Comunicado de Segurança da Microsoft 2977292
Atualização para a implementação do Microsoft EAP que permite o uso do TLS
Publicado em: 14 de outubro de 2014
Versão: 1.0
Informações Gerais
Resumo executivo
A Microsoft está anunciando a disponibilidade de uma atualização para edições com suporte do Windows 7, Windows Server 2008 R2, Windows 8, Windows 8.1, Windows Server 2012 e Windows RT para a implementação do Microsoft Extensible Authentication Protocol (EAP) que permite o uso do Transport Layer Security (TLS) 1.1 ou 1.2 por meio da modificação do registro do sistema. Para obter mais informações, consulte o artigo 2977292 da Base de Dados de Conhecimento Microsoft.
Recomendação. A Microsoft recomenda que os clientes testem quaisquer novas configurações para habilitar o TLS 1.1 ou 1.2 antes da implementação em seus ambientes. Consulte a seção Ações sugeridas deste comunicado para obter mais informações.
Detalhes do Comunicado
Referências de edições
Para obter mais informações sobre esse problema, consulte as seguintes referências:
| Referências | Identificação |
|---|---|
| Artigo da Base de Dados de Conhecimento Microsoft | 2977292 |
Softwares afetados
Este comunicado aborda o seguinte software.
Softwares afetados
| Sistema operacional |
|---|
| Windows 7 para sistemas de 32 bits Service Pack 1 |
| Windows 7 para sistemas baseados em x64 Service Pack 1 |
| Windows Server 2008 R2 para sistemas baseados em x64 Service Pack 1 |
| Windows Server 2008 R2 para sistemas baseados em Itanium Service Pack 1 |
| Windows 8 para sistemas de 32 bits |
| Windows 8 para sistemas baseados em x64 |
| Windows 8.1 para sistemas de 32 bits |
| Windows 8.1 para sistemas baseados em x64 |
| Windows Server 2012 |
| Windows Server 2012 R2 |
| Windows RT |
| Windows RT 8.1 |
| Opção de instalação Server Core |
| Windows Server 2008 R2 para sistemas baseados em x64 Service Pack 1 (instalação Server Core) |
| Windows Server 2012 (instalação Server Core) |
| Windows Server 2012 R2 (instalação Server Core) |
Perguntas frequentes sobre o Advisory
Qual o escopo da assessoria?
O objetivo deste comunicado é notificar os clientes de que uma atualização está disponível para a implementação do Microsoft Extensible Authentication Protocol (EAP) que permite o uso do Transport Layer Security (TLS) 1.1 ou 1.2.
O que é EAP?
O protocolo EAP (Extensible Authentication Protocol) é uma estrutura de autenticação incluída nos sistemas operacionais cliente Windows e servidor Windows. O EAP no Windows inclui muitos protocolos de autenticação para autenticação de acesso à rede quando você implanta tecnologias dial-up, VPN (rede virtual privada), sem fio 802.1X e com fio 802.1X usando NPS (Servidor de Diretivas de Rede), RRAS (Serviço de Roteamento e Acesso Remoto) ou ambos.
O que é TLS?
Transport Layer Security (TLS) é um protocolo padrão usado para fornecer comunicações seguras da Web na Internet ou intranets. Ele permite que os clientes autentiquem servidores ou, opcionalmente, servidores para autenticar clientes. Ele também fornece um canal seguro, criptografando as comunicações. TLS é a versão mais recente do protocolo Secure Sockets Layer (SSL).
Para que um invasor pode usar a vulnerabilidade?
O uso de versões inferiores do TLS pode permitir que um invasor execute ataques man-in-the-middle e recupere texto sem formatação de sessões criptografadas.
O que é um ataque man-in-the-middle?
Um ataque man-in-the-middle ocorre quando um invasor redireciona a comunicação entre dois usuários através do sistema do invasor sem o conhecimento dos dois usuários que se comunicam. Cada usuário na comunicação inadvertidamente envia e recebe tráfego do invasor, enquanto pensa que está se comunicando apenas com o usuário pretendido.
O que a atualização faz?
A atualização habilita o suporte do TLS 1.1 e 1.2 como um protocolo disponível em sistemas afetados por meio de configurações do Registro. A Microsoft recomenda que os clientes testem quaisquer novas configurações para habilitar o TLS 1.1 ou 1.2 antes da implementação em seus ambientes.
Ações sugeridas
Aplicar a atualização para versões com suporte do Microsoft Windows
A maioria dos clientes tem a atualização automática habilitada e não precisará executar nenhuma ação porque a atualização 2977292 será baixada e instalada automaticamente. Os clientes que não habilitaram a atualização automática precisam verificar se há atualizações e instalar essa atualização manualmente. Para obter informações sobre opções de configuração específicas na atualização automática, consulte o Artigo 294871 da Base de Dados de Conhecimento Microsoft.
Para instalações de administradores e empresas, ou usuários finais que desejam instalar a atualização 2977292 manualmente, a Microsoft recomenda que os clientes apliquem a atualização usando o software de gerenciamento de atualizações ou verificando se há atualizações usando o serviço Microsoft Update . Para obter mais informações sobre como aplicar manualmente a atualização, consulte o artigo 2616676 da Base de Dados de Conhecimento Microsoft.
Ações adicionais sugeridas
Proteja seu PC
Continuamos a incentivar os clientes a seguirem nossa orientação Proteja seu computador de habilitar um firewall, obter atualizações de software e instalar software antivírus. Para obter mais informações, consulte Central de Segurança da Microsoft.
Mantenha o software Microsoft atualizado
Os usuários que executam o software da Microsoft devem aplicar as atualizações de segurança mais recentes da Microsoft para ajudar a garantir que seus computadores estejam o mais protegidos possível. Se você não tiver certeza se o software está atualizado, visite o Microsoft Update, verifique se há atualizações disponíveis no computador e instale as atualizações de alta prioridade que lhe são oferecidas. Se você tiver a atualização automática habilitada e configurada para fornecer atualizações para produtos Microsoft, as atualizações serão entregues a você quando forem lançadas, mas você deverá verificar se elas estão instaladas.
Agradecimentos
A Microsoft agradece o seguinte por trabalhar conosco para ajudar a proteger os clientes:
- Nick Lowe da Lugatech por trabalhar conosco para fornecer esta atualização de segurança
Outras Informações
Programa de Proteção Ativa da Microsoft (MAPP)
Para melhorar as proteções de segurança para os clientes, a Microsoft fornece informações sobre vulnerabilidades aos principais fornecedores de software de segurança antes de cada lançamento mensal da atualização de segurança. Os provedores de software de segurança podem usar essas informações de vulnerabilidade para fornecer proteções atualizadas aos clientes por meio de seus softwares ou dispositivos de segurança, como antivírus, sistemas de detecção de intrusão baseados em rede ou sistemas de prevenção de intrusão baseados em host. Para determinar se as proteções ativas estão disponíveis a partir de provedores de software de segurança, visite os sites de proteções ativas fornecidos por parceiros do programa, listados em Parceiros do Microsoft Active Protections Program (MAPP).
Feedback
- Você pode fornecer comentários preenchendo o formulário de Ajuda e Suporte da Microsoft, Atendimento ao Cliente Fale Conosco.
Suporte
- Os clientes nos Estados Unidos e no Canadá podem receber suporte técnico do Suporte de Segurança. Para obter mais informações, consulte Ajuda e Suporte da Microsoft.
- Os clientes internacionais podem receber suporte de suas subsidiárias locais da Microsoft. Para obter mais informações, consulte Suporte internacional.
- O Microsoft TechNet Security fornece informações adicionais sobre segurança em produtos Microsoft.
Aviso de isenção de responsabilidade
As informações fornecidas neste comunicado são fornecidas "no estado em que se encontram", sem garantia de qualquer tipo. A Microsoft se isenta de todas as garantias, expressas ou implícitas, incluindo as garantias de comercialização e adequação a uma finalidade específica. Em nenhuma circunstância a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, incluindo danos diretos, indiretos, incidentais, consequenciais, perda de lucros comerciais ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido avisados da possibilidade de tais danos. Alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou incidentais, portanto, a limitação acima pode não se aplicar.
Revisões
- V1.0 (14 de outubro de 2014): Comunicado publicado.
Página gerada em 09/10/2014 15:03Z-07:00.