Modelo do MSRC ppDocument
Comunicado de Segurança da Microsoft 3009008
Vulnerabilidade no SSL 3.0 Pode Permitir Divulgação de Informações
Publicado em: 14.10.14 | Atualizado em: 14 de abril de 2015
Versão: 3.0
Informações Gerais
Sinopse
A Microsoft tem conhecimento de informações detalhadas que foram publicadas descrevendo um novo método para explorar uma vulnerabilidade no SSL 3.0. Essa é uma vulnerabilidade de toda a indústria afetando o próprio protocolo SSL 3.0 e não é específico do sistema operacional Windows. Todas as versões com suporte do Microsoft Windows implementam este protocolo e são afetadas por essa vulnerabilidade. A Microsoft não está ciente de ataques que tentam usar a vulnerabilidade relatada no momento. Levando em conta o cenário de ataque, essa vulnerabilidade não é considerada de alto risco para clientes.
Estamos trabalhando ativamente com os parceiros em nosso programa Microsoft Active Protections Program (MAPP) para fornecer informações que eles possam usar para oferecer proteção mais ampla aos clientes.
A Microsoft está anunciando que com o lançamento da atualização de segurança 3038314 em 14 de abril de 2015, o SSL 3.0 fica desabilitado por padrão no Internet Explorer 11. A Microsoft também está anunciando que o SSL 3.0 será desabilitado por todos os serviços online da Microsoft durante os próximos meses. Recomendamos que os consumidores migrem os cliente e serviços para protocolos de segurança mais seguros, como TLS 1.0, TLS 1.1 ou TLS 1.2.
Fatores atenuantes:
- O invasor deve fazer diversas centenas de solicitações de HTTPS antes que seja bem-sucedido.
- O TLS 1.0, TLS 1.1, TLS 1.2 e todos os pacotes de criptografia que não usam o modo CBC não são afetados.
Recomendação. Consulte a seção Ações Sugeridas deste comunicado de segurança para ver soluções alternativas para desabilitar o SSL 3.0. A Microsoft recomenda os clientes usarem essas soluções alternativas para testar seus serviços e clientes para uso do SSL 3.0 e começar a migrar.
Detalhes do Comunicado
Referências ao problema
Para obter mais informações sobre esse problema, consulte as seguintes referências:
Referências | Identificação |
---|---|
Artigo da Base de Dados de Conhecimento da Microsoft: | 3009008 |
Referência CVE | CVE-2014-3566 |
Sistema operacional |
---|
Windows Server 2003 Service Pack 2 |
Microsoft Windows Server 2003 x64 Edition Service Pack 2 |
Windows Server 2003 com SP2 para sistemas baseados no Itanium |
Windows Vista Service Pack 2 |
Windows Vista x64 Edition Service Pack 2 |
Windows Server 2008 para sistemas de 32 bits Service Pack 2 |
Windows Server 2008 para sistemas baseados em x64 Service Pack 2 |
Windows Server 2008 para sistemas Itanium Service Pack 2 |
Windows 7 para sistemas de 32 bits Service Pack 1 |
Windows 7 para Sistemas Service Pack 1 baseados em x64 |
Windows Server 2008 R2 para Sistemas Service Pack 1 baseados em x64 |
Windows Server 2008 R2 Service Pack 1 para sistemas baseados no Itanium |
Windows 8 para sistemas de 32 bits |
Windows 8 para sistemas baseados em x64 |
Windows 8.1 para sistemas de 32 bits |
Windows 8.1 para sistemas baseados em x64 |
Windows Server 2012 |
Windows Server 2012 R2 |
Windows RT |
Windows RT 8.1 |
Opção de instalação Server Core |
Windows Server 2008 Service Pack 2 para sistemas de 32 bits (instalação Server Core) |
Windows Server 2008 Service Pack 2 para sistemas baseados em x64 (instalação Server Core) |
Windows Server 2008 R2 Service Pack 1 para sistemas baseados em x64 (instalação Server Core) |
Windows Server 2012 (instalação Server Core) |
Windows Server 2012 R2 (instalação Server Core) |
```
HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server
```
**Observação** Se o caminho do Registro completo não existe, você pode criá-lo ao expandir as chaves disponíveis e ao usar a opção **Nova** -> **chave** do menu **Editar**.
No menu Editar, clique em AdicionarValor.
Na lista Tipo deDados, clique em DWORD.
Na caixa Nome doValor, digiteHabilitado e clique em OK.
Observação Se esse valor estiver presente, clique duas vezes nele para editar o valor atual.
Na caixa de diálogo Editar Valor DWORD (32 bits), digite 0.
Clique em OK. Reinicie o computador.
Observaçãoessa solução alternativa desabilitará o SSL 3.0 para todos os softwares de servidor instalados em um sistema, incluindo IIS.
Observaçãodepois de aplicar essa solução alternativa, o cliente que confia apenas no SSL 3.0 não poderá se comunicar com o servidor.
Como desfazer a solução alternativa. Siga estas etapas para desativar o SSL 3.0 no software de servidor do Windows:
Abra o Editor do Registro.
Localize e clique na seguinte subchave do Registro:
HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server
No menu Editar, clique em Excluir.
Clique em Sim quando solicitado.
Saia do Editor do Registro.
Reinicie o sistema.
** **
Para Software Cliente
É possível desabilitar o suporte para o protocolo SSL 3.0 no Windows seguindo estas etapas:
Clique em Iniciar, em Executar, digite regedt32 ou regedit e clique em OK.
No Editor do Registro, localize a seguinte chave do Registro:
HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client
Observação Se o caminho do Registro completo não existe, você pode criá-lo ao expandir as chaves disponíveis e ao usar a opção Nova -> chave do menu Editar.
No menu Editar, clique em AdicionarValor.
Na lista Tipo deDados, clique em DWORD.
Na caixa Nome doValor, digiteHabilitado e clique em OK.
Observação Se esse valor estiver presente, clique duas vezes nele para editar o valor atual.
Na caixa de diálogo Editar Valor DWORD (32 bits), digite 0.
Clique em OK. Reinicie o computador.
Observaçãoessa solução alternativa desabilitará o SSL 3.0 para todos os softwares clientes instalados em um sistema.
Observaçãodepois de aplicar essa solução alternativa, os aplicativos clientes nesse computador não poderão se comunicar com outros servidores que suportam apenas SSL 3.0.
Como desfazer a solução alternativa. Siga estas etapas para desativar o SSL 3.0 no software cliente do Windows:
Abra o Editor do Registro.
Localize e clique na seguinte subchave do Registro:
HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client
No menu Editar, clique em Excluir.
Clique em Sim quando solicitado.
Saia do Editor do Registro.
Reinicie o sistema.
Ações adicionais sugeridas
Proteja seu PC
Continuamos a incentivar nossos clientes a seguir nossa orientação de proteger o computador por meio de habilitação do firewall, obtenção de atualizações de software e instalação de software antivírus. Para obter mais informações, consulte o Centro de Segurança e Proteção da Microsoft.
Mantenha o software da Microsoft atualizado
Todos os usuários que executam software da Microsoft devem aplicar as mais recentes atualizações de segurança da Microsoft para ter certeza de que seus computadores estejam protegidos ao máximo. Se não tiver certeza de que seu computador está atualizado, visite o Microsoft Update, verifique se há atualizações disponíveis para o computador e instale as atualizações de alta prioridade oferecidas. Se você tem as atualizações automáticas habilitadas e configuradas para fornecer atualizações para produtos Microsoft, as atualizações serão fornecidas a você quando lançadas, mas você deve verificar se elas são instaladas.
span id="ID0E3NAC" /> Agradecimentos
A Microsoft agradece às seguintes pessoas por trabalharem conosco, ajudando a proteger os clientes:
- Bodo Möller, da Equipe de Segurança de Google, por trabalhar conosco neste problema
Outras informações
Microsoft Active Protections Program (MAPP)
Para melhorar as proteções de segurança para os clientes, a Microsoft fornece informações sobre vulnerabilidades aos principais fornecedores de software de segurança antes do lançamento de cada atualização de segurança mensal. Assim, os fornecedores de software de segurança podem usar essas informações sobre vulnerabilidades para fornecer proteções atualizadas aos clientes por meio de seus softwares ou dispositivos de segurança, como antivírus, sistemas de detecção de invasões baseados em rede ou sistemas de prevenção de invasões baseados em host. Para determinar se os fornecedores de software de segurança estão disponibilizando proteções ativas, visite os sites de proteções ativas fornecidos pelos parceiros do programa, listados em Parceiros do Microsoft Active Protections Program (MAPP).
Comentários
- Você pode fazer comentários preenchendo o formulário de Ajuda e Suporte da Microsoft, Atendimento ao Cliente e Contato.
Suporte
- Os clientes nos EUA e Canadá podem receber suporte técnico do Suporte de Segurança. Para obter mais informações, consulte Ajuda e Suporte da Microsoft.
- Os clientes de outros países podem obter suporte nas subsidiárias locais da Microsoft. Para obter mais informações, consulte Suporte internacional.
- O Microsoft TechNet Security fornece informações adicionais sobre segurança em produtos da Microsoft.
Aviso de isenção de responsabilidade
As informações oferecidas neste documento são fornecidas "como estão" sem garantia de nenhum tipo. A Microsoft se isenta de todas as garantias, expressas ou implícitas, inclusive as garantias de comercialização e adequação a um propósito específico. Em hipótese alguma a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, inclusive danos diretos, indiretos, incidentais, consequenciais, danos por lucros cessantes ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido alertados da possibilidade dos referidos danos. Como alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou indiretos, a limitação acima pode não ser aplicável a você.
Revisões
- V1.0 (14.10.14): Comunicado publicado.
- V1.1 (15 de outubro de 2014): Comunicado revisado para incluir uma solução alternativa para desabilitar o protocolo SSL 3.0 no Windows.
- V2.0 (29.10.14): Comunicado revisado para anunciar a desaprovação do SSL 3.0, para esclarecer as instruções de solução alternativa para desabilitar o SSL 3.0 nos servidores e clientes do Windows e para anunciar a disponibilidade de uma solução Microsoft Fix it para o Internet Explorer. Para obter mais informações, consulte o artigo 3009008 da Base de Dados de Conhecimento da Microsoft.
- V2.1 (9 de dezembro de 2014): A Microsoft está anunciando a disponibilidade dos avisos de fallback do SSL 3.0 no Internet Explorer 11. Para obter mais informações, consulte o artigo 3013210 da Base de Dados de Conhecimento da Microsoft.
- V2.2 (10 de fevereiro de 2015): A Microsoft está anunciando que as tentativas de reversão do SSL 3.0 estão desabilitadas por padrão no Internet Explorer 11. Para obter mais informações, consulte o artigo 3021952 da Base de Dados de Conhecimento da Microsoft.
- V2.3 (16.02.2015): Comunicado revisado para anunciar a data planejada para desabilitar o SSL 3.0 por padrão no Internet Explorer 11.
- V3.0 (14 de abril de 2015) Comunicado revisado irá anunciar com o lançamento da atualização de segurança 3038314 em 14 de abril de 2015, que o SSL 3.0 fica desabilitado por padrão no Internet Explorer 11, e adicionar instruções para como desfazer as soluções alternativas.
Página gerada em 07.04.14 14:32Z-07:00.