recebeu nenhuma informação indicando que essa vulnerabilidade tenha sido divulgada publicamente quando este boletim de segurança foi lançado pela primeira vez. Este boletim de segurança trata a vulnerabilidade exposta em particular assim como problemas adicionais descobertos por investigações internas.

Quando este boletim de segurança foi lançado, a Microsoft tinha recebido algum relatório informando que essa vulnerabilidade estava sendo explorada?
Não. A Microsoft não recebeu nenhuma informação indicando que essa vulnerabilidade tenha sido usada publicamente para atacar clientes e não testemunhou nenhum exemplo de publicação de código de verificação de conceito, quando este boletim de segurança foi lançado pela primeira vez.

Início da sessão

Vulnerabilidade de registro STYLE malformado do Excel - CVE-2006-3431:

Existe uma vulnerabilidade de execução remota de código no Excel. Um invasor pode explorar esta vulnerabilidade quando o Excel analisa um arquivo e processa um registro STYLE malformado.

Fatores atenuantes da vulnerabilidade de registro STYLE malformado do Excel - CVE-2006-3431:

•	O invasor que explorar com êxito a vulnerabilidade poderá obter os mesmos direitos que o usuário local. Os usuários cujas contas são configuradas com poucos direitos de usuário no sistema correm menos riscos do que aqueles que possuem direitos administrativos.
•	Em um possível ataque pela Web, o invasor terá que hospedar um site que contenha o arquivo do Excel usado para tentar explorar essa vulnerabilidade. Além disso, sites comprometidos e sites que aceitem ou hospedem conteúdo fornecido pelo usuário podem conter conteúdo especialmente desenvolvido que pode explorar esta vulnerabilidade. Não há como o invasor forçar os usuários a visitarem o site mal-intencionado. Em vez disso, o invasor terá que atraí-los para lá, fazendo com que cliquem em um link que leve para esse site.
•	A vulnerabilidade não pode ser explorada automaticamente por email. Para que um ataque seja bem sucedido, um usuário deve abrir um anexo enviado em uma mensagem de email.
•	Os usuários que instalaram e usam a Office Document Open Confirmation Tool para Office 2000 receberão as opções Abrir, Salvar ou Cancelar antes de abrir um documento. Os recursos da Office Document Open Confirmation Tool estão incorporados no Office XP e no Office 2003.

Início da sessão

Soluções alternativas para a vulnerabilidade de registro STYLE malformado do Excel - CVE-2006-3431:

A Microsoft testou as seguintes soluções alternativas. Apesar de essas soluções alternativas não corrigirem a vulnerabilidade subjacente, elas ajudam a bloquear vetores de ataque conhecidos. Quando uma solução alternativa reduz a funcionalidade, ela é indicada na seção a seguir.

•

Não abra nem salve arquivos do Microsoft Excel recebidos de fontes não confiáveis ou recebidos inesperadamente de fontes confiáveis. Essa vulnerabilidade pode ser explorada quando o usuário abre um arquivo especialmente criado.

•

Baixe e execute a ferramenta "Office 2003 Add-in: Desktop Language Settings" para altear as configurações de idioma definidas para o Office.

•

Modifique o valor de "InstallLanguage" para caracteres que não sejam de dois bytes (DBCS)
Modificar a chave do Registro “InstallLanguage” ajuda a proteger o sistema afetado contra tentativas de exploração desta vulnerabilidade.

Observação O uso incorreto do Editor do Registro pode causar problemas sérios e exigir a reinstalação do sistema operacional. A Microsoft não garante que os problemas resultantes do uso incorreto do Editor do Registro possam ser solucionados. Você é responsável pelo uso do Editor do Registro. Para obter informações sobre como editar o Registro, consulte o tópico da Ajuda "Alterar chaves e valores" do Editor do Registro (Regedit.exe) ou exiba os tópicos da Ajuda "Adicionar e excluir informações no Registro" e "Editar informações do Registro" no Regedt32.exe.

Observação É recomendável fazer backup do Registro antes de editá-lo.

Para Windows 2000

Observação Anote as permissões que estão relacionadas na caixa de diálogo para que possa restaurá-las aos seus valores originais mais tarde

1.	Clique em Iniciar, clique em Executar, digite "rregedt32" (sem as aspas) e clique em OK.
2.	Expanda HKEY_CURRENT_USER e as seguintes subchaves: Software, Microsoft, Office, 11.0, Comum.
3.	Clique em LanguageResources e, então, clique duas vezes no valor InstallLanguage para abrir a caixa de diálogo “Editar valor DWORD”.
4.	Mude o valor de modo que represente um idioma que não seja do leste asiático, como 409 (inglês americano), e clique em OK.

Observação Para obter uma lista de outros IDs de idiomas, consulte o Artigo 324097 (em inglês) da Knowledge Base.

Para sistemas operacionais Windows XP Service Pack 1 ou superior

Observação Anote as permissões que estão relacionadas na caixa de diálogo para que possa restaurá-las aos seus valores originais mais tarde

1.	Clique em Iniciar, clique em Executar, digite "regedit" (sem as aspas) e clique em OK.
2.	Expanda HKEY_CURRENT_USER e as seguintes subchaves: Software, Microsoft, Office, 11.0, Comum.
3.	Clique em LanguageResources e, então, clique duas vezes no valor InstallLanguage para abrir a caixa de diálogo “Editar valor DWORD”.
4.	Mude o valor de modo que represente um idioma que não seja do leste asiático, como 409 (inglês americano), e clique em OK.

Observação Para obter uma lista de outros IDs de idiomas, consulte o Artigo 324097 (em inglês) da Knowledge Base.

Impacto da solução alternativa: Os símbolos de caracteres Unicode especiais em planilhas podem não ser exibidos corretamente.

Início da sessão

Perguntas freqüentes sobre a vulnerabilidade de registro STYLE malformado do Excel - CVE-2006-3431:

O que provoca a vulnerabilidade?
O Excel não executa validação de dados suficiente quando processa o conteúdo de um arquivo .xls. Ao abrir um arquivo do Excel especialmente criado e analisar um registro STYLE malformado, o Excel pode danificar a memória do sistema de forma que um invasor possa executar código arbitrário.

De que forma o invasor pode explorar a vulnerabilidade?
Em um possível ataque por email, o invasor pode explorar a vulnerabilidade enviando um arquivo especialmente criado para o usuário e persuadindo-o a abrir o arquivo.

O que a atualização faz?
A atualização elimina a vulnerabilidade modificando o modo como o Excel valida o tamanho de um registro antes de transmitir a mensagem ao buffer alocado.

Quando esse boletim de segurança foi lançado, essa vulnerabilidade já tinha sido divulgada publicamente?
Sim. Embora o relatório inicial tenha sido fornecido por divulgação responsável, a vulnerabilidade mais tarde foi divulgada publicamente. Este boletim de segurança trata a vulnerabilidade publicamente exposta assim como problemas adicionais descobertos por investigações internas.

Quando este boletim de segurança foi lançado, a Microsoft tinha recebido algum relatório informando que essa vulnerabilidade estava sendo explorada?
Não. A Microsoft viu exemplos de código de verificação de conceito divulgados publicamente, mas não recebeu nenhuma informação indicando que essa vulnerabilidade tenha sido usada publicamente para atacar clientes quando este boletim de segurança foi originalmente lançado.

Início da sessão

Vulnerabilidade da manipulação de arquivos Lotus 1-2-3 pelo Excel - CVE-2006-3867:

Existe uma vulnerabilidade de execução remota de código no Excel. Um invasor pode explorar essa vulnerabilidade quando o Excel manipula um arquivo do Lotus 1-2-3.

Fatores atenuantes da vulnerabilidade da manipulação de arquivos Lotus 1-2-3 pelo Excel - CVE-2006-3867:

•	O invasor que explorar com êxito a vulnerabilidade poderá obter os mesmos direitos que o usuário local. Os usuários cujas contas são configuradas com poucos direitos de usuário no sistema correm menos riscos do que aqueles que possuem direitos administrativos.
•	Em um possível ataque pela Web, o invasor terá que hospedar um site que contenha o arquivo do Lotus 1-2-3 aberto pelo Excel e usado para tentar explorar essa vulnerabilidade. Além disso, sites comprometidos e sites que aceitem ou hospedem conteúdo fornecido pelo usuário podem conter conteúdo especialmente desenvolvido que pode explorar esta vulnerabilidade. Não há como o invasor forçar os usuários a visitarem o site mal-intencionado. Em vez disso, o invasor terá que atraí-los para lá, fazendo com que cliquem em um link que leve para esse site.
•	A vulnerabilidade não pode ser explorada automaticamente por email. Para que um ataque seja bem sucedido, um usuário deve abrir um anexo enviado em uma mensagem de email.
•	Os usuários que instalaram e usam a Office Document Open Confirmation Tool para Office 2000 receberão as opções Abrir, Salvar ou Cancelar antes de abrir um documento. Os recursos da Office Document Open Confirmation Tool estão incorporados no Office XP e no Office 2003.

Início da sessão

Soluções alternativas para a vulnerabilidade da manipulação de arquivos Lotus 1-2-3 pelo Excel - CVE-2006-3867:

•	Não abra nem salve com o Microsoft Excel arquivos do Lotus 1-2-3 recebidos de fontes não confiáveis ou recebidos inesperadamente de fontes confiáveis. Essa vulnerabilidade pode ser explorada quando o usuário abre um arquivo especialmente criado.

Início da sessão

Perguntas freqüentes sobre a vulnerabilidade da manipulação de arquivos Lotus 1-2-3 pelo Excel - CVE-2006-3867:

Qual é o escopo da vulnerabilidade?
Existe uma vulnerabilidade de execução remota de código no Excel. Um invasor pode explorar essa vulnerabilidade quando o Excel manipula um arquivo do Lotus 1-2-3.

O que provoca a vulnerabilidade?
Ao abrir um arquivo do Lotus 1-2-3 especialmente criado, o Excel pode danificar a memória do sistema de forma que um invasor possa executar código arbitrário.

De que forma o invasor pode explorar a vulnerabilidade?
O invasor que explorar a vulnerabilidade com sucesso poderá obter os mesmos direitos que o usuário local. Os usuários cujas contas são configuradas com poucos direitos de usuário no sistema correm menos riscos do que aqueles que possuem direitos administrativos.

Em um possível ataque pela Web, o invasor terá que hospedar um site que contenha o arquivo do Lotus 1-2-3 aberto pelo Excel e usado para tentar explorar essa vulnerabilidade. Além disso, sites comprometidos e sites que aceitem ou hospedem conteúdo fornecido pelo usuário podem conter conteúdo especialmente desenvolvido que pode explorar esta vulnerabilidade. Não há como o invasor forçar os usuários a visitarem o site mal-intencionado. Em vez disso, o invasor terá que atraí-los para lá, geralmente fazendo com que cliquem em um link que leve para esse site.

O que a atualização faz?
A atualização elimina a vulnerabilidade modificando o modo como o Excel valida o tamanho de um registro antes de transmitir a mensagem ao buffer alocado.

Quando esse boletim de segurança foi lançado, essa vulnerabilidade já tinha sido divulgada publicamente?
Sim. Essa vulnerabilidade foi divulgada publicamente. Ela recebeu o número CVE-2006-3867 da lista Common Vulnerability and Exposure.

Início da sessão

Vulnerabilidade de registro COLINFO malformado - CVE-2006-3875:

Existe uma vulnerabilidade de execução remota de código no Excel. Um invasor pode explorar esta vulnerabilidade quando o Excel analisa um arquivo e processa um registro COLINFO malformado.

Fatores atenuantes da vulnerabilidade de registro COLINFO malformado - CVE-2006-3875:

•	O invasor que explorar com êxito a vulnerabilidade poderá obter os mesmos direitos que o usuário local. Os usuários cujas contas são configuradas com poucos direitos de usuário no sistema correm menos riscos do que aqueles que possuem direitos administrativos.
•	Em um possível ataque pela Web, o invasor terá que hospedar um site que contenha o arquivo do Excel usado para tentar explorar essa vulnerabilidade. Além disso, sites comprometidos e sites que aceitem ou hospedem conteúdo fornecido pelo usuário podem conter conteúdo especialmente desenvolvido que pode explorar esta vulnerabilidade. Não há como o invasor forçar os usuários a visitarem o site mal-intencionado. Em vez disso, o invasor terá que atraí-los para lá, fazendo com que cliquem em um link que leve para esse site.
•	A vulnerabilidade não pode ser explorada automaticamente por email. Para que um ataque seja bem sucedido, um usuário deve abrir um anexo enviado em uma mensagem de email.
•	Os usuários que instalaram e usam a Office Document Open Confirmation Tool para Office 2000 receberão as opções Abrir, Salvar ou Cancelar antes de abrir um documento. Os recursos da Office Document Open Confirmation Tool estão incorporados no Office XP e no Office 2003.

Início da sessão

Soluções alternativas para a vulnerabilidade de registro COLINFO malformado - CVE-2006-3875:

•	Não abra nem salve arquivos do Microsoft Excel recebidos de fontes não confiáveis ou recebidos inesperadamente de fontes confiáveis. Essa vulnerabilidade pode ser explorada quando o usuário abre um arquivo especialmente criado.

Início da sessão

Perguntas freqüentes sobre a vulnerabilidade de registro COLINFO malformado - CVE-2006-3875:

O que provoca a vulnerabilidade?
O Excel não executa validação de dados suficiente quando processa o conteúdo de um arquivo .xls. Ao abrir um arquivo do Excel especialmente criado e analisar um registro COLINFO malformado, o Excel pode danificar a memória do sistema de forma que um invasor possa executar código arbitrário.

De que forma o invasor pode explorar a vulnerabilidade?
No cenário de ataque na Web, o invasor pode hospedar um site que contém uma página da Web usada para explorar essa vulnerabilidade. Além disso, sites comprometidos e sites que aceitem ou hospedem conteúdo fornecido pelo usuário ou anúncios pode conter conteúdo especialmente desenvolvido que pode explorar esta vulnerabilidade. Em todos os casos, entretanto, um invasor não teria como forçar os usuários a visitarem os sites. Em vez disso, o invasor teria que convencê-los a visitar o site, geralmente fazendo com que eles cliquem em um link em um email ou mensagem do Instant Messenger que leva o usuário ao site do invasor.

Em um cenário de ataque por email, um invasor pode explorar a vulnerabilidade enviando um arquivo especialmente criado para o usuário e persuadindo-o a abrir o arquivo.

O que a atualização faz?
A atualização elimina a vulnerabilidade modificando o modo como o Excel valida o tamanho de um registro antes de transmitir a mensagem ao buffer alocado.

Início da sessão

Informações de atualização de segurança

Softwares afetados:

Para obter informações sobre uma atualização de segurança específica para seu software afetado, clique no link apropriado:

Excel 2000

Detalhes sobre pré-requisitos e atualização adicional

Importante antes de instalar a atualização, confirme se os requisitos a seguir foram atendidos:

•	O Microsoft Windows Installer 2.0 precisa estar instalado. O Microsoft Windows Server 2003, o Windows XP e o Microsoft Windows 2000 Service Pack 3 (SP3) incluem o Windows Installer 2.0 ou posterior. Para instalar a versão mais recente do Windows Installer, visite um destes sites da Microsoft:

Windows Installer 2.0 para Windows 95, Windows 98, Windows 98 SE e Windows Millennium Edition

Windows Installer 2.0 para Windows 2000 e Windows NT 4.0

•	O Office 2000 Service Pack 3 (SP3) deve estar instalado. Antes de instalar a atualização, instale o Office 2000 SP3. Para obter informações adicionais sobre como instalar o Office 2000 SP3, consulte o artigo 326585 (em inglês) da Base de Conhecimento Microsoft.

Para obter informações adicionais sobre como determinar a versão do Office 2000 que está instalada em seu computador, consulte o artigo 255275 (em inglês) da Base de Conhecimento Microsoft.

Inclusão em Service Packs futuros

Nenhum. O Service Pack 3 é o pacote mais recente para Office 2000.

Requisitos de reinicialização

Para reduzir a chance de uma reinicialização não ser solicitada, interrompa todos os serviços afetados e feche todos os aplicativos que possam usar os arquivos afetados antes de instalar a atualização de segurança. Para obter mais informações sobre os motivos pelos quais você será solicitado a reiniciar, consulte o artigo 887012 (em inglês) da Base de Conhecimento Microsoft.

Informações sobre remoção

Depois que você instalar a atualização, não será possível removê-la. Para reverter para uma instalação antes de a atualização ter sido instalada, será necessário remover o aplicativo e instalá-lo novamente a partir do CD-ROM original.

Início da sessão

Informações de Instalação Automatizada de Cliente

Site Atualização do Office

É recomendável instalar as atualizações do cliente Microsoft Office 2000 usando o site Office Update. O site Office Update detecta a sua instalação e solicita que você instale exatamente o necessário para a instalação ser completamente atualizada.

Para que o site Office Update detecte as atualizações necessárias que devem ser instaladas no seu computador, visite o site e clique em Verificar se há atualizações. Concluída a detecção, você receberá uma lista de atualizações recomendadas para aprovação. Clique em Aceitar e Instalar para concluir o processo.

Início da sessão

Informações de instalação manual de cliente

Para obter informações detalhadas sobre como instalar manualmente essa atualização, consulte a próxima seção.

Informações sobre instalação

A atualização de segurança fornece suporte às opções de instalação a seguir.

Opções de instalação da atualização de segurança para as quais há suporte
Opção	Descrição
/q	Especifica o modo silencioso ou suprime avisos durante a extração dos arquivos.
/q:u	Especifica o modo silencioso-usuário, que exibe algumas caixas de diálogo ao usuário.
/q:a	Especifica o modo silencioso do administrador, que não exibe nenhuma caixa de diálogo ao usuário.
/t:caminho	Especifica a pasta de destino para extração dos arquivos.
/c	Extrai os arquivos sem instalá-los. Se /t:caminho não for especificado, será solicitada uma pasta de destino.
/c:caminho	Substitui o comando Instalar definido pelo autor. Especifica o caminho e o nome do arquivo .inf ou .exe da instalação.
/r:n	Nunca reinicia o computador após a instalação.
/r:I	Solicita que o usuário reinicie o computador, se necessário, exceto quando usado com /q:a
/r:a	Sempre reinicia o computador após a instalação.
/r:s	Reinicia o computador após a instalação sem consultar o usuário.
/n:v	Não é feita a verificação de versão – Instala o programa sobre qualquer versão anterior.

Observação Essas opções não funcionam necessariamente com todas as atualizações. Se uma opção não estiver disponível, essa funcionalidade será necessária para a instalação apropriada da atualização. Além disso, não há suporte à opção /n:v, o que pode resultar na impossibilidade de reinicialização do sistema. Se a instalação não foi bem-sucedida, consulte o profissional de suporte para saber o motivo.

Para obter mais informações sobre essas opções de instalação com suporte, leia o artigo 197147 (em inglês) da Base de Conhecimento Microsoft.

Observação A atualização do Office completa destina-se a cenários de implantação administrativos e clientes.

Informações sobre a implantação cliente

1.	Baixe a atualização de segurança para Excel 2000.
2.	Clique em Salvar este programa em disco e, em seguida, clique em OK.
3.	Clique em Salvar.
4.	Usando o Windows Explorer, navegue até a pasta que contém o arquivo salvo e clique duas vezes nele.
5.	Se for solicitada a instalação da atualização, clique em Sim.
6.	Clique em Sim para aceitar o Contrato de Licença.
7.	Insira o CD-ROM original quando solicitado e, em seguida, clique em OK.
8.	Quando aparecer uma mensagem informando que a instalação foi bem-sucedida, clique em OK.

Observação Se a atualização de segurança já estiver instalada no computador, você receberá a seguinte mensagem de erro: Esta atualização já foi aplicada ou está incluída em uma atualização que já foi aplicada.

Informações sobre o arquivo de instalação cliente

A versão em inglês desta atualização tem os atributos de arquivo relacionados na tabela abaixo. As datas e as horas destes arquivos estão de acordo com a hora universal coordenada (UTC). Quando você exibe as informações do arquivo, ele é convertido para a hora local. Para saber a diferença entre o UTC e o horário local, use a guia Fuso Horário na ferramenta Data e Hora, no Painel de Controle.

Excel 2000:

Nome do arquivo	Versão	Data	Hora	Tamanho
Excel.exe	9.0.0.8950	06 de setembro de 2006	00:37	7.233.581

Verificando a aplicação da atualização

•	Microsoft Baseline Security Analyzer

Observação O MBSA 1.2.1 usa uma versão integrada do Office Detection Tool (ODT) que não oferece suporte a verificações remotas deste problema. Para obter mais informações sobre o MBSA, visite o site do MBSA. Para obter mais informações sobre o suporte ao MBSA, visite o site Microsoft Baseline Security Analyzer 1.2 Q&A (em inglês).

•	Verificação de versão de arquivo

Observação Como existem várias versões do Microsoft Windows, as etapas a seguir podem ser diferentes no seu computador. Se isso acontecer, consulte a documentação do produto para completar estas etapas.

1.	Clique em Iniciar e, em seguida, clique em Pesquisar.
2.	No painel Resultados da Pesquisa, clique em Todos os arquivos e pastas, em Search Companion.
3.	Na caixa Todo ou parte do nome do arquivo, digite um nome de arquivo da tabela de informações de arquivo correta e clique em Pesquisar.
4.	Na lista de arquivos, clique com o botão direito do mouse em um nome de arquivo da tabela de informações de arquivo correta e clique em Propriedades. Observação Dependendo da versão do sistema operacional ou dos programas instalados, alguns dos arquivos listados na tabela de informações de arquivos podem não estar instalados.
5.	Na guia Versão, determine a versão do arquivo instalado no computador comparando-o com a versão documentada na tabela de informações de arquivos correta. Observação Atributos com versão diferente da versão do arquivo podem ser alterados durante a instalação. A comparação de outros atributos de arquivo com as informações na tabela não é um método suportado para verificar se a atualização foi aplicada. Além disso, em alguns casos, arquivos podem ser renomeados durante a instalação. Se as informações sobre o arquivo ou a versão não estiverem presentes, use um dos outros métodos disponíveis para verificar a instalação da atualização.

Início da sessão

Informações de instalação administrativa

Se você instalou o aplicativo a partir de uma localização de servidor, o administrador do servidor deve atualizar essa localização com a atualização administrativa e implantar essa atualização no seu computador.

Informações sobre instalação

As opções de instalação a seguir são relevantes para instalações administrativas, pois permitem que um administrador personalize o modo de extração dos arquivos na atualização de segurança.

Opções de instalação da atualização de segurança para as quais há suporte
Opção	Descrição
/?	Exibe as opções de linha de comando.
/q	Especifica o modo silencioso ou suprime avisos durante a extração dos arquivos.
/t:caminho	Especifica a pasta de destino para extração dos arquivos.
/c	Extrai os arquivos sem instalá-los. Se /t:caminho não for especificado, será solicitada uma pasta de destino.
/c:caminho	Substitui o comando Instalar definido pelo autor. Especifica o caminho e o nome do arquivo .inf ou .exe da instalação.

Para obter mais informações sobre essas opções de instalação com suporte, leia o artigo 197147 (em inglês) da Base de Conhecimento Microsoft.

Informações de implantação administrativa

Para atualizar a sua instalação administrativa, siga estas etapas:

1.	Baixe a atualização de segurança para Excel 2000.
2.	Clique em Salvar este programa em disco e, em seguida, clique em OK.
3.	Clique em Salvar.
4.	Usando o Windows Explorer, localize a pasta que contém o arquivo salvo. Clique em Iniciar, em Executar, digite o comando a seguir e clique em OK para extrair o arquivo .msp: [caminho\nome do arquivo EXE] /c /t:C:\AdminUpdate Observação Clicar duas vezes no arquivo .exe não extrai o arquivo .msp; ele aplica a atualização ao computador local. Para aplicar a atualização em uma imagem administrativa, você deve primeiro extrair o arquivo .msp.
5.	Clique em Sim para aceitar o Contrato de Licença.
6.	Clique em Sim se for solicitada a criação da pasta.
7.	Se estiver familiarizado com o procedimento de atualização de sua instalação administrativa, clique em Iniciar, Executar, digite o comando a seguir e clique em OK: msiexec /a Caminho Admin\Arquivo MSI /p C:\adminUpdate\Arquivo MSPSHORTFILENAMES=TRUE ObservaçãoCaminho Admin é o caminho do ponto de instalação administrativa do aplicativo (por exemplo, C:\Office2000), Arquivo MSI é o pacote de banco de dados .msi do aplicativo (por exemplo, Data1.msi) e Arquivo MSP é o nome da atualização administrativa (por exemplo, SHAREDff.msp). Observação Você pode acrescentar /qb+ à linha de comando para que a caixa de diálogo Instalação Administrativa e a caixa de diálogo Contrato de Licença de Usuário Final não apareçam.
8.	Clique em Avançar na caixa de diálogo fornecida. Não altere a chave do CD (CD Key), o local de instalação ou o nome da empresa na caixa de diálogo fornecida.
9.	Clique em Aceito os termos do Contrato de Licença e em Instalar.

Seu ponto de instalação administrativa já está atualizado. Em seguida, atualize as configurações de estações de trabalho que foram originalmente instaladas a partir dessa instalação administrativa. Para isso, consulte a seção "Informações sobre a implantação de estação de trabalho". As instalações novas que você executa a partir desse ponto de instalação administrativa incluirão a atualização.

Aviso Todas as configurações de estações de trabalho originalmente instaladas a partir dessa instalação administrativa antes da instalação da atualização não poderão usar esse tipo de instalação para ações como correção do Office ou adição de novos recursos até que você conclua as etapas na seção "Informações sobre a implantação de estação de trabalho".

Informações sobre a implantação de estação de trabalho

Para implantar a atualização em estações de trabalho clientes, clique em Iniciar, Executar e, em seguida, digite o seguinte comando e clique em OK:

msiexec /I Caminho Admin\MSI File /qb REINSTALL=Feature List REINSTALLMODE=vomu

Observação Caminho Admin é o caminho do ponto da instalação administrativa do seu aplicativo (por exemplo, C:\Office2000), Arquivo MSI é o pacote do banco de dados .msi do aplicativo (por exemplo, Data1.msi) e Lista de Recursos é a lista de nomes dos recursos (com distinção entre maiúsculas/minúsculas) que devem ser reinstalados para a atualização.

Para instalar todos os recursos, você pode usar REINSTALL=ALL ou instalar os recursos a seguir.

Produto	Recurso
O9EXL, O9PRM, O9PRO, O9SBE, O9PIPC1, O9PIPC2, O9STD	EXCELFiles,WORDNonBootFiles

Observação No site Office Admin Update Center (em inglês), os administradores que trabalham em ambientes gerenciados podem encontrar recursos completos para implantar atualizações do Office em uma organização. Neste site, role e procure na seção Update Resources para a versão do software que você está atualizando. A documentação do Windows Installer também fornece mais informações sobre os parâmetros aos quais o Windows Installer oferece suporte.

Informações sobre o arquivo de instalação administrativa

Excel 2000:

Nome do arquivo	Versão	Data	Hora	Tamanho
Excel.exe	9.0.0.8950	06 de setembro de 2006	00:37	7.233.581

Verificando a aplicação da atualização

•	Microsoft Baseline Security Analyzer

•	Verificação de versão de arquivo

1.	Clique em Iniciar e, em seguida, clique em Pesquisar.
2.	No painel Resultados da Pesquisa, clique em Todos os arquivos e pastas, em Search Companion.
3.	Na caixa Todo ou parte do nome do arquivo, digite um nome de arquivo da tabela de informações de arquivo correta e clique em Pesquisar.
4.	Na lista de arquivos, clique com o botão direito do mouse em um nome de arquivo da tabela de informações de arquivo correta e clique em Propriedades. Observação Dependendo da versão do sistema operacional ou dos programas instalados, alguns dos arquivos listados na tabela de informações de arquivos podem não estar instalados.
5.	Na guia Versão, determine a versão do arquivo instalado no computador comparando-o com a versão documentada na tabela de informações de arquivos correta. Observação Atributos com versão diferente da versão do arquivo podem ser alterados durante a instalação. A comparação de outros atributos de arquivo com as informações na tabela não é um método suportado para verificar se a atualização foi aplicada. Além disso, em alguns casos, arquivos podem ser renomeados durante a instalação. Se as informações sobre o arquivo ou a versão não estiverem presentes, use um dos outros métodos disponíveis para verificar a instalação da atualização.

Início da sessão

Excel 2002

Detalhes sobre pré-requisitos e atualização adicional

Importante: Antes de instalar essa atualização, confirme se estes requisitos foram atendidos:

•

O Microsoft Windows Installer 2.0 precisa estar instalado. O Microsoft Windows Server 2003, o Windows XP e o Microsoft Windows 2000 Service Pack 3 (SP3) incluem o Windows Installer 2.0 ou uma versão posterior. Para instalar a versão mais recente do Windows Installer, visite um destes sites da Microsoft:

Windows Installer 2.0 para Windows 95, Windows 98, Windows 98 SE e Windows Millennium Edition

Windows Installer 2.0 para Windows 2000 e Windows NT 4.0

•	O Office XP Service Pack 3 (SP3) deve estar instalado. Antes de instalar a atualização, instale o Office XP SP3. Para obter informações adicionais sobre como instalar o Office XP SP3, consulte o artigo 832671 (em inglês) da Base de Conhecimento Microsoft.

Para obter mais informações sobre como determinar a versão do Office XP instalada em seu computador, consulte o artigo 291331 (em inglês) da Base de Conhecimento Microsoft . Para obter mais informações sobre as informações da versão exibida na caixa de diálogo Sobre, consulte o artigo 328294 (em inglês) da Base de Conhecimento Microsoft.

Inclusão em Service Packs futuros

Nenhum. O Service Pack 3 é o pacote mais recente para o Office XP.

Requisitos de reinicialização

Informações sobre remoção

Para remover esta atualização de segurança, use a ferramenta Adicionar ou Remover Programas no Painel de Controle.

Observação Ao remover esta atualização, você será solicitado a inserir o CD do Microsoft Office XP na unidade de CD. Além disso, é possível que você não tenha a opção de desinstalar a atualização na ferramenta Adicionar ou Remover Programas do Painel de Controle. Este problema tem várias causas possíveis. Para obter mais informações sobre remoção, consulte o artigo 903771 (em inglês) da Base de Conhecimento Microsoft.

Início da sessão

Informações de Instalação Automatizada de Cliente

Site do Microsoft Update

Esta atualização também está disponível no site Microsoft Update. O Microsoft Update consolida as atualizações disponibilizadas pelo Windows Update e pelo Office Update em um único local e permite que você escolha a entrega e instalação automáticas de atualizações de segurança de prioridade alta. Recomendamos que você instale essa atualização usando o site Windows Update. O site Microsoft Update detecta sua instalação em particular e solicita que você instale exatamente o que for necessário para que a instalação seja atualizada por completo.

Para que o site Microsoft Update detecte as atualizações necessárias que devem ser instaladas no computador, visite o site Microsoft Update. Você terá as opções Expressa (Recomendado) ou Personalizada. Concluída a detecção, você receberá uma lista de atualizações recomendadas para aprovação. Clique em Instalar Atualizações ou Revisar e instalar atualizações para concluir o processo.

Início da sessão

Informações de instalação manual de cliente

Para obter informações detalhadas sobre como instalar manualmente essa atualização, consulte a próxima seção.

Informações sobre instalação

A atualização de segurança fornece suporte às opções de instalação a seguir.

Opções de instalação da atualização de segurança para as quais há suporte
Opção	Descrição
/q	Especifica o modo silencioso ou suprime avisos durante a extração dos arquivos.
/q:u	Especifica o modo silencioso-usuário, que exibe algumas caixas de diálogo ao usuário.
/q:a	Especifica o modo silencioso do administrador, que não exibe nenhuma caixa de diálogo ao usuário.
/t:caminho	Especifica a pasta de destino para extração dos arquivos.
/c	Extrai os arquivos sem instalá-los. Se /t:caminho não for especificado, será solicitada uma pasta de destino.
/c:caminho	Substitui o comando Instalar definido pelo autor. Especifica o caminho e o nome do arquivo .inf ou .exe da instalação.
/r:n	Nunca reinicia o computador após a instalação.
/r:I	Solicita que o usuário reinicie o computador, se necessário, exceto quando usado com /q:a
/r:a	Sempre reinicia o computador após a instalação.
/r:s	Reinicia o computador após a instalação sem consultar o usuário.
/n:v	Não é feita a verificação de versão – Instala o programa sobre qualquer versão anterior.

Para obter mais informações sobre essas opções de instalação com suporte, leia o artigo 197147 (em inglês) da Base de Conhecimento Microsoft.

Observação A atualização do Office completa destina-se a cenários de implantação administrativos e clientes.

Informações sobre a implantação cliente

1.	Baixe a atualização de segurança para Excel 2002.
2.	Clique em Salvar este programa em disco e, em seguida, clique em OK.
3.	Clique em Salvar.
4.	Usando o Windows Explorer, navegue até a pasta que contém o arquivo salvo e clique duas vezes nele.
5.	Se for solicitada a instalação da atualização, clique em Sim.
6.	Clique em Sim para aceitar o Contrato de Licença.
7.	Insira o CD-ROM original quando solicitado e, em seguida, clique em OK.
8.	Quando aparecer uma mensagem informando que a instalação foi bem-sucedida, clique em OK.

Informações sobre o arquivo de instalação cliente

Excel 2002:

Nome do arquivo	Versão	Data	Hora	Tamanho
Excel.exe	10.0.6816.0	17-ago-2006	22:20	9.358.096

Início da sessão

Informações de instalação administrativa

Informações sobre instalação

Opções de instalação da atualização de segurança para as quais há suporte
Opção	Descrição
/?	Exibe as opções de linha de comando.
/q	Especifica o modo silencioso ou suprime avisos durante a extração dos arquivos.
/t:caminho	Especifica a pasta de destino para extração dos arquivos.
/c	Extrai os arquivos sem instalá-los. Se /t:caminho não for especificado, será solicitada uma pasta de destino.
/c:caminho	Substitui o comando Instalar definido pelo autor. Especifica o caminho e o nome do arquivo .inf ou .exe da instalação.

Para obter mais informações sobre essas opções de instalação com suporte, leia o artigo 197147 (em inglês) da Base de Conhecimento Microsoft.

Informações de implantação administrativa

Para atualizar a sua instalação administrativa, siga estas etapas:

1.	Baixe a atualização de segurança para Excel 2002.
2.	Clique em Salvar este programa em disco e, em seguida, clique em OK.
3.	Clique em Salvar.
4.	Usando o Windows Explorer, localize a pasta que contém o arquivo salvo. Clique em Iniciar, em Executar, digite o comando a seguir e clique em OK para extrair o arquivo .msp: [caminho\nome do arquivo EXE] /c /t:C:\AdminUpdate Observação Clicar duas vezes no arquivo .exe não extrai o arquivo .msp; ele aplica a atualização ao computador local. Para aplicar a atualização em uma imagem administrativa, você deve primeiro extrair o arquivo .msp.
5.	Clique em Sim para aceitar o Contrato de Licença.
6.	Clique em Sim se for solicitada a criação da pasta.
7.	Se estiver familiarizado com o procedimento da instalação de sua atualização administrativa, clique em Iniciar, Executar, digite o comando a seguir e clique em OK: msiexec /a Caminho Admin\Arquivo MSI /p C:\adminUpdate\Arquivo MSP SHORTFILENAMES=TRUE Observação Caminho Admin é o caminho do ponto de instalação administrativa do aplicativo (por exemplo, C:\OfficeXp), Arquivo MSI é o pacote de banco de dados .msi do aplicativo (por exemplo, Data1.msi) e Arquivo MSP é o nome da atualização administrativa (por exemplo, SHAREDff.msp). Observação Você pode acrescentar /qb+ à linha de comando para que a caixa de diálogo Instalação Administrativa e a caixa de diálogo Contrato de Licença de Usuário Final não apareçam.
8.	Clique em Avançar na caixa de diálogo fornecida. Não altere a chave do CD (CD Key), o local de instalação ou o nome da empresa na caixa de diálogo fornecida.
9.	Clique em Aceito os termos do Contrato de Licença e em Instalar.

Seu ponto de instalação administrativa já está atualizado. Em seguida, atualize as configurações de estações de trabalho que foram originalmente instaladas a partir dessa instalação administrativa. Para isso, consulte a seção “Informações sobre a implantação de estação de trabalho”. As instalações novas que você executa a partir desse ponto de instalação administrativa incluirão a atualização.

Informações sobre a implantação de estação de trabalho

Para implantar a atualização em estações de trabalho clientes, clique em Iniciar, Executar e, em seguida, digite o seguinte comando e clique em OK:

msiexec /I Caminho Admin\MSI File /qb REINSTALL=Feature List REINSTALLMODE=vomu

Observação Caminho Admin é o caminho do ponto da instalação administrativa do seu aplicativo (por exemplo, C:\OfficeXP), Arquivo MSI é o pacote do banco de dados .msi do aplicativo (por exemplo, Data1.msi) e Lista de Recursos é a lista de nomes dos recursos (com distinção entre maiúsculas/minúsculas) que devem ser reinstalados para a atualização.

Para instalar todos os recursos, você pode usar REINSTALL=ALL ou instalar os recursos a seguir.

Produto	Recurso
PIPC1, PROPLUS, PRO, SBE, STD, STDEDU	EXCELFiles,WORDNonBootFiles
EXCEL	EXCELFiles

Observação No site Office Admin Update Center (em inglês), os administradores que trabalham em ambientes gerenciados podem encontrar recursos completos para implantar atualizações do Office em uma organização. Na home page do site, procure na seção Update Strategies a versão do software que você está atualizando. A documentação do Windows Installer também fornece mais informações sobre os parâmetros aos quais o Windows Installer oferece suporte.

Informações sobre o arquivo de instalação administrativa

Excel 2002:

Nome do arquivo	Versão	Data	Hora	Tamanho
Excel.exe	10.0.6816.0	17-ago-2006	22:20	9.358.096

Verificando a aplicação da atualização

•	Microsoft Baseline Security Analyzer

Observação Para verificar se uma atualização de segurança foi aplicada a um sistema afetado, é possível usar a ferramenta MBSA (Microsoft Baseline Security Analyzer). Essa ferramenta permite que os administradores examinem os sistemas locais e remotos para saber se faltam atualizações de segurança ou se existem parâmetros de segurança comuns incorretamente configurados. Para obter mais informações sobre o MBSA, visite o site Microsoft Baseline Security Analyzer (em inglês).

•	Verificação de versão de arquivo

1.	Clique em Iniciar e, em seguida, clique em Pesquisar.
2.	No painel Resultados da Pesquisa, clique em Todos os arquivos e pastas, em Search Companion.
3.	Na caixa Todo ou parte do nome do arquivo, digite um nome de arquivo da tabela de informações de arquivo correta e clique em Pesquisar.
4.	Na lista de arquivos, clique com o botão direito do mouse em um nome de arquivo da tabela de informações de arquivo correta e clique em Propriedades. Observação Dependendo da versão do sistema operacional ou dos programas instalados, alguns dos arquivos listados na tabela de informações de arquivos podem não estar instalados.
5.	Na guia Versão, determine a versão do arquivo instalado no computador comparando-o com a versão documentada na tabela de informações de arquivos correta. Observação Atributos com versão diferente da versão do arquivo podem ser alterados durante a instalação. A comparação de outros atributos de arquivo com as informações na tabela não é um método suportado para verificar se a atualização foi aplicada. Além disso, em alguns casos, arquivos podem ser renomeados durante a instalação. Se as informações sobre o arquivo ou a versão não estiverem presentes, use um dos outros métodos disponíveis para verificar a instalação da atualização.

Início da sessão

Excel 2003

Detalhes sobre pré-requisitos e atualização adicional

Importante: Antes de instalar essa atualização, confirme se estes requisitos foram atendidos:

•	Para atualizar o Office 2003, o Office 2003 Service Pack 1 ou o Office 2003 Service Pack 2 deve estar instalado. Antes de instalar essa atualização, instale o Office 2003 SP1 ou o Office 2003 SP2.
•	Para instalar o Office 2003 Excel Viewer, o Office 2003 Excel Viewer precisa estar instalado. Antes de instalar esta atualização, instale o Office Excel Viewer 2003.

Para obter mais informações sobre como determinar a versão do Office 2003 instalada em seu computador, consulte o artigo 821549 (em inglês) da Base de Conhecimento Microsoft . Para obter mais informações sobre as informações da versão exibida na caixa de diálogo Sobre, consulte o artigo 328294 (em inglês) da Base de Conhecimento Microsoft.

Inclusão em Service Packs futuros

A correção deste problema será incluída em um service pack futuro.

Requisitos de reinicialização

Informações sobre remoção

Para remover esta atualização de segurança, use Adicionar ou Remover Programas no Painel de Controle.

Observação Ao remover esta atualização, você será solicitado a inserir o CD do Microsoft Office 2003 na unidade de CD. Além disso, é possível que você não tenha a opção de desinstalar a atualização em Adicionar ou Remover Programas do Painel de Controle. Este problema tem várias causas possíveis. Para obter mais informações sobre remoção, consulte o artigo 903771 (em inglês) da Base de Conhecimento Microsoft.

Início da sessão

Informações de Instalação Automatizada de Cliente

Site do Microsoft Update

Início da sessão

Informações de instalação manual de cliente

Para obter informações detalhadas sobre como instalar manualmente essa atualização, consulte a próxima seção.

Informações sobre instalação

A atualização de segurança fornece suporte às opções de instalação a seguir.

Opções de instalação da atualização de segurança para as quais há suporte
Opção	Descrição
/q	Especifica o modo silencioso ou suprime avisos durante a extração dos arquivos.
/q:u	Especifica o modo silencioso-usuário, que exibe algumas caixas de diálogo ao usuário.
/q:a	Especifica o modo silencioso do administrador, que não exibe nenhuma caixa de diálogo ao usuário.
/t:caminho	Especifica a pasta de destino para extração dos arquivos.
/c	Extrai os arquivos sem instalá-los. Se /t:caminho não for especificado, será solicitada uma pasta de destino.
/c:caminho	Substitui o comando Instalar definido pelo autor. Especifica o caminho e o nome do arquivo .inf ou .exe da instalação.
/r:n	Nunca reinicia o computador após a instalação.
/r:I	Solicita que o usuário reinicie o computador, se necessário, exceto quando usado com /q:a
/r:a	Sempre reinicia o computador após a instalação.
/r:s	Reinicia o computador após a instalação sem consultar o usuário.
/n:v	Não é feita a verificação de versão – Instala o programa sobre qualquer versão anterior.

Para obter mais informações sobre essas opções de instalação com suporte, leia o artigo 197147 (em inglês) da Base de Conhecimento Microsoft.

Observação A atualização do Office completa destina-se a cenários de implantação administrativos e clientes.

Informações sobre a implantação cliente

1.	Baixe a atualização de segurança para Excel 2003 e/ou baixe a atualização de segurança para Excel 2003 Viewer
2.	Clique em Salvar este programa em disco e, em seguida, clique em OK.
3.	Clique em Salvar.
4.	Usando o Windows Explorer, navegue até a pasta que contém o arquivo salvo e clique duas vezes nele.
5.	Se for solicitada a instalação da atualização, clique em Sim.
6.	Clique em Sim para aceitar o Contrato de Licença.
7.	Insira o CD-ROM original quando solicitado e, em seguida, clique em OK.
8.	Quando aparecer uma mensagem informando que a instalação foi bem-sucedida, clique em OK.

Informações sobre o arquivo de instalação cliente

Excel 2003:

Nome do arquivo	Versão	Data	Hora	Tamanho
Excel.exe	11.0.8105.0	24 de agosto de 2006	03:20	10.269.456

Excel Viewer 2003:

Nome do arquivo	Versão	Data	Hora	Tamanho
Xlview.exe	11.0.8104.0	17-ago-2006	22:58	5.237.520

Início da sessão

Informações de instalação administrativa

Informações sobre instalação

Opções de instalação da atualização de segurança para as quais há suporte
Opção	Descrição
/?	Exibe as opções de linha de comando.
/q	Especifica o modo silencioso ou suprime avisos durante a extração dos arquivos.
/t:caminho	Especifica a pasta de destino para extração dos arquivos.
/c	Extrai os arquivos sem instalá-los. Se /t:caminho não for especificado, será solicitada uma pasta de destino.
/c:caminho	Substitui o comando Instalar definido pelo autor. Especifica o caminho e o nome do arquivo .inf ou .exe da instalação.

Para obter mais informações sobre essas opções de instalação com suporte, leia o artigo 197147 (em inglês) da Base de Conhecimento Microsoft.

Informações de implantação administrativa

Para atualizar a sua instalação administrativa, siga estas etapas:

1.	Baixe a atualização de segurança para Excel 2003 e/ou baixe a atualização de segurança para Excel 2003 Viewer
2.	Clique em Salvar este programa em disco e, em seguida, clique em OK.
3.	Clique em Salvar.
4.	Usando o Windows Explorer, localize a pasta que contém o arquivo salvo. Clique em Iniciar, em Executar, digite o comando a seguir e clique em OK para extrair o arquivo .msp: [caminho\nome do arquivo EXE] /c /t:C:\AdminUpdate Observação Clicar duas vezes no arquivo .exe não extrai o arquivo .msp; ele aplica a atualização ao computador local. Para aplicar a atualização em uma imagem administrativa, você deve primeiro extrair o arquivo .msp.
5.	Clique em Sim para aceitar o Contrato de Licença.
6.	Clique em Sim se for solicitada a criação da pasta.
7.	Se estiver familiarizado com o procedimento da instalação de sua atualização administrativa, clique em, Iniciar, Executar, digite o comando a seguir e clique em OK: msiexec /aCaminho Admin\Arquivo MSI /p C:\adminUpdate\Arquivo MSPSHORTFILENAMES=TRUE Observação Caminho Admin é o caminho do ponto de instalação administrativa do aplicativo (por exemplo, C:\Office2003), Arquivo MSI é o pacote de banco de dados .msi do aplicativo (por exemplo, Data1.msi) e Arquivo MSP é o nome da atualização administrativa (por exemplo, SHAREDff.msp). Observação Você pode acrescentar /qb+ à linha de comando para que a caixa de diálogo Instalação Administrativa e a caixa de diálogo Contrato de Licença de Usuário Final não apareçam.
8.	Clique em Avançar na caixa de diálogo fornecida. Não altere a chave do CD (CD Key), o local de instalação ou o nome da empresa na caixa de diálogo fornecida.
9.	Clique em Aceito os termos do Contrato de Licença e em Instalar.

Aviso Todas as configurações de estações de trabalho originalmente instaladas a partir dessa instalação administrativa antes da instalação da atualização não poderão usar esse tipo de instalação para ações como correção do Office ou adição de novos recursos até que você conclua as etapas na seção “Informações sobre a implantação de estação de trabalho”.

Informações sobre a implantação de estação de trabalho

Para implantar a atualização em estações de trabalho clientes, clique em Iniciar, Executar e, em seguida, digite o seguinte comando e clique em OK:

Msiexec /I Caminho Admin\MSI File /qb REINSTALL=Feature List REINSTALLMODE=vomu

Observação Caminho Admin é o caminho do ponto da instalação administrativa do seu aplicativo (por exemplo, C:\Office2003), Arquivo MSI é o pacote do banco de dados .msi do aplicativo (por exemplo, Data1.msi) e Lista de Recursos é a lista de nomes dos recursos (com distinção entre maiúsculas/minúsculas) que devem ser reinstalados para a atualização.

Para instalar todos os recursos, você pode usar REINSTALL=ALL ou instalar os seguintes recursos:

Produto	Recurso
STD11, BASIC11, PERS11, PROI11, PRO11, STDP11, EXCEL11, PRO11SB	ALL
XLVIEW	ExcelViewer

Observação No site Office Admin Update Center (em inglês), os administradores que trabalham em ambientes gerenciados podem encontrar recursos completos para implantar atualizações do Office em uma organização. Na home page do site, procure na seção Update Strategies a versão do software que você está atualizando. A documentação do Windows Installer também fornece mais informações sobre os parâmetros aos quais o Windows Installer oferece suporte.

Informações sobre o arquivo de instalação administrativa

Excel 2003:

Nome do arquivo	Versão	Data	Hora	Tamanho
Excel.exe	11.0.8105.0	24 de agosto de 2006	03:20	10.269.456

Excel Viewer 2003:

Nome do arquivo	Versão	Data	Hora	Tamanho
Xlview.exe	11.0.8104.0	17-ago-2006	22:58	5.237.520

Verificando a aplicação da atualização

•	Microsoft Baseline Security Analyzer

•	Verificação de versão de arquivo

1.	Clique em Iniciar e, em seguida, clique em Pesquisar.
2.	No painel Resultados da Pesquisa, clique em Todos os arquivos e pastas, em Search Companion.
3.	Na caixa Todo ou parte do nome do arquivo, digite um nome de arquivo da tabela de informações de arquivo correta e clique em Pesquisar.
4.	Na lista de arquivos, clique com o botão direito do mouse em um nome de arquivo da tabela de informações de arquivo correta e clique em Propriedades. Observação Dependendo da versão do sistema operacional ou dos programas instalados, alguns dos arquivos listados na tabela de informações de arquivos podem não estar instalados.
5.	Na guia Versão, determine a versão do arquivo instalado no computador comparando-o com a versão documentada na tabela de informações de arquivos correta. Observação Atributos com versão diferente da versão do arquivo podem ser alterados durante a instalação. A comparação de outros atributos de arquivo com as informações na tabela não é um método suportado para verificar se a atualização foi aplicada. Além disso, em alguns casos, arquivos podem ser renomeados durante a instalação. Se as informações sobre o arquivo ou a versão não estiverem presentes, use um dos outros métodos disponíveis para verificar a instalação da atualização.

Início da sessão

Office 2004 para Mac

Informações sobre instalação:

1.	Encerre quaisquer aplicativos que estejam sendo executados, incluindo aplicativos de proteção contra vírus, todos os aplicativos do Microsoft Office, o Microsoft Messenger para Mac e o Office Notifications, porque podem interferir na instalação.
2.	Abra o volume Microsoft Office 2004 for Mac 11.3.0 Update na área de trabalho. Esta etapa pode ter sido executada para você.
3.	Para começar o processo de atualização, na janela do volume Microsoft Office 2004 for Mac 11.3.0 Update, clique duas vezes no aplicativo Microsoft Office 2004 for Mac 11.3.0 Update e siga as instruções na tela.
4.	Se a instalação tiver êxito, você poderá remover o instalador da atualização de seu disco rígido. Para verificar se a instalação foi concluída com êxito, consulte a seção “Verificando a instalação da atualização”. Para remover o instalador da atualização, primeiro arraste o volume Microsoft Office 2004 for Mac 11.3.0 Update para a Lixeira e, em seguida, arraste o arquivo que você baixou para a Lixeira.

Requisitos de reinicialização

Essa atualização não exige a reinicialização do computador.

Informações sobre remoção

Esta atualização não pode ser desinstalada.

Verificando a instalação da atualização

Para verificar se uma atualização de segurança está instalada em um sistema afetado, siga estas etapas:

1.	No Localizador, vá até a pasta de aplicativo (Microsoft Office 2004: Office).
2.	Selecione o arquivo de plugin de componente da Microsoft.
3.	No menu Arquivo, clique em Obter Informações ou em Mostrar Informações.

Se o número da versão for 11.3.0, a atualização foi instalada com sucesso.

Início da sessão

Office v. X para Mac

Informações sobre instalação:

1.	Encerre quaisquer aplicativos que estejam sendo executados, inclusive aplicativos de proteção contra vírus, todos os aplicativos do Microsoft Office, o Microsoft Messenger e o Office Notifications, porque podem interferir na instalação.
2.	Abra o volume Microsoft Office v. X for Mac 10.1.8 Update na área de trabalho. Esta etapa pode ter sido executada para você.
3.	Para começar o processo de atualização, na janela do volume Microsoft Office v. X for Mac 10.1.8 Security Update, clique duas vezes no aplicativo Microsoft Office v. X for Mac 10.1.8 Update e siga as instruções na tela.
4.	Se a instalação tiver êxito, você poderá remover o instalador da atualização de seu disco rígido. Para verificar se a instalação foi concluída com êxito, consulte a seção “Verificando a instalação da atualização”. Para remover o instalador da atualização, arraste o volume Microsoft Office v. X for Mac 10.1.8 Security Update para a Lixeira e arraste também o arquivo que você baixou para a Lixeira.

Requisitos de reinicialização

Essa atualização não exige a reinicialização do computador.

Informações sobre remoção

Esta atualização não pode ser desinstalada.

Verificando a instalação da atualização

Para verificar se uma atualização de segurança está instalada em um sistema afetado, siga estas etapas:

1.	No Localizador, vá até a pasta de aplicativo (Microsoft Office X: Office).
2.	Selecione o arquivo de plugin de componente da Microsoft.
3.	No menu Arquivo, clique em Obter Informações ou em Mostrar Informações.

Se o número da versão é 10.1.8, a atualização foi instalada com sucesso.

Início da sessão

Agradecimentos

A Microsoft agradece à pessoa citada abaixo por trabalhar conosco para ajudar a proteger os clientes:

•	Manuel Santamarina Suarez, que trabalha na Zero Day Initiative (ZDI) e na TippingPoint por relatar a vulnerabilidade de saturação de análise do formato de arquivo do Excel - CVE-2006-2387.
•	NSFocus Security Team por relatar a vulnerabilidade de registro COLINFO malformado do Excel - CVE-2006-3875.

Obtendo outras atualizações de segurança:

As atualizações para outros problemas de segurança estão disponíveis nos seguintes locais:

•	As atualizações de segurança estão disponíveis no Centro de Download da Microsoft. você poderá encontrá-las com mais facilidade, executando uma pesquisa com a palavra-chave "patch_de_segurança".
•	Atualizações para plataformas do cliente estão disponíveis no site Microsoft Update.

Suporte:

•	Os clientes nos EUA e Canadá podem receber suporte técnico dos Serviços de suporte ao produto Microsoft pelo telefone 1-866-PCSAFETY. As ligações para obter suporte associado a atualizações de segurança são gratuitas.
•	Os clientes de outros países podem obter suporte nas subsidiárias locais da Microsoft. O suporte associado a atualizações de segurança é gratuito. Para obter mais informações sobre como entrar em contato com a Microsoft a fim de obter suporte a problemas, visite o site de Suporte Internacional.

Recursos de segurança:

•	O site Microsoft TechNet Security fornece informações adicionais sobre segurança em produtos da Microsoft.
•	TechNet Update Management Center
•	Microsoft Software Update Services
•	Microsoft Windows Server Update Services
•	Microsoft Baseline Security Analyzer (MBSA)
•	Windows Update
•	Microsoft Update
•	Catálogo do Windows Update: Para obter mais informações sobre o Catálogo do Windows Update, consulte o artigo 323166 (em inglês) da Base de Conhecimento Microsoft.
•	Atualização do Office

Software Update Services:

Usando o Microsoft Software Update Services (SUS), os administradores podem implantar de maneira rápida e confiável as últimas atualizações críticas e de segurança em servidores que executem o Windows 2000 e o Windows Server 2003 e em sistemas desktop que executem o Windows 2000 Professional ou o Windows XP Professional.

Para obter mais informações sobre como implantar atualizações de segurança usando os serviços de atualização de software, visite o site Software Update Services.

Windows Server Update Services:

Usando o WSUS (Windows Server Update Services), os administradores podem implantar de forma rápida e confiável as mais recentes atualizações críticas e de segurança dos sistemas operacionais Windows 2000 e posterior, Office XP e posterior, Exchange Server 2003, e SQL Server 2000 nos sistemas operacionais Windows 2000 e posteriores.

Para obter mais informações sobre como implantar atualizações de segurança usando o recurso Windows Server Update Services, visite o site do Windows Server Update Services.

Systems Management Server:

O SMS (Microsoft Systems Management Server) fornece uma solução corporativa altamente configurável para gerenciar atualizações. Ao usar o SMS, os administradores podem identificar os sistemas baseados no Windows que precisam de atualizações de segurança, bem como executar uma implantação controlada dessas atualizações em toda a empresa com o mínimo de interrupção para os usuários finais. Para obter mais informações sobre como os administradores podem usar o SMS 2003 para implantar atualizações de segurança, visite o site Gerenciamento de Patches de Segurança do SMS 2003. Os usuários do SMS 2.0 também podem usar o Software Updates Service Feature Pack (site em inglês) para ajudar a implantar atualizações de segurança. Para obter mais informações sobre o SMS, visite o site do SMS.

Observação O SMS usa o Microsoft Baseline Security Analyzer, a Microsoft Office Detection Tool e a Enterprise Update Scanning Tool para oferecer amplo suporte à detecção e à implantação da atualização do boletim de segurança. Algumas atualizações de software podem não ser detectadas por essas ferramentas. Os administradores podem usar os recursos de inventário do SMS nesses casos para apontar as atualizações de sistemas específicos. Para obter mais informações sobre as classificações de gravidade, visite este site (em inglês). Algumas atualizações de segurança exigirão direitos administrativos quando o sistema for reiniciado. Os administradores podem usar a Elevated Rights Deployment Tool (disponível no SMS 2003 Administration Feature Pack e no SMS 2.0 Administration Feature Pack) (sites em inglês) para instalar essas atualizações.

Aviso de isenção de responsabilidade:

As informações fornecidas na Base de Conhecimento Microsoft são apresentadas "no estado em que se encontram", sem garantia de qualquer tipo. A Microsoft se isenta de todas as garantias, expressas ou implícitas, inclusive as garantias de comercialização e adequação a um propósito específico. Em hipótese alguma a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, inclusive danos diretos, indiretos, incidentais, conseqüenciais, danos por lucros cessantes ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido alertados da possibilidade dos referidos danos. Como alguns estados não permitem a exclusão ou limitação de responsabilidade por danos conseqüenciais ou indiretos, a limitação acima pode não ser aplicável a você.

Revisões:

•	V1.0 (10 de outubro de 2006): Boletim publicado.
•	V1.1 (29 de novembro de 2006): O boletim atualizou o artigo da Knowledge Base para o “Microsoft Office Excel Viewer 2003” na seção “Produtos Afetados”.
•	V2.0 (12 de dezembro de 2006): O boletim atualizado foi revisado e relançado para Microsoft Excel 2002 para abordar problemas identificados no artigo 924164 (em inglês) da Base de Conhecimento Microsoft.

Início da página