Microsoft Security Bulletin MS15-049 - Importante

Vulnerabilidade no Silverlight pode permitir elevação de privilégio (3058985)

Publicado: terça-feira, 12 de maio de 2015 | Atualizado: June 23, 2015

Versão: 1.1

Resumo executivo

Esta atualização de segurança elimina uma vulnerabilidade no Microsoft Silverlight. A vulnerabilidade pode permitir a elevação de privilégio se um aplicativo do Silverlight especialmente criado for executado em um sistema afetado. Para explorar a vulnerabilidade, um invasor primeiro precisa fazer logon no sistema ou convencer um usuário conectado a executar o aplicativo especialmente criado.

Esta atualização de segurança é classificada como Importante para o Microsoft Silverlight 5 e Microsoft Silverlight 5 Developer Runtime quando instalada no Mac ou em todas as versões com suporte do Microsoft Windows. Para obter mais informações, consulte a seção Softwares afetados.

A atualização de segurança elimina a vulnerabilidade adicionando verificações adicionais para garantir que processos não elevados sejam restritos para execução em um nível de integridade baixo (permissões muito limitadas). Para obter mais informações sobre a vulnerabilidade, consulte a seção Informações sobre a vulnerabilidade.

Para obter mais informações sobre essa atualização, consulte o artigo 3058985 da Base de Dados de Conhecimento Microsoft.

Softwares afetados

As seguintes versões ou edições de software são afetadas. As versões ou edições que não estão listadas já passaram do ciclo de vida de suporte ou não são afetadas. Para determinar o ciclo de vida de suporte para sua versão ou edição de software, consulte Ciclo de Vida do Suporte da Microsoft.

Classificações de gravidade e identificadores de vulnerabilidade

As classificações de gravidade a seguir pressupõem o impacto máximo potencial da vulnerabilidade. Para obter informações sobre a probabilidade, dentro de 30 dias após o lançamento deste boletim de segurança, da possibilidade de exploração da vulnerabilidade em relação à sua classificação de gravidade e impacto à segurança, consulte o Índice de exploração no resumo de boletins de maio.

Perguntas frequentes sobre atualizações

Por que os mesmos arquivos de atualização neste boletim também são indicados no boletim GDI+?
Embora este boletim e o boletim GDI+ lançados simultaneamente abordem vulnerabilidades de segurança diferentes, as atualizações de segurança para cada um foram consolidadas, daí a ocorrência de arquivos de atualização idênticos presentes nos dois boletins.

Observe que pacotes de atualização idênticos indicados em vários boletins não precisam ser instalados mais de uma vez.

Quais navegadores da Web oferecem suporte a aplicativos do Microsoft Silverlight?
Para executar aplicativos do Microsoft Silverlight, a maioria dos navegadores da Web, incluindo o Microsoft Internet Explorer, requer que o Microsoft Silverlight seja instalado e que o plug-in correspondente esteja habilitado. Para obter mais informações sobre o Microsoft Silverlight, consulte o site oficial, Microsoft Silverlight. Consulte a documentação do seu navegador para saber mais sobre como desativar ou remover plug-ins.

Quais versões do Microsoft Silverlight 5 são afetadas pela vulnerabilidade?
A compilação 5.1.40416.00 do Microsoft Silverlight, que era a compilação atual do Microsoft Silverlight quando este boletim foi lançado pela primeira vez, elimina a vulnerabilidade e não é afetada. As compilações do Microsoft Silverlight anteriores à versão 5.1.40416.00 são afetadas.

Como posso saber qual versão e compilação do Microsoft Silverlight está atualmente instalada no meu sistema?
Se o Microsoft Silverlight já estiver instalado no computador, você poderá visitar a página Obter o Microsoft Silverlight , que indicará qual versão e compilação do Microsoft Silverlight está instalada no sistema no momento. Como alternativa, você pode usar o recurso Gerenciar Complementos das versões atuais do Microsoft Internet Explorer para determinar a versão e compilar informações que estão atualmente instaladas em seu sistema.

Você também pode verificar manualmente o número da versão do sllauncher.exe localizado no diretório "%ProgramFiles%\Microsoft Silverlight" (em sistemas Microsoft Windows x86) ou no diretório "%ProgramFiles(x86)%\Microsoft Silverlight" (em sistemas Microsoft Windows x64).

Além disso, no Microsoft Windows, as informações de versão e compilação da versão atualmente instalada do Microsoft Silverlight podem ser encontradas no registro em [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Silverlight]:Version em sistemas Microsoft Windows x86 ou [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Silverlight]:Version em sistemas Microsoft Windows x64.

No Apple Mac OS, as informações de versão e compilação da versão atualmente instalada do Microsoft Silverlight podem ser encontradas da seguinte maneira:

1. Abra o Finder
2. Selecione a unidade do sistema e vá para a pasta Internet Plug-ins - Biblioteca
3. Clique com o botão direito do mouse no arquivo Silverlight.Plugin (se o mouse tiver apenas um botão, pressione a tecla Ctrl enquanto clica no arquivo) para abrir o menu de contexto e, em seguida, clique em Mostrar Conteúdo do Pacote
4. Dentro da pasta de conteúdo, localize o arquivo info.plist e abra-o com um editor. Ele conterá uma entrada como esta, que mostra o número da versão:
   Versão do SilverlightVersion
   5.1.40416.00

A versão instalada com esta atualização de segurança para o Microsoft Silverlight 5 é 5.1.40416.00. Se o número de versão do Microsoft Silverlight 5 for maior ou igual a esse número de versão, seu sistema não estará vulnerável.

Como faço para atualizar minha versão do Microsoft Silverlight?
O recurso de atualização automática do Microsoft Silverlight ajuda a garantir que sua instalação do Microsoft Silverlight seja mantida atualizada com a versão mais recente do Microsoft Silverlight, a funcionalidade do Microsoft Silverlight e os recursos de segurança. Para obter mais informações sobre o recurso de atualização automática do Microsoft Silverlight, consulte o Microsoft Silverlight Updater. Os usuários do Windows que desabilitaram o recurso de atualização automática do Microsoft Silverlight podem se inscrever no Microsoft Update para obter a versão mais recente do Microsoft Silverlight ou podem baixar a versão mais recente do Microsoft Silverlight manualmente usando o link de download na tabela Softwares afetados na seção anterior, Softwares afetados e não afetados. Para obter informações sobre como implantar o Microsoft Silverlight em um ambiente corporativo, consulte o Guia de implantação do Silverlight Enterprise.

Esta atualização atualizará minha versão do Silverlight?
A atualização 3056819 atualiza versões anteriores do Silverlight para a versão 5.1.40416.00 do Silverlight. A Microsoft recomenda a atualização para estar protegida contra a vulnerabilidade descrita neste boletim.

Onde posso encontrar informações adicionais sobre o ciclo de vida do produto Silverlight?
Para obter informações sobre o ciclo de vida específicas do Silverlight, consulte a Política de ciclo de vida de suporte do Microsoft Silverlight.

Informações de vulnerabilidade

Vulnerabilidade de aplicativo fora do navegador do Microsoft Silverlight - CVE-2015-1715

Existe uma vulnerabilidade de elevação de privilégio no Microsoft Silverlight causada quando o Silverlight permite incorretamente que aplicativos que devem ser executados em um nível de integridade baixo (permissões muito limitadas) sejam executados em um nível de integridade médio (permissões do usuário atual) ou superior. Para explorar esta vulnerabilidade, um intruso teria primeiro de iniciar sessão no sistema ou convencer um utilizador com sessão iniciada a executar uma aplicação Silverlight especialmente concebida para o efeito.

O invasor que explorar com êxito essa vulnerabilidade poderá executar código arbitrário com o mesmo nível de permissões ou superior ao do usuário conectado no momento. Um invasor pode então instalar programas; visualizar, alterar ou excluir dados; ou criar novas contas com direitos administrativos completos. A atualização elimina a vulnerabilidade adicionando verificações adicionais para garantir que processos não elevados sejam restritos para execução em um nível de integridade baixo (permissões muito limitadas).

A Microsoft recebeu informações sobre esta vulnerabilidade através da divulgação coordenada de vulnerabilidades. Quando este boletim de segurança foi publicado originalmente, a Microsoft não tinha recebido nenhuma informação que indicasse que esta vulnerabilidade tinha sido utilizada publicamente para atacar clientes.

Fatores atenuantes

A Microsoft não identificou nenhum fator atenuante para esta vulnerabilidade.

Soluções Alternativas

As seguintes soluções alternativas podem ser úteis em sua situação:

• Impedir temporariamente que o Microsoft Silverlight seja executado no Internet Explorer

  1. No Internet Explorer, vá para o menu Ferramentas e, em seguida, clique em Opções da Internet.
  2. Na janela Opções da Internet, clique na guia Programas e, em seguida, clique em Gerenciar complementos.
  3. Na lista barras de ferramentas e extensões , localize e selecione Microsoft Silverlight e, em seguida, clique em Desativar .

   

• Impedir temporariamente que o Microsoft Silverlight seja executado no Mozilla Firefox

  1. No Mozilla Firefox, vá para o menu Ferramentas e, em seguida, clique em Addons.
  2. Na janela Addons, clique na guia Plug-ins .
  3. Localize o plug-in do Silverlight e clique em Desativar.

   

• Impedir temporariamente que o Microsoft Silverlight seja executado no Google Chrome

  1. No Google Chrome, digite about:plugins na barra de endereços.
  2. Na janela resultante, localize o plug-in do Silverlight e desative-o.

   

• Remover Silverlight.Configuration.exe da Política de Elevação do IE
  Aviso Se você usar o Editor do Registro incorretamente, poderá causar problemas sérios que podem exigir a reinstalação do sistema operacional. A Microsoft não pode garantir que você possa resolver problemas resultantes do uso incorreto do Editor do Registro. Use o Editor do Registro por sua conta e risco.

  1. Abra o Editor do Registro.
  2. Expandir HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Internet Explorer>Low Rights>ElevationPolicy
  3. Selecione {003B91A6-61E3-4591-891D-01E94C8CB11E}
  4. Clique no menu arquivo e, em seguida, clique em Exportar .
  5. Na janela Exportar Arquivo do Registro, digite silverlight.configuration.exe_backup.reg e clique em Salvar.
  6. Clique no menu arquivo , clique em Excluir e, em seguida, clique em Sim .
  7. Feche o Editor do Registro.
  8. Faça logoff e logon novamente ou reinicie o computador.

   

Como desfazer a solução alternativa.

1. Abra o Editor do Registro.
2. Clique no menu arquivo e, em seguida, clique em Importar .
3. Na janela Importar Arquivo do Registro, clique em silverlight.configuration.exe_backup.reg e, em seguida, clique em Abrir.
4. Feche o Editor do Registro.
5. Faça logoff e logon novamente ou reinicie o computador.

Implantação de atualização de segurança

Para obter informações sobre a Implantação da Atualização de Segurança, consulte o artigo da Base de Dados de Conhecimento Microsoft mencionado no Resumo Executivo.

Agradecimentos

A Microsoft reconhece os esforços daqueles na comunidade de segurança que nos ajudam a proteger os clientes por meio da divulgação coordenada de vulnerabilidades. Consulte Agradecimentos para obter mais informações.

Aviso de isenção de responsabilidade

As informações fornecidas na Base de Dados de Conhecimento Microsoft são fornecidas "no estado em que se encontram", sem qualquer tipo de garantia. A Microsoft se isenta de todas as garantias, expressas ou implícitas, incluindo as garantias de comercialização e adequação a uma finalidade específica. Em nenhuma circunstância a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, incluindo danos diretos, indiretos, incidentais, consequenciais, perda de lucros comerciais ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido avisados da possibilidade de tais danos. Alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou incidentais, portanto, a limitação acima pode não se aplicar.

Revisões

• V1.0 (12 de maio de 2015): Boletim publicado.
• V1.1 (23 de junho de 2015): Boletim revisado para anunciar uma alteração de detecção na atualização de 3056819 para o Microsoft Silverlight 5. Esta é apenas uma alteração de detecção. Os clientes que já atualizaram seus sistemas com êxito não precisam tomar nenhuma ação.

Página gerada em 23/06/2015 10:35Z-07:00.