MS02-053: Solicitação para que SmartHTML Interpreter possa monopolizar os recursos de CPU do servidor Web

Traduções deste artigo Traduções deste artigo
ID do artigo: 324096 - Exibir os produtos aos quais esse artigo se aplica.
Este artigo foi arquivado. É oferecido "como está" e não será mais atualizado.
Expandir tudo | Recolher tudo

Neste artigo

Sintomas

O SmartHTML Interpreter (Shtml.dll) faz parte das Extensões de Servidor do FrontPage; ele dá suporte para formas da Web e outro conteúdo dinâmico baseado em FrontPage. O intérprete contém uma falha que ocorre quando ele processa uma solicitação para um tipo particular de arquivo Web caso a solicitação inclua certas características. Essa solicitação pode fazer com que o intérprete consuma a maior parte ou toda a disponibilidade da CPU até o serviço Web ser reiniciado. Um invasor poderá usar essa vulnerabilidade para conduzir um ataque DOS (denial-of-service) contra um servidor Web afetado.

Fatores atenuantes

  • A vulnerabilidade não fornece uma alternativa para ampliar a ação no servidor. Ela não permite que um invasor adicione, exclua ou modifique dados no servidor.
  • A ferramenta IIS Lockdown(site em inglês) desativa o SmartHTML Interpreter caso seja utilizada para configurar um servidor Web estático. Os servidores em que essa ferramenta foi utilizada não podem ser afetados pela vulnerabilidade.
  • Por padrão, as Extensões de Servidor do FrontPage estão instaladas no Microsoft Internet Information Server 4.0 e no Microsoft Internet Information Services 5.0 e 5.1, porém podem ser removidas. Os servidores em que o Internet Information Server ou Internet Information Services foi removido não podem ser afetados pela vulnerabilidade.

Resolução

Extensões de Servidor do FrontPage 2002 da Microsoft

Para obter informações adicionais sobre a atualização de segurança, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft:
329086 FP2002: Atualização de segurança das Extensões de Servidor do FrontPage 2002: 25 de setembro de 2002
A versão em inglês dessa correção apresenta os atributos de arquivo (ou posteriores) relacionados na tabela a seguir:
   Versão       Nome do arquivo
   ------------------------
   10.0.4219.0  Fp5awel.dll
				
A Microsoft também recomenda que você instale a atualização das Extensões de Servidor do FrontPage 2002 lançadas em janeiro de 2002. Para obter informações adicionais sobre a atualização, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft:
317296 Visão geral da atualização de Extensão de Servidor do FrontPage 2002: 28 de janeiro de 2002

Extensões de Servidor do FrontPage 2000 da Microsoft

Para obter informações adicionais sobre a atualização de segurança, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft:
329085 FP2000: Atualização de segurança das Extensões de Servidor do FrontPage 2000: 25 de setembro de 2002
A versão em inglês dessa correção apresenta os atributos de arquivo (ou posteriores) relacionados na tabela a seguir:
   Versão       Nome do arquivo
   ------------------------
   4.0.2.6426   Fp4awel.dll
				

Windows XP

Uma correção suportada já está disponível na Microsoft, porém destina-se a corrigir somente o problema descrito neste artigo. Aplique-a somente em computadores que correm um risco de ataque. Avalie a acessibilidade física de seu computador, a conectividade de rede e da Internet e outros fatores para determinar o risco que seu computador corre. Consulte o Boletim de segurança da Microsoft(site em inglês) correspondente para ajudar a determinar o grau de risco. Essa correção poderá passar por testes adicionais. Caso seu computador corra um risco considerável, a Microsoft recomenda a aplicação dessa correção agora. Caso contrário, espere o próximo Windows XP que a contenha.

Para solucionar esse problema imediatamente, baixe a correção seguindo as instruções posteriormente descritas neste artigo ou entre em contato com o Atendimento Microsoft para obtê-la. Para obter uma lista completa dos números de telefone do Atendimento Microsoft e as informações sobre os custos de suporte, visite o seguinte site da Microsoft:
http://www.microsoft.com/brasil/atendimento/fale_ms.asp
OBSERVAÇÃO: Em casos especiais, as cobranças resultantes das chamadas de suporte poderão ser canceladas se um profissional de Suporte Microsoft determinar que uma atualização específica resolverá o problema. Os custos habituais do suporte serão aplicados a questões e problemas de suporte que não se qualificam à atualização específica em questão.

Informações sobre download

Os seguintes arquivos estão disponíveis para download no Centro de Download da Microsoft:
Inglês (EUA):
Recolher esta imagemExpandir esta imagem
Download
Baixe o pacote Q324096 agora

Árabe:
Recolher esta imagemExpandir esta imagem
Download
Baixe o pacote Q324096 agora

Chinês (Simplificado):
Recolher esta imagemExpandir esta imagem
Download
Baixe o pacote Q324096 agora

Chinês (Tradicional):
Recolher esta imagemExpandir esta imagem
Download
Baixe o pacote Q324096 agora

Tcheco:
Recolher esta imagemExpandir esta imagem
Download
Baixe o pacote Q324096 agora

Dinamarquês:
Recolher esta imagemExpandir esta imagem
Download
Baixe o pacote Q324096 agora

Holandês:
Recolher esta imagemExpandir esta imagem
Download
Baixe o pacote Q324096 agora

Finlandês:
Recolher esta imagemExpandir esta imagem
Download
Baixe o pacote Q324096 agora

Francês:
Recolher esta imagemExpandir esta imagem
Download
Baixe o pacote Q324096 agora

Alemão:
Recolher esta imagemExpandir esta imagem
Download
Baixe o pacote Q324096 agora

Grego:
Recolher esta imagemExpandir esta imagem
Download
Baixe o pacote Q324096 agora

Hebraico:
Recolher esta imagemExpandir esta imagem
Download
Baixe o pacote Q324096 agora

Húngaro:
Recolher esta imagemExpandir esta imagem
Download
Baixe o pacote Q324096 agora

Italiano:
Recolher esta imagemExpandir esta imagem
Download
Baixe o pacote Q324096 agora

Japonês:
Recolher esta imagemExpandir esta imagem
Download
Baixe o pacote Q324096 agora

Coreano:
Recolher esta imagemExpandir esta imagem
Download
Baixe o pacote Q324096 agora

Norueguês:
Recolher esta imagemExpandir esta imagem
Download
Baixe o pacote Q324096 agora

Polonês:
Recolher esta imagemExpandir esta imagem
Download
Baixe o pacote Q324096 agora

Português:
Recolher esta imagemExpandir esta imagem
Download
Baixe o pacote Q324096 agora

Português (Brasil):
Recolher esta imagemExpandir esta imagem
Download
Baixe o pacote Q324096 agora

Russo:
Recolher esta imagemExpandir esta imagem
Download
Baixe o pacote Q324096 agora

Espanhol:
Recolher esta imagemExpandir esta imagem
Download
Baixe o pacote Q324096 agora

Sueco:
Recolher esta imagemExpandir esta imagem
Download
Baixe o pacote Q324096 agora

Turco:
Recolher esta imagemExpandir esta imagem
Download
Baixe o pacote Q324096 agora
Data de lançamento: 25 de setembro de 2002

Para obter informações adicionais sobre como baixar arquivos de Suporte da Microsoft, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft:
119591 Como obter arquivos de suporte da Microsoft nos serviços online
A Microsoft examinou esse arquivo em busca de vírus. A Microsoft utilizou o software de detecção de vírus mais atualizado disponível na data em que o arquivo foi publicado. O arquivo está armazenado em servidores de segurança avançada que ajudam a evitar qualquer alteração não autorizada no arquivo.

Opções de instalação

Você deve reiniciar o computador após aplicar essa atualização. Essa atualização suporta as seguintes chaves de instalação:
  • -? : Exibe a lista de opções de instalação.
  • -u: Modo não assistido.
  • -f: Fecha outros programas quando o computador é desligado.
  • -n: Não faz backup de arquivos antes da remoção.
  • -o: Substitui os arquivos OEM sem perguntar antes.
  • -z: Não reinicia quando a instalação é concluída.
  • -q: Modo silencioso (sem interação por parte do usuário).
  • -l: Relaciona os hotfixes instalados.
  • -x Extrai os arquivos sem executar o programa de instalação.
Por exemplo, a seguinte linha de comando instala a atualização sem qualquer intervenção do usuário e sem forçar o computador a reiniciar:
Q324096_wxp_sp1_x86_enu -u -q -z
AVISO: Seu computador estará vulnerável até ser reiniciado.

Informações sobre o arquivo

A versão em inglês dessa correção apresenta os atributos de arquivo (ou posteriores) relacionados na tabela a seguir. As datas e os horários desses arquivos estão relacionados em formato UTC (coordenadas de tempo universal). Ao visualizar as informações sobre o arquivo, elas são convertidas para a hora local. Para encontrar a diferença entre UTC e a hora local, use a guia Fuso horário na ferramenta Data e hora do Painel de controle.
   Data         Hora      Versão       Tamanho    Nome do arquivo
   ------------------------------------------------------
   22-Jun-2002 10:37PM  10.0.4219.0  1382984  Fp5awel.dll
				
OBSERVAÇÃO: Devido às dependências do arquivo, essa atualização pode conter arquivos adicionais.


Informações sobre o Windows 2000 Service Pack

A versão do Windows 2000 desse patch de segurança está incluída no Windows 2000 Service Pack 4 (SP4) para sistemas que executam as Extensões de Servidor do FrontPage 2000. Se você utilizar qualquer outra versão das Extensões de Servidor do FrontPage, deverá instalar o patch para MS02-053 separadamente. Para resolver esse problema, obtenha o service pack mais recente do Microsoft Windows 2000. Para obter informações adicionais, clique no número abaixo para ler o artigo na Base de Dados do Conhecimento da Microsoft:
260910 Como obter o service pack mais recente do Windows 2000

Informações sobre o hotfix do Windows 2000

Uma correção suportada já está disponível na Microsoft, porém destina-se a corrigir somente o problema descrito neste artigo. Aplique-a somente em computadores que correm um risco de ataque. Avalie a acessibilidade física de seu computador, a conectividade de rede e da Internet e outros fatores para determinar o risco que seu computador corre. Consulte o Boletim de Segurança da Microsoft(site em inglês) correspondente para ajudar a determinar o grau de risco. Essa correção poderá passar por testes adicionais. Caso seu computador corra um risco considerável, a Microsoft recomenda a aplicação dessa correção agora. Caso contrário, espere o próximo Windows 2000 que a contenha.

Para solucionar esse problema imediatamente, baixe a correção seguindo as instruções posteriormente descritas neste artigo ou entre em contato com o Atendimento Microsoft para obtê-la. Para obter uma lista completa dos números de telefone do Atendimento Microsoft e as informações sobre os custos de suporte, visite o seguinte site da Microsoft:
http://www.microsoft.com/brasil/atendimento/fale_ms.asp
OBSERVAÇÃO: Em casos especiais, as cobranças resultantes das chamadas de suporte poderão ser canceladas se um profissional de Suporte Microsoft determinar que uma atualização específica resolverá o problema. Os custos habituais do suporte serão aplicados a questões e problemas de suporte que não se qualificam à atualização específica em questão.

Informações sobre download

O seguinte arquivo está disponível para download no Centro de Download da Microsoft:
Recolher esta imagemExpandir esta imagem
Download
Baixe o pacote Q324096 agora(site em inglês)
Data de lançamento: 25 de setembro de 2002

Para obter informações adicionais sobre como baixar arquivos de Suporte da Microsoft, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft:
119591 Como obter arquivos de suporte da Microsoft nos serviços online
A Microsoft examinou esse arquivo em busca de vírus. A Microsoft utilizou o software de detecção de vírus mais atualizado disponível na data em que o arquivo foi publicado. O arquivo está armazenado em servidores de segurança avançada que ajudam a evitar qualquer alteração não autorizada ao arquivo.

Opções de instalação

Você deve reiniciar o computador após aplicar essa atualização. Essa atualização suporta as seguintes chaves de instalação:
  • -? : Exibe a lista de opções de instalação.
  • -u: Modo não assistido.
  • -f: Fecha outros programas quando o computador é desligado.
  • -n: Não faz backup de arquivos antes da remoção.
  • -o: Substutui os arquivos OEM sem perguntar antes.
  • -z: Não reinicia quando a instalação é concluída.
  • -q: Modo silencioso (sem interação por parte do usuário).
  • -l: Relaciona os hotfixes instalados.
  • -x Extrai os arquivos sem executar o programa de instalação.
Por exemplo, a seguinte linha de comando instala a atualização sem qualquer intervenção do usuário e sem forçar o computador a reiniciar:
q318138_w2k_sp3_x86_en /q /m /z
AVISO: Seu computador estará vulnerável até ser reiniciado.

Informações sobre o arquivo

A versão em inglês dessa correção apresenta os atributos de arquivo (ou posteriores) relacionados na tabela a seguir. As datas e os horários desses arquivos estão relacionados em formato UTC (coordenadas de tempo universal). Ao visualizar as informações sobre o arquivo, elas são convertidas para a hora local. Para encontrar a diferença entre UTC e a hora local, use a guia Fuso horário na ferramenta Data e hora do Painel de controle.
Data       Hora    Versão      Tamanho     Nome do arquivo e caminho
------------------------------------------------------------------------
27-abr-2002  12:34PM  4.0.2.6426   872557   ???\fp4awel.dll
					
OBSERVAÇÃO: Devido às dependências do arquivo, essa atualização pode conter arquivos adicionais. Essa atualização requer o Windows 2000 Service Pack 2 (SP2)(site em inglês) ou o Service Pack 1 (SP1). (site em inglês)

Situação

A Microsoft confirmou que esse problema pode causar um certo grau de vulnerabilidade na segurança dos produtos Microsoft listados no começo deste artigo. Esse problema foi corrigido primeiro no Microsoft Windows 2000 Service Pack 4.

Mais Informações

Para obter informações adicionais sobre essa vulnerabilidade, visite o seguinte site da Microsoft:
http://www.microsoft.com/technet/security/bulletin/MS02-053.asp(site em inglês)

Propriedades

ID do artigo: 324096 - Última revisão: segunda-feira, 24 de fevereiro de 2014 - Revisão: 4.1
A informação contida neste artigo aplica-se a:
  • Microsoft Windows 2000 Service Pack 1
  • Microsoft Windows 2000 Service Pack 3
  • Microsoft Windows 2000 Service Pack 2
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Service Pack 1
  • Microsoft Windows 2000 Service Pack 2
  • Microsoft Windows 2000 Service Pack 3
  • Extensões de Servidor do Microsoft FrontPage 2002
  • Microsoft FrontPage 2000 Server Extensions
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Professional Edition
Palavras-chave: 
kbnosurvey kbarchive kbbug kbfix kbwin2000presp4fix kbsecvulnerability kbsysadmin kbsecurity kbwinxpsp2fix kbsecbulletin kbsechack kbwinxppresp2fix kbwin2ksp4fix KB324096

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com