Boletim de Segurança
Microsoft Security Bulletin MS13-045 - Importante
Vulnerabilidade no Windows Essentials pode permitir a divulgação não autorizada de informações (2813707)
Publicado: terça-feira, 14 de maio de 2013 | Atualizado: May 15, 2013
Versão: 1.1
Informações Gerais
Resumo executivo
Esta atualização de segurança elimina uma vulnerabilidade relatada em particular no Windows Essentials. A vulnerabilidade pode permitir a divulgação não autorizada de informações se um usuário abrir o Windows Writer usando uma URL especialmente criada. O invasor que explorar com êxito a vulnerabilidade poderá substituir as configurações de proxy do Windows Writer e substituir arquivos acessíveis ao usuário no sistema de destino. Em um cenário de ataque baseado na Web, um site pode conter um link especialmente criado que é usado para explorar essa vulnerabilidade. Um invasor teria que convencer os usuários a visitar o site e abrir o link especialmente criado.
Esta atualização de segurança é classificada como Importante para o Windows Writer quando instalada em todas as edições com suporte do Microsoft Windows. Para obter mais informações, consulte a subseção Software afetado e não afetado, nesta seção.
A atualização de segurança elimina a vulnerabilidade corrigindo a maneira como o Windows Writer manipula parâmetros de URL. Para obter mais informações sobre a vulnerabilidade, consulte a subseção Perguntas frequentes sobre a entrada de vulnerabilidade específica na próxima seção, Informações sobre a vulnerabilidade.
Recomendação. A Microsoft recomenda que os clientes apliquem a atualização o mais rápido possível.
Consulte também a seção Orientação e ferramentas de detecção e implantação, mais adiante neste boletim.
Artigo da Base de Dados de Conhecimento
| Artigo da Base de Dados de Conhecimento | 2813707 |
|---|---|
| Informações do arquivo | Yes |
| Hashes SHA1/SHA2 | Yes |
| Problemas conhecidos | Nenhum |
Software afetado e não afetado
O software a seguir foi testado para determinar quais versões ou edições são afetadas. Outras versões ou edições já passaram do ciclo de vida de suporte ou não são afetadas. Para determinar o ciclo de vida de suporte para sua versão ou edição de software, consulte Ciclo de Vida do Suporte da Microsoft.
Softwares afetados
| Sistema operacional | Impacto máximo na segurança | Classificação de gravidade agregada | Atualizações substituídas |
|---|---|---|---|
| Windows Essentials 2011[1] | Divulgação de informações | Importante | Nenhum |
| Windows Essentials 2012[2]\ (2813707) | Divulgação de informações | Importante | Nenhum |
[1]Não há nenhuma atualização disponível para o Windows Essentials 2011. Consulte as Perguntas frequentes sobre atualizações para obter detalhes.
[2]Esta atualização está disponível apenas para download.
Perguntas frequentes sobre atualizações
Onde está a atualização para o Windows Essentials 2011?
Não há nenhuma atualização disponível para o Windows Essentials 2011 porque a Microsoft recomenda que todos os clientes que usam esta versão atualizem para o Windows Essentials 2012. O Windows Essentials 2012 está disponível na página de download do Windows Essentials .
O que posso fazer se não conseguir atualizar minha versão do Windows Essentials?
Os clientes que não podem atualizar suas versões do Windows Essentials podem desabilitar o manipulador do Windows Writer. Para obter mais informações sobre como desabilitar o manipulador do Windows Writer, consulte a solução alternativa na seção Vulnerabilidade de manipulação de URI imprópria do Windows Essentials - CVE-2013-0096 .
Estou usando uma versão mais antiga do software discutido neste boletim de segurança. O que devo fazer?
Os softwares afetados listados neste boletim foram testados para determinar quais versões são afetadas. Outras versões já passaram do ciclo de vida de suporte. Para obter mais informações sobre o ciclo de vida do produto, consulte o site do Ciclo de Vida do Suporte da Microsoft.
Deve ser uma prioridade para os clientes que têm versões mais antigas do software migrar para versões com suporte para evitar a exposição potencial a vulnerabilidades. Para determinar o ciclo de vida de suporte para sua versão de software, consulte Selecionar um produto para obter informações sobre o ciclo de vida. Para obter mais informações sobre service packs para essas versões de software, consulte Política de suporte ao ciclo de vida do Service Pack.
Os clientes que precisam de suporte personalizado para software mais antigo devem entrar em contato com o representante da equipe de contas da Microsoft, o gerente técnico de contas ou o representante de parceiro da Microsoft apropriado para obter opções de suporte personalizadas. Os clientes sem um Contrato Alliance, Premier ou Autorizado podem entrar em contato com o escritório de vendas local da Microsoft. Para obter informações de contato, consulte o site Microsoft Worldwide Information , selecione o país na lista Informações de contato e clique em Ir para ver uma lista de números de telefone. Quando ligar, peça para falar com o gerente de vendas do Suporte Premier local. Para obter mais informações, consulte as Perguntas frequentes sobre a Política de Ciclo de Vida do Suporte da Microsoft.
Informações sobre vulnerabilidade
Classificações de gravidade e identificadores de vulnerabilidade
As classificações de gravidade a seguir pressupõem o impacto máximo potencial da vulnerabilidade. Para obter informações sobre a probabilidade, dentro de 30 dias após o lançamento deste boletim de segurança, da possibilidade de exploração da vulnerabilidade em relação à sua classificação de gravidade e impacto à segurança, consulte o Índice de exploração no resumo de boletins de maio. Para obter mais informações, consulte Índice de exploração da Microsoft.
| Softwares afetados | Vulnerabilidade de manipulação incorreta de URI do Windows Essentials - CVE-2013-0096 | Classificação de gravidade agregada |
|---|---|---|
| Windows Essentials 2011 | Importante \ Divulgação de Informações | Importante |
| Windows Essentials 2012 | Importante \ Divulgação de Informações | Importante |
Vulnerabilidade de manipulação incorreta de URI do Windows Essentials - CVE-2013-0096
Existe uma vulnerabilidade de divulgação não autorizada de informações quando o Windows Writer não consegue manipular corretamente uma URL especialmente criada. O invasor que explorar com êxito a vulnerabilidade poderá substituir as configurações de proxy do Windows Writer e substituir arquivos acessíveis ao usuário no sistema de destino.
Para exibir esta vulnerabilidade como uma entrada padrão na lista Common Vulnerabilities and Exposures, consulte CVE-2013-0096.
Fatores atenuantes
Mitigação refere-se a uma configuração, configuração comum ou prática recomendada geral, existente em um estado padrão, que pode reduzir a gravidade da exploração de uma vulnerabilidade. Os seguintes fatores atenuantes podem ser úteis em sua situação:
- Num cenário de ataque baseado na Web, um intruso teria de alojar um Web site e convencer um utilizador a clicar num URL especialmente concebido para o efeito para explorar esta vulnerabilidade. Em todos os casos, no entanto, um invasor não teria como forçar os usuários a visitar esses sites. Em vez disso, um invasor teria que convencer os usuários a visitar o site, geralmente fazendo com que eles cliquem em um link em uma mensagem de email ou mensagem do Instant Messenger que leva os usuários ao site do invasor.
Soluções Alternativas
Solução alternativa refere-se a uma configuração ou alteração de configuração que não corrige a vulnerabilidade subjacente, mas que ajudaria a bloquear vetores de ataque conhecidos antes de aplicar a atualização. A Microsoft testou as seguintes soluções alternativas e estados na discussão se uma solução alternativa reduz a funcionalidade:
Aplique a solução Microsoft Fix it, "Desativar o Windows Writer" que impede a exploração desta vulnerabilidade
Consulte o Artigo 2813707 da Base de Dados de Conhecimento Microsoft para usar a solução automatizada Microsoft Fix it para habilitar ou desabilitar essa solução alternativa.
Impacto da solução alternativa. Os usuários que configuraram seus sistemas com essa solução alternativa não poderão processar solicitações de manipulador do Windows Writer que normalmente iniciariam o Windows Writer.
Perguntas frequentes
Qual é a abrangência da vulnerabilidade?
Esta é uma vulnerabilidade de divulgação não autorizada de informações.
O que causa a vulnerabilidade?
A vulnerabilidade é causada quando o Windows Writer não consegue manipular corretamente os parâmetros de URL.
O que é o Windows Essentials?
O Windows Essentials é um conjunto de produtos disponíveis em um download fácil. O conjunto inclui Galeria de Fotos, Mail, Movie Maker, Writer, Proteção para a Família, Barra do Bing e Microsoft Silverlight.
O que é o Windows Writer?
O Windows Writer é um aplicativo cliente para Windows que fornece aos usuários uma maneira de criar, atualizar e gerenciar conteúdo de blog online. O aplicativo faz parte do pacote de software gratuito do Windows Essentials, que inclui vários aplicativos (como Messenger, Mail, Galeria de Fotos e Movie Maker) que executam tarefas comuns no espaço do consumidor.
Para que um invasor pode usar a vulnerabilidade?
O invasor que explorar com êxito essa vulnerabilidade poderá substituir as configurações de proxy do Windows Writer e substituir arquivos acessíveis ao usuário no sistema de destino.
Como um invasor pode explorar a vulnerabilidade?
Para que esta vulnerabilidade seja explorada, um usuário deve abrir o Writer usando uma URL especialmente criada.
Em um cenário de ataque por email, um invasor pode explorar a vulnerabilidade enviando uma mensagem de email contendo a URL especialmente criada para um usuário e convencendo-o a clicar na URL especialmente criada.
Num cenário de ataque baseado na Web, um intruso teria de alojar um Web site que contivesse um URL especialmente concebido para o efeito. Além disso, sites comprometidos e sites que aceitam ou hospedam conteúdo fornecido pelo usuário podem conter conteúdo especialmente criado que pode explorar essa vulnerabilidade. Um invasor não teria como forçar os usuários a visitar um site especialmente criado. Em vez disso, um invasor teria que convencê-los a visitar o site, geralmente fazendo com que eles cliquem em um link em uma mensagem de email ou mensagem do Instant Messenger que os leve ao site do invasor e, em seguida, convencê-los a clicar no URL especialmente criado.
Quais são os sistemas que mais correm risco com a vulnerabilidade?
Os sistemas com o Windows Writer instalado estão em risco.
O que a atualização faz?
A atualização elimina a vulnerabilidade corrigindo a maneira como o Windows Writer manipula parâmetros de URL.
Quando este boletim de segurança foi emitido, esta vulnerabilidade tinha sido divulgada publicamente?
Não. A Microsoft recebeu informações sobre esta vulnerabilidade através da divulgação coordenada de vulnerabilidades.
Quando este boletim de segurança foi emitido, a Microsoft tinha recebido relatórios de que esta vulnerabilidade estava a ser explorada?
Não. A Microsoft não tinha recebido nenhuma informação que indicasse que esta vulnerabilidade tinha sido usada publicamente para atacar clientes quando este boletim de segurança foi publicado originalmente.
Informações de atualização
Orientação e ferramentas de detecção e implantação
Central de Segurança
Gerencie as atualizações de software e segurança necessárias para implantar nos servidores, desktops e sistemas móveis da sua organização. Para obter mais informações, consulte o TechNet Update Management Center. O site Microsoft TechNet Security fornece informações adicionais sobre segurança em produtos Microsoft.
O Windows Essentials 2012 está disponível na página de download do Windows Essentials .
Implantação de atualização de segurança
Softwares afetados
Para obter informações sobre a atualização de segurança específica para o software afetado, clique no link apropriado:
Windows Essentials 2012
Tabela de Referência
A tabela a seguir contém as informações de atualização de segurança para este software.
| Nome do arquivo de atualização de segurança | Windows Essentials 2012:\ wlsetup-all.exe |
|---|---|
| Opções de instalação | Não aplicável |
| Requisito de reinicialização | Esta atualização não requer uma reinicialização. No entanto, se os arquivos necessários estiverem sendo usados, essa atualização exigirá uma reinicialização. Se esse comportamento ocorrer, será exibida uma mensagem que o aconselha a reiniciar. |
| Informações de remoção | Esta atualização não pode ser desinstalada. |
| Informações de arquivo | Consulte o Artigo 2813707 da Base de Dados de Conhecimento Microsoft |
| Verificação da Chave do Registro | Observação Não existe uma chave do Registro para validar a presença dessa atualização. |
Outras Informações
Agradecimentos
A Microsoft agradece o seguinte por trabalhar conosco para ajudar a proteger os clientes:
- Andrea Micalizzi, que trabalha com a equipe de divulgação segura do SecuriTeam da Beyond Security, por relatar a vulnerabilidade de manipulação inadequada de URI do Windows Essentials (CVE-2013-0096)
Programa de Proteção Ativa da Microsoft (MAPP)
Para melhorar as proteções de segurança para os clientes, a Microsoft fornece informações sobre vulnerabilidades aos principais fornecedores de software de segurança antes de cada lançamento mensal da atualização de segurança. Os provedores de software de segurança podem usar essas informações de vulnerabilidade para fornecer proteções atualizadas aos clientes por meio de seus softwares ou dispositivos de segurança, como antivírus, sistemas de detecção de intrusão baseados em rede ou sistemas de prevenção de intrusão baseados em host. Para determinar se as proteções ativas estão disponíveis em provedores de software de segurança, acesse os sites de proteções ativas fornecidos por parceiros do programa, listados em Parceiros do Microsoft Active Protections Program (MAPP).
Suporte
Como obter ajuda e suporte para esta atualização de segurança
- Ajuda para instalar atualizações: Suporte para o Microsoft Update
- Soluções de segurança para profissionais de TI: Suporte e solução de problemas de segurança do TechNet
- Ajude a proteger seu computador que está executando o Windows contra vírus e malware: Central de Segurança e Solução de Vírus
- Suporte local de acordo com o seu país: Suporte Internacional
Aviso de isenção de responsabilidade
As informações fornecidas na Base de Dados de Conhecimento Microsoft são fornecidas "no estado em que se encontram", sem qualquer tipo de garantia. A Microsoft se isenta de todas as garantias, expressas ou implícitas, incluindo as garantias de comercialização e adequação a uma finalidade específica. Em nenhuma circunstância a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, incluindo danos diretos, indiretos, incidentais, consequenciais, perda de lucros comerciais ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido avisados da possibilidade de tais danos. Alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou incidentais, portanto, a limitação acima pode não se aplicar.
Revisões
- V1.0 (14 de maio de 2013): Boletim publicado.
- V1.1 (15 de maio de 2013): Link corrigido para o local de download na seção Orientação e ferramentas de detecção e implantação. Esta é apenas uma alteração informativa.
Construído em 2014-04-18T13:49:36Z-07:00