Boletins de Segurança da Microsoft de Setembro de 2014

Alerta - Boletim de Segurança da Microsoft de Setembro de 2014   Qual é o objetivo deste alerta?   Esse alerta tem por objetivo fornecer uma visão geral dos novos boletins de segurança disponibilizados em 9 de setembro de 2014.   Novos boletins de segurança são disponibilizados mensalmente para tratar vulnerabilidades críticas de nossos produtos.   Novos boletins de segurança A Microsoft está disponibilizando 4 (quatro) novos boletins de segurança para vulnerabilidades recém-descobertas: ID do boletim Título do boletim Classificação de gravidade máxima Impacto da vulnerabilidade Requisito de reinicialização Softwares afetados MS14-052 Atualização de segurança cumulativa para o Internet Explorer (2977629) Crítica Execução remota de código Requer a reinicialização Internet Explorer em todas as edições suportadas do Microsoft Windows. MS14-053 Vulnerabilidade no .NET Framework Podem Permitir Negação de Serviço (2990931) Importante Negação de serviço Pode exigir a reinicialização Microsoft .NET Framework 1.1 Service Pack 1, Microsoft .NET Framework 2.0 Service Pack 2, Microsoft .NET Framework 3.0 Service Pack 2, Microsoft .NET Framework 3.5, Microsoft .NET Framework 3.5.1, Microsoft .NET Framework 4 e Microsoft .NET Framework 4.5/4.5.1/4.5.2 em versões afetadas doMicrosoft Windows. MS14-054 Vulnerabilidade no Agendador de Tarefas do Windows Pode Permitir Elevação de Privilégio (2988948) Importante Elevação de privilégio Requer a reinicialização Microsoft Windows 8, Windows Server 2012, Windows RT, Windows 8.1, Windows Server 2012 R2 e Windows RT 8.1. MS14-055 Vulnerabilidades no Microsoft Lync Server Podem Permitir Negação de Serviço (2990928) Importante Negação de serviço Não requer reinicialização Microsoft Lync Server 2010 e Microsoft Lync Server 2013.   Os sumários dos novos boletins podem ser encontrados em https://technet.microsoft.com/pt-br/library/security/ms14-sep. Ferramenta de Remoção de Software Mal-intencionado do Microsoft Windows  A Microsoft está lançando uma versão atualizada da Ferramenta de Remoção de Software Mal-Intencionado no Windows Server Update Services (WSUS), Windows Update (WU) e no Centro de Download. Informações sobre a Ferramenta de Remoção de Software Mal-Intencionado estão disponíveis em: https://support.microsoft.com/kb/890830. Atualizações de alta prioridade não relacionadas à segurança  Atualizações de alta prioridade Microsoft não relacionadas à segurança disponíveis no Microsoft Update (MU), Windows Update (WU) ou Windows Server Update Services (WSUS) serão detalhadas no artigo do KB em: https://support.microsoft.com/kb/894199 . Comunicados de segurança relançados A Microsoft relançou três comunicados de segurança em 9 de setembro de 2014. Confira a seguir uma visão geral sobre esses comunicados de segurança: Comunicado de Segurança 2905247 Configuração Insegura de Site ASP.NET Pode Permitir Elevação de Privilégio O que mudou? Este comunicado foi relançado para oferecer a atualização de segurança através do Microsoft Update, além da opção do Centro de Downloads que foi fornecida quando este comunicado foi originalmente lançado. Além disso, as atualizações para algumas das versões do .NET Framework afetadas foram relançadas para solucionar um problema que causava ocasionalmente o retorno de um valor incorreto pelo IsPostBack. Sumário Executivo A Microsoft está anunciando a disponibilidade de uma atualização para o Microsoft ASP.NET para solucionar uma vulnerabilidade no estado de exibição do ASP.NET que existe quando a validação de código de autenticação de máquina (MAC) está desativada por meio de definições de configuração. A vulnerabilidade pode permitir a elevação de privilégio e afeta o Microsoft .NET Framework 1.1 Service Pack 1, Microsoft .NET Framework 2.0 Service Pack 2, Microsoft .NET Framework 3.5, Microsoft .NET Framework 3.5.1, Microsoft .NET Framework 4 e Microsoft .NET Framework 4.5/4.5.1. Recomendações A maioria dos clientes habilitou as atualizações automáticas e não precisará tomar qualquer ação porque esta atualização de segurança será baixada e instalada automaticamente. Mais informações https://technet.microsoft.com/pt-br/library/security/2905247   Comunicado de Segurança 2871997 Atualização para Melhorar a Proteção e Gerenciamento de Credenciais O que mudou? Em 9 de Setembro de 2014, a Microsoft lançou a atualização de segurança 2982378 para edições com suporte do Windows 7 e Windows Server 2008 R2. A atualização fornece proteção adicional para as credenciais dos usuários quando fazem login em um sistema Windows 7 ou Windows Server 2008 R2, garantindo que as credenciais são limpas imediatamente, em vez de esperar até que tenha sido obtido um TGT Kerberos (bilhete de concessão de tíquete). Para obter mais informações sobre essa atualização, incluindo links de download, consulte o  Artigo da Base de Conhecimento Microsoft 2982378. Sumário Executivo A Microsoft está anunciando a disponibilidade de uma atualização para as edições suportadas do Windows 8 para sistemas de 32 bits, Windows 8 para sistemas baseados em x64, Windows RT, Windows Server 2012, Windows 7 para sistemas de 32 bits, Windows 7 para sistemas baseados em x64, Windows Server 2008 R2 para sistemas baseados em x64 e Windows 2008 R2 para sistemas baseados em Itanium que melhora a proteção de credenciais e controles de autenticação de domínio para reduzir o roubo de credenciais. Esta atualização fornece proteção adicional para a Autoridade de Segurança Local (LSA), adiciona um modo administativo restrito para o CredSSP (Credential Security Support Provider), introduz suporte para a categoria de usuário de domínio com conta restrita protegida e aplica políticas de autenticação mais rigorosas para sistemas clientes com Windows 7, Windows Server 2008 R2, Windows 8 e Windows Server 2012. Recomendações A Microsoft recomenda que os clientes apliquem a atualização imediatamente usando software de gerenciamento de atualizações, ou pela verificação de atualizações usando o serviço Microsoft Update. Mais informações https://technet.microsoft.com/pt-br/library/security/2871997   Comunicado de Segurança 2755801 Atualização para vulnerabilidades no Adobe Flash Player no Internet Explorer O que mudou? A Microsoft atualizou este comunicado para anunciar a disponibilidade de uma nova atualização para o Adobe Flash Player. Em 9 de setembro de 2014, a Microsoft lançou uma atualização (2987114) para o Internet Explorer 10 no Windows 8, Windows Server 2012 e Windows RT e para o Internet Explorer 11 no Windows 8.1, Windows Server 2012 R2 e Windows RT 8.1. A atualização trata as vulnerabilidades descritas no boletim de segurança da Adobe APSB14-21. Para obter mais informações sobre essa atualização, incluindo links de download, consulte o  Artigo da Base de Conhecimento Microsoft 2987114. Sumário Executivo A Microsoft está anunciando a disponibilidade de uma atualização para o Adobe Flash Player no Internet Explorer em todas as edições suportadas do Windows 8, Windows Server 2012, Windows RT, Windows 8.1, Windows Server 2012 R2 e Windows RT 8.1. A atualização elimina as vulnerabilidades no Adobe Flash Player, atualizando as bibliotecas Adobe Flash afetadas contidas dentro de Internet Explorer 10 e Internet Explorer 11. Recomendações A Microsoft recomenda que os clientes apliquem a atualização imediatamente usando software de gerenciamento de atualizações, ou pela verificação de atualizações usando o serviço Microsoft Update. Uma vez que a atualização é cumulativa, será oferecida apenas a atualização atual. Os clientes não precisam instalar as atualizações anteriores como um pré-requisito para instalar a atualização atual. Mais informações https://technet.microsoft.com/pt-br/library/security/2755801

CRONOGRAMA DO BLOQUEIO DOS CONTROLES DE ACTIVEX DESATUALIZADOS NO INTERNET EXPLORER

Queremos lembrar aos clientes sobre o cronograma para o bloqueio dos controles de ActiveX desatualizados no Internet Explorer. A partir do dia 9 de Setembro de 2014, o recurso vai fornecer aos usuários com notificações quando as páginas da Web tentam carregar as seguintes versões de Java dos controles ActiveX.

• J2SE 1.4 , todas abaixo (mas não incluindo) atualização 43

• J2SE 5.0 , todas abaixo (mas não incluindo) atualização 71

• Java SE 6, todas abaixo (mas não incluindo) atualização 81

• Java SE 7, todas abaixo (mas não incluindo) atualização 65

• Java SE 8, todas abaixo (mas não incluindo) atualização 11

 

Para obter detalhes completos incluindo respostas às perguntas mais frequentes consulte o Internet Explorer Team blog post: Internet Explorer begins blocking out-of-date ActiveX controls

Antes de 9 de Setembro de 2014, os clientes podem querer para entender o funcionamento desse recurso e determinar se é possível que haja algum impacto em seu ambiente. Informações sobre como testar essa nova funcionalidade foi adicionada ao artigo do KB para este recurso: 

• KB2991000: Update to block out-of-date ActiveX controls in Internet Explorer 

(Nota: consulte a seção "Teste dos controles de ActiveX desatualizados " ).

Informações adicionais sobre o recurso de bloqueio dos controles de ActiveX desatualizados no Internet Explorer são fornecidas aqui: 

• O TechNet landing page para Out-of-date ActiveX control blocking

• O Microsoft Security blog: IE increases protections, implements out-of-date ActiveX control blocking

 

Recursos em Português sobre bloqueio dos controles de ActiveX desatualizados:

• Informações sobre os testes de bloqueio dos controles de ActiveX desatualizados no Internet Explorer

• O Internet Explorer inicia o bloqueio de controles de ActiveX desatualizados - Revisado em 10 de Agosto de 2014

Webcast Público Sobre o Boletim   A Microsoft realizará um webcast para responder a perguntas de clientes sobre estes boletins: Título: Informações sobre boletins de segurança Microsoft de Setembro (nível 200) EM INGLÊS Data: Quarta-feira, 10 de setembro de 2014, 11:00hrs (EUA e Canadá) – 15:00hrs (horário de Brasília) URL: https://technet.microsoft.com/security/dn756352 EM PORTUGUÊS Data: Quinta-feira, 11 de setembro de 2014 – 15:30hrs (horário de Brasília) URL: https://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032575589&culture=pt-BR Detalhes Técnicos Sobre os Novos Boletins de Segurança   Nas tabelas de softwares afetados e não afetados a seguir, as edições de software não listadas já encerraram seus ciclos de vida de suporte. Para determinar o ciclo de vida do suporte de seu produto e edição, visite o site de Ciclo de Vida de Suporte Microsoft em: https://support.microsoft.com/lifecycle/.   Identificador do Boletim Boletim de Segurança Microsoft MS14-052 Título do boletim Atualização de segurança cumulativa para o Internet Explorer (2977629) Sumário Executivo Esta atualização de segurança soluciona uma vulnerabilidade relatada de forma pública e 36 vulnerabilidades relatadas de forma privada no Internet Explorer. A mais severa das vulnerabilidades pode permitir execução remota de código se um usuário exibir uma página da Web especialmente criada usando o Internet Explorer. Um atacante que explorar com êxito estas vulnerabilidades pode obter os mesmos direitos do usuário conectado ao sistema.   A segurança atualização elimina as vulnerabilidades modificando a maneira que o Internet Explorer lida com objetos na memória e adicionando validações de permissões no Internet Explorer. Classificações de Gravidade e Softwares Afetados Esta atualização de segurança foi classificada como Crítica para o Internet Explorer 6, Internet Explorer 7, Internet Explorer 8, Internet Explorer 9, Internet Explorer 10 e Internet Explorer 11 em clientes Windows e Moderada para o Internet Explorer 6, Internet Explorer 7, Internet Explorer 8, Internet Explorer 9, Internet Explorer 10 e Internet Explorer 11 em servidores Windows. Vetores de Ataque Um atacante pode hospedar um site que é usado para tentar explorar esta vulnerabilidade. Além disso, sites comprometidos e sites que aceitam hospedar conteúdo fornecido pelo usuário podem conter conteúdo especialmente criado que pode explorar esta vulnerabilidade. Fatores de Mitigação Um invasor teria que convencer os usuários a tomar medidas, normalmente fazendo com que cliquem em um link em uma mensagem de email ou em uma mensagem instantânea que leva o usuário ao site do invasor, ou por levá-los a abrir um anexo enviado através de e-mail. Os usuários cujas contas estão configuradas para ter menos direitos de usuário no sistema podem ser menos afetados do que os usuários que operam com direitos administrativos. Por padrão, todas as versões suportadas do Microsoft Outlook, Microsoft Outlook Express e Windows Mail abrem mensagens de correio eletrônico HTML na zona de Sites Restritos. Por padrão, o Internet Explorer no Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 e Windows Server 2012 R2 é executado em modo restrito. Requisito de reinicialização Esta atualização requer a reinicialização. Boletins substituídos por esta atualização MS14-051 Mais Detalhes https://technet.microsoft.com/pt-br/library/security/ms14-052     Identificador do Boletim Boletim de Segurança Microsoft MS14-053 Título do boletim Vulnerabilidade no .NET Framework Podem Permitir Negação de Serviço (2990931) Sumário Executivo Esta atualização de segurança soluciona uma vulnerabilidade relatada de forma privada no Microsoft .NET Framework. A vulnerabilidade pode permitir a negação de serviço se o atacante enviar um pequeno número de pacotes especialmente criados para o site habilitado com .NET afetado. Por padrão, o ASP.NET não é instalado quando o Microsoft .NET Framework é instalado em qualquer edição suportada do Microsoft Windows. Para ser afetado pela vulnerabilidade, os clientes devem ter instalado e habilitado manualmente o ASP.NET registrando-o no IIS.   A atualização de segurança soluciona a vulnerabilidade corrigindo a forma que o Microsoft .NET Framework trata requisições especialmente criadas. Classificações de Gravidade e Softwares Afetados Esta atualização de segurança foi classificada como Importante para Microsoft .NET Framework 1.1 Service Pack 1, Microsoft .NET Framework 2.0 Service Pack 2 e .NET Framework 3.0 Service Pack 2, Microsoft .NET Framework 3.5, Microsoft .NET Framework 3.5.1, Microsoft .NET Framework 4 e Microsoft .NET Framework 4.5/4.5.1/4.5.2 em edições afetadas do Microsoft Windows. Vetores de Ataque Um atacante não autenticado pode enviar um pequeno número de solicitações especialmente criadas para um site habilitado com .NET afetado, causando uma condição de negação de serviço. Fatores de Mitigação Por padrão, o ASP.NET não é instalado quando o Microsoft .NET Framework é instalado em qualquer edição suportada do Microsoft Windows. Requisito de reinicialização Esta atualização pode exigir a reinicialização. Boletins substituídos por esta atualização MS13-004, MS13-052 e MS14-009. Mais Detalhes https://technet.microsoft.com/pt-br/library/security/ms14-053      Identificador do Boletim Boletim de Segurança Microsoft MS14-054 Título do boletim Vulnerabilidade no Agendador de Tarefas do Windows Pode Permitir Elevação de Privilégio (2988948) Sumário Executivo Esta atualização de segurança soluciona uma vulnerabilidade relatada de forma privada no Microsoft Windows. A vulnerabilidade pode permitir a elevação de privilégio se um atacante efetuar login no sistema e executar um aplicativo especialmente criado. Um invasor deve ter credenciais de login válidas e ser capaz de efetuar login localmente para explorar essas vulnerabilidades. A vulnerabilidade não pode ser explorada remotamente ou por usuários anônimos.   A atualização de segurança elimina a vulnerabilidade corrigindo a forma como o Agendador de tarefas realiza a integridade das tarefas. Classificações de Gravidade e Softwares Afetados Esta atualização de segurança foi classificada como Importante para todas as edições suportadas do Windows 8, Windows Server 2012, Windows RT, Windows 8.1, Windows Server 2012 R2 e Windows RT 8.1. Vetores de Ataque Para explorar essas vulnerabilidades, um invasor teria primeiro que efetuar login no sistema. Um atacante pode executar um aplicativo especialmente criado que pode explorar a vulnerabilidade e assumir o controle total sobre um sistema afetado. Fatores de Mitigação Um invasor deve ter credenciais de login válidas e ser capaz de efetuar login localmente para explorar essas vulnerabilidades. A vulnerabilidade não pode ser explorada remotamente ou por usuários anônimos. Requisito de reinicialização Esta atualização requer a reinicialização. Boletins substituídos por esta atualização Nenhum Mais Detalhes https://technet.microsoft.com/pt-br/library/security/ms14-054     Identificador do Boletim Boletim de Segurança Microsoft MS14-055 Título do boletim Vulnerabilidades no Microsoft Lync Server Podem Permitir Negação de Serviço (2990928) Sumário Executivo Esta atualização de segurança soluciona três vulnerabilidades relatadas de forma privada no Microsoft Lync Server. A mais severa das vulnerabilidades pode permitir negação de serviço se um invasor enviar pacotes especialmente criados para o servidor Lync.   A atualização de segurança soluciona as vulnerabilidades corrigindo a forma que o Lync Server sanitiza a entrada do usuário e corrigindo a maneira que o Lync Server manipula exceções e referências nulas. Classificações de Gravidade e Softwares Afetados Esta atualização de segurança foi classificada como Importante para todas as edições suportadas do Microsoft Lync Server 2010 e Microsoft Lync Server 2013. Vetores de Ataque CVE-2014-4068 e CVE-2014-4071: Uma solicitação especialmente criada para um servidor Lync. CVE-2014-4070: O atacante hospeda um site malicioso utilizando a vulnerabilidade e, em seguida, convence os usuários a visitar o site. O atacante tira proveito de sites comprometidos e/ou anúncios de outros provedores de hospedagem de sites. O invasor envia um e-mail contendo um URL/link para o site malicioso e convence o usuário a clicar no link. Fatores de Mitigação A Microsoft não identificou qualquer fator de mitigação para essa vulnerabilidade. Requisito de reinicialização Essa atualização não requer uma reinicialização. Boletins substituídos por esta atualização MS14-032 (Lync Server 2013 somente) Mais Detalhes https://technet.microsoft.com/pt-br/library/security/ms14-055   Sobre a Consistência de Informações   Fornecemos a você informações precisas de forma estática (neste e-mail) e dinâmica (na Web). O conteúdo de segurança da Microsoft publicado na Web é atualizado ocasionalmente para refletir informações alteradas. Se os resultados forem inconsistentes entre a informação desta mensagem e a informação no conteúdo de segurança do site da Microsoft, a informação do site deve ser considerada a autoritativa/correta.   Se você tiver qualquer dúvida sobre este alerta entre em contato com seu gerente de contas.   Atenciosamente, Equipe de Segurança Microsoft CSS