Boletim de Segurança da Microsoft MS17-002 – Importante

Atualização de segurança para o Microsoft Office (3214291)

Publicado em: 10 de janeiro de 2017

Versão: 1.1

Esta atualização de segurança resolve uma vulnerabilidade no Microsoft Office. A vulnerabilidade pode permitir a execução de código remoto se um usuário abrir um arquivo do Microsoft Office especialmente criado. Um invasor que tenha conseguido explorar as vulnerabilidades pode executar um código arbitrário no contexto do usuário atual. Os clientes cujas contas são configuradas com poucos direitos de usuário no sistema correm menos riscos do que aqueles que possuem direitos administrativos.

A atualização de segurança resolve a vulnerabilidade corrigindo o modo como as versões afetadas do Office e os componentes do Office manipulam objetos na memória.

Para obter mais informações sobre a vulnerabilidade, consulte a seção Informações sobre a vulnerabilidade.

Para obter mais informações sobre essa atualização, consulte o artigo 3214291 da Base de Dados de Conhecimento da Microsoft.

As seguinte versões ou edições de software foram afetadas. As versões ou edições que não estão listadas já passaram de seu ciclo de vida do suporte ou não foram afetadas. Para determinar o ciclo de vida do suporte para sua versão ou edição de software, consulte Ciclo de vida do suporte da Microsoft.

As classificações de gravidade a seguir pressupõem o impacto máximo possível da vulnerabilidade. Para obter informações sobre a probabilidade de exploração da vulnerabilidade em relação à sua classificação de gravidade e ao impacto sobre a segurança, em até 30 dias após o lançamento deste boletim de segurança, consulte o Índice de exploração no Resumo de boletins de janeiro.

Observação Consulte o Guia de Atualização de Segurança para conhecer uma nova abordagem ao consumo de informações sobre atualizações de segurança. Você pode personalizar suas exibições e criar planilhas de softwares afetados, além de baixar dados por meio de uma API RESTful. Para obter mais informações, consulte as Perguntas frequentes sobre o Guia de atualizações de segurança. Como lembrete, o Guia de Atualização de Segurança substituirá os boletins de segurança a partir de fevereiro de 2017. Para obter mais detalhes, consulte nossa postagem de blog, Furthering our commitment to security updates (Ampliando nosso compromisso com as atualizações de segurança).

Softwares do Microsoft Office

Softwares Afetados

Vulnerabilidade de corrupção da memória do Microsoft Office – CVE-2017-0003

Atualizações substituídas*

Microsoft Office 2016

Microsoft Word 2016 (edição de 32 bits)
(3128057)

Importante
Execução remota de código

3118331 em MS16-121

Microsoft Word 2016 (edição de 64 bits)
(3128057)

Importante
Execução remota de código

3118331 em MS16-121

Microsoft Server Software

Softwares Afetados

Vulnerabilidade de corrupção da memória do Microsoft Office – CVE-2017-0003

Atualizações substituídas*

Microsoft SharePoint Enterprise Server 2016

Microsoft SharePoint Enterprise      
Server 2016 Edição de 64 bits

(3141486)

Importante
Execução remota de código

Nenhuma

* A coluna Atualizações substituídas mostra somente a atualização mais recente em uma cadeia de atualizações substituídas. Para obter uma lista abrangente de atualizações substituídas, acesse o Catálogo do Microsoft Update, procure o número da atualização e visualize os detalhes da atualização (as informações sobre atualizações substituídas estão na guia Detalhes do Pacote).

Esta atualização de software que não está indicada especificamente na tabela Softwares Afetados e Classificações de Gravidade da Vulnerabilidade está sendo oferecida para mim. Por que estou recebendo a oferta desta atualização? 
Quando as atualizações se referem a um código vulnerável que existe em um componente compartilhado entre vários produtos do Microsoft Office ou compartilhado entre várias versões do mesmo produto do Microsoft Office, a atualização é considerada aplicável a todos os produtos e versões compatíveis que incluam o componente vulnerável.

Por exemplo, quando uma atualização se aplica a produtos do Microsoft Office 2007, somente o Microsoft Office 2007 pode ser listado especificamente na tabela de Software afetado. No entanto, a atualização pode se aplicar ao Microsoft Word 2007, Microsoft Excel 2007, Microsoft Visio 2007, Microsoft Compatibility Pack, Microsoft Excel Viewer, ou qualquer outro produto do Microsoft Office 2007 que não esteja listado especificamente na tabela de Software afetado. Além disso, quando uma atualização se aplica a produtos do Microsoft Office 2010, somente o Microsoft Office 2010 pode ser listado especificamente na tabela de Softwares afetados. No entanto, a atualização pode se aplicar ao Microsoft Word 2010, Microsoft Excel 2010, Microsoft Visio 2010, Microsoft Visio Viewer ou qualquer outro produto do Microsoft Office 2010 que não esteja listado especificamente na tabela Softwares Afetados.

Para obter mais informações sobre esse comportamento e ações recomendadas, consulte o artigo 830335 da Base de Dados de Conhecimento da Microsoft. Para uma lista de produtos do Microsoft Office aos quais uma atualização pode ser aplicada, consulte o artigo da Base de Dados de Conhecimento Microsoft associado à atualização específica.

Vulnerabilidade de corrupção de memória do Microsoft Office

Existe uma vulnerabilidade de execução remota de código no software Microsoft Office quando o software Office falha em manusear corretamente os objetos na memória. Um invasor que tenha conseguido explorar as vulnerabilidades pode executar um código arbitrário no contexto do usuário atual. Se o usuário atual estiver conectado com direitos de usuário administrativo, um invasor poderá assumir o controle do sistema afetado. O invasor poderá instalar programas; exibir, alterar ou excluir dados; ou criar novas contas com direitos totais de usuário. Os clientes cujas contas estão configuradas com poucos direitos de usuário no sistema correm menos riscos do que aqueles que têm direitos administrativos.

A exploração dessa vulnerabilidade requer que um usuário abra um arquivo especialmente criado com uma versão afetada do software Microsoft Office. Em um cenário de ataque por email, um invasor pode explorar a vulnerabilidade enviando ao usuário um arquivo especialmente criado e convencendo-o a abrir esse arquivo. Em um cenário de ataque baseado na Web um atacante pode hospedar um site (ou aproveitar um site comprometido que aceita ou hospeda conteúdo fornecido pelo usuário) que contém um arquivo especialmente criado que foi projetado para explorar a vulnerabilidade. Não há como o atacante forçar os usuários a visitarem o site mal-intencionado. Ao invés, um invasor teria que convencer usuários a clicar em um link, geralmente na forma de atrativos em uma mensagem de chat ou email.

Observe que o Preview Pane não é um vetor de ataque para essa vulnerabilidade. A atualização de segurança aborda a vulnerabilidade corrigindo o modo como o Office manipula objetos na memória. 

Título da vulnerabilidade

Número de CVE

Divulgadas de forma pública

Explorado

Vulnerabilidade de corrupção de memória do Microsoft Office

CVE-2017-0003

Não

Não

Fatores atenuantes

A Microsoft não identificou fatores atenuantes para essa vulnerabilidade.

Soluções alternativas

A Microsoft não identificou soluções alternativas para essa vulnerabilidade.

Para obter informações sobre a implantação de atualização de segurança, consulte o artigo da Base de Dados de Conhecimento Microsoft mencionado aqui no Resumo executivo.

A Microsoft reconhece os esforços dos membros da comunidade de segurança que nos ajudam a proteger os consumidores graças à divulgação responsável de vulnerabilidades. Consulte Agradecimentos para obter mais informações. 

As informações fornecidas na Base de Dados de Conhecimento Microsoft são apresentadas "no estado em que se encontram", sem garantia de qualquer tipo. A Microsoft se isenta de todas as garantias, expressas ou implícitas, inclusive as garantias de comercialização e adequação a um propósito específico. Em hipótese alguma a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, inclusive danos diretos, indiretos, incidentais, consequenciais, danos por lucros cessantes ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido alertados da possibilidade dos referidos danos. Como alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou indiretos, a limitação acima pode não ser aplicável a você.

  • V1.0 (10 de janeiro de 2017): Boletim publicado.
  • V1.1 (10 de janeiro de 2017): Severity updated to Important.
Página gerada em 2017-01-04 11:33-08:00.
Mostrar: