Artigo: 810030 - �ltima revis�o: quinta-feira, 3 de Fevereiro de 2011 - Revis�o: 6.5

MS02-069: Uma falha na Microsoft VM poder� comprometer o Windows

Dica do SistemaEste artigo aplica-se a um sistema operativo diferente do que est� a utilizar. Foi desactivado o conte�do do artigo, que pode n�o ser relevante para si.

A m�quina virtual da Microsoft (Microsoft VM) destina-se a ser utilizada no ambiente Win32. A Microsoft VM � inclu�da na maioria das vers�es do Windows e do Microsoft Internet Explorer.

Est� dispon�vel uma nova vers�o da Microsoft VM que inclui todas as correc��es para a Microsoft VM anteriormente disponibilizadas e correc��es para oito novos problemas de seguran�a recentemente comunicados. Os vectores de ataque para todos os novos problemas s�o provavelmente os mesmos. Um atacante pode criar um Web site que, quando aberto, explore a vulnerabilidade particular e hospede o vector de ataque num Web site ou o envie para um utilizador sob a forma de uma mensagem de correio electr�nico em HTML.

Os novos problemas de seguran�a recentemente comunicados s�o:

Uma vulnerabilidade na seguran�a atrav�s da qual uma miniaplica��o Java n�o fidedigna pode ter acesso a objectos COM (Component Object Model)

Por predefini��o, os objectos COM exp�em funcionalidade e, consequentemente, devem estar dispon�veis apenas a programas Java fidedignos. Alguns objectos COM fornecem funcionalidade atrav�s da qual um atacante poder� conseguir obter o controlo do sistema.
Um par de vulnerabilidades que podem disfar�ar a localiza��o real referenciada pelo atributo codebase de uma miniaplica��o

Apesar de cada vulnerabilidade ter causas subjacentes diferentes, ambas podem ter mesmo efeito. Por predefini��o, uma miniaplica��o Java que resida no armazenamento do utilizador ou numa partilha de rede tem acesso de leitura � pasta em reside e a todas as respectivas subpastas. Estas vulnerabilidades fornecem m�todos pelos quais uma miniaplica��o localizada num Web site pode ser levada a representar erradamente a sua localiza��o no atributo codebase. Ou seja, a miniaplica��o parece residir no sistema local do utilizador ou numa partilha de rede em vez da sua localiza��o real.
Uma vulnerabilidade que pode permitir a um atacante criar um URL que, quando analisado, carregue uma miniaplica��o Java de um Web site, mas a apresente de forma errada, fazendo parecer que pertence a outro Web site.

Esta vulnerabilidade permite que a miniaplica��o do atacante seja executada no dom�nio do outro site. Todas as informa��es que o utilizador forne�a a esta miniaplica��o podem ser transmitidas ao atacante.
Uma vulnerabilidade que permite a uma miniaplica��o modificar o conte�do de bases de dados

Esta vulnerabilidade ocorre porque a Microsoft VM n�o impede as miniaplica��es de chamar as APIs JDBC, um conjunto de APIs que fornecem m�todos de acesso a bases de dados. Por predefini��o, estas APIs fornecem funcionalidade para adicionar, alterar, eliminar e modificar o conte�do de bases de dados e est�o sujeitas apenas �s permiss�es do utilizador.
Uma vulnerabilidade atrav�s da qual um atacante pode impedir temporariamente objectos Java especificados de serem carregados e executados

O Standard Security Manager, um mecanismo de seguran�a de uma vers�o anterior, permite ao utilizador impor restri��es a miniaplica��es Java, incluindo impedi-las de ser executadas. Contudo, a Microsoft VM n�o controla de forma adequada o acesso ao Standard Security Manager e, consequentemente, uma miniaplica��o de um atacante pode adicionar outros objectos Java � lista de "exclu�dos".
Uma vulnerabilidade atrav�s da qual � poss�vel a um atacante obter o nome de utilizador no computador local de um utilizador.

Esta vulnerabilidade ocorre porque a propriedade de sistema user.dir est� dispon�vel a miniaplica��es n�o fidedignas. Apesar de o facto de conhecer o nome de utilizador n�o colocar, por si, um risco de seguran�a, um atacante poder� considerar estas informa��es �teis para fins de reconhecimento.
Uma vulnerabilidade que ocorre porque uma miniaplica��o Java poder� criar uma inst�ncia incompleta de outro objecto Java

Isto provoca a falha do programa principal (Internet Explorer).

Voltar ao topo

Resolu��o

Para resolver este problema, instale o pacote "810030: actualiza��o de seguran�a para a Microsoft VM". Este pacote actualiza a Microsoft VM para a vers�o 5.00.3809. Todas as vers�es da Microsoft VM anteriores � 5.00.3809 s�o afectadas pelas vulnerabilidades listadas na sec��o "Sintomas" deste artigo.

Este artigo poder� conter hiperliga��es para conte�do em ingl�s (ainda n�o traduzido).

Voltar ao topo

Localizar a actualiza��o

Para localizar a actualiza��o, consulte a sec��o "Actualiza��es cr�ticas" do Web site Microsoft Windows Update que se segue:

http://update.microsoft.com (http://update.microsoft.com)

Os administradores podem transferir esta actualiza��o a partir do Cat�logo do Windows Update (http://v4.update.microsoft.com/catalog) para implementar em v�rios computadores que j� tenham a Microsoft VM instalada. Caso seja necess�rio obter esta actualiza��o para a instalar posteriormente em mais de um computador, efectue uma pesquisa pelo n�mero de ID deste artigo utilizando as Op��es de procura avan�adas (Advanced Search Options) no cat�logo do Windows Update. Para obter informa��es adicionais sobre como transferir actualiza��es a partir do cat�logo do Windows Update, clique no n�mero do artigo seguinte para visualiz�-lo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):

323166� (http://support.microsoft.com/kb/323166/PT/ ) COMO: Transferir actualiza��es do Windows e de controladores a partir do cat�logo do Windows Update no Windows XP

Nota: a vers�o para o Windows 2000 desta actualiza��o da Microsoft VM requer o Windows 2000 Service Pack 2 ou posterior e n�o pode ser instalada em qualquer outro sistema operativo. Para transferir esta actualiza��o para o Windows 2000, seleccione o Windows 2000 SP2 ou Windows 2000 SP3 como sistema operativo.

Para transferir esta actualiza��o para o Windows XP, Windows NT 4.0, Windows Millennium Edition (Me), Windows 98 Segunda Edi��o ou Windows 98, seleccione Windows XP, Windows Millennium Edition ou Windows 98 como sistema operativo.

Nota: os computadores baseados no Windows NT 4.0 n�o t�m acesso ao cat�logo do Windows Update. Se necessitar de transferir o pacote do Windows NT 4.0 para instalar em v�rios computadores, ou para instalar mais tarde, aceda ao cat�logo do Windows Update utilizando um computador com o Windows 98, Windows Millennium Edition, Windows 2000, Windows XP ou Windows Server 2003 e, em seguida, seleccione Windows 98, Windows Millennium Edition ou Windows XP como sistema operativo. Esta actualiza��o de seguran�a tamb�m foi concebida para ser instalada em computadores com o Windows NT 4.0. Os administradores que n�o tenham acesso a um computador baseado em Windows XP, Windows 98, Windows Millennium Edition, Windows 2000 ou Windows Server 2003 para utilizar o cat�logo do Windows Update podem contactar o suporte t�cnico da Microsoft para obter o patch. Para obter uma lista completa dos n�meros de telefone do suporte t�cnico da Microsoft, bem como informa��es sobre os custos de suporte, visite o seguinte Web site da Microsoft:

http://support.microsoft.com/default.as px?scid=fh;PT;CNTACTMS (http://support.microsoft.com/default.aspx?scid=fh;PT;CNTACTMS)

Voltar ao topo

Informa��es de instala��o

Pode instalar esta actualiza��o apenas em computadores com uma vers�o anterior da Microsoft VM instalada. Para obter informa��es adicionais sobre como instalar a Microsoft VM silenciosamente sem reiniciar o computador, clique no n�mero de artigo que se segue para visualiz�-lo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):

304930� (http://support.microsoft.com/kb/304930/PT/ ) How to Install the Microsoft Virtual Machine Silently Without Restarting Your Computer

Informa��es sobre os ficheiros

A vers�o inglesa desta correc��o tem os atributos de ficheiro listados na seguinte tabela (ou posteriores). As datas e horas destes ficheiros s�o indicadas no formato de hora universal coordenada (UTC, Universal Coordinated Time). Ao visualizar as informa��es dos ficheiros, estas ser�o convertidas na hora local. Para determinar a diferen�a entre a hora UTC e a hora local, utilize o separador Fuso hor�rio (Time Zone) da ferramenta Data e hora (Date and Time) do Painel de controlo (Control Panel).

Data         Hora   Vers�o          Tamanho    Ficheiro 
-------------------------------------------------------------- 
20-Mar-2002  11:52                      2,678  Classes.cer 
18-Nov-2002  14:07                  5,751,849  Classes.zip 
18-Nov-2002  14:11  5.0.3809.0        404,752  Javart.dll 
18-Nov-2002  14:09  5.0.3809.0        172,304  Jview.exe 
18-Nov-2002  14:11  5.0.3809.0        947,984  Msjava.dll 
20-Mar-2002  11:52                      2,678  Msjdbc.cer 
18-Nov-2002  14:07                    137,482  Msjdbc.zip 
29-May-2001  00:58                     10,957  Osp.zip

Nota: depois de instalar a VM actualizada, todos os ficheiros .zip ter�o nomes diferentes. Este comportamento � normal e pode ser ignorado. Al�m disso, tenha em aten��o que apenas foram alterados, para esta vers�o, alguns ficheiros do pacote Zip. No entanto, estes ficheiros n�o podem ser compactados individualmente.

Voltar ao topo

Ponto Da Situa��o

A Microsoft confirmou que este problema pode resultar num certo grau de vulnerabilidade da seguran�a na Microsoft VM.

Voltar ao topo

Mais Informa��o

Para determinar o n�mero de compila��o da Microsoft VM num computador com o Windows 98, Windows 98 Segunda Edi��o (SE) ou Windows Millennium Edition, siga estes passos:

Clique em Iniciar e, em seguida, clique em Executar.
Na caixa Abrir, escreva regedit e clique em OK.
Na linha de comandos, escreva jview e, em seguida, prima ENTER. Repare que as informa��es sobre a vers�o s�o apresentadas na primeira linha como "Vers�o n.nn.nnnn", onde os �ltimos quatro d�gitos nnnn s�o o n�mero da compila��o. Por exemplo, 5.00.3802 � a compila��o 3802 da Microsoft VM.

Para determinar o n�mero de compila��o da Microsoft VM num computador com o Windows NT 4.0, Windows 2000 ou Windows XP, siga estes passos:

Clique em Iniciar (Start) e, em seguida, clique em Executar (Run).
Na caixa Abrir (Open), escreva cmd e, em seguida, clique em OK.
Na linha de comandos, escreva o seguinte comando e prima ENTER:
jview
Note que as informa��es relativas � vers�o s�o apresentadas na primeira linha como "Vers�o (Version) n.nn.nnnn", onde os �ltimos quatro d�gitos nnnn s�o o n�mero da compila��o. Por exemplo, 5.00.3802 � a compila��o 3802 da Microsoft VM.