Microsoft Security Bulletin MS16-006 - Crítica
Atualização de segurança para o Silverlight abordar a execução remota de código (3126036)
Publicado: terça-feira, 12 de janeiro de 2016 | Atualizado: January 14, 2016
Versão: 1.1
Resumo executivo
Esta atualização de segurança elimina uma vulnerabilidade no Microsoft Silverlight. A vulnerabilidade pode permitir a execução remota de código se um usuário visitar um site comprometido que contenha um aplicativo do Silverlight especialmente criado. Um invasor não teria como forçar os usuários a visitar um site comprometido. Em vez disso, um invasor teria que convencer os usuários a visitar o site, geralmente fazendo com que eles cliquem em um link em um email ou mensagem instantânea que leva os usuários ao site do invasor.
Esta atualização de segurança é classificada como Crítica para o Microsoft Silverlight 5 e o Microsoft Silverlight 5 Developer Runtime quando instalada no Mac ou em todas as versões com suporte do Microsoft Windows. Para obter mais informações, consulte a seção Softwares afetados.
A atualização elimina as vulnerabilidades corrigindo como o Microsoft Silverlight valida os resultados do decodificador. Para obter mais informações sobre as vulnerabilidades, consulte a seção Informações sobre vulnerabilidade.
Para obter mais informações sobre essa atualização, consulte o artigo 3126036 da Base de Dados de Conhecimento Microsoft.
Software afetado e classificações de gravidade da vulnerabilidade
As seguintes versões ou edições de software são afetadas. As versões ou edições que não estão listadas já passaram do ciclo de vida de suporte ou não são afetadas. Para determinar o ciclo de vida de suporte para sua versão ou edição de software, consulte Ciclo de Vida do Suporte da Microsoft.
As classificações de gravidade indicadas para cada software afetado pressupõem o impacto máximo potencial da vulnerabilidade. Para obter informações sobre a probabilidade, dentro de 30 dias após o lançamento deste boletim de segurança, da possibilidade de exploração da vulnerabilidade em relação à sua classificação de gravidade e impacto à segurança, consulte o Índice de exploração no resumo de boletins de janeiro.
| Sistema operacional | Vulnerabilidade de execução remota de código em tempo de execução remota do Silverlight - CVE-2016-0034 | Atualizações substituídas |
|---|---|---|
| Software | ||
| Microsoft Silverlight 5 quando instalado no Mac (3126036) | Execução remota crítica de código | 3106614 no boletim MS15-129 |
| Microsoft Silverlight 5 Developer Runtime quando instalado no Mac (3126036) | Execução remota crítica de código | 3106614 no boletim MS15-129 |
| Microsoft Silverlight 5 quando instalado em todas as versões com suporte de clientes Microsoft Windows (3126036) | Execução remota crítica de código | 3106614 no boletim MS15-129 |
| Microsoft Silverlight 5 Developer Runtime quando instalado em todas as versões com suporte de clientes Microsoft Windows (3126036) | Execução remota crítica de código | 3106614 no boletim MS15-129 |
| Microsoft Silverlight 5 quando instalado em todas as versões com suporte de servidores Microsoft Windows (3126036) | Execução remota crítica de código | 3106614 no boletim MS15-129 |
| Microsoft Silverlight 5 Developer Runtime quando instalado em todas as versões com suporte de servidores Microsoft Windows (3126036) | Execução remota crítica de código | 3106614 no boletim MS15-129 |
Perguntas frequentes sobre atualizações
Quais navegadores da Web oferecem suporte a aplicativos do Microsoft Silverlight?
Para executar aplicativos do Microsoft Silverlight, a maioria dos navegadores da Web, incluindo o Microsoft Internet Explorer, requer que o Microsoft Silverlight seja instalado e que o plug-in correspondente esteja habilitado. Para obter mais informações sobre o Microsoft Silverlight, consulte o site oficial, Microsoft Silverlight. Consulte a documentação do seu navegador para saber mais sobre como desativar ou remover plug-ins.
Quais versões do Microsoft Silverlight 5 são afetadas pelas vulnerabilidades?
A compilação 5.1.41212.0 do Microsoft Silverlight, que era a compilação atual do Microsoft Silverlight quando este boletim foi lançado pela primeira vez, elimina as vulnerabilidades e não é afetada. As compilações do Microsoft Silverlight anteriores à versão 5.1.41212.0 são afetadas.
Como posso saber qual versão e compilação do Microsoft Silverlight está atualmente instalada no meu sistema?
Se o Microsoft Silverlight já estiver instalado no computador, você poderá visitar a página Obter o Microsoft Silverlight , que indicará qual versão e compilação do Microsoft Silverlight está instalada no sistema no momento. Como alternativa, você pode usar o recurso Gerenciar Complementos das versões atuais do Microsoft Internet Explorer para determinar a versão e compilar informações que estão atualmente instaladas em seu sistema.
Você também pode verificar manualmente o número da versão do sllauncher.exe localizado no diretório "%ProgramFiles%\Microsoft Silverlight" (em sistemas Microsoft Windows x86) ou no diretório "%ProgramFiles(x86)%\Microsoft Silverlight" (em sistemas Microsoft Windows x64).
Além disso, no Microsoft Windows, as informações de versão e compilação da versão atualmente instalada do Microsoft Silverlight podem ser encontradas no registro em [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Silverlight]:Version em sistemas Microsoft Windows x86 ou [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Silverlight]:Version em sistemas Microsoft Windows x64.
No Apple Mac OS, as informações de versão e compilação da versão atualmente instalada do Microsoft Silverlight podem ser encontradas da seguinte maneira:
Abra o Finder
Selecione a unidade do sistema e vá para a pasta Internet Plug-ins - Biblioteca
Clique com o botão direito do mouse no arquivo Silverlight.Plugin (se o mouse tiver apenas um botão, pressione a tecla Ctrl enquanto clica no arquivo) para abrir o menu de contexto e, em seguida, clique em Mostrar Conteúdo do Pacote.
Dentro da pasta de conteúdo, localize o arquivo info.plist e abra-o com um editor. Ele conterá uma entrada como esta, que mostra o número da versão:
Versão do SilverlightVersion
5.1.41212.0
A versão instalada com esta atualização de segurança para o Microsoft Silverlight 5 é 5.1.41212.0. Se o número de versão do Microsoft Silverlight 5 for maior ou igual a esse número de versão, seu sistema não estará vulnerável.
Como faço para atualizar minha versão do Microsoft Silverlight?
O recurso de atualização automática do Microsoft Silverlight ajuda a garantir que sua instalação do Microsoft Silverlight seja mantida atualizada com a versão mais recente do Microsoft Silverlight, a funcionalidade do Microsoft Silverlight e os recursos de segurança. Para obter mais informações sobre o recurso de atualização automática do Microsoft Silverlight, consulte o Microsoft Silverlight Updater. Os usuários do Windows que desabilitaram o recurso de atualização automática do Microsoft Silverlight podem se inscrever no Microsoft Update para obter a versão mais recente do Microsoft Silverlight ou podem baixar a versão mais recente do Microsoft Silverlight manualmente usando o link de download na tabela Softwares afetados na seção anterior, Softwares afetados. Para obter informações sobre como implantar o Microsoft Silverlight em um ambiente corporativo, consulte o Guia de implantação do Silverlight Enterprise.
Esta atualização atualizará minha versão do Silverlight?
A atualização 3126036 atualiza versões anteriores do Silverlight para a versão 5.1.41212.0 do Silverlight. A Microsoft recomenda a atualização para estar protegida contra a vulnerabilidade descrita neste boletim.
Onde posso encontrar informações adicionais sobre o ciclo de vida do produto Silverlight?
Para obter informações sobre o ciclo de vida específicas do Silverlight, consulte a Política de ciclo de vida de suporte do Microsoft Silverlight.
Informações de vulnerabilidade
Vulnerabilidade de execução remota de código em tempo de execução remota do Silverlight - CVE-2016-0034
Existe uma vulnerabilidade de execução remota de código quando o Microsoft Silverlight decodifica cadeias de caracteres usando um decodificador mal-intencionado que pode retornar deslocamentos negativos que fazem com que o Silverlight substitua cabeçalhos de objetos não seguros por conteúdo fornecido por um invasor. Num cenário de navegação na Web, um intruso que explorasse esta vulnerabilidade com êxito poderia obter as mesmas permissões que o utilizador com sessão actual. Se um usuário estiver conectado com direitos administrativos, um invasor poderá assumir o controle total do sistema afetado. Um invasor pode instalar programas, exibir, alterar ou excluir dados, além de criar contas com direitos de usuário totais. Os usuários cujas contas estão configuradas para ter menos direitos de usuário no sistema correm menos riscos do que aqueles que têm direitos de usuário administrativo.
Para explorar a vulnerabilidade, um invasor pode hospedar um site que contenha um aplicativo Silverlight especialmente criado e, em seguida, convencer um usuário a visitar o site comprometido. O invasor também pode tirar proveito de sites que contêm conteúdo especialmente criado, incluindo aqueles que aceitam ou hospedam conteúdo fornecido pelo usuário ou anúncios. Por exemplo, um invasor pode exibir conteúdo da Web especialmente criado usando anúncios de banner ou usando outros métodos para entregar conteúdo da Web aos sistemas afetados. Em todos os casos, no entanto, um invasor não teria como forçar os usuários a visitar um site comprometido. Em vez disso, um invasor teria que convencer um usuário a visitar o site, geralmente atraindo-o a clicar em um link em um email ou mensagem instantânea. A atualização elimina essa vulnerabilidade corrigindo como o Microsoft Silverlight valida os resultados do decodificador.
A Microsoft recebeu informações sobre esta vulnerabilidade através da divulgação coordenada de vulnerabilidades. No momento em que este boletim de segurança foi publicado originalmente, a Microsoft recebeu um relatório que poderia indicar um ataque limitado tentando explorar essa vulnerabilidade.
Fatores atenuantes
A Microsoft não identificou nenhum fator atenuante para esta vulnerabilidade.
Soluções Alternativas
A Microsoft não identificou quaisquer soluções alternativas para esta vulnerabilidade.
Implantação de atualização de segurança
Para obter informações sobre a Implantação da Atualização de Segurança, consulte o artigo da Base de Dados de Conhecimento Microsoft mencionado no Resumo Executivo.
Agradecimentos
A Microsoft reconhece os esforços daqueles na comunidade de segurança que nos ajudam a proteger os clientes por meio da divulgação coordenada de vulnerabilidades. Consulte Agradecimentos para obter mais informações.
Aviso de isenção de responsabilidade
As informações fornecidas na Base de Dados de Conhecimento Microsoft são fornecidas "no estado em que se encontram", sem qualquer tipo de garantia. A Microsoft se isenta de todas as garantias, expressas ou implícitas, incluindo as garantias de comercialização e adequação a uma finalidade específica. Em nenhuma circunstância a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, incluindo danos diretos, indiretos, incidentais, consequenciais, perda de lucros comerciais ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido avisados da possibilidade de tais danos. Alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou incidentais, portanto, a limitação acima pode não se aplicar.
Revisões
- V1.0 (12 de janeiro de 2016): Boletim publicado.
- V1.1 (14 de janeiro de 2016): Atualização para informações de vulnerabilidade para CVE-2016-0034. Esta é apenas uma alteração informativa.
Página gerada em 27/01/2016 09:22-08:00.