MS02-053: Pedido ao SmartHTML Interpreter pode monopolizar os recursos da CPU do servidor da Web

Traduções de Artigos Traduções de Artigos
Artigo: 324096 - Ver produtos para os quais este artigo se aplica.
Este artigo foi arquivado. Este artigo é oferecido "tal como está" e deixará de ser actualizado.
Expandir tudo | Reduzir tudo

Nesta página

Sintomas

O SmartHTML Interpreter (Shtml.dll) faz parte das extensões de servidor do FrontPage, fornecendo suporte para formulários da Web e outros conteúdos dinâmicos baseados no FrontPage. O interpretador contém uma falha que ocorre quando processa um pedido de um determinado tipo de ficheiro da Web, se o pedido incluir outras características particulares. Tal pedido poderá levar o interpretador a consumir a maior parte da disponibilidade da CPU (ou toda) até o serviço da Web ser reiniciado. Um atacante poderá conseguir utilizar esta vulnerabilidade para efectuar um ataque do tipo denial-of-service contra um servidor da Web afectado.

Factores atenuantes

  • A vulnerabilidade não fornece nenhuma forma de efectuar acções com efeitos mais vastos no servidor. Não permite a um atacante adicionar, eliminar ou modificar dados no servidor.
  • A ferramenta IIS Lockdown, caso seja utilizada para configurar um servidor da Web estático, desactiva o SmartHTML Interpreter. Os servidores nos quais esta ferramenta tenha sido utilizada não são afectados por esta vulnerabilidade.
  • Por predefinição, as extensões de servidor do FrontPage são instaladas no Microsoft Internet Information Server 4.0 e Microsoft IIS (Serviços de informação Internet - Internet Information Services) 5.0 e 5.1, mas podem ser removidas. Os servidores de onde o Internet Information Server ou os Serviços de informação Internet tenham sido removidos não são afectados pela vulnerabilidade.
Este artigo poderá conter hiperligações para conteúdo em inglês (ainda não traduzido).

Resolução

Extensões de servidor do FrontPage 2002 da Microsoft

Para obter informações adicionais sobre a actualização de segurança, clique no número de artigo existente abaixo para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
329086 FP2002: FrontPage 2002 Server Extensions Security Update: September 25, 2002
A versão inglesa desta correcção tem os atributos de ficheiro listados na seguinte tabela (ou posteriores):
   Versão       Ficheiro        
   ------------------------
   10.0.4219.0  Fp5awel.dll
				
A Microsoft também recomenda que instale a actualização das extensões de servidor do FrontPage 2002 disponibilizada em Janeiro de 2002. Para obter informações adicionais sobre a actualização, clique no número de artigo existente abaixo para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
317296 Overview of the FrontPage 2002 Server Extension Update: January 28, 2002

Extensões de servidor do FrontPage 2000 da Microsoft

Para obter informações adicionais sobre a actualização de segurança, clique no número de artigo existente abaixo para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
329085 FP2002: FrontPage 2000 Server Extensions Security Update: September 25, 2002
A versão inglesa desta correcção tem os atributos de ficheiro listados na seguinte tabela (ou posteriores):
   Versão       Ficheiro        
   ------------------------
   4.0.2.6426   Fp4awel.dll
				

Windows XP

A Microsoft tem já disponível uma correcção para este problema, mas destina-se apenas a corrigir o problema descrito neste artigo. Aplique-a apenas em computadores que considere estarem em risco. Avalie a acessibilidade física, ligação à rede e à Internet e outros factores do computador de forma a determinar o grau de risco para o computador. Consulte o boletim de segurança da Microsoft associado para auxílio na determinação do grau de risco. Esta correcção poderá ser submetida a testes adicionais. Se considerar que o computador está em risco, a Microsoft recomenda que aplique esta correcção agora. Caso contrário, aguarde o próximo Windows XP que contenha esta correcção.

Para resolver este problema imediatamente, transfira a correcção conforme indicado abaixo ou contacte o suporte técnico da Microsoft para obter a correcção. Para obter uma lista completa dos números de telefone do suporte técnico da Microsoft, bem como informações sobre os custos de suporte, visite o seguinte Web site da Microsoft:
http://support.microsoft.com/default.aspx?scid=fh;PT;CNTACTMS
NOTA: em casos especiais, os custos normalmente inerentes às chamadas de suporte poderão ser anulados se um técnico de suporte da Microsoft determinar que uma actualização específica resolverá o problema. Os custos normais do suporte serão aplicados a problemas e questões de suporte adicionais, não incluídos na actualização específica em questão.

Informações de transferência

Os seguintes ficheiros estão disponíveis para transferência a partir do centro de transferências da Microsoft:
Inglês (E.U.):
Reduzir esta imagemExpandir esta imagem
Transferir
Transferir o pacote Q324096 agora

Árabe:
Reduzir esta imagemExpandir esta imagem
Transferir
Transferir o pacote Q324096 agora

Chinês (simplificado):
Reduzir esta imagemExpandir esta imagem
Transferir
Transferir o pacote Q324096 agora

Chinês (tradicional):
Reduzir esta imagemExpandir esta imagem
Transferir
Transferir o pacote Q324096 agora

Checo:
Reduzir esta imagemExpandir esta imagem
Transferir
Transferir o pacote Q324096 agora

Dinamarquês:
Reduzir esta imagemExpandir esta imagem
Transferir
Transferir o pacote Q324096 agora

Neerlandês:
Reduzir esta imagemExpandir esta imagem
Transferir
Transferir o pacote Q324096 agora

Finlandês:
Reduzir esta imagemExpandir esta imagem
Transferir
Transferir o pacote Q324096 agora

Francês:
Reduzir esta imagemExpandir esta imagem
Transferir
Transferir o pacote Q324096 agora

Alemão:
Reduzir esta imagemExpandir esta imagem
Transferir
Transferir o pacote Q324096 agora

Grego:
Reduzir esta imagemExpandir esta imagem
Transferir
Transferir o pacote Q324096 agora

Hebraico:
Reduzir esta imagemExpandir esta imagem
Transferir
Transferir o pacote Q324096 agora

Húngaro:
Reduzir esta imagemExpandir esta imagem
Transferir
Transferir o pacote Q324096 agora

Italiano:
Reduzir esta imagemExpandir esta imagem
Transferir
Transferir o pacote Q324096 agora

Japonês:
Reduzir esta imagemExpandir esta imagem
Transferir
Transferir o pacote Q324096 agora

Coreano:
Reduzir esta imagemExpandir esta imagem
Transferir
Transferir o pacote Q324096 agora

Norueguês:
Reduzir esta imagemExpandir esta imagem
Transferir
Transferir o pacote Q324096 agora

Polaco:
Reduzir esta imagemExpandir esta imagem
Transferir
Transferir o pacote Q324096 agora

Português:
Reduzir esta imagemExpandir esta imagem
Transferir
Transferir o pacote Q324096 agora

Português (Brasil):
Reduzir esta imagemExpandir esta imagem
Transferir
Transferir o pacote Q324096 agora

Russo:
Reduzir esta imagemExpandir esta imagem
Transferir
Transferir o pacote Q324096 agora

Espanhol:
Reduzir esta imagemExpandir esta imagem
Transferir
Transferir o pacote Q324096 agora

Sueco:
Reduzir esta imagemExpandir esta imagem
Transferir
Transferir o pacote Q324096 agora

Turco:
Reduzir esta imagemExpandir esta imagem
Transferir
Transferir o pacote Q324096 agora
Data de edição: 25 de Setembro de 2002

Para obter informações adicionais sobre como transferir ficheiros de suporte da Microsoft, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
119591 Como obter ficheiros de suporte da Microsoft a partir de serviços online
A Microsoft procedeu à detecção de vírus neste ficheiro. A Microsoft utilizou o software de detecção de vírus mais actual disponível na data em que o ficheiro foi publicado. O ficheiro está armazenado em servidores com segurança melhorada, que ajudam a impedir quaisquer alterações não autorizadas ao ficheiro.

Opções de instalação

É necessário reiniciar o computador depois de aplicar esta actualização. Esta actualização suporta os seguintes parâmetros de configuração:
  • -?: apresenta a lista de parâmetros de instalação.
  • -u: modo automático.
  • -f: determina o fecho de outros programas quando o computador é encerrado.
  • -n: não efectua a cópia de segurança de ficheiros para remoção.
  • -o: substitui ficheiros OEM sem pedir confirmação.
  • -z: não reinicia quando a instalação é concluída.
  • -q: modo silencioso (sem interacção do utilizador).
  • -l: lista as correcções instaladas.
  • -x: extrai os ficheiros sem executar o programa de configuração.
Por exemplo, a linha de comandos que se segue instala a actualização sem qualquer intervenção do utilizador e não força o reinício do computador:
Q324096_wxp_sp1_x86_ptg -u -q -z
AVISO: o seu computador estará vulnerável até o reiniciar.

Informações sobre os ficheiros

A versão inglesa desta correcção tem os atributos de ficheiro listados na seguinte tabela (ou posteriores). As datas e horas destes ficheiros são indicadas no formato de hora universal coordenada (UTC, Universal Coordinated Time). Ao visualizar as informações dos ficheiros, estas serão convertidas na hora local. Para determinar a diferença entre a UTC e a hora local, utilize o separador Fuso horário (Time Zone) da ferramenta Data e hora (Date and Time) do Painel de controlo (Control Panel).
   Data        Hora     Versão       Tamanho  Ficheiro
   ------------------------------------------------------
   22-Jun-2002 10:37PM  10.0.4219.0  1382984  Fp5awel.dll
				
NOTA: devido a dependências de ficheiros, esta actualização poderá conter ficheiros adicionais.


Informações sobre Service Packs do Windows 2000

A versão para o Windows 2000 deste patch de segurança está incluída no Windows 2000 Service Pack 4 (SP4), para sistemas com as extensões de servidor do FrontPage 2000. Se utilizar qualquer outra versão das extensões de servidor do FrontPage, deve instalar o patch da correcção MS02-053 separadamente. Para resolver este problema, obtenha o Service Pack mais recente do Microsoft Windows 2000. Para obter informações adicionais, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
260910 Como obter o Service Pack mais recente do Windows 2000

Informações sobre a correcção do Windows 2000

A Microsoft tem já disponível uma correcção para este problema, mas destina-se apenas a corrigir o problema descrito neste artigo. Aplique-a apenas em computadores que considere estarem em risco. Avalie a acessibilidade física, ligação à rede e à Internet e outros factores do computador de forma a determinar o grau de risco para o computador. Consulte o boletim de segurança da Microsoft associado para auxílio na determinação do grau de risco. Esta correcção poderá ser submetida a testes adicionais. Se considerar que o computador está em risco, a Microsoft recomenda que aplique esta correcção agora. Caso contrário, aguarde o próximo Windows 2000 que contenha esta correcção.

Para resolver este problema imediatamente, transfira a correcção conforme indicado abaixo ou contacte o suporte técnico da Microsoft para obter a correcção. Para obter uma lista completa dos números de telefone do suporte técnico da Microsoft, bem como informações sobre os custos de suporte, visite o seguinte Web site da Microsoft:
http://support.microsoft.com/default.aspx?scid=fh;PT;CNTACTMS
NOTA: em casos especiais, os custos normalmente inerentes às chamadas de suporte poderão ser anulados se um técnico de suporte da Microsoft determinar que uma actualização específica resolverá o problema. Os custos normais do suporte serão aplicados a problemas e questões de suporte adicionais, não incluídos na actualização específica em questão.

Informações de transferência

O ficheiro que se segue está disponível para transferência a partir do centro de transferências da Microsoft:
Reduzir esta imagemExpandir esta imagem
Transferir
Transferir o pacote Q324096 agora
Data de edição: 25 de Setembro de 2002

Para obter informações adicionais sobre como transferir ficheiros de suporte da Microsoft, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
119591 Como obter ficheiros de suporte da Microsoft a partir de serviços online
A Microsoft procedeu à detecção de vírus neste ficheiro. A Microsoft utilizou o software de detecção de vírus mais actual disponível na data em que o ficheiro foi publicado. O ficheiro está armazenado em servidores com segurança melhorada, que ajudam a impedir quaisquer alterações não autorizadas ao ficheiro.

Opções de instalação

É necessário reiniciar o computador depois de aplicar esta actualização. Esta actualização suporta os seguintes parâmetros de configuração:
  • -?: apresenta a lista de parâmetros de instalação.
  • -u: modo automático.
  • -f: determina o fecho de outros programas quando o computador é encerrado.
  • -n: não efectua a cópia de segurança de ficheiros para remoção.
  • -o: substitui ficheiros OEM sem pedir confirmação.
  • -z: não reinicia quando a instalação é concluída.
  • -q: modo silencioso (sem interacção do utilizador).
  • -l: lista as correcções instaladas.
  • -x: extrai os ficheiros sem executar o programa de configuração.
Por exemplo, a linha de comandos que se segue instala a actualização sem qualquer intervenção do utilizador e não força o reinício do computador:
q318138_w2k_sp3_x86_pt /q /m /z
AVISO: o computador mantém-se vulnerável até ser reiniciado.

Informações sobre os ficheiros

A versão inglesa desta correcção tem os atributos de ficheiro listados na seguinte tabela (ou posteriores). As datas e horas destes ficheiros são indicadas no formato de hora universal coordenada (UTC, Universal Coordinated Time). Ao visualizar as informações dos ficheiros, estas serão convertidas na hora local. Para determinar a diferença entre a UTC e a hora local, utilize o separador Fuso horário (Time Zone) da ferramenta Data/hora (Date and Time) do Painel de controlo (Control Panel).
Data         Hora     Versão       Tamanho  Caminho e ficheiro
------------------------------------------------------------------------
27-Apr-2002  12:34PM  4.0.2.6426   872557   ???\fp4awel.dll
					
NOTA: devido a dependências de ficheiros, esta actualização poderá conter ficheiros adicionais. Esta actualização requer o Windows 2000 Service Pack 2 (SP2) ou Service Pack 1 (SP1).

Ponto Da Situação

A Microsoft confirmou que este problema pode causar um grau de vulnerabilidade da segurança nos produtos Microsoft listados no início deste artigo. Este problema foi corrigido pela primeira vez no Microsoft Windows 2000 Service Pack 4.

Mais Informação

Para obter mais informações sobre esta vulnerabilidade, visite o seguinte Web site da Microsoft:
http://www.microsoft.com/technet/security/bulletin/MS02-053.asp

Propriedades

Artigo: 324096 - Última revisão: 24 de fevereiro de 2014 - Revisão: 4.1
A informação contida neste artigo aplica-se a:
  • Microsoft Windows 2000 Service Pack 1
  • Microsoft Windows 2000 Service Pack 3
  • Microsoft Windows 2000 Service Pack 2
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Service Pack 1
  • Microsoft Windows 2000 Service Pack 2
  • Microsoft Windows 2000 Service Pack 3
  • Extensões de servidor do Microsoft FrontPage 2002
  • Extensões de servidor do Microsoft FrontPage 2000
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Professional Edition
Palavras-chave: 
kbnosurvey kbarchive kbbug kbfix kbwin2000presp4fix kbsecvulnerability kbsysadmin kbsecurity kbwinxpsp2fix kbsecbulletin kbsechack kbwinxppresp2fix kbwin2ksp4fix KB324096

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com