Alerta - Microsoft Security Advisory 3009008 revisado em 29 de Outubro de 2014 para resolver uma vulnerabilidade no SSL 3.0 que Poderia Permitir a Divulgação de Informações
Qual é o objetivo do alerta?
Este alerta é para notificá-lo de que a Microsoft revisou o Aviso de Segurança 3009008 -Vulnerabilidade no SSL 3.0 que Poderia Permitir a Divulgação de Informações - em 29 de Outubro de 2014, para fornecer orientações mais atualizadas aos clientes.
Mais informações sobre o Aviso de Segurança 3009008
A Microsoft lançou o Aviso de Segurança 3009008 em 14 de Outubro de 2014, para fornecer orientações relacionadas a uma vulnerabilidade no protocolo SSL (Secure Sockets Layer) 3.0 , que poderia permitir a divulgação de informações. Trata-se de uma vulnerabilidade que afeta o próprio protocolo e não é específico a nenhuma implementação da Microsoft.
Novas orientações adicionadas ao Aviso de Segurança 3009008
O Aviso de Segurança 3009008 foi revisado em 29 de Outubro de 2014, para incluir uma ferramenta fácil, o [Fix-it], que com apenas um clique , os clientes podem usá-lo para desabilitar o protocolo SSL 3.0 em todas as versões do Internet Explorer.
Para ajudar a proteger nossos clientes ainda mais, a Microsoft anunciou planos de desativar o fallback para SSL 3.0 no Internet Explorer, e desabilitar SSL 3.0 por padrão no Internet Explorer e em serviços online da Microsoft, nos próximos meses.
O cronograma para as próximas mudanças no SSL 3.0
A partir de 1 de Dezembro de 2014, o Azure e o Office 365 vão começar a desativação de suporte a SSL 3.0. Isso significa que iniciando em 1 de Dezembro de 2014, todas as combinações dos clientes/browsers terão que utilizar TLS 1.0 ou superior para conectar-se aos serviços Azure e o Office 365. Isso pode exigir que determinada combinação de cliente/browser seja atualizado.
Embora a análise das ligações para os serviços online da Microsoft mostram que muitos poucos clientes ainda utilizam o SSL 3.0, estamos oferecendo aos clientes com antecedência esta mudança a fim de atualizar os clientes impactados antes da nossa desativação de SSL 3.0.
Recomendações
O Aviso de Segurança 3009008 contém links para recursos de orientação para os clientes e administradores para garantir que os clientes estejam utilizando o TLS 1.0 ou superior e para desativar de forma proativa o SSL 3.0.
Consulte o Aviso de Segurança da Microsoft 3009008, o blog do Microsoft Office e blog do Microsoft Azure nos links abaixo para informações adicionais, incluindo uma visão geral do problema, informações sobre componentes afetados, fatores atenuantes, como implementar soluções automatizadas, ações sugeridas, as perguntas mais frequentes (FAQ), e links para recursos adicionais.
Recursos Adicionais
Microsoft Security Advisory 3009008 - Vulnerabilidade no SSL3 que Poderia Permitir a Divulgação de Informações - https://technet.microsoft.com/library/security/3009008 ‘
Veja Microsoft Knowledge Base Article 3009008 para usar a solução automatizada do Microsoft Fix-it para apenas desabilitar o SSL 3.0 no Internet Explorer
Microsoft Security Response Center (MSRC) Blog: https://blogs.technet.com/msrc
Microsoft Azure Blog: https://azure.microsoft.com/blog
Microsoft Office Blog: https://blogs.office.com/2014/10/29/
Sobre a Consistência de Informações
Fornecemos a você informações precisas de forma estática (neste e-mail) e dinâmica (na Web). O conteúdo de segurança da Microsoft publicado na Web é atualizado ocasionalmente para refletir informações alteradas. Se os resultados forem inconsistentes entre a informação desta mensagem e a informação no conteúdo de segurança do site da Microsoft, a informação do site deve ser considerada a autoritativa/correta.
Se você tiver qualquer dúvida sobre este alerta entre em contato com seu gerente de contas técnico.
Atenciosamente,
Equipe de Segurança Microsoft CSS