MS02-052: Falha no Microsoft VM JDBC Classes pode permitir que o código seja executado

Traduções deste artigo Traduções deste artigo
ID do artigo: 329077 - Exibir os produtos aos quais esse artigo se aplica.
Expandir tudo | Recolher tudo

Sintomas

O Microsoft VM (virtual machine) é uma máquina virtual para versões de 32 bits do Microsoft Windows. A Microsoft VM foi incluída como parte da maioria das versões do Windows e como parte da maioria das versões do Microsoft Internet Explorer. Um novo patch para a Microsoft VM está disponível. Esse patch corrige três vulnerabilidades de segurança. É provável que os vetores invasores para todas as vulnerabilidades sejam os mesmos. Para explorar essas vulnerabilidades, um invasor pode criar uma página da Web e hospedá-la em um servidor ou enviá-la como uma mensagem de email.

A primeira vulnerabilidade envolve as classes JDBC (Java Database Connectivity), que oferecem recursos que permitem que os programas Java se conectem e utilizem os dados de uma grande variedade de fontes de dados. Essas fontes variam de arquivos simples a bases de dados do Microsoft SQL Server. A vulnerabilidade ocorre por causa de uma falha no modo como as classes vetam um pedido para carregar e executar uma DLL no computador do usuário. Embora as classes desempenhem verificações que são planejadas para certificar que apenas programas autorizados podem realizar esses pedidos, essa verificação pode ser propositalmente falsa, compondo incorretamente o pedido de uma forma particular. Entretanto, essa vulnerabilidade pode permitir que um invasor adquira controle sobre o computador de um usuário.

A segunda vulnerabilidade também envolve as classes JDBC e ocorre porque certas funções nas classes não validam corretamente os identificadores que são fornecidos como entrada. Uma utilização direta dessa falha envolve o suprimento de dados inválidos em vez de um identificador real ao chamar tal função. A Microsoft confirmou que essa situação pode fazer com que o Internet Explorer pare de funcionar. A falha pode também permitir que um invasor forneça dados que façam com que o código execute no contexto de segurança do usuário.

A terceira vulnerabilidade envolve uma classe que oferece suporte para a utilização do XML pelos programas Java. Essa classe expõe vários métodos. Alguns desses métodos são adequados para o uso com qualquer programa, mas outros são apropriados apenas para serem utilizados com programas confiáveis. No entanto, a classe não diferencia corretamente entre esses casos; em vez disso, torna todos os métodos disponíveis para todos os programas. As funções que podem ser mal utilizadas por essa vulnerabilidade incluem funções que podem permitir que um programa tome virtualmente qualquer ação no computador do usuário.

Resolução

Para resolver esse problema, instale o patch que está descrito no seguinte artigo da Base de Dados de Conhecimento da Microsoft:
810030 MS02-069: Falha no Microsoft VM pode comprometer o Windows
A atualização de segurança 329077 pode ser substituída pela atualização 810030.

Essa atualização faz as alterações a seguir no Registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{DBB3C81D-3C91-4a1e-BDDF-905B61C7CEDF}
="Security Update for the Microsoft VM"
"ComponentID"="JAVAVM"
"IsInstalled"=hex:01,00,00,00
"KeyFileName"="C:\\WINDOWS\\System32\\msjava.dll"
"Version"="5,00,3807,0"
OBSERVAÇÃO: Independentemente do número da versão visualizada pelo Jview, a chave de Registro descrita anteriormente deve ser o fator determinante para a instalação correta desse patch. O arquivo Msjava.dll permanecerá na versão 5.00.3805.0000 após a instalação desse patch.

A versão em inglês dessa correção apresenta os atributos de arquivo (ou posteriores) relacionados na tabela a seguir. As datas e os horários desses arquivos são listados em formato UTC (coordinated universal time). Quando você edita as informações do arquivo, elas são convertidas para a hora local. Para encontrar a diferença entre UTC e hora local, use a guia Fuso horário na ferramenta Data e hora do Painel de controle.
   Data        Hora    Tamanho    Nome do arquivo
   ------------------------------------------
   18-Fev-2002   07:38     2,678   Msjdbc.cer
   21-Ago-2002   17:28   137,282   Msjdbc.zip
   16-Ago-2002   09:57    10,957   Osp.zip
				
Esses arquivos são colocados na pasta %Windir%\Java\Classes. Os arquivos compactados contêm as classes Java a seguir:
   21-Ago-2002   17:28   24,824  Jdbcodbc.class
   21-Ago-2002   17:28      800  Jdbcodbcboundcol.class
   21-Ago-2002   17:28    1,119  Jdbcodbcboundparam.class
   21-Ago-2002   17:28      848  Jdbcodbcbusyflag.class
   21-Ago-2002   17:28    5,193  Jdbcodbccallablestatement.class
   21-Ago-2002   17:28    8,347  Jdbcodbcconnection.class
   21-Ago-2002   17:28      447  Jdbcodbcconnectioninterface.class
   21-Ago-2002   17:28   28,036  Jdbcodbcdatabasemetadata.class
   21-Ago-2002   17:28      710  Jdbcodbcdecimal.class
   21-Ago-2002   17:28    6,096  Jdbcodbcdriver.class
   21-Ago-2002   17:28      308  Jdbcodbcdriverattribute.class
   21-Ago-2002   17:28      415  Jdbcodbcdriverinterface.class
   21-Ago-2002   17:28    2,990  Jdbcodbcinputstream.class
   21-Ago-2002   17:28      611  Jdbcodbclimits.class
   21-Ago-2002   17:28    2,339  Jdbcodbcobject.class
   21-Ago-2002   17:28    8,063  Jdbcodbcpreparedstatement.class
   21-Ago-2002   17:28      912  Jdbcodbcpseudocol.class
   21-Ago-2002   17:28   12,865  Jdbcodbcresultset.class
   21-Ago-2002   17:28      615  Jdbcodbcresultsetinterface.class
   21-ago-2002   17:28    5,503  Jdbcodbcresultsetmetadata.class
   21-ago-2002   17:28      523  Jdbcodbcsqlwarning.class
   21-ago-2002   17:28    6,116  Jdbcodbcstatement.class
   21-ago-2002   17:28    1,451  Jdbcodbctimestamp.class
   21-ago-2002   17:28      566  Jdbcodbctypeinfo.class
   21-ago-2002   17:28   13,595  Odbcdef.class
   28-jul-1997   13:15      247  Accessdeniedexception.class
   28-jul-1997   13:15      243  Conversionexception.class
   28-jul-1997   13:15    1,033  Datasource.class
   28-jul-1997   13:15      746  Datasourcelistener.class
   28-jul-1997   13:15      253  Illegalargumentexception.class
   28-jul-1997   13:15      251  Notimplementedexception.class
   28-julJul-1997   13:15    1,736  Oledbsimpleprovider.class
   28-jul-1997   13:15    1,123  Oledbsimpleproviderlistener.class
   28-jul-1997   13:15      384  Ospcomp.class
   28-jul-1997   13:15      261  Ospexception.class
   28-jul-1997   13:15      264  Ospfind.class
   28-jul-1997   13:15      304  Ospformat.class
   28-jul-1997   13:15      912  Ospmrshl.class
   28-jul-1997   13:15      286  Osprw.class
   28-jul-1997   13:15      260  Ospxfer.class
   28-jul-1997   13:15      368  __MIDL___MIDL_ITF_SIMPDATA_0000_0001.CLASS
				

Situação

A Microsoft confirmou que esse problema pode causar um certo nível de vulnerabilidade de segurança no Microsoft VM.

Mais Informações

Para obter informações adicionais sobre essa vulnerabilidade, visite os sites da Microsoft a seguir:
http://www.microsoft.com/technet/security/bulletin/MS02-052.asp(site em inglês)
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-011.asp(site em inglês)

Propriedades

ID do artigo: 329077 - Última revisão: domingo, 3 de outubro de 2004 - Revisão: 8.1
A informação contida neste artigo aplica-se a:
  • Microsoft Virtual Machine para Java
  • Microsoft Virtual Machine para Java nas seguintes plataformas
    • Microsoft Windows Millennium Edition
    • Microsoft Windows 2000 Standard Edition
    • Microsoft Windows NT 4.0
    • Microsoft Windows 98 Second Edition
    • Microsoft Windows 98 Standard Edition
Palavras-chave: 
kbbug kbfix kbsecvulnerability kbsecurity kbsecbulletin KB329077

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com