MS06-061: Vulnerabilidades no Microsoft XML Core Services podem permitir execução remota de código

Traduções de Artigos Traduções de Artigos
Artigo: 924191 - Ver produtos para os quais este artigo se aplica.
Expandir tudo | Reduzir tudo

Nesta página

INTRODUÇÃO

A Microsoft publicou o boletim de segurança MS06-061. Este boletim de segurança contém todas as informações relevantes sobre a actualização de segurança. Estas informações incluem informações sobre o ficheiro de manifesto e opções de implementação. Para ver o boletim de segurança completo, visite um dos seguintes Web sites da Microsoft: Este artigo poderá conter hiperligações para conteúdo em inglês (ainda não traduzido).

Informações sobre Service Packs

Este problema foi corrigido pela primeira vez no Microsoft Office 2003 Service Pack 3. Para resolver este problema, obtenha o Service Pack mais recente do Office 2003. Para mais informações, clique no número de artigo que se segue para visualizar o artigo na Base de Dados de Conhecimento da Microsoft:
870924 Como obter o Service Pack mais recente do Office 2003

Problemas conhecidos relativamente a esta actualização de segurança

  • Se tiver múltiplas versões do Microsoft XML Parser ou Microsoft XML Core Services (MSXML) instaladas, poderá ter de instalar múltiplos pacotes para esta actualização de segurança. Além disso, se instalar uma versão do MSXML depois de instalar esta actualização de segurança, poderá ter de instalar um pacote adicional para esta actualização de segurança. Para obter mais informações sobre as diferentes versões de MSXML disponíveis ou incluídas nas várias actualizações de software ou em produtos da Microsoft, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
    269238 List of Microsoft XML Parser (MSXML) versions
  • Depois de instalar a versão original da actualização de segurança 924191 para o Windows 2000 Service Pack 4, o "kill bit" dos CLSIDs do Microsoft XML Parser (MSXML) versão 2.6 é incorrectamente definido como 0x00000190 (400) em vez de 0x00000400 (1024). Em 19 de Outubro de 2006, a Microsoft disponibilizou uma nova versão desta actualização de segurança para resolver este problema.

    Nota: a nova actualização de segurança que foi disponibilizada em 19 de Outubro de 2006 não actualiza correctamente as informações de versão apresentadas em Adicionar ou remover programas (Add or Remove Programs), caso tenha instalado anteriormente a actualização de segurança original para o Windows 2000. O número de versão deveria ser actualizado para 0061014.135844. No entanto, as informações de versão continuam a apresentar o número 20060915.123522. Este problema pode ser ignorado. Neste cenário, o "kill bit" é actualizado correctamente no registo para os CLSIDs do MSXML versão 2.6.
  • Depois de instalar esta actualização de segurança, não poderá utilizar o Microsoft XML Parser versão 2.6 no Microsoft Internet Explorer. Este comportamento ocorre por predefinição. O pacote de actualização de segurança 924191 define o "kill bit" para esta versão do MSXML. O "kill bit" impede a execução do componente no Internet Explorer.

    Nota: os programadores que utilizem os IDs de programas (ProgIDs) dependentes da versão 2.6 do MSXML numa aplicação têm de actualizar os ProgIDs para utilizarem o MSXML 3.0.

    Código de exemplo que utiliza um ProgID dependente da versão 2.6 do MSXML
    var o = new ActiveXObject("Msxml2.DOMDocument.2.6");
    Código de exemplo actualizado que utiliza um ProgID dependente da versão 3.0 do MSXML
    var o = new ActiveXObject("Msxml2.DOMDocument.3.0");
    Os pacotes de actualização de segurança 924191 para esta versão definem o "kill bit" para os CLSIDs do MSXML 2.6 listados na seguinte tabela.
    Reduzir esta tabelaExpandir esta tabela
    GUIDNome simbólico
    f5078f22-c551-11d3-89b9-0000f81fe221CLSID_XMLDocument26
    f5078f1b-c551-11d3-89b9-0000f81fe221CLSID_DOMDocument26
    f5078f1c-c551-11d3-89b9-0000f81fe221CLSID_FreeThreadedDOMDocument26
    f5078f1d-c551-11d3-89b9-0000f81fe221CLSID_XMLSchemaCache26
    f5078f1e-c551-11d3-89b9-0000f81fe221CLSID_XMLHTTP26
    f5078f21-c551-11d3-89b9-0000f81fe221CLSID_XSLTemplate26
    f5078f1f-c551-11d3-89b9-0000f81fe221CLSID_DSOControl26
    f5078f20-c551-11d3-89b9-0000f81fe221CLSID_XMLParser26
    f5078f28-c551-11d3-89b9-0000f81fe221CLSID_Viewer26
    f5078f29-c551-11d3-89b9-0000f81fe221CLSID_BufferedMoniker26
    f5078f26-c551-11d3-89b9-0000f81fe221CLSID_XSLPatternFactory26
  • Os pacotes de actualização de segurança 925672 e 925673 para o MSXML 4.0 Service Pack 2 (SP2) e MSXML 6.0 são pacotes de instalação completos. Pode utilizar estes pacotes para instalar o MSXML 4.0 SP2 ou o MSXML 6.0 num computador sem versões anteriores do MSXML 4.0 ou do MSXML 6.0 instaladas. Também pode utilizar estes pacotes para actualizar uma instalação existente do MSXML 4.0, do MSXML 4.0 SP1 ou do MSXML 6.0.
  • O Windows Update e o Microsoft Update apenas oferecem os pacotes de actualização de segurança 925672 e 925673 se tiver uma versão anterior do MSXML 4.0 SP2 ou do MSXML 6.0 instalada no computador. Se não tiver uma versão anterior do MSXML 4.0 SP2 ou do MSXML 6.0 instalada, transfira e instale estes pacotes a partir do centro de transferências da Microsoft.
  • O Windows Update e o Microsoft Update não oferecem a actualização de segurança 925672 se tiver o MSXML 4.0 ou o MSXML 4.0 SP1 instalado. Para actualizar o MSXML 4.0 ou o MSXML 4.0 SP1, utilize um dos seguintes métodos:
  • Os ficheiros que são instalados pelos pacotes de actualização de segurança 925672 e 925673 para o MSXML 4.0 SP2 e para o MSXML 6.0 estão listados nas seguintes tabelas.

    O MSXML 6.0 não está instalado
    Reduzir esta tabelaExpandir esta tabela
    Ficheiro Versão Data Hora Tamanho
    Msxml6.dll 6.0.3888.0 1-Sep-06 12:081.27 MB
    Msxml6r.dll 6.0.3883.0 19-Jul-06 10:55 84.6 KB
    O MSXML 6.0 está instalado
    Reduzir esta tabelaExpandir esta tabela
    Ficheiro Versão Data Hora Tamanho
    Msxml6.dll 6.0.3888.0 1-Sep-06 12:081.27 MB
    O MSXML 4.0 não está instalado
    Reduzir esta tabelaExpandir esta tabela
    Ficheiro Versão Data Hora Tamanho
    Msxml4.dll 4.20.9839.0 12-Sep-06 5:51 1216 KB
    Msxml4r.dll 4.10.9404.0 12-Jul-06 5:49 80.5 KB
    Nota: esta actualização de segurança é instalada na pasta %SystemRoot%\System32 e na pasta paralela (side-by-side).

    O MSXML 4.0 está instalado
    Reduzir esta tabelaExpandir esta tabela
    Ficheiro Versão Data Hora Tamanho
    Msxml4.dll 4.20.9839.0 12-Sep-06 5:5311.18 MB
    Nota: esta actualização de segurança é instalada na pasta %SystemRoot%\System32 e na pasta paralela (side-by-side).
  • Quando remove a actualização de segurança 925673 para o MSXML 6.0, o MSXML 6.0 é completamente removido do computador.
  • O pacote de actualização de segurança 925672 para o MSXML 4.0 SP2 não suporta que remova completamente o MSXML 4.0 porque esta versão do MSXML é instalada no modo paralelo. Para contornar este problema, siga estes passos:
    1. Utilize Adicionar ou remover programas (Add or Remove Programs) para remover a actualização de segurança 925672.
    2. Elimine o ficheiro MSXML4.dll da pasta %SystemRoot%\System32.
    3. Utilize Adicionar ou remover programas (Add or Remove Programs) para reparar o MSXML 4.0.
    As versões anteriores do ficheiro Msxml4.dll e do ficheiro Msxml4r.dll são restauradas para a pasta %SystemRoot%\System32 e para a pasta paralela (side-by-side).
  • Os pacotes de actualização de segurança para o MSXML 3.0 só actualizam o ficheiro MSXML3.dll. Os ficheiros de recursos não são actualizados para esta versão.
  • Depois de instalar esta actualização de segurança, poderá detectar um comportamento inesperado em aplicações do Microsoft Commerce Server 2002 Business Desk. Para obter mais informações sobre este problema, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
    926509 You may experience unexpected behavior when you access Commerce Server Business Desk applications after you update the computer with the latest security updates

Pacotes adicionais para esta actualização de segurança

Os pacotes de actualização de segurança para esta actualização utilizam este número de artigo da Base de Dados de Conhecimento (924191) e os seguintes números de artigo da Base de Dados de Conhecimento.
  • 925673 MS06-061: Security update for Microsoft XML Core Services 6.0
  • 925672 MS06-061: Security update for Microsoft XML Core Services 4.0 SP2
  • 924424 Description of the security update for Office 2003: October 10, 2006

Propriedades

Artigo: 924191 - Última revisão: 10 de dezembro de 2007 - Revisão: 6.3
A informação contida neste artigo aplica-se a:
  • Microsoft XML Parser 3.0
  • Microsoft XML Core Services 4.0
  • Microsoft XML Core Services 6.0
  • Microsoft Windows 2000 Advanced Server SP4
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Professional SP4
  • Microsoft Windows 2000 Server SP4
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003 R2 Datacenter Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Datacenter Edition (64-Bit x86)
  • Microsoft Windows Server 2003 R2 Enterprise Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Enterprise Edition (64-Bit x86)
  • Microsoft Windows Server 2003 R2 Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003 R2 Standard Edition (64-Bit x86)
  • Microsoft Windows Server 2003 Service Pack 1
  • Microsoft Windows Server 2003 Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003 Web Edition
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Media Center Edition 2005
  • Microsoft Windows XP Professional Edition
  • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows XP Service Pack 1
  • Microsoft Windows XP Service Pack 2
  • Microsoft Windows XP Tablet PC Edition 2005
  • Microsoft Windows XP Tablet PC Edition Service Pack 2 (SP2)
  • Microsoft Office 2003, All Editions
  • Microsoft BackOffice Small Business Server 2000 Service Pack 1
Palavras-chave: 
kbwinserv2003sp2fix kboffice2003presp3fix kbwin2000presp5fix kbwinserv2003presp2fix kbwinxppresp3fix kbexpertisebeginner kbqfe kbsecurity kbsecbulletin kbsecvulnerability kbbug kbfix kbpubtypekc KB924191

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com