Boletins de Segurança da Microsoft de Setembro de 2014

 



Alerta – Boletim de Segurança da Microsoft  de Setembro de 2014 



 

 

Qual é o objetivo deste alerta?

 

Esse alerta tem por objetivo fornecer uma visão geral dos novos boletins de segurança disponibilizados em 9 de setembro de 2014.  Novos boletins de segurança são disponibilizados mensalmente para tratar vulnerabilidades críticas de nossos produtos.

 

Novos boletins de segurança

 

A Microsoft está disponibilizando 4 (quatro) novos boletins de segurança para vulnerabilidades recém-descobertas:

ID do boletim

Título do boletim

Classificação de gravidade máxima

Impacto da vulnerabilidade

Requisito de reinicialização

Softwares afetados

MS14-052

Atualização de segurança cumulativa para o Internet Explorer (2977629)

Crítica

Execução remota de código

Requer a reinicialização

Internet Explorer em todas as edições suportadas do Microsoft Windows.

MS14-053

Vulnerabilidade no .NET Framework Podem Permitir Negação de Serviço (2990931)

Importante

Negação de serviço

Pode exigir a reinicialização

Microsoft .NET Framework 1.1 Service Pack 1, Microsoft .NET Framework 2.0 Service Pack 2, Microsoft .NET Framework 3.0 Service Pack 2, Microsoft .NET Framework 3.5, Microsoft .NET Framework 3.5.1, Microsoft .NET Framework 4 e Microsoft .NET Framework 4.5/4.5.1/4.5.2 em versões afetadas doMicrosoft Windows.

MS14-054

Vulnerabilidade no Agendador de Tarefas do Windows Pode Permitir Elevação de Privilégio (2988948)

Importante

Elevação de privilégio

Requer a reinicialização

Microsoft Windows 8, Windows Server 2012, Windows RT, Windows 8.1, Windows Server 2012 R2 e Windows RT 8.1.

MS14-055

Vulnerabilidades no Microsoft Lync Server Podem Permitir Negação de Serviço (2990928)

Importante

Negação de serviço

Não requer reinicialização

Microsoft Lync Server 2010 e Microsoft Lync Server 2013.

 

Os sumários dos novos boletins podem ser encontrados em https://technet.microsoft.com/pt-br/library/security/ms14-sep.

 

Ferramenta de Remoção de Software Mal-intencionado do Microsoft Windows

 A Microsoft está lançando uma versão atualizada da Ferramenta de Remoção de Software Mal-Intencionado no Windows Server Update Services (WSUS), Windows Update (WU) e no Centro de Download. Informações sobre a Ferramenta de Remoção de Software Mal-Intencionado estão disponíveis em: http://support.microsoft.com/kb/890830.

 

Atualizações de alta prioridade não relacionadas à segurança 

Atualizações de alta prioridade Microsoft não relacionadas à segurança disponíveis no Microsoft Update (MU), Windows Update (WU) ou Windows Server Update Services (WSUS) serão detalhadas no artigo do KB em: http://support.microsoft.com/kb/894199.

 

Comunicados de segurança relançados

A Microsoft relançou três comunicados de segurança em 9 de setembro de 2014. Confira a seguir uma visão geral sobre esses comunicados de segurança:

Comunicado de Segurança 2905247

Configuração Insegura de Site ASP.NET Pode Permitir Elevação de Privilégio

O que mudou?

Este comunicado foi relançado para oferecer a atualização de segurança através do Microsoft Update, além da opção do Centro de Downloads que foi fornecida quando este comunicado foi originalmente lançado.

Além disso, as atualizações para algumas das versões do .NET Framework afetadas foram relançadas para solucionar um problema que causava ocasionalmente o retorno de um valor incorreto pelo IsPostBack.

Sumário Executivo

A Microsoft está anunciando a disponibilidade de uma atualização para o Microsoft ASP.NET para solucionar uma vulnerabilidade no estado de exibição do ASP.NET que existe quando a validação de código de autenticação de máquina (MAC) está desativada por meio de definições de configuração. A vulnerabilidade pode permitir a elevação de privilégio e afeta o Microsoft .NET Framework 1.1 Service Pack 1, Microsoft .NET Framework 2.0 Service Pack 2, Microsoft .NET Framework 3.5, Microsoft .NET Framework 3.5.1, Microsoft .NET Framework 4 e Microsoft .NET Framework 4.5/4.5.1.

Recomendações

A maioria dos clientes habilitou as atualizações automáticas e não precisará tomar qualquer ação porque esta atualização de segurança será baixada e instalada automaticamente.

Mais informações

https://technet.microsoft.com/pt-br/library/security/2905247

 

Comunicado de Segurança 2871997

Atualização para Melhorar a Proteção e Gerenciamento de Credenciais

O que mudou?

Em 9 de Setembro de 2014, a Microsoft lançou a atualização de segurança 2982378 para edições com suporte do Windows 7 e Windows Server 2008 R2. A atualização fornece proteção adicional para as credenciais dos usuários quando fazem login em um sistema Windows 7 ou Windows Server 2008 R2, garantindo que as credenciais são limpas imediatamente, em vez de esperar até que tenha sido obtido um TGT Kerberos (bilhete de concessão de tíquete). Para obter mais informações sobre essa atualização, incluindo links de download, consulte o  Artigo da Base de Conhecimento Microsoft 2982378.

Sumário Executivo

A Microsoft está anunciando a disponibilidade de uma atualização para as edições suportadas do Windows 8 para sistemas de 32 bits, Windows 8 para sistemas baseados em x64, Windows RT, Windows Server 2012, Windows 7 para sistemas de 32 bits, Windows 7 para sistemas baseados em x64, Windows Server 2008 R2 para sistemas baseados em x64 e Windows 2008 R2 para sistemas baseados em Itanium que melhora a proteção de credenciais e controles de autenticação de domínio para reduzir o roubo de credenciais. Esta atualização fornece proteção adicional para a Autoridade de Segurança Local (LSA), adiciona um modo administativo restrito para o CredSSP (Credential Security Support Provider), introduz suporte para a categoria de usuário de domínio com conta restrita protegida e aplica políticas de autenticação mais rigorosas para sistemas clientes com Windows 7, Windows Server 2008 R2, Windows 8 e Windows Server 2012.

Recomendações

A Microsoft recomenda que os clientes apliquem a atualização imediatamente usando software de gerenciamento de atualizações, ou pela verificação de atualizações usando o serviço Microsoft Update.

Mais informações

https://technet.microsoft.com/pt-br/library/security/2871997

 

Comunicado de Segurança 2755801

Atualização para vulnerabilidades no Adobe Flash Player no Internet Explorer

O que mudou?

A Microsoft atualizou este comunicado para anunciar a disponibilidade de uma nova atualização para o Adobe Flash Player. Em 9 de setembro de 2014, a Microsoft lançou uma atualização (2987114) para o Internet Explorer 10 no Windows 8, Windows Server 2012 e Windows RT e para o Internet Explorer 11 no Windows 8.1, Windows Server 2012 R2 e Windows RT 8.1. A atualização trata as vulnerabilidades descritas no boletim de segurança da Adobe APSB14-21. Para obter mais informações sobre essa atualização, incluindo links de download, consulte o  Artigo da Base de Conhecimento Microsoft 2987114.

Sumário Executivo

A Microsoft está anunciando a disponibilidade de uma atualização para o Adobe Flash Player no Internet Explorer em todas as edições suportadas do Windows 8, Windows Server 2012, Windows RT, Windows 8.1, Windows Server 2012 R2 e Windows RT 8.1. A atualização elimina as vulnerabilidades no Adobe Flash Player, atualizando as bibliotecas Adobe Flash afetadas contidas dentro de Internet Explorer 10 e Internet Explorer 11.

Recomendações

A Microsoft recomenda que os clientes apliquem a atualização imediatamente usando software de gerenciamento de atualizações, ou pela verificação de atualizações usando o serviço Microsoft Update. Uma vez que a atualização é cumulativa, será oferecida apenas a atualização atual. Os clientes não precisam instalar as atualizações anteriores como um pré-requisito para instalar a atualização atual.

Mais informações

https://technet.microsoft.com/pt-br/library/security/2755801  

 

 

 

 

CRONOGRAMA  DO BLOQUEIO DOS CONTROLES DE ACTIVEX DESATUALIZADOS NO INTERNET EXPLORER

Queremos lembrar aos clientes sobre o  cronograma para o bloqueio dos controles de ActiveX desatualizados no Internet Explorer. A partir do dia 9 de Setembro de 2014, o recurso vai fornecer aos usuários com notificações quando as páginas da Web tentam carregar as seguintes versões de Java dos controles ActiveX.

  • J2SE 1.4 , todas abaixo (mas não incluindo) atualização 43

  • J2SE 5.0 , todas abaixo (mas não incluindo) atualização 71

  • Java SE 6, todas abaixo (mas não incluindo) atualização 81

  • Java SE 7, todas abaixo (mas não incluindo) atualização 65

  • Java SE 8, todas abaixo (mas não incluindo) atualização 11

 

Para obter detalhes completos incluindo respostas às perguntas mais frequentes consulte o Internet Explorer Team blog post: Internet Explorer begins blocking out-of-date ActiveX controls

Antes de 9 de Setembro de 2014, os clientes podem querer para entender o funcionamento desse recurso e determinar se é possível que haja algum impacto em seu ambiente. Informações sobre como testar essa nova funcionalidade foi adicionada ao artigo do KB para este recurso: 

(Nota: consulte a seção "Teste dos controles de ActiveX desatualizados " ).

Informações adicionais sobre o recurso de bloqueio  dos controles de ActiveX desatualizados no Internet Explorer são fornecidas aqui: 

 

Recursos em Português  sobre bloqueio dos controles de ActiveX desatualizados:

 

Webcast Público Sobre o Boletim

 

A Microsoft realizará um webcast para responder a perguntas de clientes sobre estes boletins:

Título: Informações sobre boletins de segurança Microsoft de Setembro (nível 200)

EM INGLÊS
Data: Quarta-feira, 10 de setembro de 2014, 11:00hrs (EUA e Canadá) – 15:00hrs (horário de Brasília)
URL:
http://technet.microsoft.com/security/dn756352

EM PORTUGUÊS
Data: Quinta-feira, 11 de setembro de 2014 – 15:30hrs (
horário de Brasília)
URL: https://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032575589&culture=pt-BR

Detalhes Técnicos Sobre os Novos Boletins de Segurança

 

Nas tabelas de softwares afetados e não afetados a seguir, as edições de software não listadas já encerraram seus ciclos de vida de suporte. Para determinar o ciclo de vida do suporte de seu produto e edição, visite o site de Ciclo de Vida de Suporte Microsoft em: http://support.microsoft.com/lifecycle/.

 

Identificador do Boletim

Boletim de Segurança Microsoft MS14-052

Título do boletim

Atualização de segurança cumulativa para o Internet Explorer (2977629)

Sumário Executivo

Esta atualização de segurança soluciona uma vulnerabilidade relatada de forma pública e 36 vulnerabilidades relatadas de forma privada no Internet Explorer. A mais severa das vulnerabilidades pode permitir execução remota de código se um usuário exibir uma página da Web especialmente criada usando o Internet Explorer. Um atacante que explorar com êxito estas vulnerabilidades pode obter os mesmos direitos do usuário conectado ao sistema.

 

A segurança atualização elimina as vulnerabilidades modificando a maneira que o Internet Explorer lida com objetos na memória e adicionando validações de permissões no Internet Explorer.

Classificações de Gravidade e Softwares Afetados

Esta atualização de segurança foi classificada como Crítica para o Internet Explorer 6, Internet Explorer 7, Internet Explorer 8, Internet Explorer 9, Internet Explorer 10 e Internet Explorer 11 em clientes Windows e Moderada para o Internet Explorer 6, Internet Explorer 7, Internet Explorer 8, Internet Explorer 9, Internet Explorer 10 e Internet Explorer 11 em servidores Windows.

Vetores de Ataque

Um atacante pode hospedar um site que é usado para tentar explorar esta vulnerabilidade. Além disso, sites comprometidos e sites que aceitam hospedar conteúdo fornecido pelo usuário podem conter conteúdo especialmente criado que pode explorar esta vulnerabilidade.

Fatores de Mitigação

  • Um invasor teria que convencer os usuários a tomar medidas, normalmente fazendo com que cliquem em um link em uma mensagem de email ou em uma mensagem instantânea que leva o usuário ao site do invasor, ou por levá-los a abrir um anexo enviado através de e-mail.
  • Os usuários cujas contas estão configuradas para ter menos direitos de usuário no sistema podem ser menos afetados do que os usuários que operam com direitos administrativos.
  • Por padrão, todas as versões suportadas do Microsoft Outlook, Microsoft Outlook Express e Windows Mail abrem mensagens de correio eletrônico HTML na zona de Sites Restritos.
  • Por padrão, o Internet Explorer no Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 e Windows Server 2012 R2 é executado em modo restrito.

Requisito de reinicialização

Esta atualização requer a reinicialização.

Boletins substituídos por esta atualização

MS14-051

Mais Detalhes

https://technet.microsoft.com/pt-br/library/security/ms14-052

 

 

Identificador do Boletim

Boletim de Segurança Microsoft MS14-053

Título do boletim

Vulnerabilidade no .NET Framework Podem Permitir Negação de Serviço (2990931)

Sumário Executivo

Esta atualização de segurança soluciona uma vulnerabilidade relatada de forma privada no Microsoft .NET Framework. A vulnerabilidade pode permitir a negação de serviço se o atacante enviar um pequeno número de pacotes especialmente criados para o site habilitado com .NET afetado. Por padrão, o ASP.NET não é instalado quando o Microsoft .NET Framework é instalado em qualquer edição suportada do Microsoft Windows. Para ser afetado pela vulnerabilidade, os clientes devem ter instalado e habilitado manualmente o ASP.NET registrando-o no IIS.

 

A atualização de segurança soluciona a vulnerabilidade corrigindo a forma que o Microsoft .NET Framework trata requisições especialmente criadas.

Classificações de Gravidade e Softwares Afetados

Esta atualização de segurança foi classificada como Importante para Microsoft .NET Framework 1.1 Service Pack 1, Microsoft .NET Framework 2.0 Service Pack 2 e .NET Framework 3.0 Service Pack 2, Microsoft .NET Framework 3.5, Microsoft .NET Framework 3.5.1, Microsoft .NET Framework 4 e Microsoft .NET Framework 4.5/4.5.1/4.5.2 em edições afetadas do Microsoft Windows.

Vetores de Ataque

Um atacante não autenticado pode enviar um pequeno número de solicitações especialmente criadas para um site habilitado com .NET afetado, causando uma condição de negação de serviço.

Fatores de Mitigação

Por padrão, o ASP.NET não é instalado quando o Microsoft .NET Framework é instalado em qualquer edição suportada do Microsoft Windows.

Requisito de reinicialização

Esta atualização pode exigir a reinicialização.

Boletins substituídos por esta atualização

MS13-004, MS13-052 e MS14-009.

Mais Detalhes

https://technet.microsoft.com/pt-br/library/security/ms14-053

 

 

 Identificador do Boletim

Boletim de Segurança Microsoft MS14-054

Título do boletim

Vulnerabilidade no Agendador de Tarefas do Windows Pode Permitir Elevação de Privilégio (2988948)

Sumário Executivo

Esta atualização de segurança soluciona uma vulnerabilidade relatada de forma privada no Microsoft Windows. A vulnerabilidade pode permitir a elevação de privilégio se um atacante efetuar login no sistema e executar um aplicativo especialmente criado. Um invasor deve ter credenciais de login válidas e ser capaz de efetuar login localmente para explorar essas vulnerabilidades. A vulnerabilidade não pode ser explorada remotamente ou por usuários anônimos.

 

A atualização de segurança elimina a vulnerabilidade corrigindo a forma como o Agendador de tarefas realiza a integridade das tarefas.

Classificações de Gravidade e Softwares Afetados

Esta atualização de segurança foi classificada como Importante para todas as edições suportadas do Windows 8, Windows Server 2012, Windows RT, Windows 8.1, Windows Server 2012 R2 e Windows RT 8.1.

Vetores de Ataque

Para explorar essas vulnerabilidades, um invasor teria primeiro que efetuar login no sistema. Um atacante pode executar um aplicativo especialmente criado que pode explorar a vulnerabilidade e assumir o controle total sobre um sistema afetado.

Fatores de Mitigação

Um invasor deve ter credenciais de login válidas e ser capaz de efetuar login localmente para explorar essas vulnerabilidades. A vulnerabilidade não pode ser explorada remotamente ou por usuários anônimos.

Requisito de reinicialização

Esta atualização requer a reinicialização.

Boletins substituídos por esta atualização

Nenhum

Mais Detalhes

https://technet.microsoft.com/pt-br/library/security/ms14-054

 

 

Identificador do Boletim

Boletim de Segurança Microsoft MS14-055

Título do boletim

Vulnerabilidades no Microsoft Lync Server Podem Permitir Negação de Serviço (2990928)

Sumário Executivo

Esta atualização de segurança soluciona três vulnerabilidades relatadas de forma privada no Microsoft Lync Server. A mais severa das vulnerabilidades pode permitir negação de serviço se um invasor enviar pacotes especialmente criados para o servidor Lync.

 

A atualização de segurança soluciona as vulnerabilidades corrigindo a forma que o Lync Server sanitiza a entrada do usuário e corrigindo a maneira que o Lync Server manipula exceções e referências nulas.

Classificações de Gravidade e Softwares Afetados

Esta atualização de segurança foi classificada como Importante para todas as edições suportadas do Microsoft Lync Server 2010 e Microsoft Lync Server 2013.

Vetores de Ataque

  • CVE-2014-4068 e CVE-2014-4071: Uma solicitação especialmente criada para um servidor Lync.
  • CVE-2014-4070:
    • O atacante hospeda um site malicioso utilizando a vulnerabilidade e, em seguida, convence os usuários a visitar o site.
    • O atacante tira proveito de sites comprometidos e/ou anúncios de outros provedores de hospedagem de sites.
    • O invasor envia um e-mail contendo um URL/link para o site malicioso e convence o usuário a clicar no link.

Fatores de Mitigação

A Microsoft não identificou qualquer fator de mitigação para essa vulnerabilidade.

Requisito de reinicialização

Essa atualização não requer uma reinicialização.

Boletins substituídos por esta atualização

MS14-032 (Lync Server 2013 somente)

Mais Detalhes

https://technet.microsoft.com/pt-br/library/security/ms14-055

 

Sobre a Consistência de Informações

 

Fornecemos a você informações precisas de forma estática (neste e-mail) e dinâmica (na Web). O conteúdo de segurança da Microsoft publicado na Web é atualizado ocasionalmente para refletir informações alteradas. Se os resultados forem inconsistentes entre a informação desta mensagem e a informação no conteúdo de segurança do site da Microsoft, a informação do site deve ser considerada a autoritativa/correta.

 

Se você tiver qualquer dúvida sobre este alerta entre em contato com seu gerente de contas.

 

Atenciosamente,

Equipe de Segurança Microsoft CSS