ID do artigo: 961051 - Última revisão: domingo, 14 de dezembro de 2008 - Revisão: 3.3

Comunicado de segurança da Microsoft: Uma vulnerabilidade no Internet Explorer pode permitir a execução remota de código

Vista lado a ladoClique aqui para exibir o artigo traduzido e o artigo original em inglês, lado a lado.
Tradução automáticaExibir Aviso de Isenção de Tradução Automática
Exibir os produtos aos quais esse artigo se aplica.
Dica do SistemaEste artigo aplica-se a um sistema operativo diferente do que está a utilizar. Foi desactivado o conteúdo do artigo, que pode não ser relevante para si.

Nesta página

Expandir tudo | Recolher tudo

INTRODUÇÃO

A Microsoft lançou um comunicado de segurança sobre esse problema para profissionais de TI. O security advisory contém informações adicionais relacionadas à segurança. Para exibir o comunicado de segurança, visite o seguinte site da Microsoft:
http://www.microsoft.com/technet/security/advisory/961051.mspx (http://www.microsoft.com/technet/security/advisory/961051.mspx)
Voltar para o início

Como Contornar

Para solucionar esse problema, use qualquer um dos seguintes métodos.

Observação Você deve executar os comandos descritos neste artigo como um administrador. No Windows Vista e Windows Server 2008, você deve executar os comandos em um prompt de comando elevado. Para abrir um prompt de comando elevado, execute essas etapas:
  1. Clique em Iniciar , digite cmd na caixa de pesquisa e, em seguida, pressione ENTER.
  2. Na lista de resultados, clique com o botão direito do mouse em cmd e, em seguida, clique em Executar como administrador .
Voltar para o início

Método 1: Usar um SACL (lista de controle de acesso do sistema) para desativar OLEDB32.dll para aplicativos menos

Essa solução alternativa é semelhante a "usar SACL entradas para desativar OLEDB32.dll" solução alternativa descrita neste artigo. Essa solução é mais seletiva sobre quais aplicativos são impedidos de acessar OLEDB32.DLL. Internet Explorer ainda está bloqueada. No entanto, não a maioria dos outros aplicativos estão. Isso tem o benefício do Internet Explorer a proteção contra ataques. No entanto, ele permite ainda que outros aplicativos que dependem de OLEDB32.DLL para funcionar corretamente.

Para fornecer esse tipo de proteção seletiva, essa solução se baseia no fato de que executa o Internet Explorer com modo protegido ativado por padrão. Isso significa que o processo iexplore.exe é executado em um nível de baixa integridade. Para obter mais informações sobre o que isso significa e como isso funciona, visite o seguinte site:
http://msdn.microsoft.com/en-us/library/bb250462.aspx (http://msdn.microsoft.com/en-us/library/bb250462.aspx)
O mecanismo de integridade torna possível para processos do bloco de gravar a objetos protegidos, como arquivos que têm um nível de integridade mais alto. Ele faz isso aplicando uma entrada de nível de integridade especiais a SACL de um objeto.

Observação Também é possível bloquear um processo seja capaz de ler ou executar objetos de segurança em um nível de integridade mais alto.

Como usar essa solução alternativa

anotações
  • Esta solução alternativa se aplica somente ao Windows Vista e versões posteriores do Windows.
  • Para usar essa solução alternativa, o Internet Explorer deve ser executado com o modo protegido ativado. Isso requer que o modo protegido e o UAC (controle de conta de usuário) estão habilitados. Esta é a configuração padrão. Para determinar se o modo protegido está habilitado, examine na barra de status do Internet Explorer.
Para usar essa solução alternativa, execute estas etapas:
  1. Salve o seguinte texto em uma pasta temporária:
    • sistemas de 32 bits
      Salvar o texto a seguir em um arquivo de texto chamado "BlockAccess_x86.inf": 
      [Unicode]
Unicode=yes
[Version]
signature="$CHICAGO$"
Revision=1
[File Security]
"%ProgramFiles%\Common Files\System\Ole DB\oledb32.dll",2,"S:(ML;;NWNRNX;;;ME)"
    • sistemas de 64 bits
      Salvar o texto a seguir em um arquivo de texto chamado "BlockAccess_x86.inf": 
       [Unicode]
Unicode=yes
[Version]
signature="$CHICAGO$"
Revision=1
[File Security]
"%ProgramFiles%\Common Files\System\Ole DB\oledb32.dll",2,"S:(ML;;NWNRNX;;;ME)"
      salvar o texto a seguir para um arquivo de texto chamado "BlockAccess_x64.inf": 
       [Unicode]
Unicode=yes
[Version]
signature="$CHICAGO$"
Revision=1
[File Security]
"%ProgramFiles%\Common Files\System\Ole DB\oledb32.dll",2,"S:(ML;;NWNRNX;;;ME)"
  2. Abra um prompt de comando de administrador elevado na pasta temporária.
  3. No prompt de comando, digite o seguinte comando e pressione ENTER:
    SecEdit/configurar/db BlockAccess.sdb/cfg < arquivo inf >
  4. Depois que o comando termina, você deverá receber uma mensagem semelhante à seguinte:
    A tarefa foi concluída com êxito.
    Consulte o arquivo %windir%\Security\Logs\Scesrv.log para obter informações detalhadas.

Como validar essa solução alternativa

Você pode usar o comando icacls para determinar se a solução alternativa foi aplicada. Para fazer isso, use um destes procedimentos:
  • sistema operacional para um 32 bits
    No prompt de comando, digite o seguinte comando e pressione ENTER:
    icacls "%ProgramFiles%\Common Files\System\Ole DB\oledb32.dll"
  • sistema operacional para um 64 bits
    No prompt de comando, digite os seguintes comandos e pressione ENTER:
    icacls "%ProgramFiles%\Common Files\System\Ole DB\oledb32.dll"

    icacls "% ProgramFiles (x 86) %\Common Files\System\Ole DB\oledb32.dll",2,"S:(ML;;NWNRNX;;;ME)"
Toda vez que você executar o comando icacls , pesquisar a saída para a linha seguinte.
Obrigatório Level:(NW,NR,NX) obrigatório Label\Medium
Se a linha estiver presente e inclui valores o NR e NX, a solução alternativa foi aplicada com êxito. No entanto, se tanto a linha estiver falta, ou se um dos valores NR ou NX está faltando, a solução alternativa foi não aplicada com êxito.

O efeito dessa solução alternativa

Esta solução alternativa afeta somente os aplicativos de ADO/OLE DB que são executados no Internet Explorer. Isso não é comum. Esta solução alternativa tem efeito mínimo porque todos os outros processos que estão em execução no nível de integridade médio ou superior ainda será capazes de carregar e usar OLEDB32.dll.

Como desfazer essa solução alternativa

Para desfazer a solução alternativa, execute estas etapas:
  1. Salve o seguinte texto em uma pasta temporária:
    • sistemas de 32 bits
      Salvar o texto a seguir em um arquivo de texto chamado "unBlockAccess_x86.inf": 
      [Unicode]
Unicode=yes
[Version]
signature="$CHICAGO$"
Revision=1
[File Security]
"%ProgramFiles%\Common Files\System\Ole DB\oledb32.dll",2,"S:(ML;;NW;;;ME)"
    • sistemas de 64 bits
      Salvar o texto a seguir em um arquivo de texto chamado "unBlockAccess_x86.inf": 
      [Unicode]
Unicode=yes
[Version]
signature="$CHICAGO$"
Revision=1
[File Security]
"%ProgramFiles%\Common Files\System\Ole DB\oledb32.dll",2,"S:(ML;;NW;;;ME)"
      salvar o texto a seguir para um arquivo de texto é denominado: "unBlockAccess_x64.inf": 
      [Unicode]
Unicode=yes
[Version]
signature="$CHICAGO$"
Revision=1
[File Security]
"%ProgramFiles%\Common Files\System\Ole DB\oledb32.dll",2,"S:(ML;;NW;;;ME)"
  2. Abra um prompt de comando de administrador elevado na pasta temporária.
  3. No prompt de comando, digite o seguinte comando e pressione ENTER:
    SecEdit/configurar/db UnblockAccess.sdb/cfg < arquivo inf >
  4. Depois que o comando termina, você deverá receber uma mensagem semelhante à seguinte:
    A tarefa foi concluída com êxito.
    Consulte o arquivo %windir%\Security\Logs\Scesrv.log para obter informações detalhadas.
Use o comando icacls para verificar que a solução alternativa foi removida. Em seguida, você pode excluir com segurança os arquivos UnblockAccess.sdb e UnblockAccess.inf. Consulte a seção "Como validar essa solução alternativa" de "Método 1" para obter mais informações sobre como usar o comando icacls para verificar se a solução alternativa foi removida.
Voltar para o início

Método 2: Desativar a funcionalidade "Posição de linha" do OLEDB32.dll

importante Esta seção, método ou tarefa contém etapas que informam sobre como modificar o registro. No entanto, sérios problemas poderão ocorrer se você modificar o registro incorretamente. Por isso, certifique-se que você execute essas etapas cuidadosamente. Para proteção adicional, fazer backup do registro antes de modificá-lo. Em seguida, você pode restaurar o registro se ocorrer um problema. Para obter mais informações sobre como fazer backup e restaurar o registro, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
322756  (http://support.microsoft.com/kb/322756/ ) Como fazer backup e restaurar o registro no Windows
Para desabilitar a funcionalidade "Posição de linha" do OLEDB32.dll, exclua a seguinte subchave do Registro posição de linha:
HKEY_CLASSES_ROOT\CLSID\{2048EEE6-7FA2-11D0-9E6A-00A0C9138C29}

O efeito de desabilitar a funcionalidade "Posição de linha" de OLEDB32.dll

Todos os aplicativos ADO que usar a propriedade RowPosition e informações relacionadas são afetados. Todos os aplicativos OLE que use o OLE DB linha posição biblioteca são afetados. MSHTML é afetado.

Como desfazer essa solução alternativa

Usar o arquivo do registro seguinte para restaurar a subchave de registro de posição de linha: 
Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOT\CLSID\{2048EEE6-7FA2-11D0-9E6A-00A0C9138C29}]
@="Microsoft OLE DB Row Position Library"
[HKEY_CLASSES_ROOT\CLSID\{2048EEE6-7FA2-11D0-9E6A-00A0C9138C29}\InprocServer32]
@="C:\\Program Files\\Common Files\\System\\Ole DB\\oledb32.dll"
"ThreadingModel"="Both"
[HKEY_CLASSES_ROOT\CLSID\{2048EEE6-7FA2-11D0-9E6A-00A0C9138C29}\ProgID]
@="RowPosition.RowPosition.1"
[HKEY_CLASSES_ROOT\CLSID\{2048EEE6-7FA2-11D0-9E6A-00A0C9138C29}\VersionIndependentProgID]
@="RowPosition.RowPosition"
Voltar para o início

Método 3: Cancelar registro OLEDB32.dll

Para cancelar o registro OLEDB32.dll, use um dos seguintes procedimentos.

Observação Você deve executar os comandos como administrador.
  • para as versões suportadas do Windows 2000, Windows XP, Windows Server 2003, Windows Vista e Windows Server 2008 para sistemas de 32 bits
    No prompt de comando, digite o seguinte comando e pressione ENTER:
    Regsvr32.exe/u "Program Files\Common Files\System\Ole DB\oledb32.dll"
  • para versões com suporte do Windows XP Professional x 64 Edition, Windows Server 2003 x 64 Edition, Windows Vista x 64 Edition, Windows Server 2008 para x 64-com base Systems e Windows Server 2008 para sistemas baseados no Itanium
    No prompt de comando, digite os seguintes comandos e pressione ENTER:
    Regsvr32.exe/u "Program Files\Common Files\System\Ole DB\oledb32.dll"

    Regsvr32.exe/u "Arquivos de programa (x 86) \Common Files\System\Ole DB\oledb32.dll"

O efeito de cancelamento do Registro OLEDB32.dll

Aplicativos que dependem de acesso a dados OLE não funcionará.

Como desfazer essa solução alternativa

Para desfazer essa solução alternativa, use um dos seguintes procedimentos.

Observação Você deve executar os comandos como administrador.
  • para as versões suportadas do Windows 2000, Windows XP, Windows Server 2003, Windows Vista e Windows Server 2008 para sistemas de 32 bits
    No prompt de comando, digite o seguinte comando e pressione ENTER:
    regsvr32.exe "Program Files\Common Files\System\Ole DB\oledb32.dll"
  • para versões com suporte do Windows XP Professional x 64 Edition, Windows Server 2003 x 64 Edition, Windows Vista x 64 Edition, Windows Server 2008 para x 64-com base Systems e Windows Server 2008 para sistemas baseados no Itanium
    No prompt de comando, digite os seguintes comandos e pressione ENTER:
    Regsvr32.exe "Program Files\Common Files\System\Ole DB\oledb32.dll"

    Regsvr32.exe "Arquivos de programa (x 86) \Common Files\System\Ole DB\oledb32.dll"
Voltar para o início

Método 4: Usar entradas SACL para desativar OLEDB32.dll

Você pode usar entradas SACL para desativar OLEDB32.dll. Para fazer isso, use um dos procedimentos a seguir.

Observação Você deve executar os comandos como administrador.
  • para as versões suportadas do Windows 2000, Windows XP e Windows Server 2003
    No prompt de comando, digite o seguinte comando e pressione ENTER:
    cacls "Program Files\Common Files\System\Ole DB\oledb32.dll"/E/P everyone: N
  • para versões com suporte do Windows XP Professional x 64 Edition, Windows Server 2003 x 64 Edition e Windows Server 2003 para sistemas baseados no Itanium
    No prompt de comando, digite os seguintes comandos e pressione ENTER:
    cacls "Program Files\Common Files\System\Ole DB\oledb32.dll"/E/P everyone: N

    cacls "arquivos de programa (x 86) \Common Files\System\Ole DB\oledb32.dll"/E/P everyone: N
  • para versões com suporte do Windows Vista e Windows Server 2008 para sistemas de 32 bits
    No prompt de comando, digite os seguintes comandos e pressione ENTER:
    takeown/f "Program Files\Common Files\System\Ole DB\oledb32.dll"

    icacls "Program Files\Common Files\System\Ole DB\oledb32.dll"/save %TEMP%\oledb32.32.dll.TXT

    icacls "Program Files\Common Files\System\Ole DB\oledb32.dll"/deny everyone:(F)
  • para versões com suporte do Windows Vista x 64 Edition, Windows Server 2008 para sistemas com base em 64, x e Windows Server 2008 para sistemas baseados no Itanium
    No prompt de comando, digite os seguintes comandos e pressione ENTER:
    takeown/f "Program Files\Common Files\System\Ole DB\oledb32.dll"

    icacls "Program Files\Common Files\System\Ole DB\oledb32.dll"/save %TEMP%\oledb32.32.dll.TXT

    icacls "Program Files\Common Files\System\Ole DB\oledb32.dll"/deny everyone:(F)

    "Arquivos de programa (x 86) \Common Files\System\Ole DB\oledb32.dll" TAKEOWN/f

    icacls "\Common Files\System\Ole DB\oledb32.dll"/save %TEMP%\oledb32.64.dll.TXT de arquivos de programa (x 86)

    icacls "arquivos de programa (x 86) \Common Files\System\Ole DB\oledb32.dll"/deny everyone:(F)

O efeito de cancelamento do Registro OLEDB32.dll

Aplicativos que dependem de acesso a dados OLE não funcionará.

Como desfazer essa solução alternativa

Para desfazer essa solução alternativa, use um destes procedimentos:

Observação Você deve executar os comandos como administrador.
  • para as versões suportadas do Windows 2000, Windows XP e Windows Server 2003
    No prompt de comando, digite o seguinte comando e pressione ENTER:
    cacls "Program Files\Common Files\System\Ole DB\oledb32.dll"/E/R todos
  • para versões com suporte do Windows XP Professional x 64 Edition, Windows Server 2003 x 64 Edition e Windows Server 2003 para sistemas baseados no Itanium
    No prompt de comando, digite os seguintes comandos e pressione ENTER:
    cacls "Program Files\Common Files\System\Ole DB\oledb32.dll"/E/R todos

    cacls "arquivos de programa (x 86) \Common Files\System\Ole DB\oledb32.dll"/E/R todos
  • para versões com suporte do Windows Vista e Windows Server 2008 para sistemas de 32 bits
    No prompt de comando, digite o seguinte comando e pressione ENTER:
    icacls "Program Files\Common Files\System\Ole DB" /restore %TEMP%\oledb32.32.dll.TXT
  • para versões com suporte do Windows Vista x 64 Edition, Windows Server 2008 para sistemas com base em 64, x e Windows Server 2008 para sistemas baseados no Itanium
    No prompt de comando, digite os seguintes comandos e pressione ENTER:
    icacls "Program Files\Common Files\System\Ole DB" /restore %TEMP%\oledb32.32.dll.TXT

    icacls "Arquivos de programa (x 86) \Common Files\System\Ole DB" /restore %TEMP%\oledb32.64.dll.TXT
Voltar para o início

Como determinar se você está executando uma edição de 64 bits do Windows de 32 bits ou

Se você não estiver certo de qual versão do Windows que você está executando ou se ele é uma versão de 32 bits ou a versão de 64 bits, abra as informações do sistema (Msinfo32.exe) e examine o valor listado para Tipo de sistema . Para fazer isso, execute as seguintes etapas:
  1. Clique em Iniciar e em seguida, clique em Executar ou clique em Iniciar pesquisa .
  2. Digite msinfo32.exe e, em seguida, pressione ENTER.
  3. Em Informações do sistema , reveja o valor para Tipo de sistema .
    • Para edições de 32 bits do Windows, o valor de tipo de sistema é x 86-based PC .
    • Para edições de 64 bits do Windows, o valor de tipo de sistema é x 64-based PC .
Para obter mais informações sobre como determinar se você está executando uma edição 32 bits ou 64 bits do Windows, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
827218  (http://support.microsoft.com/kb/827218/ ) Como determinar se seu computador está executando uma versão de 32 bits ou uma versão de 64 bits do sistema operacional Windows
Voltar para o início
A informação contida neste artigo aplica-se a:
  • Windows Internet Explorer 7
  • Windows Internet Explorer 7 for Windows XP
  • Windows Internet Explorer 7 for Windows Server 2003
  • Windows Internet Explorer 7 for Windows Server 2003 IA64
  • Windows Internet Explorer 7 in Windows Vista
  • Windows Internet Explorer 8
  • Microsoft Internet Explorer 6.0 Service Pack 2
  • Microsoft Internet Explorer 6.0 Service Pack 1
  • Microsoft Internet Explorer 6.0
  • Microsoft Internet Explorer 5.01 Service Pack 4
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Service Pack 1 para Windows Vista nas seguintes plataformas
    • Windows Vista Business
    • Windows Vista Enterprise
    • Windows Vista Home Basic
    • Windows Vista Home Premium
    • Windows Vista Starter
    • Windows Vista Ultimate
    • Windows Vista Enterprise 64-bit edition
    • Windows Vista Home Basic 64-bit edition
    • Windows Vista Home Premium 64-bit edition
    • Windows Vista Ultimate 64-bit edition
    • Windows Vista Business 64-bit edition
  • Windows Vista Business
  • Windows Vista Enterprise
  • Windows Vista Home Basic
  • Windows Vista Home Premium
  • Windows Vista Starter
  • Windows Vista Ultimate
  • Windows Vista Enterprise 64-bit edition
  • Windows Vista Home Basic 64-bit edition
  • Windows Vista Home Premium 64-bit edition
  • Windows Vista Ultimate 64-bit edition
  • Windows Vista Business 64-bit edition
  • Microsoft Windows Server 2003 Service Pack 1 nas seguintes plataformas
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows Server 2003 Service Pack 2 nas seguintes plataformas
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter x64 Edition
    • Microsoft Windows Server 2003, Enterprise x64 Edition
    • Microsoft Windows Server 2003, Standard x64 Edition
    • Microsoft Windows XP Professional x64 Edition
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows XP Service Pack 2 nas seguintes plataformas
    • Microsoft Windows XP Home Edition
    • Microsoft Windows XP Professional
  • Service Pack 3 para Windows XP nas seguintes plataformas
    • Microsoft Windows XP Home Edition
    • Microsoft Windows XP Professional
Voltar para o início
Palavras-chave: 
kbmt kbregistry kbexpertiseinter kbinfo kbsecadvisory kbsecurity kbsecvulnerability kbsurveynew KB961051 KbMtpt
Voltar para o início
Tradução automáticaTradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 961051  (http://support.microsoft.com/kb/961051/en-us/ )
Voltar para o início