Exportar (0) Imprimir
Expandir Tudo

Boletim de Segurança da Microsoft MS14-022 - Crítica

Vulnerabilidades no Microsoft SharePoint Server podem permitir a execução remota de código (2952166)

Publicado em: 13 de maio de 2014

Versão: 1.0

Informações Gerais

Sinopse

Esta atualização de segurança elimina diversas vulnerabilidades relatadas de forma privada no software de servidor e produtividade do Microsoft Office. A mais severa dessas vulnerabilidades pode permitir execução remota de código se um invasor autenticado enviar conteúdo de uma página especialmente criada para um servidor SharePoint.

Esta atualização de segurança é classificada como Crítica para edições com suporte do Microsoft SharePoint Server 2007, do Microsoft SharePoint Server 2010, do Microsoft SharePoint Server 2013, Microsoft Office Web Apps 2010, Microsoft Office Web Apps Server 2013, Microsoft SharePoint Services 3.0, Microsoft SharePoint Foundation 2010, Microsoft SharePoint Foundation 2013, Microsoft SharePoint Designer 2007, Microsoft SharePoint Designer 2010 e Microsoft SharePoint Designer 2013. Para obter mais informações, consulte a seção Softwares afetados e não afetados.

A atualização de segurança elimina as vulnerabilidades corrigindo como o SharePoint Server e os Aplicativos Web limpam o conteúdo da página especialmente criada. Para obter mais informações sobre as vulnerabilidades, consulte a subseção Perguntas frequentes (FAQ) para a vulnerabilidade específica mais adiante neste boletim.

Recomendação. Os clientes podem configurar a atualização automática para procurar atualizações online do Microsoft Update, usando o serviço Microsoft Update. Os clientes com a atualização automática habilitada e configurada para procurar atualizações online a partir do Microsoft Update geralmente não precisarão tomar nenhuma providência porque esta atualização de segurança será baixada e instalada automaticamente. Os clientes que não têm o recurso de atualizações automáticas habilitado precisarão verificar as atualizações do Microsoft Update e instalar esta atualização manualmente. Para obter informações sobre opções de configuração específicas em atualizações automáticas, consulte o Artigo 294871 da Base de Conhecimento Microsoft.

Para instalações feitas por administradores ou empresas, ou por usuários finais que desejam instalar esta atualização de segurança manualmente, a Microsoft recomenda que os clientes apliquem a atualização assim que possível usando software de gerenciamento de atualização ou verificando se há atualizações no serviço Microsoft Update.

Nota sobre o SharePoint Server As ferramentas de detecção (como Microsoft Update, WSUS, MBSA, SMS e System Center Configuration Manager) são aplicáveis para implementações do Microsoft SharePoint Server de único servidor. As ferramentas de detecção não detectam a aplicabilidade das atualizações em sistemas configurados como parte de farm de servidores do SharePoint de vários sistemas. Para conhecer as instruções recomendadas de como aplicar atualizações ao SharePoint Server, consulte Implantar atualizações de software no SharePoint 2013.

Observação para o Microsoft Office Web Apps Server 2013 Aplicar atualizações do Office Web Apps Server usando o processo de atualizações automáticas não é compatível com o Office Web Apps Server. Para conhecer as instruções recomendadas de como aplicar atualizações ao Office Web Apps Server, consulte Aplicar atualizações de software no Office Web Apps Server.

 

Artigo da Base de Conhecimento Microsoft

  • Artigo da Base de Conhecimento Microsoft: 2952166
  • Informações sobre o arquivo: Sim
  • Hashes SHA1/SHA2: Sim
  • Problemas conhecidos: Sim

 

O software a seguir foi testado para determinar quais versões ou edições foram afetadas. O ciclo de vida do suporte das outras versões ou edições já terminou ou elas não são afetadas. Para determinar o ciclo de vida do suporte para sua versão ou edição de software, visite o site Ciclo de vida do suporte Microsoft.

Softwares afetados 

Microsoft Server Software 

Software

Componente

Impacto máximo à segurança

Avaliação de gravidade agregada

Atualizações substituídas

Microsoft SharePoint Server 2007

Microsoft SharePoint Server 2007 Service Pack 3 (edições de 32 bits)

Microsoft Windows SharePoint Services 3.0 Service Pack 3 (versões de 32 bits)
(2837616)

Execução remota de código

Crítica

2760420 no boletim MS13-067

Microsoft SharePoint Server 2007 Service Pack 3 (edições de 32 bits)

SharePoint Server 2007 Service Pack 3 (edições de 32 bits) (dlcapp)
(2596902)

Execução remota de código

Crítica

Nenhuma

Microsoft SharePoint Server 2007 Service Pack 3 (edições de 32 bits)

SharePoint Server 2007 Service Pack 3 (edições de 32 bits) (dlc)
(2596763)

Execução remota de código

Crítica

Nenhuma

Microsoft SharePoint Server 2007 Service Pack 3 (edições de 64 bits)

Microsoft Windows SharePoint Services 3.0 Service Pack 3 (versões de 64 bits)
(2837616)

Execução remota de código

Crítica

2760420 no boletim MS13-067

Microsoft SharePoint Server 2007 Service Pack 3 (edições de 64 bits)

SharePoint Server 2007 Service Pack 3 (edições de 64 bits) (dlcapp)
(2596902)

Execução remota de código

Crítica

Nenhuma

Microsoft SharePoint Server 2007 Service Pack 3 (edições de 64 bits)

SharePoint Server 2007 Service Pack 3 (edições de 64 bits) (dlc)
(2596763)

Execução remota de código

Crítica

Nenhuma

Microsoft SharePoint Server 2010

Microsoft SharePoint Server 2010 Service Pack 1

Microsoft SharePoint Foundation 2010 Service Pack 1 (wss)
(2837588)

Execução remota de código

Crítica

2810067 no MS13-067

Microsoft SharePoint Server 2010 Service Pack 2

Microsoft SharePoint Foundation 2010 Service Pack 2 (wss)
(2837588)

Execução remota de código

Crítica

2810067 no MS13-067

Microsoft SharePoint Server 2010 Service Pack 1

Microsoft SharePoint Server 2010 Service Pack 1 (coreserver)
(2837598)

Execução remota de código

Crítica

2817393 no boletim MS13-067

Microsoft SharePoint Server 2010 Service Pack 2

Microsoft SharePoint Server 2010 Service Pack 2 (coreserver)
(2837598)

Execução remota de código

Crítica

2817393 no boletim MS13-067

Microsoft SharePoint Server 2013

Microsoft SharePoint Server 2013

Microsoft SharePoint Foundation 2013 (sts)
(2863856)

Execução remota de código

Crítica

2817315 no boletim MS13-067

Microsoft SharePoint Server 2013 Service Pack 1

Microsoft SharePoint Foundation 2013 Service Pack 1 (sts)
(2863856)

Execução remota de código

Crítica

Nenhuma

Microsoft SharePoint Server 2013

Microsoft SharePoint Foundation 2013 (wssloc)
(2863863)

Execução remota de código

Crítica

Nenhuma

Microsoft SharePoint Server 2013 Service Pack 1

Microsoft SharePoint Foundation 2013 Service Pack 1 (wssloc)
(2863863)

Execução remota de código

Crítica

Nenhuma

Microsoft SharePoint Server 2013

Microsoft SharePoint Server 2013 (coreserverloc)
(2863829)

Execução remota de código

Crítica

2850058 no boletim MS13-100

Microsoft SharePoint Server 2013 Service Pack 1

Microsoft SharePoint Server 2013 Service Pack 1 (coreserverloc)
(2863829)

Execução remota de código

Crítica

Nenhuma

 

Microsoft Office Services e Web Apps

Software

Componente

Impacto máximo à segurança

Avaliação de gravidade agregada

Atualizações substituídas

Microsoft SharePoint Server 2010

Microsoft SharePoint Server 2010 Service Pack 1

Microsoft Project Server 2010 Service Pack 1
(2863922)

Execução remota de código

Crítica

Nenhuma

Microsoft SharePoint Server 2010 Service Pack 2

Microsoft Project Server 2010 Service Pack 2
(2863922)

Execução remota de código

Crítica

Nenhuma

Microsoft SharePoint Server 2013

Microsoft SharePoint Server 2013

Microsoft Project Server 2013
(2760236)

Execução remota de código

Crítica

Nenhuma

Microsoft SharePoint Server 2013 Service Pack 1

Microsoft Project Server 2013 Service Pack 1
(2760236)

Execução remota de código

Crítica

Nenhuma

Microsoft Office Web Apps 2010

Microsoft Office Web Apps 2010 Service Pack 1

Microsoft Web Applications 2010 Service Pack 1
(2880536)

Execução remota de código

Crítica

2878221 no boletim MS14-017

Microsoft Office Web Apps 2010 Service Pack 2

Microsoft Web Applications 2010 Service Pack 2
(2880536)

Execução remota de código

Crítica

2878221 no boletim MS14-017

Microsoft Office Web Apps 2013

Microsoft Office Web Apps 2013

Microsoft Office Web Apps Server 2013
(2880453)

Execução remota de código

Crítica

2878219 no boletim MS14-017

Microsoft Office Web Apps 2013 Service Pack 1

Microsoft Office Web Apps Server 2013 Service Pack 1
(2880453)

Execução remota de código

Crítica

2878219 no boletim MS14-017

 

Software de Produtividade

Softwares afetados

Impacto máximo à segurança

Avaliação de gravidade agregada

Atualizações substituídas

SharePoint Server 2013 Client Components SDK

SharePoint Server 2013 Client Components SDK (versão de 32 bits)
(2863854)

Execução remota de código

Crítica

Nenhuma

SharePoint Server 2013 Client Components SDK (versão de 64 bits)
(2863854)

Execução remota de código

Crítica

Nenhuma

Microsoft SharePoint Designer 2007

Microsoft SharePoint Designer 2007 Service Pack 3 (ewd)
(2596861)

Execução remota de código

Crítica

Nenhuma

Microsoft SharePoint Designer 2007 Service Pack 3 (spd)
(2596810)

Execução remota de código

Crítica

Nenhuma

Microsoft SharePoint Designer 2010

Microsoft SharePoint Designer 2010 Service Pack 1 (versões de 32 bits)
(2810069)

Execução remota de código

Crítica

Nenhuma

Microsoft SharePoint Designer 2010 Service Pack 2 (versões de 32 bits)
(2810069)

Execução remota de código

Crítica

Nenhuma

Microsoft SharePoint Designer 2010 Service Pack 1 (versões de 64 bits)
(2810069)

Execução remota de código

Crítica

Nenhuma

Microsoft SharePoint Designer 2010 Service Pack 2 (versões de 64 bits)
(2810069)

Execução remota de código

Crítica

Nenhuma

Microsoft SharePoint Designer 2013

Microsoft SharePoint Designer 2013 (versões de 32 bits) (spdcore)
(2752096)

Execução remota de código

Crítica

Nenhuma

Microsoft SharePoint Designer 2013 Service Pack 1 (versões de 32 bits) (spdcore)
(2752096)

Execução remota de código

Crítica

Nenhuma

Microsoft SharePoint Designer 2013 (versões de 32 bits) (spd)
(2863836)

Execução remota de código

Crítica

Nenhuma

Microsoft SharePoint Designer 2013 Service Pack 1 (versões de 32 bits) (spd)
(2863836)

Execução remota de código

Crítica

Nenhuma

Microsoft SharePoint Designer 2013 (versões de 64 bits) (spdcore)
(2752096)

Execução remota de código

Crítica

Nenhuma

Microsoft SharePoint Designer 2013 Service Pack 1 (versões de 64 bits) (spdcore)
(2752096)

Execução remota de código

Crítica

Nenhuma

Microsoft SharePoint Designer 2013 (versões de 64 bits) (spd)
(2863836)

Execução remota de código

Crítica

Nenhuma

Microsoft SharePoint Designer 2013 Service Pack 1 (versões de 64 bits) (spd)
(2863836)

Execução remota de código

Crítica

Nenhuma

 

Softwares não afetados 

Software

Service Pack 3 para Microsoft SharePoint Server 2007 (edição de 32 bits)

Service Pack 3 para Microsoft SharePoint Server 2007 (edição de 64 bits)

 

Por que esta atualização elimina várias vulnerabilidades de segurança reportadas? 
Esta atualização contém suporte para diversas vulnerabilidades porque as modificações necessárias para corrigir esses problemas foram feitas em arquivos relacionados.

Por que diversos pacotes de atualização estão disponíveis para alguns softwares afetados? 
As atualizações necessárias para sanar as vulnerabilidades descritas neste boletim são oferecidas através de diferentes atualizações de pacote de servidor, como indicado na tabela Softwares afetados, devido ao modelo de serviços para componentes para o Microsoft Office e o Microsoft SharePoint Server.

Há vários pacotes de atualização disponíveis para alguns softwares afetados. Devo instalar todas as atualizações listadas na tabela de Softwares afetados para o software? 
Sim. Os clientes devem aplicar todas as atualizações oferecidas para o software instalado em seus sistemas.

Devo instalar essas atualizações de segurança em uma determinada sequência? 
Não. Várias atualizações para uma versão do Microsoft Office ou Microsoft SharePoint Server podem ser aplicadas em qualquer sequência.

Uso uma versão mais antiga do software discutido neste boletim de segurança. O que devo fazer? 
Os softwares afetados listados neste boletim foram testados para determinar quais edições são afetadas. Outras versões passaram seu ciclo de vida de suporte. Para obter mais informações sobre o ciclo de vida do produto, visite o site Ciclo de vida do suporte Microsoft.

Os clientes que possuem versões anteriores do software devem priorizar a migração para as versões com suporte, a fim de evitar uma possível exposição a vulnerabilidades. Para determinar o ciclo de vida do suporte para sua versão de software, consulte Selecione um Produto para Obter Informações do Ciclo de Vida. Para obter mais informações sobre service packs para essas versões de software, consulte Política de Suporte do Ciclo de Vida do Service Pack.

Os clientes que precisarem de suporte adicional para software mais antigo deverão entrar em contato com o representante da equipe de contas da Microsoft, o gerente técnico da conta ou o representante do parceiro Microsoft apropriado para obter opções de suporte personalizadas. Os clientes sem um contrato Premier ou Authorized podem entrar em contato com o escritório de vendas local da Microsoft. Para obter informações de contato, visite o site de Informações internacionais da Microsoft, selecione o país na lista de informações de contato e, em seguida, clique em Ir para ver uma lista de telefones. Ao ligar, peça para falar com o gerente de vendas local de Suporte Premier. Para obter mais informações, consulte as Perguntas Frequentes sobre a Política do Ciclo de Vida do Suporte da Microsoft.

As classificações de gravidade a seguir pressupõem o impacto máximo possível da vulnerabilidade. Para obter informações referentes à probabilidade de exploração da vulnerabilidade em relação à sua classificação de gravidade e ao impacto à segurança, dentro de 30 dias a partir do lançamento deste boletim de segurança, consulte o Índice de exploração no resumo de boletins de maio. Para obter mais informações, consulte o Índice de exploração da Microsoft.

Microsoft Server Software 

A Classificação de gravidade de vulnerabilidade e Impacto máximo de segurança por software afetado

Softwares afetados

Vulnerabilidade de conteúdo da página do SharePoint - CVE-2014-0251

Vulnerabilidade de XSS do SharePoint - CVE-2014-1754

Vulnerabilidade de conteúdo da página de aplicativos Web - CVE-2014-1813

Avaliação de gravidade agregada

Microsoft SharePoint Server 2007

Microsoft Windows SharePoint Services 3.0 Service Pack 3 (versões de 32 bits)

Crítica 
Execução remota de código

Não Aplicável

Não Aplicável

Crítica

SharePoint Server 2007 (edições de 32 bits) (dlcapp)

Crítica 
Execução remota de código

Não Aplicável

Não Aplicável

Crítica

SharePoint Server 2007 (edições de 32 bits) (dlc)

Crítica 
Execução remota de código

Não Aplicável

Não Aplicável

Crítica

Microsoft Windows SharePoint Services 3.0 Service Pack 3 (versões de 64 bits)

Crítica 
Execução remota de código

Não Aplicável

Não Aplicável

Crítica

SharePoint Server 2007 (edições de 64 bits) (dlcapp)

Crítica 
Execução remota de código

Não Aplicável

Não Aplicável

Crítica

SharePoint Server 2007 (edições de 64 bits) (dlc)

Crítica 
Execução remota de código

Não Aplicável

Não Aplicável

Crítica

Microsoft SharePoint Server 2010

Microsoft SharePoint Foundation 2010 Service Pack 1 (wss)

Crítica 
Execução remota de código

Não Aplicável

Não Aplicável

Crítica

Microsoft SharePoint Foundation 2010 Service Pack 2 (wss)

Crítica 
Execução remota de código

Não Aplicável

Não Aplicável

Crítica

Microsoft SharePoint Server 2010 Service Pack 1 (coreserver)

Crítica 
Execução remota de código

Não Aplicável

Não Aplicável

Crítica

Microsoft SharePoint Server 2010 Service Pack 2 (coreserver)

Crítica 
Execução remota de código

Não Aplicável

Não Aplicável

Crítica

Microsoft SharePoint Server 2013

Microsoft SharePoint Foundation 2013 (sts)

Crítica 
Execução remota de código

Importante 
Elevação de privilégio

Não Aplicável

Crítica

Microsoft SharePoint Foundation 2013 (wssloc)

Crítica 
Execução remota de código

Importante 
Elevação de privilégio

Não Aplicável

Crítica

Microsoft SharePoint Server 2013 (coreserverloc)

Crítica 
Execução remota de código

Importante 
Elevação de privilégio

Não Aplicável

Crítica

 

Microsoft Office Services e Web Apps 

A Classificação de gravidade de vulnerabilidade e Impacto máximo de segurança por software afetado

Softwares afetados

Vulnerabilidade de conteúdo da página do SharePoint - CVE-2014-0251

Vulnerabilidade de XSS do SharePoint - CVE-2014-1754

Vulnerabilidade de conteúdo da página de aplicativos Web - CVE-2014-1813

Avaliação de gravidade agregada

Microsoft SharePoint Server 2010

Microsoft Project Server 2010 Service Pack 1

Crítica 
Execução remota de código

Não Aplicável

Não Aplicável

Crítica

Microsoft Project Server 2010 Service Pack 2

Crítica 
Execução remota de código

Não Aplicável

Não Aplicável

Crítica

Microsoft SharePoint Server 2013

Microsoft Project Server 2013

Crítica 
Execução remota de código

Não Aplicável

Não Aplicável

Crítica

Microsoft Project Server 2013 Service Pack 1

Crítica 
Execução remota de código

Não Aplicável

Não Aplicável

Crítica

Microsoft Office Web Apps 2010

Microsoft Web Applications 2010 Service Pack 1

Crítica 
Execução remota de código

Não Aplicável

Crítica 
Execução remota de código

Crítica

Microsoft Web Applications 2010 Service Pack 2

Crítica 
Execução remota de código

Não Aplicável

Crítica 
Execução remota de código

Crítica

Microsoft Office Web Apps 2013

Microsoft Office Web Apps Server 2013

Crítica 
Execução remota de código

Importante 
Elevação de privilégio

Não Aplicável

Crítica

Microsoft Office Web Apps Server 2013 Service Pack 1

Crítica 
Execução remota de código

Importante 
Elevação de privilégio

Não Aplicável

Crítica

 

Software de Produtividade 

A Classificação de gravidade de vulnerabilidade e Impacto máximo de segurança por software afetado

Softwares afetados

Vulnerabilidade de conteúdo da página do SharePoint - CVE-2014-0251

Vulnerabilidade de XSS do SharePoint - CVE-2014-1754

Vulnerabilidade de conteúdo da página de aplicativos Web - CVE-2014-1813

Avaliação de gravidade agregada

SharePoint Server 2013 Client Components SDK

SharePoint Server 2013 Client Components SDK (versão de 32 bits)

Crítica 
Execução remota de código

Importante 
Elevação de privilégio

Não Aplicável

Crítica

SharePoint Server 2013 Client Components SDK (versão de 64 bits)

Crítica 
Execução remota de código

Importante 
Elevação de privilégio

Não Aplicável

Crítica

Microsoft SharePoint Designer

Microsoft SharePoint Designer 2007 Service Pack 3 (ewd)

Crítica 
Execução remota de código

Não Aplicável

Não Aplicável

Crítica

Microsoft SharePoint Designer 2007 Service Pack 3

Crítica 
Execução remota de código

Não Aplicável

Não Aplicável

Crítica

Microsoft SharePoint Designer 2010 Service Pack 1 (versões de 32 bits)

Crítica 
Execução remota de código

Não Aplicável

Não Aplicável

Crítica

Microsoft SharePoint Designer 2010 Service Pack 2 (versões de 32 bits)

Crítica 
Execução remota de código

Não Aplicável

Não Aplicável

Crítica

Microsoft SharePoint Designer 2010 Service Pack 1 (versões de 64 bits)

Crítica 
Execução remota de código

Não Aplicável

Não Aplicável

Crítica

Microsoft SharePoint Designer 2010 Service Pack 2 (versões de 64 bits)

Crítica 
Execução remota de código

Não Aplicável

Não Aplicável

Crítica

Microsoft SharePoint Designer 2013 (versões de 32 bits)

Crítica 
Execução remota de código

Não Aplicável

Não Aplicável

Crítica

Microsoft SharePoint Designer 2013 Service Pack 1 (versões de 32 bits)

Crítica 
Execução remota de código

Não Aplicável

Não Aplicável

Crítica

Microsoft SharePoint Designer 2013 (versões de 64 bits) (spd)

Crítica 
Execução remota de código

Não Aplicável

Não Aplicável

Crítica

Microsoft SharePoint Designer 2013 Service Pack 1 (versões de 64 bits)

Crítica 
Execução remota de código

Não Aplicável

Não Aplicável

Crítica

 

Existem vulnerabilidades de execução remota de código no Microsoft SharePoint Server. O invasor autenticado que conseguir explorar alguma dessas vulnerabilidades pode executar código arbitrário no contexto de segurança da conta de serviço W3WP.

Para exibir as vulnerabilidades relacionadas como uma entrada padrão na lista Common Vulnerabilities and Exposures, consulte CVE-2014-0251.

Fatores atenuantes

A atenuação refere-se a uma configuração, configuração comum ou prática recomendada geral, existindo num estado padrão, que possa reduzir a gravidade de exploração de uma vulnerabilidade. Os fatores de atenuação a seguir podem ser úteis em sua situação:

  • Para explorar qualquer uma destas vulnerabilidades, o invasor deve poder autenticar no site do SharePoint de destino. Observe que isto não é um fator atenuante caso o site do SharePoint esteja configurado para permitir que usuários anônimos acessem o site. Por padrão, o acesso anônimo não está ativado.

Soluções alternativas

A Microsoft não identificou nenhuma solução alternativa para essas vulnerabilidades.

Perguntas frequentes

Qual é o escopo das vulnerabilidades? 
Elas são vulnerabilidades relacionadas de execução remota de código.

O que causa as vulnerabilidades? 
Quando o conteúdo da página não é adequadamente limpo, existem condições em que o invasor pode executar código arbitrário no contexto de segurança da conta de serviço W3WP.

Por que um único Identificador de CVE é atribuído a diversas vulnerabilidades? 
Embora as vulnerabilidades estejam em componentes diferentes do Microsoft SharePoint Server, todos eles compartilham o mesmo problema subjacente e código relacionado. As vulnerabilidades são agrupadas num único Identificador de CVE que representa o problema subjacente.

Para que um invasor pode usar as vulnerabilidades? 
O invasor que conseguir explorar qualquer uma dessas vulnerabilidades pode executar código arbitrário no contexto de segurança da conta de serviço W3WP no site do SharePoint de destino.

De que forma o invasor pode explorar as vulnerabilidades? 
Um invasor autenticado pode tentar explorar qualquer uma destas vulnerabilidades enviando conteúdo da página especialmente criada a um servidor SharePoint.

Quais são os sistemas que mais correm riscos com as vulnerabilidades? 
Os sistemas que executam uma versão afetada do SharePoint Server estão principalmente em risco.

O que a atualização faz? 
A atualização elimina as vulnerabilidades relacionadas corrigindo como o SharePoint Server limpa o conteúdo da página especialmente criada.

Quando este boletim de segurança foi lançado, essas vulnerabilidades já tinham sido divulgadas publicamente? 
Não. A Microsoft recebeu informações sobre estas vulnerabilidades relacionadas por meio da divulgação coordenada de vulnerabilidades.

Quando este boletim de segurança foi lançado, a Microsoft recebeu algum relatório informando que essas vulnerabilidades estavam sendo exploradas? 
Não. A Microsoft não recebeu nenhuma informação indicando que essas vulnerabilidades relacionadas tinham sido usadas publicamente para atacar clientes quando este boletim de segurança foi lançado pela primeira vez.

Existe uma vulnerabilidade de elevação de privilégio no Microsoft SharePoint Server. O invasor que conseguir explorar esta vulnerabilidade poderá executar ataques de script entre sites em sistemas afetados e executar scripts no contexto de segurança do usuário conectado.

Para exibir esta vulnerabilidade como uma entrada padrão na lista Common Vulnerabilities and Exposures, consulte CVE-2014-1754.

Fatores atenuantes

A Microsoft não identificou nenhum fator atenuante para essa vulnerabilidade.

Soluções alternativas

A Microsoft não identificou nenhuma solução alternativa para esta vulnerabilidade.

Perguntas frequentes

Qual é o escopo da vulnerabilidade? 
Esta é uma vulnerabilidade de elevação de privilégio.

O que provoca a vulnerabilidade? 
A vulnerabilidade é causada quando o SharePoint Server não limpa adequadamente a solicitação especialmente criada de um servidor do SharePoint afetado.

Para que um invasor pode usar a vulnerabilidade? 
Um invasor que explorou com êxito esta vulnerabilidade podia ler conteúdo que o invasor não está autorizado a ler, usar a identidade da vítima para tomar ações no site do SharePoint em nome da vítima, tal como permissões de alteração e exclusão de conteúdo, além da inserção de conteúdo mal-intencionado no navegador da vítima.

De que forma o invasor pode explorar a vulnerabilidade? 
Um invasor autenticado pode explorar esta vulnerabilidade enviando uma solicitação especialmente a um servidor afetado do SharePoint.

Quais são os principais sistemas que correm riscos com a vulnerabilidade? 
Qualquer sistema executando uma versão afetada do SharePoint Server corre risco com esta vulnerabilidade.

O que a atualização faz? 
A atualização trata a vulnerabilidade ajudando a garantir que o SharePoint Server limpe adequadamente as entradas do usuário.

Quando esse boletim de segurança foi lançado, essa vulnerabilidade já tinha sido divulgada publicamente? 
Não. A Microsoft recebeu informações sobre esta vulnerabilidade por meio da divulgação coordenada de vulnerabilidades.

Quando este boletim de segurança foi lançado, a Microsoft havia recebido algum relatório informando que essa vulnerabilidade estava sendo explorada? 
Não. A Microsoft não recebeu nenhuma informação indicando que essa vulnerabilidade tinha sido usada publicamente para atacar clientes quando este boletim de segurança foi lançado pela primeira vez.

Existe uma vulnerabilidade de execução remota de código nos Aplicativos web da Microsoft. O invasor autenticado que conseguir explorar essa vulnerabilidade pode executar código arbitrário no contexto da conta de serviço W3WP.

Para exibir esta vulnerabilidade como uma entrada padrão na lista Common Vulnerabilities and Exposures, consulte CVE-2014-1813.

Fatores atenuantes

A atenuação refere-se a uma configuração, configuração comum ou prática recomendada geral, existindo num estado padrão, que possa reduzir a gravidade de exploração de uma vulnerabilidade. Os fatores de atenuação a seguir podem ser úteis em sua situação:

  • Para explorar esta vulnerabilidade, o invasor deve poder autenticar no site do SharePoint de destino. Observe que isto não é um fator atenuante caso o site do SharePoint esteja configurado para permitir que usuários anônimos acessem o site. Por padrão, o acesso anônimo não está ativado.

Soluções alternativas

A Microsoft não identificou nenhuma solução alternativa para esta vulnerabilidade.

Perguntas frequentes

Qual é o escopo da vulnerabilidade? 
Essa é uma vulnerabilidade de execução remota de código.

O que provoca a vulnerabilidade? 
Quando o conteúdo da página não é adequadamente limpo, existem condições em que o invasor pode executar código arbitrário no contexto de segurança da conta de serviço W3WP.

Para que um invasor pode usar a vulnerabilidade? 
O invasor autenticado que conseguir explorar essa vulnerabilidade pode executar código arbitrário no contexto da conta de serviço W3WP em um site do SharePoint de destino.

De que forma o invasor pode explorar a vulnerabilidade? 
Um invasor autenticado pode tentar explorar esta vulnerabilidade enviando conteúdo da página especialmente criada a um servidor SharePoint.

Quais são os principais sistemas que correm riscos com a vulnerabilidade? 
Os sistemas que executam uma versão afetada do SharePoint Server estão principalmente em risco.

O que a atualização faz? 
A atualização elimina a vulnerabilidade corrigindo como os Aplicativos Web limpam o conteúdo da página especialmente criada.

Quando esse boletim de segurança foi lançado, essa vulnerabilidade já tinha sido divulgada publicamente? 
Não. A Microsoft recebeu informações sobre esta vulnerabilidade por meio da divulgação coordenada de vulnerabilidades.

Quando este boletim de segurança foi lançado, a Microsoft havia recebido algum relatório informando que essa vulnerabilidade estava sendo explorada? 
Não. A Microsoft não recebeu nenhuma informação indicando que essa vulnerabilidade tinha sido usada publicamente para atacar clientes quando este boletim de segurança foi lançado pela primeira vez.

Vários recursos estão disponíveis para ajudar administradores a implantar atualizações de segurança. 

  • O MBSA (Microsoft Baseline Security Analyzer) permite aos administradores pesquisar, em sistemas locais e remotos, atualizações de segurança ausentes e problemas de configuração de segurança comuns. 
  • O WSUS (Windows Server Update Services), SMS (Systems Management Server) e SCCM (System Center Configuration Manager) ajudam os administradores a distribuir as atualizações de segurança. 
  • Os componentes do Avaliador de compatibilidade com atualizações, incluídos no Kit de ferramentas de compatibilidade de aplicativos, auxilia a otimizar os testes e a validação das atualizações do Windows com relação aos aplicativos instalados. 

Para informações sobre estas e outras ferramentas que estão disponíveis, consulte Ferramentas de segurança para profissionais de TI

Nota sobre o SharePoint Server As ferramentas de detecção (como Microsoft Update, WSUS, MBSA, SMS e System Center Configuration Manager) são aplicáveis para implementações do Microsoft SharePoint Server de único servidor. As ferramentas de detecção não detectam a aplicabilidade das atualizações em sistemas configurados como parte de farm de servidores do SharePoint de vários sistemas. Para conhecer as instruções recomendadas de como aplicar atualizações ao SharePoint Server, consulte Implantar atualizações de software no SharePoint 2013.

Observação para o Microsoft Office Web Apps Server 2013 Aplicar atualizações do Office Web Apps Server usando o processo de atualizações automáticas não é compatível com o Office Web Apps Server. Para conhecer as instruções recomendadas de como aplicar atualizações ao Office Web Apps Server, consulte Aplicar atualizações de software no Office Web Apps Server.

SharePoint Server 2007 (todas as edições) e Windows SharePoint Services 3.0 (todas as versões)

Tabela de referência

A tabela a seguir contém as informações de atualização de segurança desse software.

Nome do arquivo de atualização de segurança

Para Microsoft SharePoint Server 2007 (edições de 32 bits) e Microsoft Windows SharePoint Services 3.0 (versões de 32 bits):
sts2007-kb2837616-fullfile-x86-glb.exe

 

Para Microsoft SharePoint Server 2007 (edições de 32 bits):
dlcapp2007-kb2596902-fullfile-x86-glb.exe
dlc2007-kb2596763-fullfile-x86-glb.exe

 

Para Microsoft SharePoint Server 2007 (edições de 64 bits) e Microsoft Windows SharePoint Services 3.0 (versões de 64 bits):
sts2007-kb2837616-fullfile-x64-glb.exe

 

Para Microsoft SharePoint Server 2007 (edições de 64 bits):
dlcapp2007-kb2596902-fullfile-x64-glb.exe
dlc2007-kb2596763-fullfile-x64-glb.exe

Opções de instalação

Consulte o artigo 912203 (em inglês) da Microsoft Knowledge Base

Requisito de reinicialização

Em alguns casos, esta atualização não exige a reinicialização. Se os arquivos exigidos estiverem em uso, será necessária uma reinicialização. Se isso ocorrer, uma mensagem que aconselha a reinicialização será exibida.

Para reduzir a chance de uma reinicialização não ser solicitada, interrompa todos os serviços afetados e feche todos os aplicativos que possam usar os arquivos afetados antes de instalar a atualização de segurança. Para obter mais informações sobre os motivos pelos quais você será solicitado a reiniciar, consulte o Artigo 887012 (em inglês) da Microsoft Knowledge Base.

Informações sobre remoção

Esta atualização de segurança não pode ser removida.

Informações sobre o arquivo

Para Microsoft SharePoint Server 2007 e Microsoft Windows SharePoint Services 3.0:
Consulte o Artigo 2837616 (em inglês) da Microsoft Knowledge Base

 

Para Microsoft SharePoint Server 2007:
Consulte o Artigo 2596902 (em inglês) e o Artigo 2596763 (em inglês) da Microsoft Knowledge Base

Verificação da chave do Registro

Não Aplicável

 

SharePoint Server 2010 (todas as edições) e SharePoint Foundation 2010 (todas as versões)

Tabela de referência

A tabela a seguir contém as informações de atualização de segurança desse software.

Nome do arquivo de atualização de segurança

Para Microsoft SharePoint Foundation 2010 e Microsoft SharePoint Foundation 2010:
wss2010-kb2837588-fullfile-x64-glb.exe

 

Para Microsoft SharePoint Server 2010:
coreserver2010-kb2837598-fullfile-x64-glb.exe

Opções de instalação

Consulte o artigo 912203 (em inglês) da Microsoft Knowledge Base

Requisito de reinicialização

Em alguns casos, esta atualização não exige a reinicialização. Se os arquivos exigidos estiverem em uso, será necessária uma reinicialização. Se isso ocorrer, uma mensagem que aconselha a reinicialização será exibida.

Para reduzir a chance de uma reinicialização não ser solicitada, interrompa todos os serviços afetados e feche todos os aplicativos que possam usar os arquivos afetados antes de instalar a atualização de segurança. Para obter mais informações sobre os motivos pelos quais você será solicitado a reiniciar, consulte o Artigo 887012 (em inglês) da Microsoft Knowledge Base.

Informações sobre remoção

Esta atualização de segurança não pode ser removida.

Informações sobre o arquivo

Para Microsoft SharePoint Foundation 2010 e Microsoft SharePoint Foundation 2010:
Artigo 2837588 (em inglês) da Microsoft Knowledge Base

 

Para Microsoft SharePoint Server 2010:
Artigo 2837598 (em inglês) da Microsoft Knowledge Base

Verificação da chave do Registro

Não Aplicável

 

SharePoint Server 2013 (todas as edições) e SharePoint Foundation 2013 (todas as versões)

Tabela de referência

A tabela a seguir contém as informações de atualização de segurança desse software.

Nome do arquivo de atualização de segurança

Para Microsoft SharePoint Server 2013 e Microsoft SharePoint Foundation 2013:
sts2013-kb2863856-fullfile-x64-glb.exe
wssloc2013-kb2863863-fullfile-x64-glb.exe

 

Para Microsoft SharePoint Server 2013:
coreserverloc2013-kb2863829-fullfile-x64-glb.exe

Opções de instalação

Consulte o artigo 912203 (em inglês) da Microsoft Knowledge Base

Requisito de reinicialização

Em alguns casos, esta atualização não exige a reinicialização. Se os arquivos exigidos estiverem em uso, será necessária uma reinicialização. Se isso ocorrer, uma mensagem que aconselha a reinicialização será exibida.

Para reduzir a chance de uma reinicialização não ser solicitada, interrompa todos os serviços afetados e feche todos os aplicativos que possam usar os arquivos afetados antes de instalar a atualização de segurança. Para obter mais informações sobre os motivos pelos quais você será solicitado a reiniciar, consulte o Artigo 887012 (em inglês) da Microsoft Knowledge Base.

Informações sobre remoção

Esta atualização de segurança não pode ser removida.

Informações sobre o arquivo

Para Microsoft SharePoint Server 2013 e Microsoft SharePoint Foundation 2013:
Consulte o Artigo 2863856 (em inglês) e o Artigo 2863863 (em inglês) da Microsoft Knowledge Base

 

Para Microsoft SharePoint Server 2013:
Consulte o Artigo 2863829 (em inglês) da Microsoft Knowledge Base

Verificação da chave do Registro

Não Aplicável

 

Office Services e Office Web Apps 2010 (todas as versões)

Tabela de referência

A tabela a seguir contém as informações de atualização de segurança desse software.

Nome do arquivo de atualização de segurança

Para versões com suporte do Microsoft Project Server 2010:
prjsrv2010-kb2863922-fullfile-x64-glb.exe

 

Para todas edições com suporte do Microsoft Office Web App 2010:
wac2010-kb2880536-fullfile-x64-glb.exe

Opções de instalação

Consulte o artigo 912203 (em inglês) da Microsoft Knowledge Base

Requisito de reinicialização

Em alguns casos, esta atualização não exige a reinicialização. Se os arquivos exigidos estiverem em uso, será necessária uma reinicialização. Se isso ocorrer, uma mensagem que aconselha a reinicialização será exibida.

Para reduzir a chance de uma reinicialização não ser solicitada, interrompa todos os serviços afetados e feche todos os aplicativos que possam usar os arquivos afetados antes de instalar a atualização de segurança. Para obter mais informações sobre os motivos pelos quais você será solicitado a reiniciar, consulte o Artigo 887012 (em inglês) da Microsoft Knowledge Base.

Informações sobre remoção

Esta atualização de segurança não pode ser removida.

Informações sobre o arquivo

Para versões com suporte do Microsoft Project Server 2010:
Consulte o Artigo 2863922 (em inglês) da Microsoft Knowledge Base

 

Para todas edições com suporte do Microsoft Office Web App 2010:
Consulte o Artigo 2880536 (em inglês) da Microsoft Knowledge Base

Verificação da chave do Registro

Não Aplicável

 

Office Services e Office Web Apps Server 2013 (todas as versões)

Tabela de referência

A tabela a seguir contém as informações de atualização de segurança desse software.

Nome do arquivo de atualização de segurança

Para versões com suporte do Microsoft Project Server 2013:
pjsrvloc2013-kb2760236-fullfile-x64-glb.exe

 

Para todas as edições com suporte do Microsoft Office Web Apps Server 2013:
wacserver2013-kb2880453-fullfile-x64-glb.exe

Opções de instalação

Consulte o artigo 912203 (em inglês) da Microsoft Knowledge Base

Requisito de reinicialização

Em alguns casos, esta atualização não exige a reinicialização. Se os arquivos exigidos estiverem em uso, será necessária uma reinicialização. Se isso ocorrer, uma mensagem que aconselha a reinicialização será exibida.

Para reduzir a chance de uma reinicialização não ser solicitada, interrompa todos os serviços afetados e feche todos os aplicativos que possam usar os arquivos afetados antes de instalar a atualização de segurança. Para obter mais informações sobre os motivos pelos quais você será solicitado a reiniciar, consulte o Artigo 887012 (em inglês) da Microsoft Knowledge Base.

Informações sobre remoção

Esta atualização de segurança não pode ser removida.

Informações sobre o arquivo

Para Microsoft Project Server 2013:
Artigo 2760236 (em inglês) da Microsoft Knowledge Base

 

For Microsoft Office Web Apps Server 2013:
Artigo 2880453 (em inglês) da Microsoft Knowledge Base

Verificação da chave do Registro

Não Aplicável

 

SharePoint Server 2013 Client Components SDK e SharePoint Designer (todas as edições)

Tabela de referência

A tabela a seguir contém as informações de atualização de segurança desse software.

Nome do arquivo de atualização de segurança

SharePoint Server 2013 Client Components SDK (versão de 32 bits):
spdevsdk2013-kb2863854-fullfile-x86-glb.exe

 

SharePoint Server 2013 Client Components SDK (versão de 64 bits):
spdevsdk2013-kb2863854-fullfile-x64-glb.exe

 

Para Microsoft SharePoint Designer 2007:
ewd2007-kb2596861-fullfile-x86-glb.exe
spd2007-kb2596810-fullfile-x86-glb.exe

 

Para Microsoft SharePoint Designer 2010 (versões de 32 bits):
spd2010-kb2810069-fullfile-x86-glb.exe

 

Para Microsoft SharePoint Designer 2010 (versões de 64 bits):
spd2010-kb2810069-fullfile-x64-glb.exe

 

Para Microsoft SharePoint Designer 2013 (versões de 32 bits):
spdcore2013-kb2752096-fullfile-x86-glb.exe
spd2013-kb2863836-fullfile-x86-glb.exe

 

Para Microsoft SharePoint Designer 2013 (versões de 64 bits):
spdcore2013-kb2752096-fullfile-x64-glb.exe
spd2013-kb2863836-fullfile-x64-glb.exe

Opções de instalação

Consulte o artigo 912203 (em inglês) da Microsoft Knowledge Base

Requisito de reinicialização

Em alguns casos, esta atualização não exige a reinicialização. Se os arquivos exigidos estiverem em uso, será necessária uma reinicialização. Se isso ocorrer, uma mensagem que aconselha a reinicialização será exibida.

Para reduzir a chance de uma reinicialização não ser solicitada, interrompa todos os serviços afetados e feche todos os aplicativos que possam usar os arquivos afetados antes de instalar a atualização de segurança. Para obter mais informações sobre os motivos pelos quais você será solicitado a reiniciar, consulte o Artigo 887012 (em inglês) da Microsoft Knowledge Base.

Informações sobre remoção

Esta atualização de segurança não pode ser removida.

Informações sobre o arquivo

SharePoint Server 2013 Client Components SDK:
Consulte o Artigo 2863854 (em inglês) da Microsoft Knowledge Base

 

Para Microsoft SharePoint Designer 2007:
Consulte o Artigo 2596861 (em inglês) e o Artigo 2596810 (em inglês) da Microsoft Knowledge Base

 

Para Microsoft SharePoint Designer 2010:
Consulte o Artigo 2810069 (em inglês) da Microsoft Knowledge Base

 

Para Microsoft SharePoint Designer 2013:
Consulte o Artigo 2752096 (em inglês) e o Artigo 2863836 (em inglês) da Microsoft Knowledge Base

Verificação da chave do Registro

Não Aplicável

 

Microsoft Active Protections Program (MAPP)

Para melhorar as proteções de segurança para os clientes, a Microsoft fornece informações sobre vulnerabilidades aos principais fornecedores de software de segurança antes do lançamento de cada atualização de segurança mensal. Assim, os fornecedores de software de segurança podem usar essas informações sobre vulnerabilidades para fornecer proteções atualizadas aos clientes por meio de seus softwares ou dispositivos de segurança, como antivírus, sistemas de detecção de invasões baseados em rede ou sistemas de prevenção de invasões baseados em host. Para determinar se os fornecedores de software de segurança estão disponibilizando proteções ativas, visite os sites de proteções ativas fornecidos pelos parceiros do programa, listados em Parceiros do Microsoft Active Protections Program (MAPP).

Suporte

Como obter ajuda e suporte para esta atualização de segurança

Aviso de isenção de responsabilidade

As informações fornecidas na Microsoft Knowledge Base são apresentadas "no estado em que se encontram", sem garantia de qualquer tipo. A Microsoft se isenta de todas as garantias, expressas ou implícitas, inclusive as garantias de comercialização e adequação a um propósito específico. Em hipótese alguma a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, inclusive danos diretos, indiretos, incidentais, consequenciais, danos por lucros cessantes ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido alertados da possibilidade dos referidos danos. Como alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou indiretos, a limitação acima pode não ser aplicável a você.

Revisões

  • V1.0 (13 de maio de 2014): Boletim publicado.

Página gerada em 29/05/2014 às 23:59Z-07:00.
Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários
A Microsoft está realizando uma pesquisa online para saber sua opinião sobre o site do MSDN. Se você optar por participar, a pesquisa online lhe será apresentada quando você sair do site do MSDN.

Deseja participar?
Mostrar:
© 2015 Microsoft