Microsoft Security Bulletin MS15-044 - Crítica
Vulnerabilidades nos drivers de fonte da Microsoft podem permitir a execução remota de código (3057110)
Publicado: terça-feira, 12 de maio de 2015 | Atualizado: June 23, 2015
Versão: 2.1
Resumo executivo
Esta atualização de segurança resolve vulnerabilidades no Microsoft Windows, Microsoft .NET Framework, Microsoft Office, Microsoft Lync e Microsoft Silverlight. A mais grave das vulnerabilidades pode permitir a execução remota de código se um usuário abrir um documento especialmente criado ou visitar uma página da Web não confiável que contenha fontes TrueType incorporadas.
Esta atualização de segurança é classificada como Crítica para versões com suporte do Microsoft Windows e todas as edições afetadas do Microsoft .NET Framework, Microsoft Office, Microsoft Lync e Microsoft Silverlight. Para obter mais informações, consulte a seção Softwares afetados.
A atualização de segurança elimina as vulnerabilidades corrigindo como a biblioteca DirectWrite do Windows manipula fontes OpenType e TrueType. Para obter mais informações sobre as vulnerabilidades, consulte a seção Informações sobre vulnerabilidade.
Para obter mais informações sobre essa atualização, consulte o artigo 3057110 da Base de Dados de Conhecimento Microsoft.
Software afetado e classificações de gravidade da vulnerabilidade
As seguintes versões ou edições de software são afetadas. As versões ou edições que não estão listadas já passaram do ciclo de vida de suporte ou não são afetadas. Para determinar o ciclo de vida de suporte para sua versão ou edição de software, consulte Ciclo de Vida do Suporte da Microsoft.
As classificações de gravidade indicadas para cada software afetado pressupõem o impacto máximo potencial da vulnerabilidade. Para obter informações sobre a probabilidade, dentro de 30 dias após o lançamento deste boletim de segurança, da possibilidade de exploração da vulnerabilidade em relação à sua classificação de gravidade e impacto à segurança, consulte o Índice de exploração no resumo de boletins de maio.
Microsoft Windows
| Sistema operacional | Componente | Vulnerabilidade de análise de fonte OpenType - CVE-2015-1670 | Vulnerabilidade de análise de fonte TrueType - CVE-2015-1671 | Atualizações substituídas |
|---|---|---|---|---|
| Windows Server 2003 | ||||
| Windows Server 2003 Service Pack 2 (3045171) | Não aplicável | Divulgação de Informações Importantes | Execução remota crítica de código | 3034344 em MS15-023 |
| Windows Server 2003 Service Pack 2 | Microsoft .NET Framework 3.0 Service Pack 2 (3048073) | Divulgação de Informações Importantes | Execução remota crítica de código | 2861189 no boletim MS13-082 2832411 no boletim MS13-052 |
| Windows Server 2003 Service Pack 2 | Microsoft .NET Framework 4[1](3048074) | Divulgação de Informações Importantes | Execução remota crítica de código | 2656405 no boletim MS12-034 |
| Windows Server 2003 x64 Edition Service Pack 2 (3045171) | Não aplicável | Divulgação de Informações Importantes | Execução remota crítica de código | 3034344 em MS15-023 |
| Windows Server 2003 x64 Edição Service Pack 2 | Microsoft .NET Framework 3.0 Service Pack 2 (3048073) | Divulgação de Informações Importantes | Execução remota crítica de código | 2861189 no boletim MS13-082 2832411 no boletim MS13-052 |
| Windows Server 2003 x64 Edição Service Pack 2 | Microsoft .NET Framework 4[1](3048074) | Divulgação de Informações Importantes | Execução remota crítica de código | 2656405 no boletim MS12-034 |
| Windows Server 2003 com SP2 para sistemas baseados em Itanium (3045171) | Não aplicável | Divulgação de Informações Importantes | Execução remota crítica de código | 3034344 em MS15-023 |
| Windows Vista | ||||
| Windows Vista Service Pack 2 (3045171) | Não aplicável | Divulgação de Informações Importantes | Execução remota crítica de código | 3034344 em MS15-023 |
| Windows Vista Service Pack 2 | Microsoft .NET Framework 3.0 Service Pack 2 (3048068) | Divulgação de Informações Importantes | Execução remota crítica de código | 2861190 no boletim MS13-082 2832412 no boletim MS13-052 |
| Windows Vista Service Pack 2 | Microsoft .NET Framework 4[1](3048074) | Divulgação de Informações Importantes | Execução remota crítica de código | 2656405 no boletim MS12-034 |
| Windows Vista Service Pack 2 | Microsoft .NET Framework 4.5/4.5.1/4.5.2 (3048077) | Divulgação de Informações Importantes | Execução remota crítica de código | Nenhum |
| Windows Vista x64 Edition Service Pack 2 (3045171) | Não aplicável | Divulgação de Informações Importantes | Execução remota crítica de código | 3034344 em MS15-023 |
| Windows Vista x64 Edição Service Pack 2 | Microsoft .NET Framework 3.0 Service Pack 2 (3048068) | Divulgação de Informações Importantes | Execução remota crítica de código | 2861190 no boletim MS13-082 2832412 no boletim MS13-052 |
| Windows Vista x64 Edição Service Pack 2 | Microsoft .NET Framework 4[1](3048074) | Divulgação de Informações Importantes | Execução remota crítica de código | 2656405 no boletim MS12-034 |
| Windows Vista x64 Edição Service Pack 2 | Microsoft .NET Framework 4.5/4.5.1/4.5.2 (3048077) | Divulgação de Informações Importantes | Execução remota crítica de código | Nenhum |
| Windows Server 2008 | ||||
| Windows Server 2008 para sistemas de 32 bits Service Pack 2 (3045171) | Não aplicável | Divulgação de Informações Importantes | Execução remota crítica de código | 3034344 em MS15-023 |
| Windows Server 2008 para sistemas de 32 bits Service Pack 2 | Microsoft .NET Framework 3.0 Service Pack 2 (3048068) | Divulgação de Informações Importantes | Execução remota crítica de código | 2861190 no boletim MS13-082 2832412 no boletim MS13-052 |
| Windows Server 2008 para sistemas de 32 bits Service Pack 2 | Microsoft .NET Framework 4[1](3048074) | Divulgação de Informações Importantes | Execução remota crítica de código | 2656405 no boletim MS12-034 |
| Windows Server 2008 para sistemas de 32 bits Service Pack 2 | Microsoft .NET Framework 4.5/4.5.1/4.5.2 (3048077) | Divulgação de Informações Importantes | Execução remota crítica de código | Nenhum |
| Windows Server 2008 para sistemas baseados em x64 Service Pack 2 (3045171) | Não aplicável | Divulgação de Informações Importantes | Execução remota crítica de código | 3034344 em MS15-023 |
| Windows Server 2008 para sistemas baseados em x64 Service Pack 2 | Microsoft .NET Framework 3.0 Service Pack 2 (3048068) | Divulgação de Informações Importantes | Execução remota crítica de código | 2861190 no boletim MS13-082 2832412 no boletim MS13-052 |
| Windows Server 2008 para sistemas baseados em x64 Service Pack 2 | Microsoft .NET Framework 4[1](3048074) | Divulgação de Informações Importantes | Execução remota crítica de código | 2656405 no boletim MS12-034 |
| Windows Server 2008 para sistemas baseados em x64 Service Pack 2 | Microsoft .NET Framework 4.5/4.5.1/4.5.2 (3048077) | Divulgação de Informações Importantes | Execução remota crítica de código | Nenhum |
| Windows Server 2008 para sistemas baseados em Itanium Service Pack 2 (3045171) | Não aplicável | Divulgação de Informações Importantes | Execução remota crítica de código | 3034344 em MS15-023 |
| Windows 7 | ||||
| Windows 7 para sistemas de 32 bits Service Pack 1 (3045171) | Não aplicável | Divulgação de Informações Importantes | Execução remota crítica de código | 3034344 em MS15-023 |
| Windows 7 para sistemas de 32 bits Service Pack 1 | Microsoft .NET Framework 3.5.1 (3048070) | Divulgação de Informações Importantes | Execução remota crítica de código | 2861191 no boletim MS13-082 2832414 no boletim MS13-052 |
| Windows 7 para sistemas baseados em x64 Service Pack 1 (3045171) | Não aplicável | Divulgação de Informações Importantes | Execução remota crítica de código | 3034344 em MS15-023 |
| Windows 7 para sistemas baseados em x64 Service Pack 1 | Microsoft .NET Framework 3.5.1 (3048070) | Divulgação de Informações Importantes | Execução remota crítica de código | 2861191 no boletim MS13-082 2832414 no boletim MS13-052 |
| Windows Server 2008 R2 | ||||
| Windows Server 2008 R2 para sistemas baseados em x64 Service Pack 1 (3045171) | Não aplicável | Divulgação de Informações Importantes | Execução remota crítica de código | 3034344 em MS15-023 |
| Windows Server 2008 R2 para sistemas baseados em x64 Service Pack 1 | Microsoft .NET Framework 3.5.1 (3048070) | Divulgação de Informações Importantes | Execução remota crítica de código | 2861191 no boletim MS13-082 2832414 no boletim MS13-052 |
| Windows Server 2008 R2 para sistemas baseados em Itanium Service Pack 1 (3045171) | Não aplicável | Divulgação de Informações Importantes | Execução remota crítica de código | 3034344 em MS15-023 |
| Windows 8 e Windows 8.1 | ||||
| Windows 8 para sistemas de 32 bits (3045171) | Não aplicável | Divulgação de Informações Importantes | Execução remota crítica de código | 3034344 em MS15-023 |
| Windows 8 para sistemas de 32 bits | Microsoft .NET Framework 3.5 (3048071) | Divulgação de Informações Importantes | Execução remota crítica de código | 2861194 no boletim MS13-082 2832418 no boletim MS13-052 |
| Windows 8 para sistemas baseados em x64 (3045171) | Não aplicável | Divulgação de Informações Importantes | Execução remota crítica de código | 3034344 em MS15-023 |
| Windows 8 para sistemas baseados em x64 | Microsoft .NET Framework 3.5 (3048071) | Divulgação de Informações Importantes | Execução remota crítica de código | 2861194 no boletim MS13-082 2832418 no boletim MS13-052 |
| Windows 8.1 para sistemas de 32 bits (3045171) | Não aplicável | Divulgação de Informações Importantes | Execução remota crítica de código | 3034344 em MS15-023 |
| Windows 8.1 para sistemas de 32 bits | Microsoft .NET Framework 3.5 (3048072) | Divulgação de Informações Importantes | Execução remota crítica de código | Nenhum |
| Windows 8.1 para sistemas baseados em x64 (3045171) | Não aplicável | Divulgação de Informações Importantes | Execução remota crítica de código | 3034344 em MS15-023 |
| Windows 8.1 para sistemas baseados em x64 | Microsoft .NET Framework 3.5 (3048072) | Divulgação de Informações Importantes | Execução remota crítica de código | Nenhum |
| Windows Server 2012 e Windows Server 2012 R2 | ||||
| Windows Server 2012 (3045171) | Não aplicável | Divulgação de Informações Importantes | Execução remota crítica de código | 3034344 em MS15-023 |
| Windows Server 2012 | Microsoft .NET Framework 3.5 (3048071) | Divulgação de Informações Importantes | Execução remota crítica de código | 2861194 no boletim MS13-082 2832418 no boletim MS13-052 |
| Windows Server 2012 R2 (3045171) | Não aplicável | Divulgação de Informações Importantes | Execução remota crítica de código | 3034344 em MS15-023 |
| Windows Server 2012 R2 | Microsoft .NET Framework 3.5 (3048072) | Divulgação de Informações Importantes | Execução remota crítica de código | Nenhum |
| Windows RT e Windows RT 8.1 | ||||
| Windows RT[2](3045171) | Não aplicável | Divulgação de Informações Importantes | Execução remota crítica de código | 3034344 em MS15-023 |
| Windows RT 8.1[2](3045171) | Não aplicável | Divulgação de Informações Importantes | Execução remota crítica de código | 3034344 em MS15-023 |
| Opção de instalação Server Core | ||||
| Windows Server 2008 para sistemas de 32 bits Service Pack 2 (instalação Server Core) (3045171) | Não aplicável | Divulgação de Informações Importantes | Execução remota crítica de código | 3034344 em MS15-023 |
| Windows Server 2008 para sistemas baseados em x64 Service Pack 2 (instalação Server Core) (3045171) | Não aplicável | Divulgação de Informações Importantes | Execução remota crítica de código | 3034344 em MS15-023 |
| Windows Server 2008 R2 para sistemas baseados em x64 Service Pack 1 (instalação Server Core) (3045171) | Não aplicável | Divulgação de Informações Importantes | Execução remota crítica de código | 3034344 em MS15-023 |
| Windows Server 2008 R2 para sistemas baseados em x64 Service Pack 1 (instalação Server Core) | Microsoft .NET Framework 3.5.1 (3048070) | Divulgação de Informações Importantes | Execução remota crítica de código | 2861191 no boletim MS13-082 2832414 no boletim MS13-052 |
| Windows Server 2012 (instalação Server Core) (3045171) | Não aplicável | Divulgação de Informações Importantes | Execução remota crítica de código | 3034344 em MS15-023 |
| Windows Server 2012 (instalação Server Core) | Microsoft .NET Framework 3.5 (3048071) | Divulgação de Informações Importantes | Execução remota crítica de código | 2861194 no boletim MS13-082 2832418 no boletim MS13-052 |
| Windows Server 2012 R2 (instalação Server Core) (3045171) | Não aplicável | Divulgação de Informações Importantes | Execução remota crítica de código | 3034344 em MS15-023 |
| Windows Server 2012 R2 (instalação Server Core) | Microsoft .NET Framework 3.5 (3048072) | Divulgação de Informações Importantes | Execução remota crítica de código | Nenhum |
Observação As atualizações estão disponíveis para o Windows Technical Preview e o Windows Server Technical Preview. Os clientes que executam edições de visualização são incentivados a aplicar as atualizações, que são fornecidas por meio do Windows Update. As atualizações também estão disponíveis para o Microsoft .NET Framework 4.6 RC, que estão disponíveis somente por meio do Centro de Download da Microsoft.
[1]. NET Framework 4 e .NET Framework 4 Client Profile afetados.
[2]Esta actualização está disponível apenas através do Windows Update .
Microsoft Office
| Software de Escritório | Vulnerabilidade de análise de fonte OpenType - CVE-2015-1670 | Vulnerabilidade de análise de fonte TrueType - CVE-2015-1671 | Atualizações substituídas |
|---|---|---|---|
| Microsoft Office 2007 Service Pack 3\ (2883029) | Não aplicável | Crítico \ Execução remota de código | 2878233 em MS14-036 |
| Microsoft Office 2010 Service Pack 2\ (edições de 32 bits)\ (2881073) | Não aplicável | Crítico \ Execução remota de código | 2863942 em MS14-036 |
| Microsoft Office 2010 Service Pack 2\ (edições de 64 bits)\ (2881073) | Não aplicável | Crítico \ Execução remota de código | 2863942 em MS14-036 |
Software e plataformas de comunicação da Microsoft
| Software | Vulnerabilidade de análise de fonte OpenType - CVE-2015-1670 | Vulnerabilidade de análise de fonte TrueType - CVE-2015-1671 | Atualizações substituídas |
|---|---|---|---|
| Console do Microsoft Live Meeting 2007[1]\ (3051467) | Não aplicável | Crítico \ Execução remota de código | 2968966 em MS14-036 |
| Microsoft Lync 2010 (32 bits)\ (3051464) | Não aplicável | Crítico \ Execução remota de código | 2963285 no boletim MS14-036 |
| Microsoft Lync 2010 (64 bits)\ (3051464) | Não aplicável | Crítico \ Execução remota de código | 2963285 no boletim MS14-036 |
| Microsoft Lync 2010 Attendee[1]\ (instalação em nível de usuário)\ (3051465) | Não aplicável | Crítico \ Execução remota de código | 2963282 em MS14-036 |
| Participante do Microsoft Lync 2010\ (instalação de nível administrativo)\ (3051466) | Não aplicável | Crítico \ Execução remota de código | 2963284 no boletim MS14-036 |
| Microsoft Lync 2013 Service Pack 1 (32 bits)\ (Skype for Business)\ (3039779) | Não aplicável | Crítico \ Execução remota de código | 2881013 no boletim MS14-036 |
| Microsoft Lync Basic 2013 Service Pack 1 (32 bits)\ (Skype for Business Basic)\ (3039779) | Não aplicável | Crítico \ Execução remota de código | 2881013 no boletim MS14-036 |
| Microsoft Lync 2013 Service Pack 1 (64 bits)\ (Skype for Business)\ (3039779) | Não aplicável | Crítico \ Execução remota de código | 2881013 no boletim MS14-036 |
| Microsoft Lync Basic 2013 Service Pack 1 (64 bits)\ (Skype for Business Basic)\ (3039779) | Não aplicável | Crítico \ Execução remota de código | 2881013 no boletim MS14-036 |
[1]Esta atualização está disponível somente no Centro de Download da Microsoft.
Ferramentas e software para desenvolvedores da Microsoft
| Software | Vulnerabilidade de análise de fonte OpenType - CVE-2015-1670 | Vulnerabilidade de análise de fonte TrueType - CVE-2015-1671 | Atualizações substituídas |
|---|---|---|---|
| Microsoft Silverlight 5 quando instalado no Mac\ (3056819) | Não aplicável | Crítico \ Execução remota de código | 2932677 no boletim MS14-014 |
| Microsoft Silverlight 5 Developer Runtime quando instalado no Mac\ (3056819) | Não aplicável | Crítico \ Execução remota de código | 2932677 no boletim MS14-014 |
| Microsoft Silverlight 5 quando instalado em todas as versões com suporte de clientes Microsoft Windows\ (3056819) | Não aplicável | Crítico \ Execução remota de código | 2932677 no boletim MS14-014 |
| Microsoft Silverlight 5 Developer Runtime quando instalado em todas as versões com suporte de clientes Microsoft Windows\ (3056819) | Não aplicável | Crítico \ Execução remota de código | 2932677 no boletim MS14-014 |
| Microsoft Silverlight 5 quando instalado em todas as versões com suporte de servidores Microsoft Windows\ (3056819) | Não aplicável | Crítico \ Execução remota de código | 2932677 no boletim MS14-014 |
| Microsoft Silverlight 5 Developer Runtime quando instalado em todas as versões com suporte de servidores Microsoft Windows\ (3056819) | Não aplicável | Crítico \ Execução remota de código | 2932677 no boletim MS14-014 |
Perguntas frequentes sobre atualizações
Por que alguns dos arquivos de atualização listados neste boletim também são indicados em outros boletins lançados em maio?
Vários dos arquivos de atualização listados neste boletim também são indicados em outros boletins que estão sendo lançados em maio devido à sobreposição de software afetado. Embora os diferentes boletins abordem vulnerabilidades de segurança separadas, as atualizações de segurança foram consolidadas sempre que possível e apropriado, daí a ocorrência de alguns arquivos de atualização idênticos estarem presentes em vários boletins.
Observe que arquivos de atualização idênticos enviados com vários boletins não precisam ser instalados mais de uma vez.
Há vários pacotes de atualização disponíveis para alguns dos softwares afetados. Preciso instalar todas as atualizações listadas na tabela Softwares afetados para o software?
Sim. Os clientes devem aplicar todas as atualizações oferecidas para o software instalado em seus sistemas. Se várias atualizações se aplicarem, elas poderão ser instaladas em qualquer ordem.
Como determinar qual versão do Microsoft .NET Framework está instalada?
Você pode instalar e executar várias versões do .NET Framework em um sistema e pode instalar as versões em qualquer ordem. Para obter mais informações, consulte o artigo 318785 da Base de Dados de Conhecimento Microsoft.
Qual é a diferença entre o .NET Framework 4 e o .NET Framework 4 Client Profile?
Os pacotes redistribuíveis do .NET Framework versão 4 estão disponíveis em dois perfis: .NET Framework 4 e .NET Framework 4 Client Profile. O .NET Framework 4 Client Profile é um subconjunto do perfil do .NET Framework 4 otimizado para aplicativos cliente. Ele fornece funcionalidade para a maioria dos aplicativos cliente, incluindo recursos do Windows Presentation Foundation (WPF), Windows Forms, Windows Communication Foundation (WCF) e ClickOnce. Isso permite uma implantação mais rápida e um pacote de instalação menor para aplicativos destinados ao .NET Framework 4 Client Profile. Para obter mais informações, consulte o artigo do MSDN, .NET Framework Client Profile.
Preciso instalar essas atualizações de segurança em uma sequência específica?
Não. Várias atualizações para um determinado sistema podem ser aplicadas em qualquer sequência.
Estou recebendo uma atualização do Microsoft Office para software que não está especificamente listado na tabela Softwares afetados. Por que esta atualização está sendo oferecida?
Quando as atualizações abordam o código vulnerável existente em um componente compartilhado entre vários produtos do Microsoft Office ou compartilhado entre várias versões do mesmo produto do Microsoft Office, a atualização é considerada aplicável a todos os produtos e versões com suporte que contêm o componente vulnerável.
Por exemplo, quando uma atualização se aplica a produtos do Microsoft Office 2007, somente o Microsoft Office 2007 pode ser listado especificamente na tabela Softwares afetados. No entanto, a atualização pode se aplicar ao Microsoft Word 2007, Microsoft Excel 2007, Microsoft Visio 2007, Microsoft Compatibility Pack, Microsoft Excel Viewer ou qualquer outro produto do Microsoft Office 2007 que não esteja especificamente listado na tabela Softwares afetados. Além disso, quando uma atualização se aplica a produtos do Microsoft Office 2010, somente o Microsoft Office 2010 pode ser listado especificamente na tabela Softwares afetados. No entanto, a atualização pode se aplicar ao Microsoft Word 2010, Microsoft Excel 2010, Microsoft Visio 2010, Microsoft Visio Viewer ou qualquer outro produto do Microsoft Office 2010 que não esteja especificamente listado na tabela Softwares afetados.
Para obter mais informações sobre esse comportamento e ações recomendadas, consulte o artigo 830335 da Base de Dados de Conhecimento Microsoft. Para obter uma lista de produtos do Microsoft Office aos quais uma atualização pode se aplicar, consulte o artigo da Base de Dados de Conhecimento Microsoft associado à atualização específica.
Estou executando o Office 2010, que está listado como software afetado. Por que a atualização não está sendo oferecida?
A atualização só será oferecida a sistemas que estejam executando o Microsoft Office 2010 em edições com suporte do Windows Server 2003. A atualização não é aplicável a outras configurações com suporte porque o código vulnerável não está presente.
Existem atualizações não relacionadas à segurança que os clientes devem instalar junto com a atualização de segurança do Console do Microsoft Live Meeting?
Sim, além de lançar uma atualização de segurança para o Microsoft Live Meeting Console, a Microsoft lançou as seguintes atualizações não relacionadas à segurança para o Suplemento de Conferência do OCS para Outlook. Quando aplicável, a Microsoft recomenda que os clientes instalem essas atualizações para manter seus sistemas atualizados:
- Suplemento de Conferência do OCS para Outlook (32 bits) (3051468)
- Suplemento de Conferência do OCS para Outlook (64 bits) (3051468)
Consulte o Artigo 3051468 da Base de Dados de Conhecimento Microsoft para obter mais informações.
Por que a atualização do Lync 2010 Attendee (instalação em nível de usuário) só está disponível no Centro de Download da Microsoft?
A Microsoft está lançando a atualização para o Lync 2010 Attendee (instalação em nível de usuário) somente para o Centro de Download da Microsoft. Como a instalação em nível de usuário do Lync 2010 Attendee é manipulada por meio de uma sessão do Lync, métodos de distribuição, como a atualização automática, não são apropriados para esse tipo de cenário de instalação.
Quais navegadores da Web oferecem suporte a aplicativos do Microsoft Silverlight?
Para executar aplicativos do Microsoft Silverlight, a maioria dos navegadores da Web, incluindo o Microsoft Internet Explorer, requer que o Microsoft Silverlight seja instalado e que o plug-in correspondente esteja habilitado. Para obter mais informações sobre o Microsoft Silverlight, consulte o site oficial, Microsoft Silverlight. Consulte a documentação do seu navegador para saber mais sobre como desativar ou remover plug-ins.
Quais versões do Microsoft Silverlight 5 são afetadas pela vulnerabilidade?
A compilação 5.1.40416.00 do Microsoft Silverlight, que era a compilação atual do Microsoft Silverlight quando este boletim foi lançado pela primeira vez, elimina a vulnerabilidade e não é afetada. As compilações do Microsoft Silverlight anteriores à versão 5.1.40416.00 são afetadas.
Como posso saber qual versão e compilação do Microsoft Silverlight está atualmente instalada no meu sistema?
Se o Microsoft Silverlight já estiver instalado no computador, você poderá visitar a página Obter o Microsoft Silverlight , que indicará qual versão e compilação do Microsoft Silverlight está instalada no sistema no momento. Como alternativa, você pode usar o recurso Gerenciar Complementos das versões atuais do Microsoft Internet Explorer para determinar a versão e compilar informações que estão atualmente instaladas em seu sistema.
Você também pode verificar manualmente o número da versão do sllauncher.exe localizado no diretório "%ProgramFiles%\Microsoft Silverlight" (em sistemas Microsoft Windows x86) ou no diretório "%ProgramFiles(x86)%\Microsoft Silverlight" (em sistemas Microsoft Windows x64).
Além disso, no Microsoft Windows, as informações de versão e compilação da versão atualmente instalada do Microsoft Silverlight podem ser encontradas no registro em [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Silverlight]:Version em sistemas Microsoft Windows x86 ou [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Silverlight]:Version em sistemas Microsoft Windows x64.
No Apple Mac OS, as informações de versão e compilação da versão atualmente instalada do Microsoft Silverlight podem ser encontradas da seguinte maneira:
- Abra o Finder
- Selecione a unidade do sistema e vá para a pasta Internet Plug-ins - Biblioteca
- Clique com o botão direito do mouse no arquivo Silverlight.Plugin (se o mouse tiver apenas um botão, pressione a tecla Ctrl enquanto clica no arquivo) para abrir o menu de contexto e, em seguida, clique em Mostrar Conteúdo do Pacote
- Dentro da pasta de conteúdo, localize o arquivo info.plist e abra-o com um editor. Ele conterá uma entrada como esta, que mostra o número da versão:
Versão do SilverlightVersion
5.1.40416.00
A versão instalada com esta atualização de segurança para o Microsoft Silverlight 5 é 5.1.40416.00. Se o número de versão do Microsoft Silverlight 5 for maior ou igual a esse número de versão, seu sistema não estará vulnerável.
Como faço para atualizar minha versão do Microsoft Silverlight?
O recurso de atualização automática do Microsoft Silverlight ajuda a garantir que sua instalação do Microsoft Silverlight seja mantida atualizada com a versão mais recente do Microsoft Silverlight, a funcionalidade do Microsoft Silverlight e os recursos de segurança. Para obter mais informações sobre o recurso de atualização automática do Microsoft Silverlight, consulte o Microsoft Silverlight Updater. Os usuários do Windows que desabilitaram o recurso de atualização automática do Microsoft Silverlight podem se inscrever no Microsoft Update para obter a versão mais recente do Microsoft Silverlight ou podem baixar a versão mais recente do Microsoft Silverlight manualmente usando o link de download na tabela Softwares afetados na seção anterior, Softwares afetados e não afetados. Para obter informações sobre como implantar o Microsoft Silverlight em um ambiente corporativo, consulte o Guia de implantação do Silverlight Enterprise.
Esta atualização atualizará minha versão do Silverlight?
A atualização 3056819 atualiza versões anteriores do Silverlight para a versão 5.1.40416.00 do Silverlight. A Microsoft recomenda a atualização para estar protegida contra a vulnerabilidade descrita neste boletim.
Onde posso encontrar informações adicionais sobre o ciclo de vida do produto Silverlight?
Para obter informações sobre o ciclo de vida específicas do Silverlight, consulte a Política de ciclo de vida de suporte do Microsoft Silverlight.
Informações de vulnerabilidade
Vulnerabilidade de análise de fonte OpenType - CVE-2015-1670
Existe uma vulnerabilidade de divulgação não autorizada de informações no Microsoft Windows quando a biblioteca DirectWrite do Windows manipula incorretamente fontes OpenType. Um intruso que conseguisse explorar esta vulnerabilidade com êxito poderia potencialmente ler dados que não se destinavam a ser divulgados. Observe que essa vulnerabilidade não permite que um invasor execute código ou eleve seus direitos de usuário diretamente, mas pode ser usada para obter informações que podem ser usadas para tentar comprometer ainda mais o sistema afetado.
Para explorar a vulnerabilidade, um intruso poderia alojar um Web site especialmente concebido para o efeito, concebido para explorar a vulnerabilidade e, em seguida, convencer um utilizador a visualizar o Web site. Isso também pode incluir sites comprometidos e sites que aceitam ou hospedam conteúdo fornecido pelo usuário ou anúncios. Em todos os casos, no entanto, um invasor não teria como forçar os usuários a visitar esses sites. Em vez disso, um invasor teria que convencer os usuários a visitar um site, geralmente por meio de aliciamentos no Instant Messenger ou mensagens de email.
A atualização elimina a vulnerabilidade corrigindo como a biblioteca do Windows DirectWrite manipula fontes OpenType. A Microsoft recebeu informações sobre a vulnerabilidade por meio da divulgação coordenada de vulnerabilidades. Quando este boletim de segurança foi emitido, a Microsoft não tinha recebido nenhuma informação que indicasse que esta vulnerabilidade tinha sido utilizada publicamente para atacar clientes.
Fatores atenuantes
A Microsoft não identificou nenhum fator atenuante para esta vulnerabilidade.
Soluções Alternativas
A Microsoft não identificou quaisquer soluções alternativas para esta vulnerabilidade.
Vulnerabilidade de análise de fonte TrueType - CVE-2015-1671
Existe uma vulnerabilidade de execução remota de código quando componentes do Windows, .NET Framework, Office, Lync e Silverlight não conseguem manipular corretamente fontes TrueType. O invasor que explorar com êxito essa vulnerabilidade poderá assumir o controle total do sistema afetado. Um invasor pode instalar programas, exibir, alterar ou excluir dados, além de criar contas com direitos de usuário totais.
Há várias maneiras de um invasor explorar essa vulnerabilidade, inclusive convencendo um usuário a abrir um documento especialmente criado ou convencendo-o a visitar uma página da Web não confiável que contenha fontes TrueType incorporadas.
A atualização elimina a vulnerabilidade corrigindo como a biblioteca do Windows DirectWrite manipula fontes TrueType. A Microsoft recebeu informações sobre a vulnerabilidade por meio da divulgação coordenada de vulnerabilidades. Quando este boletim de segurança foi emitido, a Microsoft não tinha recebido nenhuma informação que indicasse que esta vulnerabilidade tinha sido utilizada publicamente para atacar clientes.
Fatores atenuantes
A Microsoft não identificou nenhum fator atenuante para esta vulnerabilidade.
Soluções Alternativas
A Microsoft não identificou quaisquer soluções alternativas para esta vulnerabilidade.
Implantação de atualização de segurança
Para obter informações sobre a Implantação da Atualização de Segurança, consulte o artigo da Base de Dados de Conhecimento Microsoft mencionado no Resumo Executivo.
Agradecimentos
A Microsoft reconhece os esforços daqueles na comunidade de segurança que nos ajudam a proteger os clientes por meio da divulgação coordenada de vulnerabilidades. Consulte Agradecimentos para obter mais informações.
Aviso de isenção de responsabilidade
As informações fornecidas na Base de Dados de Conhecimento Microsoft são fornecidas "no estado em que se encontram", sem qualquer tipo de garantia. A Microsoft se isenta de todas as garantias, expressas ou implícitas, incluindo as garantias de comercialização e adequação a uma finalidade específica. Em nenhuma circunstância a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, incluindo danos diretos, indiretos, incidentais, consequenciais, perda de lucros comerciais ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido avisados da possibilidade de tais danos. Alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou incidentais, portanto, a limitação acima pode não se aplicar.
Revisões
- V1.0 (12 de maio de 2015): Boletim publicado.
- V2.0 (21 de maio de 2015): Boletim revisado para anunciar a disponibilidade de uma nova atualização (3065979) que corrige um problema conhecido que alguns clientes enfrentaram após a instalação da atualização de segurança 3045171 em todas as edições com suporte do Windows 7/Windows 2008 R2 e sistemas anteriores. A atualização de segurança 3045171 faz com que os aplicativos do cliente falhem ao tentar criar objetos de caminho baseados em contorno de texto usando GDI+. Os clientes que estão enfrentando esse problema conhecido podem corrigir o problema instalando a atualização 3065979. Consulte o Artigo 3065979 (em inglês) da Microsoft Knowledge Base para obter mais informações e links para download.
- V2.1 (23 de junho de 2015): Boletim revisado para anunciar uma alteração de detecção na atualização 3056819 do Microsoft Silverlight 5. Esta é apenas uma alteração de detecção. Os clientes que já atualizaram seus sistemas com êxito não precisam tomar nenhuma ação.
Página gerada em 29/08/2016 09:25-07:00.