Exportar (0) Imprimir
Expandir Tudo

Boletim de Segurança da Microsoft MS14-046 - Importante

Vulnerabilidade no .NET Framework pode permitir o desvio de recurso de segurança (2984625)

Publicado em: 12 de agosto de 2014

Versão: 1.0

Informações Gerais

Sinopse

Esta atualização de segurança elimina uma vulnerabilidade relatada de forma privada no Microsoft .NET Framework. A vulnerabilidade pode permitir o desvio de recurso de segurança se um usuário visitar um site especialmente criado. Em um cenário de ataque de navegação na Web, um invasor que explore com êxito esta vulnerabilidade pode anular o recurso de segurança ASLR (Address Space Layout Randomization), que ajuda a proteger os usuários de uma classe ampla de vulnerabilidades. O desvio de recurso de segurança por si mesmo não permite a execução de códigos arbitrários. No entanto, um invasor pode usar esta vulnerabilidade de desvio de ASLR junto com outra vulnerabilidade, como uma vulnerabilidade de execução remota de código, que aproveita o desvio de ASLR para executar um código arbitrário.

Esta atualização de segurança é classificada como Importante para o Service Pack 2 do Microsoft .NET Framework 2.0, Service Pack 2 do Microsoft .NET Framework 3.0, Microsoft .NET Framework 3.5 e Microsoft .NET Framework 3.5.1, em versões afetadas do Microsoft Windows. Para obter mais informações, consulte a seção Softwares afetados e não afetados.

A atualização de segurança elimina a vulnerabilidade, assegurando que versões afetadas do Microsoft .NET Framework implementem adequadamente o recurso de segurança ASLR. Para obter mais informações sobre a vulnerabilidade, consulte a subseção Perguntas frequentes (FAQ) para a vulnerabilidade específica mais adiante neste boletim.

Recomendação. A maioria dos clientes tem o recurso de atualizações automáticas habilitado e não precisará tomar nenhuma providência porque esta atualização de segurança será baixada e instalada automaticamente. Para obter informações sobre opções de configuração específicas em atualizações automáticas, veja o Artigo 294871 da Base de Conhecimento Microsoft. Para clientes que não têm a atualização automática habilitada, as etapas em Ativar ou desativar a atualização automática poderão ser usadas para ativar a atualização automática.

Para instalações de administradores e empresas, ou usuários finais que queiram instalar esta atualização de segurança manualmente (incluindo clientes que não tenham habilitado o recurso de atualização automática), a Microsoft recomenda que apliquem a atualização assim que possível, usando o software de gerenciamento de atualização ou verificando se há atualizações com o serviço Microsoft Update. As atualizações também estão disponíveis pelos links de download na tabela Softwares afetados mais adiante neste boletim.

Consulte também a seção Orientação e ferramentas de detecção e implantação mais adiante neste boletim.

Artigo da Base de Conhecimento Microsoft

  • Artigo da Base de Conhecimento Microsoft: 2984625
  • Informações sobre o arquivo: Sim
  • Hashes SHA1/SHA2: Sim
  • Problemas conhecidos: Nenhuma

 

O software a seguir foi testado para determinar quais versões ou edições foram afetadas. O ciclo de vida do suporte das outras versões ou edições já terminou ou elas não são afetadas. Para determinar o ciclo de vida do suporte para sua versão ou edição de software, visite o site Ciclo de vida do suporte Microsoft.

Softwares afetados 

Sistema operacional

Componente

Impacto máximo à segurança

Avaliação de gravidade agregada

Atualizações substituídas

Windows Vista

Windows Vista Service Pack 2

Microsoft .NET Framework 2.0 Service Pack 2
(2937608)

Desvio de recurso de segurança

Importante

2898858 no MS14-009

2833947 e 2844287 no MS13-052

2863253 no MS13-082

2804580 em MS13-040

2789646 no MS13-015

2686833 no MS12-038

2656374 no MS12-025

Windows Vista Service Pack 2

Microsoft .NET Framework 3.0 Service Pack 2
(2943344)

Desvio de recurso de segurança

Importante

2756919 no MS13-004

Windows Vista x64 Edition Service Pack 2

Microsoft .NET Framework 2.0 Service Pack 2
(2937608)

Desvio de recurso de segurança

Importante

2898858 no MS14-009

2833947 e 2844287 no MS13-052

2863253 no MS13-082

2804580 em MS13-040

2789646 no MS13-015

2686833 no MS12-038

2656374 no MS12-025

Windows Vista x64 Edition Service Pack 2

Microsoft .NET Framework 3.0 Service Pack 2
(2943344)

Desvio de recurso de segurança

Importante

2756919 no MS13-004

Windows Server 2008

Windows Server 2008 para sistemas de 32 bits Service Pack 2

Microsoft .NET Framework 2.0 Service Pack 2
(2937608)

Desvio de recurso de segurança

Importante

2898858 no MS14-009

2833947 e 2844287 no MS13-052

2863253 no MS13-082

2804580 em MS13-040

2789646 no MS13-015

2686833 no MS12-038

2656374 no MS12-025

Windows Server 2008 para sistemas de 32 bits Service Pack 2

Microsoft .NET Framework 3.0 Service Pack 2
(2943344)

Desvio de recurso de segurança

Importante

2756919 no MS13-004

Windows Server 2008 para sistemas baseados em x64 Service Pack 2

Microsoft .NET Framework 2.0 Service Pack 2
(2937608)

Desvio de recurso de segurança

Importante

2898858 no MS14-009

2833947 e 2844287 no MS13-052

2863253 no MS13-082

2804580 em MS13-040

2789646 no MS13-015

2686833 no MS12-038

2656374 no MS12-025

Windows Server 2008 para sistemas baseados em x64 Service Pack 2

Microsoft .NET Framework 3.0 Service Pack 2
(2943344)

Desvio de recurso de segurança

Importante

2756919 no MS13-004

Windows Server 2008 para sistemas baseados no Itanium Service Pack 2

Microsoft .NET Framework 2.0 Service Pack 2
(2937608)

Desvio de recurso de segurança

Importante

2898858 no MS14-009

2833947 e 2844287 no MS13-052

2863253 no MS13-082

2804580 em MS13-040

2789646 no MS13-015

2686833 no MS12-038

2656374 no MS12-025

Windows Server 2008 para sistemas baseados no Itanium Service Pack 2

Microsoft .NET Framework 3.0 Service Pack 2
(2943344)

Desvio de recurso de segurança

Importante

2756919 no MS13-004

Windows 7

Windows 7 para sistemas de 32 bits Service Pack 1

Microsoft .NET Framework 3.5.1
(2937610)

Desvio de recurso de segurança

Importante

2898857 no MS14-009

2833946 e 2844286 no MS13-052

2863240 no MS13-082

2686831 no MS12-038

2656373 no MS12-025

Windows 7 para sistemas de 32 bits Service Pack 1

Microsoft .NET Framework 3.5.1
(2943357)

Desvio de recurso de segurança

Importante

2756921 no MS13-004

Windows 7 para Sistemas Service Pack 1 baseados em x64

Microsoft .NET Framework 3.5.1
(2937610)

Desvio de recurso de segurança

Importante

2898857 no MS14-009

2833946 e 2844286 no MS13-052

2863240 no MS13-082

2686831 no MS12-038

2656373 no MS12-025

Windows 7 para Sistemas Service Pack 1 baseados em x64

Microsoft .NET Framework 3.5.1
(2943357)

Desvio de recurso de segurança

Importante

2756921 no MS13-004

Windows Server 2008 R2

Windows Server 2008 R2 para Sistemas Service Pack 1 baseados em x64

Microsoft .NET Framework 3.5.1
(2937610)

Desvio de recurso de segurança

Importante

2898857 no MS14-009

2833946 e 2844286 no MS13-052

2863240 no MS13-082

2686831 no MS12-038

2656373 no MS12-025

Windows Server 2008 R2 para Sistemas Service Pack 1 baseados em x64

Microsoft .NET Framework 3.5.1
(2943357)

Desvio de recurso de segurança

Importante

2756921 no MS13-004

Windows Server 2008 R2 para sistemas baseados no Itanium Service Pack 1

Microsoft .NET Framework 3.5.1
(2937610)

Desvio de recurso de segurança

Importante

2898857 no MS14-009

2833946 e 2844286 no MS13-052

2863240 no MS13-082

2686831 no MS12-038

2656373 no MS12-025

Windows Server 2008 R2 para sistemas baseados no Itanium Service Pack 1

Microsoft .NET Framework 3.5.1
(2943357)

Desvio de recurso de segurança

Importante

2756921 no MS13-004

Windows 8 e Windows 8.1

Windows 8 para sistemas de 32 bits

Microsoft .NET Framework 3.5
(2966825)

Desvio de recurso de segurança

Importante

2901120 e 2898866 no MS14-009

2833959 e 2844289 no MS13-052

2863243 no MS13-082

2804584 em MS13-040

2789650 no MS13-015

Windows 8 para sistemas de 32 bits

Microsoft .NET Framework 3.5
(2966827)

Desvio de recurso de segurança

Importante

2756923 no MS13-004

Windows 8 para sistemas baseados em x64

Microsoft .NET Framework 3.5
(2966825)

Desvio de recurso de segurança

Importante

2901120 e 2898866 no MS14-009

2833959 e 2844289 no MS13-052

2863243 no MS13-082

2804584 em MS13-040

2789650 no MS13-015

Windows 8 para sistemas baseados em x64

Microsoft .NET Framework 3.5
(2966827)

Desvio de recurso de segurança

Importante

2756923 no MS13-004

Windows 8.1 para sistemas de 32 bits

Microsoft .NET Framework 3.5
(2966826)

Desvio de recurso de segurança

Importante

2901125 e 2898868 no MS14-009

Windows 8.1 para sistemas de 32 bits

Microsoft .NET Framework 3.5
(2966828)

Desvio de recurso de segurança

Importante

Nenhuma

Windows 8.1 para sistemas baseados em x64

Microsoft .NET Framework 3.5
(2966826)

Desvio de recurso de segurança

Importante

2901125 e 2898868 no MS14-009

Windows 8.1 para sistemas baseados em x64

Microsoft .NET Framework 3.5
(2966828)

Desvio de recurso de segurança

Importante

Nenhuma

Windows Server 2012 e Windows Server 2012 R2

Windows Server 2012

Microsoft .NET Framework 3.5
(2966825)

Desvio de recurso de segurança

Importante

2901120 e 2898866 no MS14-009

2833959 e 2844289 no MS13-052

2863243 no MS13-082

2804584 em MS13-040

2789650 no MS13-015

Windows Server 2012

Microsoft .NET Framework 3.5
(2966827)

Desvio de recurso de segurança

Importante

2756923 no MS13-004

Windows Server 2012 R2

Microsoft .NET Framework 3.5
(2966826)

Desvio de recurso de segurança

Importante

2901125 e 2898868 no MS14-009

Windows Server 2012 R2

Microsoft .NET Framework 3.5
(2966828)

Desvio de recurso de segurança

Importante

Nenhuma

Opção de instalação Server Core

Windows Server 2008 R2 para Sistemas Service Pack 1 baseados em x64

Microsoft .NET Framework 3.5.1
(2937610)

Desvio de recurso de segurança

Importante

2898857 no MS14-009

2833946 e 2844286 no MS13-052

2863240 no MS13-082

2686831 no MS12-038

2656373 no MS12-025

Windows Server 2008 R2 para Sistemas Service Pack 1 baseados em x64

Microsoft .NET Framework 3.5.1
(2943357)

Desvio de recurso de segurança

Importante

2756921 no MS13-004

Windows Server 2012 (instalação Server Core)

Microsoft .NET Framework 3.5
(2966825)

Desvio de recurso de segurança

Importante

2901120 e 2898866 no MS14-009

2833959 e 2844289 no MS13-052

2863243 no MS13-082

2804584 em MS13-040

2789650 no MS13-015

Windows Server 2012 (instalação Server Core)

Microsoft .NET Framework 3.5
(2966827)

Desvio de recurso de segurança

Importante

2756923 no MS13-004

Windows Server 2012 R2 (instalação Server Core)

Microsoft .NET Framework 3.5
(2966826)

Desvio de recurso de segurança

Importante

2901125 e 2898868 no MS14-009

Windows Server 2012 R2 (instalação Server Core)

Microsoft .NET Framework 3.5
(2966828)

Desvio de recurso de segurança

Importante

Nenhuma

 

Softwares não afetados

Produto

Windows RT

Windows RT 8.1

Microsoft .NET Framework 3.5 Service Pack 1

Microsoft .NET Framework 4

Microsoft .NET Framework 4.5

Microsoft .NET Framework 4.5.1

Microsoft .NET Framework 4.5.2

 

Softwarenão aplicável

Sistema operacional

Windows Server 2008 para sistemas de 32 bits Service Pack 2 (instalação Server Core)

Windows Server 2008 para sistemas baseados em x64 Service Pack 2 (instalação Server Core)

 

Por que o Service Pack 1 do Microsoft .NET Framework 1.1 não está listado como software afetado e por que a Microsoft não lança uma atualização para ele? 
Embora o código afetado esteja presente no Service Pack 1 do Microsoft .NET Framework 1.1, é inviável criar uma correção para ele porque os sistemas operacionais que oferecem suporte ao Service Pack 1 do Microsoft .NET Framework 1.1 não oferecem suporte à arquitetura do ASLR. Criar a correção exigiria uma nova arquitetura para parte significativa do Service Pack 1 do Microsoft .NET 1.1 e, ainda assim, o ASLR não funcionaria corretamente devido à falta de suporte do sistema operacional subjacente.

Como determino que versão do Microsoft .NET Framework está instalada?
Você pode instalar e executar várias versões do .Net Framework em um sistema, além de poder instalar as versões em qualquer ordem. Há várias maneiras de determinar quais versões do .Net Framework estão instaladas no momento. Para obter mais informações, consulte o Artigo 318785 (em inglês) da Microsoft Knowledge Base.

Há vários pacotes de atualização disponíveis para alguns dos softwares afetados. Devo instalar todas as atualizações listadas na tabela de Softwares afetados para o software? 
Sim. Os clientes devem aplicar todas as atualizações oferecidas para o software instalado em seus sistemas.

Devo instalar essas atualizações de segurança em uma determinada sequência? 
Não. As várias atualizações para um determinado sistema podem ser aplicadas em qualquer sequência.

Uso uma versão mais antiga do software discutido neste boletim de segurança. O que devo fazer? 
Os softwares afetados listados neste boletim foram testados para determinar quais edições são afetadas. Outras versões passaram seu ciclo de vida de suporte. Para obter mais informações sobre o ciclo de vida do produto, visite o site Ciclo de vida do suporte Microsoft.

Os clientes que possuem versões anteriores do software devem priorizar a migração para as versões com suporte, a fim de evitar uma possível exposição a vulnerabilidades. Para determinar o ciclo de vida do suporte para sua versão de software, consulte Selecione um Produto para Obter Informações do Ciclo de Vida. Para obter mais informações sobre service packs para essas versões de software, consulte Política de Suporte do Ciclo de Vida do Service Pack.

Os clientes que precisarem de suporte adicional para software mais antigo deverão entrar em contato com o representante da equipe de contas da Microsoft, o gerente técnico da conta ou o representante do parceiro Microsoft apropriado para obter opções de suporte personalizadas. Os clientes sem um contrato Alliance, Premier ou Authorized podem entrar em contato com o escritório de vendas local da Microsoft. Para obter informações de contato, visite o site de Informações internacionais da Microsoft, selecione o país na lista de informações de contato e, em seguida, clique em Ir para ver uma lista de telefones. Ao ligar, peça para falar com o gerente de vendas local de Suporte Premier. Para obter mais informações, consulte as Perguntas Frequentes sobre a Política do Ciclo de Vida do Suporte da Microsoft.

As classificações de gravidade a seguir pressupõem o impacto máximo possível da vulnerabilidade. Para obter informações referentes à probabilidade de exploração da vulnerabilidade em relação à sua classificação de gravidade e ao impacto à segurança, em até 30 dias a partir do lançamento deste boletim de segurança, consulte o Índice de exploração no resumo de boletins de agosto. Para obter mais informações, consulte o Índice de exploração da Microsoft.

A Classificação de gravidade de vulnerabilidade e Impacto máximo de segurança por software afetado

Softwares afetados

Vulnerabilidade de ASLR no .NET - CVE-2014-4062

Avaliação de gravidade agregada

Microsoft .NET Framework 2.0 Service Pack 2

Microsoft .NET Framework 2.0 Service Pack 2 no Windows Vista Service Pack 2
(2937608)

Importante
Desvio de recurso de segurança

Importante

Microsoft .NET Framework 2.0 Service Pack 2 no Windows Vista x64 Edition Service Pack 2
(2937608)

Importante
Desvio de recurso de segurança

Importante

Microsoft .NET Framework 2.0 Service Pack 2 no Windows Server 2008 para sistemas de 32 bits Service Pack 2
(2937608)

Importante
Desvio de recurso de segurança

Importante

Microsoft .NET Framework 2.0 Service Pack 2 no Windows Server 2008 para sistemas baseados em x64 Service Pack 2
(2937608)

Importante
Desvio de recurso de segurança

Importante

Microsoft .NET Framework 2.0 Service Pack 2 no Windows Server 2008 para sistemas baseados no Itanium Service Pack 2
(2937608)

Importante
Desvio de recurso de segurança

Importante

Microsoft .NET Framework 3.0 Service Pack 2

Microsoft .NET Framework 3.0 Service Pack 2 no Windows Vista Service Pack 2
(2943344)

Importante
Desvio de recurso de segurança

Importante

Microsoft .NET Framework 3.0 Service Pack 2 no Windows Vista x64 Edition Service Pack 2
(2943344)

Importante
Desvio de recurso de segurança

Importante

Microsoft .NET Framework 3.0 Service Pack 2 no Windows Server 2008 para sistemas de 32 bits Service Pack 2
(2943344)

Importante
Desvio de recurso de segurança

Importante

Microsoft .NET Framework 3.0 Service Pack 2 no Windows Server 2008 para sistemas baseados em x64 Service Pack 2
(2943344)

Importante
Desvio de recurso de segurança

Importante

Service Pack 2 do Microsoft .NET Framework 3.0 no Windows Server 2008 para Service Pack 2 de sistemas baseados no Itanium
(2943344)

Importante
Desvio de recurso de segurança

Importante

Microsoft .NET Framework 3.5

Microsoft .NET Framework 3.5 no Windows 8 para sistemas de 32 bits
(2966825)

Importante
Desvio de recurso de segurança

Importante

Microsoft .NET Framework 3.5 no Windows 8 para sistemas de 32 bits
(2966827)

Importante
Desvio de recurso de segurança

Importante

Microsoft .NET Framework 3.5 no Windows 8 para sistemas baseados em x64
(2966825)

Importante
Desvio de recurso de segurança

Importante

Microsoft .NET Framework 3.5 no Windows 8 para sistemas baseados em x64
(2966827)

Importante
Desvio de recurso de segurança

Importante

Microsoft .NET Framework 3.5 no Windows Server 2012
(2966825)

Importante
Desvio de recurso de segurança

Importante

Microsoft .NET Framework 3.5 no Windows Server 2012 (Instalação de núcleo de servidor)
(2966825)

Importante
Desvio de recurso de segurança

Importante

Microsoft .NET Framework 3.5 no Windows Server 2012
(2966827)

Importante
Desvio de recurso de segurança

Importante

Microsoft .NET Framework 3.5 no Windows Server 2012 (Instalação de núcleo de servidor)
(2966827)

Importante
Desvio de recurso de segurança

Importante

Microsoft .NET Framework 3.5 no Windows 8.1 para sistemas de 32 bits
(2966826)

Importante
Desvio de recurso de segurança

Importante

Microsoft .NET Framework 3.5 no Windows 8.1 para sistemas de 32 bits
(2966828)

Importante
Desvio de recurso de segurança

Importante

Microsoft .NET Framework 3.5 no Windows 8.1 para sistemas baseados em x64
(2966826)

Importante
Desvio de recurso de segurança

Importante

Microsoft .NET Framework 3.5 no Windows 8.1 para sistemas baseados em x64
(2966828)

Importante
Desvio de recurso de segurança

Importante

Microsoft .NET Framework 3.5 no Windows Server 2012 R2
(2966826)

Importante
Desvio de recurso de segurança

Importante

Microsoft .NET Framework 3.5 no Windows Server 2012 R2 (Instalação de núcleo de servidor)
(2966826)

Importante
Desvio de recurso de segurança

Importante

Microsoft .NET Framework 3.5 no Windows Server 2012 R2
(2966828)

Importante
Desvio de recurso de segurança

Importante

Microsoft .NET Framework 3.5 no Windows Server 2012 R2 (Instalação de núcleo de servidor)
(2966828)

Importante
Desvio de recurso de segurança

Importante

Microsoft .NET Framework 3.5.1

Microsoft .NET Framework 3.5.1 no Windows 7 para sistemas de 32 bits Service Pack 1
(2937610)

Importante
Desvio de recurso de segurança

Importante

Microsoft .NET Framework 3.5.1 no Windows 7 para sistemas de 32 bits Service Pack 1
(2943357)

Importante
Desvio de recurso de segurança

Importante

Microsoft .NET Framework 3.5.1 no Windows 7 para sistemas baseados em x64 Service Pack 1
(2937610)

Importante
Desvio de recurso de segurança

Importante

Microsoft .NET Framework 3.5.1 no Windows 7 para sistemas baseados em x64 Service Pack 1
(2943357)

Importante
Desvio de recurso de segurança

Importante

Microsoft .NET Framework 3.5.1 no Windows Server 2008 R2 para sistemas baseados em x64 Service Pack 1
(2937610)

Importante
Desvio de recurso de segurança

Importante

Microsoft .NET Framework 3.5.1 no Windows Server 2008 R2 para sistemas x64 Service Pack 1 (instalação Server Core)
(2937610)

Importante
Desvio de recurso de segurança

Importante

Microsoft .NET Framework 3.5.1 no Windows Server 2008 R2 para sistemas baseados em x64 Service Pack 1
(2943357)

Importante
Desvio de recurso de segurança

Importante

Microsoft .NET Framework 3.5.1 no Windows Server 2008 R2 para sistemas x64 Service Pack 1 (instalação Server Core)
(2943357)

Importante
Desvio de recurso de segurança

Importante

Microsoft .NET Framework 3.5.1 no Windows Server 2008 R2 para sistemas baseados em Itanium Service Pack 1
(2937610)

Importante
Desvio de recurso de segurança

Importante

Microsoft .NET Framework 3.5.1 no Windows Server 2008 R2 para sistemas baseados em Itanium Service Pack 1
(2943357)

Importante
Desvio de recurso de segurança

Importante

 

Existe uma vulnerabilidade de desvio de recurso de segurança no Microsoft .NET Framework que permite que um invasor ignore o recurso de segurança ASLR (Address Space Layout Randomization), que ajuda a proteger os usuários de uma ampla classe de vulnerabilidades. O desvio de recurso de segurança por si mesmo não permite a execução de códigos arbitrários. No entanto, um invasor pode usar esta vulnerabilidade de desvio de ASLR junto com outra vulnerabilidade, como uma vulnerabilidade de execução remota de código, que aproveita o desvio de ASLR para executar um código arbitrário.

Para exibir esta vulnerabilidade como uma entrada padrão na lista Common Vulnerabilities and Exposures, consulte CVE-2014-4062.

Fatores atenuantes

A Microsoft não identificou nenhum fator atenuante para essa vulnerabilidade.

Soluções alternativas

A solução alternativa refere-se a uma configuração ou alteração de configuração que não corrige a vulnerabilidade subjacente mas que ajudaria a bloquear vetores de ataque conhecidos antes de aplicar a atualização. A Microsoft testou as soluções alternativas e estados a seguir como parte do cenário que implica se uma solução alternativa reduziria funcionalidade:

  • Instale o hotfix do recurso Force ASLR e permita a entrada de registro IFEO

    O recurso Force ASLR, que é adicional ao recurso ASLR para Windows 7 ou Windows Server 2008 R2, faz com que os aplicativos realoquem imagens que não foram criadas com o sinalizador de vinculador /DYNAMICBASE. Ao ser instalado, os administradores do computador e desenvolvedores de software poderão ativar as Opções de execução de arquivos de imagens (Image File Execution Options, IFEO) no registro para forçar o compartamento do ASLR para imagens que não são do ASLR.

    Para obter mais informações e instruções de instalação, consulte o artigo 2639308 (em inglês) da Base de dados de conhecimento Microsoft.

    Impacto da solução alternativa. Realoca as imagens que não são criadas com suporte a ASLR, que podem causar problemas de compatibilidade de aplicativos.

    Como desfazer a solução alternativa.

    Observação Consulte o artigo 2639308 da Base de Dados de Conhecimento Microsoft para obter informações sobre como definir a entrada de registro IFEO para uma configuração padrão.


Perguntas frequentes

Qual é o escopo da vulnerabilidade? 
Esta é uma vulnerabilidade de desvio de recurso de segurança.

O que provoca a vulnerabilidade? 
A vulnerabilidade existe quando o Microsoft .NET Framework não usa o recurso de segurança Address Space Layout Randomization (ASLR), permitindo a um invasor prever com fiabilidade os deslocamentos de memória de instruções específicas em uma determinada pilha de chamadas.

O que é ASLR? 
O Address Space Layout Randomization (ASLR) move imagens executáveis em locais aleatórios quando um sistema é inicializado, o que ajuda a evitar que um invasor alavanque dados em locais previsíveis. Para que um componente ofereça suporte a ASLR, todos os componentes que ele carrega também devem oferecer suporte a ASLR. Por exemplo, se A.exe consume B.DLL e C.DLL, todos os três devem oferecer suporte a ASLR. Por padrão, Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8, Windows 8.1, Windows RT, Windows RT 8.1, Windows Server 2012 e Windows Server 2012 R2 selecionarão aleatoriamente sistemas DLLs e EXEs, mas DLL e EXEs criados por fornecedores de software independentes (ISVs) devem optar em oferecer suporte a ASLR usando a opção de linker /DYNAMICBASE.

O ASLR também seleciona aleatoriamente memória de pilha e estouro:

  • Quando um aplicativo cria um heap no Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8, Windows 8.1, Windows RT, Windows RT 8.1, Windows Server 2012, e Windows Server 2012 R2, o gerenciador de heap criará esse heap em um local aleatório para ajudar a reduzir a chance de que uma tentativa de explorar uma saturação de buffer baseada em heap seja bem-sucedida. A randomização de estouro está ativada por padrão para todos os aplicativos que executam o Windows Vista e versões posteriores.
  • Quando um segmento inicia em um processo vinculado com /DYNAMICBASE, o Windows Vista, o Windows Server 2008, o Windows 7, Windows Server 2008 R2, Windows 8, Windows 8.1, Windows RT, Windows RT 8.1, Windows Server 2012 e Windows Server 2012 R2 movem a pilha do segmento para um local aleatório para ajudar a reduzir a chance de que uma saturação de buffer baseada em pilha seja bem-sucedida.

Para que um invasor pode usar a vulnerabilidade? 
O invasor que conseguir explorar esta vulnerabilidade pode ignorar o recurso de segurança ASLR. O desvio de recurso de segurança por si mesmo não permite a execução de códigos arbitrários. No entanto, um invasor podia usar esta vulnerabilidade de desvio do ASLR junto com outra vulnerabilidade, tal como uma vulnerabilidade de execução remota de código, que aproveita o desvio de ASLR para executar código arbitrário.

De que forma o invasor pode explorar a vulnerabilidade? 
No cenário de ataque pela Web, o invasor pode hospedar um site que contenha um arquivo usado para explorar essa vulnerabilidade. Além disso, sites comprometidos e sites que aceitem ou hospedem conteúdo fornecido pelo usuário podem conter conteúdo especialmente desenvolvido que pode explorar esta vulnerabilidade. Não há como um invasor forçar usuários a visitar o site especialmente criado. Em vez disso, o invasor teria que persuadir os usuários a executarem ações. Por exemplo, um invasor poderia enganar os usuários ao clicar em um link que leve para o site do invasor.

Quando um usuário visita um site que contém conteúdo mal-intencionado usando um navegador da Web capaz de criar instâncias de componentes COM, como o Internet Explorer, o componente do .NET Framework afetado pode ser carregado para anular o ASLR.

Um invasor pode ligar esta vulnerabilidade de desvio de recurso de segurança a uma vulnerabilidade adicional, geralmente uma vulnerabilidade de execução remota de código. A vulnerabilidade adicional aproveita o desvio de recurso de segurança para exploração. Por exemplo, uma vulnerabilidade de execução remota de código que é bloqueada por ASLR, pode ser explorada depois de um desvio bem-sucedido de ASLR.

Quais são os principais sistemas que correm riscos com a vulnerabilidade? 
Em um cenário de navegação na Web, a exploração bem-sucedida desta vulnerabilidade requer que um usuário tenha feito logon e esteja executando uma versão afetada do Microsoft .NET Framework. Portanto, quaisquer sistemas nos quais um navegador da Web seja usado com frequência, como estações de trabalho ou servidores de terminal, estão mais expostos a essa vulnerabilidade. Os servidores correm mais riscos se os administradores permitirem que os usuários procurem e leiam emails nos servidores. Entretanto, as práticas recomendadas não recomendam esse procedimento.

O EMET ajuda a atenuar ataques que tentam explorar estas vulnerabilidades? 
Sim. O Enhanced Mitigation Experience Toolkit (EMET) permite que os usuários gerenciem tecnologias de atenuação de segurança que ajudam a dificultar a exploração de vulnerabilidades por parte dos invasores em uma determinada porção do software. O EMET ajuda a reduzir esta vulnerabilidade no Microsoft .NET Framework em sistemas nos quais esteja instalado e configurado para funcionar com o software Microsoft Office.

Para obter mais informações sobre o EMET, consulte Enhanced Mitigation Experience Toolkit.

O que a atualização faz? 
A atualização elimina a vulnerabilidade, assegurando que versões afetadas do Microsoft .NET Framework implementem adequadamente o recurso de segurança ASLR.

Quando esse boletim de segurança foi lançado, essa vulnerabilidade já tinha sido divulgada publicamente? 
Não. A Microsoft recebeu informações sobre esta vulnerabilidade por meio da divulgação coordenada de vulnerabilidades.

Quando este boletim de segurança foi lançado, a Microsoft havia recebido algum relatório informando que essa vulnerabilidade estava sendo explorada? 
Sim. A Microsoft está ciente dos ataques direcionados limitados que tentam explorar essa vulnerabilidade.

Vários recursos estão disponíveis para ajudar administradores a implantar atualizações de segurança. 

  • O MBSA (Microsoft Baseline Security Analyzer) permite aos administradores pesquisar, em sistemas locais e remotos, atualizações de segurança ausentes e problemas de configuração de segurança comuns. 
  • O WSUS (Windows Server Update Services), SMS (Systems Management Server) e SCCM (System Center Configuration Manager) ajudam os administradores a distribuir as atualizações de segurança. 
  • Os componentes do Avaliador de compatibilidade com atualizações, incluídos no Kit de ferramentas de compatibilidade de aplicativos, auxilia a otimizar os testes e a validação das atualizações do Windows com relação aos aplicativos instalados. 

Para informações sobre estas e outras ferramentas que estão disponíveis, consulte Ferramentas de segurança para profissionais de TI

Windows Vista (todas as edições)

Tabela de referência

A tabela a seguir contém as informações de atualização de segurança desse software.

Nomes dos arquivos de atualização de segurança

Para Microsoft .NET Framework 2.0 Service Pack 2 em todas as edições de 32 bits com suporte do Windows Vista:
Windows6.0-KB2937608-x86.msu


Para Microsoft .NET Framework 3.0 Service Pack 2 em todas as edições de 32 bits com suporte do Windows Vista:
Windows6.0-KB2943344-x86.msu


Para Microsoft .NET Framework 2.0 Service Pack 2 em todas as edições x64 com suporte do Windows Vista:
Windows6.0-KB2937608-x64.msu


Para Microsoft .NET Framework 3.0 Service Pack 2 em todas as edições x64 com suporte do Windows Vista:
Windows6.0-KB2943344-x64.msu

Opções de instalação

Consulte o artigo 2844699 (em inglês) da Microsoft Knowledge Base

Arquivo de log de atualização

Para Microsoft .NET Framework 2.0 Service Pack 2:
Não Aplicável


Para Microsoft .NET Framework 3.0 Service Pack 2:
Não Aplicável

Requisito de reinicialização

Essa atualização não requer reinicialização. O instalador interrompe os serviços necessários, aplica a atualização e reinicia-os em seguida. Contudo, se esses serviços necessários não puderem ser interrompidos por algum motivo, ou se os arquivos necessários estiverem em uso, a atualização exigirá uma reinicialização. Se isso ocorrer, uma mensagem que aconselha a reinicialização será exibida.

Informações sobre remoção

Clique em Painel de Controle, e então em Segurança. No Windows Update, clica em Exibir atualizações instaladas e seleciona a partir da lista de atualizações.

Informações sobre o arquivo

Consulte o Artigo 2984625 da base de Dados de Conhecimento Microsoft

Verificação da chave do Registro

Para Microsoft .NET Framework 2.0 Service Pack 2:
Observação Não existe uma chave do Registro para validar a presença dessa atualização. Use WMI para detectar para a presença desta atualização.


Para Microsoft .NET Framework 3.0 Service Pack 2:
Observação Não existe uma chave do Registro para validar a presença dessa atualização. Use WMI para detectar para a presença desta atualização.

 

Windows Server 2008 (todas as edições)

Tabela de referência

A tabela a seguir contém as informações de atualização de segurança desse software.

Nomes dos arquivos de atualização de segurança

Para Microsoft .NET Framework 2.0 Service Pack 2 no Windows Server 2008 para sistemas de 32 bits Service Pack 2:
Windows6.0-KB2937608-x86.msu


Para Microsoft .NET Framework 3.0 Service Pack 2 no Windows Server 2008 para sistemas de 32 bits Service Pack 2:
Windows6.0-KB2943344-x86.msu


Para Microsoft .NET Framework 2.0 Service Pack 2 no Windows Server 2008 para sistemas baseados em x64 Service Pack 2:
Windows6.0-KB2937608-x64.msu


Para Microsoft .NET Framework 3.0 Service Pack 2 no Windows Server 2008 para sistemas baseados em x64 Service Pack 2:
Windows6.0-KB2943344-x64.msu


Para Microsoft .NET Framework 2.0 Service Pack 2 em todas as edições Itanium com suporte do Windows Server 2008:
Windows6.0-KB2937608-ia64.msu


Para Microsoft .NET Framework 3.0 Service Pack 2 em todas as edições baseadas no Itanium com suporte do Windows Server 2008:
Windows6.0-KB2943344-ia64.msu

Opções de instalação

Consulte o artigo 2844699 (em inglês) da Microsoft Knowledge Base

Arquivo de log de atualização

Para Microsoft .NET Framework 2.0 Service Pack 2:
Não Aplicável


Para Microsoft .NET Framework 3.0 Service Pack 2:
Não Aplicável

Requisito de reinicialização

Essa atualização não requer reinicialização. O instalador interrompe os serviços necessários, aplica a atualização e reinicia-os em seguida. Contudo, se esses serviços necessários não puderem ser interrompidos por algum motivo, ou se os arquivos necessários estiverem em uso, a atualização exigirá uma reinicialização. Se isso ocorrer, uma mensagem que aconselha a reinicialização será exibida.

Informações sobre remoção

Clique em Painel de Controle, e então em Segurança. No Windows Update, clique em Exibir atualizações instaladas e selecione a partir da lista de atualizações.

Informações sobre o arquivo

Consulte o Artigo 2984625 da base de Dados de Conhecimento Microsoft

Verificação da chave do Registro

Para Microsoft .NET Framework 2.0 Service Pack 2:
Observação Não existe uma chave do Registro para validar a presença dessa atualização. Use WMI para detectar para a presença desta atualização.


Para Microsoft .NET Framework 3.0 Service Pack 2:
Observação Não existe uma chave do Registro para validar a presença dessa atualização. Use WMI para detectar para a presença desta atualização.

 

Windows 7 (todas as edições)

Tabela de referência

A tabela a seguir contém as informações de atualização de segurança desse software.

Inclusão em Service Packs futuros

A atualização desse problema será incluída em um service pack ou conjunto de atualizações futuro.

Nome do arquivo de atualização de segurança

Para Microsoft .NET Framework 3.5.1 no Windows 7 para sistemas de 32 bits Service Pack 1:
Windows6.1-KB2937610-x86.msu
Windows6.1-KB2943357-x86.msu


Para Microsoft .NET Framework 3.5.1 no Windows 7 para sistemas baseados em x64 Service Pack 1:
Windows6.1-KB2937610-x64.msu
Windows6.1-KB2943357-x64.msu

Opções de instalação

Consulte o artigo 2844699 (em inglês) da Microsoft Knowledge Base

Arquivo de log de atualização

Para Microsoft .NET Framework 3.5.1:
Não Aplicável.

Requisito de reinicialização

Essa atualização não requer reinicialização. O instalador interrompe os serviços necessários, aplica a atualização e reinicia-os em seguida. Contudo, se esses serviços necessários não puderem ser interrompidos por algum motivo, ou se os arquivos necessários estiverem em uso, a atualização exigirá uma reinicialização. Se isso ocorrer, uma mensagem que aconselha a reinicialização será exibida.

Informações sobre remoção

Clique em Painel de Controle, clique em Sistema e Segurança e, então, em Windows Update, clique em Exibir atualizações instaladas e selecione na lista de atualizações.

Informações sobre o arquivo

Consulte o Artigo 2984625 da base de Dados de Conhecimento Microsoft

Verificação da chave do Registro

Para Microsoft .NET Framework 3.5.1:
Observação Não existe uma chave do Registro para validar a presença dessa atualização. Use WMI para detectar para a presença desta atualização.

 

Windows Server 2008 R2 (todas as edições)

Tabela de referência

A tabela a seguir contém as informações de atualização de segurança desse software.

Inclusão em Service Packs futuros

A atualização desse problema será incluída em um service pack ou conjunto de atualizações futuro.

Nome do arquivo de atualização de segurança

Para Microsoft .NET Framework 3.5.1 no Windows Server 2008 R2 para sistemas baseados em x64 Service Pack 1:
Windows6.1-KB2937610-x64.msu
Windows6.1-KB2943357-x64.msu


Para Microsoft .NET Framework 3.5.1 no Windows Server 2008 R2 para sistemas baseados em Itanium Service Pack 1:
Windows6.1-KB2937610-ia64.msu
Windows6.1-KB2943357-ia64.msu

Opções de instalação

Consulte o artigo 2844699 (em inglês) da Microsoft Knowledge Base

Arquivo de log de atualização

Para Microsoft .NET Framework 3.5.1:
Não Aplicável

Requisito de reinicialização

Essa atualização não requer reinicialização. O instalador interrompe os serviços necessários, aplica a atualização e reinicia-os em seguida. Contudo, se esses serviços necessários não puderem ser interrompidos por algum motivo, ou se os arquivos necessários estiverem em uso, a atualização exigirá uma reinicialização. Se isso ocorrer, uma mensagem que aconselha a reinicialização será exibida.

Informações sobre remoção

Clique em Painel de Controle, clique em Sistema e Segurança e, então, em Windows Update, clique em Exibir atualizações instaladas e selecione na lista de atualizações.

Informações sobre o arquivo

Consulte o Artigo 2984625 da base de Dados de Conhecimento Microsoft

Verificação da chave do Registro

Para Microsoft .NET Framework 3.5.1:
Observação Não existe uma chave do Registro para validar a presença dessa atualização. Use WMI para detectar para a presença desta atualização.

 

Windows 8 e Windows 8.1 (todas as edições)

Tabela de referência

A tabela a seguir contém as informações de atualização de segurança desse software.

Inclusão em Service Packs futuros

A atualização desse problema será incluída em um service pack ou conjunto de atualizações futuro.

Nome do arquivo de atualização de segurança

Para Microsoft .NET Framework 3.5 no Windows 8 para sistemas de 32 bits:
Windows8-RT-KB2966825-x86.msu
Windows8-RT-KB2966827-x86.msu


Para Microsoft .NET Framework 3.5 no Windows 8 para sistemas baseados em x64:
Windows8-RT-KB2966825-x64.msu
Windows8-RT-KB2966827-x64.msu


Para Microsoft .NET Framework 3.5 no Windows 8.1 para sistemas de 32 bits:
Windows8.1-KB2966826-x86.msu
Windows8.1-KB2966828-x86.msu


Para Microsoft .NET Framework 3.5 no Windows 8.1 para sistemas baseados em x64:
Windows8.1-KB2966826-x64.msu
Windows8.1-KB2966828-x64.msu

Opções de instalação

Consulte o artigo 2844699 (em inglês) da Microsoft Knowledge Base

Requisito de reinicialização

Essa atualização não requer reinicialização. O instalador interrompe os serviços necessários, aplica a atualização e reinicia-os em seguida. Contudo, se esses serviços necessários não puderem ser interrompidos por algum motivo, ou se os arquivos necessários estiverem em uso, a atualização exigirá uma reinicialização. Se isso ocorrer, uma mensagem que aconselha a reinicialização será exibida.

Informações sobre remoção

Clique em Painel de Controle, clique em Sistema e Segurança e, então, em Windows Update, clique em Exibir histórico de atualizações e selecione na lista de atualizações.

Informações sobre o arquivo

Consulte o Artigo 2984625 da base de Dados de Conhecimento Microsoft

Verificação da chave do Registro

Para Microsoft .NET Framework 3.5:
Observação Não existe uma chave do Registro para validar a presença dessa atualização. Use WMI para detectar para a presença desta atualização.

 

Windows Server 2012 e Windows Server 2012 R2 (todas as edições)

Tabela de referência

A tabela a seguir contém as informações de atualização de segurança desse software.

Inclusão em Service Packs futuros

A atualização desse problema será incluída em um service pack ou conjunto de atualizações futuro.

Nome do arquivo de atualização de segurança

Para Microsoft .NET Framework 3.5 no Windows Server 2012:
Windows8-RT-KB2966825-x64.msu
Windows8-RT-KB2966827-x64.msu


Para Microsoft .NET Framework 3.5 no Windows Server 2012 R2:
Windows8.1-KB2966826-x64.msu
Windows8.1-KB2966828-x64.msu

Opções de instalação

Consulte o artigo 2844699 (em inglês) da Microsoft Knowledge Base

Requisito de reinicialização

Essa atualização não requer reinicialização. O instalador interrompe os serviços necessários, aplica a atualização e reinicia-os em seguida. Contudo, se esses serviços necessários não puderem ser interrompidos por algum motivo, ou se os arquivos necessários estiverem em uso, a atualização exigirá uma reinicialização. Se isso ocorrer, uma mensagem que aconselha a reinicialização será exibida.

Informações sobre remoção

Clique em Painel de Controle, clique em Sistema e Segurança e, então, em Windows Update, clique em Exibir histórico de atualizações e selecione na lista de atualizações.

Informações sobre o arquivo

Consulte o Artigo 2958732 (em inglês) da Microsoft Knowledge Base

Verificação da chave do Registro

Observação Não existe uma chave do Registro para validar a presença dessa atualização. Use WMI para detectar para a presença desta atualização.

 

Microsoft Active Protections Program (MAPP)

Para melhorar as proteções de segurança para os clientes, a Microsoft fornece informações sobre vulnerabilidades aos principais fornecedores de software de segurança antes do lançamento de cada atualização de segurança mensal. Assim, os fornecedores de software de segurança podem usar essas informações sobre vulnerabilidades para fornecer proteções atualizadas aos clientes por meio de seus softwares ou dispositivos de segurança, como antivírus, sistemas de detecção de invasões baseados em rede ou sistemas de prevenção de invasões baseados em host. Para determinar se os fornecedores de software de segurança estão disponibilizando proteções ativas, visite os sites de proteções ativas fornecidos pelos parceiros do programa, listados em Parceiros do Microsoft Active Protections Program (MAPP).

Suporte

Como obter ajuda e suporte para esta atualização de segurança

Aviso de isenção de responsabilidade

As informações fornecidas na Microsoft Knowledge Base são apresentadas "no estado em que se encontram", sem garantia de qualquer tipo. A Microsoft se isenta de todas as garantias, expressas ou implícitas, inclusive as garantias de comercialização e adequação a um propósito específico. Em hipótese alguma a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, inclusive danos diretos, indiretos, incidentais, consequenciais, danos por lucros cessantes ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido alertados da possibilidade dos referidos danos. Como alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou indiretos, a limitação acima pode não ser aplicável a você.

Revisões

  • V1.0 (12 de agosto de 2014): Boletim publicado.
Página gerada em 06-08-2014 15:20Z-07:00.
Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários
Mostrar:
© 2015 Microsoft