Comunicado de Segurança da Microsoft 2905247

Publicado: terça-feira, 10 de dezembro de 2013 | Atualizado: September 9, 2014

Versão: 2.0

A Microsoft está anunciando a disponibilidade de uma atualização para o Microsoft ASP.NET para resolver uma vulnerabilidade no estado de exibição ASP.NET que existe quando a validação do Código de Autenticação de Máquina (MAC) é desabilitada por meio de definições de configuração. A vulnerabilidade pode permitir a elevação de privilégio e afeta o Microsoft .NET Framework 1.1 Service Pack 1, Microsoft .NET Framework 2.0 Service Pack 2, Microsoft .NET Framework 3.5, Microsoft .NET Framework 3.5.1, Microsoft .NET Framework 4 e Microsoft .NET Framework 4.5/4.5.1.

Qualquer site ASP.NET para o qual o MAC de estado de exibição tenha sido desabilitado por meio de definições de configuração está vulnerável a ataques. O invasor que explorar com êxito a vulnerabilidade poderá usar conteúdo HTTP especialmente criado para injetar código a ser executado no contexto da conta de serviço no servidor ASP.NET. A Microsoft está ciente de informações gerais disponíveis publicamente que podem ser usadas para explorar esta vulnerabilidade, mas não está ciente de nenhum ataque ativo.

Fatores atenuantes:

• O MAC de estado de exibição é habilitado por padrão para sites ASP.NET.

Recomendação. A Microsoft recomenda que os clientes apliquem a ação sugerida para garantir que ASP.NET estado de exibição MAC permaneça habilitado em ASP.NET sites. Consulte a seção Ações sugeridas deste comunicado para obter mais informações.

Para obter mais informações sobre esse problema, consulte as seguintes referências:

Este comunicado aborda o seguinte software.

Softwares afetados

Software não afetado

Software não aplicável

Por que este comunicado foi relançado em 9 de setembro de 2014? 
Este comunicado foi relançado para oferecer a atualização de segurança por meio do Microsoft Update, além da opção somente Centro de Download fornecida quando este comunicado foi lançado originalmente.

Além disso, as atualizações para o seguinte software afetado foram relançadas para resolver um problema que ocasionalmente fazia com que Page.IsPostBack retornasse um valor incorreto:

Os clientes que já instalaram qualquer uma das atualizações acima devem reaplicar as atualizações para ficarem protegidos contra a vulnerabilidade abordada neste comunicado. Para o restante do software afetado não incluído nesta lista, os clientes que já atualizaram seus sistemas com êxito não precisam executar nenhuma ação.

Qual o escopo da assessoria? 
O objetivo deste comunicado é notificar os clientes de que a Microsoft está publicando uma atualização para permitir que os administradores configurem seus servidores ASP.NET para garantir que o MAC de estado de exibição permaneça habilitado o tempo todo, bem como fornecer orientação geral sobre como habilitar o MAC de estado de exibição em servidores IIS.

O que é estado de exibição?
O estado de exibição é um recurso ASP.NET que permite que os desenvolvedores da Web mantenham o estado da página e persistam dados em um formulário da Web em solicitações POST ou atualizações e alterações de página. O estado de exibição é usado predominantemente por desenvolvedores ASP.NET e, como tal, é onipresente em todos os sites ASP.NET. O estado de exibição é sempre analisado, mesmo se a propriedade EnableViewState estiver definida como False. Para obter mais informações, consulte Noções básicas sobre ASP.NET estado de exibição.

A desativação do estado de exibição atenuará a vulnerabilidade?
Não. O estado de exibição é sempre analisado pelo servidor ASP.NET, mesmo quando EnableViewState é definido como False, independentemente de a propriedade estar ou não definida em web.config, na @Page diretiva ou em uma marca ASP.NET. É possível que um invasor injete uma propriedade de estado de exibição em uma postagem de cliente, ignorando a configuração EnableViewState.

O que é a validação MAC do estado de exibição?
A validação MAC (Código de Autenticação de Máquina) do estado de exibição é um recurso que faz com que ASP.NET gere um hash dos dados do estado de exibição no momento da geração da página. O hash é usado posteriormente para comparação com o estado de exibição em um postback posterior, permitindo que o servidor verifique se o estado de exibição foi ou não violado. Essa tecnologia garante que os dados de postback não tenham sido modificados incorretamente e atenua a vulnerabilidade descrita neste comunicado.

Para que um invasor pode usar a vulnerabilidade?
Na maioria dos cenários, um invasor que explorar com êxito essa vulnerabilidade poderá elevar os privilégios ao nível da conta de serviço em execução no site de ASP.NET vulnerável (um com um MAC de estado de exibição configurado incorretamente).

Como um invasor pode explorar a vulnerabilidade?
Um invasor não autenticado pode enviar conteúdo HTTP especialmente criado para o servidor de destino, potencialmente permitindo que o invasor execute código no servidor no contexto da conta de serviço em execução no site ASP.NET.

O que a atualização faz?
A atualização elimina a vulnerabilidade, fazendo com que o MAC de estado de exibição seja habilitado o tempo todo, removendo a capacidade de desabilitá-lo no servidor.

Quais ações adicionais os clientes devem tomar após a instalação da atualização?
A natureza da correção exige que alguns clientes, especialmente aqueles que usam ASP.NET em um web farm, tomem ações adicionais para garantir a disponibilidade consistente de seus sites ASP.NET. Consulte a seção Ações sugeridas abaixo para obter etapas de configuração adicionais.

Como determinar qual versão do Microsoft .NET Framework está instalada?
Você pode instalar e executar várias versões do .NET Framework em um sistema e pode instalar as versões em qualquer ordem. Há várias maneiras de determinar quais versões do .NET Framework estão instaladas no momento. Para obter mais informações, consulte o artigo 318785 da Base de Dados de Conhecimento Microsoft.****

Qual é a diferença entre o .NET Framework 4 e o .NET Framework 4 Client Profile?
Os pacotes redistribuíveis do .NET Framework versão 4 estão disponíveis em dois perfis: .NET Framework 4 e .NET Framework 4 Client Profile. O .NET Framework 4 Client Profile é um subconjunto do perfil do .NET Framework 4 otimizado para aplicativos cliente. Ele fornece funcionalidade para a maioria dos aplicativos cliente, incluindo recursos do Windows Presentation Foundation (WPF), Windows Forms, Windows Communication Foundation (WCF) e ClickOnce. Isso permite uma implantação mais rápida e um pacote de instalação menor para aplicativos destinados ao .NET Framework 4 Client Profile. Para obter mais informações, consulte o artigo do MSDN, .NET Framework Client Profile.

Tenho o .NET Framework 3.0 Service Pack 2 instalado; Esta versão não está listada entre os softwares afetados neste boletim. Preciso instalar uma atualização?
Este boletim descreve uma vulnerabilidade que afeta a camada de feição do .NET Framework 2.0. O instalador do .NET Framework 3.0 Service Pack 2 é encadeado na instalação do .NET Framework 2.0 Service Pack 2, portanto, instalar o primeiro também instala o segundo. Portanto, os clientes que have.NET Framework 3.0 Service Pack 2 instalado precisam instalar atualizações de segurança para o .NET Framework 2.0 Service Pack 2.

Tenho o .NET Framework 3.5 Service Pack 1 instalado. Preciso instalar alguma atualização?
Este boletim descreve uma vulnerabilidade que afeta a camada de feição do .NET Framework 2.0. O instalador do .NET Framework 3.5 Service Pack 1 é encadeado na instalação do .NET Framework 2.0 Service Pack 2 e na instalação do .NET Framework 3.0 Service Pack 2. Portanto, os clientes que têm o .NET Framework 3.5 Service Pack 1 instalado precisam instalar atualizações de segurança for.NET Framework 2.0 Service Pack 2.

• Aplicar a atualização para versões afetadas do Microsoft .NET Framework

  A maioria dos clientes tem a atualização automática habilitada e não precisará executar nenhuma ação, pois essa atualização de segurança será baixada e instalada automaticamente. Para obter informações sobre opções de configuração específicas na atualização automática, consulte o Artigo 294871 da Base de Dados de Conhecimento Microsoft. Para clientes que não têm a atualização automática habilitada, as etapas em Ativar ou desativar a atualização automática podem ser usadas para habilitar a atualização automática.

  Para instalações de administradores e empresas, ou usuários finais que desejam instalar esta atualização de segurança manualmente, a Microsoft recomenda que os clientes apliquem a atualização o mais rápido possível usando o software de gerenciamento de atualizações ou verificando se há atualizações usando o serviço Microsoft Update . As atualizações também podem ser acessadas por meio dos hiperlinks do Centro de Download da Microsoft na tabela Softwares afetados deste comunicado. Para obter informações sobre como aplicar manualmente as atualizações, consulte o Artigo 2905247 (em inglês) da Microsoft Knowledge Base.

• Para administradores e instalações corporativas com cenários de web-farm
  A Microsoft recomenda seguir as orientações disponíveis no Artigo 2915218 da Base de Dados de Conhecimento Microsoft.

• Proteja seu PC  
  Continuamos a incentivar os clientes a seguirem nossa orientação Proteja seu computador de habilitar um firewall, obter atualizações de software e instalar software antivírus. Para obter mais informações, consulte Central de Segurança da Microsoft.
• Mantenha o software Microsoft atualizado
  Os usuários que executam o software da Microsoft devem aplicar as atualizações de segurança mais recentes da Microsoft para ajudar a garantir que seus computadores estejam o mais protegidos possível. Se você não tiver certeza se o software está atualizado, visite o Microsoft Update, verifique se há atualizações disponíveis no computador e instale as atualizações de alta prioridade que lhe são oferecidas. Se você tiver a atualização automática habilitada e configurada para fornecer atualizações para produtos Microsoft, as atualizações serão entregues a você quando forem lançadas, mas você deverá verificar se elas estão instaladas.

Tabela de Referência

A tabela a seguir contém as informações de atualização de segurança para este software.

Tabela de Referência

A tabela a seguir contém as informações de atualização de segurança para este software.

Tabela de Referência

A tabela a seguir contém as informações de atualização de segurança para este software.

Tabela de Referência

A tabela a seguir contém as informações de atualização de segurança para este software.

Tabela de Referência

A tabela a seguir contém as informações de atualização de segurança para este software.

Tabela de Referência

A tabela a seguir contém as informações de atualização de segurança para este software.

Tabela de Referência

A tabela a seguir contém as informações de atualização de segurança para este software.

Tabela de Referência

A tabela a seguir contém as informações de atualização de segurança para este software.

• Você pode fornecer comentários preenchendo o formulário de Ajuda e Suporte da Microsoft, Atendimento ao Cliente Fale Conosco.

• Os clientes nos Estados Unidos e no Canadá podem receber suporte técnico do Suporte de Segurança. Para obter mais informações, consulte Ajuda e Suporte da Microsoft.
• Os clientes internacionais podem receber suporte de suas subsidiárias locais da Microsoft. Para obter mais informações, consulte Suporte internacional.
• O Microsoft TechNet Security fornece informações adicionais sobre segurança em produtos Microsoft.

As informações fornecidas neste comunicado são fornecidas "no estado em que se encontram", sem garantia de qualquer tipo. A Microsoft se isenta de todas as garantias, expressas ou implícitas, incluindo as garantias de comercialização e adequação a uma finalidade específica. Em nenhuma circunstância a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, incluindo danos diretos, indiretos, incidentais, consequenciais, perda de lucros comerciais ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido avisados da possibilidade de tais danos. Alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou incidentais, portanto, a limitação acima pode não se aplicar.

V1.0 (10 de dezembro de 2013): Comunicado publicado.

V2.0 (9 de setembro de 2013): Comunicado relançado para anunciar a oferta da atualização de segurança por meio do Microsoft Update, além da opção somente Centro de Download fornecida quando este comunicado foi lançado originalmente. Além disso, algumas das atualizações foram relançadas para melhorar sua qualidade. Consulte as Perguntas frequentes sobre atualização para obter detalhes.

Página gerada em 04/09/2014 11:06Z-07:00.