Launch Printer Friendly Page Security TechCenter > Security Advisories > Comunicado de Segurança da Microsoft (2607712)

Comunicado de Segurança da Microsoft (2607712)

Certificados digitais fraudulentos poderiam permitir falsificação

Publicado: | Atualizado:

Versão: 5.0

Informações Gerais

Sinopse

A Microsoft está ciente de ataques ativos usando, pelo menos, um certificado digital fraudulento publicado pela DigiNotar, uma autoridade de certificação presente no Armazenamento das Autoridades de Certificação de Raiz Confiável. Um certificado fraudulento pode ser usado para falsificar conteúdo, executar ataques de phishing ou executar ataques intermediários contra todos os usuários de navegadores da Web, inclusive usuários do Internet Explorer. Embora isso não seja uma vulnerabilidade num produto da Microsoft, este problema afeta todas as versões com suporte do Microsoft Windows.

A Microsoft continua investigando este problema. Baseado em investigações preliminares, a Microsoft forneceu uma nova atualização (KB2616676) no dia 13 de setembro de 2011 para todas as versões com suporte do Microsoft Windows que revoga a confiança dos seguintes certificados-raiz da DigiNotar, colocando-os no Armazenamento de certificados não confiáveis da Microsoft:

  • DigiNotar Root CA
  • DigiNotar Root CA G2
  • DigiNotar PKIoverheid CA Overheid
  • DigiNotar PKIoverheid CA Organisatie - G2
  • DigiNotar PKIoverheid CA Overheid en Bedrijven
  • DigiNotar Root CA publicado por Entrust (2 certificados)
  • DigiNotar Services 1024 CA publicado por Entrust
  • DigiNotar Cyber CA publicado por GTE CyberTrust (3 certificados)

Recomendação. A Microsoft recomenda que os clientes apliquem a atualização imediatamente, usando o software de gerenciamento de atualização ou procurem atualizações usando o serviço Microsoft Update. Consulte a seção Ações sugeridas deste comunicado para obter mais informações.

Problemas conhecidos. O Artigo 2616676 (em inglês) da Microsoft Knowledge Base documenta os problemas atualmente conhecidos que os clientes podem enfrentar ao instalar esta atualização. O artigo também documenta as soluções recomendadas para esses problemas.

Detalhes do Comunicado

Referências ao problema

Para obter mais informações sobre este problema, consulte as seguintes referências:

ReferênciasIdentificação
Artigo da Microsoft Knowledge Base2616676

Dispositivos e softwares afetados

Este comunicado descreve os seguintes softwares e dispositivos.

Softwares afetados
Windows XP Service Pack 3
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 com SP2 para sistemas baseados no Itanium
Windows Vista Service Pack 2
Windows Vista x64 Edition Service Pack 2
Windows Server 2008 para sistemas de 32 bits Service Pack 2*
Windows Server 2008 para sistemas baseados em x64 Service Pack 2*
Windows Server 2008 para sistemas baseados no Itanium Service Pack 2
Windows 7 para sistemas de 32 bits e Windows 7 para sistemas de 32 bits Service Pack 1
Windows 7 para sistemas baseados em x-64 e Windows 7 para Sistemas Service Pack 1 baseados em x-64
Windows Server 2008 R2 para sistemas baseados em x64 e Windows Server 2008 R2 para sistemas baseados em x-64 Service Pack 1*
Windows Server 2008 R2 para sistemas baseados em Itanium e Windows Server 2008 R2 para sistemas Service Pack 1 baseados no Itanium

*Instalação do núcleo do servidor afetada. Este comunicado se aplica às edições com suporte do Windows Server 2008 ou Windows Server 2008 R2, conforme indicado, independentemente de terem sido instalados ou não com a opção de instalação de Núcleo de Servidor. Para obter mais informações sobre esta opção de instalação, consulte os artigos da Technet Managing a Server Core Installation e Servicing a Server Core Installation (em inglês). Observe que a opção de instalação de Núcleo do Servidor não se aplica a certas edições do Windows Server 2008 e Windows Server 2008 R2; consulte Comparar opções de instalação de Núcleo do Servidor.

Dispositivos não afetados
Windows Mobile 6.x
Windows Phone 7
Windows Phone 7.5

Perguntas frequentes

Ações sugeridas

Outras informações

Microsoft Active Protections Program (MAPP)

Para melhorar as proteções de segurança para os clientes, a Microsoft fornece informações sobre vulnerabilidades aos principais fornecedores de software de segurança antes do lançamento de cada atualização de segurança mensal. Assim, os fornecedores de software de segurança podem usar essas informações sobre vulnerabilidades para fornecer proteções atualizadas aos clientes por meio de seus softwares ou dispositivos de segurança, como antivírus, sistemas de detecção de invasões baseados em rede ou sistemas de prevenção de invasões baseados em host. Para determinar se os fornecedores de software de segurança estão disponibilizando proteções ativas, visite os sites de proteções ativas fornecidos pelos parceiros do programa, listados em Parceiros do MAPP (Microsoft Active Protections Program).

Comentários

Suporte

  • Os clientes nos EUA e Canadá podem receber suporte técnico do Suporte de Segurança. Para obter mais informações sobre as opções de suporte disponíveis, consulte Ajuda e Suporte da Microsoft.
  • Os clientes de outros países podem obter suporte nas subsidiárias locais da Microsoft. Para obter mais informações sobre como entrar em contato com a Microsoft para problemas de suporte internacional, visite o site Suporte Internacional.
  • O Microsoft TechNet Security fornece informações adicionais sobre segurança em produtos da Microsoft.

Aviso de isenção de responsabilidade

As informações oferecidas neste documento são fornecidas "como estão" sem garantia de nenhum tipo. A Microsoft se isenta de todas as garantias, expressas ou implícitas, inclusive as garantias de comercialização e adequação a um propósito específico. Em hipótese alguma a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, inclusive danos diretos, indiretos, incidentais, consequenciais, danos por lucros cessantes ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido alertados da possibilidade dos referidos danos. Como alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou indiretos, a limitação acima pode não ser aplicável a você.

Revisões

  • V1.0 (29 de agosto de 2011): Comunicado publicado.
  • V2.0 (29 de agosto de 2011): Revisado corrigir número incorreto de comunicado.
  • V3.0 (6 de setembro de 2011): Revisado para anunciar o lançamento de uma atualização que aborda este problema.
  • V4.0 (13 de setembro de 2011): Revisado anunciar o lançamento da atualização KB2616676 que aborda o problema descrito neste comunicado.
  • V4.1 (13 de setembro de 2011): Revisado para anunciar a disponibilidade da atualização KB2616676 para a versão Windows Developer Preview. Consulte as Perguntas frequentes de atualização neste comunicado para obter mais informações.
  • V5.0 (19 de setembro de 2011): Revisado para anunciar o novo lançamento da atualização KB2616676. Consulte as Perguntas frequentes de atualização neste comunicado para obter mais informações.