Microsoft Security Bulletin MS15-116 - Importante
Atualização de segurança para o Microsoft Office para abordar a execução remota de código (3104540)
Publicado em: 10 de novembro de 2015
Versão: 1.0
Resumo executivo
Esta atualização de segurança resolve vulnerabilidades no Microsoft Office. A mais grave das vulnerabilidades pode permitir a execução remota de código se um usuário abrir um arquivo do Microsoft Office especialmente criado. O invasor que explorar com êxito as vulnerabilidades poderá executar código arbitrário no contexto do usuário atual. Os clientes cujas contas estão configuradas para ter menos direitos de usuário no sistema podem ser menos afetados do que aqueles que operam com direitos de usuário administrativo.
Para obter mais informações, consulte a seção Softwares afetados e classificações de gravidade da vulnerabilidade.
A atualização de segurança elimina as vulnerabilidades:
- Corrigindo como o Office manipula objetos na memória
- Garantindo que o Internet Explorer impeça que aplicativos afetados do Office sejam instanciados por meio de um controle COM
- Corrigindo como o Microsoft Outlook valida e limpa a entrada HTML
Para obter mais informações sobre as vulnerabilidades, consulte a seção Informações sobre vulnerabilidade.
Para obter mais informações sobre essa atualização, consulte o artigo 3104540 da Base de Dados de Conhecimento Microsoft.
Software afetado e classificações de gravidade da vulnerabilidade
As seguintes versões ou edições de software são afetadas. As versões ou edições que não estão listadas já passaram do ciclo de vida de suporte ou não são afetadas. Para determinar o ciclo de vida de suporte para sua versão ou edição de software, consulte Ciclo de Vida do Suporte da Microsoft.
As classificações de gravidade a seguir pressupõem o impacto máximo potencial da vulnerabilidade. Para obter informações sobre a probabilidade, dentro de 30 dias após o lançamento deste boletim de segurança, da possibilidade de exploração da vulnerabilidade em relação à sua classificação de gravidade e impacto à segurança, consulte o Índice de exploração no resumo de boletins de novembro.
Microsoft Office Software
| Classificação de gravidade da vulnerabilidade e impacto máximo na segurança por software afetado | ||||||||
|---|---|---|---|---|---|---|---|---|
| Softwares afetados | Vulnerabilidade de elevação de privilégio do Microsoft Office - CVE-2015-2503 | Vulnerabilidade de corrupção de memória do Microsoft Office - CVE-2015-6038 | Vulnerabilidade de corrupção de memória do Microsoft Office - CVE-2015-6091 | Vulnerabilidade de corrupção de memória do Microsoft Office - CVE-2015-6092 | Vulnerabilidade de corrupção de memória do Microsoft Office - CVE-2015-6093 | Vulnerabilidade de corrupção de memória do Microsoft Office - CVE-2015-6094 | Vulnerabilidade de falsificação do Microsoft Outlook para Mac - CVE-2015-6123 | Atualizações substituídas* |
| Microsoft Office 2007 | ||||||||
| Microsoft Office 2007 Service Pack 3 (3101555) | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Execução remota de código importante | Não aplicável | Não aplicável | 3085544 em MS15-046 |
| Microsoft Access 2007 Service Pack 3 (2596614) | Importanteelevação de privilégio | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Nenhum |
| Microsoft Excel 2007 Service Pack 3 (3101554) | Importanteelevação de privilégio | Execução remota de código importante | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Não aplicável | 3085615 no boletim MS15-110 |
| Microsoft InfoPath 2007 Service Pack 3 (2687406) | Importanteelevação de privilégio | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Não aplicável | 2687439 em MS12-066 |
| Microsoft OneNote 2007 Service Pack 3 (2889915) | Importanteelevação de privilégio | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Não aplicável | 2596857 em MS14-048 |
| Microsoft PowerPoint 2007 Service Pack 3 (3085548) | Importanteelevação de privilégio | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Não aplicável | 3055051 no boletim MS15-081 |
| Microsoft Project 2007 Service Pack 3 (2596770) | Importanteelevação de privilégio | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Nenhum |
| Microsoft Publisher 2007 Service Pack 3 (2880506) | Importanteelevação de privilégio | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Não aplicável | 2817565 no boletim MS14-020 |
| Microsoft Visio 2007 Service Pack 3 (3101553) | Importanteelevação de privilégio | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Não aplicável | 3085542 em MS15-110 |
| Microsoft Word 2007 Service Pack 3 (3085552) | Importanteelevação de privilégio | Não aplicável | Execução remota de código importante | Execução remota de código importante | Não aplicável | Não aplicável | Não aplicável | 3055052 no boletim MS15-081 |
| Microsoft Office 2007 IME (japonês) Service Pack 3 (2899473) | Importanteelevação de privilégio | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Não aplicável | 2889913 no boletim MS14-078 |
| Microsoft Office 2010 | ||||||||
| Microsoft Office 2010 Service Pack 2 (edições de 32 bits) (3101521) | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Execução remota de código importante | Não aplicável | Não aplicável | 2687501 em MS12-057 |
| Microsoft Office 2010 Service Pack 2 (edições de 64 bits) (3101521) | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Execução remota de código importante | Não aplicável | Não aplicável | 2687501 em MS12-057 |
| Microsoft Office 2010 Service Pack 2 (edições de 32 bits) (3101529) | Não aplicável | Não aplicável | Execução remota de código importante | Execução remota de código importante | Não aplicável | Não aplicável | Não aplicável | 3055037 no boletim MS15-081 |
| Microsoft Office 2010 Service Pack 2 (edições de 64 bits) (3101529) | Não aplicável | Não aplicável | Execução remota de código importante | Execução remota de código importante | Não aplicável | Não aplicável | Não aplicável | 3055037 no boletim MS15-081 |
| Microsoft Access 2010 Service Pack 2 (edições de 32 bits) (3101544) | Importanteelevação de privilégio | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Nenhum |
| Microsoft Access 2010 Service Pack 2 (edições de 64 bits) (3101544) | Importanteelevação de privilégio | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Nenhum |
| Microsoft Excel 2010 Service Pack 2 (edições de 32 bits) (3101543) | Importanteelevação de privilégio | Execução remota de código importante | Não aplicável | Não aplicável | Não aplicável | Execução remota de código importante | Não aplicável | 3085609 no boletim MS15-110 |
| Microsoft Excel 2010 Service Pack 2 (edições de 64 bits) (3101543) | Importanteelevação de privilégio | Execução remota de código importante | Não aplicável | Não aplicável | Não aplicável | Execução remota de código importante | Não aplicável | 3085609 no boletim MS15-110 |
| Microsoft InfoPath 2010 Service Pack 2 (edições de 32 bits) (2878230) | Importanteelevação de privilégio | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Não aplicável | 2687422 no boletim MS13-035 |
| Microsoft InfoPath 2010 Service Pack 2 (edições de 64 bits) (2878230) | Importanteelevação de privilégio | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Não aplicável | 2687422 no boletim MS13-035 |
| Microsoft OneNote 2010 Service Pack 2 (edições de 32 bits) (3054978) | Importanteelevação de privilégio | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Nenhum |
| Microsoft OneNote 2010 Service Pack 2 (edições de 64 bits) (3054978) | Importanteelevação de privilégio | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Nenhum |
| Microsoft PowerPoint 2010 Service Pack 2 (edições de 32 bits) (3085594) | Importanteelevação de privilégio | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Não aplicável | 3055033 no boletim MS15-081 |
| Microsoft PowerPoint 2010 Service Pack 2 (edições de 64 bits) (3085594) | Importanteelevação de privilégio | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Não aplicável | 3055033 no boletim MS15-081 |
| Microsoft Project 2010 Service Pack 2 (edições de 32 bits) (3085614) | Importanteelevação de privilégio | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Nenhum |
| Microsoft Project 2010 Service Pack 2 (edições de 64 bits) (3085614) | Importanteelevação de privilégio | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Nenhum |
| Microsoft Publisher 2010 Service Pack 2 (edições de 32 bits) (2817478) | Importanteelevação de privilégio | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Não aplicável | 2553147 no boletim MS13-042 |
| Microsoft Publisher 2010 Service Pack 2 (edições de 64 bits) (2817478) | Importanteelevação de privilégio | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Não aplicável | 2553147 no boletim MS13-042 |
| Microsoft Visio 2010 Service Pack 2 (edições de 32 bits) (3101526) | Importanteelevação de privilégio | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Não aplicável | 3085514 no boletim MS15-110 |
| Microsoft Visio 2010 Service Pack 2 (edições de 64 bits) (3101526) | Importanteelevação de privilégio | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Não aplicável | 3085514 no boletim MS15-110 |
| Microsoft Word 2010 Service Pack 2 (edições de 32 bits) (2965313) | Importanteelevação de privilégio | Não aplicável | Execução remota de código importante | Execução remota de código importante | Não aplicável | Não aplicável | Não aplicável | 2553428 no boletim MS15-033 |
| Microsoft Word 2010 Service Pack 2 (edições de 64 bits) (2965313) | Importanteelevação de privilégio | Não aplicável | Execução remota de código importante | Execução remota de código importante | Não aplicável | Não aplicável | Não aplicável | 2553428 no boletim MS15-033 |
| Microsoft Pinyin IME 2010 (versão de 32 bits) (2899516) | Importanteelevação de privilégio | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Não aplicável | 2687413 em MS13-075 |
| Microsoft Pinyin IME 2010 (versão de 64 bits) (2899516) | Importanteelevação de privilégio | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Não aplicável | 2687413 em MS13-075 |
| Microsoft Office 2013 | ||||||||
| Microsoft Office 2013 Service Pack 1 (edições de 32 bits) (3101360) | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Execução remota de código importante | Não aplicável | Não aplicável | 2956151 em MS15-022 |
| Microsoft Office 2013 Service Pack 1 (edições de 64 bits) (3101360) | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Execução remota de código importante | Não aplicável | Não aplicável | 2956151 em MS15-022 |
| Microsoft Access 2013 Service Pack 1 (edições de 32 bits) (3085584) | Importanteelevação de privilégio | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Nenhum |
| Microsoft Access 2013 Service Pack 1 (edições de 64 bits) (3085584) | Importanteelevação de privilégio | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Nenhum |
| Microsoft Excel 2013 Service Pack 1 (edições de 32 bits) (3101499) | Importanteelevação de privilégio | Execução remota de código importante | Não aplicável | Não aplicável | Não aplicável | Execução remota de código importante | Não aplicável | 3085583 em MS15-110 |
| Microsoft Excel 2013 Service Pack 1 (edições de 64 bits) (3101499) | Importanteelevação de privilégio | Execução remota de código importante | Não aplicável | Não aplicável | Não aplicável | Execução remota de código importante | Não aplicável | 3085583 em MS15-110 |
| Microsoft InfoPath 2013 Service Pack 1 (edições de 32 bits) (3054793) | Importanteelevação de privilégio | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Nenhum |
| Microsoft InfoPath 2013 Service Pack 1 (edições de 64 bits) (3054793) | Importanteelevação de privilégio | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Nenhum |
| Microsoft OneNote 2013 Service Pack 1 (edições de 32 bits) (3101371) | Importanteelevação de privilégio | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Nenhum |
| Microsoft OneNote 2013 Service Pack 1 (edições de 64 bits) (3101371) | Importanteelevação de privilégio | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Nenhum |
| Microsoft PowerPoint 2013 Service Pack 1 (edições de 32 bits) (3101359) | Importanteelevação de privilégio | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Não aplicável | 3055029 no boletim MS15-081 |
| Microsoft PowerPoint 2013 Service Pack 1 (edições de 64 bits) (3101359) | Importanteelevação de privilégio | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Não aplicável | 3055029 no boletim MS15-081 |
| Microsoft Project 2013 Service Pack 1 (edições de 32 bits) (3101506) | Importanteelevação de privilégio | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Nenhum |
| Microsoft Project 2013 Service Pack 1 (edições de 64 bits) (3101506) | Importanteelevação de privilégio | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Nenhum |
| Microsoft Publisher 2013 Service Pack 1 (edições de 32 bits) (3085561) | Importanteelevação de privilégio | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Nenhum |
| Microsoft Publisher 2013 Service Pack 1 (edições de 64 bits) (3085561) | Importanteelevação de privilégio | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Nenhum |
| Microsoft Visio 2013 Service Pack 1 (edições de 32 bits) (3101365) | Importanteelevação de privilégio | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Não aplicável | 3054929 no boletim MS15-081 |
| Microsoft Visio 2013 Service Pack 1 (edições de 64 bits) (3101365) | Importanteelevação de privilégio | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Não aplicável | 3054929 no boletim MS15-081 |
| Microsoft Word 2013 Service Pack 1 (edições de 32 bits) (3101370) | Importanteelevação de privilégio | Não aplicável | Execução remota de código importante | Execução remota de código importante | Não aplicável | Não aplicável | Não aplicável | 3055030 no boletim MS15-081 |
| Microsoft Word 2013 Service Pack 1 (edições de 64 bits) (3101370) | Importanteelevação de privilégio | Não aplicável | Execução remota de código importante | Execução remota de código importante | Não aplicável | Não aplicável | Não aplicável | 3055030 no boletim MS15-081 |
| Microsoft Office 2013 RT | ||||||||
| Microsoft Office 2013 RT Service Pack 1 (3101360)[1] | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Execução remota de código importante | Não aplicável | Não aplicável | 2956151 em MS15-022 |
| Microsoft Excel 2013 RT Service Pack 1 (3101499)[1] | Importanteelevação de privilégio | Execução remota de código importante | Não aplicável | Não aplicável | Não aplicável | Execução remota de código importante | Não aplicável | 3085583 em MS15-110 |
| Microsoft OneNote 2013 RT Service Pack 1 (3101371)[1] | Importanteelevação de privilégio | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Nenhum |
| Microsoft PowerPoint 2013 RT Service Pack 1 (3101359)[1] | Importanteelevação de privilégio | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Não aplicável | 3055029 no boletim MS15-081 |
| Microsoft Word 2013 RT Service Pack 1 (3101370)[1] | Importanteelevação de privilégio | Não aplicável | Execução remota de código importante | Execução remota de código importante | Execução remota de código importante | Não aplicável | Não aplicável | 3055030 no boletim MS15-081 |
| Microsoft Office 2016 | ||||||||
| Microsoft Office 2016 (edição de 32 bits) (3101512) | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Execução remota de código importante | Não aplicável | Não aplicável | Nenhum |
| Microsoft Office 2016 (edição de 64 bits) (3101512) | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Execução remota de código importante | Não aplicável | Não aplicável | Nenhum |
| Microsoft Office 2016 (edição de 32 bits) (3101514) | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Execução remota de código importante | Não aplicável | Não aplicável | Nenhum |
| Microsoft Office 2016 (edição de 64 bits) (3101514) | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Execução remota de código importante | Não aplicável | Não aplicável | Nenhum |
| Microsoft Access 2016 (edição de 32 bits) (2910978) | Importanteelevação de privilégio | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Nenhum |
| Microsoft Access 2016 (edição de 64 bits) (2910978) | Importanteelevação de privilégio | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Nenhum |
| Microsoft Excel 2016 (edição de 32 bits) (3101510) | Importanteelevação de privilégio | Execução remota de código importante | Não aplicável | Não aplicável | Não aplicável | Execução remota de código importante | Não aplicável | 2920693 no boletim MS15-110 |
| Microsoft Excel 2016 (edição de 64 bits) (3101510) | Importanteelevação de privilégio | Execução remota de código importante | Não aplicável | Não aplicável | Não aplicável | Execução remota de código importante | Não aplicável | 2920693 no boletim MS15-110 |
| Microsoft OneNote 2016 (edição de 32 bits) (2920726) | Importanteelevação de privilégio | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Nenhum |
| Microsoft OneNote 2016 (edição de 64 bits) (2920726) | Importanteelevação de privilégio | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Nenhum |
| Microsoft PowerPoint 2016 (edição de 32 bits) (3101509) | Importanteelevação de privilégio | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Nenhum |
| Microsoft PowerPoint 2016 (edição de 64 bits) (3101509) | Importanteelevação de privilégio | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Nenhum |
| Microsoft Project 2016 (edição de 32 bits) (2920698) | Importanteelevação de privilégio | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Nenhum |
| Microsoft Project 2016 (edição de 64 bits) (2920698) | Importanteelevação de privilégio | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Nenhum |
| Microsoft Publisher 2016 (edição de 32 bits) (2920680) | Importanteelevação de privilégio | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Nenhum |
| Microsoft Publisher 2016 (edição de 64 bits) (2920680) | Importanteelevação de privilégio | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Nenhum |
| Microsoft Visio 2016 (edição de 32 bits) (3101507) | Importanteelevação de privilégio | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Não aplicável | 2920708 no boletim MS15-081 |
| Microsoft Visio 2016 (edição de 64 bits) (3101507) | Importanteelevação de privilégio | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Não aplicável | 2920708 no boletim MS15-081 |
| Microsoft Word 2016 (edição de 32 bits) (3101513) | Importanteelevação de privilégio | Não aplicável | Execução remota de código importante | Execução remota de código importante | Não aplicável | Não aplicável | Não aplicável | 2920691 em MS15-081 |
| Microsoft Word 2016 (edição de 64 bits) (3101513) | Importanteelevação de privilégio | Não aplicável | Execução remota de código importante | Execução remota de código importante | Não aplicável | Não aplicável | Não aplicável | 2920691 em MS15-081 |
| Microsoft Office para Mac 2011 | ||||||||
| Microsoft Excel para Mac 2011 (3102924) | Não aplicável | Execução remota de código importante | Não aplicável | Não aplicável | Não aplicável | Execução remota de código importante | Falsificação importante | 3097266 em MS15-110 |
| Microsoft Office 2016 para Mac | ||||||||
| Microsoft Excel 2016 para Mac (3102925) | Não aplicável | Execução remota de código importante | Não aplicável | Não aplicável | Não aplicável | Execução remota de código importante | Falsificação importante | 3097264 no boletim MS15-110 |
| Outros softwares de escritório | ||||||||
| Pacote de Compatibilidade do Microsoft Office Service Pack 3 (3101558) | Não aplicável | Execução remota de código importante | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Não aplicável | 3085618 no boletim MS15-110 |
| Pacote de Compatibilidade do Microsoft Office Service Pack 3 (3085551) | Não aplicável | Não aplicável | Não aplicável | Execução remota de código importante | Não aplicável | Não aplicável | Não aplicável | 2986254 em MS15-081 |
| Visualizador do Microsoft Excel (3101560) | Não aplicável | Execução remota de código importante | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Não aplicável | 3085619 no boletim MS15-110 |
| Visualizador do Microsoft Word (3101564) | Não aplicável | Não aplicável | Execução remota de código importante | Execução remota de código importante | Não aplicável | Não aplicável | Não aplicável | 3055053 no boletim MS15-081 |
[1]Esta actualização está disponível através do Windows Update.
*A coluna Atualizações substituídas mostra apenas a atualização mais recente em uma cadeia de atualizações substituídas. Para obter uma lista abrangente de atualizações substituídas, vá para o Catálogo do Microsoft Update, procure o número KB da atualização e exiba os detalhes da atualização (as informações sobre atualizações substituídas estão na guia Detalhes do Pacote ).
Serviços do Microsoft Office e Aplicativos Web
| Classificação de gravidade da vulnerabilidade e impacto máximo na segurança por software afetado | ||||
|---|---|---|---|---|
| Softwares afetados | Vulnerabilidade de corrupção de memória do Microsoft Office - CVE-2015-6038 | Vulnerabilidade de corrupção de memória do Microsoft Office - CVE-2015-6093 | Vulnerabilidade de corrupção de memória do Microsoft Office - CVE-2015-6094 | Atualizações substituídas* |
| Servidor do Microsoft SharePoint 2007 | ||||
| Serviços do Excel no Microsoft SharePoint Server 2007 Service Pack 3 (edições de 32 bits) (3101559) | Execução remota de código importante | Não aplicável | Não aplicável | 3054994 no boletim MS15-110 |
| Serviços do Excel no Microsoft SharePoint Server 2007 Service Pack 3 (edições de 64 bits) (3101559) | Execução remota de código importante | Não aplicável | Não aplicável | 3054994 no boletim MS15-110 |
| Microsoft SharePoint Server 2010 | ||||
| Serviços do Excel no Microsoft SharePoint Server 2010 Service Pack 2 (3101525) | Execução remota de código importante | Não aplicável | Não aplicável | 3085596 no boletim MS15-110 |
| Word Automation Services no Microsoft SharePoint Server 2010 Service Pack 2 (3085511) | Não aplicável | Execução remota de código importante | Não aplicável | 3054960 em MS15-081 |
| Servidor do Microsoft SharePoint 2013 | ||||
| Serviços do Excel no Microsoft SharePoint Server 2013 Service Pack 1 (3101364) | Execução remota de código importante | Não aplicável | Execução remota de código importante | 3085568 no boletim MS15-110 |
| Word Automation Services no Microsoft SharePoint Server 2013 Service Pack 1 (3085477) | Não aplicável | Execução remota de código importante | Não aplicável | 3054858 no boletim MS15-081 |
| Microsoft Office Web Apps 2010 | ||||
| Microsoft Office Web Apps 2010 Service Pack 2 (3101533) | Não aplicável | Execução remota de código importante | Não aplicável | 3085520 no boletim MS15-110 |
| Microsoft Office Web Apps 2013 | ||||
| Servidor do Microsoft Office Web Apps 2013 Service Pack 1 (3101367) | Não aplicável | Execução remota de código importante | Não aplicável | 3085571 no boletim MS15-110 |
*A coluna Atualizações substituídas mostra apenas a atualização mais recente em uma cadeia de atualizações substituídas. Para obter uma lista abrangente de atualizações substituídas, vá para o Catálogo do Microsoft Update, procure o número KB da atualização e exiba os detalhes da atualização (as informações sobre atualizações substituídas estão na guia Detalhes do Pacote ).
Software e plataformas de comunicação da Microsoft
| Software | Vulnerabilidade de elevação de privilégio do Microsoft Office - CVE-2015-2503 | Atualizações substituídas |
|---|---|---|
| Skype for Business 2016 | ||
| Skype for Business 2016 (32 bits) (3085634) | Importanteelevação de privilégio | 2910994 em MS15-097 |
| Skype for Business Basic 2016 (32 bits) (3085634) | Importanteelevação de privilégio | 2910994 em MS15-097 |
| Skype for Business 2016 (64 bits) (3085634) | Importanteelevação de privilégio | 2910994 em MS15-097 |
| Skype for Business Basic 2016 (64 bits) (3085634) | Importanteelevação de privilégio | 2910994 em MS15-097 |
| Microsoft Lync 2013 (Skype para Empresas) | ||
| Microsoft Lync 2013 Service Pack 1 (32 bits) (Skype for Business)[1](3101496) | Importanteelevação de privilégio | 3085500 em MS15-097 |
| Microsoft Lync Basic 2013 Service Pack 1 (32 bits)[1](Skype for Business Basic) (3101496) | Importanteelevação de privilégio | 3085500 em MS15-097 |
| Microsoft Lync 2013 Service Pack 1 (64 bits) (Skype for Business)[1](3101496) | Importanteelevação de privilégio | 3085500 em MS15-097 |
| Microsoft Lync Basic 2013 Service Pack 1 (64 bits)[1](Skype for Business Basic) (3101496) | Importanteelevação de privilégio | 3085500 em MS15-097 |
[1]Antes de instalar esta atualização, você deve ter 2965218 de atualização e 3039779 de atualização de segurança instalados. Consulte as Perguntas frequentes sobre atualização para obter mais informações.
Perguntas frequentes sobre atualizações
Tenho o Microsoft Word 2010 instalado. Por que não me é oferecida a atualização 3101529?
A atualização 3101529 só se aplica a sistemas que executam configurações específicas do Microsoft Office 2010. Algumas configurações não receberão a atualização.
Esta atualização está sendo oferecida para software que não é especificamente indicado como afetado na tabela Softwares afetados e Classificações de gravidade de vulnerabilidade. Por que esta atualização está sendo oferecida?
Quando as atualizações abordam o código vulnerável existente em um componente compartilhado entre vários produtos do Microsoft Office ou compartilhado entre várias versões do mesmo produto do Microsoft Office, a atualização é considerada aplicável a todos os produtos e versões com suporte que contêm o componente vulnerável.
Por exemplo, quando uma atualização se aplica a produtos do Microsoft Office 2007, somente o Microsoft Office 2007 pode ser listado especificamente na tabela Softwares afetados. No entanto, a atualização pode se aplicar ao Microsoft Word 2007, Microsoft Excel 2007, Microsoft Visio 2007, Microsoft Compatibility Pack, Microsoft Excel Viewer ou qualquer outro produto do Microsoft Office 2007 que não esteja especificamente listado na tabela Softwares afetados.
Por exemplo, quando uma atualização se aplica a produtos do Microsoft Office 2010, somente o Microsoft Office 2010 pode ser listado especificamente na tabela Softwares afetados. No entanto, a atualização pode se aplicar ao Microsoft Word 2010, Microsoft Excel 2010, Microsoft Visio 2010, Microsoft Visio Viewer ou qualquer outro produto do Microsoft Office 2010 que não esteja especificamente listado na tabela Softwares afetados.
Por exemplo, quando uma atualização se aplica a produtos do Microsoft Office 2013, somente o Microsoft Office 2013 pode ser listado especificamente na tabela Softwares afetados. No entanto, a atualização pode se aplicar ao Microsoft Word 2013, Microsoft Excel 2013, Microsoft Visio 2013 ou qualquer outro produto do Microsoft Office 2013 que não esteja especificamente listado na tabela Softwares afetados.
Por que alguns dos arquivos de atualização listados neste boletim também são indicados no boletim MS15-123 - Atualização de segurança para Skype for Business e Lync para abordar a divulgação de informações? Vários dos arquivos de atualização listados neste boletim (MS15-116) também são indicados no boletim MS15-123 devido a sobreposições no software afetado. Embora os dois boletins abordem vulnerabilidades de segurança separadas, as atualizações de segurança foram consolidadas sempre que possível e apropriado. Por esse motivo, alguns arquivos de atualização idênticos estão presentes em ambos os boletins.
Observe que arquivos de atualização idênticos enviados com vários boletins não precisam ser instalados mais de uma vez.
Há algum pré-requisito para qualquer uma das atualizações oferecidas neste boletim para edições afetadas do Microsoft Lync 2013 (Skype for Business)?
Sim. Os clientes que executam edições afetadas do Microsoft Lync 2013 (Skype for Business) devem primeiro instalar a atualização de 2965218 para o Office 2013 lançada em abril de 2015 e, em seguida, a atualização de segurança 3039779 lançada em maio de 2015. Para obter mais informações sobre essas duas atualizações de pré-requisito, consulte:
Informações de vulnerabilidade
Várias vulnerabilidades de corrupção de memória do Microsoft Office
Existem várias vulnerabilidades de execução remota de código no software Microsoft Office quando o software do Office não consegue manipular corretamente objetos na memória. O invasor que explorar com êxito as vulnerabilidades poderá executar código arbitrário no contexto do usuário atual. Se o usuário atual estiver conectado com direitos de usuário administrativo, um invasor poderá assumir o controle do sistema afetado. Um invasor pode instalar programas, exibir, alterar ou excluir dados, além de criar contas com direitos de usuário totais. Os usuários cujas contas estão configuradas para ter menos direitos de usuário no sistema correm menos riscos do que aqueles que têm direitos de usuário administrativo.
A exploração das vulnerabilidades requer que um usuário abra um arquivo especialmente criado com uma versão afetada do software Microsoft Office. Em um cenário de ataque por email, um invasor pode explorar as vulnerabilidades enviando o arquivo especialmente criado para o usuário e convencendo-o a abrir o arquivo. Em um cenário de ataque baseado na Web, um invasor pode hospedar um site (ou aproveitar um site comprometido que aceita ou hospeda conteúdo fornecido pelo usuário) que contém um arquivo especialmente criado projetado para explorar as vulnerabilidades. Um invasor não teria como forçar os usuários a visitar o site. Em vez disso, um invasor teria que convencer os usuários a clicar em um link, geralmente por meio de um aliciamento em um email ou mensagem do Instant Messenger e, em seguida, convencê-los a abrir o arquivo especialmente criado.
A atualização de segurança elimina as vulnerabilidades corrigindo como o Office manipula objetos na memória.
As tabelas a seguir contêm links para a entrada padrão de cada vulnerabilidade na lista Common Vulnerabilities and Exposures:
| Título da vulnerabilidade | Número CVE | Divulgado publicamente | Explorado |
|---|---|---|---|
| Vulnerabilidade de corrupção de memória do Microsoft Office | CVE-2015-6038 | Não | Não |
| Vulnerabilidade de corrupção de memória do Microsoft Office | CVE-2015-6091 | Não | Não |
| Vulnerabilidade de corrupção de memória do Microsoft Office | CVE-2015-6092 | Não | Não |
| Vulnerabilidade de corrupção de memória do Microsoft Office | CVE-2015-6093 | Não | Não |
| Vulnerabilidade de corrupção de memória do Microsoft Office | CVE-2015-6094 | Não | Não |
Fatores atenuantes
A Microsoft não identificou nenhum fator atenuante para esta vulnerabilidade.
Soluções Alternativas
A Microsoft não identificou nenhuma solução alternativa para essas vulnerabilidades.
Vulnerabilidade de elevação de privilégio do Microsoft Office - CVE-2015-2503
Existe uma vulnerabilidade de elevação de privilégio no software Microsoft Office quando um invasor instancia um aplicativo do Office afetado por meio de um controle COM. O invasor que explorar com êxito a vulnerabilidade poderá obter privilégios elevados e sair da área restrita do Internet Explorer.
Para explorar com êxito esta vulnerabilidade, um intruso teria de tirar partido de uma vulnerabilidade existente no Internet Explorer, induzindo um utilizador a transferir uma aplicação especialmente concebida para o efeito.
Muito provavelmente, essa vulnerabilidade seria usada em conjunto com outra vulnerabilidade que permitia a execução remota de código. Por exemplo, um invasor pode explorar outra vulnerabilidade para executar código arbitrário por meio do Internet Explorer, mas devido ao contexto em que os processos são iniciados pelo Internet Explorer, o código pode ser restrito para execução em um nível de integridade baixo (permissões muito limitadas). No entanto, um invasor pode, por sua vez, explorar essa vulnerabilidade para fazer com que o código arbitrário seja executado em um nível médio de integridade (permissões do usuário atual).
A atualização de segurança elimina a vulnerabilidade, garantindo que o Internet Explorer impeça que aplicativos do Office afetados sejam instanciados por meio de um controle COM.
Esta vulnerabilidade foi divulgada publicamente. Ela recebeu o número CVE-2015-2503 da lista Common Vulnerability and Exposure. No momento em que este boletim de segurança foi publicado originalmente, a Microsoft não estava ciente de qualquer ataque que tentasse explorar esta vulnerabilidade.
Fatores atenuantes
A Microsoft não identificou nenhum fator atenuante para esta vulnerabilidade.
Soluções Alternativas
A Microsoft não identificou quaisquer soluções alternativas para esta vulnerabilidade.
Vulnerabilidade de falsificação do Microsoft Outlook para Mac - CVE-2015-6123
Existe uma vulnerabilidade de falsificação quando o Microsoft Outlook para Mac não limpa o HTML ou o trata de maneira segura. Um invasor que explorar com êxito essa vulnerabilidade poderá enganar um usuário redirecionando-o para um site mal-intencionado. O site mal-intencionado pode falsificar conteúdo ou ser usado como um pivô para encadear um ataque com outras vulnerabilidades em serviços Web.
Para que esta vulnerabilidade seja explorada, um usuário deve visualizar um email criado com códigos maliciosos de um invasor para o qual, sem saber, seria redirecionado para uma URL mal-intencionada.
A atualização elimina a vulnerabilidade corrigindo como o Microsoft Outlook valida e limpa a entrada HTML. A Microsoft recebeu informações sobre a vulnerabilidade por meio da divulgação coordenada de vulnerabilidades. No momento em que este boletim de segurança foi publicado originalmente, a Microsoft não estava ciente de qualquer ataque que tentasse explorar esta vulnerabilidade.
Fatores atenuantes
A Microsoft não identificou nenhum fator atenuante para esta vulnerabilidade.
Soluções Alternativas
A Microsoft não identificou quaisquer soluções alternativas para esta vulnerabilidade.
Implantação de atualização de segurança
Para obter informações sobre a Implantação da Atualização de Segurança, consulte o artigo da Base de Dados de Conhecimento Microsoft mencionado no Resumo Executivo.
Agradecimentos
A Microsoft reconhece os esforços daqueles na comunidade de segurança que nos ajudam a proteger os clientes por meio da divulgação coordenada de vulnerabilidades. Consulte Agradecimentos para obter mais informações.
Aviso de isenção de responsabilidade
As informações fornecidas na Base de Dados de Conhecimento Microsoft são fornecidas "no estado em que se encontram", sem qualquer tipo de garantia. A Microsoft se isenta de todas as garantias, expressas ou implícitas, incluindo as garantias de comercialização e adequação a uma finalidade específica. Em nenhuma circunstância a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, incluindo danos diretos, indiretos, incidentais, consequenciais, perda de lucros comerciais ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido avisados da possibilidade de tais danos. Alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou incidentais, portanto, a limitação acima pode não se aplicar.
Revisões
- V1.0 (10 de novembro de 2015): Boletim publicado.
Página gerada em 10/11/2015 10:03-08:00.</https:>