Exportar (0) Imprimir
Expandir Tudo

Boletim de Segurança da Microsoft MS14-032 - Importante

Vulnerabilidade no Microsoft Lync Server pode permitir a Divulgação de informação (2969258)

Publicado em: 10 de junho de 2014

Versão: 1.0

Informações Gerais

Sinopse

Esta atualização de segurança elimina uma vulnerabilidade relatada de forma privada no Microsoft Lync Server. A vulnerabilidade pode permitir a divulgação de informação se um usuário tenta participar de uma reunião do Lync clicando em um URL criado especialmente para a reunião.

Esta atualização de segurança foi classificada como Importante para as edições do Microsoft Lync Server 2010 e do Microsoft Lync Server 2013 compatíveis. Para obter mais informações, consulte a subseção Softwares afetados e não afetados.

A atualização de segurança elimina a vulnerabilidade, corrigindo a maneira como o Microsoft Lync Server manipula e limpa o conteúdo. Para obter mais informações sobre a vulnerabilidade, consulte a subseção Perguntas frequentes (FAQ) para a vulnerabilidade específica mais adiante neste boletim.

Recomendação. A maioria dos clientes tem o recurso de atualizações automáticas habilitado e não precisará tomar nenhuma providência porque esta atualização de segurança será baixada e instalada automaticamente. Os clientes que não têm o recurso de atualizações automáticas habilitado precisarão verificar as atualizações e instalar esta atualização manualmente. Para obter informações sobre opções de configuração específicas em atualizações automáticas, consulte o Artigo 294871 da Base de Conhecimento Microsoft.

Para instalações feitas por administradores ou empresas, ou por usuários finais que desejam instalar esta atualização de segurança manualmente, a Microsoft recomenda que os clientes apliquem a atualização assim que possível usando software de gerenciamento de atualização ou verificando se há atualizações no serviço Microsoft Update.

Consulte também a seção Orientação e ferramentas de detecção e implantação mais adiante neste boletim.

Artigo da Base de Conhecimento Microsoft

  • Artigo da Base de Conhecimento Microsoft: 2969258
  • Informações sobre o arquivo: Sim
  • Hashes SHA1/SHA2: Sim
  • Problemas conhecidos: Nenhuma

 

O software a seguir foi testado para determinar quais versões ou edições foram afetadas. O ciclo de vida do suporte das outras versões ou edições já terminou ou elas não são afetadas. Para determinar o ciclo de vida do suporte para sua versão ou edição de software, visite o site Ciclo de vida do suporte Microsoft.

Softwares afetados 

Sistema operacional

Impacto máximo à segurança

Avaliação de gravidade agregada

Atualizações substituídas

Microsoft Lync Server

Microsoft Lync Server 2010 [1]
(Web Components Server)
(2963286)

Divulgação não autorizada de informação

Importante

Nenhuma

Microsoft Lync Server 2013 [1]
(Web Components Server)
(2963288)

Divulgação não autorizada de informação

Importante

2827754 no MS13-041

[ 1]Aplicar esta atualização de segurança também instala atualizações cumulativas do Lync Server. Veja o artigo associado da Base de Dados de Conhecimento para mais detalhes.

 

Softwares não afetados

Sistema operacional

Microsoft Communicator 2005

Microsoft Communicator 2005 Web Access

Microsoft Communicator 2007

Microsoft Communicator 2007 Web Access

Microsoft Communications Server 2007

Microsoft Communications Server 2007 Speech Server

Microsoft Communications Server 2007 R2

Microsoft Communicator 2007 R2

Microsoft Communicator 2007 R2 Attendant

Microsoft Communicator 2007 R2 Group Chat Admin

Microsoft Communicator 2007 R2 Group Chat Client

Microsoft Live Meeting 2007 Console

Microsoft Communicator for Mac 2011

Microsoft Communicator Mobile

Microsoft Communicator Phone Edition

Microsoft Lync 2010 (32 bits)

Microsoft Lync 2010 (64 bits)

Microsoft Lync 2010 Attendee (instalação de nível administrativo)

Microsoft Lync 2010 Attendee (instalação de nível usuário)

Microsoft Lync 2010 Attendant (32 bits)

Microsoft Lync 2010 Attendant (64 bits)

Microsoft Lync 2010 Group Chat

Microsoft Lync Server 2010 Group Chat Software Development Kit

Microsoft Lync for Mac 2011

Microsoft Lync 2013 (32 bits)

Microsoft Lync Basic 2013 (32 bits)

Microsoft Lync 2013 (64 bits)

Microsoft Lync Basic 2013 (64 bits)

Os boletins MS14-036 e MS14-032 eliminam vulnerabilidades no Microsoft Lync. As atualizações de segurança estão nos dois boletins relacionados? 
Não. As atualizações de segurança no MS14-036 e no MS14-032 não estão relacionadas. Os clientes devem instalar as atualizações de ambos os boletins para o software instalado em seus sistemas.

Uso uma versão mais antiga do software discutido neste boletim de segurança. O que devo fazer? 
Os softwares afetados listados neste boletim foram testados para determinar quais edições são afetadas. Outras versões passaram seu ciclo de vida de suporte. Para obter mais informações sobre o ciclo de vida do produto, visite o site Ciclo de vida do suporte Microsoft.

Os clientes que possuem versões anteriores do software devem priorizar a migração para as versões com suporte, a fim de evitar uma possível exposição a vulnerabilidades. Para determinar o ciclo de vida do suporte para sua versão de software, consulte Selecione um Produto para Obter Informações do Ciclo de Vida. Para obter mais informações sobre service packs para essas versões de software, consulte Política de Suporte do Ciclo de Vida do Service Pack.

Os clientes que precisarem de suporte adicional para software mais antigo deverão entrar em contato com o representante da equipe de contas da Microsoft, o gerente técnico da conta ou o representante do parceiro Microsoft apropriado para obter opções de suporte personalizadas. Os clientes sem um contrato Premier ou Authorized podem entrar em contato com o escritório de vendas local da Microsoft. Para obter informações de contato, visite o site de Informações internacionais da Microsoft, selecione o país na lista de informações de contato e, em seguida, clique em Ir para ver uma lista de telefones. Ao ligar, peça para falar com o gerente de vendas local de Suporte Premier. Para obter mais informações, consulte as Perguntas Frequentes sobre a Política do Ciclo de Vida do Suporte da Microsoft.

As classificações de gravidade a seguir pressupõem o impacto máximo possível da vulnerabilidade. Para obter informações referentes à probabilidade de exploração da vulnerabilidade em relação à sua classificação de gravidade e ao impacto à segurança, em até 30 dias a partir do lançamento deste boletim de segurança, consulte o Índice de exploração no resumo de boletins de junho. Para obter mais informações, consulte o Índice de exploração da Microsoft.

A Classificação de gravidade de vulnerabilidade e Impacto máximo de segurança por software afetado

Softwares afetados

Vulnerabilidade de limpeza de conteúdo do Lync Server - CVE-2014-1823

Avaliação de gravidade agregada

Microsoft Lync Server

Microsoft Lync Server 2010
(Web Components Server)
(2963286)

Importante 
Divulgação não autorizada de informação

Importante

Microsoft Lync Server 2013
(Web Components Server)
(2963288)

Importante 
Divulgação não autorizada de informação

Importante

Existe uma vulnerabilidade de divulgação de informação quando o Lync Server não limpa adequadamente conteúdo criado especialmente. Um invasor que explora essa vulnerabilidade com êxito pode potencialmente executar scripts no navegador do usuário para obter informações das sessões da web.

Para exibir essa vulnerabilidade como uma entrada padrão na lista Common Vulnerabilities and Exposures, veja CVE-2014-1823.

Fatores atenuantes

A Microsoft não identificou nenhum fator atenuante para essa vulnerabilidade.

Soluções alternativas

A Microsoft não identificou nenhuma solução alternativa para esta vulnerabilidade. 

Perguntas frequentes

Qual é o escopo da vulnerabilidade? 
Essa é uma vulnerabilidade de divulgação não autorizada de informações.

O que provoca a vulnerabilidade? 
A vulnerabilidade é causada quando o Lync Server não limpa adequadamente um conteúdo especialmente criado.

Para que um invasor pode usar a vulnerabilidade? 
Um invasor que explora essa vulnerabilidade com êxito pode potencialmente executar scripts no navegador do usuário para obter informações das sessões da web.

De que forma o invasor pode explorar a vulnerabilidade? 
Para explorar essa vulnerabilidade, um invasor teria que convencer um usuário a clicar em um URL especialmente criado para um reunião do Lync que tenha uma ID de reunião do Lync válida.

Quais são os principais sistemas que correm riscos com a vulnerabilidade? 
Os sistemas com edições afetadas do Microsoft Lync Server instalado e os clientes Lync que a elas se conectam estão correndo risco devido a essa vulnerabilidade.

O que a atualização faz? 
Esta atualização elimina a vulnerabilidade, corrigindo a maneira como o Microsoft Lync Server controla e limpa conteúdo.

Quando esse boletim de segurança foi lançado, essa vulnerabilidade já tinha sido divulgada publicamente? 
Não. A Microsoft recebeu informações sobre essa vulnerabilidade por meio de divulgação responsável.

Quando este boletim de segurança foi lançado, a Microsoft havia recebido algum relatório informando que essa vulnerabilidade estava sendo explorada? 
Não. A Microsoft não recebeu nenhuma informação indicando que essa vulnerabilidade tinha sido usada publicamente para atacar clientes quando este boletim de segurança foi lançado pela primeira vez.

Vários recursos estão disponíveis para ajudar administradores a implantar atualizações de segurança. 

  • O MBSA (Microsoft Baseline Security Analyzer) permite aos administradores pesquisar, em sistemas locais e remotos, atualizações de segurança ausentes e problemas de configuração de segurança comuns. 
  • O WSUS (Windows Server Update Services), SMS (Systems Management Server) e SCCM (System Center Configuration Manager) ajudam os administradores a distribuir as atualizações de segurança. 
  • Os componentes do Avaliador de compatibilidade com atualizações, incluídos no Kit de ferramentas de compatibilidade de aplicativos, auxilia a otimizar os testes e a validação das atualizações do Windows com relação aos aplicativos instalados. 

Para informações sobre estas e outras ferramentas que estão disponíveis, consulte Ferramentas de segurança para profissionais de TI

Microsoft Lync Server 2010 e Microsoft Lync Server 2013

Tabela de referência

A tabela a seguir contém as informações de atualização de segurança desse software.

Nomes dos arquivos de atualização de segurança

Para Microsoft Lync Server 2010 (2963286):
WebComponents.msp


Para Microsoft Lync Server 2013 (2963288):
WebComponents.msp

Opções de instalação

Consulte o artigo 912203 (em inglês) da Microsoft Knowledge Base

Requisito de reinicialização

Essa atualização não requer reinicialização. O instalador interrompe os serviços necessários, aplica a atualização e reinicia-os em seguida. Contudo, se esses serviços necessários não puderem ser interrompidos por algum motivo, ou se os arquivos necessários estiverem em uso, a atualização exigirá uma reinicialização. Se isso ocorrer, uma mensagem que aconselha a reinicialização será exibida.

Informações sobre remoção

Use a ferramenta Adicionar ou Remover Programas no Painel de controle.

Informações sobre o arquivo

Para Microsoft Lync Server 2010:
Veja o Artigo 2963286 da Base de Dados de Conhecimento Microsoft


Para Microsoft Lync Server 2013:
Veja o Artigo 2963288 da Base de Dados de Conhecimento Microsoft

Verificação da chave do Registro

Para Microsoft Lync Server 2010:
HKEY_LOCAL_MACHINE\Software\Microsoft\Real-Time Communications\{2A65AB9C-57AD-4EC6-BD4E-BD61A7C583B3}
Versão = 4.0.7577.231


Para Microsoft Lync Server 2013:
HKEY_LOCAL_MACHINE\Software\Microsoft\Real-Time Communications\{2A65AB9C-57AD-4EC6-BD4E-BD61A7C583B3}
Versão = 5.0.8308.603

Microsoft Active Protections Program (MAPP)

Para melhorar as proteções de segurança para os clientes, a Microsoft fornece informações sobre vulnerabilidades aos principais fornecedores de software de segurança antes do lançamento de cada atualização de segurança mensal. Assim, os fornecedores de software de segurança podem usar essas informações sobre vulnerabilidades para fornecer proteções atualizadas aos clientes por meio de seus softwares ou dispositivos de segurança, como antivírus, sistemas de detecção de invasões baseados em rede ou sistemas de prevenção de invasões baseados em host. Para determinar se os fornecedores de software de segurança estão disponibilizando proteções ativas, visite os sites de proteções ativas fornecidos pelos parceiros do programa, listados em Parceiros do Microsoft Active Protections Program (MAPP).

Suporte

Como obter ajuda e suporte para esta atualização de segurança

Aviso de isenção de responsabilidade

As informações fornecidas na Microsoft Knowledge Base são apresentadas "no estado em que se encontram", sem garantia de qualquer tipo. A Microsoft se isenta de todas as garantias, expressas ou implícitas, inclusive as garantias de comercialização e adequação a um propósito específico. Em hipótese alguma a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, inclusive danos diretos, indiretos, incidentais, consequenciais, danos por lucros cessantes ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido alertados da possibilidade dos referidos danos. Como alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou indiretos, a limitação acima pode não ser aplicável a você.

Revisões

  • V1.0 (terça-feira, 10 de junho de 2014): Boletim publicado.
Página gerada em 06-06-2014 16:39Z-07:00.
Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários
Mostrar:
© 2015 Microsoft