ID do artigo: 312461 - Última revisão: quarta-feira, 31 de janeiro de 2007 - Revisão: 4.13

MS01-055: Dados de cookie do Internet Explorer podem ser expostos ou alterados por injeção de script

Vista lado a ladoClique aqui para exibir o artigo traduzido e o artigo original em inglês, lado a lado.
Tradução automáticaExibir Aviso de Isenção de Tradução Automática
Exibir os produtos aos quais esse artigo se aplica.
Dica do SistemaEste artigo aplica-se a um sistema operativo diferente do que está a utilizar. Foi desactivado o conteúdo do artigo, que pode não ser relevante para si.

Nesta página

Expandir tudo | Recolher tudo

Sintomas

Existe uma vulnerabilidade de segurança possíveis nas versões do Internet Explorer 5.5 e 6 que pode permitir que um utilizador mal intencionado criar uma URL que permite que um site para obter acesso não autorizado para cookies que são armazenados no seu computador e, em seguida, modifique os valores contidos no-los (potencialmente). Como alguns sites usam cookies que são armazenados no seu computador para armazenar informações confidenciais, também é possível que informações pessoais podem ser expostas.

Mal-intencionado explorar essa vulnerabilidade requer que um usuário escolher em um link de URL em uma página que um invasor tem hospedado em seu site ou em um link de URL que está incorporado em um email em HTML que o invasor tenha enviado. Ele não pode ser chamado automaticamente sem a interação do usuário.
Voltar para o início

Fatores atenuantes

  • Um usuário deve primeiro ser convencido a visitar um site mal-intencionado ou abrir uma mensagem de email HTML que contém o URL malformado. O usuário então teria que escolher em um link especialmente formado de URL.
  • Os usuários que aplicaram a atualização de segurança de email do Microsoft Outlook não são afetados por essa vulnerabilidade a exploração email HTML.
  • Os usuários que definiu o Outlook Express para usar a zona de sites restritos não são afetados por essa vulnerabilidade a exploração email HTML. Observe que esta é a configuração padrão para o Microsoft Outlook Express 6.
Voltar para o início

Resolução

importante : este patch requer que domínios que usam cookies somente devem tenha caracteres alfanuméricos (ou '-' ou '. ') no nome de domínio. Se não, os cookies podem não funcionar corretamente.
Voltar para o início

Internet Explorer 6

Para resolver esse problema, obtenha o service pack mais recente para o Internet Explorer 6. Para obter informações adicionais, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
328548  (http://support.microsoft.com/kb/328548/EN-US/ ) Como obter o Service Pack mais recente do Internet Explorer 6
A "atualização de segurança, 13 de dezembro de 2001" patch é substituído pelo seguinte patch:
316059  (http://support.microsoft.com/kb/316059/EN-US/ ) MS02-005: 11 de fevereiro de 2002, patch cumulativo para o Internet Explorer
A "atualização de segurança, 13 de dezembro de 2001" patch está disponível no seguinte site da Microsoft:
http://www.microsoft.com/downloads/results.aspx?pocId=&freetext=313675&DisplayLang=en (http://www.microsoft.com/downloads/results.aspx?pocId=&freetext=313675&DisplayLang=en)

Voltar para o início

Internet Explorer 5.5

Uma correção suportada está agora disponível da Microsoft, mas destina-se somente a corrigir o problema descrito neste artigo. Aplique-o somente aos computadores que correm o risco de ataque. Avalie a acessibilidade física do computador, rede e conectividade com a Internet e outros fatores para determinar o grau de risco para o computador. Consulte o Microsoft Security Bulletin (http://www.microsoft.com/technet/security/bulletin/ms01-051.mspx) associado para ajudar a determinar o grau de risco. Pode ser nessa correção testes adicionais. Se seu computador está suficientemente em risco, a Microsoft recomenda que você aplicar essa correção agora. Caso contrário, espere o próximo service pack do Internet Explorer 5.5 que contém essa correção.

Para resolver esse problema imediatamente, baixe a correção seguindo as instruções neste artigo ou entre em contato com o Atendimento Microsoft para obter a correção. Para obter uma lista completa dos números de telefone do Atendimento Microsoft do e informações sobre os custos de suporte, visite o seguinte site:
http://support.microsoft.com/default.aspx?scid=fh;EN-US;CNTACTMS (http://support.microsoft.com/default.aspx?scid=fh;en-us;cntactms)
Observação : em alguns casos, as taxas cobradas pelas ligações para chamadas de suporte podem ser canceladas se um profissional de suporte da Microsoft determinar que uma atualização específica resolverá o problema. Os custos normais de suporte serão aplicados a questões e problemas que não se qualificam à atualização específica em questão de suporte adicionais.

A "atualização de segurança, 13 de dezembro de 2001" patch é substituído pelo seguinte patch:
316059  (http://support.microsoft.com/kb/316059/EN-US/ ) MS02-005: 11 de fevereiro de 2002, patch cumulativo para o Internet Explorer
A "atualização de segurança, 13 de dezembro de 2001" patch está disponível no seguinte site da Microsoft:
http://www.microsoft.com/windows/ie/downloads/critical/q313675/default.asp (http://www.microsoft.com/windows/ie/downloads/critical/q313675/default.asp)

Observação : para impedir que o computador reinicialização durante a instalação, adicionar a "/ r: n." (sem aspas) alternar para o arquivo Q312461.exe quando você instala o patch.
Voltar para o início

Como Contornar

Para contornar esse problema, você pode desativar scripts ativos nas zonas da Internet e intranet no Internet Explorer. Para impedir que essa vulnerabilidade seja usado quando você estiver usando o recurso de processamento de HTML do Outlook Express, você deve configurar o Outlook Express para usar a zona de sites restritos.
Voltar para o início

Desativar o script ativo no Internet Explorer

  1. Inicie o Internet Explorer.
  2. No menu Ferramentas , clique em Opções da Internet .
  3. Na guia segurança , clique em Nível personalizado .
  4. Na caixa configurações , clique em Desativar em scripts de miniaplicativos Java e scripts ativos .
  5. Clique em OK e, em seguida, clique em OK .
Observação : se você desativar script ativo no Internet Explorer e usar o Microsoft Outlook Web Access (OWA) como um cliente de email, você poderá perder algumas funcionalidades do OWA. Para manter toda a funcionalidade no OWA, não desabilite scripts ativos no Internet Explorer.
Voltar para o início

Habilitar sites restritos no Outlook Express

  1. Inicie o Outlook Express.
  2. No menu Ferramentas , clique em Opções .
  3. Clique na guia segurança , clique em zona de sites restritos (mais seguro) e, em seguida, clique em OK .
Observação : para sites que foram desabilitados ou sua funcionalidade alterou desativando script ativo, adicionando esse site na zona de sites confiáveis pode ativar esses sites. Todos os sites inseridos dessa maneira possuem as configurações de segurança associadas em uma zona confiável. Para fazer isso:
  1. Inicie o Internet Explorer.
  2. No menu Ferramentas , clique em Opções da Internet e, em seguida, clique na guia segurança .
  3. Clique para selecionar sites confiáveis e, em seguida, clique em sites .
  4. Digite o nome da página da web para ser listado como um site confiável e, em seguida, clique em Adicionar . Repita esse processo para cada página da web para ser adicionado à lista.
  5. Quando você inseriu todas as páginas da web à lista, clique em OK e, em seguida, clique em OK .
Voltar para o início

Situação

Internet Explorer 6

A Microsoft confirmou que esse problema pode causar um grau de vulnerabilidade de segurança no Internet Explorer 6.Esse problema foi corrigido primeiro no Internet Explorer 6 Service Pack 1.
Voltar para o início

Internet Explorer 5.5

A Microsoft confirmou que esse problema pode causar um grau de vulnerabilidade de segurança no Internet Explorer 5.5.
Voltar para o início

Mais Informações

Para obter mais informações sobre essa vulnerabilidade, consulte o seguinte site:
http://www.microsoft.com/technet/security/bulletin/ms01-055.mspx (http://www.microsoft.com/technet/security/bulletin/ms01-055.mspx)
Voltar para o início
A informação contida neste artigo aplica-se a:
  • Microsoft Outlook Express 5.5
  • Microsoft Outlook Express 5.5
  • Microsoft Outlook Express 5.5
  • Microsoft Outlook Express 5.5
  • Microsoft Outlook Express 5.5
  • Microsoft Internet Explorer 5.5 Service Pack 2
  • Microsoft Internet Explorer 5.5 Service Pack 2
  • Microsoft Internet Explorer 5.5 Service Pack 2
  • Microsoft Internet Explorer 5.5 Service Pack 2
  • Microsoft Internet Explorer 5.5
  • Microsoft Internet Explorer 5.5 Service Pack 2
  • Microsoft Internet Explorer 6.0 nas seguintes plataformas
    • Microsoft Windows XP Home Edition
    • Microsoft Windows XP Professional
    • Microsoft Windows XP Media Center Edition 2005 Update Rollup 2
    • Microsoft Windows XP Tablet PC Edition
    • Microsoft Windows 2000 Advanced Server
    • Microsoft Windows 2000 Datacenter Server
    • Microsoft Windows 2000 Professional Edition
    • Microsoft Windows 2000 Server
    • Microsoft Windows NT Server 4.0 Standard Edition
    • Microsoft Windows NT Server 4.0, Terminal Server Edition
    • Microsoft Windows NT Workstation 4.0 Developer Edition
    • Microsoft Windows Millennium Edition
    • Microsoft Windows 98 Second Edition
    • Microsoft Windows 98 Standard Edition
  • Microsoft Outlook Express 6.0
  • Microsoft Outlook Express 6.0
  • Microsoft Outlook Express 6.0
  • Microsoft Outlook Express 6.0
  • Microsoft Outlook Express 6.0
  • Microsoft Outlook Express 6.0
Voltar para o início
Palavras-chave: 
kbmt kbbug kbenv kbfix kbie550presp3fix kbie600presp1fix kbinterop kbnetwork kbsechack kbsecurity kbsecvulnerability kbwin2000sp3fix kbie600sp1fix KB312461 KbMtpt
Voltar para o início
Tradução automáticaTradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 312461  (http://support.microsoft.com/kb/312461/en-us/ )
Voltar para o início