Microsoft Security Bulletin MS16-109 - Importante
Atualização de segurança para o Silverlight (3182373)
Publicado em: 13 de setembro de 2016
Versão: 1.0
Resumo executivo
Esta atualização de segurança elimina uma vulnerabilidade no Microsoft Silverlight. A vulnerabilidade pode permitir a execução remota de código se um usuário visitar um site comprometido que contenha um aplicativo do Silverlight especialmente criado. Um invasor não teria como forçar um usuário a visitar um site comprometido. Em vez disso, um invasor teria que convencer o usuário a visitar o site, geralmente atraindo o usuário a clicar em um link em um email ou mensagem instantânea que leva o usuário ao site do invasor.
Esta atualização de segurança é classificada como Importante para o Microsoft Silverlight 5 e Microsoft Silverlight 5 Developer Runtime quando instalada no Mac ou em todas as versões com suporte do Microsoft Windows. Para obter mais informações, consulte a seção Softwares afetados.
A atualização elimina a vulnerabilidade corrigindo como o Microsoft Silverlight aloca memória para inserir e acrescentar cadeias de caracteres no StringBuilder. Para obter mais informações sobre as vulnerabilidades, consulte a seção Informações sobre vulnerabilidade.
Para obter mais informações sobre essa atualização, consulte o artigo 3182373 da Base de Dados de Conhecimento Microsoft.
Software afetado e classificações de gravidade da vulnerabilidade
As seguintes versões ou edições de software são afetadas. As versões ou edições que não estão listadas já passaram do ciclo de vida de suporte ou não são afetadas. Para determinar o ciclo de vida de suporte para sua versão ou edição de software, consulte Ciclo de Vida do Suporte da Microsoft.
As classificações de gravidade indicadas para cada software afetado pressupõem o impacto máximo potencial da vulnerabilidade. Para obter informações sobre a probabilidade, dentro de 30 dias após o lançamento deste boletim de segurança, da possibilidade de exploração da vulnerabilidade em relação à sua classificação de gravidade e impacto à segurança, consulte o Índice de exploração no resumo de boletins de setembro.
| Ferramentas para Desenvolvedores | Vulnerabilidade de corrupção de memória do Microsoft Silverlight - CVE-2016-3367 | Atualizações substituídas |
|---|---|---|
| Software | ||
| Microsoft Silverlight 5 quando instalado no Mac (3182373) | Execução remota de código importante | 3126036 em MS16-006 |
| Microsoft Silverlight 5 Developer Runtime quando instalado no Mac (3182373) | Execução remota de código importante | 3126036 em MS16-006 |
| Microsoft Silverlight 5 quando instalado em todas as versões com suporte de clientes Microsoft Windows (3182373) | Execução remota de código importante | 3126036 em MS16-006 |
| Microsoft Silverlight 5 Developer Runtime quando instalado em todas as versões com suporte de clientes Microsoft Windows (3182373) | Execução remota de código importante | 3126036 em MS16-006 |
| Microsoft Silverlight 5 quando instalado em todas as versões com suporte de servidores Microsoft Windows (3182373) | Execução remota de código importante | 3126036 em MS16-006 |
| Microsoft Silverlight 5 Developer Runtime quando instalado em todas as versões com suporte de servidores Microsoft Windows (3182373) | Execução remota de código importante | 3126036 em MS16-006 |
Perguntas frequentes sobre atualizações
Quais navegadores da Web oferecem suporte a aplicativos do Microsoft Silverlight?
Para executar aplicativos do Microsoft Silverlight, a maioria dos navegadores da Web, incluindo o Microsoft Internet Explorer, requer que o Microsoft Silverlight seja instalado e que o plug-in correspondente esteja habilitado. Para obter mais informações sobre o Microsoft Silverlight, consulte o site oficial, Microsoft Silverlight. Consulte a documentação do seu navegador para saber mais sobre como desativar ou remover plug-ins.
Quais versões do Microsoft Silverlight 5 são afetadas pelas vulnerabilidades?
A compilação 5.1.50709.0 do Microsoft Silverlight, que era a compilação atual do Microsoft Silverlight quando este boletim foi lançado pela primeira vez, elimina as vulnerabilidades e não é afetada. As compilações do Microsoft Silverlight anteriores à versão 5.1.50709.0 são afetadas.
Como posso saber qual versão e compilação do Microsoft Silverlight está atualmente instalada no meu sistema?
Se o Microsoft Silverlight já estiver instalado no computador, você poderá visitar a página Obter o Microsoft Silverlight , que indicará qual versão e compilação do Microsoft Silverlight está instalada no sistema no momento. Como alternativa, você pode usar o recurso Gerenciar Complementos das versões atuais do Microsoft Internet Explorer para determinar a versão e compilar informações que estão atualmente instaladas em seu sistema.
Você também pode verificar manualmente o número da versão do sllauncher.exe localizado no diretório "%ProgramFiles%\Microsoft Silverlight" (em sistemas Microsoft Windows x86) ou no diretório "%ProgramFiles(x86)%\Microsoft Silverlight" (em sistemas Microsoft Windows x64).
Além disso, no Microsoft Windows, as informações de versão e compilação da versão atualmente instalada do Microsoft Silverlight podem ser encontradas no registro em [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Silverlight]:Version em sistemas Microsoft Windows x86 ou [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Silverlight]:Version em sistemas Microsoft Windows x64.
No Apple Mac OS, as informações de versão e compilação da versão atualmente instalada do Microsoft Silverlight podem ser encontradas da seguinte maneira:
- Abra o Finder.
- Selecione a unidade do sistema e vá para a pasta Internet Plug-ins - Biblioteca.
- Clique com o botão direito do mouse no arquivo Silverlight.Plugin (se o mouse tiver apenas um botão, pressione a tecla Ctrl enquanto clica no arquivo) para abrir o menu de contexto e, em seguida, clique em Mostrar Conteúdo do Pacote.
- Dentro da pasta de conteúdo, localize o arquivo info.plist e abra-o com um editor. Ele conterá uma entrada como esta, que mostra o número da versão: SilverlightVersion 5.1.50709.0
A versão instalada com esta atualização de segurança para o Microsoft Silverlight 5 é 5.1.50709.0. Se o número de versão do Microsoft Silverlight 5 for maior ou igual a esse número de versão, seu sistema não estará vulnerável.
Como faço para atualizar minha versão do Microsoft Silverlight?
O recurso de atualização automática do Microsoft Silverlight ajuda a garantir que sua instalação do Microsoft Silverlight seja mantida atualizada com a versão mais recente do Microsoft Silverlight, a funcionalidade do Microsoft Silverlight e os recursos de segurança. Para obter mais informações sobre o recurso de atualização automática do Microsoft Silverlight, consulte o Microsoft Silverlight Updater. Os usuários do Windows que desabilitaram o recurso de atualização automática do Microsoft Silverlight podem se inscrever no Microsoft Update para obter a versão mais recente do Microsoft Silverlight ou podem baixar a versão mais recente do Microsoft Silverlight manualmente usando o link de download na tabela Softwares afetados na seção anterior, Softwares afetados. Para obter informações sobre como implantar o Microsoft Silverlight em um ambiente corporativo, consulte o Guia de implantação do Silverlight Enterprise.
Esta atualização atualizará minha versão do Silverlight?
A atualização 3182373 atualiza versões anteriores do Silverlight para a versão 5.1.50709.0 do Silverlight. A Microsoft recomenda a atualização para estar protegida contra a vulnerabilidade descrita neste boletim.
Onde posso encontrar informações adicionais sobre o ciclo de vida do produto Silverlight? Para obter informações sobre o ciclo de vida específicas do Silverlight, consulte a Política de ciclo de vida de suporte do Microsoft Silverlight.
Informações de vulnerabilidade
Vulnerabilidade de corrupção de memória do Microsoft Silverlight - CVE-2016-3367
Existe uma vulnerabilidade de execução remota de código quando o Microsoft Silverlight permite indevidamente que os aplicativos acessem objetos na memória. A vulnerabilidade pode corromper a memória do sistema, o que pode permitir que um invasor execute código arbitrário. Num cenário de navegação na Web, um intruso que explorasse esta vulnerabilidade com êxito poderia obter as mesmas permissões que o utilizador com sessão actual. Se um usuário estiver conectado com direitos administrativos, um invasor poderá assumir o controle total do sistema afetado. Um invasor pode instalar programas, exibir, alterar ou excluir dados, além de criar contas com direitos de usuário totais. Os usuários cujas contas estão configuradas para ter menos direitos de usuário no sistema correm menos riscos do que aqueles que têm direitos de usuário administrativo.
Para explorar a vulnerabilidade, um invasor pode hospedar um site que contenha um aplicativo Silverlight especialmente criado e, em seguida, convencer um usuário a visitar o site comprometido. O invasor também pode tirar proveito de sites que contêm conteúdo especialmente criado, incluindo aqueles que aceitam ou hospedam conteúdo fornecido pelo usuário ou anúncios. Por exemplo, um invasor pode exibir conteúdo da Web especialmente criado usando anúncios de banner ou usando outros métodos para entregar conteúdo da Web aos sistemas afetados. No entanto, em todos os casos, um invasor não teria como forçar um usuário a visitar um site comprometido. Em vez disso, um invasor teria que convencer um usuário a visitar o site, geralmente atraindo o usuário a clicar em um link em um email ou mensagem instantânea. A atualização elimina a vulnerabilidade corrigindo como o Microsoft Silverlight aloca memória para inserir e acrescentar cadeias de caracteres no StringBuilder.
A tabela a seguir contém links para a entrada padrão de cada vulnerabilidade na lista Common Vulnerabilities and Exposures:
| **Título da vulnerabilidade ** | **Número CVE ** | Divulgado publicamente | Explorado |
|---|---|---|---|
| Vulnerabilidade de corrupção de memória do Microsoft Silverlight | CVE-2016-3367 | Não | Não |
Fatores atenuantes
A Microsoft não identificou nenhum fator atenuante para esta vulnerabilidade.
Soluções Alternativas
A Microsoft não identificou quaisquer soluções alternativas para esta vulnerabilidade.
Implantação de atualização de segurança
Para obter informações sobre a Implantação da Atualização de Segurança, consulte o artigo da Base de Dados de Conhecimento Microsoft mencionado no Resumo Executivo.
Agradecimentos
A Microsoft reconhece os esforços daqueles na comunidade de segurança que nos ajudam a proteger os clientes por meio da divulgação coordenada de vulnerabilidades. Consulte Agradecimentos para obter mais informações.
Aviso de isenção de responsabilidade
As informações fornecidas na Base de Dados de Conhecimento Microsoft são fornecidas "no estado em que se encontram", sem qualquer tipo de garantia. A Microsoft se isenta de todas as garantias, expressas ou implícitas, incluindo as garantias de comercialização e adequação a uma finalidade específica. Em nenhuma circunstância a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, incluindo danos diretos, indiretos, incidentais, consequenciais, perda de lucros comerciais ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido avisados da possibilidade de tais danos. Alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou incidentais, portanto, a limitação acima pode não se aplicar.
Revisões
- V1.0 (13 de setembro de 2016): Boletim publicado.
Página gerada em 12/09/2016 09:56-07:00.