Microsoft Security Bulletin MS17-003 - Crítica

Atualização de segurança para o Adobe Flash Player (3214628)

Publicado em: 10 de janeiro de 2017

Versão: 1.0

Resumo executivo

Esta atualização de segurança resolve vulnerabilidades no Adobe Flash Player quando instalado em todas as edições com suporte do Windows 8.1, Windows Server 2012, Windows Server 2012 R2, Windows RT 8.1, Windows 10 e Windows Server 2016.

Esta atualização de segurança é classificada como Crítica. A atualização elimina as vulnerabilidades no Adobe Flash Player atualizando as bibliotecas afetadas do Adobe Flash contidas no Internet Explorer 10, Internet Explorer 11 e Microsoft Edge. Para obter mais informações, consulte a seção Softwares afetados.

Para obter mais informações sobre essa atualização, consulte o artigo 3214628 da Base de Dados de Conhecimento Microsoft.

Informações de vulnerabilidade

Esta atualização de segurança elimina as seguintes vulnerabilidades, descritas no Boletim de Segurança da Adobe APSB17-02:

CVE-2017-2925, CVE-2017-2926, CVE-2017-2927, CVE-2017-2928, CVE-2017-2930, CVE-2017-2931, CVE-2017-2932, CVE-2017-2933, CVE-2017-2934, CVE-2017-2935, CVE-2017-2936, CVE-2017-2937

Softwares afetados

As seguintes versões ou edições de software são afetadas. As versões ou edições que não estão listadas já passaram do ciclo de vida de suporte ou não são afetadas. Para determinar o ciclo de vida de suporte para sua versão ou edição de software, consulte Ciclo de Vida do Suporte da Microsoft.

Sistema operacional Componente Severidade e impacto agregados Atualizações substituídas*
Windows 8.1
Windows 8.1 para sistemas de 32 bits Adobe Flash Player (3214628) Execução remota crítica de código 3209498 no boletim MS16-154
Windows 8.1 para sistemas baseados em x64 Adobe Flash Player (3214628) Execução remota crítica de código 3209498 no boletim MS16-154
Windows Server 2012 e Windows Server 2012 R2
Windows Server 2012 Adobe Flash Player (3214628) Execução remota de código moderada 3209498 no boletim MS16-154
Windows Server 2012 R2 Adobe Flash Player (3214628) Execução remota de código moderada 3209498 no boletim MS16-154
Windows RT 8.1
Windows RT 8.1 Adobe Flash Player (3214628)[1] Execução remota crítica de código 3209498 no boletim MS16-154
Windows 10
Windows 10 para sistemas de 32 bits Adobe Flash Player (3214628)[2] Execução remota crítica de código 3209498 no boletim MS16-154
Windows 10 para sistemas baseados em x64 Adobe Flash Player (3214628)[2] Execução remota crítica de código 3209498 no boletim MS16-154
Windows 10 versão 1511 para sistemas de 32 bits Adobe Flash Player (3214628)[2] Execução remota crítica de código 3209498 no boletim MS16-154
Windows 10 versão 1511 para sistemas baseados em x64 Adobe Flash Player (3214628)[2] Execução remota crítica de código 3209498 no boletim MS16-154
Windows 10 versão 1607 para sistemas de 32 bits Adobe Flash Player (3214628)[2] Execução remota crítica de código 3209498 no boletim MS16-154
Windows 10 versão 1607 para sistemas baseados em x64 Adobe Flash Player (3214628)[2] Execução remota crítica de código 3209498 no boletim MS16-154
Windows Server 2016
Windows Server 2016 para sistemas de 64 bits Adobe Flash Player (3214628)[2] Execução remota crítica de código 3209498 no boletim MS16-154

[1]Esta actualização está disponível através do Windows Update.

estão disponíveis através do Windows Update ou através do Catálogo do Microsoft Update.

*A coluna Atualizações substituídas mostra apenas a atualização mais recente em qualquer cadeia de atualizações substituídas. Para obter uma lista abrangente de atualizações substituídas, vá para o Catálogo do Microsoft Update, procure o número KB da atualização e exiba os detalhes da atualização (as informações sobre atualizações substituídas são fornecidas na guia Detalhes do Pacote).

Perguntas frequentes

Como um invasor pode explorar essas vulnerabilidades?
Em um cenário de ataque baseado na Web em que o usuário está usando o Internet Explorer para área de trabalho, um invasor pode hospedar um site especialmente criado projetado para explorar qualquer uma dessas vulnerabilidades por meio do Internet Explorer e, em seguida, convencer um usuário a exibir o site. Um invasor também pode incorporar um controle ActiveX marcado como "seguro para inicialização" em um aplicativo ou documento do Microsoft Office que hospeda o mecanismo de renderização do IE. O invasor também pode tirar proveito de sites comprometidos e sites que aceitam ou hospedam conteúdo fornecido pelo usuário ou anúncios. Esses sites podem conter conteúdo especialmente criado que pode explorar qualquer uma dessas vulnerabilidades. Em todos os casos, no entanto, um invasor não teria como forçar os usuários a exibir o conteúdo controlado pelo invasor. Em vez disso, um invasor teria que convencer os usuários a agir, geralmente clicando em um link em uma mensagem de email ou em uma mensagem do Instant Messenger que leva os usuários ao site do invasor ou abrindo um anexo enviado por email.

Em um cenário de ataque baseado na Web em que o usuário está usando o Internet Explorer na interface do usuário no estilo do Windows 8, um invasor precisaria primeiro comprometer um site já listado na lista do Modo de Exibição de Compatibilidade (CV). Um intruso poderia então alojar um Web site que contivesse conteúdo Flash especialmente concebido para explorar qualquer uma destas vulnerabilidades através do Internet Explorer e, em seguida, convencer um utilizador a visualizar o Web site. Um invasor não teria como forçar os usuários a exibir o conteúdo controlado pelo invasor. Em vez disso, um invasor teria que convencer os usuários a agir, geralmente clicando em um link em uma mensagem de email ou em uma mensagem do Instant Messenger que leva os usuários ao site do invasor ou abrindo um anexo enviado por email. Para obter mais informações sobre o Internet Explorer e a Lista CV, consulte o artigo do MSDN, Diretrizes para desenvolvedores para sites com conteúdo para o Adobe Flash Player no Windows 8.

Fatores atenuantes

Mitigação refere-se a uma configuração, configuração comum ou prática recomendada geral, existente em um estado padrão, que pode reduzir a gravidade da exploração de uma vulnerabilidade. Os seguintes fatores atenuantes podem ser úteis em sua situação:

  • Em um cenário de ataque baseado na Web em que o usuário está usando o Internet Explorer para área de trabalho, um invasor pode hospedar um site que contenha uma página da Web usada para explorar qualquer uma dessas vulnerabilidades. Além disso, sites comprometidos e sites que aceitam ou hospedam conteúdo fornecido pelo usuário ou anúncios podem conter conteúdo especialmente criado que pode explorar qualquer uma dessas vulnerabilidades. Em todos os casos, no entanto, um invasor não teria como forçar os usuários a visitar esses sites. Em vez disso, um invasor teria que convencer os usuários a visitar o site, geralmente fazendo com que eles cliquem em um link em uma mensagem de email ou mensagem do Instant Messenger que leva os usuários ao site do invasor.
  • O Internet Explorer na interface do usuário no estilo do Windows 8 só reproduzirá conteúdo Flash de sites listados na lista Modo de Exibição de Compatibilidade (CV). Essa restrição exige que um invasor comprometa primeiro um site já listado na lista CV. Um intruso poderia então alojar conteúdo Flash especialmente concebido para o efeito, concebido para explorar qualquer uma destas vulnerabilidades através do Internet Explorer e, em seguida, convencer um utilizador a visualizar o Web site. Um invasor não teria como forçar os usuários a exibir o conteúdo controlado pelo invasor. Em vez disso, um invasor teria que convencer os usuários a agir, geralmente clicando em um link em uma mensagem de email ou em uma mensagem do Instant Messenger que leva os usuários ao site do invasor ou abrindo um anexo enviado por email.
  • Por padrão, todas as versões com suporte do Microsoft Outlook e do Windows Live Mail abrem mensagens de email em HTML na zona Sites restritos. A zona Sites restritos, que desabilita scripts e controles ActiveX, ajuda a reduzir o risco de um invasor poder usar qualquer uma dessas vulnerabilidades para executar código mal-intencionado. Se um usuário clicar em um link em uma mensagem de email, ele ainda poderá estar vulnerável à exploração de qualquer uma dessas vulnerabilidades por meio do cenário de ataque baseado na Web.
  • Por padrão, o Internet Explorer no Windows Server 2012 e no Windows Server 2012 R2 é executado em um modo restrito conhecido como Configuração de Segurança Reforçada. Esse modo pode ajudar a reduzir a probabilidade de exploração dessas vulnerabilidades do Adobe Flash Player no Internet Explorer.

Soluções Alternativas

Solução alternativa refere-se a uma configuração ou alteração de configuração que ajudaria a bloquear vetores de ataque conhecidos antes de aplicar a atualização.

  • Impedir a execução do Adobe Flash Player
    Você pode desabilitar as tentativas de instanciar o Adobe Flash Player no Internet Explorer e em outros aplicativos que respeitam o recurso kill bit, como o Office 2007 e o Office 2010, definindo o kill bit para o controle no Registro.

    Aviso Se você usar o Editor do Registro incorretamente, poderá causar problemas sérios que podem exigir a reinstalação do sistema operacional. A Microsoft não pode garantir que você possa resolver problemas resultantes do uso incorreto do Editor do Registro. Use o Editor do Registro por sua conta e risco.

    Para definir o kill bit para o controle no registro, execute as seguintes etapas:

    1. Cole o seguinte em um arquivo de texto e salve-o com a extensão de arquivo .reg.

          Windows Registry Editor Version 5.00
          [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{D27CDB6E-AE6D-11CF-96B8-444553540000}]
          "Compatibility Flags"=dword:00000400
      
          [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\ActiveX Compatibility\{D27CDB6E-AE6D-11CF-96B8-444553540000}]
          "Compatibility Flags"=dword:00000400
      
    2. Clique duas vezes no arquivo .reg para aplicá-lo a um sistema individual. Você também pode aplicar essa solução alternativa entre domínios usando a Diretiva de Grupo. Para obter mais informações sobre a Diretiva de Grupo, consulte o artigo do TechNet, Coleção de Diretiva de Grupo.

    Observação Você deve reiniciar o Internet Explorer para que as alterações entrem em vigor.

    Impacto da solução alternativa. Não há impacto, desde que o objeto não se destine a ser usado no Internet Explorer.

    Como desfazer a solução alternativa. Exclua as chaves do Registro que foram adicionadas na implementação desta solução alternativa.

  • Impedir que o Adobe Flash Player seja executado no Internet Explorer por meio da Diretiva de Grupo
    Observação O snap-in MMC da Diretiva de Grupo pode ser usado para definir a diretiva para um computador, para uma unidade organizacional ou para um domínio inteiro. Para obter mais informações sobre a diretiva de grupo, visite os seguintes sites:

    Visão geral da Política de Grupo

    O que é o Editor de Objeto de Diretiva de Grupo?

    Principais ferramentas e configurações da Diretiva de Grupo

    Para desabilitar o Adobe Flash Player no Internet Explorer por meio da Diretiva de Grupo, execute as seguintes etapas:

    Observação Essa solução alternativa não impede que o Flash seja invocado de outros aplicativos, como o Microsoft Office 2007 ou o Microsoft Office 2010.

    1. Abra o Console de Gerenciamento de Diretiva de Grupo e configure o console para trabalhar com o objeto de Diretiva de Grupo apropriado, como computador local, UO ou GPO de domínio.
    2. Navegue até o seguinte nó: Modelos Administrativos ->Componentes do Windows ->Internet Explorer ->Recursos de Segurança ->Gerenciamento de Complementos
    3. Clique duas vezes em Desativar o Adobe Flash no Internet Explorer e impedir que os aplicativos usem a tecnologia do Internet Explorer para instanciar objetos Flash.
    4. Altere a configuração para Habilitado.
    5. Clique em Aplicar e, em seguida, clique em OK para retornar ao Console de Gerenciamento de Diretiva de Grupo.
    6. Atualize a Diretiva de Grupo em todos os sistemas ou aguarde o próximo intervalo de atualização agendado da Diretiva de Grupo para que as configurações entrem em vigor.
  • Impedir que o Adobe Flash Player seja executado no Office 2010 em sistemas afetados
    Observação Essa solução alternativa não impede que o Adobe Flash Player seja executado no Internet Explorer.

    Aviso Se você usar o Editor do Registro incorretamente, poderá causar problemas sérios que podem exigir a reinstalação do sistema operacional. A Microsoft não pode garantir que você possa resolver problemas resultantes do uso incorreto do Editor do Registro. Use o Editor do Registro por sua conta e risco.

    Para obter etapas detalhadas que você pode usar para impedir que um controle seja executado no Internet Explorer, consulte o Artigo 240797 da Base de Dados de Conhecimento Microsoft. Siga as etapas no artigo para criar um valor de sinalizadores de compatibilidade no registro para impedir que um objeto COM seja instanciado no Internet Explorer.

    Para desabilitar o Adobe Flash Player somente no Office 2010, defina o kill bit para o controle ActiveX do Adobe Flash Player no Registro usando as seguintes etapas:

    1. Crie um arquivo de texto chamado Disable_Flash.reg com o seguinte conteúdo:

          Windows Registry Editor Version 5.00
      
          [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM\Compatibility\{D27CDB6E-AE6D-11CF-96B8-444553540000}]
          "Compatibility Flags"=dword:00000400
      
    2. Clique duas vezes no arquivo .reg para aplicá-lo a um sistema individual.

    3. Observação Você deve reiniciar o Internet Explorer para que as alterações entrem em vigor.

      Você também pode aplicar essa solução alternativa entre domínios usando a Diretiva de Grupo. Para obter mais informações sobre a Diretiva de Grupo, consulte o artigo do TechNet, Coleção de Diretiva de Grupo.

  • Impedir a execução de controles ActiveX no Office 2007 e no Office 2010
    Para desabilitar todos os controles ActiveX no Microsoft Office 2007 e no Microsoft Office 2010, incluindo o Adobe Flash Player no Internet Explorer, execute as seguintes etapas:

    1. Clique em Arquivo, em Opções, em Central de Confiabilidade e em Configurações da Central de Confiabilidade.
    2. Clique em Configurações do ActiveX no painel esquerdo e selecione Desabilitar todos os controles sem notificações.
    3. Clique em OK para salvar suas definições.

    Impacto da solução alternativa. Documentos do Office que usam controles ActiveX incorporados podem não ser exibidos como esperado.

    Como desfazer a solução alternativa.

    Para reativar os controles ActiveX no Microsoft Office 2007 e no Microsoft Office 2010, execute as seguintes etapas:

    1. Clique em Arquivo, em Opções, em Central de Confiabilidade e em Configurações da Central de Confiabilidade.
    2. Clique em Configurações do ActiveX no painel esquerdo e desmarque Desabilitar todos os controles sem notificações.
    3. Clique em OK para salvar suas definições.
  • Defina as configurações da zona de segurança da Internet e da intranet local como "Alta" para bloquear controles ActiveX e scripts ativos nessas zonas
    Você pode ajudar a se proteger contra a exploração dessas vulnerabilidades alterando as configurações da zona de segurança da Internet para bloquear controles ActiveX e scripts ativos. Você pode fazer isso definindo a segurança do seu navegador como Alta.

    Para aumentar o nível de segurança de navegação no Internet Explorer, execute as seguintes etapas:

    1. No menu Ferramentas do Internet Explorer, clique em Opções da Internet.
    2. Na caixa de diálogo Opções da Internet , clique na guia segurança e, em seguida, clique em Internet .
    3. Em Nível de segurança para esta zona, mova o controle deslizante para Alto. Isso define o nível de segurança de todos os sites que você visita como Alto.
    4. Clique em Intranet local.
    5. Em Nível de segurança para esta zona, mova o controle deslizante para Alto. Isso define o nível de segurança de todos os sites que você visita como Alto.
    6. Clique em OK para aceitar as alterações e retornar ao Internet Explorer.

    Observação Se nenhum controle deslizante estiver visível, clique em Nível Padrão e mova o controle deslizante para Alto.

    Observação Definir o nível como Alto pode fazer com que alguns sites funcionem incorretamente. Se você tiver dificuldade para usar um site depois de alterar essa configuração e tiver certeza de que o site é seguro para uso, você pode adicionar esse site à sua lista de sites confiáveis. Isso permitirá que o site funcione corretamente, mesmo com a configuração de segurança definida como Alta.

    Impacto da solução alternativa. Há efeitos colaterais no bloqueio de controles ActiveX e scripts ativos. Muitos sites na Internet ou em uma intranet usam ActiveX ou scripts ativos para fornecer funcionalidade adicional. Por exemplo, um site de comércio eletrônico online ou um site bancário pode usar controles ActiveX para fornecer menus, formulários de pedidos ou até mesmo extratos de conta. O bloqueio de controles ActiveX ou scripts ativos é uma configuração global que afeta todos os sites da Internet e da intranet. Se você não quiser bloquear controles ActiveX ou scripts ativos para esses sites, use as etapas descritas em "Adicionar sites confiáveis à zona de sites confiáveis do Internet Explorer".

  • Configure o Internet Explorer para avisar antes de executar o Active Scripting ou para desabilitar o Active Scripting na zona de segurança da Internet e da intranet local
    Você pode ajudar a se proteger contra a exploração dessas vulnerabilidades alterando suas configurações para avisar antes de executar o Active Scripting ou para desabilitar o Active Scripting na zona de segurança da Internet e da intranet local. Para fazer isso, execute estas etapas:

    1. No Internet Explorer, clique em Opções da Internet no menu Ferramentas .
    2. Clique na guia Segurança .
    3. Clique em Internet e, em seguida, clique em Nível Personalizado.
    4. Em Configurações, na seção Scripts, em Scripts Ativos, clique em Avisar ou Desabilitar e clique em OK.
    5. Clique em Intranet local e, em seguida, clique em Nível personalizado.
    6. Em Configurações, na seção Scripts, em Scripts Ativos, clique em chaves do Registro que foram adicionadas no ior Desabilitar e clique em OK.
    7. Clique em OK para retornar ao Internet Explorer e, em seguida, clique em OK novamente.

    Observação Desabilitar scripts ativos nas zonas de segurança da Internet e da intranet local pode fazer com que alguns sites funcionem incorretamente. Se você tiver dificuldade para usar um site depois de alterar essa configuração e tiver certeza de que o site é seguro para uso, você pode adicionar esse site à sua lista de sites confiáveis. Isso permitirá que o site funcione corretamente.

    Impacto da solução alternativa. Há efeitos colaterais ao avisar antes de executar o Active Scripting. Muitos sites que estão na Internet ou em uma intranet usam scripts ativos para fornecer funcionalidade adicional. Por exemplo, um site de comércio eletrônico online ou um site bancário pode usar o Active Scripting para fornecer menus, formulários de pedidos ou até mesmo extratos de conta. Avisar antes de executar o Active Scripting é uma configuração global que afeta todos os sites da Internet e da intranet. Você será solicitado com frequência quando você habilitar essa solução alternativa. Para cada prompt, se você achar que confia no site que está visitando, clique em Sim para executar o Active Scripting. Se você não quiser ser solicitado para todos esses sites, use as etapas descritas em "Adicionar sites confiáveis à zona de sites confiáveis do Internet Explorer".

  • Adicionar sites confiáveis à zona de sites confiáveis do Internet Explorer
    Depois de definir o Internet Explorer para exigir um prompt antes de executar controles ActiveX e scripts ativos na zona da Internet e na zona da intranet local, você pode adicionar sites confiáveis à zona de sites confiáveis do Internet Explorer. Isso permitirá que você continue a usar sites confiáveis exatamente como você faz hoje, enquanto ajuda a protegê-lo contra esse ataque em sites não confiáveis. Recomendamos que você adicione apenas sites confiáveis à zona Sites confiáveis.

    Para fazer isso, execute estas etapas:

    1. No Internet Explorer, clique em Ferramentas , clique em Opções da Internet e, em seguida, clique na guia segurança .
    2. Na caixa Selecione uma zona de conteúdo da Web para especificar suas configurações de segurança atuais, clique em Sites Confiáveis e em Sites.
    3. Se pretender adicionar sites que não requerem um canal encriptado, clique para desmarcar a caixa de verificação Exigir verificação do servidor (https:) para todos os sites nesta zona .
    4. Na caixa Adicionar este site à zona, digite a URL de um site confiável e clique em Adicionar.
    5. Repita estas etapas para cada site que você deseja adicionar à zona.
    6. Clique em OK duas vezes para aceitar as alterações e retornar ao Internet Explorer.

    Observação Adicione todos os sites nos quais você confia para não executar ações maliciosas em seu sistema. Dois sites em particular que você pode querer adicionar são *.windowsupdate.microsoft.com e *.update.microsoft.com. Esses são os sites que hospedarão a atualização e exigem um controle ActiveX para instalar a atualização.

Implantação de atualização de segurança

Para obter informações sobre a Implantação da Atualização de Segurança, consulte o artigo da Base de Dados de Conhecimento Microsoft mencionado no Resumo Executivo.

Agradecimentos

A Microsoft reconhece os esforços daqueles na comunidade de segurança que nos ajudam a proteger os clientes por meio da divulgação coordenada de vulnerabilidades. Consulte Agradecimentos para obter mais informações.

Aviso de isenção de responsabilidade

As informações fornecidas na Base de Dados de Conhecimento Microsoft são fornecidas "no estado em que se encontram", sem qualquer tipo de garantia. A Microsoft se isenta de todas as garantias, expressas ou implícitas, incluindo as garantias de comercialização e adequação a uma finalidade específica. Em nenhuma circunstância a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, incluindo danos diretos, indiretos, incidentais, consequenciais, perda de lucros comerciais ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido avisados da possibilidade de tais danos. Alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou incidentais, portanto, a limitação acima pode não se aplicar.

Revisões

  • V1.0 (10 de janeiro de 2017): Boletim publicado.

Página gerada em 03/01/2017 9:18Z-08:00.