Boletins de Segurança da Microsoft de Setembro de 2014

Article
09/10/2014

Alerta - Boletim de Segurança da Microsoft de Setembro de 2014

Qual é o objetivo deste alerta?

Esse alerta tem por objetivo fornecer uma visão geral dos novos boletins de segurança disponibilizados em 9 de setembro de 2014. Novos boletins de segurança são disponibilizados mensalmente para tratar vulnerabilidades críticas de nossos produtos.

Novos boletins de segurança

A Microsoft está disponibilizando 4 (quatro) novos boletins de segurança para vulnerabilidades recém-descobertas:

ID do boletim	Título do boletim	Classificação de gravidade máxima	Impacto da vulnerabilidade	Requisito de reinicialização	Softwares afetados
MS14-052	Atualização de segurança cumulativa para o Internet Explorer (2977629)	Crítica	Execução remota de código	Requer a reinicialização	Internet Explorer em todas as edições suportadas do Microsoft Windows.
MS14-053	Vulnerabilidade no .NET Framework Podem Permitir Negação de Serviço (2990931)	Importante	Negação de serviço	Pode exigir a reinicialização	Microsoft .NET Framework 1.1 Service Pack 1, Microsoft .NET Framework 2.0 Service Pack 2, Microsoft .NET Framework 3.0 Service Pack 2, Microsoft .NET Framework 3.5, Microsoft .NET Framework 3.5.1, Microsoft .NET Framework 4 e Microsoft .NET Framework 4.5/4.5.1/4.5.2 em versões afetadas doMicrosoft Windows.
MS14-054	Vulnerabilidade no Agendador de Tarefas do Windows Pode Permitir Elevação de Privilégio (2988948)	Importante	Elevação de privilégio	Requer a reinicialização	Microsoft Windows 8, Windows Server 2012, Windows RT, Windows 8.1, Windows Server 2012 R2 e Windows RT 8.1.
MS14-055	Vulnerabilidades no Microsoft Lync Server Podem Permitir Negação de Serviço (2990928)	Importante	Negação de serviço	Não requer reinicialização	Microsoft Lync Server 2010 e Microsoft Lync Server 2013.

Os sumários dos novos boletins podem ser encontrados em https://technet.microsoft.com/pt-br/library/security/ms14-sep.

Ferramenta de Remoção de Software Mal-intencionado do Microsoft Windows

A Microsoft está lançando uma versão atualizada da Ferramenta de Remoção de Software Mal-Intencionado no Windows Server Update Services (WSUS), Windows Update (WU) e no Centro de Download. Informações sobre a Ferramenta de Remoção de Software Mal-Intencionado estão disponíveis em: https://support.microsoft.com/kb/890830.

Atualizações de alta prioridade não relacionadas à segurança

Atualizações de alta prioridade Microsoft não relacionadas à segurança disponíveis no Microsoft Update (MU), Windows Update (WU) ou Windows Server Update Services (WSUS) serão detalhadas no artigo do KB em: https://support.microsoft.com/kb/894199 .

Comunicados de segurança relançados

A Microsoft relançou três comunicados de segurança em 9 de setembro de 2014. Confira a seguir uma visão geral sobre esses comunicados de segurança:

Comunicado de Segurança 2905247	Configuração Insegura de Site ASP.NET Pode Permitir Elevação de Privilégio
O que mudou?	Este comunicado foi relançado para oferecer a atualização de segurança através do Microsoft Update, além da opção do Centro de Downloads que foi fornecida quando este comunicado foi originalmente lançado. Além disso, as atualizações para algumas das versões do .NET Framework afetadas foram relançadas para solucionar um problema que causava ocasionalmente o retorno de um valor incorreto pelo IsPostBack.
Sumário Executivo	A Microsoft está anunciando a disponibilidade de uma atualização para o Microsoft ASP.NET para solucionar uma vulnerabilidade no estado de exibição do ASP.NET que existe quando a validação de código de autenticação de máquina (MAC) está desativada por meio de definições de configuração. A vulnerabilidade pode permitir a elevação de privilégio e afeta o Microsoft .NET Framework 1.1 Service Pack 1, Microsoft .NET Framework 2.0 Service Pack 2, Microsoft .NET Framework 3.5, Microsoft .NET Framework 3.5.1, Microsoft .NET Framework 4 e Microsoft .NET Framework 4.5/4.5.1.
Recomendações	A maioria dos clientes habilitou as atualizações automáticas e não precisará tomar qualquer ação porque esta atualização de segurança será baixada e instalada automaticamente.
Mais informações	https://technet.microsoft.com/pt-br/library/security/2905247

Comunicado de Segurança 2871997	Atualização para Melhorar a Proteção e Gerenciamento de Credenciais
O que mudou?	Em 9 de Setembro de 2014, a Microsoft lançou a atualização de segurança 2982378 para edições com suporte do Windows 7 e Windows Server 2008 R2. A atualização fornece proteção adicional para as credenciais dos usuários quando fazem login em um sistema Windows 7 ou Windows Server 2008 R2, garantindo que as credenciais são limpas imediatamente, em vez de esperar até que tenha sido obtido um TGT Kerberos (bilhete de concessão de tíquete). Para obter mais informações sobre essa atualização, incluindo links de download, consulte o Artigo da Base de Conhecimento Microsoft 2982378.
Sumário Executivo	A Microsoft está anunciando a disponibilidade de uma atualização para as edições suportadas do Windows 8 para sistemas de 32 bits, Windows 8 para sistemas baseados em x64, Windows RT, Windows Server 2012, Windows 7 para sistemas de 32 bits, Windows 7 para sistemas baseados em x64, Windows Server 2008 R2 para sistemas baseados em x64 e Windows 2008 R2 para sistemas baseados em Itanium que melhora a proteção de credenciais e controles de autenticação de domínio para reduzir o roubo de credenciais. Esta atualização fornece proteção adicional para a Autoridade de Segurança Local (LSA), adiciona um modo administativo restrito para o CredSSP (Credential Security Support Provider), introduz suporte para a categoria de usuário de domínio com conta restrita protegida e aplica políticas de autenticação mais rigorosas para sistemas clientes com Windows 7, Windows Server 2008 R2, Windows 8 e Windows Server 2012.
Recomendações	A Microsoft recomenda que os clientes apliquem a atualização imediatamente usando software de gerenciamento de atualizações, ou pela verificação de atualizações usando o serviço Microsoft Update.
Mais informações	https://technet.microsoft.com/pt-br/library/security/2871997

Comunicado de Segurança 2755801	Atualização para vulnerabilidades no Adobe Flash Player no Internet Explorer
O que mudou?	A Microsoft atualizou este comunicado para anunciar a disponibilidade de uma nova atualização para o Adobe Flash Player. Em 9 de setembro de 2014, a Microsoft lançou uma atualização (2987114) para o Internet Explorer 10 no Windows 8, Windows Server 2012 e Windows RT e para o Internet Explorer 11 no Windows 8.1, Windows Server 2012 R2 e Windows RT 8.1. A atualização trata as vulnerabilidades descritas no boletim de segurança da Adobe APSB14-21. Para obter mais informações sobre essa atualização, incluindo links de download, consulte o Artigo da Base de Conhecimento Microsoft 2987114.
Sumário Executivo	A Microsoft está anunciando a disponibilidade de uma atualização para o Adobe Flash Player no Internet Explorer em todas as edições suportadas do Windows 8, Windows Server 2012, Windows RT, Windows 8.1, Windows Server 2012 R2 e Windows RT 8.1. A atualização elimina as vulnerabilidades no Adobe Flash Player, atualizando as bibliotecas Adobe Flash afetadas contidas dentro de Internet Explorer 10 e Internet Explorer 11.
Recomendações	A Microsoft recomenda que os clientes apliquem a atualização imediatamente usando software de gerenciamento de atualizações, ou pela verificação de atualizações usando o serviço Microsoft Update. Uma vez que a atualização é cumulativa, será oferecida apenas a atualização atual. Os clientes não precisam instalar as atualizações anteriores como um pré-requisito para instalar a atualização atual.
Mais informações	https://technet.microsoft.com/pt-br/library/security/2755801

CRONOGRAMA DO BLOQUEIO DOS CONTROLES DE ACTIVEX DESATUALIZADOS NO INTERNET EXPLORER

Queremos lembrar aos clientes sobre o cronograma para o bloqueio dos controles de ActiveX desatualizados no Internet Explorer. A partir do dia 9 de Setembro de 2014, o recurso vai fornecer aos usuários com notificações quando as páginas da Web tentam carregar as seguintes versões de Java dos controles ActiveX.

J2SE 1.4 , todas abaixo (mas não incluindo) atualização 43
J2SE 5.0 , todas abaixo (mas não incluindo) atualização 71
Java SE 6, todas abaixo (mas não incluindo) atualização 81
Java SE 7, todas abaixo (mas não incluindo) atualização 65
Java SE 8, todas abaixo (mas não incluindo) atualização 11

Para obter detalhes completos incluindo respostas às perguntas mais frequentes consulte o Internet Explorer Team blog post: Internet Explorer begins blocking out-of-date ActiveX controls

Antes de 9 de Setembro de 2014, os clientes podem querer para entender o funcionamento desse recurso e determinar se é possível que haja algum impacto em seu ambiente. Informações sobre como testar essa nova funcionalidade foi adicionada ao artigo do KB para este recurso:

KB2991000: Update to block out-of-date ActiveX controls in Internet Explorer

(Nota: consulte a seção "Teste dos controles de ActiveX desatualizados " ).

Informações adicionais sobre o recurso de bloqueio dos controles de ActiveX desatualizados no Internet Explorer são fornecidas aqui:

O TechNet landing page para Out-of-date ActiveX control blocking
O Microsoft Security blog: IE increases protections, implements out-of-date ActiveX control blocking

Recursos em Português sobre bloqueio dos controles de ActiveX desatualizados:

Webcast Público Sobre o Boletim

A Microsoft realizará um webcast para responder a perguntas de clientes sobre estes boletins:

Título: Informações sobre boletins de segurança Microsoft de Setembro (nível 200)

EM INGLÊS Data: Quarta-feira, 10 de setembro de 2014, 11:00hrs (EUA e Canadá) – 15:00hrs (horário de Brasília) URL: https://technet.microsoft.com/security/dn756352 EM PORTUGUÊS Data: Quinta-feira, 11 de setembro de 2014 – 15:30hrs (horário de Brasília) URL: https://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032575589&culture=pt-BR

Detalhes Técnicos Sobre os Novos Boletins de Segurança

Nas tabelas de softwares afetados e não afetados a seguir, as edições de software não listadas já encerraram seus ciclos de vida de suporte. Para determinar o ciclo de vida do suporte de seu produto e edição, visite o site de Ciclo de Vida de Suporte Microsoft em: https://support.microsoft.com/lifecycle/.

Identificador do Boletim	Boletim de Segurança Microsoft MS14-052
Título do boletim	Atualização de segurança cumulativa para o Internet Explorer (2977629)
Sumário Executivo	Esta atualização de segurança soluciona uma vulnerabilidade relatada de forma pública e 36 vulnerabilidades relatadas de forma privada no Internet Explorer. A mais severa das vulnerabilidades pode permitir execução remota de código se um usuário exibir uma página da Web especialmente criada usando o Internet Explorer. Um atacante que explorar com êxito estas vulnerabilidades pode obter os mesmos direitos do usuário conectado ao sistema. A segurança atualização elimina as vulnerabilidades modificando a maneira que o Internet Explorer lida com objetos na memória e adicionando validações de permissões no Internet Explorer.
Classificações de Gravidade e Softwares Afetados	Esta atualização de segurança foi classificada como Crítica para o Internet Explorer 6, Internet Explorer 7, Internet Explorer 8, Internet Explorer 9, Internet Explorer 10 e Internet Explorer 11 em clientes Windows e Moderada para o Internet Explorer 6, Internet Explorer 7, Internet Explorer 8, Internet Explorer 9, Internet Explorer 10 e Internet Explorer 11 em servidores Windows.
Vetores de Ataque	Um atacante pode hospedar um site que é usado para tentar explorar esta vulnerabilidade. Além disso, sites comprometidos e sites que aceitam hospedar conteúdo fornecido pelo usuário podem conter conteúdo especialmente criado que pode explorar esta vulnerabilidade.
Fatores de Mitigação	Um invasor teria que convencer os usuários a tomar medidas, normalmente fazendo com que cliquem em um link em uma mensagem de email ou em uma mensagem instantânea que leva o usuário ao site do invasor, ou por levá-los a abrir um anexo enviado através de e-mail. Os usuários cujas contas estão configuradas para ter menos direitos de usuário no sistema podem ser menos afetados do que os usuários que operam com direitos administrativos. Por padrão, todas as versões suportadas do Microsoft Outlook, Microsoft Outlook Express e Windows Mail abrem mensagens de correio eletrônico HTML na zona de Sites Restritos. Por padrão, o Internet Explorer no Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 e Windows Server 2012 R2 é executado em modo restrito.
Requisito de reinicialização	Esta atualização requer a reinicialização.
Boletins substituídos por esta atualização	MS14-051
Mais Detalhes	https://technet.microsoft.com/pt-br/library/security/ms14-052

Identificador do Boletim	Boletim de Segurança Microsoft MS14-053
Título do boletim	Vulnerabilidade no .NET Framework Podem Permitir Negação de Serviço (2990931)
Sumário Executivo	Esta atualização de segurança soluciona uma vulnerabilidade relatada de forma privada no Microsoft .NET Framework. A vulnerabilidade pode permitir a negação de serviço se o atacante enviar um pequeno número de pacotes especialmente criados para o site habilitado com .NET afetado. Por padrão, o ASP.NET não é instalado quando o Microsoft .NET Framework é instalado em qualquer edição suportada do Microsoft Windows. Para ser afetado pela vulnerabilidade, os clientes devem ter instalado e habilitado manualmente o ASP.NET registrando-o no IIS. A atualização de segurança soluciona a vulnerabilidade corrigindo a forma que o Microsoft .NET Framework trata requisições especialmente criadas.
Classificações de Gravidade e Softwares Afetados	Esta atualização de segurança foi classificada como Importante para Microsoft .NET Framework 1.1 Service Pack 1, Microsoft .NET Framework 2.0 Service Pack 2 e .NET Framework 3.0 Service Pack 2, Microsoft .NET Framework 3.5, Microsoft .NET Framework 3.5.1, Microsoft .NET Framework 4 e Microsoft .NET Framework 4.5/4.5.1/4.5.2 em edições afetadas do Microsoft Windows.
Vetores de Ataque	Um atacante não autenticado pode enviar um pequeno número de solicitações especialmente criadas para um site habilitado com .NET afetado, causando uma condição de negação de serviço.
Fatores de Mitigação	Por padrão, o ASP.NET não é instalado quando o Microsoft .NET Framework é instalado em qualquer edição suportada do Microsoft Windows.
Requisito de reinicialização	Esta atualização pode exigir a reinicialização.
Boletins substituídos por esta atualização	MS13-004, MS13-052 e MS14-009.
Mais Detalhes	https://technet.microsoft.com/pt-br/library/security/ms14-053

Identificador do Boletim	Boletim de Segurança Microsoft MS14-054
Título do boletim	Vulnerabilidade no Agendador de Tarefas do Windows Pode Permitir Elevação de Privilégio (2988948)
Sumário Executivo	Esta atualização de segurança soluciona uma vulnerabilidade relatada de forma privada no Microsoft Windows. A vulnerabilidade pode permitir a elevação de privilégio se um atacante efetuar login no sistema e executar um aplicativo especialmente criado. Um invasor deve ter credenciais de login válidas e ser capaz de efetuar login localmente para explorar essas vulnerabilidades. A vulnerabilidade não pode ser explorada remotamente ou por usuários anônimos. A atualização de segurança elimina a vulnerabilidade corrigindo a forma como o Agendador de tarefas realiza a integridade das tarefas.
Classificações de Gravidade e Softwares Afetados	Esta atualização de segurança foi classificada como Importante para todas as edições suportadas do Windows 8, Windows Server 2012, Windows RT, Windows 8.1, Windows Server 2012 R2 e Windows RT 8.1.
Vetores de Ataque	Para explorar essas vulnerabilidades, um invasor teria primeiro que efetuar login no sistema. Um atacante pode executar um aplicativo especialmente criado que pode explorar a vulnerabilidade e assumir o controle total sobre um sistema afetado.
Fatores de Mitigação	Um invasor deve ter credenciais de login válidas e ser capaz de efetuar login localmente para explorar essas vulnerabilidades. A vulnerabilidade não pode ser explorada remotamente ou por usuários anônimos.
Requisito de reinicialização	Esta atualização requer a reinicialização.
Boletins substituídos por esta atualização	Nenhum
Mais Detalhes	https://technet.microsoft.com/pt-br/library/security/ms14-054

Identificador do Boletim	Boletim de Segurança Microsoft MS14-055
Título do boletim	Vulnerabilidades no Microsoft Lync Server Podem Permitir Negação de Serviço (2990928)
Sumário Executivo	Esta atualização de segurança soluciona três vulnerabilidades relatadas de forma privada no Microsoft Lync Server. A mais severa das vulnerabilidades pode permitir negação de serviço se um invasor enviar pacotes especialmente criados para o servidor Lync. A atualização de segurança soluciona as vulnerabilidades corrigindo a forma que o Lync Server sanitiza a entrada do usuário e corrigindo a maneira que o Lync Server manipula exceções e referências nulas.
Classificações de Gravidade e Softwares Afetados	Esta atualização de segurança foi classificada como Importante para todas as edições suportadas do Microsoft Lync Server 2010 e Microsoft Lync Server 2013.
Vetores de Ataque	CVE-2014-4068 e CVE-2014-4071: Uma solicitação especialmente criada para um servidor Lync. CVE-2014-4070: O atacante hospeda um site malicioso utilizando a vulnerabilidade e, em seguida, convence os usuários a visitar o site. O atacante tira proveito de sites comprometidos e/ou anúncios de outros provedores de hospedagem de sites. O invasor envia um e-mail contendo um URL/link para o site malicioso e convence o usuário a clicar no link.
Fatores de Mitigação	A Microsoft não identificou qualquer fator de mitigação para essa vulnerabilidade.
Requisito de reinicialização	Essa atualização não requer uma reinicialização.
Boletins substituídos por esta atualização	MS14-032 (Lync Server 2013 somente)
Mais Detalhes	https://technet.microsoft.com/pt-br/library/security/ms14-055

Sobre a Consistência de Informações

Fornecemos a você informações precisas de forma estática (neste e-mail) e dinâmica (na Web). O conteúdo de segurança da Microsoft publicado na Web é atualizado ocasionalmente para refletir informações alteradas. Se os resultados forem inconsistentes entre a informação desta mensagem e a informação no conteúdo de segurança do site da Microsoft, a informação do site deve ser considerada a autoritativa/correta.

Se você tiver qualquer dúvida sobre este alerta entre em contato com seu gerente de contas.

Atenciosamente,

Equipe de Segurança Microsoft CSS

Boletins de Segurança da Microsoft de Setembro de 2014

Additional resources