Artigo: 961051 - Última revisão: domingo, 14 de Dezembro de 2008 - Revisão: 3.3

Aviso de segurança da Microsoft: Uma vulnerabilidade no Internet Explorer pode permitir execução remota de código

Vista lado a ladoClique aqui para exibir o artigo traduzido e o artigo original em inglês, lado a lado.
Tradução automáticaVer isenção de responsabilidades para tradução automática
Ver produtos para os quais este artigo se aplica.
Dica do SistemaEste artigo aplica-se a um sistema operativo diferente do que está a utilizar. Foi desactivado o conteúdo do artigo, que pode não ser relevante para si.

Nesta página

Expandir tudo | Reduzir tudo

INTRODUÇÃO

A Microsoft lançou uma aviso sobre este problema para profissionais de TI Go to www.Microsoft.com and search for "Vista resources for IT Professionals" de segurança da Microsoft. O aviso de segurança contém informações adicionais relacionadas com segurança. Para ver o aviso de segurança, visite o seguinte Web site da Microsoft:
http://www.microsoft.com/technet/security/advisory/961051.mspx (http://www.microsoft.com/technet/security/advisory/961051.mspx)
Voltar ao topo

Como contornar

Para contornar este problema, utilize um dos seguintes métodos.

Nota Tem de executar os comandos descritos neste artigo como administrador. No Windows Vista e Windows Server 2008, tem de executar os comandos a partir de uma linha de comandos elevada. Para abrir uma linha de comandos elevada, siga estes passos:
  1. Clique em Iniciar , escreva cmd na caixa de procura e, em seguida, prima ENTER.
  2. Na lista de resultados, clique com o botão direito do rato em cmd e, em seguida, clique em Executar como administrador .
Voltar ao topo

Método 1: Utilizar uma lista de controlo sistema acesso (SACL) para desactivar OLEDB32.dll para menos de aplicações

Esta solução alternativa é semelhante a "utilizar SACL, System Access Control List entradas para desactivar OLEDB32.dll" como descrito neste artigo. Esta solução é mais selectiva sobre as aplicações que são bloqueadas acedam OLEDB32.DLL. Internet Explorer ainda está bloqueado. No entanto, a maioria das outras aplicações não são. Isto tem a vantagem de protecção do Internet Explorer de ataque. No entanto, ainda permite outras aplicações que dependem OLEDB32.DLL funcione correctamente.

Para fornecer este tipo de protecção selectiva, esta solução alternativa depende do facto do Internet Explorer é executado com o modo protegido activada por predefinição. Isto significa que o processo iexplore.exe é executado num nível baixo integridade. Para obter mais informações sobre o que significa e como isto funciona, visite a seguinte página Web da Microsoft:
http://msdn.microsoft.com/en-us/library/bb250462.aspx (http://msdn.microsoft.com/en-us/library/bb250462.aspx)
O mecanismo de integridade torna possível a processos de bloco de escrever a objectos seguros, tais como ficheiros que tenham um nível superior de integridade. Isto acontece, aplicando uma entrada de nível de integridade especiais SACL para um objecto.

Nota Também é possível bloquear um processo ser capaz de ler ou executar objectos passível de ser protegidos de um nível superior de integridade.

Como utilizar esta solução alternativa

notas
  • Esta solução alternativa aplica-se apenas ao Windows Vista e versões posteriores do Windows.
  • Para utilizar esta solução alternativa, Internet Explorer tem de ter com o modo protegido activada. Isto requer que o modo protegido e controlo de conta de utilizador (UAC) estão activados. Esta é a predefinição. Para determinar se o modo protegido está activado, examine a barra de estado do Internet Explorer.
Para utilizar esta solução alternativa, siga estes passos:
  1. Guarde o seguinte texto para uma pasta temporária:
    • sistemas de 32 bits
      Guardar o seguinte texto num ficheiro de texto denominado "BlockAccess_x86.inf": 
      [Unicode]
Unicode=yes
[Version]
signature="$CHICAGO$"
Revision=1
[File Security]
"%ProgramFiles%\Common Files\System\Ole DB\oledb32.dll",2,"S:(ML;;NWNRNX;;;ME)"
    • sistemas de 64 bits
      Guardar o seguinte texto num ficheiro de texto denominado "BlockAccess_x86.inf": 
       [Unicode]
Unicode=yes
[Version]
signature="$CHICAGO$"
Revision=1
[File Security]
"%ProgramFiles%\Common Files\System\Ole DB\oledb32.dll",2,"S:(ML;;NWNRNX;;;ME)"
      guardar o seguinte texto num ficheiro de texto denominado "BlockAccess_x64.inf": 
       [Unicode]
Unicode=yes
[Version]
signature="$CHICAGO$"
Revision=1
[File Security]
"%ProgramFiles%\Common Files\System\Ole DB\oledb32.dll",2,"S:(ML;;NWNRNX;;;ME)"
  2. Abra uma linha de comandos de administrador elevada na pasta temporária.
  3. Na linha de comandos, escreva o seguinte comando e, em seguida, prima ENTER:
    SecEdit/configurar/db BlockAccess.sdb/cfg < ficheiro inf >
  4. Depois de concluído o comando, deverá receber uma mensagem semelhante à seguinte:
    A tarefa foi concluída com êxito.
    Consulte o ficheiro % windir%\security\logs\scesrv.log para obter informações detalhadas.

A validar esta solução alternativa

Pode utilizar o comando icacls para determinar se a solução foi aplicada. Para o fazer, utilize um dos seguintes procedimentos:
  • sistema operativo para a 32 bits
    Na linha de comandos, escreva o seguinte comando e, em seguida, prima ENTER:
    icacls "%ProgramFiles%\Common Program DB\oledb32.dll"
  • sistema operativo para um 64 bits
    Na linha de comandos, escreva os seguintes comandos e, em seguida, prima ENTER:
    icacls "%ProgramFiles%\Common Program DB\oledb32.dll"

    icacls "% ProgramFiles (x 86) %\Common Program DB\oledb32.dll",2,"S:(ML;;NWNRNX;;;ME)"
Sempre que executar o comando icacls , procurar a saída para a linha seguinte.
Obrigatório Label\Medium Level:(NW,NR,NX) obrigatório
Se a linha estiver presente e inclui o NX NR e valores, a solução foi aplicada com êxito. No entanto, se a linha ou está em falta ou se falta um dos valores NR ou NX, a solução alternativa não foi com êxito liquidada.

O efeito desta solução alternativa

Esta solução alternativa afecta apenas as aplicações de ADO/OLE DB executado no Internet Explorer. Não é comum. Esta solução alternativa tem efeito mínimo porque todos os outros processos em execução no nível de integridade de média ou superior iriam conseguir carregar e utilizar OLEDB32.dll.

Como anular esta solução alternativa

Para anular esta solução alternativa, siga estes passos:
  1. Guarde o seguinte texto para uma pasta temporária:
    • sistemas de 32 bits
      Guardar o seguinte texto num ficheiro de texto denominado "unBlockAccess_x86.inf": 
      [Unicode]
Unicode=yes
[Version]
signature="$CHICAGO$"
Revision=1
[File Security]
"%ProgramFiles%\Common Files\System\Ole DB\oledb32.dll",2,"S:(ML;;NW;;;ME)"
    • sistemas de 64 bits
      Guardar o seguinte texto num ficheiro de texto denominado "unBlockAccess_x86.inf": 
      [Unicode]
Unicode=yes
[Version]
signature="$CHICAGO$"
Revision=1
[File Security]
"%ProgramFiles%\Common Files\System\Ole DB\oledb32.dll",2,"S:(ML;;NW;;;ME)"
      guardar o seguinte texto num ficheiro de texto com o nome: "unBlockAccess_x64.inf": 
      [Unicode]
Unicode=yes
[Version]
signature="$CHICAGO$"
Revision=1
[File Security]
"%ProgramFiles%\Common Files\System\Ole DB\oledb32.dll",2,"S:(ML;;NW;;;ME)"
  2. Abra uma linha de comandos de administrador elevada na pasta temporária.
  3. Na linha de comandos, escreva o seguinte comando e, em seguida, prima ENTER:
    SecEdit/configurar/db UnblockAccess.sdb/cfg < ficheiro inf >
  4. Depois de concluído o comando, deverá receber uma mensagem semelhante à seguinte:
    A tarefa foi concluída com êxito.
    Consulte o ficheiro % windir%\security\logs\scesrv.log para obter informações detalhadas.
Utilize o comando icacls para verificar se a solução foi removida. Em seguida, pode eliminar com segurança os ficheiros UnblockAccess.sdb e UnblockAccess.inf. Consulte a secção "Como validar esta solução alternativa" de "Método 1" para obter mais informações sobre como utilizar o comando icacls para verificar se a solução foi removida.
Voltar ao topo

Método 2: Desactivar a funcionalidade "Posição de linha" OLEDB32.dll

importante Esta secção, método ou tarefa contém passos que indicam como modificar o registo. No entanto, poderão ocorrer problemas graves se modificar o registo de forma incorrecta. Por conseguinte, certifique-se de que segue estes passos cuidadosamente. Criar uma para protecção adicional, cópia de segurança do registo antes de o modificar. Em seguida, pode restaurar o registo se ocorrer um problema. Para obter mais informações sobre como efectuar uma cópia de segurança e restaurar o registo, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
322756  (http://support.microsoft.com/kb/322756/ ) Como efectuar uma cópia de segurança e restaurar o registo no Windows
Para desactivar a funcionalidade "Posição de linha" OLEDB32.dll, elimine a seguinte subchave de registo a posição da linha:
HKEY_CLASSES_ROOT\CLSID\{2048EEE6-7FA2-11D0-9E6A-00A0C9138C29}

O efeito de desactivar a funcionalidade "Posição de linha" OLEDB32.dll

Todas as aplicações ADO que utilizam a propriedade RowPosition e informação relacionada são afectadas. Todas as aplicações OLE DB que utilizam o OLE DB linha posição biblioteca são afectadas. MSHTML é afectado.

Como anular esta solução alternativa

Utilize o seguinte ficheiro de registo para restaurar a subchave do registo a posição da linha: 
Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOT\CLSID\{2048EEE6-7FA2-11D0-9E6A-00A0C9138C29}]
@="Microsoft OLE DB Row Position Library"
[HKEY_CLASSES_ROOT\CLSID\{2048EEE6-7FA2-11D0-9E6A-00A0C9138C29}\InprocServer32]
@="C:\\Program Files\\Common Files\\System\\Ole DB\\oledb32.dll"
"ThreadingModel"="Both"
[HKEY_CLASSES_ROOT\CLSID\{2048EEE6-7FA2-11D0-9E6A-00A0C9138C29}\ProgID]
@="RowPosition.RowPosition.1"
[HKEY_CLASSES_ROOT\CLSID\{2048EEE6-7FA2-11D0-9E6A-00A0C9138C29}\VersionIndependentProgID]
@="RowPosition.RowPosition"
Voltar ao topo

Método 3: Desregistar OLEDB32.dll

Para anular o registo OLEDB32.dll, utilize um dos seguintes procedimentos.

Nota Tem de executar os comandos como administrador.
  • para versões suportadas do Windows 2000, Windows XP, Windows Server 2003, Windows Vista e Windows Server 2008 para sistemas de 32 bits
    Na linha de comandos, escreva o seguinte comando e, em seguida, prima ENTER:
    Regsvr32.exe/u "Program Files\Common Files\System\Ole DB\oledb32.dll"
  • para versões suportadas do Windows XP Professional x 64 Edition Windows Server 2003 x 64 Edition, Windows Vista x 64 Edition, Windows Server 2008 para x 64-baseado sistemas e Windows Server 2008 para sistemas baseados em Itanium
    Na linha de comandos, escreva os seguintes comandos e, em seguida, prima ENTER:
    Regsvr32.exe/u "Program Files\Common Files\System\Ole DB\oledb32.dll"

    Regsvr32.exe/u "Program Files (x 86) \Common Files\System\Ole DB\oledb32.dll"

O efeito de anular o registo OLEDB32.dll

As aplicações que dependam do acesso a dados OLE DB não funcionarão.

Como anular esta solução alternativa

Para anular esta solução alternativa, utilize um dos seguintes procedimentos.

Nota Tem de executar os comandos como administrador.
  • para versões suportadas do Windows 2000, Windows XP, Windows Server 2003, Windows Vista e Windows Server 2008 para sistemas de 32 bits
    Na linha de comandos, escreva o seguinte comando e, em seguida, prima ENTER:
    regsvr32.exe "Program Files\Common Files\System\Ole DB\oledb32.dll"
  • para versões suportadas do Windows XP Professional x 64 Edition Windows Server 2003 x 64 Edition, Windows Vista x 64 Edition, Windows Server 2008 para x 64-baseado sistemas e Windows Server 2008 para sistemas baseados em Itanium
    Na linha de comandos, escreva os seguintes comandos e, em seguida, prima ENTER:
    Regsvr32.exe "Program Files\Common Files\System\Ole DB\oledb32.dll"

    Regsvr32.exe "Program Files (x 86) \Common Files\System\Ole DB\oledb32.dll"
Voltar ao topo

Método 4: Utilizar entradas SACL, System Access Control List para desactivar OLEDB32.dll

Pode utilizar entradas SACL, System Access Control List para desactivar OLEDB32.dll. Para o fazer, utilize um dos seguintes procedimentos.

Nota Tem de executar os comandos como administrador.
  • para versões suportadas do Windows 2000, Windows XP e Windows Server 2003
    Na linha de comandos, escreva o seguinte comando e, em seguida, prima ENTER:
    cacls "Program Files\Common Files\System\Ole DB\oledb32.dll"/E/P everyone: N
  • para versões suportadas do Windows XP Professional x 64 Edition, Windows Server 2003 x 64 Edition e Windows Server 2003 para sistemas baseados em Itanium
    Na linha de comandos, escreva os seguintes comandos e, em seguida, prima ENTER:
    cacls "Program Files\Common Files\System\Ole DB\oledb32.dll"/E/P everyone: N

    cacls "Program Files (x 86) \Common Files\System\Ole DB\oledb32.dll"/E/P everyone: N
  • para versões suportadas do Windows Vista e Windows Server 2008 para sistemas de 32 bits
    Na linha de comandos, escreva os seguintes comandos e, em seguida, prima ENTER:
    takeown/f "Program Files\Common Files\System\Ole DB\oledb32.dll"

    icacls "Program Files\Common Files\System\Ole DB\oledb32.dll"/save %TEMP%\oledb32.32.dll.TXT

    icacls "Program Files\Common Files\System\Ole DB\oledb32.dll"/deny everyone:(F)
  • para versões suportadas do Windows Vista x 64 Edition, Windows Server 2008 para sistemas baseados em 64, x e Windows Server 2008 para sistemas baseados em Itanium
    Na linha de comandos, escreva os seguintes comandos e, em seguida, prima ENTER:
    takeown/f "Program Files\Common Files\System\Ole DB\oledb32.dll"

    icacls "Program Files\Common Files\System\Ole DB\oledb32.dll"/save %TEMP%\oledb32.32.dll.TXT

    icacls "Program Files\Common Files\System\Ole DB\oledb32.dll"/deny everyone:(F)

    TAKEOWN/f "Program Files (x 86) \Common"

    icacls "Program Files (x 86) \Common Files\System\Ole DB\oledb32.dll"/save %TEMP%\oledb32.64.dll.TXT

    icacls "Program Files (x 86) \Common Files\System\Ole DB\oledb32.dll"/deny everyone:(F)

O efeito de anular o registo OLEDB32.dll

As aplicações que dependam do acesso a dados OLE DB não funcionarão.

Como anular esta solução alternativa

Para anular esta solução alternativa, utilize um dos seguintes procedimentos:

Nota Tem de executar os comandos como administrador.
  • para versões suportadas do Windows 2000, Windows XP e Windows Server 2003
    Na linha de comandos, escreva o seguinte comando e, em seguida, prima ENTER:
    cacls "Program Files\Common Files\System\Ole DB\oledb32.dll"/E/R todos
  • para versões suportadas do Windows XP Professional x 64 Edition, Windows Server 2003 x 64 Edition e Windows Server 2003 para sistemas baseados em Itanium
    Na linha de comandos, escreva os seguintes comandos e, em seguida, prima ENTER:
    cacls "Program Files\Common Files\System\Ole DB\oledb32.dll"/E/R todos

    cacls "Program Files (x 86) \Common Files\System\Ole DB\oledb32.dll"/E/R todos
  • para versões suportadas do Windows Vista e Windows Server 2008 para sistemas de 32 bits
    Na linha de comandos, escreva o seguinte comando e, em seguida, prima ENTER:
    icacls "Program Files\Common Files\System\Ole DB" /restore %TEMP%\oledb32.32.dll.TXT
  • para versões suportadas do Windows Vista x 64 Edition, Windows Server 2008 para sistemas baseados em 64, x e Windows Server 2008 para sistemas baseados em Itanium
    Na linha de comandos, escreva os seguintes comandos e, em seguida, prima ENTER:
    icacls "Program Files\Common Files\System\Ole DB" /restore %TEMP%\oledb32.32.dll.TXT

    icacls "Program Files (x 86) \Common Files\System\Ole DB" /restore %TEMP%\oledb32.64.dll.TXT
Voltar ao topo

Como determinar se está a executar um 32-bit ou uma edição de 64 bits do Windows

Se não tiver a certeza que versão do Windows que está a utilizar ou se é uma versão de 32 bits ou a versão de 64 bits, abrir as informações de sistema (Msinfo32.exe) e reveja o valor indicado para Tipo do sistema . Para o fazer, siga estes passos:
  1. Clique em Iniciar e, em seguida, clique em Executar ou clique em Iniciar procura .
  2. Escreva msinfo32.exe e, em seguida, prima ENTER.
  3. Em Informações de sistema , reveja o valor para o Tipo do sistema .
    • Para edições de 32 bits do Windows, o valor de tipo do sistema é x 86-based PC .
    • Para edições de 64 bits do Windows, o valor de tipo do sistema é x 64-based PC .
Para obter mais informações sobre como determinar se está a executar uma edição de 32 bits ou 64 bits do Windows, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
827218  (http://support.microsoft.com/kb/827218/ ) Como determinar se o computador está a utilizar uma versão de 32 bits ou uma versão de 64 bits do sistema operativo Windows
Voltar ao topo
A informação contida neste artigo aplica-se a:
  • Windows Internet Explorer 7
  • Windows Internet Explorer 7 for Windows XP
  • Windows Internet Explorer 7 for Windows Server 2003
  • Windows Internet Explorer 7 for Windows Server 2003 IA64
  • Windows Internet Explorer 7 in Windows Vista
  • Windows Internet Explorer 8
  • Microsoft Internet Explorer 6.0 Service Pack 2
  • Microsoft Internet Explorer 6.0 Service Pack 1
  • Microsoft Internet Explorer 6.0
  • Microsoft Internet Explorer 5.01 Service Pack 4
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Windows Vista Service Pack 1 nas seguintes plataformas
    • Windows Vista Business
    • Windows Vista Enterprise
    • Windows Vista Home Basic
    • Windows Vista Home Premium
    • Windows Vista Starter
    • Windows Vista Ultimate
    • Windows Vista Enterprise 64-bit edition
    • Windows Vista Home Basic 64-bit edition
    • Windows Vista Home Premium 64-bit edition
    • Windows Vista Ultimate 64-bit edition
    • Windows Vista Business 64-bit edition
  • Windows Vista Business
  • Windows Vista Enterprise
  • Windows Vista Home Basic
  • Windows Vista Home Premium
  • Windows Vista Starter
  • Windows Vista Ultimate
  • Windows Vista Enterprise 64-bit edition
  • Windows Vista Home Basic 64-bit edition
  • Windows Vista Home Premium 64-bit edition
  • Windows Vista Ultimate 64-bit edition
  • Windows Vista Business 64-bit edition
  • Microsoft Windows Server 2003 Service Pack 1 nas seguintes plataformas
    • Microsoft Windows Server 2003 Standard Edition
    • Microsoft Windows Server 2003 Enterprise Edition
    • Microsoft Windows Server 2003 Datacenter Edition
    • Microsoft Windows Server 2003 Web Edition
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows Server 2003 Service Pack 2 nas seguintes plataformas
    • Microsoft Windows Server 2003 Standard Edition
    • Microsoft Windows Server 2003 Enterprise Edition
    • Microsoft Windows Server 2003 Datacenter Edition
    • Microsoft Windows Server 2003 Web Edition
    • Microsoft Windows Server 2003, Datacenter x64 Edition
    • Microsoft Windows Server 2003, Enterprise x64 Edition
    • Microsoft Windows Server 2003, Standard x64 Edition
    • Microsoft Windows XP Professional x64 Edition
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows XP Service Pack 2 nas seguintes plataformas
    • Microsoft Windows XP Home Edition
    • Microsoft Windows XP Professional Edition
  • Microsoft Windows XP Service Pack 3 nas seguintes plataformas
    • Microsoft Windows XP Home Edition
    • Microsoft Windows XP Professional Edition
Voltar ao topo
Palavras-chave: 
kbmt kbregistry kbexpertiseinter kbinfo kbsecadvisory kbsecurity kbsecvulnerability kbsurveynew KB961051 KbMtpt
Voltar ao topo
Tradução automáticaTradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática? erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 961051  (http://support.microsoft.com/kb/961051/en-us/ )
Voltar ao topo