Alerta – a Microsoft lança Boletim de Segurança (fora-de-banda) – MS14-021 – Atualização de segurança para o Internet Explorer (2965111) – Dia 1 de Maio de 2014

 Hoje a Microsoft lançou uma atualização de segurança fora do ciclo (out of band)  para resolver o problema que afeta o Internet Explorer (IE) que foi discutido pela primeira vez em Microsoft Security Advisory 2963983

A nova atualização de segurança MS14-021 – Security Update for Internet Explorer (2965111) foi totalmente testada e está pronta para ser ativada em todas as versões do navegador. 

A maioria dos clientes tem as atualizações automáticas habilitadas e não precisarão tomar nenhuma providência porque as proteções serão baixadas e instaladas automaticamente. Se você não tiver certeza  se você tem o recurso de atualizações automáticas, ou se você não tiver ativado o Automatic Update, agora é a hora de fazê-lo.

Para quem atualizar manualmente, aconselhamos que você aplique esta atualização o mais rapidamente possível seguindo as instruções contidas no boletim de segurança que foi lançado.

Nós tomamos a decisão de emitir uma atualização de segurança para os usuários do Windows XP.            O Windows XP já não é suportado pela Microsoft, e nós continuamos a incentivar os clientes a migrar para um sistema operacional moderno, como o Windows 7 ou 8.1. Além disso, os clientes são encorajados a atualizar para a versão mais recente do Internet Explorer, IE 11.

Como sempre, por favor, deixe-nos saber se você tiver quaisquer perguntas!

 


 

Qual é o objetivo do alerta?

 

Este alerta é para fornecer a você uma visão geral de um novo boletim de segurança lançado (fora da banda) em 1 de Maio de 2014, para uma nova vulnerabilidade no Internet Explorer.

 

Novo Boletim de Segurança

 

A Microsoft está lançando um novo boletim de segurança (fora de banda) para uma vulnerabilidade recentemente descoberta. 

 

Identificador do Boletim

Boletim de Segurança da Microsoft MS14-021

Título do Boletim

Atualização de segurança para o Internet Explorer (2965111)

Resumo executivo

Esta atualização de segurança resolve uma vulnerabilidade divulgada publicamente no Internet Explorer. A vulnerabilidade pode permitir a execução remota de código se um usuário visualiza uma página Web especialmente criada usando uma versão afetada do Internet Explorer. Um invasor que explora com sucesso essa vulnerabilidade pode obter os mesmos direitos que o usuário atual. A atualização de segurança elimina a vulnerabilidade, modificando a maneira como o Internet Explorer lida com objetos na memória. 

 

Esta atualização de segurança também resolve a vulnerabilidade descrita pela primeira vez em Microsoft Security Advisory 2963983

As classificações de gravidade e os Softwares Afetados

  • Esta é uma atualização de segurança crítica para  o Internet Explorer 6, Internet Explorer 7, Internet Explorer 8, Internet Explorer 9, Internet Explorer 10, e para o Internet Explorer 11 no Windows afetados clientes,
  • Esta atualização de segurança é classificada como Moderada  para o Internet Explorer 6, Internet Explorer 7, Internet Explorer 8, Internet Explorer 9, Internet Explorer 10 e o Internet Explorer 11 no Windows servers.  

Vetores de Ataque

  • ·        Um invasor poderia hospedar um Web site especialmente concebidos para que foi projetado para explorar esta vulnerabilidade através do Internet Explorer e, em seguida, convencer o usuário a visualizar o site. 
  • ·        O atacante também pode aproveitar as vantagens do comprometido sites e sites que aceitam ou host anúncios ou conteúdo fornecido pelo usuário. Esses sites podem conter conteúdos especialmente concebidos para o efeito, que pode explorar esta vulnerabilidade. 
  • ·        Um invasor pode tentar convencer os usuários a visualizar o conteúdo controlado pelo intruso fazendo com que eles cliquem em um link em uma mensagem de e-mail ou em um programa de mensagens instantâneas que leva o usuário para o site do intruso, ou fazendo com que os usuários cliquem para abrir um anexo enviado por e-mail.

Fatores atenuantes

  • ·        Em um cenário de ataque com base na web, o invasor não teria nenhuma maneira de forçar os usuários a visualizar o conteúdo controlado pelo intruso. Em vez disso, o invasor teria de convencer os utilizadores a tomar medidas, geralmente fazendo com que eles cliquem em um link em uma mensagem de e-mail ou em um programa de mensagens instantâneas que leva o usuário para o site do intruso, ou fazendo com que os usuários cliquem para abrir um anexo enviado por e-mail.
  • ·        Um invasor que explora com sucesso essa vulnerabilidade pode obter os mesmos direitos que o usuário atual. Os usuários cujas contas estão configuradas para ter menos direitos de usuário no sistema poderia ser menos afetados do que os utilizadores que trabalham com direitos administrativos.
  • ·        Por padrão, todas as versões suportadas do Microsoft Outlook, Microsoft Outlook Express e Windows Mail abra mensagens de e-mail em HTML na zona de sites Restritos. A zona de sites restritos, o que desabilita scripts e controles ActiveX, ajuda a reduzir o risco de um intruso a ser capaz de usar essa vulnerabilidade para executar código malicioso. Se um usuário clica em um link em uma mensagem de e-mail, o usuário pode ainda ser vulneráveis à exploração desta vulnerabilidade através do cenário de ataque baseado na web.
  • ·        Por padrão, o Internet Explorer no Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 e Windows Server 2012 R2, é executado em um modo restrito que é conhecido como Configuração de Segurança Reforçada. Este modo atenua essa vulnerabilidade. 

Necessidade de Reinicialização

Esta atualização requer uma reinicialização.

Detalhes completos

https://technet.microsoft.com/library/security/ms14-021 

 

Boletim público Webcast  – INGLÊS 

 

A Microsoft irá hospedar um webcast para solucionar as dúvidas dos clientes sobre o fora-de-banda boletim de segurança em 2 de Maio de 2014, às 11:00 Hora do Pacífico (Estados Unidos e Canadá). Register now for the May Security Bulletin Webcast

 

Recursos externos relacionados a este alerta- INGLÊS

 

Recursos externos relacionados a este alerta- PORTUGUÊS

Lançamento de comunicado fora de banda (Out of Band) da Microsoft para abordar o Security Advisory 2963983 – Atualização de 1 de Maio 2014.

http://blogs.technet.com/b/risco/archive/2014/05/01/lan-231-amento-de-comunicado-fora-de-banda-out-of-band-da-microsoft-para-abordar-o-security-advisory-2963983-atualiza-231-227-o-de-1-de-maio-2014.aspx

 

Em relação à coerência da informação

 

Nós nos esforçamos para fornecer a você informações precisas em estático (este e-mail) e dinâmica (baseado na web) conteúdo. Conteúdo de segurança da Microsoft publicado na web é por vezes atualizado para refletir as últimas informações. Se isso resulta em uma incoerência entre as informações aqui e as informações na Base de Conhecimento da Microsoft baseado na web conteúdo de segurança, as informações na Base de Conhecimento da Microsoft baseado na web conteúdo de segurança é confiável.

 

Se você tiver quaisquer perguntas sobre este alerta, entre em contato com o seu Gerente de Conta de Suporte Técnico.

 

Muito obrigada,

 

Equipe de Segurança Microsoft CSS