Exportar (0) Imprimir
Expandir Tudo

Comunicado de Segurança da Microsoft 2868725

Atualização para desabilitar o RC4

Publicado: terça-feira, 12 de novembro de 2013

Versão: 1.0

Informações Gerais

Sinopse

Microsoft anuncia a disponibilidade de uma atualização para edições com suporte do Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012 e Windows RT para tratar certas deficiências no RC4. A atualização aceita a remoção do RC4 como uma criptografia disponível em sistemas afetados por configurações do registro. Ela também permite que desenvolvedores removam o RC4 em aplicativos individuais pelo uso do indicador SCH_USE_STRONG_CRYPTO na estrutura SCHANNEL_CRED. Essas opções não são habilitadas por padrão.

Recomendação. A Microsoft recomenda que os clientes baixem e instalem a atualização imediatamente e então testem as configurações novas em seus ambientes. Consulte a seção Ações sugeridas deste comunicado para obter mais informações.

Problemas conhecidos. O Artigo 2868725 (em inglês) da Microsoft Knowledge Base documenta os problemas atualmente conhecidos que os clientes podem enfrentar ao instalar esta atualização. O artigo também documenta as soluções recomendadas para esses problemas.

Detalhes do Comunicado

Referências ao problema

Para obter mais informações sobre este problema, consulte as seguintes referências:

ReferênciasIdentificação
Artigo da Microsoft Knowledge Base 2868725

Softwares afetados

Este comunicado descreve o seguinte software:

Sistema operacional
Windows 7 para sistemas de 32 bits Service Pack 1
Windows 7 para Sistemas Service Pack 1 baseados em x64
Windows Server 2008 R2 para Sistemas Service Pack 1 baseados em x64
Windows Server 2008 R2 para Sistemas Service Pack 1 baseados em Itanium
Windows 8 para sistemas de 32 bits
Windows 8 para sistemas baseados em x64
Windows Server 2012
Windows RT
Opção de instalação do Server Core
Windows Server 2008 R2 para sistemas baseados em x64 Service Pack 1 (instalação do Server Core)
Windows Server 2012 (instalação Server Core)

Esta atualização se aplica ao Windows 8.1, Windows Server 2012 R2 ou Windows RT 8.1?  
Não. Essa atualização não se aplica ao Windows 8.1, Windows Server 2012 R2 ou Windows RT 8.1, pois esses sistemas operacionais já incluem a funcionalidade para restringir o uso do RC4.

Qual é o escopo do comunicado?  
O propósito deste comunicado é notificar os clientes de que há uma atualização disponível para edições com suporte de Windows, Windows 7, Windows Server 2008 R2, Windows 8 e Windows Server 2012 que fornece opções adicionais para restringir o uso do RC4. O uso do RC4 em TLS e SSL pode permitir que o invasor execute ataques de intermediários e obtenha texto sem formatação de sessões criptografadas.

O que é um ataque de intermediário?  
Um ataque de intermediário ocorre quando um invasor desvia a comunicação entre dois usuários pelo computador do invasor, sem o conhecimento dos dois usuários que se comunicam. Cada usuário na comunicação, sem saber, envia e recebe tráfego do invasor, achando que está se comunicando somente com o usuário pretendido.

O que a atualização 2868725 faz?  
A atualização aceita a remoção do RC4 como uma criptografia disponível em sistemas afetados por configurações do registro. Ela também permite que desenvolvedores removam o RC4 em aplicativos individuais pelo uso do indicador SCH_USE_STRONG_CRYPTO na estrutura SCHANNEL_CRED. Essas opções não são habilitadas por padrão. A Microsoft recomenda que os clientes testem todas as configurações novas para desabilitar o RC4 antes de implementá-las em seus ambientes.

A atualização afetará a experiência de usuário para o Internet Explorer ou outros aplicativos de caixa de entrada? 
Não. As alterações implementadas com a atualização são transparentes ao usuário e não afetarão a experiência de usuário para o Internet Explorer nem outros aplicativos de caixa de entrada. No entanto, é possível que alterações subsequentes às configurações para desabilitar o RC4 afetem a experiência de usuário para o Internet Explorer ou outros aplicativos que utilizam TLS. Por esse motivo, é altamente recomendado que os clientes testem completamente todas as configurações novas relacionadas à ação de desabilitar o RC4.

Como eu me preparo para este lançamento?  
Consulte a seção Ações recomendadas para obter uma lista de ações a serem executadas na preparação da implantação desta atualização.

O que é Schannel?  
Canal Seguro, também conhecido como Schannel, é um fornecedor de suporte de segurança (SSP) que contém um conjunto de protocolos de segurança que fornecem autenticação de identidade e comunicação segura e privada por criptografia. O Schannel é usado principalmente para aplicativos da Internet que requerem comunicações seguras por HTTP (Hypertext Transfer Protocol). Para obter mais informações, consulte Canal Seguro.

O que é TLS?  
Transport Layer Security (TLS) é um protocolo padrão usado para fornecer comunicações seguras pela Web na Internet ou intranets. Ele permite que os clientes autentiquem servidores ou que os servidores autentiquem clientes. Ele também fornece um canal seguro criptografando as comunicações. O TLS é a última versão do protocolo de SSL (Secure Sockets Layer).

O que é RC4?  
RC4 é uma cifra de fluxo usada na criptografia e na descriptografia.

Aplique as atualização para versões afetadas do Microsoft Windows

A maioria dos clientes tem o recurso de atualizações automáticas habilitado e não precisará tomar nenhuma providência porque a atualização 2868725 será baixada e instalada automaticamente. Os clientes que não têm o recurso de atualizações automáticas habilitado precisarão verificar as atualizações e instalar esta atualização manualmente. Para obter informações sobre opções de configuração específicas em atualizações automáticas, consulte o Artigo 294871 (em inglês) da Microsoft Knowledge Base.

Para instalações feitas por administradores ou empresas, ou por usuários finais que desejam instalar a atualização 2868725 manualmente, a Microsoft recomenda que os clientes apliquem a atualização imediatamente usando software de gerenciamento de atualização ou verificando se há atualizações no serviço Microsoft Update. Para obter mais informações sobre como aplicar manualmente essa atualização, consulte o Artigo 2868725 (em inglês) da Microsoft Knowledge Base.

Teste completamente as configurações novas antes de implementá-las em seu ambiente

Depois de aplicar a atualização, a Microsoft recomenda que os clientes testem todas as configurações novas para desabilitar o RC4 antes de implementá-las em seus ambientes. Deixar de testar as novas configurações pode afetar a experiência de usuário para o Internet Explorer ou outros aplicativos que utilizam TLS.

Outras informações

Comentários

Suporte

Aviso de isenção de responsabilidade

As informações oferecidas neste documento são fornecidas "como estão" sem garantia de nenhum tipo. A Microsoft se isenta de todas as garantias, expressas ou implícitas, inclusive as garantias de comercialização e adequação a um propósito específico. Em hipótese alguma a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, inclusive danos diretos, indiretos, incidentais, consequenciais, danos por lucros cessantes ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido alertados da possibilidade dos referidos danos. Como alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou indiretos, a limitação acima pode não ser aplicável a você.

Revisões

  • V1.0 (12 de novembro de 2013): Comunicado publicado.

Built at 2014-04-18T01:50:00Z-07:00

Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários
Mostrar:
© 2015 Microsoft