Boletim de Segurança
Microsoft Security Bulletin MS02-022 - Crítica
Buffer não verificado no controle de bate-papo do MSN pode levar à execução de código (Q321661)
Publicado: terça-feira, 8 de maio de 2002 | Atualizado: February 28, 2003
Versão: 2.1
Originalmente postado: Maio 08, 2002
Atualizado: February 28th, 2003
Resumo
Quem deve ler este boletim: Todos os clientes que usam o controle Microsoft® MSN Chat, que está disponível para download direto e é fornecido com o MSN Messenger e o Exchange Instant Messenger.
Impacto da vulnerabilidade: Executar código de escolha do invasor
Classificação de gravidade máxima: Crítica
Recomendação: Os clientes que não instalaram as atualizações quando foram lançadas originalmente devem instalar as atualizações atualizadas imediatamente, os clientes que instalaram as atualizações originais devem considerar a instalação das atualizações atualizadas.
Software afetado:
- Controle de bate-papo do Microsoft MSN
- Microsoft MSN Messenger 4.5 e 4.6, que inclui o controle de bate-papo do MSN
- Microsoft Exchange Instant Messenger 4.5 e 4.6, que inclui o controle de bate-papo do MSN
Informações Gerais
Detalhes técnicos
Descrição técnica:
Em 8 de maio de 2002, a Microsoft lançou a versão original deste boletim. Em 11 de junho de 2002, o boletim foi atualizado para anunciar que, embora as correções emitidas em 8 de maio de 2002 tenham resolvido a vulnerabilidade, elas não protegeram em todos os casos contra a reintrodução do controle vulnerável. Como resultado, um novo conjunto de correções está sendo lançado para garantir que os sistemas estejam totalmente protegidos contra a reintrodução do controle vulnerável. Um novo controle MSN Chat, patch atualizado, versão atualizada do MSN Messenger e uma versão atualizada do Exchange Instant Messenger foram disponibilizados. Os clientes que aplicaram qualquer uma das correções lançadas em 8 de maio de 2002 são incentivados a considerar a aplicação das correções atualizadas.
O controle de bate-papo do MSN é um controle ActiveX que permite que grupos de usuários se reúnam em um único local virtual online para participar de mensagens de texto. O controle é oferecido para download como um único controle ActiveX de vários sites do MSN. Além disso, ele está incluído no MSN Messenger desde a versão 4.5 e Exchange Instant Messenger. Embora o controle de bate-papo do MSN esteja incluído nesses produtos, ele não é usado para fornecer funcionalidade de mensagens instantâneas, mas sim para adicionar funcionalidade de bate-papo a esses produtos.
Existe um buffer não verificado em uma das funções que manipula parâmetros de entrada no controle MSN Chat. Uma vulnerabilidade de segurança resulta porque é possível que um usuário mal-intencionado aplique um ataque de saturação de buffer e tente explorar essa falha. Um ataque bem-sucedido pode permitir que o código seja executado no contexto do usuário.
Seria possível que um invasor tentasse explorar essa vulnerabilidade por meio de um site mal-intencionado ou por email HTML. No entanto, o Outlook Express 6.0 e a atualização de segurança de email do Outlook, que está disponível para o Outlook 98 e Outlook 2000, Outlook 2002 e pode frustrar essas tentativas por meio de suas configurações de segurança padrão.
Fatores atenuantes:
- Um ataque bem-sucedido exigiria que o usuário tivesse instalado o controle de bate-papo do MSN, o MSN Messenger ou o Exchange Instant Messenger.
- O controle MSN Chat não é instalado com qualquer versão do Windows ou Internet Explorer por padrão.
- Windows Messenger que acompanha o Windows XP não inclui o controle MSN Chat. Os usuários do Windows XP ficariam vulneráveis somente se tivessem optado por instalar o controle MSN Chat a partir de sites do MSN.
- O vetor de ataque de email HTML é bloqueado pelos seguintes produtos de email da Microsoft: Outlook 98 e Outlook 2000 com a atualização de segurança de email do Outlook, Outlook 2002 e Outlook Express. Isso ocorre porque todos esses produtos abrem emails em HTML na zona Sites Restritos por padrão.
Classificação de gravidade:
| Servidores de Internet | Servidores de Intranet | Sistemas Clientes | |
|---|---|---|---|
| Controle de bate-papo do MSN | Baixo | Baixo | Crítico |
| MSN Mensageiro | Baixo | Baixo | Crítico |
| Troca de mensagens instantâneas | Baixo | Baixo | Crítico |
A avaliação acima é baseada nos tipos de sistemas afetados pela vulnerabilidade, seus padrões de implantação típicos e o efeito que a exploração da vulnerabilidade teria sobre eles. O componente em questão é um aplicativo cliente que não se destina ao uso em servidores.
Identificador de vulnerabilidade:CAN-2002-0155
Versões testadas:
A Microsoft testou o controle MSN Chat, o MSN Messenger 4.5 e 4.6 e o Exchange Instant Messenger para avaliar se eles são afetados por essa vulnerabilidade. As versões anteriores não são mais suportadas e podem ou não ser afetadas por essas vulnerabilidades.
Perguntas frequentes
Por que este boletim foi atualizado?
Em 11 de junho de 2002, atualizamos este boletim para informar aos clientes que as correções lançadas em 8 de maio de 2002 não protegiam totalmente os sistemas contra a reintrodução do controle vulnerável. Especificamente, se o controle vulnerável fosse oferecido para download e um usuário aceitasse o controle, poderia ser possível que um invasor carregasse o controle, mesmo que a atualização tivesse sido aplicada. Essas correções resolveram totalmente e com êxito a vulnerabilidade e não são vulneráveis aos problemas discutidos neste boletim. Atualizamos o boletim para aconselhar os clientes sobre isso e anunciar a disponibilidade de um controle MSN Chat atualizado e um patch atualizado e para incentivar os clientes que aplicaram as correções anteriores a considerar a aplicação das correções atualizadas. Além disso, o trabalho em um MSN Messenger atualizado e Exchange Instant Messenger estão em andamento e esses devem ser postados em breve. Os clientes que aplicaram qualquer uma das correções lançadas em 8 de maio de 2002 devem instalar as correções atualizadas para garantir que seus sistemas estejam totalmente protegidos contra a reintrodução do controle antigo e vulnerável. Os clientes podem aplicar as novas atualizações diretamente: não há necessidade de desinstalar as atualizações anteriores.
Qual é a abrangência da vulnerabilidade?
Esta é uma vulnerabilidade de estouro de buffer. Um intruso que conseguisse explorar esta vulnerabilidade com êxito poderia executar programas no sistema de outro utilizador. Tal programa poderia tomar qualquer ação que o proprietário do sistema pudesse tomar, como adicionar, alterar ou excluir quaisquer dados ou informações de configuração. Por exemplo, o código pode diminuir as configurações de segurança no navegador ou gravar um arquivo no disco rígido.
O componente afetado não é fornecido por padrão com qualquer versão do Windows ou IE. Os clientes que estão usando os produtos de email mais recentes da Microsoft, o Outlook 2002 e o Outlook Express 6.0, são protegidos por padrão contra ataques de email em HTML. Os clientes do Outlook 98 e do Outlook 2000 que aplicaram a Atualização de Segurança de Email do Outlook também estão protegidos por padrão contra ataques de email em HTML. Como o código seria executado como o usuário e não como o sistema operacional, quaisquer limitações de segurança na conta do usuário também seriam aplicáveis a qualquer código executado explorando com êxito essa vulnerabilidade. Em ambientes onde as contas de usuário são restritas, como ambientes corporativos, as ações que o código de um invasor poderia tomar seriam limitadas por essas restrições.
O que causa a vulnerabilidade?
A vulnerabilidade resulta de um buffer não verificado no código que manipula a entrada de um parâmetro no controle MSN Chat. Ao invocar esse parâmetro de uma maneira específica, um invasor pode estourar o buffer e obter a capacidade de executar código no contexto de segurança do usuário.
O que é o MSN Chat?
O MSN Chat é um serviço online oferecido pelo MSN que permite que os usuários conversem entre si em "salas de bate-papo" virtuais. Essas salas podem permitir que vários usuários se reúnam em um único local virtual e troquem mensagens baseadas em texto.
O MSN Chat funciona por usuários que executam um programa de bate-papo de cliente local, neste caso o controle MSN Chat e, em seguida, fazendo logon em um servidor de bate-papo central. Uma vez conectado ao servidor de bate-papo, os usuários podem entrar em salas de bate-papo e trocar mensagens uns com os outros.
O que é o controle do MSN Chat?
O controle MSN Chat é um controle ActiveX que é usado em uma variedade de sites do MSN, incluindo o site de bate-papo do MSN. Em essência, o controle é um programa de bate-papo autônomo
O que é um controle ActiveX?
O ActiveX é uma tecnologia que permite aos desenvolvedores implantar programas de forma pequena e independente. Esses programas são chamados de controles e podem ser usados por páginas da Web, programas Visual Basic ou outros aplicativos.
Os controles ActiveX podem ser distribuídos de várias maneiras, incluindo a instalação com produtos de software ou sendo oferecidos para download de um site. Independentemente de como um usuário instala um controle ActiveX, uma vez que ele é instalado e registrado no sistema do usuário, ele é totalmente funcional e disponível para o usuário.
Como faço para obter o controle do MSN Chat?
Você pode obter o controle MSN Chat através de dois meios:
- Via web download de sites MSN Chat.
- Através da inclusão com os Produtos de Mensagens Instantâneas da Microsoft, especificamente o MSN Messenger e o Exchange Instant Messenger.
Como faço para obter o controle MSN Chat da Web?
Sempre que um usuário visita uma sala de chat no MSN, o site verifica se o sistema do usuário tem a versão mais recente do controle de bate-papo do MSN. Se nenhum controle for encontrado no sistema do usuário ou uma versão mais recente do controle estiver disponível do que no sistema do usuário, o controle MSN Chat será oferecido automaticamente para download. O usuário tem a opção de aceitar e instalar o controle ou cancelar o download. Se o usuário optar por aceitar o controle, ele será instalado.
É importante notar que esse controle é usado para salas de bate-papo em vários sites do MSN, além do site principal do MSN Chat. Se você usou com êxito o bate-papo em qualquer site do MSN, você baixou e instalou o controle de bate-papo.
Como faço para obter o controle de bate-papo do MSN de produtos de mensagens instantâneas da Microsoft?
Além de estar disponível para download diretamente do site MSN Chat, o controle MSN Chat é instalado com o MSN Messenger, desde a versão 4.5, e o Exchange Instant Messenger.
É importante notar, no entanto, que essa vulnerabilidade não afeta essas tecnologias em si. O MSN Chat é diferente do MSN Messenger, Windows Messenger ou Exchange Instant Messenger porque essas tecnologias são produtos de mensagens ponto a ponto e permitem que os usuários falem diretamente uns com os outros. Enquanto os usuários dessas tecnologias fazem logon em um servidor de diretório, para anunciar sua disponibilidade, não há "salas" como no MSN Chat, e os usuários trocam mensagens diretamente uns com os outros.
A vulnerabilidade em questão afeta apenas o controle do MSN Chat e não o MSN Messenger ou o Exchange Instant Messenger.
O controle MSN Chat está incluído no Windows Messenger no Windows XP?
Não. O controle MSN Chat não está incluído no Windows Messenger no Windows XP. No entanto, os usuários do Windows XP podem instalar o controle visitando um site de bate-papo do MSN e baixando o controle.
O que há de errado com o controle MSN Chat?
Há um buffer não verificado em uma das funções que manipula a entrada de certos parâmetros para o controle.
O que essa vulnerabilidade permitiria que um invasor fizesse?
O invasor que explorar com êxito essa vulnerabilidade poderá executar um programa em um sistema que tenha o controle instalado. Como o controle MSN Chat é executado no contexto de segurança do usuário, o programa seria capaz de executar quaisquer ações que o usuário legítimo fosse capaz de executar, incluindo adicionar ou excluir dados ou informações de configuração.
Por outro lado, isso também significa que quaisquer limitações colocadas na conta do usuário também se aplicariam ao código do invasor. Por exemplo, se um administrador corporativo tivesse implementado políticas de modo que o usuário não pudesse alterar sua configuração de segurança do IE, o código do invasor também seria impedido de alterar essas configurações.
Como um invasor pode tentar explorar essa vulnerabilidade?
Um invasor pode tentar explorar essa vulnerabilidade criando uma página da Web que invocou o controle MSN Chat e incluiu uma chamada para o parâmetro em questão de uma maneira específica. Quando o usuário abria a página da Web e o código na página era executado, o ataque era realizado. O invasor provavelmente tentaria fazer com que o usuário abrisse essa página da Web mal-intencionada de duas maneiras:
- Ao postar a página em um site. Se ele conseguisse atrair o usuário para visitar seu site, o controle seria invocado assim que a página fosse carregada.
- Enviando a página da Web como um e-mail HTML para o usuário. Se o usuário estivesse usando um cliente de email que lê emails na zona Sites Restritos, como o Outlook 2002, o controle seria carregado somente se o usuário fosse estimulado a clicar em um link no email. Por outro lado, se o usuário não estivesse usando um produto que lê emails na zona Sites Restritos, quando a página da Web fosse renderizada, abrindo o email ou por meio de um painel de visualização, o controle seria chamado.
Como posso mitigar o risco do ataque na Web?
Para que o ataque baseado na web tenha sucesso, o invasor teria que atrair o usuário para um site sob seu controle. Os usuários que têm cautela em sua escolha de sites e visitaram apenas sites confiáveis podem potencialmente se proteger de ataques, evitando o site do invasor.
Ouvi dizer que, se eu estiver usando o IE, é possível que um invasor explore essa vulnerabilidade, mesmo que eu nunca tenha instalado o controle MSN Chat ou os produtos Messenger, isso é verdade?
É verdade que é possível para um invasor hospedar uma cópia da versão vulnerável do controle em seu site, que pode ser oferecida para download quando um usuário visita o site. No entanto, o invasor teria que atrair o usuário para visitar seu site e convencê-lo a aceitar e instalar o controle quando oferecido.
Uma vez que o controle de bate-papo é destinado a ser usado em conjunto com sites de bate-papo, valeria a pena questionar a confiabilidade de qualquer site que inesperadamente ofereceu um controle de bate-papo para download. A melhor ação seria recusar o download oferecido.
Mas, ouvi dizer que é possível que um invasor force esse controle a baixar sem que eu saiba, é verdade?
Não exatamente. Há uma opção que pode permitir que um usuário sempre aceite código assinado, como o controle MSN Chat, sem solicitar. Especificamente, um usuário pode marcar a caixa de seleção "Sempre confiar no conteúdo de" que é apresentada quando um controle assinado é oferecido para download.
No entanto, a opção só concede confiança ao certificado específico que foi usado para assinar esse controle, não concede confiança geral à empresa ou organização como um todo. Isso significa que, mesmo que você tenha optado por confiar no conteúdo assinado pela Microsoft, isso não significa necessariamente que o certificado específico usado para assinar esse controle.
Os certificados são usados para assinar apenas alguns controles. Isso significa que apenas alguém que tenha baixado o controle de bate-papo ou outros controles relacionados do MSN e selecionado a opção "Sempre confiar no conteúdo de" teria optado por sempre confiar no conteúdo assinado por esse certificado.
Mesmo assim, o controle não poderia ser oferecido para download, a menos que um usuário opte por navegar para um site sob o controle de um invasor. Não há como um invasor oferecer esse controle sem que um usuário visite seu site.
Dito isso, o "killbit" será definido para esse controle vulnerável em um próximo service pack do IE, para garantir que esse cenário incomum não represente um risco para os clientes.
O que é o "killbit"?
Há um recurso de segurança no Internet Explorer que torna possível impedir que um controle ActiveX seja carregado pelo mecanismo de renderização HTML do Internet Explorer. Isso é realizado por uma configuração de registro e é conhecido como definir o "killbit". Uma vez que o "killbit" é definido, o controle nunca pode ser carregado, mesmo quando ele está totalmente instalado. Definir isso garante que, mesmo que um componente vulnerável seja introduzido ou reintroduzido em um sistema, ele permaneça inerte e inofensivo.
Há mais informações sobre esse recurso em Q240797.
Como posso mitigar o risco do ataque por e-mail?
Os clientes que usam qualquer um dos seguintes produtos estão protegidos contra ataques por e-mail por padrão:
Outlook 98 e Outlook 2000 se a atualização de segurança de email do Outlook tiver sido instalada.
Outlook 2002
Outlook Express 6
Isso ocorre porque esses produtos leem e-mails na zona "Sites Restritos". Por padrão, a zona Sites Restritos desabilita o script do controle ActiveX. Isso significa que um e-mail HTML que tenta explorar essa vulnerabilidade lida usando um desses produtos é tornado inofensivo.
Estou usando um dos produtos de e-mail listados acima e não visito sites não confiáveis. Isso significa que não preciso do patch?
Embora esses produtos e hábitos possam ajudar a protegê-lo de ataques sem o patch, os usuários ainda devem atualizar sua versão do MSN Chat, MSN Messenger ou Exchange Instant Messenger ou aplicar o patch para se proteger totalmente.
Como posso eliminar a vulnerabilidade?
Há três maneiras recomendadas para que os usuários eliminem a vulnerabilidade.
- Os usuários podem baixar uma versão atualizada do controle de bate-papo do MSN dos sites de bate-papo do MSN.
- Os usuários podem instalar uma versão atualizada do MSN Messenger
- Os usuários podem instalar uma versão atualizada do Exchange Instant Messenger
Além disso, os usuários podem baixar e aplicar o patch como uma medida provisória imediata para eliminar a vulnerabilidade, cancelando o registro do controle vulnerável e configurando o "killbit". No entanto, é recomendável que os usuários apliquem esse patch apenas como uma solução provisória até que possam instalar o software atualizado apropriado.
Como faço para instalar uma versão atualizada do controle MSN Chat dos sites do MSN Chat?
Os usuários que desejam eliminar a vulnerabilidade baixando e instalando uma versão atualizada do controle MSN Chat podem acessar o site MSN Chat, chat.msn.com e entrar em uma sala de chat. O controle MSN Chat atualizado será então apresentado para download automaticamente e os usuários podem seguir as instruções fornecidas lá para instalar o componente atualizado.
O que faz a versão atualizada do controle MSN Chat?
A versão atualizada do controle MSN Chat elimina a vulnerabilidade implementando a verificação adequada no buffer afetado. Além disso, ele cancela automaticamente o registro de todas e quaisquer versões anteriores do controle MSN Chat e define o "killbit" para torná-los inutilizáveis no mecanismo de renderização HTML do Internet Explorer.
Como faço para instalar uma versão atualizada do MSN Messenger?
Os usuários que estão executando o MSN Messenger e desejam eliminar a vulnerabilidade instalando a versão mais recente do MSN Messenger podem seguir as instruções fornecidas pelo recurso AutoUpdate do MSN Messenger ou baixar a versão mais recente do local especificado na seção "Disponibilidade do patch".
O que faz a versão atualizada do MSN Messenger?
A versão atualizada do MSN Messenger instala o controle MSN Chat atualizado, que elimina a vulnerabilidade implementando verificações adequadas no buffer de entrada de parâmetros. Além disso, o controle MSN Chat atualizado incluído na versão atualizada do MSN Messenger cancela o registro de todas e quaisquer versões anteriores do controle MSN Chat e define o "killbit" para torná-los inutilizáveis no mecanismo de renderização HTML do Internet Explorer.
Como faço para instalar uma versão atualizada do Exchange Instant Messenger?
Os administradores que desejam eliminar a vulnerabilidade instalando uma versão atualizada do Exchange Instant Messenger em seus ambientes podem baixar a versão atualizada do local especificado na seção "Disponibilidade do patch".
O que faz a versão atualizada do Exchange Instant Messenger?
A versão atualizada do Exchange Instant Messenger instala o controle MSN Chat atualizado, que elimina a vulnerabilidade implementando verificações adequadas no buffer de entrada de parâmetros. Além disso, o controle MSN Chat atualizado incluído na versão atualizada do Exchange Instannt Messenger cancela o registro de todas e quaisquer versões anteriores do controle MSN Chat e define o "killbit" para torná-los inutilizáveis no mecanismo de renderização HTML do Internet Explorer.
Como faço para instalar o patch?
Os usuários podem instalar o patch baixando o patch do local especificado na seção "Disponibilidade do patch".
O que o patch faz?
O patch elimina a vulnerabilidade cancelando o registro do controle vulnerável do MSN Chat e define o "killbit", tornando-o inutilizável no mecanismo de renderização HTML do Internet Explorer.
O patch instala uma versão atualizada do controle MSN Chat?
Não. No entanto, na próxima vez que um usuário visitar o site do MSN Chat depois de aplicar o patch, a versão atualizada do controle MSN Chat será oferecida para download.
Eu apliquei as correções que foram lançadas em 8 de maio de 2002, o que preciso fazer?
Os clientes que aplicaram as correções originais lançadas em 8 de maio de 2002 devem considerar a aplicação das correções atualizadas.
Preciso desinstalar as atualizações anteriores?
Não. As novas atualizações podem ser instaladas sobre as correções anteriores
Ainda estou tendo problemas para aplicar as correções atualizadas, o que devo fazer?
Se você ainda estiver tendo problemas como resultado do patch, contate o Atendimento Microsoft. Todas as chamadas relacionadas a patches de segurança são gratuitas. Há informações sobre como entrar em contato com o Suporte ao Produto em:
Disponibilidade do patch
Locais de download deste patch
Locais de download do patch:
Locais de download para versões de software atualizadas
Local de download da versão atualizada do controle de bate-papo do MSN:
Local de download da versão atualizada do MSN Messenger com o controle corrigido:
</https:>https:
Local de download da versão atualizada do Exchange Instant Messenger com o controle corrigido:
</https:>https:
Informações adicionais sobre este patch
Plataformas de instalação:
Esse patch pode ser instalado em sistemas que executam o Internet Explorer versão 4.0 ou superior.
Reinicialização necessária: Não
Patches substituídos: Nenhum.
Verificando a instalação do patch:
Microsoft MSN Messenger e Exchange Instant Messenger:
- Na janela principal, clique em "Ajuda".
- Clique em "Sobre o MSN Messenger"
- A versão exibida deve ser 4.6 (4.6.0082)
Controle de bate-papo do MSN:
- Abra o IE
- Escolha Ferramentas
- Escolha Opções da Internet
- Escolha Configurações na guia "geral"
- Escolher Exibir objetos
- Clique com o botão direito do mouse em "MSN Chat Control 4.2"
- Escolher Propriedades
- Clique em Versão
- Versão # é 7,0,206,401
Restrições:
Nenhum
Localização:
Nenhuma localização é necessária para este patch. Versões localizadas do MSN Messenger e do Exchange Instant Messenger estão disponíveis nos locais especificados acima.
Obtendo outros patches de segurança:
Patches para outros problemas de segurança estão disponíveis nos seguintes locais:
- Os patches de segurança estão disponíveis no Centro de Download da Microsoft e podem ser encontrados mais facilmente fazendo uma pesquisa de palavra-chave para "security_patch".
- Os patches para plataformas de consumidor estão disponíveis no site do WindowsUpdate
Outras informações:
Confirmações
A Microsoft agradece à eEye Digital Security (https://www.eeye.com) por nos relatar esse problema e trabalhar conosco para proteger os clientes.
Suporte:
- O artigo Q321661 Base de Dados de Conhecimento Microsoft aborda esse problema e estará disponível aproximadamente 24 horas após o lançamento deste boletim. Os artigos da Base de Dados de Conhecimento podem ser encontrados no site de Suporte Online da Microsoft.
- O suporte técnico está disponível no Atendimento Microsoft. Não há cobrança por chamadas de suporte associadas a patches de segurança.
Recursos de segurança: O site Microsoft TechNet Security fornece informações adicionais sobre segurança em produtos Microsoft.
Aviso de Isenção de Responsabilidade:
As informações fornecidas na Base de Dados de Conhecimento Microsoft são fornecidas "no estado em que se encontram", sem qualquer tipo de garantia. A Microsoft se isenta de todas as garantias, expressas ou implícitas, incluindo as garantias de comercialização e adequação a uma finalidade específica. Em nenhuma circunstância a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, incluindo danos diretos, indiretos, incidentais, consequenciais, perda de lucros comerciais ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido avisados da possibilidade de tais danos. Alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou incidentais, portanto, a limitação acima pode não se aplicar.
Revisões:
- V1.0 (08 de maio de 2002): Boletim criado.
- V2.0 (11 de junho de 2002): Boletim atualizado para informar aos clientes que as correções lançadas em 08 de maio de 2002 não protegiam totalmente os sistemas contra a reintrodução do controle vulnerável mais antigo e para anunciar a disponibilidade de correções atualizadas.
- V2.1 (28 de fevereiro de 2003): Links de download atualizados para o Windows Update.
Construído em 2014-04-18T13:49:36Z-07:00</https:>