MS03-039: Uma saturação do buffer no RPCSS pode permitir que um invasor execute programas mal-intencionados

Traduções deste artigo Traduções deste artigo
ID do artigo: 824146 - Exibir os produtos aos quais esse artigo se aplica.

Atualização técnica


Observação Esse boletim (MS03-039) foi substituído pelo Boletim de segurança da Microsoft MS04-012.

Para obter informações adicionais, clique no número abaixo para ler o artigo na Base de Dados do Conhecimento da Microsoft:
828741 MS04-012: Atualização cumulativa para o Microsoft RPC/DCOM
  • 12 de setembro de 2003:
    • Na seção "Informações sobre download" para o Windows XP, foi adicionada uma nota para indicar que o patch de segurança para o Windows XP 64-Bit Edition, Versão 2003, é o mesmo das versões de 64 bits do Windows Server 2003.
    • Na seção "Informações sobre o arquivo" para o Windows XP, as informações de registro foram adicionadas para os manifestos de arquivo das edições de 64 bits do Windows XP e do Windows XP sem o Service Pack 1 (SP1).
    • Nas seções "Informações sobre o arquivo", foi adicionada uma nota para indicar que a chave do Registro dos manifestos de arquivo desse patch de segurança não é criada quando um administrador ou OEM integra ou corrige esse patch de segurança nos seus arquivos originais da instalação do Windows.
    • Nas seções "Informações sobre a instalação" para o Windows Server 2003 e para o Windows XP, foi adicionada uma nota para indicar que MBSA Versão 1.1.1 relata incorretamente que 824146 não é instalado se o seu ambiente usa as versões RTMQFE dos arquivos nesse patch de segurança em computadores com o Windows Server 2003 ou o Windows XP 64-Bit Edition, Versão 2003.
    • As seções "Informações sobre download" e "Pré-requisitos" para o Windows 2000 foram atualizadas para indicar que esse patch de segurança pode ser instalado no Windows 2000 Datacenter Server Service Pack 3 (SP3) e Service Pack 4 (SP4).
Expandir tudo | Recolher tudo

Neste artigo

Sintomas

A Chamada de procedimento remoto (RPC) é um protocolo usado pelo Windows. A RPC fornece um mecanismo de comunicação entre processos permitindo que, um programa que esteja sendo executado em um computador, execute corretamente os serviços de acesso em outro computador. O protocolo em si deriva do protocolo RPC Open Software Foundation (OSF) mas, com o acréscimo de algumas extensões específicas da Microsoft.

Há três vulnerabilidades identificadas na parte do serviço RPC do Windows (RPCSS) que lida com as mensagens RPC para a ativação de DCOM. Duas dessas vulnerabilidades podem permitir que um invasor execute programas mal-intencionados: uma delas pode resultar em negação de serviço (DoS). As falhas resultam do tratamento incorreto de mensagens corrompidas. Essas vulnerabilidades afetam a interface Distributed Component Object Model (DCOM) em RPCSS. Essa interface cuida das solicitações de ativação do objeto DCOM enviadas pelos computadores clientes ao servidor.

Um invasor que consegue explorar essas vulnerabilidades pode conseguir executar código com os direitos de Sistema local em um computador afetado ou fazer com que RPCSS pare de funcionar. O invasor poderia fazer qualquer coisa no computador, como instalar programas, exibir, alterar ou excluir dados ou criar novas contas com direitos totais.

Para explorar essas vulnerabilidades, o invasor poderia criar um programa de exploração para enviar mensagem RPC corrompida a RPCSS em um servidor vulnerável.

Fatores atenuantes

  • As melhores práticas e configurações de firewall padrão podem ajudar a proteger as redes de ataques remotos originados fora do perímetro corporativo. As melhores práticas recomendam bloquear todas as portas que não estiverem sendo realmente utilizadas. Por isso, a maioria dos computadores conectados à Internet deve ter um número mínimo de portas afetadas expostas. Para obter informações adicionais sobre as portas usadas pela RPC, visite o seguinte site da Microsoft (em inglês)
    http://www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/cnet/cnfc_por_gdqc.mspx?mfr=true
Observação A Microsoft testou o Windows NT Workstation 4.0, o Windows NT Server 4.0, o Windows NT Server 4.0, o Terminal Server Edition, o Windows 2000, o Windows XP e o Windows Server 2003 para avaliar se eles são afetados por essas vulnerabilidades. O Microsoft Windows Millennium Edition (Me) não contém os recursos associados a essas vulnerabilidades. As versões mais antigas do Windows não são mais oferecidas e podem ou não ser afetadas por essas vulnerabilidades. Para obter informações adicionais sobre o ciclo de suporte da Microsoft, visite o seguinte site da Microsoft:
http://support.microsoft.com/default.aspx?scid=fh;pt-br;lifecycle
Observação Os recursos associados a essas vulnerabilidades também não estão inclusos no Microsoft Windows 95, no Microsoft Windows 98 e no Microsoft Windows 98 Segunda Edição, mesmo se DCOM estiver instalado.

Resolução

Informações sobre o patch de segurança

Para obter informações adicionais sobre como resolver essa vulnerabilidade, clique no link apropriado:

Windows Server 2003 (todas as versões)

Informações sobre o download

Os seguintes arquivos estão disponíveis para download na Central de Download da Microsoft:

Windows Server 2003, Enterprise Edition; Windows Server 2003, Standard Edition; Windows Server 2003, Web Edition; e Windows Server 2003, Datacenter Edition
Recolher esta imagemExpandir esta imagem
Download
Baixe o pacote 824146 agora.
Windows Server 2003, 64-Bit Enterprise Edition e Windows Server 2003, 64-Bit Datacenter Edition (em inglês)
Recolher esta imagemExpandir esta imagem
Download
Baixe o pacote 824146 agora.
Data de lançamento: 10 de setembro de 2003

Para obter informações adicionais sobre como baixar os arquivos de Suporte da Microsoft, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft:
119591 Como obter arquivos de suporte da Microsoft nos serviços online
A Microsoft examinou esse arquivo em busca de vírus. A Microsoft utilizou o mais recente software de detecção de vírus disponível na data em que o arquivo foi publicado. O arquivo está armazenado em servidores de segurança avançada que ajudam a evitar qualquer alteração não autorizada no arquivo.

Pré-requisitos

Esse patch de segurança requer a versão lançada do Windows Server 2003.

Informações sobre a instalação

Este patch de segurança suporta as seguintes opções da instalação:
  • /?: Exibe a lista de opções de instalação.
  • /u: Usa o modo autônomo.
  • /f: Força o encerramento de outros programas quando o computador é desligado.
  • /n: Não faz backup de arquivos para remoção.
  • /o: Substitui os arquivos OEM sem perguntar antes.
  • /z: Não reinicia quando a instalação é concluída.
  • /q: Usa o modo silencioso (sem interação do usuário).
  • /l: Lista os hotfixes instalados.
  • /x: Extrai os arquivos sem executar a instalação.
Para verificar se o patch de segurança está instalado em seu computador, use a ferramenta de varredura KB 824146 (KB824146scan.exe) ou use a ferramenta Microsoft Baseline Security Analyzer (MBSA). Para obter informações adicionais sobre KB824146scan.exe, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft:
827363 Como usar a ferramenta de exame KB 824146 para identificar computadores host que não possuem os patches de segurança 823980 (MS03-026) e 824146 (MS03-039) instalados
Para obter informações adicionais sobre o artigo MBSA, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft:
320454 A ferramenta MBSA (Microsoft Baseline Security Analyzer) versão 1.2.1 está disponível
Observação MBSA Versão 1.1.1 relata incorretamente que 824146 não é instalado se as versões RTMQFE dos arquivos desse patch de segurança são usadas em seu ambiente.

Você pode também verificar se esse patch de segurança está instalado confirmando se a seguinte chave do Registro existe:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows Server 2003\SP1\KB824146

Informações sobre a implantação

Para instalar o patch de segurança sem intervenção por parte do usuário, use a seguinte linha de comando:
Windowsserver2003-kb824146-x86-enu /u /q
Para instalar o patch sem fazer com que o computador seja reiniciado, use a seguinte linha de comando:
Windowsserver2003-kb824146-x86-enu /z
Observação: Você pode combinar estas opções em uma linha de comando.

Para obter informações adicionais sobre como implantar esse patch de segurança usando os Microsoft Software Update Services, visite o seguinte site da Microsoft (em inglês):
http://www.microsoft.com/windowsserversystem/updateservices/evaluation/previous/susoverview.mspx

Necessidade de reinicialização

Você deve reiniciar o seu computador após aplicar esse patch.

Informações sobre a remoção

Para remover essa atualização, use a ferramenta Adicionar ou remover programas no Painel de controle.

Os administradores de sistemas podem usar o utilitário Spuninst.exe para remover esse patch. O utilitário Spuninst.exe fica na pasta %Windir%\$NTUninstallKB824146$\Spuninst e oferece suporte às seguintes opções do Programa de instalação:
  • /?: Exibe a lista de opções de instalação.
  • /u: Usa o modo autônomo.
  • /f: Força o encerramento de outros programas quando o computador é desligado.
  • /z: Não reinicia quando a instalação é concluída.
  • /q: Usa o modo silencioso (sem interação do usuário).

Informações sobre a substituição do patch de segurança

Este patch de segurança substitui o MS03-026 (823980). Para obter informações adicionais sobre MS03-026 (823980), clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft:
823980 MS03-026: Saturação do buffer em RPC pode permitir a execução do código

Informações sobre o arquivo

A versão em inglês dessa atualização apresenta os atributos de arquivo (ou mais recentes) listados na tabela a seguir. As datas e os horários desses arquivos estão relacionados em formato Tempo Universal Coordenado (UTC). Ao visualizar as informações sobre o arquivo, elas são convertidas para a hora local. Para encontrar a diferença entre a UTC e a hora local, use a guia Fuso horário na ferramenta Data e hora do Painel de controle.

Windows Server 2003, Enterprise Edition; Windows Server 2003, Standard Edition; Windows Server 2003, Web Edition; e Windows Server 2003, Datacenter Edition
   Data         Hora   Versão      Tamanho    Nome do arquivo     Pasta
   --------------------------------------------------------------
   23-ago-2003  18:56  5.2.3790.80  1.183.744  Ole32.dll   RTMGDR
   23-ago-2003  18:56  5.2.3790.76  657.920  Rpcrt4.dll   RTMGDR
   23-ago-2003  18:56  5.2.3790.80    284.672  Rpcss.dll   RTMGDR
   23-ago-2003  18:48  5.2.3790.80  1.183.744  Ole32.dll   RTMQFE
   23-ago-2003  18:48  5.2.3790.76    658.432  Rpcrt4.dll  RTMQFE
   23-ago-2003  18:48  5.2.3790.80    285.184  Rpcss.dll   RTMQFE
Windows Server 2003, 64-Bit Enterprise Edition e Windows Server 2003, 64-Bit Datacenter Edition:
   Data         Hora   Versão      Tamanho   Nome do arquivo   Plataforma   Pasta
   -------------------------------------------------------------------------
   23-ago-2003  18:56  5.2.3790.80  3.551.744  Ole32.dll    IA64      RTMGDR
   23-ago-2003  18:56  5.2.3790.76  2.127.872  Rpcrt4.dll   IA64      RTMGDR
   23-ago-2003  18:56  5.2.3790.80    665.600  Rpcss.dll    IA64      RTMGDR
   23-ago-2003  18:56  5.2.3790.80  1.183.744  Wole32.dll   x86       RTMGDR
   23-ago-2003  18:56  5.2.3790.76    539.648  Wrpcrt4.dll  x86       RTMGDR
   23-ago-2003  18:48  5.2.3790.80  3.551.232  Ole32.dll    IA64      RTMQFE
   23-ago-2003  18:48:00  5.2.3790.76  2.128.384  Rpcrt4.dll   IA64      RTMGDR
   23-ago-2003  18:48:00  5.2.3790.80    666.624  Rpcss.dll    IA64      RTMGDR
   23-ago-2003  18:48:00  5.2.3790.80  1.183.744  Wole32.dll   x86       RTMGDR
   23-ago-2003  18:48:00  5.2.3790.76    539.648  Wrpcrt4.dll  x86       RTMGDR
Observação Ao instalar esse patch de segurança em um computador com o Windows Server 2003 ou o Windows XP 64-Bit Edition Versão 2003, o instalador verifica se qualquer um dos arquivos sendo atualizados em seu computador já foi anteriormente atualizado por um hotfix da Microsoft. Se você já instalou um hotfix para atualizar um desses arquivos, o instalador copiará os arquivos RTMQFE para seu computador. Caso não tenha instalado, o instalador copiará os arquivos RTMGDR para seu computador. Para obter informações adicionais, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft:
824994 Descrição do conteúdo dos pacotes de atualização de software do Windows XP Service Pack 2 e do Windows Server 2003
Você também pode verificar os arquivos instalados por esse patch de segurança revisando a seguinte chave do Registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows Server 2003\SP1\KB824146\Filelist
Observação Essa chave do Registro pode não ser criada corretamente quando um administrador ou um OEM integra ou corrige o patch de segurança 824146 nos arquivos da fonte de instalação do Windows.

Windows XP (todas as versões)

Informações sobre o download

Os seguintes arquivos estão disponíveis para download na Central de Download da Microsoft:

Windows XP Home Edition, Windows XP Professional, Windows XP Tablet PC Edition e Windows XP Media Center Edition
Recolher esta imagemExpandir esta imagem
Download
Baixe o pacote 824146 agora.
Windows XP 64-Bit Edition Versão 2002 (em inglês)
Recolher esta imagemExpandir esta imagem
Download
Baixe o pacote 824146 agora.
Windows XP 64-Bit Edition Versão 2003 (em inglês)
Recolher esta imagemExpandir esta imagem
Download
Baixe o pacote 824146 agora.
Observação Para o Windows XP 64-Bit Edition, versão 2003, esse patch de segurança é o mesmo das versões de 64 bits do Windows Server 2003. Data de lançamento: 10 de setembro de 2003

Para obter informações adicionais sobre como baixar os arquivos de Suporte da Microsoft, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft:
119591 Como obter arquivos de suporte da Microsoft nos serviços online
A Microsoft examinou esse arquivo em busca de vírus. A Microsoft utilizou o mais recente software de detecção de vírus disponível na data em que o arquivo foi publicado. O arquivo está armazenado em servidores de segurança avançada que ajudam a evitar qualquer alteração não autorizada no arquivo.

Pré-requisitos

Esse patch de segurança requer a versão lançada do Windows XP ou do Windows XP Service Pack 1 (SP1). Para obter informações adicionais, clique no número abaixo para ler o artigo na Base de Dados do Conhecimento da Microsoft:
322389 Como obter o service pack mais recente do Windows XP
Informações sobre a instalação
Esse patch de segurança suporta as seguintes opções de instalação:
  • /?: Exibe a lista de opções de instalação.
  • /u: Usa o modo autônomo.
  • /f: Força o encerramento de outros programas quando o computador é desligado.
  • /n: Não faz backup de arquivos para remoção.
  • /o: Substitui os arquivos OEM sem perguntar antes.
  • /z: Não reinicia quando a instalação é concluída.
  • /q: Usa o modo silencioso (sem interação do usuário).
  • /l: Lista os hotfixes instalados.
  • /x: Extrai os arquivos sem executar a instalação.
Para verificar se o patch de segurança está instalado em seu computador, use a ferramenta de varredura KB 824146 (KB824146scan.exe) ou use a ferramenta Microsoft Baseline Security Analyzer (MBSA). Para obter informações adicionais sobre KB824146scan.exe, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft:
827363 Como usar a ferramenta de exame KB 824146 para identificar computadores host que não possuem os patches de segurança 823980 (MS03-026) e 824146 (MS03-039) instalados
Para obter informações adicionais sobre o artigo MBSA, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft:
320454 A ferramenta MBSA (Microsoft Baseline Security Analyzer) versão 1.2.1 está disponível
Observação MBSA versão 1.1.1 relata incorretamente que 824146 não é instalado se as versões RTMQFE dos arquivos desse patch de segurança são usadas em um computador com o Windows XP 64-Bit Edition, Versão 2003.

Você pode também verificar se esse patch de segurança está instalado no computador confirmando se a seguinte chave do Registro existe:

Windows XP
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP1\KB824146
Windows XP com Service Pack 1 (SP1)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP2\KB824146
Windows XP 64-Bit Edition Version 2003
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows Server 2003\SP1\KB824146

Informações sobre a implantação

Para instalar o patch de segurança sem intervenção por parte do usuário, use a seguinte linha de comando:
Windowsxp-kb824146-x86-enu /u /q
Para instalar o patch sem fazer com que o computador seja reiniciado, use a seguinte linha de comando:
Windowsxp-kb824146-x86-enu /z
Observação: Você pode combinar estas opções em uma linha de comando.

Para obter informações sobre como implantar esse patch com o Software Update Services, visite o seguinte site da Microsoft (em inglês):
http://www.microsoft.com/windowsserversystem/updateservices/evaluation/previous/susoverview.mspx

Necessidade de reinicialização

Você deve reiniciar o seu computador após aplicar esse patch.

Informações sobre remoção

Para remover esse patch de segurança, use a ferramenta Adicionar ou remover programas do Painel de controle.

Os administradores de sistemas podem usar o utilitário Spuninst.exe para remover esse patch. O utilitário Spuninst.exe fica na pasta %Windir%\$NTUninstallKB824146$\Spuninst e oferece suporte às seguintes opções do Programa de instalação:
  • /?: Exibe a lista de opções de instalação.
  • /u: Usa o modo autônomo.
  • /f: Força o encerramento de outros programas quando o computador é desligado.
  • /z: Não reinicia quando a instalação é concluída.
  • /q: Usa o modo silencioso (sem interação do usuário).

Informações sobre a substituição do patch de segurança

Este patch de segurança substitui o MS03-026 (823980). Para obter informações adicionais sobre MS03-026 (823980), clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft:
823980 MS03-026: Saturação do buffer em RPC pode permitir a execução de código

Informações sobre o arquivo

A versão em inglês desse hotfix apresenta os atributos de arquivo (ou mais recentes) relacionados na tabela a seguir. As datas e os horários desses arquivos estão relacionados em formato Tempo Universal Coordenado (UTC). Ao visualizar as informações sobre o arquivo, elas são convertidas para a hora local. Para encontrar a diferença entre a UTC e a hora local, use a guia Fuso horário na ferramenta Data e hora do Painel de controle.

Windows XP Home Edition, Windows XP Professional, Windows XP Tablet PC Edition e Windows XP Media Center Edition:
   Data         Hora      Versão       Tamanho    Nome do arquivo
   -------------------------------------------------------------------
   25-ago-2003  22:29  5.1.2600.118      1.093.632  Ole32.dll     (pré-SP1)
   25-ago-2003  22:29  5.1.2600.109        439.296  Rpcrt4.dll    (pré-SP1)
   25-ago-2003  22:29  5.1.2600.118        204.288  Rpcss.dll     (pré-SP1)
   25-ago-2003  18:53  5.1.2600.1263     1.172.992  Ole32.dll     (com SP1)
   25-ago-2003  18:53  5.1.2600.1254       532.480  Rpcrt4.dll    (com SP1)
   25-ago-2003  18:53  5.1.2600.1263       260.608  Rpcss.dll     (com SP1)
Windows XP 64-Bit Edition Versão 2002:
   Data         Hora   Versão        Tamanho    Nome do arquivo    Plataforma
   --------------------------------------------------------------------------
   25-ago-2003  19:30  5.1.2600.118   4.195.840  Ole32.dll    IA64 (pré-SP1)
   25-ago-2003  19:30  5.1.2600.109   2.025.472  Rpcrt4.dll   IA64 (pré-SP1)
   25-ago-2003  19:30  5.1.2600.118   741.888  Rpcss.dll    IA64 (pré-SP1)
   20-ago-2003  18:16:00  5.1.2600.118   1.093.632  Wole32.dll  (pré-SP1)
   02-Jan-2003  23:06:00  5.1.2600.109      440.320  Wrpcrt4.dll      X86   (pré-SP1)
   27-ago-2003  18:12  5.1.2600.1263  4.296.192  Ole32.dll    IA64 (com SP1)
   27-ago-2003  18:12:00  5.1.2600.1254   2.298.880  Rpcrt4.dll   IA64 (com SP1)
   27-ago-2003  18:12  5.1.2600.1263  742.400  Rpcss.dll    IA64 (com SP1)
   27-ago-2003  17:27  5.1.2600.1263  1.172.992  Wole32.dll   x86  (com SP1)
   02-ago-2003  22:14  5.1.2600.1254    506.880  Wrpcrt4.dll  x86  (com SP1)
Windows XP 64-Bit Edition Versão 2003:
   Data         Hora   Versão      Tamanho   Nome do arquivo   Plataforma   Pasta
   -------------------------------------------------------------------------
   23-ago-2003  18:56  5.2.3790.80  3.551.744  Ole32.dll    IA64      RTMGDR
   23-ago-2003  18:56  5.2.3790.76  2.127.872  Rpcrt4.dll   IA64      RTMGDR
   23-ago-2003  18:56  5.2.3790.80    665.600  Rpcss.dll    IA64      RTMGDR
   23-ago-2003  18:56  5.2.3790.80  1.183.744  Wole32.dll   x86       RTMGDR
   23-ago-2003  18:56  5.2.3790.76    539.648  Wrpcrt4.dll  x86       RTMGDR
   23-ago-2003  18:48  5.2.3790.80  3.551.232  Ole32.dll    IA64      RTMQFE
   23-ago-2003  18:48:00  5.2.3790.76  2.128.384  Rpcrt4.dll   IA64      RTMGDR
   23-ago-2003  18:48:00  5.2.3790.80    666.624  Rpcss.dll    IA64      RTMGDR
   23-ago-2003  18:48:00  5.2.3790.80  1.183.744  Wole32.dll   x86       RTMGDR
   23-ago-2003  18:48:00  5.2.3790.76    539.648  Wrpcrt4.dll  x86       RTMGDR
Observações
  • Quando você instala o patch de segurança do Windows XP 64-Bit Edition Versão 2003, o instalador verifica se qualquer um dos arquivos que estão sendo atualizados no computador foram anteriormente atualizados pelo hotfix da Microsoft. Se você já instalou um hotfix para atualizar um desses arquivos, o instalador copiará os arquivos RTMQFE para seu computador. Caso não tenha instalado, o instalador copiará os arquivos RTMGDR para seu computador. Para obter informações adicionais, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft:
    824994 Descrição do conteúdo dos pacotes de atualização de software do Windows XP Service Pack 2 e do Windows Server 2003
  • As versões Windows XP e Windows XP 64-Bit Edition versão 2002 desse patch de segurança são distribuídos em pacotes de modo duplo. Os pacotes de modo duplo contêm arquivos para a versão original do Windows XP e do Windows XP Service Pack 1 (SP1). Para obter informações adicionais sobre pacotes de modo duplo, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft:
    328848 Descrição de pacotes de atualização de modo duplo para o Windows XP
Você também pode verificar os arquivos instalados por esse patch de segurança revisando as seguintes chaves do Registro:

Para o Windows XP Home Edition SP1; o Windows XP Professional SP1; o Windows XP 64-Bit Edition, Version 2002 SP1; o Windows XP Tablet PC Edition; o Windows XP Media Center Edition:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP2\KB824146\Filelist
Para o Windows XP Home Edition; o Windows XP Professional; o Windows XP 64-Bit Edition, versão 2002:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP1\KB824146\Filelist
Para o Windows XP 64-Bit Edition, versão 2003:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows Server 2003\SP1\KB824146\Filelist
Observação Essa chave do Registro pode não ser criada corretamente quando um administrador ou OEM integra ou corrige o patch de segurança 824146 nos arquivos da fonte de instalação do Windows.
Para resolver esse problema, obtenha o Pacote cumulativo 1 para o Windows 2000 SP4. Para obter informações adicionais sobre como fazer isso, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft:
891861 Pacote cumulativo 1 para o Windows 2000 SP4 e problemas conhecidos

Windows 2000

Informações sobre o download

O seguinte arquivo está disponível para o download na Central de Download da Microsoft:

Recolher esta imagemExpandir esta imagem
Download
Baixe o pacote 824146 agora.
Data de lançamento: 10 de setembro de 2003

Para obter informações adicionais sobre como baixar os arquivos de Suporte da Microsoft, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft:
119591 Como obter arquivos de suporte da Microsoft nos serviços online
A Microsoft examinou esse arquivo em busca de vírus. A Microsoft utilizou o mais recente software de detecção de vírus disponível na data em que o arquivo foi publicado. O arquivo está armazenado em servidores de segurança avançada que ajudam a evitar qualquer alteração não autorizada no arquivo.

Pré-requisitos

Para o Windows 2000 Datacenter Server, esse patch de segurança requer o Service Pack 3 (SP3). Para outras versões do Windows 2000, esse patch de segurança requer o Service Pack 2 (SP2), o Service Pack 3 (SP3) ou o Service Pack 4 (SP4).

Observação O Windows 2000 Service Pack 2 atingiu o fim de seu ciclo, como mencionado anteriormente, e a Microsoft geralmente não oferece patchs de segurança geralmente disponíveis para esse produto. Entretanto, devido à natureza dessa vulnerabilidade, ao término muito recente da vida útil e à execução do Windows 2000 Service Pack 2 por muitos clientes, a Microsoft decidiu abrir uma exceção para essa vulnerabilidade.

A Microsoft não se antecipa a fazer isso devido a vulnerabilidades futuras, mas se reserva o direito de produzir e disponibilizar patches de segurança quando for necessário. A Microsoft recomenda que clientes com computadores com o Windows 2000 Service Pack 2 migrem para versões do Windows que tenham suporte a fim de evitar a exposição a futuras vulnerabilidades. Para obter informações sobre o ciclo de vida do produto desktop do Windows, visite o seguinte site da Microsoft (em inglês):
http://www.microsoft.com/windows/lifecycle/default.mspx
Para obter informações adicionais, clique no número abaixo para ler o artigo na Base de Dados do Conhecimento da Microsoft:
260910 Como obter o service pack mais recente do Windows 2000

Informações sobre a instalação

Esse patch de segurança suporta as seguintes opções de Instalação:
  • /?: Exibe a lista de opções de instalação.
  • /u: Usa o modo autônomo.
  • /f: Força o encerramento de outros programas quando o computador é desligado.
  • /n: Não faz backup de arquivos para remoção.
  • /o: Substitui os arquivos OEM sem perguntar antes.
  • /z: Não reinicia quando a instalação é concluída.
  • /q: Usa o modo silencioso (sem interação do usuário).
  • /l: Lista os hotfixes instalados.
  • /x: Extrai os arquivos sem executar a instalação.
Para verificar se o patch de segurança está instalado em seu computador, use a ferramenta de varredura KB 824146 (KB824146scan.exe) ou a ferramenta Microsoft Baseline Security Analyzer (MBSA). Para obter informações adicionais sobre KB824146scan.exe, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft:
827363 Como usar a ferramenta de exame KB 824146 para identificar computadores host que não possuem os patches de segurança 823980 (MS03-026) e 824146 (MS03-039) instalados
Para obter informações adicionais sobre o artigo MBSA, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft:
320454 A ferramenta MBSA (Microsoft Baseline Security Analyzer) versão 1.2.1 está disponível
Você pode também verificar se esse patch de segurança está instalado no computador confirmando se a seguinte chave do Registro existe:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP5\KB824146

Informações sobre a implantação

Para instalar o patch de segurança sem intervenção por parte do usuário, use a seguinte linha de comando:
Windows2000-kb824146-x86-enu /u /q
Para instalar o patch sem fazer com que o computador seja reiniciado, use a seguinte linha de comando:
Windows2000-kb824146-x86-enu /z
Observação: Você pode combinar estas opções em uma linha de comando.

Para obter informações sobre como implantar esse patch com o Software Update Services, visite o seguinte site da Microsoft (em inglês):
http://www.microsoft.com/windowsserversystem/updateservices/evaluation/previous/susoverview.mspx

Necessidade de reinicialização

Você deve reiniciar o seu computador após aplicar esse patch.

Informações sobre a remoção

Para remover esse patch de segurança, use a ferramenta Adicionar ou remover programas no Painel de controle.

Os administradores de sistemas podem usar o utilitário Spuninst.exe para remover esse patch. O utilitário Spuninst.exe fica na pasta %Windir%\$NTUninstallKB824146$\Spuninst e oferece suporte às seguintes opções do Programa de instalação:
  • /?: Exibe a lista de opções de instalação.
  • /u: Usa o modo autônomo.
  • /f: Força o encerramento de outros programas quando o computador é desligado.
  • /z: Não reinicia quando a instalação é concluída.
  • /q: Usa o modo silencioso (sem interação do usuário).

Informações sobre a substituição do patch de segurança

Este patch de segurança substitui o MS03-026 (823980). Para obter informações adicionais sobre MS03-026 (823980), clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft:
823980 MS03-026: Saturação do buffer em RPC pode permitir a execução de código

Informações sobre o arquivo

A versão em inglês desse hotfix apresenta os atributos de arquivo (ou mais recentes) relacionados na tabela a seguir. As datas e os horários desses arquivos estão relacionados em formato Tempo Universal Coordenado (UTC). Ao visualizar as informações sobre o arquivo, elas são convertidas para a hora local. Para encontrar a diferença entre a UTC e a hora local, use a guia Fuso horário na ferramenta Data e hora do Painel de controle.
   Data         Hora      Versão       Tamanho    Nome do arquivo
   ------------------------------------------------------
   23-ago-2003  18:48  5.0.2195.6810  945.936  Ole32.dll
   23-ago-2003  18:48  5.0.2195.6802  432.912  Rpcrt4.dll
   23-ago-2003  18:48  5.0.2195.6810  192.272  Rpcss.dll
Você também pode verificar os arquivos instalados por esse patch de segurança revisando a seguinte chave do Registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP5\KB824146\Filelist
Observação Essa chave do Registro pode não ser criada corretamente quando um administrador ou OEM integra ou corrige o patch de segurança 824146 nos arquivos da fonte de instalação do Windows.

Windows NT 4.0 (todas as versões)

Informações sobre o download

Os seguintes arquivos estão disponíveis para download na Central de Download da Microsoft:

Windows NT Workstation 4.0
Recolher esta imagemExpandir esta imagem
Download
Baixe o pacote 824146 agora.
Windows NT Server 4.0
Recolher esta imagemExpandir esta imagem
Download
Baixe o pacote 824146 agora.
Windows NT Server 4.0, Terminal Server Edition (em inglês)
Recolher esta imagemExpandir esta imagem
Download
Baixe o pacote 824146 agora.
Data de lançamento: 10 de setembro de 2003

Para obter informações adicionais sobre como baixar os arquivos de Suporte da Microsoft, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft:
119591 Como obter arquivos de suporte da Microsoft nos serviços online
A Microsoft examinou esse arquivo em busca de vírus. A Microsoft utilizou o mais recente software de detecção de vírus disponível na data em que o arquivo foi publicado. O arquivo está armazenado em servidores de segurança avançada que ajudam a evitar qualquer alteração não autorizada no arquivo.

Pré-requisitos

Esse patch de segurança requer o Windows NT Server 4.0 Service Pack 6a (SP6a), o Windows NT Workstation 4.0 Service Pack 6a (SP6a) ou o Windows NT Server 4.0, Terminal Server Edition, Service Pack 6 (SP6).

Observação O Windows NT Workstation 4.0 atingiu o fim de seu ciclo, como mencionado anteriormente, e a Microsoft geralmente não oferece patchs de segurança geralmente disponíveis para esse produto. Entretanto, devido à natureza dessa vulnerabilidade, ao término muito recente da vida útil e à execução do Windows NT Workstation 4.0 por muitos clientes, a Microsoft decidiu abrir uma exceção para essa vulnerabilidade.

A Microsoft não se antecipa a fazer isso devido a vulnerabilidades futuras, mas se reserva o direito de produzir e disponibilizar patches de segurança quando for necessário. A Microsoft recomenda que clientes com computadores Windows NT Workstation 4.0 migrem para versões do Windows que tenham suporte a fim de evitar a exposição a futuras vulnerabilidades. Para obter informações sobre o ciclo de vida do produto desktop do Windows, visite o seguinte site da Microsoft (em inglês):
http://www.microsoft.com/windows/lifecycle/default.mspx
Para obter informações adicionais, clique no número abaixo para ler o artigo na Base de Dados do Conhecimento da Microsoft:
152734 Como obter o service pack mais recente do Windows NT 4.0

Informações sobre a instalação

Esse patch de segurança suporta as seguintes opções de Instalação:
  • /y: Executa a remoção (somente com /m ou /q).
  • /f: Força o encerramento dos programas durante o processo de desligamento.
  • /n: Não cria uma pasta Uninstall.
  • /z: Não reinicia quando a atualização for concluída.
  • /q: Usa os modos silencioso ou autônomo sem interface de usuário (essa opção está contida em /m).
  • /m : Usa o modo Autônomo com uma interface de usuário.
  • /l: Lista os hotfixes instalados.
  • /x: Extrai os arquivos sem executar a instalação.
Para verificar se o patch de segurança está instalado em seu computador, use a ferramenta de varredura KB 824146 (KB824146scan.exe) ou a ferramenta Microsoft Baseline Security Analyzer (MBSA). Para obter informações adicionais sobre KB824146scan.exe, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft:
827363 Como usar a ferramenta de exame KB 824146 para identificar computadores host que não possuem os patches de segurança 823980 (MS03-026) e 824146 (MS03-039) instalados
Para obter informações adicionais sobre o artigo MBSA, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft:
320454 A ferramenta MBSA (Microsoft Baseline Security Analyzer) versão 1.2.1 está disponível
Você pode também verificar se esse patch de segurança está instalado no computador confirmando se a seguinte chave do Registro existe:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Hotfix\KB824146

Informações sobre a implantação

Para instalar o patch de segurança sem intervenção por parte do usuário, use a seguinte linha de comando:
Windowsnt4server-kb824146-x86-enu /u /q
Para instalar o patch sem fazer com que o computador seja reiniciado, use a seguinte linha de comando:
Windowsnt4server-kb824146-x86-enu /z
Observação: Você pode combinar estas opções em uma linha de comando.

Para obter informações sobre como implantar esse patch com o Software Update Services, visite o seguinte site da Microsoft (em inglês):
http://www.microsoft.com/windowsserversystem/updateservices/evaluation/previous/susoverview.mspx

Necessidade de reinicialização

Você deve reiniciar o seu computador após aplicar esse patch.

Informações sobre a remoção

Para remover esse patch de segurança, use a ferramenta Adicionar ou remover programas no Painel de controle.

Os administradores do sistema podem usar o utilitário Hotfix.exe para remover esse patch de segurança. O utilitário Hotfix.exe está localizado na pasta %Windir%\$NTUninstallKB824146$. O utilitário d´s suporte as seguintes opções de instalação:
  • /y: Executa a remoção (somente com a opção /m ou /q).
  • /f: Força o encerramento dos programas durante o processo de desligamento.
  • /n: Não cria uma pasta Uninstall.
  • /z: Não reinicia quando a instalação é concluída.
  • /q: Usa os modos Silencioso ou Autônomo sem interface de usuário (essa opção está contida na opção /m).
  • /m : Usa o modo Autônomo com uma interface de usuário.
  • /l: Lista os hotfixes instalados.

Informações sobre a substituição do patch de segurança

Este patch de segurança substitui o MS03-026 (823980). Para obter informações adicionais sobre MS03-026 (823980), clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft:
823980 MS03-026: Saturação do buffer em RPC pode permitir a execução de código

Informações sobre o arquivo

A versão em inglês desse hotfix apresenta os atributos de arquivo (ou mais recentes) relacionados na tabela a seguir. As datas e os horários desses arquivos estão relacionados em formato Tempo Universal Coordenado (UTC). Ao visualizar as informações sobre o arquivo, elas são convertidas para a hora local. Para encontrar a diferença entre a UTC e a hora local, use a guia Fuso horário na ferramenta Data e hora do Painel de controle.

Windows NT Server 4.0:
   Data         Hora      Versão       Tamanho    Nome do arquivo
   ------------------------------------------------------
   11-ago-2003  11:29  4.0.1381.7230  701.200  Ole32.dll
   11-ago-2003  11:29  4.0.1381.7230  345.872  Rpcrt4.dll
   11-ago-2003  11:29  4.0.1381.7230  107.792  Rpcss.exe
Windows NT Server 4.0, Terminal Server Edition:
   Data         Hora      Versão       Tamanho    Nome do arquivo
   -------------------------------------------------------
   11-ago-2003  12:30  4.0.1381.33551  701.712  Ole32.dll
   11-ago-2003  12:14  4.0.1381.33551  345.360  Rpcrt4.dll
   11-ago-2003  12:30  4.0.1381.33551  109.328  Rpcss.exe
Windows NT Workstation 4.0:
   Data         Hora      Versão       Tamanho    Nome do arquivo
   ------------------------------------------------------
   11-ago-2003  11:29  4.0.1381.7230  701.200  Ole32.dll
   11-ago-2003  11:29  4.0.1381.7230  345.872  Rpcrt4.dll
   11-ago-2003  11:29  4.0.1381.7230  107.792  Rpcss.exe
Você também pode verificar os arquivos instalados por esse patch de segurança revisando a seguinte chave do Registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Hotfix\KB824146\File 1
Observação Essa chave do Registro pode não ser criada corretamente quando um administrador ou OEM integra ou corrige o patch de segurança 824146 nos arquivos originais de instalação do Windows.

Como Contornar

Embora a Microsoft ressalte a importância da aplicação do patch de segurança na primeira oportunidade possível, há alguns contornos que você pode adotar para ajudar a evitar o vetor usado para explorar essa vulnerabilidade provisóriamente. Não há garantia de que essas soluções alternativas bloquearão todos os possíveis vetores de ataque.

Observação Essas soluções alternativas são medidas temporárias porque apenas ajudam a bloquear caminhos de ataque em vez de corrigir a vulnerabilidade básica.
  • Bloquear portas UDP 135, 137, 138 e 445 e TCP 135, 139, 445 e 593 em seu firewall. Desativar também COM Internet Services (CIS) e RPC sobre HTTP. CIS e RPC sobre HTTP escutam nas portas 80 e 443 nos computadores afetados.

    Essas portas são usadas para iniciar uma conexão RPC com um computador remoto. Bloqueá-las no firewall ajuda a evitar que os computadores por trás do firewall sejam atacados por tentativas de exploração dessas vulnerabilidades. Você deve bloquear também qualquer outra porta RPC especificamente configurada na máquina remota.

    Se ativado, CIS e RPC sobre HTTP permitem que as chamadas DCOM operem sobre as portas TCP 80 (e 443 no Windows XP e Windows Server 2003). Certifique-se de que CIS e RPC sobre HTTP estejam desativadas em todos os computadores afetados. Para obter informações adicionais sobre como desativar CIS, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft:
    825819 Como remover o suporte proxy dos Serviços da Internet COM (CIS) e de RPC sobre HTTP
    Para informações adicionais sobre RPC sobre HTTP, visite o seguinte site da Microsoft (em inglês):
    http://msdn.microsoft.com/library/en-us/rpc/rpc/rpc_over_http_security.asp
  • Use o Firewall de conexão com a Internet (ICF) e desative COM Internet Services (CIS) e RPC sobre HTTP. CIS e RPC sobre HTTP escutam nas portas 80 e 443 nos computadores afetados.

    Se você estiver usando o recurso Firewall de conexão com a Internet (ICF) no Windows XP ou no Windows Server 2003 para ajudar a proteger sua conexão com a Internet, isso irá, por padrão, bloquear o tráfego RPC de entrada proveniente da Internet.

    Observação ICF está disponível no Windows XP, Windows Server 2003, Standard Edition e Windows Server 2003, Enterprise Edition. O firewall básico é um componente de roteamento e acesso remoto que você pode ativar para qualquer interface pública em um computador que esteja executando o roteamento e acesso remoto e que é membro da família Windows Server 2003.

    Verifique se CIS e RPC sobre HTTP estejam desativados em todos os computadores afetados. Para obter informações adicionais sobre como desativar CIS, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft:
    825819 Como remover o suporte proxy dos Serviços da Internet COM (CIS) e de RPC sobre HTTP
    Para informações adicionais sobre RPC sobre HTTP, visite o seguinte site da Microsoft (em inglês):
    http://msdn.microsoft.com/library/en-us/rpc/rpc/rpc_over_http_security.asp
  • Bloqueie as portas afetadas usando um filtro IPSec e desative COM Internet Services (CIS) e RPC sobre HTTP. CIS e RPC sobre HTTP escutam nas portas 80 e 443 nos computadores afetados.

    Você pode ajudar a aumentar a segurança das comunicações de rede em computadores com o Windows 2000 se usar IPSec. Para obter informações adicionais sobre IPSec e como usar listas de filtros no Windows 2000, clique nos números abaixo para ler os artigos na Base de Dados de Conhecimento da Microsoft:
    313190 Como usar as listas de filtros de IP do IPSec no Windows 2000
    813878 Como bloquear protocolos de rede específicos e portas usando o IPSec
    Verifique se CIS e RPC sobre HTTP estejam desativados em todos os computadores afetados. Para obter informações adicionais sobre como desativar CIS, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft:
    825819 Como remover o suporte proxy dos Serviços da Internet COM (CIS) e de RPC sobre HTTP
    Para obter informações adicionais sobre RPC sobre HTTP, visite o seguinte site da Microsoft (em inglês):
    http://msdn.microsoft.com/library/en-us/rpc/rpc/rpc_over_http_security.asp
  • Desative o DCOM em todos os computadores afetados. Quando o computador fizer parte de uma rede, o protocolo no meio físico DCOM permite a comunicação de objetos COM nesse computador com objetos COM em outros computadores.

    Você pode desativar o DCOM para um computador a fim de ajudar a proteger contra essa vulnerabilidade, mas ao fazer isso você poderá desativar toda a comunicação entre objetos naquele computador e objetos em outros computadores. Se desativar o DCOM em um computador remoto, você não conseguirá acessar remotamente esse computador para ativar o DCOM. Para ativar novamente o DCOM, você deve ter acesso físico àquele computador. Para obter informações adicionais sobre como desativar o DCOM, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft:
    825750 Como desativar o suporte DCOM no Windows
    Observação Para o Windows 2000, os métodos que o artigo 825750 da Base de Dados de Conhecimento da Microsoft descreve funcionam apenas nos computadores que executam o Service Pack 3 ou mais recente. Os clientes que usam o Service Pack 2 ou mais antigo devem fazer a atualização para um service pack mais recente ou usar uma solução alternativa.

Situação

A Microsoft confirmou que esse problema pode causar certo grau de vulnerabilidade na segurança dos produtos Microsoft listados no início desse artigo. Esse problema foi corrigido primeiro no Windows 2000 Service Pack 4.

Mais Informações

Para obter informações adicionais sobre essa vulnerabilidade, visite o seguinte site da Microsoft:
http://www.microsoft.com/brasil/technet/Boletins/BoletinsMS03_39.aspx
Para obter informações adicionais sobre como proteger a RPC para clientes e servidores, visite o seguinte site da Microsoft (em inglês):
http://msdn2.microsoft.com/en-us/library/aa379441.aspx
Para obter informações adicionais sobre as portas utilizadas por RPC, visite o seguinte site da Microsoft (em inglês):
http://www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/cnet/cnfc_por_gdqc.mspx?mfr=true

Propriedades

ID do artigo: 824146 - Última revisão: sexta-feira, 16 de fevereiro de 2007 - Revisão: 11.4
A informação contida neste artigo aplica-se a:
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Media Center Edition
  • Microsoft Windows XP Tablet PC Edition
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows NT Server 4.0, Terminal Server Edition
  • Microsoft Windows NT Workstation 4.0 Developer Edition
Palavras-chave: 
kbhotfixserver kbwinxppresp2fix kbwinserv2003presp1fix kbwinnt400presp7fix kbwin2000presp5fix kbfix kbbug kbsecvulnerability kbsecbulletin kbsecurity kbqfe KB824146

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com