MS03-026: Estouro de buffer no RPC pode permitir a execução do código

Traduções deste artigo Traduções deste artigo
ID do artigo: 823980 - Exibir os produtos aos quais esse artigo se aplica.

Atualização técnica

  • 10 de setembro de 2003: As seguintes alterações foram feitas neste artigo:
    • Atualização das seções "Informações sobre a substituição do patch de segurança" para indicar que este patch foi substituído pelo 824146 (MS03-039). Para mais informações sobre o patch de segurança 824146 (MS03-039), clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft (a página pode estar em inglês):
      824146 MS03-039: Um estouro de buffer no RPCSS pode permitir que um invasor execute programas mal-intencionados
    • A atualização da seção "Informações sobre a instalação" indica que a Microsoft lançou uma ferramenta que pode ser usada por administradores de rede para examinar uma rede e identificar computadores host que não possuem instalados os patches de segurança 823980 (MS03-026) e 824146 (MS03-039). Para obter informações adicionais sobre esta ferramenta, clique no seguinte número para ler o artigo na Base de Dados de Conhecimento Microsoft (a página pode estar em inglês):
      827363 Como usar a ferramenta de exame KB 824146 para identificar computadores host que não possuem instalados os patches de segurança 823980 (MS03-026) e 824146 (MS03-039)
    • A atualização da seção "Informações sobre a substituição do patch de segurança" para o Windows NT 4.0 indica que este patch de segurança substitui o 305399 (MS01-048) em computadores com base no Windows NT 4.0.
  • 19 de agosto de 2003: A atualização da seção "Informações adicionais" inclui uma referência ao artigo 826234 da Base de Dados de Conhecimento Microsoft. Este artigo apresenta informações sobre o vírus worm Nachi que tenta explorar a vulnerabilidade fixada por este patch de segurança.
    826234 Alerta de vírus sobre o worm Nachi
  • 14 de agosto de 2003: As seguintes alterações foram feitas neste artigo:
    • A atualização da seção "Informações adicionais" inclui uma referência ao artigo 826955 da Base de Dados de Conhecimento Microsoft. Este artigo apresenta informações sobre o vírus worm Blaster que tenta explorar a vulnerabilidade fixada por este patch de segurança.
      826955 Alerta de vírus sobre o Worm Blaster e suas variantes
    • A atualização da seção "Informações sobre a instalação" indica que a Microsoft lançou uma ferramenta que pode ser usada por administradores de rede para verificar sistemas que não possuem instalados este patch de segurança.
    • A atualização da seção "Informações sobre a substituição do patch de segurança" indica que este patch de segurança substitui o 331953 (MS03-010) em computadores com base no Windows 2000 e no Windows XP. Para computadores com base no Windows NT 4.0 e no Windows Server 2003, este patch de segurança não substitui nenhum outro.
    • Atualização da seção "Pré-requisitos" para incluir as informações sobre o suporte ao Windows 2000 Service Pack 2 (SP2) para este patch.
    • Atualização da seção "Solução alternativa" para fornecer informações adicionais sobre estas soluções.
  • 18 de julho de 2003: Atualização das seções "Sintomas" e "Fatores atenuantes". Observação adicionada à seção "Pré-requisitos" do Windows 2000. Observação adicionada à seção "Pré-requisitos" do Windows NT 4.0. Na seção "Windows NT 4.0", alteração na chave de Registro "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows NT\SP6\KB823980" para "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Hotfix\Q823980". Na seção "Solução alternativa", alteração no texto no primeiro ponto de marcador ("Block port 135 at your firewall"). Nas seguintes seções, alteração nas tabelas de informação do arquivo: Windows Server 2003, 32-Bit Edition; Windows Server 2003, 64-Bit Edition; Windows XP Professional e Windows XP Home Edition; Windows XP 64-Bit Edition.
  • 18 de agosto de 2003: Atualização da seção "Pré-requisitos".
Expandir tudo | Recolher tudo

Neste artigo

Sintomas

A Microsoft lançou originalmente este boletim e este patch em 16 de julho de 2003 para corrigir uma vulnerabilidade de segurança em uma interface Chamada de procedimento remoto (RPC) do DCOM (Distributed Component Object Model) do Windows. O patch era, e ainda é eficaz na eliminação da vulnerabilidade de segurança. No entanto, as análises em "fatores atenuantes" e "soluções alternativas" no Boletim de segurança original não identificaram claramente todas as portas pelas quais a vulnerabilidade poderia ser explorada. A Microsoft atualizou este boletim para enumerar mais claramente, as portas pelas quais os serviços RPC podem ser solicitados e certificar-se de que os clientes que escolheram implementar uma solução alternativa antes de instalar o patch, saibam que é necessário proteger os seus sistemas. Os clientes que já instalaram o patch estão protegidos de tentativas de exploração desta vulnerabilidade e não precisam fazer mais nada.

A RPC (Chamada de Procedimento Remoto) é um protocolo usado pelo sistema operacional do Windows. A RPC fornece um mecanismo de comunicação entre processos que permite que um programa funcione em um computador e execute, sem falhas, um código em um computador remoto. O próprio protocolo é derivado do protocolo RPC OSF (Open Software Foundation). O protocolo RPC usado pelo Windows inclui algumas extensões adicionais específicas da Microsoft.

Há uma vulnerabilidade na parte de RPC que lida com troca de mensagens pelo TCP/IP. A falha ocorre devido à manipulação incorreta de mensagens corrompidas. Esta vulnerabilidade específica afeta uma interface DCOM (Distributed Component Object Model) com RPC, que atende em portas habilitadas por RPC. Esta interface manipula solicitações DCOM enviadas por computadores cliente (por exemplo, solicitações de caminho UNC [Convenção Universal de Nomenclatura]) ao servidor. Um invasor que explorou esta vulnerabilidade pode executar o código com privilégios do Sistema local em um sistema afetado. Um invasor pode fazer qualquer coisa no sistema, inclusive instalar programas, visualizar, alterar ou excluir dados ou até mesmo criar novas contas com privilégios totais.

Para explorar esta vulnerabilidade, um invasor precisaria enviar uma solicitação feita especialmente ao computador remoto em portas RPC específicas.

Fatores atenuantes
  • Para explorar esta vulnerabilidade, o invasor deverá enviar uma solicitação feita especialmente às portas 135, 139, 445 ou a qualquer outra porta RPC configurada especificamente no computador remoto. Para ambientes da intranet, estas portas são freqüentemente acessíveis, mas para computadores conectados à Internet, estas portas são freqüentemente bloqueadas por um firewall. Se estas portas não estiverem bloqueadas ou estiverem em um ambiente de intranet, o invasor não precisa ter privilégios adicionais.
  • Recomenda-se bloquear todas as portas TCP/IP que não estiverem sendo realmente utilizadas. Por padrão, a maioria dos firewalls, incluindo o ICF (Firewall de Conexão com a Internet), as bloqueiam. Por isso, a maioria dos computadores conectados à Internet deve ter o RPC sobre TCP ou UDP bloqueada. Não se pretende utilizar a RPC sobre UDP ou TCP em ambientes hostis, como a Internet. Muitos protocolos excelentes, como RPC sobre HTTP, são fornecidos por ambientes hostis.

Resolução

Informações sobre o patch de segurança

Para obter informações adicionais sobre como resolver esta vulnerabilidade, clique no link apropriado na lista abaixo:

Windows Server 2003 (Todas as Versões)

Informações sobre o Download
Os seguintes arquivos estão disponíveis para download no Centro de Download da Microsoft:

Windows Server 2003, 32-Bit Edition
Recolher esta imagemExpandir esta imagem
Download
Baixe o pacote 823980 agora.
Windows Server 2003 64-Bit Edition e Windows XP 64-Bit Edition Versão 2003 (em inglês)
Recolher esta imagemExpandir esta imagem
Download
Baixe o pacote 823980 agora.
Data de lançamento: 16 de julho de 2003

Para obter informações adicionais sobre como baixar os arquivos de Suporte da Microsoft, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft (a página pode estar em inglês):
119591 Como obter os arquivos de suporte da Microsoft nos serviços online
A Microsoft examinou este arquivo em busca de vírus. A Microsoft utilizou o mais recente software de detecção de vírus disponível na data em que o arquivo foi publicado. O arquivo está armazenado em servidores de segurança avançada que ajudam a evitar qualquer alteração não autorizada no arquivo.
Pré-requisitos
Este patch de segurança requer a versão já lançada do Windows Server 2003.
Informações de instalação
Este patch de segurança oferece suporte às seguintes opções de Instalação:
  • /?: Exibe a lista de opções de instalação.
  • /u: Usa o modo autônomo.
  • /f: Força o encerramento de outros programas quando o computador é desligado.
  • /n: Não faz backup de arquivos para remoção.
  • /o: Substitui os arquivos OEM sem perguntar antes.
  • /z: Não reinicia quando a instalação é concluída.
  • /q: Usa o modo silencioso (sem interação do usuário).
  • /l: Lista os hotfixes instalados.
  • /x: Extrai os arquivos sem executar a instalação.
A Microsoft lançou uma ferramenta que pode ser usada por administradores de rede para verificar em uma rede a presença de sistemas que não possuem instalados este patch de segurança. Para obter informações adicionais sobre esta ferramenta, clique no seguinte número para ler o artigo na Base de Dados de Conhecimento Microsoft (a página pode estar em inglês):
827363 Como usar a ferramenta de exame KB 824146 para identificar computadores host que não possuem os patches de segurança 823980 (MS03-026) e 824146 (MS03-039) instalados
Também é possível verificar que o patch de segurança está instalado em seu computador usando o MBSA (Microsoft Baseline Security Analyzer), comparando as versões do arquivo em seu computador com a lista de artigos apresentada na seção "Informações de arquivo" desse artigo ou confirmando se as seguintes chaves do Registro existem:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows Server 2003\SP1\KB823980
Para verificar se essa atualização foi instalada, use o Microsoft Baseline Security Analyzer (MBSA). Para obter informações adicionais sobre o MBSA, visite o seguinte site da Microsoft (em inglês):
http://www.microsoft.com/brasil/technet/seguranca/mbsa/default.mspx
Informações sobre a implantação
Para instalar o patch de segurança sem intervenção por parte do usuário, use o seguinte comando:
WindowsServer2003-KB823980-x86-ENU /u /q
Para instalar o patch de segurança sem fazer com que o computador seja reiniciado, use a seguinte linha de comando:
WindowsServer2003-KB823980-x86-ENU /z
Observação: É possível combinar estas opções em um comando.

Para obter informações sobre como implantar este patch com o Software Update Services, visite o seguinte site da Microsoft (em inglês):
http://www.microsoft.com/windowsserversystem/updateservices/evaluation/previous/susoverview.mspx
Necessidade de reinicialização
É necessário reiniciar o computador após aplicar este patch.
Informações sobre a remoção
Para remover este patch, use a ferramenta Adicionar ou remover programas no Painel de controle.

Os administradores dos sistemas podem usar o utilitário Spuninst.exe para remover este patch. O utilitário Spuninst.exe está localizado na pasta %Windir%\$NTUninstallKB823980$\Spuninst. O utilitário é compatível com as seguintes opções de instalação:
  • /?: Exibe a lista de opções de instalação.
  • /u: Usa o modo autônomo.
  • /f: Força o encerramento de outros programas quando o computador é desligado.
  • /z: Não reinicia quando a instalação é concluída.
  • /q: Usa o modo silencioso (sem interação do usuário).
Informações sobre a substituição do patch de segurança
Para computadores com base no Windows Server 2003, este patch de segurança não substitui nenhum outro.

Este patch de segurança é substituído pelo 824146 (MS03-039). Para mais informações sobre o patch de segurança 824146 (MS03-039), clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft (a página pode estar em inglês):
824146 MS03-039: Um estouro de buffer no RPCSS pode permitir que um invasor execute programas mal-intencionados
Informações sobre o arquivo
A versão em inglês desta correção apresenta os atributos de arquivo (ou posteriores) listados na tabela a seguir. As datas e horários destes arquivos estão listados em formato UTC (Tempo Universal Coordenado). Ao exibir as informações sobre o arquivo, elas são convertidas para a hora local. Para encontrar a diferença entre o UTC e a hora local, use a guia Fuso horário na ferramenta Data e hora do Painel de controle.

Windows Server 2003, 32-Bit Edition:
   Data         Hora   Versão      Tamanho    Nome do arquivo     Pasta
   -------------------------------------------------------------------
   05-jul-2003  18:03  5.2.3790.68     1.182.720  Ole32.dll    \rtmgdr
   05-jul-2003  18:03  5.2.3790.59       657.920  Rpcrt4.dll   \rtmgdr
   05-jul-2003  18:03  5.2.3790.68       217.088  Rpcss.dll    \rtmgdr
   05-jul-2003  18:01  5.2.3790.68     1.182.720  Ole32.dll    \rtmqfe
   05-jul-2003  18:01  5.2	.3790.63       658.432  Rpcrt4.dll   \rtmqfe    
   05-jul-2003  18:01  5.2.3790.68       217.600  Rpcss.dll    \rtmqfe


Windows Server 2003 64-Bit Edition e Windows XP 64-Bit Edition Versão 2003:
   Data         Hora   Versão      Tamanho    Nome do arquivo     Pasta
   ----------------------------------------------------------------------------------
   05-jul-2003  18:05  5.2.3790.68     3.549.184  Ole32.dll       (IA64)   \Rtmgdr
   05-jul-2003  18:05  5.2.3790.59     2.127.872  Rpcrt4.dll      (IA64)   \Rtmgdr
   05-jul-2003  18:05  5.2.3790.68       660.992  Rpcss.dll       (IA64)   \Rtmgdr
   05-jul-2003  18:03  5.2.3790.68     1.182.720  Wole32.dll      (X86)    \Rtmgdr\Wow
   05-jul-2003  18:03  5.2.3790.59       539.648  Wrpcrt4.dll     (X86)    \Rtmgdr\Wow
   05-jul-2003  18:03  5.2.3790.68     3.548.672  Ole32.dll       (IA64)   \Rtmqfe
   05-jul-2003  18:03  5.2.3790.63     2.128.384  Rpcrt4.dll      (IA64)   \Rtmqfe
   05-jul-2003  18:03  5.2.3790.68       662.016  Rpcss.dll       (IA64)   \Rtmqfe
   05-jul-2003  18:01  5.2.3790.68     1.182.720  Wole32.dll      (X86)    \Rtmqfe\Wow
   05-jul-2003  18:01  5.2.3790.63       539.648  Wrpcrt4.dll     (X86)    \Rtmqfe\Wow
Observação Ao instalar o patch de segurança em um computador executando o Windows Server 2003 ou Windows XP 64-Bit Edition Versão 2003, o instalador verifica se algum arquivo que esteja sendo atualizado em seu computador já foi atualizado por um hotfix da Microsoft. Se você já instalou um hotfix para atualizar um destes arquivos, o instalador copia os arquivos de hotfix para seu computador. Caso contrário, serão copiados os arquivos GDR para o seu computador. Para obter informações adicionais, clique no número abaixo para ler o artigo na Base de Dados do Conhecimento Microsoft (a página pode estar em inglês):
824994 Descrição dos conteúdos dos pacotes de atualização do software Windows XP Service Pack 2 e Windows Server 2003
Também é possível verificar os arquivos instalados por este patch de segurança, revisando a seguinte chave do Registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows Server 2003\SP1\KB823980\Filelist

Windows XP (todas as versões)

Informações sobre o download
Os seguintes arquivos estão disponíveis para download no Centro de Download da Microsoft:

Windows XP Professional e Windows XP Home Edition
Recolher esta imagemExpandir esta imagem
Download
Baixe o pacote 823980 agora.
Windows XP 64-Bit Edition Versão 2002 (em inglês)
Recolher esta imagemExpandir esta imagem
Download
Baixe o pacote 823980 agora.
Data de lançamento: 16 de julho de 2003

Para obter informações adicionais sobre como baixar os arquivos de Suporte da Microsoft, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft (a página pode estar em inglês):
119591 Como obter os arquivos de suporte da Microsoft nos serviços online
A Microsoft examinou este arquivo em busca de vírus. A Microsoft utilizou o mais recente software de detecção de vírus disponível na data em que o arquivo foi publicado. O arquivo está armazenado em servidores de segurança avançada que ajudam a evitar qualquer alteração não autorizada no arquivo.
Pré-requisitos
Este patch de segurança requer a versão lançada do Windows XP ou do Windows XP Service Pack 1 (SP1). Para obter informações adicionais, clique no número abaixo para ler o artigo na Base de Dados do Conhecimento Microsoft (a página pode estar em inglês):
322389 Como obter o service pack mais recente do Windows XP
Informações sobre a instalação
Este patch de segurança é compatível com as seguintes opções de Instalação:
  • /?: Exibe a lista de opções de instalação.
  • /u: Usa o modo autônomo.
  • /f: Força o encerramento de outros programas quando o computador é desligado.
  • /n: Não faz backup de arquivos para remoção.
  • /o: Substitui os arquivos OEM sem perguntar antes.
  • /z: Não reinicia quando a instalação é concluída.
  • /q: Usa o modo silencioso (sem interação do usuário).
  • /l: Lista os hotfixes instalados.
  • /x: Extrai os arquivos sem executar a instalação.
A Microsoft lançou uma ferramenta que pode ser usada por administradores de rede para verificar em uma rede a presença de sistemas que não possuem instalados este patch de segurança. Para obter informações adicionais sobre esta ferramenta, clique no seguinte número para ler o artigo na Base de Dados de Conhecimento Microsoft (a página pode estar em inglês):
827363 Como usar a ferramenta de exame KB 824146 para identificar computadores host que não possuem instalados os patches de segurança 823980 (MS03-026) e 824146 (MS03-039)
Também é possível verificar se o patch de segurança está instalado em seu computador, usando a MBSA (Microsoft Baseline Security Analyzer), comparando as versões do arquivo em seu computador com a lista de artigos apresentada na seção "Informações de arquivo" desse artigo ou confirmando se as seguintes chaves do Registro existem:

Windows XP:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP1\KB823980
Windows XP com o Service Pack 1 (SP1):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP2\KB823980
Para obter informações adicionais sobre o MBSA (Microsoft Baseline Security Analyzer), clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft (a página pode estar em inglês):
320454 A ferramenta MBSA (Microsoft Baseline Security Analyzer) versão 1.1.1 está disponível
Informações sobre a implantação
Para instalar o patch de segurança sem intervenção por parte do usuário, use o seguinte comando:
WindowsXP-KB823980-x86-ENU /u /q
Para instalar o patch de segurança sem fazer com que o computador seja reiniciado, use a seguinte linha de comando:
WindowsXP-KB823980-x86-ENU /z
Observação: É possível combinar estas opções em um comando.

Para obter informações sobre como implantar este patch com o Software Update Services, visite o seguinte site da Microsoft (em inglês):
http://www.microsoft.com/windowsserversystem/updateservices/evaluation/previous/susoverview.mspx
Necessidade de reinicialização
É necessário reiniciar o computador após aplicar este patch.
Informações sobre a remoção
Para remover este patch, use a ferramenta Adicionar ou remover programas no Painel de controle.

Os administradores dos sistemas podem usar o utilitário Spuninst.exe para remover este patch. O utilitário Spuninst.exe está localizado na pasta %Windir%\$NTUninstallKB823980$\Spuninst. O utilitário é compatível com as seguintes opções de instalação:
  • /?: Exibe a lista de opções de instalação.
  • /u: Usa o modo autônomo.
  • /f: Força o encerramento de outros programas quando o computador é desligado.
  • /z: Não reinicia quando a instalação é concluída.
  • /q: Usa o modo silencioso (sem interação do usuário).
Informações Sobre a Substituição do Patch de segurança
Para computadores com base no Windows XP, esse patch de segurança substitui o 331953 (MS03-010).

Este patch é substituído pelo 824146 (MS03-039). Para mais informações sobre o patch de segurança 824146 (MS03-039), clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft (a página pode estar em inglês):
824146 MS03-039: Um estouro de buffer no RPCSS pode permitir que um invasor execute programas mal-intencionados
Informações sobre o arquivo
A versão em inglês desta correção apresenta os atributos de arquivo (ou posteriores) listados na tabela a seguir. As datas e horários destes arquivos estão listados em formato UTC (Tempo Universal Coordenado). Ao exibir as informações sobre o arquivo, elas são convertidas para a hora local. Para encontrar a diferença entre o UTC e a hora local, use a guia Fuso horário na ferramenta Data e hora do Painel de controle.

Windows XP Professional e Windows XP Home Edition:

   Data         Hora      Versão       Tamanho    Nome do arquivo
   -------------------------------------------------------------------
   05-jul-2003  19:14  5.1.2600.115    1.092.096  Ole32.dll    pré-SP1
   05-jul-2003  19:14  5.1.2600.109      439.296  Rpcrt4.dll   pré-SP1
   05-jul-2003  19:14  5.1.2600.115      203.264  Rpcss.dll    pré-SP1
   05-jul-2003  19:12  5.1.2600.1243   1.120.256  Ole32.dll    com o SP1
   05-jul-2003  19:12  5.1.2600.1230     504.320  Rpcrt4.dll   com o SP1
   05-jul-2003  19:12  5.1.2600.1243     202.752  Rpcss.dll    com o SP1
Windows XP 64-Bit Edition versão 2002:

   Data         Hora      Versão       Tamanho    Nome do arquivo
   --------------------------------------------------------------------------------
   05-jul-2003  19:15  5.1.2600.115    4.191.744  Ole32.dll        (IA64)  pré-SP1
   05-Jul-2003  19:15  5.1.2600.109    2.025.472  Rpcrt4.dll       (IA64)  pré-SP1
   05-Jul-2003  19:15  5.1.2600.115      737.792  Rpcss.dll        (IA64)  pré-SP1
   05-Jul-2003  19:12  5.1.2600.1243   4.292.608  Ole32.dll        (IA64)  com SP1
   05-Jul-2003  19:12  5.1.2600.1230   2.292.224  Rpcrt4.dll       (IA64)  com SP1
   05-Jul-2003  19:12  5.1.2600.1243     738.304  Rpcss.dll        (IA64)  com SP1
   05-Jul-2003  18:37  5.1.2600.115    1.092.096  Wole32.dll       (X86)   pré-SP1
   03-jan-2003  02:06  5.1.2600.109      440.320  Wrpcrt4.dll      (X86)   pré-SP1
   05-Jul-2003  18:07  5.1.2600.1243   1.120.256  Wole32.dll       (X86)   com SP1
   04-jun-2003  17:35  5.1.2600.1230     505.344  Wrpcrt4.dll      (X86)   com o SP1

Observação As versões do Windows XP deste patch foram colocadas nos pacotes de modo duplo. Para obter informações adicionais sobre pacotes de modo duplo, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft (a página pode estar em inglês):
328848 Descrição de pacotes de atualização de modo duplo para o Windows XP

Também é possível verificar os arquivos instalados por este patch de segurança, revisando a seguinte chave do Registro:

Windows XP:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP1\KB823980\Filelist
Windows XP com o Service Pack 1 (SP1):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP2\KB823980\Filelist

Windows 2000 (todas as versões)

Informações sobre o download
O seguinte arquivo está disponível para download no Centro de Download da Microsoft:

Recolher esta imagemExpandir esta imagem
Download
Baixe o pacote 823980 agora
Data de lançamento: 16 de julho de 2003

Para obter informações adicionais sobre como baixar os arquivos de Suporte da Microsoft, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft (a página pode estar em inglês):
119591 Como obter os arquivos de suporte da Microsoft nos serviços online
A Microsoft examinou este arquivo em busca de vírus. A Microsoft utilizou o mais recente software de detecção de vírus disponível na data em que o arquivo foi publicado. O arquivo está armazenado em servidores de segurança avançada que ajudam a evitar qualquer alteração não autorizada no arquivo.

Observação Este patch não é compatível no Windows 2000 Datacenter Server. Para obter informações adicionais sobre como obter um patch de segurança para o Windows 2000 Datacenter Server, entre em contato com o fornecedor OEM participante. Para obter informações adicionais sobre o Windows 2000 Datacenter Server, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft (a página pode estar em inglês):
265173 O programa Datacenter e o Windows 2000 Datacenter Server
Pré-requisitos
Este patch de segurança requer o Windows 2000 Service Pack 2 (SP2), o Windows 2000 Service Pack 3 (SP3) ou o Windows 2000 Service Pack 4 (SP4).

Para obter informações adicionais, clique no número abaixo para ler o artigo na Base de Dados do Conhecimento Microsoft (a página pode estar em inglês):
260910 Como obter o service pack mais recente do Windows 2000
Informações sobre a instalação
Este patch de segurança é compatível com as seguintes opções de Instalação:
  • /?: Exibe a lista de opções de instalação.
  • /u: Usa o modo autônomo.
  • /f: Força o encerramento de outros programas quando o computador é desligado.
  • /n: Não faz backup de arquivos para remoção.
  • /o: Substitui os arquivos OEM sem perguntar antes.
  • /z: Não reinicia quando a instalação é concluída.
  • /q: Usa o modo silencioso (sem interação do usuário).
  • /l: Lista os hotfixes instalados.
  • /x: Extrai os arquivos sem executar a instalação.
A Microsoft lançou uma ferramenta que você pode usar para verificar em uma rede a presença de sistemas que não possuem esse patch de segurança instalado. Para obter informações adicionais sobre esta ferramenta, clique no seguinte número para ler o artigo na Base de Dados de Conhecimento Microsoft (a página pode estar em inglês):
827363 Como usar a ferramenta de exame KB 824146 para identificar computadores host que não possuem instalados os patches de segurança 823980 (MS03-026) e 824146 (MS03-039)
Também é possível verificar que o patch de segurança está instalado em seu computador usando a MBSA (Microsoft Baseline Security Analyzer), comparando as versões do arquivo em seu computador com a lista de artigos apresentada na seção "Informações de arquivo" desse artigo ou confirmando se as seguintes chaves do Registro existem:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP5\KB823980
Para obter informações adicionais sobre o MBSA (Microsoft Baseline Security Analyzer), clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft (a página pode estar em inglês):
320454 A ferramenta MBSA (Microsoft Baseline Security Analyzer) versão 1.1.1 está disponível
Informações sobre a implantação
Para instalar o patch de segurança sem intervenção por parte do usuário, use o seguinte comando:
Windows2000-KB823980-x86-ENU /u /q
Para instalar o patch de segurança sem fazer com que o computador seja reiniciado, use a seguinte linha de comando:
Windows2000-KB823980-x86-ENU /z
Observação: É possível combinar estas opções em um comando.

Para obter informações sobre como implantar este patch com o Software Update Services, visite o seguinte site da Microsoft (em inglês):
http://www.microsoft.com/windowsserversystem/updateservices/evaluation/previous/susoverview.mspx
Necessidade de reinicialização
É necessário reiniciar o computador após aplicar este patch.
Informações sobre a remoção
Para remover este patch, use a ferramenta Adicionar ou remover programas no Painel de controle.

Os administradores dos sistemas podem usar o utilitário Spuninst.exe para remover este patch. O utilitário Spuninst.exe está localizado na pasta %Windir%\$NTUninstallKB823980$\Spuninst. O utilitário é compatível com as seguintes opções de instalação:
  • /?: Exibe a lista de opções de instalação.
  • /u: Usa o modo autônomo.
  • /f: Força o encerramento de outros programas quando o computador é desligado.
  • /z: Não reinicia quando a instalação é concluída.
  • /q: Usa o modo silencioso (sem interação do usuário).
Informações sobre a substituição do patch de segurança
Para computadores com base no Windows 2000, esse patch de segurança substitui o 331953 (MS03-010).

Este patch é substituído pelo 824146 (MS03-039). Para mais informações sobre o patch de segurança 824146 (MS03-039), clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft (a página pode estar em inglês):
824146 MS03-039: Um estouro de buffer no RPCSS pode permitir que um invasor execute programas mal-intencionados
Informações sobre o arquivo
A versão em inglês desta correção apresenta os atributos de arquivo (ou posteriores) listados na tabela a seguir. As datas e horários destes arquivos estão listados em formato UTC (Tempo Universal Coordenado). Ao exibir as informações sobre o arquivo, elas são convertidas para a hora local. Para encontrar a diferença entre o UTC e a hora local, use a guia Fuso horário na ferramenta Data e hora do Painel de controle.

   Data         Hora      Versão       Tamanho    Nome do arquivo
   --------------------------------------------------------------
   05-Jul-2003  17:15  5.0.2195.6769     944.912  Ole32.dll
   05-Jul-2003  17:15  5.0.2195.6753     432.400  Rpcrt4.dll
   05-Jul-2003  17:15  5.0.2195.6769     188.688  Rpcss.dll
Você também pode verificar os arquivos instalados por esse patch de segurança, revisando a seguinte chave de Registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP5\KB823980\Filelist
Um hotfix com suporte foi disponibilizado pela Microsoft, porém destina-se somente a corrigir o problema descrito neste artigo. Aplique-o somente aos sistemas que apresentarem este problema específico.

Para resolver este problema, contate o Atendimento Microsoft para obter o hotfix. Para obter uma lista completa dos números de telefone do Atendimento Microsoft e informações sobre os custos de suporte, visite o seguinte site da Microsoft:
http://support.microsoft.com/contactus/?ws=support
Observação Em alguns casos, as taxas cobradas pelas ligações para o suporte podem ser canceladas se um profissional de suporte da Microsoft determinar que uma atualização específica resolverá o problema. Os custos normais de suporte serão aplicados a questões e problemas de suporte que não se qualifiquem à atualização específica em questão.

Windows NT 4.0 (todas as versões)

Informações sobre o download
Os seguintes arquivos estão disponíveis para download no Centro de Download da Microsoft:

Windows NT 4.0 Server:
Recolher esta imagemExpandir esta imagem
Download
Baixe o pacote 823980 agora.
Windows NT 4.0 Server, Terminal Server Edition (em inglês):
Recolher esta imagemExpandir esta imagem
Download
Baixe o pacote 823980 agora.
Data de lançamento: 16 de julho de 2003

Para obter informações adicionais sobre como baixar os arquivos de Suporte da Microsoft, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft (a página pode estar em inglês):
119591 Como obter arquivos de suporte da Microsoft nos serviços online
A Microsoft examinou este arquivo em busca de vírus. A Microsoft utilizou o mais recente software de detecção de vírus disponível na data em que o arquivo foi publicado. O arquivo está armazenado em servidores de segurança avançada que ajudam a evitar qualquer alteração não autorizada no arquivo.
Pré-requisitos
Esse patch de segurança requer o Windows NT 4.0 Service Pack 6a (SP6a) ou o Windows NT Server 4.0, Terminal Server Edition Service Pack 6 (SP6).

Observação Este patch de segurança será instalado no Windows NT 4.0 Workstation. No entanto, a Microsoft não dá mais suporte a esta versão, de acordo com a política de Ciclo de Vida de Suporte da Microsoft. Além disso, este patch de segurança não foi testado no Windows NT 4.0 Workstation. Para obter informações sobre a diretiva de Suporte a Ciclos de Vida da Microsoft, visite o seguinte site da Microsoft:
http://support.microsoft.com/default.aspx?scid=fh;[ln];lifecycle.
Para obter informações adicionais, clique no número abaixo para ler o artigo na Base de Dados do Conhecimento Microsoft (a página pode estar em inglês):
152734 Como obter o service pack mais recente do Windows NT 4.0
Informações sobre a instalação
Este patch de segurança é compatível com as seguintes opções de Instalação:
  • /y: Executa a remoção (somente com /m ou /q).
  • /f: Força os programas a serem encerrados durante o desligamento.
  • /n: Não cria uma pasta Uninstall.
  • /z: Não reinicia quando a atualização é concluída.
  • /q: Usa os modos silencioso ou autônomo sem interface de usuário (esta opção está contida em /m).
  • /m : Usa o modo autônomo com interface de usuário.
  • /l: Lista os hotfixes instalados.
  • /x: Extrai os arquivos sem executar a instalação.
A Microsoft lançou uma ferramenta que você pode usar para verificar em uma rede, a presença de sistemas que não possuem instalados este patch de segurança. Para obter informações adicionais sobre esta ferramenta, clique no seguinte número para ler o artigo na Base de Dados de Conhecimento Microsoft (a página pode estar em inglês):
827363 Como usar a ferramenta de exame KB 824146 para identificar computadores host que não possuem instalados os patches de segurança 823980 (MS03-026) e 824146 (MS03-039)
Também é possível verificar que o patch de segurança está instalado em seu computador usando a MBSA (Microsoft Baseline Security Analyzer), comparando as versões do arquivo em seu computador com a lista de artigos apresentada na seção "Informações de arquivo" desse artigo ou confirmando se as seguintes chaves do Registro existem:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version\Hotfix\Q823980
Para obter informações adicionais sobre o MBSA (Microsoft Baseline Security Analyzer), clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft (a página pode estar em inglês):
320454 A ferramenta MBSA (Microsoft Baseline Security Analyzer) versão 1.1.1 está disponível
Informações sobre a implantação
Para instalar o patch de segurança sem intervenção por parte do usuário, use o seguinte comando:
Q823980i /q
Para instalar o patch de segurança sem fazer com que o computador seja reiniciado, use o seguinte comando:
Q823980i /z
Observação: É possível combinar estas opções em um único comando.

Para obter informações sobre como implantar este patch com o Software Update Services, visite o seguinte site da Microsoft (em inglês):
http://www.microsoft.com/windowsserversystem/updateservices/evaluation/previous/susoverview.mspx
Necessidade de reinicialização
É necessário reiniciar o computador após aplicar este patch.
Informações sobre a remoção
Para remover este patch, use a ferramenta Adicionar ou remover programas no Painel de controle.

Os administradores dos sistemas podem usar o utilitário Spuninst.exe para remover este patch. O utilitário Spuninst.exe está localizado na pasta %Windir%\$NTUninstallKB823980$\Spuninst. O utilitário é compatível com as seguintes opções de instalação:
  • /?: Exibe a lista de opções de instalação.
  • /u: Usa o modo autônomo.
  • /f: Força o encerramento de outros programas quando o computador é desligado.
  • /z: Não reinicia quando a instalação é concluída.
  • /q: Usa o modo silencioso (sem interação do usuário).
Informações sobre a substituição do patch de segurança
Para computadores com base no Windows NT 4.0, esse patch de segurança substitui o que é fornecido pelo Boletim de segurança Microsoft MS01-048.

Este patch é substituído pelo 824146 (MS03-039). Para mais informações sobre o patch de segurança 824146 (MS03-039), clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft (a página pode estar em inglês):
824146 MS03-039: Um estouro de buffer no RPCSS pode permitir que um invasor execute programas mal-intencionados
Informações sobre o arquivo
A versão em inglês desta correção apresenta os atributos de arquivo (ou posteriores) listados na tabela a seguir. As datas e horários destes arquivos estão listados em formato UTC (Tempo Universal Coordenado). Ao exibir as informações sobre o arquivo, elas são convertidas para a hora local. Para encontrar a diferença entre o UTC e a hora local, use a guia Fuso horário na ferramenta Data e hora do Painel de controle.

Windows NT 4.0 Server:
   Data         Hora      Versão       Tamanho    Nome do arquivo
   --------------------------------------------------------------
   05-Jul-2003  5:26  4.0.1381.7224     701.200  Ole32.dll
   05-Jul-2003  5:26  4.0.1381.7219     345.872  Rpcrt4.dll
   05-Jul-2003  5:26  4.0.1381.7224     107.280  Rpcss.exe
Windows NT 4.0 Server, Terminal Server Edition (em inglês):
   Data         Hora      Versão       Tamanho    Nome do arquivo
   --------------------------------------------------------------
   07-Jul-2003  3:29  4.0.1381.33549    701.712  Ole32.dll
   07-Jul-2003  3:29  4.0.1381.33474    345.360  Rpcrt4.dll
   07-Jul-2003  3:29  4.0.1381.33549    109.328  Rpcss.exe
Para verificar se o patch de segurança foi instalado em seu computador, confirme se todos os arquivos listados na tabela estão presentes em seu computador.

Como Contornar

Embora a Microsoft peça para todos os clientes aplicarem o patch de segurança assim que possível, há algumas soluções alternativas que podem ser usadas provisoriamente para ajudar a evitar o vetor que é usado para explorar essa vulnerabilidade.

Estas soluções alternativas são medidas temporárias. Elas somente ajudam a bloquear os caminhos de ataque. Estas soluções alternativas não corrigem uma vulnerabilidade subjacente.

As seguintes seções apresentam informações que podem ser usadas para ajudar a proteger o computador de ataques. Cada seção descreve as soluções possíveis, dependendo da configuração de seu computador e do nível de funcionalidade necessária.
  • Bloqueie as portas UDP 135, 137, 138 e 445, e as portas TCP 135, 139, 445 e 593 em seu firewall, e desative CIS (Serviços da Internet COM) e RPC sobre HTTP, que escuta nas portas 80 e 443, nas máquinas afetadas. Estas portas são usadas para iniciar uma conexão RPC com o computador remoto. Ao bloquear estas portas no firewall, você ajuda a evitar que os sistemas atrás deste firewall sejam atacados por tentativas de exploração destas vulnerabilidades. É possível também, bloquear qualquer porta RPC configurada especificamente em um computador remoto.

    Se habilitados, o CIS e RPC sobre HTTP permitem que as chamadas DCOM operem sobre as portas TCP 80 (e porta 443 no Windows XP e Windows Server 2003). Certifique-se de que CIS e RPC sobre HTTP estejam desabilitados em todos os computadores afetados. Para obter informações adicionais sobre como desabilitar o CIS, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft (a página pode estar em inglês):
    825819 Como remover os Serviços de Internet COM (CIS) e RPC sobre o suporte proxy HTTP
    Para obter informações adicionais sobre a RPC sobre HTTP, visite o seguinte site da Microsoft (em inglês):
    http://msdn.microsoft.com/library/en-us/rpc/rpc/rpc_over_http_security.asp
    Além disso, os clientes devem ter os serviços e protocolos configurados que usam RPC que possam ser acessíveis a partir da Internet. Os administradores dos sistemas pretendem examinar portas RPC expostas à Internet e bloqueá-las nos firewalls ou aplicar o patch imediatamente.
  • Use o Firewall de Conexão com a Internet e desabilite os Serviços de Internet COM (CIS) e RPC sobre HTTP, que atende nas portas 80 e 443, em computadores afetados. Se estiver usando o recurso Firewall de Conexão com a Internet no Windows XP ou no Windows Server 2003 para ajudar a proteger sua conexão com a Internet, o firewall irá, por padrão, bloquear o tráfego RPC de entrada pela Internet. Certifique-se de que CIS e RPC sobre HTTP estejam desabilitadas em todos os computadores afetados. Para obter informações adicionais sobre como desabilitar o CIS, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft (a página pode estar em inglês):
    825819 Como remover os Serviços de Internet COM (CIS) e RPC sobre o suporte proxy HTTP
    Para informações adicionais sobre RPC sobre HTTP, visite o seguinte site da Microsoft (em inglês):
    http://msdn.microsoft.com/library/en-us/rpc/rpc/rpc_over_http_security.asp
  • Bloqueie as portas afetadas usando um filtro IPSEC e desabilite os Serviços de Internet COM (CIS) e RPC sobre HTTP, que monitora as portas 80 e 443, em todas as máquinas afetadas. É possível assegurar as comunicações de rede em computadores com base no Windows 2000 se usar a Segurança de Protocolo da Internet (IPSec). Para obter informações adicionais sobre o IPSec e sobre como aplicar filtros, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft (a página pode estar em inglês):
    313190 ?COMO: Usar as listas de filtro IPSec IP no Windows 2000
    813878 Como bloquear protocolos de rede específicos e portas usando o IPSec
    Certifique-se de que CIS e RPC sobre HTTP estejam desabilitadas em todos os computadores afetados. Para obter informações adicionais sobre como desabilitar o CIS, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft (a página pode estar em inglês):
    825819 Como remover os Serviços de Internet COM (CIS) e RPC sobre o suporte proxy HTTP
  • Desabilite o DCOM em todos os computadores afetados: Quando um computador faz parte de uma rede, o protocolo DCOM permite que objetos COM nesse computador comuniquem-se com objetos COM em outros computadores.

    É possível desabilitar o DCOM em um computador específico para ajudar a proteger contra esta vulnerabilidade, mas isso irá desativar todas as comunicações entre objetos neste computador e em outros. Caso desabilite o DCOM em um computador remoto, não será possível acessá-lo remotamente para reativar o DCOM. Para reativar o DCOM, é necessário ter acesso físico ao computador. Para obter informações adicionais sobre como desabilitar o DCOM, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft (a página pode estar em inglês):
    825750 Como desabilitar o suporte DCOM no Windows
    Observação Para o Windows 2000, os métodos descritos no artigo 825750 da Base de Dados de Conhecimento Microsoft para desabilitar o DCOM irão funcionar somente em computadores que estejam executando o Windows 2000 Service Pack 3 ou mais recente. Os clientes que usam o Service Pack 2 ou mais antigo deverão atualizar para um service pack mais recente ou usar uma das outras soluções alternativas.

Situação

A Microsoft confirmou que este problema pode causar certo grau de vulnerabilidade na segurança dos produtos Microsoft listados no início deste artigo.

Mais Informações

Para mais informações sobre esta vulnerabilidade, visite o seguinte site da Microsoft (em inglês):
http://www.microsoft.com/technet/security/bulletin/MS03-026.mspx
Para mais informações sobre segurança em RPC em clientes e servidores, visite o seguinte site da Microsoft (em inglês):
http://msdn2.microsoft.com/en-us/library/aa379441.aspx
Para mais informações sobre portas que usam RPC, visite o seguinte site da microsoft (em inglês):
http://technet2.microsoft.com/WindowsServer/en/library/4dbc4c95-935b-4617-b4f8-20fc947c72881033.mspx?mfr=true
Para obter informações adicionais sobre o vírus worm Blaster que tenta explorar a vulnerabilidade corrigida por este patch de segurança, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft (a página pode estar em inglês):
826955 Alerta de vírus sobre o worm Blaster e suas variantes
Para obter informações adicionais sobre o vírus Nachi que tenta explorar a vulnerabilidade corrigida por este patch de segurança, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft (a página pode estar em inglês):
826234 Alerta de vírus sobre o worm Nachi
Para obter informações adicionais sobre como obter um hotfix para o Windows 2000 Datacenter Server, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft (a página pode estar em inglês):
265173 O programa Datacenter e o Windows 2000 Datacenter Server

Propriedades

ID do artigo: 823980 - Última revisão: sexta-feira, 16 de fevereiro de 2007 - Revisão: 18.3
A informação contida neste artigo aplica-se a:
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Media Center Edition
  • Microsoft Windows XP Tablet PC Edition
  • Microsoft Windows XP 64-Bit Edition Version 2003
  • Microsoft Windows XP 64-Bit Edition Version 2002
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows NT Server 4.0, Terminal Server Edition
  • Microsoft Windows NT Workstation 4.0 Developer Edition
Palavras-chave: 
kbhotfixserver atdownload kbwinxpsp2fix kbbug kbfix kbsecvulnerability kbsecbulletin kbsecurity kbqfe kbwinserv2003presp1fix kbwinxppresp2fix kbwinnt400presp7fix KB823980

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com