Boletim de Segurança da Microsoft MS13-082 – Crítico

Vulnerabilidades no .NET Framework podem permitir a execução remota de código (2878890)

Publicado em: 8 de outubro de 2013 | Atualizado em: 7 de abril de 2016

Versão: 1.2

Informações gerais

Resumo executivo

Essa atualização de segurança resolve duas vulnerabilidades relatadas de forma privada e uma vulnerabilidade divulgada publicamente no Microsoft .NET Framework. As vulnerabilidades mais graves poderão permitir a execução remota de código se um usuário visitar um site que contém um arquivo de fonte OpenType (OTF) especialmente criado usando um navegador capaz de instanciar aplicativos XBAP.

Esta atualização de segurança é classificada como Crítica para o Microsoft .NET Framework 3.0 Service Pack 2, Microsoft .NET Framework 3.5, Microsoft .NET Framework 3.5.1, Microsoft .NET Framework 4 e Microsoft .NET Framework 4.5 nas edições afetadas do Microsoft Windows; ele é classificado como Importante para o Microsoft .NET Framework 2.0 Service Pack 2 e o Microsoft .NET Framework 3.5 Service Pack 1 nas edições afetadas do Microsoft Windows.

A atualização de segurança aborda as vulnerabilidades garantindo que o .NET Framework manipule corretamente fontes OpenType, assinaturas digitais XML e definições de tipo de documento em codificações de dados JSON. Para obter mais informações sobre as vulnerabilidades, consulte a subseção perguntas frequentes para a entrada de vulnerabilidade específica na próxima seção, Informações de Vulnerabilidade.

Recomendação. A maioria dos clientes tem a atualização automática habilitada e não precisará executar nenhuma ação porque essa atualização de segurança será baixada e instalada automaticamente. Os clientes que não habilitaram a atualização automática precisam marcar para atualizações e instalar essa atualização manualmente. Para obter informações sobre opções de configuração específicas na atualização automática, consulte Artigo da Base de Dados de Conhecimento Microsoft 294871.

Para administradores e instalações corporativas ou usuários finais que desejam instalar essa atualização de segurança manualmente, a Microsoft recomenda que os clientes apliquem a atualização imediatamente usando o software de gerenciamento de atualizações ou verificando se há atualizações usando o serviço Microsoft Update .

Consulte também a seção Ferramentas e Diretrizes de Detecção e Implantação, mais adiante neste boletim.

Artigo da Base de Dados de Conhecimento

  • Artigo da Base de Dados de Conhecimento: 2878890
  • Informações do arquivo: Sim
  • Hashes SHA1/SHA2: Sim
  • Problemas conhecidos: Nenhum

Software afetado e não afetado

O software a seguir foi testado para determinar quais versões ou edições são afetadas. Outras versões ou edições estão além do ciclo de vida de suporte ou não são afetadas. Para determinar o ciclo de vida de suporte para sua versão ou edição de software, consulte Suporte da Microsoft Ciclo de vida.

Sistema operacional Componente Impacto máximo na segurança Classificação de severidade agregada Atualizações substituído
Windows XP
Windows XP Service Pack 3 Microsoft .NET Framework 2.0 Service Pack 2 (2863239) Negação de Serviço Importante 2804577 no MS13-040
Windows XP Service Pack 3 Microsoft .NET Framework 3.0 Service Pack 2 (2861189) Execução remota de código Crítico Nenhum
Windows XP Service Pack 3 Microsoft .NET Framework 3.5 Service Pack 1 (2861697) Negação de Serviço Importante 2657424 no MS11-100
Windows XP Service Pack 3 Microsoft .NET Framework 4[1](2858302) Negação de Serviço Importante 2804576 no MS13-040 e 2656351 no MS11-100
Windows XP Service Pack 3 Microsoft .NET Framework 4[1](2861188) Execução remota de código Crítico 2832407 no MS13-052
Windows XP Professional x64 Edition Service Pack 2 Microsoft .NET Framework 2.0 Service Pack 2 (2863239) Negação de Serviço Importante 2804577 no MS13-040
Windows XP Professional x64 Edition Service Pack 2 Microsoft .NET Framework 3.0 Service Pack 2 (2861189) Execução remota de código Crítico Nenhum
Windows XP Professional x64 Edition Service Pack 2 Microsoft .NET Framework 3.5 Service Pack 1 (2861697) Negação de Serviço Importante 2657424 no MS11-100
Windows XP Professional x64 Edition Service Pack 2 Microsoft .NET Framework 4[1](2858302) Negação de Serviço Importante 2804576 no MS13-040 e 2656351 no MS11-100
Windows XP Professional x64 Edition Service Pack 2 Microsoft .NET Framework 4[1](2861188) Execução remota de código Crítico 2832407 no MS13-052
Windows Server 2003
Windows Server 2003 Service Pack 2 Microsoft .NET Framework 2.0 Service Pack 2 (2863239) Negação de Serviço Importante 2804577 no MS13-040
Windows Server 2003 Service Pack 2 Microsoft .NET Framework 3.0 Service Pack 2 (2861189) Execução remota de código Crítico Nenhum
Windows Server 2003 Service Pack 2 Microsoft .NET Framework 3.5 Service Pack 1 (2861697) Negação de Serviço Importante 2657424 no MS11-100
Windows Server 2003 Service Pack 2 Microsoft .NET Framework 4[1](2858302) Negação de Serviço Importante 2804576 no MS13-040 e 2656351 no MS11-100
Windows Server 2003 Service Pack 2 Microsoft .NET Framework 4[1](2861188) Execução remota de código Crítico 2832407 no MS13-052
Windows Server 2003 x64 Edition Service Pack 2 Microsoft .NET Framework 2.0 Service Pack 2 (2863239) Negação de Serviço Importante 2804577 no MS13-040
Windows Server 2003 x64 Edition Service Pack 2 Microsoft .NET Framework 3.0 Service Pack 2 (2861189) Execução remota de código Crítico Nenhum
Windows Server 2003 x64 Edition Service Pack 2 Microsoft .NET Framework 3.5 Service Pack 1 (2861697) Negação de Serviço Importante 2657424 no MS11-100
Windows Server 2003 x64 Edition Service Pack 2 Microsoft .NET Framework 4[1](2858302) Negação de Serviço Importante 2804576 no MS13-040 e 2656351 no MS11-100
Windows Server 2003 x64 Edition Service Pack 2 Microsoft .NET Framework 4[1](2861188) Execução remota de código Crítico 2832407 no MS13-052
Windows Server 2003 com SP2 para sistemas baseados em Itanium Microsoft .NET Framework 2.0 Service Pack 2 (2863239) Negação de Serviço Importante 2804577 no MS13-040
Windows Server 2003 com SP2 para sistemas baseados em Itanium Microsoft .NET Framework 3.5 Service Pack 1 (2861697) Negação de Serviço Importante 2657424 no MS11-100
Windows Server 2003 com SP2 para sistemas baseados em Itanium Microsoft .NET Framework 4[1](2858302) Negação de Serviço Importante 2804576 no MS13-040 e 2656351 no MS11-100
Windows Vista
Windows Vista Service Pack 2 Microsoft .NET Framework 2.0 Service Pack 2 (2863253) Negação de Serviço Importante 2804580 no MS13-040
Windows Vista Service Pack 2 Microsoft .NET Framework 3.0 Service Pack 2 (2861190) Execução remota de código Crítico Nenhum
Windows Vista Service Pack 2 Microsoft .NET Framework 3.5 Service Pack 1 (2861697) Negação de Serviço Importante 2657424 no MS11-100
Windows Vista Service Pack 2 Microsoft .NET Framework 4[1](2858302) Negação de Serviço Importante 2804576 no MS13-040 e 2656351 no MS11-100
Windows Vista Service Pack 2 Microsoft .NET Framework 4[1](2861188) Execução remota de código Crítico 2832407 no MS13-052
Windows Vista Service Pack 2 Microsoft .NET Framework 4.5 (2861193) Execução remota de código Crítico 2835622 no MS13-052
Windows Vista Service Pack 2 Microsoft .NET Framework 4.5 (2861208) Negação de Serviço Importante 2804582 no MS13-040
Windows Vista x64 Edition Service Pack 2 Microsoft .NET Framework 2.0 Service Pack 2 (2863253) Negação de Serviço Importante 2804580 no MS13-040
Windows Vista x64 Edition Service Pack 2 Microsoft .NET Framework 3.0 Service Pack 2 (2861190) Execução remota de código Crítico Nenhum
Windows Vista x64 Edition Service Pack 2 Microsoft .NET Framework 3.5 Service Pack 1 (2861697) Negação de Serviço Importante 2657424 no MS11-100
Windows Vista x64 Edition Service Pack 2 Microsoft .NET Framework 4[1](2858302) Negação de Serviço Importante 2804576 no MS13-040 e 2656351 no MS11-100
Windows Vista x64 Edition Service Pack 2 Microsoft .NET Framework 4[1](2861188) Execução remota de código Crítico 2832407 no MS13-052
Windows Vista x64 Edition Service Pack 2 Microsoft .NET Framework 4.5 (2861193) Execução remota de código Crítico 2835622 no MS13-052
Windows Vista x64 Edition Service Pack 2 Microsoft .NET Framework 4.5 (2861208) Negação de Serviço Importante 2804582 no MS13-040
Windows Server 2008
Windows Server 2008 para Sistemas de 32 bits Service Pack 2 Microsoft .NET Framework 2.0 Service Pack 2 (2863253) Negação de Serviço Importante 2804580 no MS13-040
Windows Server 2008 para Sistemas de 32 bits Service Pack 2 Microsoft .NET Framework 3.0 Service Pack 2 (2861190) Execução remota de código Crítico Nenhum
Windows Server 2008 para Sistemas de 32 bits Service Pack 2 Microsoft .NET Framework 3.5 Service Pack 1 (2861697) Negação de Serviço Importante 2657424 no MS11-100
Windows Server 2008 para Sistemas de 32 bits Service Pack 2 Microsoft .NET Framework 4[1](2858302) Negação de Serviço Importante 2804576 no MS13-040 e 2656351 no MS11-100
Windows Server 2008 para Sistemas de 32 bits Service Pack 2 Microsoft .NET Framework 4[1](2861188) Execução remota de código Crítico 2832407 no MS13-052
Windows Server 2008 para Sistemas de 32 bits Service Pack 2 Microsoft .NET Framework 4.5 (2861193) Execução remota de código Crítico 2835622 no MS13-052
Windows Server 2008 para Sistemas de 32 bits Service Pack 2 Microsoft .NET Framework 4.5 (2861208) Negação de Serviço Importante 2804582 no MS13-040
Windows Server 2008 para sistemas baseados em x64 Service Pack 2 Microsoft .NET Framework 2.0 Service Pack 2 (2863253) Negação de Serviço Importante 2804580 no MS13-040
Windows Server 2008 para sistemas baseados em x64 Service Pack 2 Microsoft .NET Framework 3.0 Service Pack 2 (2861190) Execução remota de código Crítico Nenhum
Windows Server 2008 para sistemas baseados em x64 Service Pack 2 Microsoft .NET Framework 3.5 Service Pack 1 (2861697) Negação de Serviço Importante 2657424 no MS11-100
Windows Server 2008 para sistemas baseados em x64 Service Pack 2 Microsoft .NET Framework 4[1](2858302) Negação de Serviço Importante 2804576 no MS13-040 e 2656351 no MS11-100
Windows Server 2008 para sistemas baseados em x64 Service Pack 2 Microsoft .NET Framework 4[1](2861188) Execução remota de código Crítico 2832407 no MS13-052
Windows Server 2008 para sistemas baseados em x64 Service Pack 2 Microsoft .NET Framework 4.5 (2861193) Execução remota de código Crítico 2835622 no MS13-052
Windows Server 2008 para sistemas baseados em x64 Service Pack 2 Microsoft .NET Framework 4.5 (2861208) Negação de Serviço Importante 2804582 no MS13-040
Windows Server 2008 para Sistemas baseados em Itanium Service Pack 2 Microsoft .NET Framework 2.0 Service Pack 2 (2863253) Negação de Serviço Importante 2804580 no MS13-040
Windows Server 2008 para Sistemas baseados em Itanium Service Pack 2 Microsoft .NET Framework 3.5 Service Pack 1 (2861697) Negação de Serviço Importante 2657424 no MS11-100
Windows Server 2008 para sistemas baseados em Itanium Service Pack 2 Microsoft .NET Framework 4[1](2858302) Negação de Serviço Importante 2804576 no MS13-040 e 2656351 no MS11-100
Windows 7
Windows 7 para sistemas de 32 bits Service Pack 1 Microsoft .NET Framework 3.5.1 (2861191) Execução remota de código Crítico Nenhum
Windows 7 para sistemas de 32 bits Service Pack 1 Microsoft .NET Framework 3.5.1 (2861698) Negação de Serviço Importante Nenhum
Windows 7 para sistemas de 32 bits Service Pack 1 Microsoft .NET Framework 3.5.1 (2863240) Negação de Serviço Importante 2804579 no MS13-040
Windows 7 para sistemas de 32 bits Service Pack 1 Microsoft .NET Framework 4[1](2858302) Negação de Serviço Importante 2804576 no MS13-040 e 2656351 no MS11-100
Windows 7 para sistemas de 32 bits Service Pack 1 Microsoft .NET Framework 4.5 (2861208) Negação de Serviço Importante 2804582 no MS13-040
Windows 7 para sistemas baseados em x64 Service Pack 1 Microsoft .NET Framework 3.5.1 (2861191) Execução remota de código Crítico Nenhum
Windows 7 para sistemas baseados em x64 Service Pack 1 Microsoft .NET Framework 3.5.1 (2861698) Negação de Serviço Importante Nenhum
Windows 7 para sistemas baseados em x64 Service Pack 1 Microsoft .NET Framework 3.5.1 (2863240) Negação de Serviço Importante 2804579 no MS13-040
Windows 7 para sistemas baseados em x64 Service Pack 1 Microsoft .NET Framework 4[1](2858302) Negação de Serviço Importante 2804576 no MS13-040 e 2656351 no MS11-100
Windows 7 para sistemas baseados em x64 Service Pack 1 Microsoft .NET Framework 4.5 (2861208) Negação de Serviço Importante 2804582 no MS13-040
Windows Server 2008 R2
Windows Server 2008 R2 para sistemas baseados em x64 Service Pack 1 Microsoft .NET Framework 3.5.1 (2861191) Execução remota de código Crítico Nenhum
Windows Server 2008 R2 para sistemas baseados em x64 Service Pack 1 Microsoft .NET Framework 3.5.1 (2861698) Negação de Serviço Importante Nenhum
Windows Server 2008 R2 para sistemas baseados em x64 Service Pack 1 Microsoft .NET Framework 3.5.1 (2863240) Negação de Serviço Importante 2804579 no MS13-040
Windows Server 2008 R2 para sistemas baseados em x64 Service Pack 1 Microsoft .NET Framework 4[1](2858302) Negação de Serviço Importante 2804576 no MS13-040 e 2656351 no MS11-100
Windows Server 2008 R2 para sistemas baseados em x64 Service Pack 1 Microsoft .NET Framework 4.5 (2861208) Negação de Serviço Importante 2804582 no MS13-040
Windows Server 2008 R2 para sistemas baseados em Itanium Service Pack 1 Microsoft .NET Framework 3.5.1 (2861698) Negação de Serviço Importante Nenhum
Windows Server 2008 R2 para sistemas baseados em Itanium Service Pack 1 Microsoft .NET Framework 3.5.1 (2863240) Negação de Serviço Importante 2804579 no MS13-040
Windows Server 2008 R2 para sistemas baseados em Itanium Service Pack 1 Microsoft .NET Framework 4[1](2858302) Negação de Serviço Importante 2804576 no MS13-040 e 2656351 no MS11-100
Windows 8
Windows 8 para sistemas de 32 bits Microsoft .NET Framework 3.5 (2861194) Execução remota de código Crítico Nenhum
Windows 8 para sistemas de 32 bits Microsoft .NET Framework 3.5 (2861704) Negação de Serviço Importante Nenhum
Windows 8 para sistemas de 32 bits Microsoft .NET Framework 3.5 (2863243) Negação de Serviço Importante 2804584 no MS13-040
Windows 8 para sistemas de 32 bits Microsoft .NET Framework 4.5 (2861702) Negação de Serviço Importante 2804583 no MS13-040
Windows 8 para sistemas de 64 bits Microsoft .NET Framework 3.5 (2861194) Execução remota de código Crítico Nenhum
Windows 8 para sistemas de 64 bits Microsoft .NET Framework 3.5 (2861704) Negação de Serviço Importante Nenhum
Windows 8 para sistemas de 64 bits Microsoft .NET Framework 3.5 (2863243) Negação de Serviço Importante 2804584 no MS13-040
Windows 8 para sistemas de 64 bits Microsoft .NET Framework 4.5 (2861702) Negação de Serviço Importante 2804583 no MS13-040
Windows Server 2012
Windows Server 2012 Microsoft .NET Framework 3.5 (2861194) Execução remota de código Crítico Nenhum
Windows Server 2012 Microsoft .NET Framework 3.5 (2861704) Negação de Serviço Importante Nenhum
Windows Server 2012 Microsoft .NET Framework 3.5 (2863243) Negação de Serviço Importante 2804584 no MS13-040
Windows Server 2012 Microsoft .NET Framework 4.5 (2861702) Negação de Serviço Importante 2804583 no MS13-040
Windows RT
Windows RT Microsoft .NET Framework 4.5[2](2861702) Negação de Serviço Importante 2804583 no MS13-040
Opção de instalação do Server Core
Windows Server 2008 R2 para sistemas baseados em x64 Service Pack 1 (instalação Server Core) Microsoft .NET Framework 3.5.1 (2861698) Negação de Serviço Importante Nenhum
Windows Server 2008 R2 para sistemas baseados em x64 Service Pack 1 (instalação Server Core) Microsoft .NET Framework 3.5.1 (2863240) Negação de Serviço Importante 2804579 no MS13-040
Windows Server 2008 R2 para sistemas baseados em x64 Service Pack 1 (instalação Server Core) Microsoft .NET Framework 4[1](2858302) Negação de Serviço Importante 2804576 no MS13-040 e 2656351 no MS11-100
Windows Server 2008 R2 para sistemas baseados em x64 Service Pack 1 (instalação Server Core) Microsoft .NET Framework 4.5 (2861208) Negação de Serviço Importante 2804582 no MS13-040
Windows Server 2012 (instalação server core) Microsoft .NET Framework 3.5 (2861194) Execução remota de código Crítico Nenhum
Windows Server 2012 (instalação server core) Microsoft .NET Framework 3.5 (2861704) Negação de Serviço Importante Nenhum
Windows Server 2012 (instalação server core) Microsoft .NET Framework 3.5 (2863243) Negação de Serviço Importante 2804584 no MS13-040
Windows Server 2012 (instalação server core) Microsoft .NET Framework 4.5 (2861702) Negação de Serviço Importante 2804583 no MS13-040

[1].NET Framework 4 e .NET Framework 4 Perfil de Cliente afetado. Os pacotes redistribuíveis .NET Framework versão 4 estão disponíveis em dois perfis: .NET Framework perfil de cliente 4 e .NET Framework 4. .NET Framework perfil de cliente 4 é um subconjunto de .NET Framework 4. A vulnerabilidade abordada nesta atualização afeta o perfil de cliente do .NET Framework 4 e .NET Framework 4. Para obter mais informações, consulte o artigo msdn, Instalando o .NET Framework.

[2]Windows RT atualizações de segurança são fornecidas por meio de Windows Update.

Software não afetado

Software
Microsoft .NET Framework 1.0 Service Pack 3
Microsoft .NET Framework 1.1 Service Pack 1
Windows 8.1 para sistemas de 32 bits
Windows 8.1 para sistemas de 64 bits
Windows Server 2012 R2
Windows Server 2012 R2 (instalação server core)
Windows RT 8.1

Software não aplicável

Software
Windows Server 2008 para sistemas de 32 bits Service Pack 2 (instalação Server Core)
Windows Server 2008 para sistemas baseados em x64 Service Pack 2 (instalação Server Core)

Perguntas frequentes sobre atualização

CVE-2013-3128 é descrito em vários boletins de segurança. Como esses boletins estão relacionados?
A Vulnerabilidade de Análise de Fontes OpenType (CVE-2013-3128) afeta os seguintes produtos:

  • Microsoft Windows Kernel-Mode Driver (MS13-081)
  • Microsoft .NET Framework (MS13-082)

Você precisa instalar apenas as atualizações que correspondem ao software que você instalou em seu sistema. Se você precisar instalar mais de uma dessas atualizações, elas poderão ser instaladas em qualquer sequência.

As Windows 8.1 Preview e Windows Server 2012 versão prévia do R2 são afetadas por alguma das vulnerabilidades abordadas neste boletim?
Sim. A atualização 2876919 para .NET Framework 3.5 está disponível para Windows 8.1 Preview e Windows Server 2012 R2 Preview. Os clientes que executam esses sistemas operacionais são incentivados a aplicar a atualização a seus sistemas. A atualização está disponível no Windows Update.

A versão prévia do .NET Framework 4.5.1 é afetada por alguma das vulnerabilidades abordadas neste boletim?
Sim. A atualização 2877175 está disponível para .NET Framework versão prévia 4.5.1 quando instalada no Windows Vista Service Pack 2 ou no Windows Server 2008 Service Pack 2. Os clientes que executam .NET Framework versão prévia 4.5.1 nesses sistemas operacionais são incentivados a aplicar a atualização aos sistemas. A atualização está disponível no Windows Update.

Observe que .NET Framework versão prévia 4.5.1 no Windows 8.1 Preview, Windows RT versão prévia 8.1 ou Windows Server 2012 R2 Preview não é afetada pelas vulnerabilidades abordadas neste boletim.

Como fazer determinar qual versão do Microsoft .NET Framework está instalada?
Você pode instalar e executar várias versões do .NET Framework em um sistema e instalar as versões em qualquer ordem. Há várias maneiras de determinar quais versões do .NET Framework estão instaladas no momento. Para obter mais informações, consulte Artigo da Base de Dados de Conhecimento Microsoft 318785.

Qual é a diferença entre .NET Framework perfil de cliente 4 e .NET Framework 4?
Os pacotes redistribuíveis .NET Framework versão 4 estão disponíveis em dois perfis: .NET Framework perfil de cliente 4 e .NET Framework 4. O perfil de cliente .NET Framework 4 é um subconjunto do perfil .NET Framework 4 otimizado para aplicativos cliente. Ele fornece funcionalidade para a maioria dos aplicativos cliente, incluindo recursos de Windows Presentation Foundation (WPF), Windows Forms, WCF (Windows Communication Foundation) e ClickOnce. Isso permite uma implantação mais rápida e um pacote de instalação menor para aplicativos direcionados ao perfil de cliente do .NET Framework 4. Para obter mais informações, consulte o artigo msdn, .NET Framework perfil de cliente.

Há vários pacotes de atualização disponíveis para alguns dos softwares afetados. Preciso instalar todas as atualizações listadas na tabela Software Afetado para o software?
Sim. Os clientes devem aplicar todas as atualizações oferecidas para o software instalado em seus sistemas.

Preciso instalar essas atualizações de segurança em uma sequência específica?
Não. Várias atualizações para um determinado sistema podem ser aplicadas em qualquer sequência.

Estou usando uma versão mais antiga do software discutido neste boletim de segurança. O que devo fazer?
O software afetado listado neste boletim foi testado para determinar quais versões são afetadas. Outras versões já passaram do ciclo de vida de suporte. Para obter mais informações sobre o ciclo de vida do produto, consulte o site do ciclo de vida do Suporte da Microsoft.

Deve ser uma prioridade para os clientes que têm versões mais antigas do software migrarem para versões com suporte para evitar a exposição potencial a vulnerabilidades. Para determinar o ciclo de vida de suporte para sua versão de software, consulte Selecionar um produto para informações do ciclo de vida. Para obter mais informações sobre service packs para essas versões de software, consulte Política de suporte ao ciclo de vida do Service Pack.

Os clientes que precisam de suporte personalizado para softwares mais antigos devem entrar em contato com o representante da equipe de conta da Microsoft, o Gerente Técnico de Contas ou o representante de parceiro apropriado da Microsoft para obter opções de suporte personalizadas. Os clientes sem um Contrato Da Aliança, Premier ou Autorizado podem entrar em contato com o escritório de vendas local da Microsoft. Para obter informações de contato, consulte o site Informações mundiais da Microsoft , selecione o país na lista Informações de Contato e clique em Ir para ver uma lista de números de telefone. Quando você ligar, peça para falar com o gerente de vendas do Suporte Premier local. Para obter mais informações, consulte as Perguntas frequentes sobre a Política de Ciclo de Vida do Suporte da Microsoft.

Classificações de severidade e identificadores de vulnerabilidade

As classificações de severidade a seguir pressupõem o impacto máximo potencial da vulnerabilidade. Para obter informações sobre a probabilidade, dentro de 30 dias após o lançamento deste boletim de segurança, da explorabilidade da vulnerabilidade em relação à classificação de gravidade e ao impacto de segurança, consulte o Índice de Exploração no resumo do boletim de outubro. Para obter mais informações, consulte Índice de exploração da Microsoft.

Classificação de severidade de vulnerabilidade e impacto máximo de segurança pelo software afetado
Software afetado Vulnerabilidade de análise de fonte OpenType – CVE-2013-3128 Vulnerabilidade de expansão de entidade – CVE-2013-3860 Vulnerabilidade de análise JSON – CVE-2013-3861 Classificação de severidade agregada
Microsoft .NET Framework 2.0 Service Pack 2
Microsoft .NET Framework 2.0 Service Pack 2 quando instalado no Microsoft Windows XP Service Pack 3 (2863239) Não aplicável Importante Negação de Serviço Importante Negação de Serviço Importante
Microsoft .NET Framework 2.0 Service Pack 2 quando instalado no Microsoft Windows XP Professional x64 Edition Service Pack 2 (2863239) Não aplicável Importante Negação de Serviço Importante Negação de Serviço Importante
Microsoft .NET Framework 2.0 Service Pack 2 quando instalado no Microsoft Windows Server 2003 Service Pack 2 (2863239) Não aplicável Importante Negação de Serviço Importante Negação de Serviço Importante
Microsoft .NET Framework 2.0 Service Pack 2 quando instalado no Microsoft Windows Server 2003 x64 Edition Service Pack 2 (2863239) Não aplicável Importante Negação de Serviço Importante Negação de Serviço Importante
Microsoft .NET Framework 2.0 Service Pack 2 quando instalado no Microsoft Windows Server 2003 para Sistemas baseados em Itanium Service Pack 2 (2863239) Não aplicável Importante Negação de Serviço Importante Negação de Serviço Importante
Microsoft .NET Framework 2.0 Service Pack 2 no Windows Vista Service Pack 2 (2863253) Não aplicável Importante Negação de Serviço Importante Negação de Serviço Importante
Microsoft .NET Framework 2.0 Service Pack 2 no Windows Vista x64 Edition Service Pack 2 (2863253) Não aplicável Importante Negação de Serviço Importante Negação de Serviço Importante
Microsoft .NET Framework 2.0 Service Pack 2 no Windows Server 2008 para Sistemas de 32 bits Service Pack 2 (2863253) Não aplicável Importante Negação de Serviço Importante Negação de Serviço Importante
Microsoft .NET Framework 2.0 Service Pack 2 no Windows Server 2008 para Sistemas baseados em x64 Service Pack 2 (2863253) Não aplicável Importante Negação de Serviço Importante Negação de Serviço Importante
Microsoft .NET Framework 2.0 Service Pack 2 no Windows Server 2008 para Itanium-Based Systems Service Pack 2 (2863253) Não aplicável Importante Negação de Serviço Importante Negação de Serviço Importante
Microsoft .NET Framework 3.0 Service Pack 2
Microsoft .NET Framework 3.0 Service Pack 2 quando instalado no Microsoft Windows XP Service Pack 3 (2861189) Crítico Execução remota de código Não aplicável Não aplicável Crítico
Microsoft .NET Framework 3.0 Service Pack 2 quando instalado no Windows XP Professional x64 Edition Service Pack 2 (2861189) Crítico Execução remota de código Não aplicável Não aplicável Crítico
Microsoft .NET Framework 3.0 Service Pack 2 quando instalado no Microsoft Windows Server 2003 Service Pack 2 (2861189) Crítico Execução remota de código Não aplicável Não aplicável Crítico
Microsoft .NET Framework 3.0 Service Pack 2 quando instalado no Microsoft Windows Server 2003 x64 Edition Service Pack 2 (2861189) Crítico Execução remota de código Não aplicável Não aplicável Crítico
Microsoft .NET Framework 3.0 Service Pack 2 no Windows Vista Service Pack 2 (2861190) Crítico Execução remota de código Não aplicável Não aplicável Crítico
Microsoft .NET Framework 3.0 Service Pack 2 no Windows Vista x64 Edition Service Pack 2 (2861190) Crítico Execução remota de código Não aplicável Não aplicável Crítico
Microsoft .NET Framework 3.0 Service Pack 2 no Windows Server 2008 para Sistemas de 32 bits Service Pack 2 (2861190) Crítico Execução remota de código Não aplicável Não aplicável Crítico
Microsoft .NET Framework 3.0 Service Pack 2 no Windows Server 2008 para Sistemas baseados em x64 Service Pack 2 (2861190) Crítico Execução remota de código Não aplicável Não aplicável Crítico
Microsoft .NET Framework 3.5
Microsoft .NET Framework 3.5 em Windows 8 para sistemas de 32 bits (2861194) Crítico Execução remota de código Não aplicável Não aplicável Crítico
Microsoft .NET Framework 3.5 em Windows 8 para sistemas de 32 bits (2861704) Não aplicável Importante Negação de Serviço Importante Negação de Serviço Importante
Microsoft .NET Framework 3.5 em Windows 8 para sistemas de 32 bits (2863243) Não aplicável Importante Negação de Serviço Importante Negação de Serviço Importante
Microsoft .NET Framework 3.5 em Windows 8 para sistemas de 64 bits (2861194) Crítico Execução remota de código Não aplicável Não aplicável Crítico
Microsoft .NET Framework 3.5 no Windows Server 2012 (instalação do Server Core) (2861194) Crítico Execução remota de código Não aplicável Não aplicável Crítico
Microsoft .NET Framework 3.5 em Windows 8 para sistemas de 64 bits (2861704) Não aplicável Importante Negação de Serviço Importante Negação de Serviço Importante
Microsoft .NET Framework 3.5 em Windows 8 para sistemas de 64 bits (2863243) Não aplicável Importante Negação de Serviço Importante Negação de Serviço Importante
Microsoft .NET Framework 3.5 no Windows Server 2012 (2861194) Crítico Execução remota de código Não aplicável Não aplicável Crítico
Microsoft .NET Framework 3.5 no Windows Server 2012 (2861704) Não aplicável Importante Negação de Serviço Importante Negação de Serviço Importante
Microsoft .NET Framework 3.5 no Windows Server 2012 (instalação do Server Core) (2861704) Não aplicável Importante Negação de Serviço Importante Negação de Serviço Importante
Microsoft .NET Framework 3.5 no Windows Server 2012 (2863243) Não aplicável Importante Negação de Serviço Importante Negação de Serviço Importante
Microsoft .NET Framework 3.5 no Windows Server 2012 (instalação do Server Core) (2863243) Não aplicável Importante Negação de Serviço Importante Negação de Serviço Importante
Microsoft .NET Framework 3.5 Service Pack 1
Microsoft .NET Framework 3.5 Service Pack 1 quando instalado no Windows XP Service Pack 3 (2861697) Não aplicável Importante Negação de Serviço Importante Negação de Serviço Importante
Microsoft .NET Framework 3.5 Service Pack 1 quando instalado no Windows XP Professional x64 Edition Service Pack 2 (2861697) Não aplicável Importante Negação de Serviço Importante Negação de Serviço Importante
Microsoft .NET Framework 3.5 Service Pack 1 quando instalado no Windows Server 2003 Service Pack 2 (2861697) Não aplicável Importante Negação de Serviço Importante Negação de Serviço Importante
Microsoft .NET Framework 3.5 Service Pack 1 quando instalado no Windows Server 2003 x64 Edition Service Pack 2 (2861697) Não aplicável Importante Negação de Serviço Importante Negação de Serviço Importante
Microsoft .NET Framework 3.5 Service Pack 1 quando instalado no Windows Server 2003 com SP2 para sistemas baseados em Itanium (2861697) Não aplicável Importante Negação de Serviço Importante Negação de Serviço Importante
Microsoft .NET Framework 3.5 Service Pack 1 quando instalado no Windows Vista Service Pack 2 (2861697) Não aplicável Importante Negação de Serviço Importante Negação de Serviço Importante
Microsoft .NET Framework 3.5 Service Pack 1 quando instalado no Windows Vista x64 Edition Service Pack 2 (2861697) Não aplicável Importante Negação de Serviço Importante Negação de Serviço Importante
Microsoft .NET Framework 3.5 Service Pack 1 quando instalado no Windows Server 2008 para Sistemas de 32 bits Service Pack 2 (2861697) Não aplicável Importante Negação de Serviço Importante Negação de Serviço Importante
Microsoft .NET Framework 3.5 Service Pack 1 quando instalado no Windows Server 2008 para sistemas baseados em x64 Service Pack 2 (2861697) Não aplicável Importante Negação de Serviço Importante Negação de Serviço Importante
Microsoft .NET Framework 3.5 Service Pack 1 quando instalado no Windows Server 2008 para Sistemas baseados em Itanium Service Pack 2 (2861697) Não aplicável Importante Negação de Serviço Importante Negação de Serviço Importante
Microsoft .NET Framework 3.5.1
Microsoft .NET Framework 3.5.1 no Windows 7 para Sistemas de 32 bits Service Pack 1 (2861191) Crítico Execução remota de código Não aplicável Não aplicável Crítico
Microsoft .NET Framework 3.5.1 no Windows 7 para Sistemas de 32 bits Service Pack 1 (2861698) Não aplicável Importante Negação de Serviço Importante Negação de Serviço Importante
Microsoft .NET Framework 3.5.1 no Windows 7 para Sistemas de 32 bits Service Pack 1 (2863240) Não aplicável Importante Negação de Serviço Importante Negação de Serviço Importante
Microsoft .NET Framework 3.5.1 no Windows 7 para sistemas baseados em x64 Service Pack 1 (2861191) Crítico Execução remota de código Não aplicável Não aplicável Crítico
Microsoft .NET Framework 3.5.1 no Windows 7 para sistemas baseados em x64 Service Pack 1 (2861698) Não aplicável Importante Negação de Serviço Importante Negação de Serviço Importante
Microsoft .NET Framework 3.5.1 no Windows 7 para sistemas baseados em x64 Service Pack 1 (2863240) Não aplicável Importante Negação de Serviço Importante Negação de Serviço Importante
Microsoft .NET Framework 3.5.1 no Windows Server 2008 R2 para sistemas baseados em x64 Service Pack 1 (2861191) Crítico Execução remota de código Não aplicável Não aplicável Crítico
Microsoft .NET Framework 3.5.1 no Windows Server 2008 R2 para sistemas baseados em x64 Service Pack 1 (2861698) Não aplicável Importante Negação de Serviço Importante Negação de Serviço Importante
Microsoft .NET Framework 3.5.1 no Windows Server 2008 R2 para sistemas baseados em x64 Service Pack 1 (instalação Server Core) (2861698) Não aplicável Importante Negação de Serviço Importante Negação de Serviço Importante
Microsoft .NET Framework 3.5.1 no Windows Server 2008 R2 para sistemas baseados em x64 Service Pack 1 (2863240) Não aplicável Importante Negação de Serviço Importante Negação de Serviço Importante
Microsoft .NET Framework 3.5.1 no Windows Server 2008 R2 para sistemas baseados em x64 Service Pack 1 (instalação Server Core) (2863240) Não aplicável Importante Negação de Serviço Importante Negação de Serviço Importante
Microsoft .NET Framework 3.5.1 no Windows Server 2008 R2 para sistemas baseados em Itanium Service Pack 1 (2861698) Não aplicável Importante Negação de Serviço Importante Negação de Serviço Importante
Microsoft .NET Framework 3.5.1 no Windows Server 2008 R2 para Sistemas baseados em Itanium Service Pack 1 (2863240) Não aplicável Importante Negação de Serviço Importante Negação de Serviço Importante
Microsoft .NET Framework 4
Microsoft .NET Framework 4 quando instalado no Microsoft Windows XP Service Pack 3 (2858302)[1] Não aplicável Importante Negação de Serviço Importante Negação de Serviço Importante
Microsoft .NET Framework 4 quando instalado no Microsoft Windows XP Service Pack 3 (2861188)[1] Crítico Execução remota de código Não aplicável Não aplicável Crítico
Microsoft .NET Framework 4 quando instalado no Microsoft Windows XP Professional x64 Edition Service Pack 2 (2858302)[1] Não aplicável Importante Negação de Serviço Importante Negação de Serviço Importante
Microsoft .NET Framework 4 quando instalado no Microsoft Windows XP Professional x64 Edition Service Pack 2 (2861188)[1] Crítico Execução remota de código Não aplicável Não aplicável Crítico
Microsoft .NET Framework 4 quando instalado no Microsoft Windows Server 2003 Service Pack 2 (2858302)[1] Não aplicável Importante Negação de Serviço Importante Negação de Serviço Importante
Microsoft .NET Framework 4 quando instalado no Microsoft Windows Server 2003 Service Pack 2 (2861188)[1] Crítico Execução remota de código Não aplicável Não aplicável Crítico
Microsoft .NET Framework 4 quando instalado no Microsoft Windows Server 2003 x64 Edition Service Pack 2 (2858302)[1] Não aplicável Importante Negação de Serviço Importante Negação de Serviço Importante
Microsoft .NET Framework 4 quando instalado no Microsoft Windows Server 2003 x64 Edition Service Pack 2 (2861188)[1] Crítico Execução remota de código Não aplicável Não aplicável Crítico
Microsoft .NET Framework 4 quando instalado no Microsoft Windows Server 2003 para Sistemas baseados em Itanium Service Pack 2 (2858302)[1] Não aplicável Importante Negação de Serviço Importante Negação de Serviço Importante
Microsoft .NET Framework 4 quando instalado no Windows Vista Service Pack 2 (2858302)[1] Não aplicável Importante Negação de Serviço Importante Negação de Serviço Importante
Microsoft .NET Framework 4 quando instalado no Windows Vista Service Pack 2 (2861188)[1] Crítico Execução remota de código Não aplicável Não aplicável Crítico
Microsoft .NET Framework 4 quando instalado no Windows Vista x64 Edition Service Pack 2 (2858302)[1] Não aplicável Importante Negação de Serviço Importante Negação de Serviço Importante
Microsoft .NET Framework 4 quando instalado no Windows Vista x64 Edition Service Pack 2 (2861188)[1] Crítico Execução remota de código Não aplicável Não aplicável Crítico
Microsoft .NET Framework 4 quando instalado no Windows Server 2008 para sistemas de 32 bits Service Pack 2 (2858302)[1] Não aplicável Importante Negação de Serviço Importante Negação de Serviço Importante
Microsoft .NET Framework 4 quando instalado no Windows Server 2008 para sistemas de 32 bits Service Pack 2 (2861188)[1] Crítico Execução remota de código Não aplicável Não aplicável Crítico
Microsoft .NET Framework 4 quando instalado no Windows Server 2008 para sistemas baseados em x64 Service Pack 2 (2858302)[1] Não aplicável Importante Negação de Serviço Importante Negação de Serviço Importante
Microsoft .NET Framework 4 quando instalado no Windows Server 2008 para sistemas baseados em x64 Service Pack 2 (2861188)[1] Crítico Execução remota de código Não aplicável Não aplicável Crítico
Microsoft .NET Framework 4 quando instalado no Windows Server 2008 para Itanium-Based Systems Service Pack 2 (2858302)[1] Não aplicável Importante Negação de Serviço Importante Negação de Serviço Importante
Microsoft .NET Framework 4 quando instalado no Windows 7 para sistemas de 32 bits Service Pack 1 (2858302)[1] Não aplicável Importante Negação de Serviço Importante Negação de Serviço Importante
Microsoft .NET Framework 4 quando instalado no Windows 7 para sistemas baseados em x64 Service Pack 1 (2858302)[1] Não aplicável Importante Negação de Serviço Importante Negação de Serviço Importante
Microsoft .NET Framework 4 quando instalado no Windows Server 2008 R2 para sistemas baseados em x64 Service Pack 1 (2858302)[1] Não aplicável Importante Negação de Serviço Importante Negação de Serviço Importante
Microsoft .NET Framework 4 quando instalado no Windows Server 2008 R2 para sistemas baseados em x64 Service Pack 1 (instalação Server Core) (2858302)[1] Não aplicável Importante Negação de Serviço Importante Negação de Serviço Importante
Microsoft .NET Framework 4 quando instalado no Windows Server 2008 R2 para sistemas baseados em Itanium Service Pack 1 (2858302)[1] Não aplicável Importante Negação de Serviço Importante Negação de Serviço Importante
Microsoft .NET Framework 4.5
Microsoft .NET Framework 4.5 quando instalado no Windows Vista Service Pack 2 (2861193) Crítico Execução remota de código Não aplicável Não aplicável Crítico
Microsoft .NET Framework 4.5 quando instalado no Windows Vista Service Pack 2 (2861208) Não aplicável Importante Negação de Serviço Importante Negação de Serviço Importante
Microsoft .NET Framework 4.5 quando instalado no Windows Vista x64 Edition Service Pack 2 (2861193) Crítico Execução remota de código Não aplicável Não aplicável Crítico
Microsoft .NET Framework 4.5 quando instalado no Windows Vista x64 Edition Service Pack 2 (2861208) Não aplicável Importante Negação de Serviço Importante Negação de Serviço Importante
Microsoft .NET Framework 4.5 quando instalado no Windows Server 2008 para Sistemas de 32 bits Service Pack 2 (2861193) Crítico Execução remota de código Não aplicável Não aplicável Crítico
Microsoft .NET Framework 4.5 quando instalado no Windows Server 2008 para Sistemas de 32 bits Service Pack 2 (2861208) Não aplicável Importante Negação de Serviço Importante Negação de Serviço Importante
Microsoft .NET Framework 4.5 quando instalado no Windows Server 2008 para sistemas baseados em x64 Service Pack 2 (2861193) Crítico Execução remota de código Não aplicável Não aplicável Crítico
Microsoft .NET Framework 4.5 quando instalado no Windows Server 2008 para sistemas baseados em x64 Service Pack 2 (2861208) Não aplicável Importante Negação de Serviço Importante Negação de Serviço Importante
Microsoft .NET Framework 4.5 quando instalado no Windows 7 para sistemas de 32 bits Service Pack 1 (2861208) Não aplicável Importante Negação de Serviço Importante Negação de Serviço Importante
Microsoft .NET Framework 4.5 quando instalado no Windows 7 para sistemas baseados em x64 Service Pack 1 (2861208) Não aplicável Importante Negação de Serviço Importante Negação de Serviço Importante
Microsoft .NET Framework 4.5 quando instalado no Windows Server 2008 R2 para sistemas baseados em x64 Service Pack 1 (2861208) Não aplicável Importante Negação de Serviço Importante Negação de Serviço Importante
Microsoft .NET Framework 4.5 quando instalado no Windows Server 2008 R2 para sistemas baseados em x64 Service Pack 1 (instalação Server Core) (2861208) Não aplicável Importante Negação de Serviço Importante Negação de Serviço Importante
Microsoft .NET Framework 4.5 em Windows 8 para sistemas de 32 bits (2861702) Não aplicável Importante Negação de Serviço Importante Negação de Serviço Importante
Microsoft .NET Framework 4.5 em Windows 8 para sistemas de 64 bits (2861702) Não aplicável Importante Negação de Serviço Importante Negação de Serviço Importante
Microsoft .NET Framework 4.5 no Windows Server 2012 (2861702) Não aplicável Importante Negação de Serviço Importante Negação de Serviço Importante
Microsoft .NET Framework 4.5 no Windows Server 2012 (instalação server core) (2861702) Não aplicável Importante Negação de Serviço Importante Negação de Serviço Importante
Microsoft .NET Framework 4.5 no Windows RT (2861702) Não aplicável Importante Negação de Serviço Importante Negação de Serviço Importante

[1].NET Framework 4 e .NET Framework 4 Perfil de Cliente afetado. Os pacotes redistribuíveis .NET Framework versão 4 estão disponíveis em dois perfis: .NET Framework perfil de cliente 4 e .NET Framework 4. .NET Framework perfil de cliente 4 é um subconjunto de .NET Framework 4. A vulnerabilidade abordada nesta atualização afeta o perfil de cliente do .NET Framework 4 e .NET Framework 4. Para obter mais informações, consulte o artigo msdn, Instalando o .NET Framework.

Vulnerabilidade de análise de fonte OpenType – CVE-2013-3128

Existe uma vulnerabilidade de execução remota de código na maneira como os componentes afetados lidam com fontes OpenType (OTF) especialmente criadas. A vulnerabilidade poderá permitir a execução remota de código se um usuário visitar um site que hospeda um XBAP (Aplicativo XAML Browser) que contém um arquivo OTF especialmente criado. Um invasor que explorou essa vulnerabilidade com êxito pode assumir o controle total de um sistema afetado. Um invasor pode instalar programas, exibir, alterar ou excluir dados, além de criar contas com direitos de usuário totais.

Para exibir essa vulnerabilidade como uma entrada padrão na lista Vulnerabilidades e Exposições Comuns, consulte CVE-2013-3128.

Atenuando fatores

A Microsoft não identificou nenhum fator atenuante para essa vulnerabilidade.

Soluções Alternativas

A Microsoft não identificou nenhuma solução alternativa para essa vulnerabilidade.

Perguntas frequentes

Qual é o escopo da vulnerabilidade?
Essa é uma vulnerabilidade de execução remota de código.

O que causa a vulnerabilidade?
A vulnerabilidade é causada quando o .NET Framework tenta analisar uma fonte OpenType (OTF) especialmente criada inserida em um XBAP (Aplicativo XAML Browser).

O que é o formato de fonte OpenType?
OpenType é um formato de fonte desenvolvido em conjunto pela Microsoft e pela Adobe como uma extensão do formato de fonte TrueType da Apple. Um arquivo de fonte OpenType contém dados, no formato de tabela, que compõem uma fonte de estrutura de tópicos TrueType ou PostScript. Os rasterizadores usam combinações de dados das tabelas contidas na fonte para renderizar os contornos do glifo TrueType ou PostScript. Para obter mais informações, consulte as Perguntas frequentes sobre o Microsoft Typography OpenType.

O que um invasor pode usar a vulnerabilidade para fazer?
Em um cenário de navegação na Web, um invasor que explorou com êxito essa vulnerabilidade pode executar código arbitrário em nome do usuário de destino. Se um usuário estiver conectado com direitos administrativos de usuário, um invasor poderá assumir o controle total do sistema afetado. Um invasor pode instalar programas, exibir, alterar ou excluir dados, além de criar contas com direitos de usuário totais. Os usuários cujas contas estão configuradas para ter menos direitos de usuário no sistema correm menos riscos do que aqueles que têm direitos de usuário administrativo.

Como um invasor pode explorar a vulnerabilidade?
Em um cenário de ataque, um invasor pode hospedar um XBAP (Aplicativo do Navegador XAML) que contém um arquivo OTF especialmente criado em um site. Um invasor não teria como forçar os usuários a visitar esse site. Em vez disso, um invasor teria que convencer os usuários a visitar o site, normalmente fazendo com que eles clicassem em um link em uma mensagem de email ou em uma mensagem do Instant Messenger que leva os usuários para o site do invasor. Também pode ser possível que um invasor explore essa vulnerabilidade inserindo conteúdo da Web especialmente criado em anúncios em faixa ou usando outros métodos para fornecer conteúdo da Web aos sistemas afetados.

O que é um XBAP (Aplicativo XAML Browser)?
Um aplicativo de navegador XAML (XBAP) combina recursos de um aplicativo Web e de um aplicativo cliente avançado. Assim como os aplicativos Web, os XBAPs podem ser publicados em um servidor Web e iniciados a partir de Explorer da Internet. Assim como os aplicativos de cliente avançado, os XBAPs podem aproveitar os recursos do WPF (Windows Presentation Foundation). Para obter mais informações sobre XBAPs, consulte o artigo msdn, Windows Presentation Foundation visão geral de aplicativos do navegador XAML.

Quais sistemas estão principalmente em risco de vulnerabilidade?
Todos os sistemas que executam as versões afetadas do .NET Framework são afetados por essa vulnerabilidade.

Quais sistemas estão principalmente em risco de vulnerabilidade?
No cenário de navegação na Web, a exploração bem-sucedida dessa vulnerabilidade exige que um usuário seja conectado e visite sites usando um navegador da Web capaz de instanciar aplicativos XBAP. Portanto, todos os sistemas em que um navegador da Web é usado com frequência, como estações de trabalho ou servidores de terminal, correm o maior risco dessa vulnerabilidade. Os servidores podem estar em maior risco se os administradores permitirem que os usuários naveguem e leiam emails em servidores. No entanto, as práticas recomendadas desencorajam fortemente a permitir isso.

O que a atualização faz?
A atualização resolve a vulnerabilidade garantindo que o .NET Framework manipule corretamente as fontes OpenType.

Quando este boletim de segurança foi emitido, essa vulnerabilidade foi divulgada publicamente?
Não. A Microsoft recebeu informações sobre essa vulnerabilidade por meio da divulgação coordenada de vulnerabilidades.

Quando este boletim de segurança foi emitido, a Microsoft recebeu algum relatório de que essa vulnerabilidade estava sendo explorada?
Não. A Microsoft não recebeu nenhuma informação para indicar que essa vulnerabilidade havia sido usada publicamente para atacar clientes quando este boletim de segurança foi originalmente emitido.

Vulnerabilidade de expansão de entidade – CVE-2013-3860

Existe uma vulnerabilidade de negação de serviço no .NET Framework que pode permitir que um invasor faça com que um servidor ou aplicativo falhe ou fique sem resposta.

Para exibir essa vulnerabilidade como uma entrada padrão na lista Vulnerabilidades e Exposições Comuns, consulte CVE-2013-3860.

Fatores atenuantes

Mitigação refere-se a uma configuração, configuração comum ou melhor prática geral, existente em um estado padrão, que poderia reduzir a gravidade da exploração de uma vulnerabilidade. Os seguintes fatores atenuantes podem ser úteis em sua situação:

  • Os sistemas afetados não aceitam e validam assinaturas digitais XML por padrão. Um aplicativo em um sistema afetado deve ser codificado especificamente para aceitar esse tipo de dados e, posteriormente, validar sua autenticidade. Além disso, se os dados XML especialmente criados não forem persistentes, a capacidade de resposta do aplicativo será restaurada após uma reinicialização e permanecerá assim, a menos que os dados especialmente criados sejam reintroduzidos.

Soluções Alternativas

A Microsoft não identificou nenhuma solução alternativa para essa vulnerabilidade.

Perguntas frequentes

Qual é o escopo da vulnerabilidade?
Essa é uma vulnerabilidade de negação de serviço.

O que causa a vulnerabilidade?
A vulnerabilidade é causada quando o .NET Framework tenta analisar uma DTD (definição de tipo de documento) especialmente criada para dados XML quando uma assinatura digital XML é validada.

O que é DTD?
DTD, que defende a definição de tipo de documento, é um tipo de formato de arquivo usado em XML e em outras linguagens de marcação para identificar a marcação a ser usada para formatar um documento.

O que um invasor pode usar a vulnerabilidade para fazer?
Um invasor que explorou isso com êxito faz com que um aplicativo ou servidor falhe ou não responda até que um administrador reinicie o aplicativo ou o servidor.

Como um invasor pode explorar a vulnerabilidade?
Em um cenário de ataque, o invasor enviaria dados XML assinados digitalmente com um DTD especialmente criado para um aplicativo que analisa e valida dados XML com assinaturas digitais.

Quais sistemas estão principalmente em risco com a vulnerabilidade?
Todos os sistemas que executam as versões afetadas do .NET Framework são afetados por essa vulnerabilidade.

O que a atualização faz?
A atualização resolve a vulnerabilidade garantindo que o .NET Framework valide corretamente as assinaturas digitais XML.

Quando este boletim de segurança foi emitido, essa vulnerabilidade foi divulgada publicamente?
Não. A Microsoft recebeu informações sobre essa vulnerabilidade por meio da divulgação coordenada de vulnerabilidades.

Quando este boletim de segurança foi emitido, a Microsoft recebeu algum relatório de que essa vulnerabilidade estava sendo explorada?
Não. A Microsoft não recebeu nenhuma informação para indicar que essa vulnerabilidade havia sido usada publicamente para atacar clientes quando este boletim de segurança foi originalmente emitido.

Vulnerabilidade de análise JSON – CVE-2013-3861

Existe uma vulnerabilidade de negação de serviço no .NET Framework que pode permitir que um invasor faça com que um servidor ou aplicativo falhe ou fique sem resposta.

Para exibir essa vulnerabilidade como uma entrada padrão na lista Vulnerabilidades e Exposições Comuns, consulte CVE-2013-3861.

Fatores atenuantes

Mitigação refere-se a uma configuração, configuração comum ou melhor prática geral, existente em um estado padrão, que poderia reduzir a gravidade da exploração de uma vulnerabilidade. Os seguintes fatores atenuantes podem ser úteis em sua situação:

  • Somente os servidores afetados ficam sem resposta em um cenário de ataque; os sistemas cliente afetados são afetados porque sua comunicação com um servidor sem resposta os impede de renderizar o conteúdo do aplicativo.
  • Os sistemas afetados não aceitam e validam dados JSON por padrão. Um aplicativo em um sistema afetado deve ser codificado especificamente para aceitar esse tipo de dados e, posteriormente, validar sua autenticidade. Se os dados JSON especialmente criados não forem persistentes, a capacidade de resposta do aplicativo será restaurada após uma reinicialização. Somente se um servidor afetado aceitar a entrada do usuário e o enviar para um sistema cliente o sistema cliente ficará sem resposta.

Soluções Alternativas

A Microsoft não identificou nenhuma solução alternativa para essa vulnerabilidade.

Perguntas frequentes

Qual é o escopo da vulnerabilidade?
Essa é uma vulnerabilidade de negação de serviço.

O que causa a vulnerabilidade?
A vulnerabilidade é causada quando o .NET Framework tenta analisar dados JSON (JavaScript Object Notation) especialmente criados.

O que é o JSON?
JSON, que defende a Notação de Objeto JavaScript, é um formato padrão aberto para intercâmbio de dados legível por humanos. Ele é baseado na linguagem de script JavaScript, mas dá suporte a muitos idiomas e é usado principalmente para transmitir dados entre servidores e aplicativos Web.

O que um invasor pode usar a vulnerabilidade para fazer?
Um invasor que explorou essa vulnerabilidade com êxito pode fazer com que um aplicativo ou servidor falhe ou não responda até que um administrador reinicie o aplicativo ou o servidor.

Como um invasor pode explorar a vulnerabilidade?
Em um cenário de ataque, um invasor enviaria dados JSON com sequências de caracteres específicas para um aplicativo que analisa dados JSON.

Quais sistemas estão principalmente em risco com a vulnerabilidade?
Todos os sistemas que executam as versões afetadas do .NET Framework são afetados por essa vulnerabilidade.

O que a atualização faz?
A atualização resolve a vulnerabilidade garantindo que o .NET Framework manipule corretamente as codificações de dados JSON.

Quando este boletim de segurança foi emitido, essa vulnerabilidade foi divulgada publicamente?
Sim. Essa vulnerabilidade foi divulgada publicamente.

Quando este boletim de segurança foi emitido, a Microsoft recebeu algum relatório de que essa vulnerabilidade estava sendo explorada?
Não. A Microsoft não recebeu nenhuma informação para indicar que essa vulnerabilidade havia sido usada publicamente para atacar clientes quando este boletim de segurança foi originalmente emitido.

Ferramentas e diretrizes de detecção e implantação

Vários recursos estão disponíveis para ajudar os administradores a implantar atualizações de segurança.

  • O MBSA (Analisador de Segurança de Linha de Base da Microsoft) permite que os administradores examinem sistemas locais e remotos em busca de atualizações de segurança ausentes e configurações de segurança comuns.
  • Windows Server Update Services (WSUS), SMS (Servidor de Gerenciamento de Sistemas) e System Center Configuration Manager ajudam os administradores a distribuir atualizações de segurança.
  • Os componentes do Avaliador de Compatibilidade de Atualização incluídos no Application Compatibility Toolkit ajudam a simplificar o teste e a validação de atualizações do Windows em relação aos aplicativos instalados.

Para obter informações sobre essas e outras ferramentas disponíveis, consulte Ferramentas de Segurança para profissionais de TI.

Implantação de atualização de segurança

Software afetado

Para obter informações sobre a atualização de segurança específica do software afetado, clique no link apropriado:

Windows XP (todas as edições)

Tabela de referência

A tabela a seguir contém as informações de atualização de segurança para este software.

Inclusão em Service Packs Futuros A atualização para esse problema será incluída em um pacote de serviços futuro ou pacote cumulativo de atualizações
Nomes de arquivo de atualização de segurança Para o Microsoft .NET Framework 2.0 Service Pack 2 quando instalado no Windows XP Service Pack 3:\ NDP20SP2-KB2863239-x86.exe
\ Para o Microsoft .NET Framework 3.0 Service Pack 2 quando instalado no Windows XP Service Pack 3:\ NDP30SP2-KB2861189-x86.exe
\ Para o Microsoft .NET Framework 3.5 Service Pack 1 quando instalado no Windows XP Service Pack 3:\ NDP35SP1-KB2861697-x86.exe
\ Para o Microsoft .NET Framework 4 quando instalado no Windows XP Service Pack 3:\ NDP40-KB2858302-v2-x86.exe\ NDP40-KB2861188-x86.exe
\ Para o Microsoft .NET Framework 2.0 Service Pack 2 quando instalado no Windows XP Professional x64 Edition Service Pack 2:\ NDP20SP2-KB2863239-x64.exe
\ Para o Microsoft .NET Framework 3.0 Service Pack 2 quando instalado no Windows XP Professional x64 Edition Service Pack 2:\ NDP30SP2-KB2861189-x64.exe
\ Para o Microsoft .NET Framework 3.5 Service Pack 1 quando instalado no Microsoft Windows XP Professional x64 Edition Service Pack 2:\ NDP35SP1-KB2861697-x64.exe
\ Para o Microsoft .NET Framework 4 quando instalado no Windows XP Professional x64 Edition Service Pack 2:\ NDP40-KB2858302-v2-x64.exe\ NDP40-KB2861188-x64.exe
Opções de instalação Confira o artigo da Base de Dados de Conhecimento Microsoft 2844699
Atualizar arquivo de log Para o Microsoft .NET Framework 2.0 Service Pack 2:\ Microsoft .NET Framework 2.0-KB2863239_*-msi0.txt\ Microsoft .NET Framework 2.0-KB2863239_*.html
\ Para o Microsoft .Net Framework 3.0 Service Pack 2:\ Microsoft .NET Framework 3.0-KB2861189_*-msi0.txt\ Microsoft .NET Framework 3.0-KB2861189_*.html
\ Para o Microsoft .NET Framework 3.5 Service Pack 1:\ Microsoft .NET Framework 3.5-KB2861697_*-msi0.txt\ Microsoft .NET Framework 3.5-KB2861697_*.html
\ Para o Microsoft .NET Framework 4:\ KB2858302v2_**-Microsoft .NET Framework 4 Client Profile-MSP0.txt\ KB2858302v2**.html\ For Microsoft .NET Framework 4:\ KB2861188**-Microsoft .NET Framework 4 Client Profile-MSP0.txt\ KB2861188*_*.html
Requisitos de reinicialização Em alguns casos, essa atualização não requer uma reinicialização. Se os arquivos necessários estiverem sendo usados, essa atualização exigirá uma reinicialização. Se esse comportamento ocorrer, será exibida uma mensagem que aconselha você a reiniciar.\ \ Para ajudar a reduzir a chance de que uma reinicialização seja necessária, interrompa todos os serviços afetados e feche todos os aplicativos que podem usar os arquivos afetados antes de instalar a atualização de segurança. Para obter mais informações sobre os motivos pelos quais você pode ser solicitado a reiniciar, consulte Artigo da Base de Dados de Conhecimento Microsoft 887012.
Informações de remoção Use o item Adicionar ou Remover Programas no Painel de Controle.
Informações do arquivo Confira o artigo da Base de Dados de Conhecimento Microsoft 2878890
Verificação de chave do Registro Para o Microsoft .NET Framework 2.0 Service Pack 2:\ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Microsoft .NET Framework 2.0 Service Pack 2\SP2\KB2863239\ "ThisVersionInstalled" = "Y"
\ Para o Microsoft .Net Framework 3.0 Service Pack 2:\ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Microsoft .NET Framework 3.0 Service Pack 2\SP2\KB2861189\ "ThisVersionInstalled" = "Y"
\ Para o Microsoft .NET Framework 3.5 Service Pack 1:\ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Microsoft .NET Framework 3.5 SP1\SP1\KB2861697\ "ThisVersionInstalled" = "Y"
\ Para o Microsoft .NET Framework 4 quando instalado em todas as edições de 32 bits com suporte do Windows XP:\ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Microsoft .NET Framework 4 Client Profile\KB2858302v2\ "ThisVersionInstalled" = "Y"\ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Microsoft .NET Framework 4 Client Profile\KB2861188\ "ThisVersionInstalled" = "Y"
\ Para o Microsoft .NET Framework 4 quando instalado em todas as edições baseadas em x64 com suporte do Windows XP:\ HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Updates\Microsoft .NET Framework 4 Client Profile\KB2858302v2\ "ThisVersionInstalled" = "Y"\ HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Updates\Microsoft .NET Framework 4 Client Profile\KB2861188\ "ThisVersionInstalled" = "Y"

Windows Server 2003 (todas as edições)

Tabela de referência

A tabela a seguir contém as informações de atualização de segurança para este software.

Inclusão em Service Packs Futuros A atualização desse problema será incluída em um pacote cumulativo de atualizações ou service pack futuro
Nomes de arquivo de atualização de segurança Para o Microsoft .NET Framework 2.0 Service Pack 2 quando instalado em todas as edições de 32 bits com suporte do Windows Server 2003:\ NDP20SP2-KB2863239-x86.exe
\ Para o Microsoft .NET Framework 3.0 Service Pack 2 quando instalado em todas as edições de 32 bits com suporte do Windows Server 2003:\ NDP30SP2-KB2861189-x86.exe
\ Para o Microsoft .NET Framework 3.5 Service Pack 1 quando instalado no Windows Server 2003 Service Pack 2:\ NDP35SP1-KB2861697-x86.exe
\ Para o Microsoft .NET Framework 4 quando instalado em todas as edições de 32 bits com suporte do Windows Server 2003:\ NDP40-KB2858302-v2-x86.exe\ NDP40-KB2861188-x86.exe
\ Para o Microsoft .NET Framework 2.0 Service Pack 2 quando instalado em todas as edições baseadas em x64 com suporte do Windows Server 2003:\ NDP20SP2-KB2863239-x64.exe
\ Para o Microsoft .NET Framework 3.0 Service Pack 2 quando instalado em todas as edições baseadas em x64 com suporte do Windows Server 2003:\ NDP30SP2-KB2861189-x64.exe
\ Para o Microsoft .NET Framework 3.5 Service Pack 1 quando instalado no Windows Server 2003 x64 Edition Service Pack 2:\ NDP35SP1-KB2861697-x64.exe
\ Para o Microsoft .NET Framework 4 quando instalado em todas as edições baseadas em x64 com suporte do Windows Server 2003:\ NDP40-KB2858302-v2-x64.exe\ NDP40-KB2861188-x64.exe
\ Para o Microsoft .NET Framework 2.0 Service Pack 2 quando instalado em todas as edições baseadas em Itanium com suporte do Windows Server 2003:\ NDP20SP2-KB2863239-IA64.exe
\ Para o Microsoft .NET Framework 3.5 Service Pack 1 quando instalado no Windows Server 2003 com SP2 para sistemas baseados em Itanium:\ NDP35SP1-KB2861697-IA64.exe
\ Para o Microsoft .NET Framework 4 quando instalado em todas as edições baseadas em Itanium com suporte do Windows Server 2003:\ NDP40-KB2858302-v2-IA64.exe
Opções de instalação Confira o artigo da Base de Dados de Conhecimento Microsoft 2844699
Atualizar arquivo de log Para o Microsoft .NET Framework 2.0 Service Pack 2:\ Microsoft .NET Framework 2.0-KB2863239_*-msi0.txt\ Microsoft .NET Framework 2.0-KB2863239_*.html
\ Para o Microsoft .NET Framework 3.0 Service Pack 2:\ Microsoft .NET Framework 3.0-KB2861189_*-msi0.txt\ Microsoft .NET Framework 3.0-KB2861189_*.html
\ Para o Microsoft .NET Framework 3.5 Service Pack 1:\ Microsoft .NET Framework 3.5-KB2861697_*-msi0.txt\ Microsoft .NET Framework 3.5-KB2861697_*.html
\ Para o Microsoft .NET Framework 4:\ KB2858302v2_**-Microsoft .NET Framework 4 Client Profile-MSP0.txt\ KB2858302v2**.html\ KB2861188**-Microsoft .NET Framework 4 Client Profile-MSP0.txt\ KB2861188*_*.html
Requisitos de reinicialização Em alguns casos, essa atualização não requer uma reinicialização. Se os arquivos necessários estiverem sendo usados, essa atualização exigirá uma reinicialização. Se esse comportamento ocorrer, será exibida uma mensagem que aconselha você a reiniciar.\ \ Para ajudar a reduzir a chance de que uma reinicialização seja necessária, interrompa todos os serviços afetados e feche todos os aplicativos que podem usar os arquivos afetados antes de instalar a atualização de segurança. Para obter mais informações sobre os motivos pelos quais você pode ser solicitado a reiniciar, consulte Artigo da Base de Dados de Conhecimento Microsoft 887012.
Informações de remoção Use o item Adicionar ou Remover Programas no Painel de Controle.
Informações do arquivo Confira o artigo da Base de Dados de Conhecimento Microsoft 2878890
Verificação de chave do Registro Para o Microsoft .NET Framework 2.0 Service Pack 2:\ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Microsoft .NET Framework 2.0 Service Pack 2\SP2\KB2863239\ "ThisVersionInstalled" = "Y"
\ Para o Microsoft .NET Framework 3.0 Service Pack 2:\ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Microsoft .NET Framework 3.0 Service Pack 2\SP2\KB2861189\ "ThisVersionInstalled" = "Y"
\ Microsoft .NET Framework 3.5 Service Pack 1\ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Microsoft .NET Framework 3.5 SP1\SP1\KB2861697\ "ThisVersionInstalled" = "Y"
\ Para o Microsoft .NET Framework 4 quando instalado em todas as edições de 32 bits com suporte do Windows Server 2003:\ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Microsoft .NET Framework 4 Client Profile\KB2858302v2\ "ThisVersionInstalled" = "Y"\ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Microsoft .NET Framework 4 Client Profile\KB2861188\ "ThisVersionInstalled" = "Y"
\ Para o Microsoft .NET Framework 4 quando instalado em todas as edições baseadas em x64 com suporte do Windows Server 2003:\ HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Updates\Microsoft .NET Framework 4 Client Profile\KB2858302v2\ "ThisVersionInstalled" = "Y"\ HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Updates\Microsoft .NET Framework 4 Client Profile\KB2861188\ "ThisVersionInstalled" = "Y"
\ Para o Microsoft .NET Framework 4 quando instalado em todas as edições baseadas em Itanium com suporte do Windows Server 2003:\ HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Updates\Microsoft .NET Framework 4 Client Profile\KB2858302v2\ "ThisVersionInstalled" = "Y"

Windows Vista (todas as edições)

Tabela de referência

A tabela a seguir contém as informações de atualização de segurança para este software.

Inclusão em Service Packs Futuros A atualização desse problema será incluída em um pacote cumulativo de atualizações ou service pack futuro
Nomes de arquivo de atualização de segurança Para o Microsoft .NET Framework 2.0 Service Pack 2 em todas as edições de 32 bits com suporte do Windows Vista:\ Windows6.0-KB2863253-x86.msu
\ Para o Microsoft .NET Framework 3.0 Service Pack 2 em todas as edições de 32 bits com suporte do Windows Vista:\ Windows6.0-KB2861190-x86.msu
\ Para o Microsoft .NET Framework 3.5 Service Pack 1 quando instalado no Windows Vista Service Pack 2:\ NDP35SP1-KB2861697-x86.exe
\ Para o Microsoft .NET Framework 4 quando instalado em todas as edições de 32 bits com suporte do Windows Vista:\ NDP40-KB2858302-v2-x86.exe\ NDP40-KB2861188-x86.exe
\ Para o Microsoft .NET Framework 4.5 quando instalado em todas as edições de 32 bits com suporte do Windows Vista:\ NDP45-KB2861193-x86.exe\ NDP45-KB2861208-x86.exe
\ Para o Microsoft .NET Framework 2.0 Service Pack 2 em todas as edições baseadas em x64 com suporte do Windows Vista:\ Windows6.0-KB2863253-x64.msu
\ Para o Microsoft .NET Framework 3.0 Service Pack 2 em todas as edições baseadas em x64 com suporte do Windows Vista:\ Windows6.0-KB2861190-x64.msu
\ Para o Microsoft .NET Framework 3.5 Service Pack 1 quando instalado no Windows Vista x64 Edition Service Pack 2:\ NDP35SP1-KB2861697-x64.exe
\ Para o Microsoft .NET Framework 4 quando instalado em todas as edições baseadas em x64 com suporte do Windows Vista:\ NDP40-KB2858302-v2-x64.exe\ NDP40-KB2861188-x64.exe
\ Para o Microsoft .NET Framework 4.5 quando instalado em todas as edições baseadas em x64 com suporte do Windows Vista:\ NDP45-KB2861193-x64.exe\ NDP45-KB2861208-x64.exe
Opções de instalação Confira o artigo da Base de Dados de Conhecimento Microsoft 2844699
Atualizar arquivo de log Para o Microsoft .NET Framework 2.0 Service Pack 2:\ Não aplicável
\ Para o Microsoft .NET Framework 3.0 Service Pack 2:\ Não aplicável
\ Para o Microsoft .NET Framework 3.5 Service Pack 1:\ Microsoft .NET Framework 3.5-KB2861697_*-msi0.txt\ Microsoft .NET Framework 3.5-KB2861697_*.html
\ Para o Microsoft .NET Framework 4:\ KB2858302v2_**-Microsoft .NET Framework 4 Client Profile-MSP0.txt\ KB2858302v2**.html\ KB2861188**-Microsoft .NET Framework 4 Client Profile-MSP0.txt\ KB2861188*_*.html
\ Para o Microsoft .NET Framework 4.5:\ KB2861193_**-Microsoft .NET Framework 4.5-MSP0.txt\ KB2861193**.html\ KB2861208**-Microsoft .NET Framework 4.5-MSP0.txt\ KB2861208*_*.html
Requisitos de reinicialização Esta atualização não requer uma reinicialização. O instalador interrompe os serviços necessários, aplica a atualização e reinicia os serviços. No entanto, se os serviços necessários não puderem ser interrompidos por qualquer motivo ou se os arquivos necessários estiverem sendo usados, essa atualização exigirá uma reinicialização. Se esse comportamento ocorrer, será exibida uma mensagem informando que você será reiniciado.
Informações de remoção Clique em Painel de Controle e, em seguida, clique em Segurança. Em Windows Update, clique em Exibir atualizações instaladas e selecione na lista de atualizações.
Informações do arquivo Confira o artigo da Base de Dados de Conhecimento Microsoft 2878890
Verificação de chave do Registro Para o Microsoft .NET Framework 2.0 Service Pack 2:\ Observação Uma chave do Registro não existe para validar a presença dessa atualização. Use o WMI para detectar a presença dessa atualização.
\ Para o Microsoft .NET Framework 3.0 Service Pack 2:\ Observação Uma chave do Registro não existe para validar a presença dessa atualização.
\ Para o Microsoft .NET Framework 3.5 Service Pack 1:\ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Microsoft .NET Framework 3.5 Service Pack 1\SP1\KB2861697\ "ThisVersionInstalled" = "Y"
\ Para o Microsoft .NET Framework 4 quando instalado em todas as edições de 32 bits com suporte do Windows Vista:\ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Microsoft .NET Framework 4 Client Profile\KB2858302v2\ "ThisVersionInstalled" = "Y"
\ Para o Microsoft .NET Framework 4 quando instalado em todas as edições baseadas em x64 com suporte do Windows Vista:\ HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Updates\Microsoft .NET Framework 4 Client Profile\KB2858302v2\ "ThisVersionInstalled" = "Y"\ HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Updates\Microsoft .NET Framework 4 Client Profile\KB2861188\ "ThisVersionInstalled" = "Y"
\ Para o Microsoft .NET Framework 4.5:\ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Microsoft .NET Framework 4.5\KB2861193\ "ThisVersionInstalled" = "Y"\ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Microsoft .NET Framework 4.5\KB2861208\ "ThisVersionInstalled" = "Y"

Windows Server 2008 (todas as edições)

Tabela de referência

A tabela a seguir contém as informações de atualização de segurança para este software.

Inclusão em Service Packs Futuros A atualização desse problema será incluída em um pacote cumulativo de atualizações ou service pack futuro
Nomes de arquivo de atualização de segurança Para o Microsoft .NET Framework 2.0 Service Pack 2 no Windows Server 2008 para Sistemas de 32 bits Service Pack 2:\ Windows6.0-KB2863253-x86.msu
\ Para o Microsoft .NET Framework 3.0 Service Pack 2 no Windows Server 2008 para Sistemas de 32 bits Service Pack 2:\ Windows6.0-KB2861190-x86.msu
\ Para o Microsoft .NET Framework 3.5 Service Pack 1 quando instalado no Windows Server 2008 para Sistemas de 32 bits Service Pack 2:\ NDP35SP1-KB2861697-x86.exe
\ Para o Microsoft .NET Framework 4 quando instalado no Windows Server 2008 para Sistemas de 32 bits Service Pack 2:\ NDP40-KB2858302-v2-x86.exe\ NDP40-KB2861188-x86.exe
\ Para o Microsoft .NET Framework 4.5 quando instalado no Windows Server 2008 para Sistemas de 32 bits Service Pack 2:\ NDP45-KB2861193-x86.exe\ NDP45-KB2861208-x86.exe
\ Para o Microsoft .NET Framework 2.0 Service Pack 2 no Windows Server 2008 para sistemas baseados em x64 Service Pack 2:\ Windows6.0-KB2863253-x64.msu
\ Para o Microsoft .NET Framework 3.0 Service Pack 2 no Windows Server 2008 para sistemas baseados em x64 Service Pack 2:\ Windows6.0-KB2861190-x64.msu
\ Para o Microsoft .NET Framework 3.5 Service Pack 1 quando instalado no Windows Server 2008 para sistemas baseados em x64 Service Pack 2:\ NDP35SP1-KB2861697-x64.exe
\ Para o Microsoft .NET Framework 4 quando instalado no Windows Server 2008 para sistemas baseados em x64 Service Pack 2:\ NDP40-KB2858302-v2-x64.exe\ NDP40-KB2861188-x64.exe
\ Para o Microsoft .NET Framework 4.5 quando instalado no Windows Server 2008 para sistemas baseados em x64 Service Pack 2:\ NDP45-KB2861193-x64.exe\ NDP45-KB2861208-x64.exe
\ Para o Microsoft .NET Framework 2.0 Service Pack 2 em todas as edições baseadas em Itanium com suporte do Windows Server 2008:\ Windows6.0-KB2863253-ia64.msu
\ Para o Microsoft .NET Framework 3.5 Service Pack 1 quando instalado no Windows Server 2008 para Sistemas Baseados em Itanium Service Pack 2:\ NDP35SP1-KB2861697-IA64.exe
\ Para o Microsoft .NET Framework 4 quando instalado no Windows Server 2008 para Sistemas Baseados em Itanium Service Pack 2:\ NDP40-KB2858302-v2-IA64.exe
Opções de instalação Confira o artigo da Base de Dados de Conhecimento Microsoft 2844699
Atualizar arquivo de log Para o Microsoft .NET Framework 2.0 Service Pack 2:\ Não aplicável
\ Para o Microsoft .NET Framework 3.0 Service Pack 2:\ Não aplicável
\ Para o Microsoft .NET Framework 3.5 Service Pack 1:\ Microsoft .NET Framework 3.5-KB2861697_*-msi0.txt\ Microsoft .NET Framework 3.5-KB2861697_*.html
\ Para o Microsoft .NET Framework 4:\ KB2858302v2_**-Microsoft .NET Framework 4 Client Profile-MSP0.txt\ KB2858302v2**.html\ KB2861188**-Microsoft .NET Framework 4 Client Profile-MSP0.txt\ KB2861188*_*.html
\ Para o Microsoft .NET Framework 4.5:\ KB2861193_**-Microsoft .NET Framework 4.5-MSP0.txt\ KB2861193**.html\ KB2861208**-Microsoft .NET Framework 4.5-MSP0.txt\ KB2861208*_*.html
Requisitos de reinicialização Esta atualização não requer uma reinicialização. O instalador interrompe os serviços necessários, aplica a atualização e reinicia os serviços. No entanto, se os serviços necessários não puderem ser interrompidos por qualquer motivo ou se os arquivos necessários estiverem sendo usados, essa atualização exigirá uma reinicialização. Se esse comportamento ocorrer, será exibida uma mensagem informando que você será reiniciado.
Informações de remoção Clique em Painel de Controle e, em seguida, clique em Segurança. Em Windows Update, clique em Exibir atualizações instaladas e selecione na lista de atualizações.
Informações do arquivo Confira o artigo da Base de Dados de Conhecimento Microsoft 2878890
Verificação de chave do Registro Para o Microsoft .NET Framework 2.0 Service Pack 2:\ Observação Uma chave do Registro não existe para validar a presença dessa atualização. Use o WMI para detectar a presença dessa atualização.
\ Para o Microsoft .NET Framework 3.0 Service Pack 2:\ Observação Uma chave do Registro não existe para validar a presença dessa atualização.
\ Para o Microsoft .NET Framework 3.5 Service Pack 1:\ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Microsoft .NET Framework 3.5 Service Pack 1\SP1\KB2861697\ "ThisVersionInstalled" = "Y"
\ Para o Microsoft .NET Framework 4 quando instalado em todas as edições de 32 bits com suporte do Windows Server 2008:\ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Microsoft .NET Framework 4 Client Profile\KB2858302v2\ "ThisVersionInstalled" = "Y"\ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Microsoft .NET Framework 4 Client Profile\KB2861188\ "ThisVersionInstalled" = "Y"
\ Para o Microsoft .NET Framework 4 quando instalado em todas as edições baseadas em x64 com suporte do Windows Server 2008:\ HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Updates\Microsoft .NET Framework 4 Client Profile\KB2858302v2\ "ThisVersionInstalled" = "Y"\ HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Updates\Microsoft .NET Framework 4 Client Profile\KB2861188\ "ThisVersionInstalled" = "Y"
\ Para o Microsoft .NET Framework 4 quando instalado em todas as edições baseadas em Itanium com suporte do Windows Server 2008:\ HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Updates\Microsoft .NET Framework 4 Client Profile\KB2858302v2\ "ThisVersionInstalled" = "Y"
\ Para o Microsoft .NET Framework 4.5:\ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Microsoft .NET Framework 4.5\KB2861193\ "ThisVersionInstalled" = "Y"\ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Microsoft .NET Framework 4.5\KB2861208\ "ThisVersionInstalled" = "Y"

Windows 7 (todas as edições)

Tabela de referência

A tabela a seguir contém as informações de atualização de segurança para este software.

Inclusão em Service Packs Futuros A atualização desse problema será incluída em um pacote cumulativo de atualizações ou service pack futuro
Nome do arquivo de atualização de segurança Para o Microsoft .NET Framework 3.5.1 no Windows 7 para Sistemas de 32 bits Service Pack 1:\ Windows6.1-KB2861191-x86.msu\ Windows6.1-KB2861698-x86.msu\ Windows6.1-KB2863240-x86.msu
\ Para o Microsoft .NET Framework 4 quando instalado no Windows 7 para Sistemas de 32 bits Service Pack 1:\ NDP40-KB2858302-v2-x86.exe
\ Para o Microsoft .NET Framework 4.5 quando instalado no Windows 7 para Sistemas de 32 bits Service Pack 1:\ NDP45-KB2861208-x86.exe
\ Para o Microsoft .NET Framework 3.5.1 no Windows 7 para sistemas baseados em x64 Service Pack 1:\ Windows6.1-KB2861191-x64.msu\ Windows6.1-KB2861698-x64.msu\ Windows6.1-KB2863240-x64.msu
\ Para o Microsoft .NET Framework 4 quando instalado no Windows 7 para sistemas baseados em x64 Service Pack 1:\ NDP40-KB2858302-v2-x64.exe
\ Para o Microsoft .NET Framework 4.5 quando instalado no Windows 7 para sistemas baseados em x64 Service Pack 1:\ NDP45-KB2861208-x64.exe
Opções de instalação Confira o artigo da Base de Dados de Conhecimento Microsoft 2844699
Atualizar arquivo de log Para o Microsoft .NET Framework 3.5.1:\ Não aplicável.
\ Para o Microsoft .NET Framework 4:\ KB2858302v2_**-Microsoft .NET Framework 4 Client Profile-MSP0.txt\ KB2858302v2*_*.html
\ Para o Microsoft .NET Framework 4.5:\ KB2861208_**-Microsoft .NET Framework 4.5-MSP0.txt\ KB22861208*_*.html
Requisitos de reinicialização Esta atualização não requer uma reinicialização. O instalador interrompe os serviços necessários, aplica a atualização e reinicia os serviços. No entanto, se os serviços necessários não puderem ser interrompidos por qualquer motivo ou se os arquivos necessários estiverem sendo usados, essa atualização exigirá uma reinicialização. Se esse comportamento ocorrer, será exibida uma mensagem informando que você será reiniciado.
Informações de remoção Clique em Painel de Controle, em Sistema e Segurança e, em Windows Update, clique em Exibir atualizações instaladas e selecione na lista de atualizações.
Informações do arquivo Confira o artigo da Base de Dados de Conhecimento Microsoft 2878890
Verificação de chave do Registro Para o Microsoft .NET Framework 3.5.1:\ Observação Uma chave do Registro não existe para validar a presença dessa atualização. Use o WMI para detectar a presença dessa atualização.
\ Para o Microsoft .NET Framework 4 quando instalado em todas as edições de 32 bits com suporte do Windows 7:\ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Microsoft .NET Framework 4 Client Profile\KB2858302v2\ "ThisVersionInstalled" = "Y"
\ Para o Microsoft .NET Framework 4 quando instalado em todas as edições baseadas em x64 com suporte do Windows 7:\ HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Updates\Microsoft .NET Framework 4 Client Profile\KB2858302v2\ "ThisVersionInstalled" = "Y"
\ Para o Microsoft .NET Framework 4.5:\ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Microsoft .NET Framework 4.5\KB2861208\ "ThisVersionInstalled" = "Y"

Windows Server 2008 R2 (todas as edições)

Tabela de referência

A tabela a seguir contém as informações de atualização de segurança para este software.

Inclusão em Service Packs Futuros A atualização desse problema será incluída em um pacote cumulativo de atualizações ou service pack futuro
Nome do arquivo de atualização de segurança Para o Microsoft .NET Framework 3.5.1 no Windows Server 2008 R2 para sistemas baseados em x64 Service Pack 1:\ Windows6.1-KB2861698-x64.msu\ Windows6.1-KB2863240-x64.msu\ Windows6.1-KB2861191-x64.msu
\ Para o Microsoft .NET Framework 4 quando instalado no Windows Server 2008 R2 para sistemas baseados em x64 Service Pack 1:\ NDP40-KB2858302-v2-x64.exe
\ Para o Microsoft .NET Framework 4.5 quando instalado no Windows Server 2008 R2 para sistemas baseados em x64 Service Pack 1:\ NDP45-KB2861208-x64.exe
\ Para o Microsoft .NET Framework 3.5.1 no Windows Server 2008 R2 para Sistemas baseados em Itanium Service Pack 1:\ Windows6.1-KB2861698-ia64.msu\ Windows6.1-KB2863240-ia64.msu
\ Para o Microsoft .NET Framework 4 quando instalado no Windows Server 2008 R2 para Sistemas baseados em Itanium Service Pack 1:\ NDP40-KB2858302-v2-ia64.exe
Opções de instalação Confira o artigo da Base de Dados de Conhecimento Microsoft 2844699
Atualizar arquivo de log Para o Microsoft .NET Framework 3.5.1:\ Não aplicável
\ Para o Microsoft .NET Framework 4:\ KB2858302v2_**-Microsoft .NET Framework 4 Client Profile-MSP0.txt\ KB2858302v2*_*.html
\ Para o Microsoft .NET Framework 4.5:\ KB2861208_**-Microsoft .NET Framework 4.5-MSP0.txt\ KB2861208*_*.html
Requisitos de reinicialização Essa atualização não requer uma reinicialização. O instalador interrompe os serviços necessários, aplica a atualização e reinicia os serviços. No entanto, se os serviços necessários não puderem ser interrompidos por qualquer motivo ou se os arquivos necessários estiverem sendo usados, essa atualização exigirá uma reinicialização. Se esse comportamento ocorrer, será exibida uma mensagem que aconselha você a reiniciar.
Informações de remoção Clique em Painel de Controle, em Sistema e Segurança e, em Windows Update, clique em Exibir atualizações instaladas e selecione na lista de atualizações.
Informações do arquivo Consulte o artigo da Base de Dados de Conhecimento da Microsoft 2878890
Verificação de chave do Registro Para o Microsoft .NET Framework 3.5.1:\ Observação Uma chave do Registro não existe para validar a presença dessa atualização. Use o WMI para detectar a presença dessa atualização.
\ Para o Microsoft .NET Framework 4:\ HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Updates\Microsoft .NET Framework 4 Client Profile\KB2858302v2\ "ThisVersionInstalled" = "Y"
\ Para o Microsoft .NET Framework 4.5:\ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Microsoft .NET Framework 4.5\KB2861208\ "ThisVersionInstalled" = "Y"

Windows 8 (todas as edições)

Tabela de referência

A tabela a seguir contém as informações de atualização de segurança para este software.

Inclusão em Service Packs Futuros A atualização para esse problema será incluída em um pacote de serviços futuro ou pacote cumulativo de atualizações
Nome do arquivo de atualização de segurança Para o Microsoft .NET Framework 3.5 em Windows 8 para sistemas de 32 bits:\ Windows8-RT-KB2861194-x86.msu\ Windows8-RT-KB2861704-x86.msu\ Windows8-RT-KB2863243-x86.msu
\ Para o Microsoft .NET Framework 4.5 em Windows 8 para sistemas de 32 bits:\ Windows8-RT-KB2861702-x86.msu
\ Para o Microsoft .NET Framework 3.5 no Windows 8 para sistemas de 64 bits:\ Windows8-RT-KB2861194-x64.msu\ Windows8-RT-KB2861704-x64.msu\ Windows8-RT-KB2863243-x64.msu
\ Para o Microsoft .NET Framework 4.5 Windows 8 para sistemas de 64 bits:\ Windows8-RT-KB2861702-x64.msu
Opções de instalação Consulte o artigo da Base de Dados de Conhecimento da Microsoft 2844699
Requisitos de reinicialização Essa atualização não requer uma reinicialização. O instalador interrompe os serviços necessários, aplica a atualização e reinicia os serviços. No entanto, se os serviços necessários não puderem ser interrompidos por qualquer motivo ou se os arquivos necessários estiverem sendo usados, essa atualização exigirá uma reinicialização. Se esse comportamento ocorrer, será exibida uma mensagem que aconselha você a reiniciar.
Informações de remoção Clique em Painel de Controle, clique em Sistema e Segurança, clique em Windows Update e, em Ver também, clique em Atualizações instaladas e selecione na lista de atualizações.
Informações do arquivo Consulte o artigo da Base de Dados de Conhecimento da Microsoft 2878890
Verificação de chave do Registro Para o Microsoft .NET Framework 3.5:\ Observação Uma chave do Registro não existe para validar a presença dessa atualização. Use o WMI para detectar a presença dessa atualização.
\ Para o Microsoft .NET Framework 4.5:\ Observação Uma chave do Registro não existe para validar a presença dessa atualização. Use o WMI para detectar a presença dessa atualização.

Windows Server 2012 (todas as edições)

Tabela de referência

A tabela a seguir contém as informações de atualização de segurança para este software.

Inclusão em Service Packs Futuros A atualização para esse problema será incluída em um pacote de serviços futuro ou pacote cumulativo de atualizações
Nome do arquivo de atualização de segurança Para o Microsoft .NET Framework 3.5 no Windows Server 2012:\ Windows8-RT-KB2861194-x64.msu\ Windows8-RT-KB2861704-x64.msu\ Windows8-RT-KB2863243-x64.msu
\ Para o Microsoft .NET Framework 4.5 em Windows Server 2012:\ Windows8-RT-KB2861702-x64.msu
Opções de instalação Consulte o artigo da Base de Dados de Conhecimento da Microsoft 2844699
Requisitos de reinicialização Essa atualização não requer uma reinicialização. O instalador interrompe os serviços necessários, aplica a atualização e reinicia os serviços. No entanto, se os serviços necessários não puderem ser interrompidos por qualquer motivo ou se os arquivos necessários estiverem sendo usados, essa atualização exigirá uma reinicialização. Se esse comportamento ocorrer, será exibida uma mensagem que aconselha você a reiniciar.
Informações de remoção Clique em Painel de Controle, clique em Sistema e Segurança, clique em Windows Update e, em Ver também, clique em Atualizações instaladas e selecione na lista de atualizações.
Informações do arquivo Consulte o artigo da Base de Dados de Conhecimento da Microsoft 2878890
Verificação de chave do Registro Nota Uma chave do Registro não existe para validar a presença dessa atualização.

Windows RT (todas as edições)

A tabela a seguir contém as informações de atualização de segurança para este software.

Implantação Para o Microsoft .NET Framework 4.5 no Windows RT:\ A atualização 2861702 está disponível apenas por meio de Windows Update.
Requisito de reinicialização Sim, você deve reiniciar o sistema depois de aplicar essa atualização de segurança.
Informações de remoção Clique em Painel de Controle, clique em Sistema e Segurança, clique em Windows Update e, em Ver também, clique em Atualizações instaladas e selecione na lista de atualizações.
Informações do arquivo Consulte o artigo da Base de Dados de Conhecimento da Microsoft 2878890

Agradecimentos

A Microsoft agradece o seguinte por trabalhar conosco para ajudar a proteger os clientes:

Outras Informações

MAPP (Microsoft Active Protections Program)

Para melhorar as proteções de segurança para os clientes, a Microsoft fornece informações de vulnerabilidade para os principais provedores de software de segurança antes de cada versão mensal de atualização de segurança. Os provedores de software de segurança podem usar essas informações de vulnerabilidade para fornecer proteções atualizadas aos clientes por meio de seus softwares ou dispositivos de segurança, como antivírus, sistemas de detecção de intrusão baseados em rede ou sistemas de prevenção de intrusão baseados em host. Para determinar se as proteções ativas estão disponíveis em provedores de software de segurança, acesse os sites de proteções ativas fornecidos por parceiros do programa, listados em Parceiros do MAPP (Microsoft Active Protections Program).

Suporte

Como obter ajuda e suporte para esta atualização de segurança

Isenção de responsabilidade

As informações fornecidas na Base de Dados de Conhecimento da Microsoft são fornecidas "como estão" sem garantia de qualquer tipo. A Microsoft isenta todas as garantias, expressas ou implícitas, incluindo as garantias de comercialização e adequação para uma finalidade específica. Em nenhum caso, a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, incluindo danos diretos, indiretos, incidentais, conseqüentes, perda de lucros comerciais ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido avisados da possibilidade de tais danos. Alguns estados não permitem a exclusão ou a limitação da responsabilidade por danos conseqüentes ou incidentais, portanto, a limitação anterior pode não se aplicar.

Revisões

  • V1.0 (8 de outubro de 2013): Boletim publicado.
  • V1.1 (10 de outubro de 2013): boletim revisado para indicar que as instalações do Server Core de Windows Server 2012 são afetadas pela vulnerabilidade abordada na atualização 2861194. Essa é apenas uma alteração informativa. Não houve alterações na lógica de detecção nem nos arquivos de atualização de segurança. Os clientes que já atualizaram seus sistemas com êxito não precisam tomar nenhuma ação.
  • V1.2 (7 de abril de 2016): links de download corrigidos para o Microsoft .NET Framework 3.5.1 no Windows 7 e Windows 2008 R2. Essa é apenas uma alteração informativa. Os clientes que já atualizaram seus sistemas com êxito não precisam tomar nenhuma ação.

Página gerada 2016-04-07 9:06Z-07:00.