ID do artigo: 810030 - �ltima revis�o: quinta-feira, 3 de fevereiro de 2011 - Revis�o: 6.5

MS02-069: Falha no Microsoft VM pode comprometer o Windows

Dica do SistemaEste artigo aplica-se a um sistema operativo diferente do que est� a utilizar. Foi desactivado o conte�do do artigo, que pode n�o ser relevante para si.

Microsoft VM � uma m�quina virtual para o ambiente Win32. Ela est� inclusa na maioria das vers�es do Windows e do Microsoft Internet Explorer.

H� uma nova vers�o da Microsoft VM dispon�vel que inclui todas as corre��es previamente lan�adas para ela, al�m de oito problemas de seguran�a rec�m-descobertos. Os vetores de ataque para todos os novos problemas s�o praticamente os mesmos. Um invasor pode criar um site que, ao ser aberto, explora essa determinada vulnerabilidade, hospedando o vetor em um site ou enviando-o para um usu�rio na forma de um email em HTML.

Os problemas de seguran�a recentemente descobertos s�o:

Uma vulnerabilidade de seguran�a pela qual um miniaplicativo Java n�o confi�vel pode acessar objetos COM (Component Object Model)

Por padr�o, como os objetos COM exp�em a funcionalidade, eles devem estar dispon�veis apenas para programas Java confi�veis. Alguns desses objetos oferecem funcionalidades atrav�s das quais um invasor pode conseguir obter o controle do sistema.
Um par de vulnerabilidades que podem identificar o local real referido por um atributo codebase do miniaplicativo

Embora cada uma das vulnerabilidades possua causas diferentes, ambas t�m o mesmo efeito em potencial. Por padr�o, um miniaplicativo que esteja em um armazenamento do usu�rio ou em um compartilhamento de rede possui acesso de leitura � pasta na qual reside e a todas as pastas inferiores a ela. Essas vulnerabilidades propiciam m�todos pelos quais um miniaplicativo localizado em um site possa ter seu local no atributo codebase alterado. Ou seja, o miniaplicativo aparenta estar no sistema local do usu�rio ou em um compartilhamento de rede, em vez de seu real local.
Uma vulnerabilidade que pode permitir a um invasor criar um URL que, ao ser analisado, carrega um miniaplicativo Java a partir de um site, mas que � incorretamente apresentado como pertencente a um outro site

Essa vulnerabilidade permite que o miniaplicativo do invasor seja executado no outro dom�nio do site. Todas as informa��es fornecidas pelo usu�rio a esse miniaplicativo podem ser enviadas para o invasor.
Uma vulnerabilidade que permite que um miniaplicativo modifique o conte�do de um banco de dados

Essa vulnerabilidade ocorre porque o Microsoft VM n�o impede os miniaplicativos de chamarem APIs JDBC, um conjunto de APIs que oferecem m�todos de acesso ao banco de dados. Por padr�o, essas APIs oferecem funcionalidades para adicionar, alterar, excluir e modificar o conte�do do banco de dados, estando sujeitas apenas �s permiss�es do usu�rio.
Uma vulnerabilidade pela qual um invasor pode temporariamente impedir que determinados objetos Java sejam carregados e executados

O Standard Security Manager, uma vers�o anterior do mecanismo de seguran�a, permite que um usu�rio imponha as restri��es sobre miniaplicativos Java, o que inclui a sua n�o execu��o completa. No entanto, o Microsoft VM n�o controla o acesso ao Standard Security Manager corretamente, o que pode permitir que um miniaplicativo do invasor adicione outros objetos Java � lista de objetos banidos.
Uma vulnerabilidade pela qual um invasor pode descobrir o nome de usu�rio no computador local de um usu�rio

Essa vulnerabilidade ocorre porque a propriedade de sistema user.di fica dispon�vel para miniaplicativos n�o confi�veis. Embora apenas conhecer um nome de usu�rio n�o seja propriamente uma amea�a � seguran�a, um invasor pode achar que essas informa��es s�o �teis em termos de reconhecimento.
Uma vulnerabilidade que ocorre porque um miniaplicativo Java pode realizar uma instancia��o incompleta de um outro objeto Java

Isso causa uma falha no programa (Internet Explorer).

Voltar para o in�cio

Resolu��o

Para resolver esse problema, instale o pacote "810030: atualiza��o de seguran�a do Microsoft VM". Isso atualiza o Microsoft VM para a vers�o 5.00.3809. Todas as vers�es anteriores � 5.00.3809 da Microsoft VM s�o afetadas pelas vulnerabilidades que est�o relacionadas na se��o "Sintomas" deste artigo.

Voltar para o in�cio

Localizar a atualiza��o

Para localizar a atualiza��o, visite a se��o "Atualiza��es Cr�ticas" do seguinte site do Microsoft Windows Update:

http://update.microsoft.com (http://update.microsoft.com)

Administradores podem fazer o download dessa atualiza��o a partir de Cat�logo do Windows Update (http://v4.update.microsoft.com/catalog) para implantar em v�rios computadores que j� tenham o Microsoft VM instalado. Se voc� precisar obter essa atualiza��o para instalar posteriormente em um ou mais computadores, procure este n�mero de artigo usando as Op��es de pequisa avan�ada no Cat�logo do Windows Update. Para obter informa��es adicionais sobre como baixar atualiza��es do Cat�logo do Windows Update, clique no n�mero abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft:

323166� (http://support.microsoft.com/kb/323166/PT-BR/ ) COMO: Baixar as atualiza��es do Windows e de drivers a partir do Cat�logo do Windows Update no Windows XP

Observa��o A vers�o do Windows 2000 desta atualiza��o da Microsoft VM requer o Windows 2000 SP2 ou posterior e n�o pode ser instalada em outro sistema operacional. Para fazer o download dessa atualiza��o para Windows 2000, selecione Windows 2000 SP2 ou Windows 2000 SP3 para o seu sistema operacional.

Para baixar essa atualiza��o para o Windows XP, Windows NT 4.0, Windows Millennium Edition (Me), Windows 98 Second Edition ou Windows 98, selecione Windows XP, Windows Millennium Edition ou Windows 98 para o seu sistema operacional.

Observa��o Computadores com base em Windows NT 4.0 n�o t�m acesso ao Cat�logo do Windows Update. Se voc� tem que baixar um pacote do Windows NT 4.0 para instalar em m�ltiplos computadores ou para instalar posteriormente, acesse o cat�logo do Windows Update usado um computador que esteja executando o Windows 98, Windows Millennium Edition, Windows 2000, Windows XP ou Windows Server 2003, em seguida selecione Windows 98, Windows Millennium Edition ou Windows XP para o seu sistema operacional. Essa atualiza��o de seguran�a tamb�m pode ser instalada em computadores com base em Windows NT 4.0. Administradores que n�o tenham acesso a um computador baseado no Windows XP, Windows 98, Windows Millennium Edition, Windows 2000 ou Windows Server 2003 para usar o Cat�logo do Windows Update podem contatar o atendimento Microsoft para obter o patch. Para obter uma lista completa dos n�meros de telefone do atendimento Microsoft, al�m de informa��es sobre os custos de suporte, visite o seguinte site da Microsoft:

http://www.microsoft.com/brasil/atendimento/fale_ms.asp (http://www.microsoft.com/brasil/atendimento/fale_ms.asp)

Voltar para o in�cio

Informa��es sobre a instala��o

Voc� pode instalar essa atualiza��o apenas em computadores que possuam uma vers�o anterior do Microsoft VM instalada. Para obter informa��es adicionais sobre como instalar o Microsoft VM silenciosamente sem reiniciar o seu computador, clique no n�mero abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft:

304930� (http://support.microsoft.com/kb/304930/PT-BR/ ) Como instalar silenciosamente as atualiza��es do Microsoft Virtual Machine sem reiniciar o computador

Informa��es do arquivo

A vers�o em ingl�s desta corre��o apresenta os atributos de arquivo (ou posteriores) listados na tabela seguinte. As datas e os hor�rios desses arquivos est�o relacionados em formato UTC (coordenadas de tempo universal). Ao visualizar as informa��es sobre o arquivo, elas s�o convertidas para a hora local. Para encontrar a diferen�a entre UTC e hora local, use a guia Fuso hor�rio na ferramenta Data e hora do Painel de controle.

   
Data         Hora   Vers�o         Tamanho       Nome do arquivo 
-------------------------------------------------------------- 
20-mar-2002  11:52                      2.678  Classes.cer 
18-nov-2002  14:07                  5.751.849  Classes.zip 
18-Nov-2002  14:11  5.0.3809.0        404.752  Javart.dll 
18-Nov-2002  14:09  5.0.3809.0        172.304  Jview.exe 
18-nov-2002  14:11  5.0.3809.0        947.984  Msjava.dll 
20-mar-2002  11:52                      2.678  Msjdbc.cer 
18-nov-2002  14:07                    137.482  Msjdbc.zip 
29-mai-2001  00:58                     10.957  Osp.zip

Observa��o Depois de instalar o VM atualizado, todos os arquivos .zip ter�o nomes diferentes. Este comportamento � normal e pode ser ignorado. Observe tamb�m que somente alguns dos arquivos no pacote Zip foram alterados para esta vers�o. Por�m, esses arquivos n�o pode ser compactados individualmente.

Voltar para o in�cio

Situa��o

A Microsoft confirmou que esse problema pode causar um certo n�vel de vulnerabilidade na Microsoft VM.

Voltar para o in�cio

Mais Informa��es

Para determinar o n�mero da vers�o da Microsoft VM em um computador que esteja executando o Windows 98, Windows 98 Second Edition (SE) ou Windows Millennium Edition, execute essas etapas:

Clique em Iniciar e depois em Executar.
Na caixa Abrir, digite command e clique em OK.
No prompt de comando, digite jview e pressione ENTER. Note que as informa��es de vers�o aparecem na primeira linha como "Vers�on.nn.nnnn," em que os �ltimos quatro d�gitos nnnn s�o o n�mero da vers�o. Por exemplo, 5.00.3802 � o Microsoft VM vers�o 3802.

Para determinar o n�mero da vers�o da Microsoft VM em um computador que esteja executando o Windows 4.0, Windows 2000 ou Windows XP, execute estas etapas:

Clique em Iniciar e depois em Executar.
Na caixa Abrir, digite cmd e clique em OK.
No prompt do comando, digite o seguinte comando e pressione ENTER:
jview
Note que as informa��es de vers�o aparecem na primeira linha como "Vers�o n.nn.nnnn," em que os �ltimos quatro d�gitos nnnn s�o o n�mero da vers�o. Por exemplo, 5.00.3802 � o Microsoft VM vers�o 3802.

Para obter informa��es adicionais sobre essa vulnerabilidade, visite o seguinte site da Microsoft:

http://www.microsoft.com/technet/security/bulletin/MS02-069.asp (http://www.microsoft.com/technet/security/bulletin/MS02-069.asp) (site em ingl�s)

Voltar para o in�cio

kbbug kbfix kbsecbulletin kbsecurity kbsecvulnerability kbqfe KB810030

Voltar para o in�cio