MS09-046: Vulnerabilidade no controlo ActiveX do Componente de Edição de DHTML pode permitir a execução remota de código

A Microsoft publicou o boletim de segurança MS09-046. Para ver o boletim de segurança completo, visite um dos seguintes Web sites da Microsoft:

• Utilizadores domésticos:
  http://www.microsoft.com/portugal/protect/computer/updates/bulletins/200909.mspx (http://www.microsoft.com/portugal/protect/computer/updates/bulletins/200909.mspx)
  Ignorar os detalhes: Transfira as actualizações para o computador doméstico ou portátil a partir do Web site Microsoft Update agora:
  http://update.microsoft.com/microsoftupdate (http://update.microsoft.com/microsoftupdate)
• Profissionais de TI:
  http://www.microsoft.com/portugal/technet/seguranca/boletins/MS09-046.mspx (http://www.microsoft.com/portugal/technet/seguranca/boletins/MS09-046.mspx)

Como obter ajuda e suporte para esta actualização de segurança

Os utilizadores domésticos dispõem de suporte gratuito através do número 1-866-PCSAFETY nos Estados Unidos e no Canadá ou contactando a subsidiária local da Microsoft. Para mais informações sobre como contactar a subsidiária local da Microsoft relativamente a problemas de suporte de actualizações de segurança, visite o seguinte Web site de Suporte Internacional: Os clientes da América do Norte também podem obter acesso imediato e ilimitado ao suporte gratuito por correio electrónico ou ao suporte individual ilimitado por chat, visitando o seguinte Web site da Microsoft: No caso de clientes empresariais, o suporte para actualizações de segurança está disponível através dos contactos de suporte normais.

Mais informações sobre esta actualização de segurança

Problemas conhecidos relacionados com esta actualização de segurança

Esta actualização de segurança adiciona uma nova versão do Controlo do Componente de Edição de DHTML que injecta os elementos META que se seguem no documento que contém o Controlo do Componente de Edição de DHTML para cada operação que se destina aos HTML dos documentos. A propriedade SourceCodePreservation é obsoleta no Controlo do Componente de Edição de DHTML. Tal poderá danificar as aplicações existentes que são compatíveis com a codificação adicional do carácter definido como Unicode. Um método para resolver este problema é identificar o elemento META no fluxo de saída e substituir a especificação do conjunto de caracteres pela codificação pretendida.

Como parte do esforço de redução da superfície de ataque, o código que forneceu preservação parcial da formatação de marcação foi removido do controlo de DHTML. O novo controlo de DHTML envia os dados directamente para o MSHTML e devolve a exportação HTML. O MSHTML e o controlo de DHTML não preservam totalmente a formatação. O MSHTML disponibiliza a apresentação visual de HTML "normalizados" adicionando os elementos em falta. Estas alterações relativas à normalização incluem adicionar a tag de fecho </td>, adicionar as tags <html> e <head> e posicionar a tag <style> e os elementos da tag <script> dentro do elemento <head>. O controlo de DHTML analisa o HTML num modelo de documento e, em seguida, recria-o a partir do modelo quando o utilizador guarda o ficheiro. A formatação adicional pode ser conseguida utilizando a ferramenta HTML Tidy na exportação a partir do controlo de DHTML. Para mais informações sobre a ferramenta HTML Tidy, visite o seguinte Web site da Microsoft: A Microsoft fornece informações sobre contactos de outros fabricantes para o ajudar na obtenção de suporte técnico. Estas informações de contacto poderão ser alteradas sem aviso prévio. A Microsoft não garante o rigor das informações sobre o contacto destes fabricantes.

A versão em inglês (Estados Unidos) desta actualização de software instala ficheiros que têm os atributos listados nas tabelas seguintes. As datas e horas destes ficheiros são indicadas no formato de Hora Universal Coordenada (UTC). As datas e horas destes ficheiros são apresentadas no computador local com a hora local e com a compensação da hora de Verão (DST) actual. Além disso, as datas e horas podem ser alteradas quando são executadas determinadas operações nos ficheiros.

Informação sobre ficheiros do Windows 2000

Para todas as edições suportadas do Microsoft Windows 2000 Service Pack 4

Informações sobre ficheiros do Windows XP e do Windows Server 2003

• Os ficheiros aplicáveis a uma especificação (RTM, SPn) e ramo de serviço (QFE, GDR) específicos estão anotados nas colunas "Requisito SP" e "Ramo de serviço".
• Os ramos de serviço GDR contêm apenas as correcções amplamente distribuídas para resolver problemas críticos generalizados. Os ramos de serviço QFE contêm outras correcções além das correcções amplamente distribuídas.
• Além dos ficheiros listados nestas tabelas, esta actualização de software também instala um ficheiro de catálogo de segurança (KBnúmero.cat) associado que está assinado com uma assinatura digital da Microsoft.

Para todas as versões baseadas em x86 suportadas do Windows XP

Para todas as versões baseadas em x64 suportadas do Windows Server 2003 e do Windows XP Professional x64 Edition

Para todas as versões baseadas em x86 suportadas do Windows Server 2003

Para todas as versões baseadas em IA-64 suportadas do Windows Server 2003