Lançamento da atualização de segurança da Microsoft – janeiro de 2018

Qual é o propósito deste alerta?

Este alerta tem como objetivo fornecer uma visão geral das novas atualizações de segurança que foram lançadas em terça-feira, 9 de janeiro de 2018.  A Microsoft lança atualizações de segurança mensalmente para solucionar vulnerabilidades de segurança em produtos da Microsoft.

Visão geral da atualização de segurança

Em terça-feira, 9 de janeiro de 2018, a Microsoft lançou novas atualizações de segurança que afetam os seguintes produtos da Microsoft:

Família de produtos Severidade máxima

Impacto máximo

Artigos da base de dados e/ou páginas de suporte associados
Componentes relacionados ao Microsoft Office Crítico

Execução remota de código

O número de artigos da base de dados associados ao Office para cada lançamento mensal de atualizações de segurança pode variar dependendo do número de CVEs e do número de componentes afetados. Em janeiro, há mais de 30 artigos da base de dados associados a atualizações de segurança para componentes do Office e relacionados ao Office, demais para listar nesta tabela de resumo.
Microsoft SharePoint Crítico

Execução remota de código

Informações da Microsoft sobre atualizações de segurança para softwares SharePoint afetados: 3114998, 3141547, 4011579, 4011599, 4011609, 4011642 e 4011653.
.NET Framework Importante

Negação de serviço

O número de artigos da base de dados associados ao .NET Framework para cada lançamento de atualizações de segurança pode variar dependendo do número de CVEs e do número de componentes afetados. Em janeiro, há mais de 20 artigos da base de dados associados a atualizações de segurança para o .NET Framework, demais para listar nesta tabela de resumo.
.NET Core e ASP.NET Core Importante

Elevação de privilégio

O ASP.NET Core é uma estrutura de software livre de plataforma cruzada e alto desempenho para a criação de aplicativos modernos, baseados na nuvem e conectados à Internet. O .NET Core é uma plataforma de desenvolvimento para fins gerais mantida pela Microsoft e pela comunidade .NET no GitHub.
Adobe Flash Player Crítico

Execução remota de código

Informações da Microsoft sobre atualizações de segurança para o Adobe Flash Player:
4056887.

Visão geral da vulnerabilidade de segurança

Veja abaixo um resumo mostrando o número de vulnerabilidades solucionadas neste lançamento, discriminadas por produto/componente e por impacto.

Detalhes da vulnerabilidade (1)

RCE

EOP

ID

SFB

DOS

SPF

TAM

Divulgadas de forma pública

Exploração conhecida

CVSS máxima

Software relacionado ao Microsoft Office

15

0

1

0

0

1

0

0

1

NA (2)

Microsoft SharePoint

2

0

1

0

0

1

1

0

0

NA (2)

.NET Framework

0

0

0

1

1

0

0

0

0

NA (2)

.NET Core e ASP.NET Core

0

1

0

1

1

0

1

0

0

NA (2)

Adobe Flash Player

0

0

1

0

0

0

0

0

0

NA (2)

RCE = Execução Remota de Código | EOP = Elevação de Privilégio | ID = Divulgação de Informações Confidenciais
SFB = Bypass de Recurso de Segurança | DOS = Negação de Serviço | SPF = Falsificação | TAM = Adulteração

(1) Vulnerabilidades que sobrepõem componentes podem ser representadas mais de uma vez na tabela.

(2) No momento do lançamento, as pontuações de CVE só estavam disponíveis para o Windows, o Internet Explorer e o Microsoft Edge.

Guia de Atualizações de Segurança

O Guia de Atualizações de Segurança é nosso recurso recomendado para informações sobre atualizações de segurança. Você pode personalizar suas exibições e criar planilhas de softwares afetados, além de baixar dados por meio de uma API RESTful. Como lembrete, o Guia de Atualizações de Segurança agora substituiu formalmente as páginas de boletins de segurança tradicionais.

Portal do Guia de Atualizações de Segurança:  https://aka.ms/securityupdateguide

Página da Web de perguntas frequentes sobre o Guia de Atualizações de Segurança: https://technet.microsoft.com/pt-br/security/mt791750

Detalhes de vulnerabilidade

Veja a seguir resumos de algumas das vulnerabilidades de segurança neste lançamento. Essas vulnerabilidades específicas foram selecionadas de um conjunto maior de vulnerabilidades no lançamento por um ou mais dos seguintes motivos: 1) Recebemos consultas sobre a vulnerabilidade; 2) a vulnerabilidade pode ter recebido atenção na imprensa especializada; ou 3) a vulnerabilidade tem impacto potencialmente maior do que outras no lançamento. Como não fornecemos resumos para cada vulnerabilidade que consta no lançamento, você deve rever o conteúdo no Guia de Atualizações de Segurança para obter informações não fornecidas nesses resumos.

CVE-2018-0802 Vulnerabilidade de corrupção de memória do Microsoft Office
Sinopse Existe uma vulnerabilidade de execução remota de código no software Microsoft Office quando este não consegue manipular corretamente os objetos na memória. Um invasor que tenha conseguido explorar as vulnerabilidades pode executar um código arbitrário no contexto do usuário atual. Se o usuário atual estiver conectado com direitos de usuário administrativo, um invasor poderá assumir o controle do sistema afetado. O invasor poderá instalar programas; exibir, alterar ou excluir dados; ou criar novas contas com direitos totais de usuário. Os usuários cujas contas estão configuradas com poucos direitos de usuário no sistema correm menos riscos do que aqueles com direitos administrativos.
A atualização de segurança resolve a vulnerabilidade, removendo a funcionalidade do Editor de Equações.

Para obter mais informações sobre essa alteração, consulte o seguinte artigo: https://support.microsoft.com/pt-br/help/4057882

Vetores de ataque A exploração dessa vulnerabilidade requer que um usuário abra um arquivo especialmente criado com uma versão afetada do Microsoft Office ou do Microsoft WordPad. Em um cenário de ataque por email, um invasor pode explorar a vulnerabilidade enviando ao usuário um arquivo especialmente criado e convencendo-o a abrir esse arquivo. Em um cenário de ataque baseado na Web, um invasor pode hospedar um site (ou aproveitar um site comprometido que aceita ou hospeda conteúdo fornecido pelo usuário) que contém um arquivo projetado especialmente para explorar a vulnerabilidade.
Fatores atenuantes Não há como o invasor forçar os usuários a visitarem o site mal-intencionado. Em vez disso, ele teria que convencer os usuários a clicarem em um link, normalmente na forma de atrativos em um email ou mensagem instantânea, e então convencê-los a abrirem o arquivo especialmente criado.
Soluções alternativas A Microsoft não identificou soluções alternativas.
Softwares afetados Microsoft Office 2007, Office 2010, Office 2013, Office 2016, Word 2007, Word 2010, Word 2013, Word 2016.
Impacto Execução remota de código
Gravidade Importante
Divulgado de forma pública? Não
Explorações conhecidas? Sim
Avaliação de capacidade de exploração – Mais recente: 0 – conhecida por ter sido explorada no momento em que a atualização foi lançada.
Avaliação de capacidade de exploração – Herdada: 0 – conhecida por ter sido explorada no momento em que a atualização foi lançada.
Mais detalhes https://portal.msrc.microsoft.com/pt-br/security-guidance/advisory/CVE-2018-0802 
CVE-2018-0764 Vulnerabilidade de negação de serviço no .NET e .NET Core
Sinopse Existe uma vulnerabilidade de Negação de Serviço quando o .NET e o .NET Core, processam incorretamente documentos XML. Um invasor que conseguir explorar essa vulnerabilidade poderá causar uma negação de serviço em um aplicativo .NET.
A atualização resolve a vulnerabilidade, corrigindo como os aplicativos .NET e .NET Core lidam com o processamento de documentos XML.
Vetores de ataque Um invasor remoto não autenticado pode explorar essa vulnerabilidade, emitindo solicitações especialmente criadas para o aplicativo .NET (ou .NET Core).
Fatores atenuantes A Microsoft não identificou fatores atenuantes para essa vulnerabilidade.
Soluções alternativas A Microsoft não identificou soluções alternativas para essa vulnerabilidade.
Softwares afetados Microsoft .NET Framework 3.0 SP2, Microsoft .NET Framework 3.5, Microsoft .NET Framework 3.5.1, Microsoft .NET Framework 4.5.2, Microsoft .NET Framework 4.6, Microsoft .NET Framework 4.6.1, Microsoft .NET Framework 4.6.2, Microsoft .NET Framework 4.7 e .NET Core 2.0.
Impacto Importante
Gravidade Negação de serviço
Divulgado de forma pública? Não
Explorações conhecidas? Não
Avaliação de capacidade de exploração – Mais recente: No momento em que este conteúdo estava sendo elaborado, a classificação XI ainda não havia sido atribuída.
Avaliação de capacidade de exploração – Herdada: No momento em que este conteúdo estava sendo elaborado, a classificação XI ainda não havia sido atribuída.
Mais detalhes https://portal.msrc.microsoft.com/pt-br/security-guidance/advisory/CVE-2018-0764
CVE-2018-0797 Vulnerabilidade de corrupção de memória do Microsoft Word
Sinopse Existe uma vulnerabilidade de execução remota de código do formato RTF do Office no software Microsoft Office quando este não consegue manipular arquivos RTF corretamente. Um invasor que tenha conseguido explorar as vulnerabilidades pode executar um código arbitrário no contexto do usuário atual. Se o usuário atual estiver conectado com direitos de usuário administrativo, um invasor poderá assumir o controle do sistema afetado. O invasor poderá instalar programas; exibir, alterar ou excluir dados; ou criar novas contas com direitos totais de usuário.
A atualização de segurança resolve a vulnerabilidade, alterando como o software Microsoft Office lida com conteúdo RTF.
Vetores de ataque A exploração dessa vulnerabilidade requer que um usuário abra um arquivo especialmente criado com uma versão afetada do software Microsoft Office. Em um cenário de ataque por email, um invasor pode explorar a vulnerabilidade enviando ao usuário um arquivo especialmente criado e convencendo-o a abrir esse arquivo. Em um cenário de ataque pela Web, um invasor pode hospedar um site (ou aproveitar um site comprometido que aceita ou hospeda conteúdo fornecido pelo usuário) que contém um arquivo projetado especialmente para explorar a vulnerabilidade.
Fatores atenuantes Não há como um invasor forçar o usuário a abrir um arquivo mal-intencionado ou visitar um site mal-intencionado. Em vez disso, um invasor teria que enganar o usuário, convencendo-o a realizar ações não seguras, como clicar em um link mal-intencionado em um email ou mensagem instantânea e, em seguida, abrir o arquivo especialmente criado.
Os usuários cujas contas estão configuradas com poucos direitos de usuário no sistema correm menos riscos do que aqueles com direitos administrativos.
Soluções alternativas A Microsoft não identificou soluções alternativas para essa vulnerabilidade.
Softwares afetados Microsoft Office 2010, Office 2016 para Mac, Office Compatibility Pack, Office Online Server 2016, Office Web Apps 2010, Office Web Apps Server 2013, Office Word Viewer, SharePoint Enterprise Server 2013, SharePoint Enterprise Server 2016, SharePoint Server 2010, Word 2007, Word 2010, Word 2013, Word 2013 RT e Word 2016.
Impacto Execução remota de código
Gravidade Crítico
Divulgado de forma pública? Não
Explorações conhecidas? Não
Avaliação de capacidade de exploração – Mais recente: No momento em que este conteúdo estava sendo elaborado, a classificação XI ainda não havia sido atribuída.
Avaliação de capacidade de exploração – Herdada: No momento em que este conteúdo estava sendo elaborado, a classificação XI ainda não havia sido atribuída.
Mais detalhes https://portal.msrc.microsoft.com/pt-br/security-guidance/advisory/CVE-2018-0797

Sobre a consistência das informações

Nós nos empenhamos para fornecer a você informações precisas usando conteúdos estáticos (esta mensagem) e dinâmicos (baseados na Web). O conteúdo de segurança da Microsoft postado na Web é atualizado frequentemente para informar sobre novidades. Se isso resultar em uma inconsistência entre as informações descritas aqui e as informações no conteúdo de segurança baseado na Web publicado pela Microsoft, as informações nesse conteúdo publicado prevalecerão.

Em caso de dúvidas sobre este aviso, entre em contato com seu Gerente Técnico de Conta (TAM)/Gerente de Prestação de Serviços (SDM).

Agradecemos sua atenção.

Equipe de Segurança Microsoft CSS