Artigo: 312461 - Última revisão: quarta-feira, 31 de Janeiro de 2007 - Revisão: 4.13

MS01-055: Internet Explorer cookies dados podem ser exposição ou alterados através de injecção de script

Vista lado a ladoClique aqui para exibir o artigo traduzido e o artigo original em inglês, lado a lado.
Tradução automáticaVer isenção de responsabilidades para tradução automática
Ver produtos para os quais este artigo se aplica.
Dica do SistemaEste artigo aplica-se a um sistema operativo diferente do que está a utilizar. Foi desactivado o conteúdo do artigo, que pode não ser relevante para si.

Nesta página

Expandir tudo | Reduzir tudo

Sintomas

Existe uma potencial vulnerabilidade de segurança no Internet Explorer versões 5.5 e 6 que pode permitir que um utilizador malicioso criar um URL que permite que um Web site para obter acesso não autorizado para cookies que estão guardados no computador e, em seguida, modifique os valores contidos no-los (potencialmente). Uma vez que alguns Web sites utilizam cookies que estão guardados no computador para armazenar informações importantes, também é possível que poderiam estar expostas informações pessoais.

Maliciosamente exploração desta vulnerabilidade exigiria que optar por um utilizador, clique numa hiperligação URL numa página que um intruso tem hospedado no respectivo site ou clique numa hiperligação URL incorporados numa mensagem de correio electrónico HTML que enviou o intruso. -Não pode ser automaticamente invocado sem interacção do utilizador.
Voltar ao topo

Factores atenuantes

  • Primeiro deve ser convencido um utilizador a visitar um Web site malicioso ou a abrir uma mensagem de correio electrónico HTML que contém o URL mal formado. O utilizador teria que escolher a clicar numa hiperligação URL especialmente formada.
  • Os utilizadores que tenham aplicado a actualização de segurança de correio electrónico do Microsoft Outlook não são afectados pela correio electrónico HTML a exploração desta vulnerabilidade.
  • Os utilizadores que definiu o Outlook Express para utilizar a zona Sites restritos não são afectados pela correio electrónico HTML a exploração desta vulnerabilidade. Note que esta é a predefinição para o Microsoft Outlook Express 6.
Voltar ao topo

Resolução

importante : este patch requer que os domínios que utilizam cookies tem tenham apenas caracteres alfanuméricos (ou '-' ou '. ') no nome de domínio. Se não, os cookies poderão não funcionar correctamente.
Voltar ao topo

Internet Explorer 6

Para resolver este problema, obtenha o service pack mais recente para o Internet Explorer 6. Para obter informações adicionais, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
328548  (http://support.microsoft.com/kb/328548/EN-US/ ) Como obter o Service Pack mais recente do Internet Explorer 6
A "actualização de segurança, 13 de Dezembro de 2001" patch foi substituído pelo seguinte patch:
316059  (http://support.microsoft.com/kb/316059/EN-US/ ) MS02-005: 11 de Fevereiro de 2002, Patch cumulativo para o Internet Explorer
A "actualização de segurança, 13 de Dezembro de 2001" patch está disponível no seguinte Web site da Microsoft:
http://www.microsoft.com/downloads/results.aspx?pocId=&freetext=313675&DisplayLang=en (http://www.microsoft.com/downloads/results.aspx?pocId=&freetext=313675&DisplayLang=en)

Voltar ao topo

Internet Explorer 5.5

Agora é disponibilizada pela Microsoft uma correcção suportada, mas destina-se apenas a corrigir o problema descrito neste artigo. Aplique-a apenas em computadores que considere estarem em risco de ataque. Avalie a acessibilidade física do computador, rede e conectividade da Internet e outros factores para determinar o grau de risco para o computador. Consulte o Microsoft Security Bulletin (http://www.microsoft.com/technet/security/bulletin/ms01-051.mspx) associado para ajudar a determinar o grau de risco. Esta correcção poderá ser submetida a testes adicionais. Se o computador estiver suficientemente susceptíveis, a Microsoft recomenda que aplique esta correcção agora. Caso contrário, aguarde pelo próximo service pack do Internet Explorer 5.5 que contenha esta correcção.

Para resolver este problema imediatamente, transfira a correcção, seguindo as instruções deste artigo ou contacte o suporte técnico da Microsoft para obter a correcção. Para obter uma lista completa de números de telefone do suporte técnico da Microsoft e informações sobre os custos de suporte, visite o seguinte Web site da Microsoft:
http://support.microsoft.com/default.aspx?scid=fh;EN-US;CNTACTMS (http://support.microsoft.com/default.aspx?scid=fh;en-us;cntactms)
Nota : em casos especiais, os custos normalmente inerentes às chamadas de suporte poderão ser anulados se um técnico de suporte da Microsoft determinar que uma actualização específica resolverá o problema. Os custos normais do suporte serão aplicados a problemas adicionais e questões de suporte que não se enquadrem na atualização específica em questão.

A "actualização de segurança, 13 de Dezembro de 2001" patch foi substituído pelo seguinte patch:
316059  (http://support.microsoft.com/kb/316059/EN-US/ ) MS02-005: 11 de Fevereiro de 2002, Patch cumulativo para o Internet Explorer
A "actualização de segurança, 13 de Dezembro de 2001" patch está disponível no seguinte Web site da Microsoft:
http://www.microsoft.com/windows/ie/downloads/critical/q313675/default.asp (http://www.microsoft.com/windows/ie/downloads/critical/q313675/default.asp)

Nota : para impedir que o computador reiniciar o computador durante a instalação, adicionar o "/ r: n." (sem aspas) mudar para o ficheiro Q312461.exe quando instalar o patch.
Voltar ao topo

Como contornar

Para contornar este problema, pode desactivar scripts activos nas zonas Internet e intranet no Internet Explorer. Para impedir que esta vulnerabilidade seja utilizado quando estiver a utilizar a funcionalidade de composição de HTML do Outlook Express, deverá configurar o Outlook Express para utilizar a zona Sites restritos.
Voltar ao topo

Desactive os scripts activos no Internet Explorer

  1. Inicie o Internet Explorer.
  2. No menu Ferramentas , clique em Opções da Internet .
  3. No separador segurança , clique em Personalizar nível .
  4. Na caixa definições , clique em Desactivar em scripts e execução de scripts de aplicações Java .
  5. Clique em OK e, em seguida, clique em OK .
Nota : Se desactivar o processamento de scripts activo no Internet Explorer e utilizar o Microsoft Outlook Web Access (OWA) como um cliente de correio electrónico, poderá perder alguma funcionalidade do OWA. Para manter todas as funcionalidades no OWA, não desactive o scripting activo no Internet Explorer.
Voltar ao topo

Activar sites restritos no Outlook Express

  1. Inicie o Outlook Express.
  2. No menu Ferramentas , clique em Opções .
  3. Clique no separador segurança , clique em zona de sites restritos (mais segura) e, em seguida, clique em OK .
Nota : para sites que foram desactivadas, ou das respectivas funcionalidades foi alterado por desactivar scripts activos, adicionar esse site na zona de sites fidedignos pode activar estes sites. Todos os sites introduzidos desta forma têm as definições de segurança associadas pertencendo uma zona fidedigna. Para efectuar este procedimento:
  1. Inicie o Internet Explorer.
  2. No menu Ferramentas , clique em Opções da Internet e, em seguida, clique no separador segurança .
  3. Clique para seleccionar sites fidedignos e, em seguida, clique em sites .
  4. Escreva o nome da página web seja listado como site fidedigno e, em seguida, clique em Adicionar . Repita este processo para cada página web ser adicionada à lista.
  5. Quando tiver introduzido todas as páginas web à lista, clique em OK e, em seguida, clique em OK .
Voltar ao topo

Ponto Da Situação

Internet Explorer 6

A Microsoft confirmou que este problema poderá provocar um grau de vulnerabilidade da segurança no Internet Explorer 6.Este problema foi corrigido pela primeira vez no Internet Explorer 6 Service Pack 1.
Voltar ao topo

Internet Explorer 5.5

A Microsoft confirmou que este problema poderá provocar um grau de vulnerabilidade da segurança no Internet Explorer 5.5.
Voltar ao topo

Mais Informação

Para mais informações sobre esta vulnerabilidade, consulte o seguinte Web site da Microsoft:
http://www.microsoft.com/technet/security/bulletin/ms01-055.mspx (http://www.microsoft.com/technet/security/bulletin/ms01-055.mspx)
Voltar ao topo
A informação contida neste artigo aplica-se a:
  • Microsoft Outlook Express 5.5
  • Microsoft Outlook Express 5.5
  • Microsoft Outlook Express 5.5
  • Microsoft Outlook Express 5.5
  • Microsoft Outlook Express 5.5
  • Microsoft Internet Explorer 5.5 Service Pack 2
  • Microsoft Internet Explorer 5.5 Service Pack 2
  • Microsoft Internet Explorer 5.5 Service Pack 2
  • Microsoft Internet Explorer 5.5 Service Pack 2
  • Microsoft Internet Explorer 5.5
  • Microsoft Internet Explorer 5.5 Service Pack 2
  • Microsoft Internet Explorer 6.0 nas seguintes plataformas
    • Microsoft Windows XP Home Edition
    • Microsoft Windows XP Professional Edition
    • Microsoft Windows XP Media Center Edition 2005 Update Rollup 2
    • Microsoft Windows XP Tablet PC Edition
    • Microsoft Windows 2000 Advanced Server
    • Microsoft Windows 2000 Datacenter Server
    • Microsoft Windows 2000 Professional Edition
    • Microsoft Windows 2000 Server
    • Microsoft Windows NT Server 4.0 Standard Edition
    • Microsoft Windows NT Server 4.0 Terminal Server
    • Microsoft Windows NT Workstation 4.0 Developer Edition
    • Microsoft Windows Millennium Edition
    • Microsoft Windows 98 Segunda Edição
    • Microsoft Windows 98 Standard Edition
  • Microsoft Outlook Express 6.0
  • Microsoft Outlook Express 6.0
  • Microsoft Outlook Express 6.0
  • Microsoft Outlook Express 6.0
  • Microsoft Outlook Express 6.0
  • Microsoft Outlook Express 6.0
Voltar ao topo
Palavras-chave: 
kbmt kbbug kbenv kbfix kbie550presp3fix kbie600presp1fix kbinterop kbnetwork kbsechack kbsecurity kbsecvulnerability kbwin2000sp3fix kbie600sp1fix KB312461 KbMtpt
Voltar ao topo
Tradução automáticaTradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática? erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 312461  (http://support.microsoft.com/kb/312461/en-us/ )
Voltar ao topo