Boletim de Segurança da Microsoft MS17-003 – Crítico

Atualização de segurança para o Adobe Flash Player (3214628)

Publicado em: 10 de janeiro de 2017

Versão: 1.0

Esta atualização de segurança resolve vulnerabilidades no Adobe Flash Player quando instalado em todas as edições com suporte do Windows 8.1, do Windows Server 2012, do Windows Server 2012 R2, do Windows RT 8.1, do Windows 10 e do Windows Server 2016.

Esta atualização de segurança foi classificada como Crítica. A atualização aborda as vulnerabilidades no Adobe Flash Player atualizando as bibliotecas afetadas do Adobe Flash contidas no Internet Explorer 10, no Internet Explorer 11, e no Microsoft Edge. Para obter mais informações, consulte a seção Softwares afetados.

Para obter mais informações sobre essa atualização, consulte o artigo 3214628 da Base de Dados de Conhecimento da Microsoft.

Esta atualização de segurança corrige as seguintes vulnerabilidades, descritas no Boletim de Segurança da Adobe APSB17-02:

CVE-2017-2925, CVE-2017-2926, CVE-2017-2927, CVE-2017-2928, CVE-2017-2930, CVE-2017-2931, CVE-2017-2932, CVE-2017-2933, CVE-2017-2934, CVE-2017-2935, CVE-2017-2936, CVE-2017-2937

As seguinte versões ou edições de software foram afetadas. As versões ou edições que não estão listadas já passaram de seu ciclo de vida do suporte ou não foram afetadas. Para determinar o ciclo de vida do suporte para sua versão ou edição de software, consulte Ciclo de vida do suporte da Microsoft.

Sistema operacional

Componente

Impacto e gravidade agregada

Atualizações substituídas*           

Windows 8.1

Windows 8.1 para sistemas de 32 bits

Adobe Flash Player
(3214628)

Crítica
Execução remota de código

3209498 em MS16-154

Windows 8.1 para sistemas baseados em x64

Adobe Flash Player
(3214628)

Crítica
Execução remota de código

3209498 em MS16-154

Windows Server 2012 e Windows Server 2012 R2

Windows Server 2012

Adobe Flash Player
(3214628)

Moderada
Execução remota de código

3209498 em MS16-154

Windows Server 2012 R2

Adobe Flash Player
(3214628)

Moderada
Execução remota de código

3209498 em MS16-154

Windows RT 8.1

Windows RT 8.1

Adobe Flash Player
(3214628)[1]

Crítica
Execução remota de código

3209498 em MS16-154

Windows 10

Windows 10 para sistemas de 32 bits

Adobe Flash Player
(3214628)[2]

Crítica
Execução remota de código

3209498 em MS16-154

Windows 10 para sistemas com base em x64

Adobe Flash Player
(3214628)[2]

Crítica
Execução remota de código

3209498 em MS16-154

Windows 10 Versão 1511 para sistemas de 32 bits

Adobe Flash Player
(3214628)[2]

Crítica
Execução remota de código

3209498 em MS16-154

Windows 10 Versão 1511 para sistemas com base em x64

Adobe Flash Player
(3214628)[2]

Crítica
Execução remota de código

3209498 em MS16-154

Windows 10 Versão 1607 para sistemas de 32 bits

Adobe Flash Player
(3214628)[2]

Crítica
Execução remota de código

3209498 em MS16-154

Windows 10 Versão 1607 para sistemas com base em x64

Adobe Flash Player
(3214628)[2]

Crítica
Execução remota de código

3209498 em MS16-154

Windows Server 2016

Windows Server 2016 para sistemas de 64 bits

Adobe Flash Player
(3214628)[2]

Crítica
Execução remota de código

3209498 em MS16-154

[1]Esta atualização está disponível no Windows Update.

[2]As atualizações do Adobe Flash Player para as atualizações do Windows 10 estão disponíveis no Windows Update ou por meio do Catálogo do Microsoft Update.

* A coluna Atualizações substituídas mostra somente a atualização mais recente em qualquer cadeia de atualizações substituídas. Para ver uma lista abrangente de atualizações substituídas, acesse o Catálogo do Microsoft Update, procure o número do artigo da KB da atualização e depois visualize os detalhes da atualização (informações sobre as atualizações substituídas são fornecidas na guia Detalhes do Pacote).

De que forma o invasor pode explorar essas vulnerabilidades? 
Em um cenário de ataque baseado na Web no qual o usuário esteja usando o Internet Explorer para área de trabalho, um invasor poderia hospedar um site especialmente projetado para explorar qualquer uma dessas vulnerabilidades através do Internet Explorer e, então, convencer um usuário a visualizar o site. O invasor também pode incorporar um controle ActiveX marcado como "seguro para inicialização" em um aplicativo ou documento do Microsoft Office que hospede o mecanismo de processamento do IE. O invasor também pode tirar proveito dos sites comprometidos e de sites que aceitam ou hospedam o conteúdo fornecido pelo usuário ou anúncios. Esses sites podem possuir conteúdo especialmente criado que pode explorar qualquer uma dessas vulnerabilidades. No entanto, em todos os casos, o atacante não tem como forçar os usuários a exibir o conteúdo controlado pelo atacante. Em vez disso, o atacante precisa convencer os usuários a executar uma ação, normalmente clicando em um link em uma mensagem de e-mail ou em uma mensagem do Instant Messenger que leve os usuários ao site do atacante ou abrindo um anexo enviado por e-mail.

Em um cenário de ataque baseado na Web no qual o usuário esteja usando o Internet Explorer no estilo UI do Windows 8, um invasor teria que primeiramente aceitar um site já relacionado na lista de Modo de Exibição de Compatibilidade. Um invasor poderia hospedar um site que possua conteúdo em Flash especialmente criado para explorar qualquer uma dessas vulnerabilidades por meio do Internet Explorer e convencer um usuário exibir o site. Um invasor não teria como forçar os usuários a visualizarem o conteúdo controlado por ele. Em vez disso, o invasor precisaria convencer os usuários a executarem uma ação, normalmente clicando em um link em uma mensagem de email ou em uma mensagem do Instant Messenger que os leve até o site do invasor ou abrindo um anexo enviado por email. Para obter mais informações sobre o Internet Explorer e a Lista de Modo de Exibição de Compatibilidade, consulte o Artigo de MSDN, Guia do Desenvolvedor para sites com conteúdo para Adobe Flash Player no Windows 8.

A atenuação refere-se a uma configuração, configuração comum ou prática recomendada geral, existindo num estado padrão, que possa reduzir a gravidade de exploração de uma vulnerabilidade. Os seguintes fatores atenuantes podem ser úteis no seu caso:

  • Em um cenário de ataque baseado na Web no qual o usuário esteja usando o Internet Explorer para desktop, um invasor poderia hospedar um site que contenha uma página usada para explorar qualquer umas dessas vulnerabilidades. Além disso, sites comprometidos e sites que aceitem ou hospedem conteúdo fornecido pelo usuário ou anúncios podem conter conteúdo especialmente criado que pode explorar qualquer uma dessas vulnerabilidades. No entanto, em todos os casos, um invasor não teria como forçar os usuários a visitarem os sites. Em vez disso, o invasor teria que persuadir os usuários a visitar o site, geralmente fazendo com que eles cliquem em um link em um email ou mensagem do Instant Messenger que leva o usuário ao site do invasor.
  • O Internet Explorer no estilo IU do Windows 8 somente reproduzirá conteúdos em Flash de sites relacionados na lista de Modo de Exibição de Compatibilidade. Essa restrição requer que um invasor primeiramente aceite um site já relacionado na lista de Exibição de Compatibilidade. Um invasor poderia hospedar o conteúdo em Flash especialmente criado para explorar qualquer uma dessas vulnerabilidades por meio do Internet Explorer e convencer um usuário exibir o site. Um invasor não teria como forçar os usuários a visualizarem o conteúdo controlado por ele. Em vez disso, o invasor precisaria convencer os usuários a executarem uma ação, normalmente clicando em um link em uma mensagem de email ou em uma mensagem do Instant Messenger que os leve até o site do invasor ou abrindo um anexo enviado por email.
  • Por padrão, todas as versões com suporte do Microsoft Outlook e do Windows Live Mail abrem e-mails em HTML na zona de Sites restritos. A zona de sites restritos, que desabilita os scripts e os controles ActiveX, ajuda a reduzir o risco de um invasor ser capaz de usar qualquer uma dessas vulnerabilidades para executar código mal-intencionado. Se um usuário clicar em um link em uma mensagem de e-mail, ele ainda pode estar vulnerável à exploração de qualquer uma dessas vulnerabilidades, por meio do cenário de ataque baseado na Web.
  • Por padrão, o Internet Explorer no Windows Server 2012 e no Windows Server 2012 R2 é executado em um modo restrito, conhecido como Configuração de Segurança Reforçada. Este modo pode ajudar a reduzir a probabilidade de exploração dessas vulnerabilidades no Adobe Flash Player no Internet Explorer.

A solução alternativa refere-se a uma configuração ou alteração de configuração que ajudaria a bloquear vetores de ataque conhecidos antes de aplicar a atualização.

  • Evite que o Adobe Flash Player seja executado

    Você pode desabilitar tentativas de criar uma instância do Adobe Flash Player no Internet Explorer e em outros aplicativos que honram o recurso de kill bit, como o Office 2007 e o Office 2010, configurando o kill bit para o controle no Registro.

    Aviso A utilização incorreta do Editor de Registro poderá provocar problemas graves que poderão forçar a reinstalação do sistema operacional. A Microsoft não garante a solução de problemas resultantes do uso incorreto do Editor do Registro. Use o Editor do Registro por sua própria conta e risco.

    Para configurar o kill bit para o controle no Registro, execute as seguintes etapas:

    1. Cole o seguinte arquivo em um arquivo de texto e salve-o com a extensão de arquivo .reg.
      Windows Registry Editor Version 5.00
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{D27CDB6E-AE6D-11CF-96B8-444553540000}]
      "Compatibility Flags"=dword:00000400
      
      [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\ActiveX Compatibility\{D27CDB6E-AE6D-11CF-96B8-444553540000}]
      "Compatibility Flags"=dword:00000400
      
      
    2. Clique duas vezes no arquivo .reg para aplicá-lo a um sistema individual.

      Também é possível aplicar esta solução alternativa entre domínios usando a Política de Grupo. Para obter mais informações sobre a Política de Grupo, consulte o artigo do TechNet, Coleção da Política de Grupo.

    Observação Você deve reiniciar o Internet Explorer para que as alterações entrem em vigor.

    Impacto da solução alternativa. Não há impacto desde que o objeto não seja usado no Internet Explorer.

    Como desfazer a solução alternativa. Exclua as chaves do Registro adicionadas na implementação desta solução alternativa.

 

  • Evite que o Adobe Flash Player seja executado no Internet Explorer por meio da Política de Grupo

    Observação O snap-in do MMC Política de Grupo pode ser usado para definir a diretiva para uma máquina, para uma unidade organizacional ou para todo um domínio. Para obter mais informações sobre Políticas de grupo, visite o seguinte site da Microsoft:

    Visão geral da Política de Grupo

    O que é o Editor de Objeto de Política de Grupo?

    Ferramentas e configurações principais da Diretiva de Grupo

    Para desabilitar o Adobe Flash Player no Internet Explorer por meio da Política de Grupo, execute as seguintes etapas:

    Observação Esta solução alternativa não evita que o Flash seja invocado por outros aplicativos, como o Microsoft Office 2007 ou o Microsoft Office 2010.

    1. Abra o console de gerenciamento de Política de Grupo e configure-o para funcionar com o objeto de Política de Grupo apropriado, como máquina local, UO ou domínio GPO.
    2. Navegue até o seguinte nó:

      Modelos administrativos > Componentes de Windows -> Internet Explorer -> Recursos de segurança -> Gerenciamento de Complementos
    3. Clique duas vezes em Desativar o Adobe Flash no Internet Explorer e evitar que aplicativos usem a tecnologia do Internet Explorer para criar instâncias de objetos Flash.
    4. Altere a configuração para Habilitado.
    5. Clique em Aplicar e em OK para voltar ao Console de Gerenciamento de Política de Grupo.
    6. Atualize a Política de Grupo em todos os sistemas ou aguarde o próximo intervalo de atualização programado para a Política de Grupo para que as configurações entrem em vigor.

 

  • Evite a execução do Adobe Flash Player no Office 2010 em sistemas afetados

    Observação Esta solução alternativa não evita que o Adobe Flash Player seja executado no Internet Explorer.

    Aviso A utilização incorreta do Editor de Registro poderá provocar problemas graves que poderão forçar a reinstalação do sistema operacional. A Microsoft não garante a solução de problemas resultantes do uso incorreto do Editor do Registro. Use o Editor do Registro por sua própria conta e risco.

    Para obter as etapas detalhadas de como impedir que um controle seja executado no Internet Explorer, consulte o artigo 240797 da Base de Dados de Conhecimento Microsoft. Siga as etapas nesse artigo para criar um valor de Sinalizadores de Compatibilidade no Registro para impedir que um objeto COM seja instanciado no Internet Explorer.

    Para desabilitar o Adobe Flash Player apenas no Office 2010, configure o kill bit do controle ActiveX para Adobe Flash Player no Registro usando as seguintes etapas:

    1. Crie um arquivo de texto denominado Disable_Flash.reg com o seguinte conteúdo:
      Windows Registry Editor Version 5.00
      
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM\Compatibility\{D27CDB6E-AE6D-11CF-96B8-444553540000}]
      "Compatibility Flags"=dword:00000400
      
      
    2. Clique duas vezes no arquivo .reg para aplicá-lo a um sistema individual.
    3. Observação Você deve reiniciar o Internet Explorer para que as alterações entrem em vigor.

      Também é possível aplicar esta solução alternativa entre domínios usando a Política de Grupo. Para obter mais informações sobre a Política de Grupo, consulte o artigo do TechNet, Coleção da Política de Grupo.

 

  • Impede que os controles ActiveX sejam executados no Office 2007 e Office 2010

    Para desabilitar todos os controles do ActiveX no Microsoft Office 2007 e no Microsoft Office 2010, incluindo o Adobe Flash Player no Internet Explorer, execute as seguintes etapas:

    1. Clique em Arquivo, em Opções, Central de Confiabilidade e em Configurações da Central de Confiabilidade.
    2. Clique em Configurações do ActiveX no painel esquerdo e selecione Desabilitar todos os controles sem notificação.
    3. Clique em OK para salvar as configurações.

    Impacto da solução alternativa. Documentos do Office que usam controles ActiveX incorporados não podem ser exibidos, como pretendido.

    Como desfazer a solução alternativa.

    Para reativar os controles ActiveX no Microsoft Office 2007 e Microsoft Office 2010, execute as seguintes etapas:

    1. Clique em Arquivo, em Opções, Central de Confiabilidade e em Configurações da Central de Confiabilidade.
    2. Clique em Configurações do ActiveX no painel esquerdo e cancele a seleção de Desabilitar todos os controles sem notificação.
    3. Clique em OK para salvar as configurações.

 

  • Defina as configurações de zona de segurança da Internet e da intranet local como “Alta” para bloquear controles ActiveX e scripts ativos nessas zonas

    Você pode ajudar na proteção contra a exploração dessas vulnerabilidades alterando suas configurações para que a zona de segurança da Internet bloqueie controles ActiveX e scripts ativos. É possível fazer isso configurando a segurança do navegador como Alta.

    Para aumentar o nível de segurança da navegação no Internet Explorer, siga estas etapas:

    1. No menu Ferramentas no Internet Explorer, clique em Opções da Internet.
    2. Na caixa de diálogo Opções da Internet, clique na guia Segurança e em Internet.
    3. Em Nível de segurança para esta zona, mova o controle deslizante para Alto. Isso define o nível de segurança para todos os sites visitados como Alto.
    4. Clique em Intranet local.
    5. Em Nível de segurança para esta zona, mova o controle deslizante para Alto. Isso define o nível de segurança para todos os sites visitados como Alto.
    6. Clique em OK para aceitar as alterações e retornar ao Internet Explorer.

    Observação Se o controle deslizante não estiver visível, clique em Nível padrão e mova o controle deslizante para Alto.

    Observação A configuração do nível como Alto pode fazer com que alguns sites não funcionem corretamente. Se você encontrar dificuldades ao usar um site após alterar a configuração, mas tiver certeza de que o site é seguro, é possível adicionar esse site à lista de sites confiáveis. Isso permite que o site funcione corretamente, mesmo com a configuração de segurança definida como Alta.

    Impacto da solução alternativa. Há efeitos colaterais ao bloqueio de controles ActiveX e scripts ativos. Muitos sites que não estão na Internet ou na intranet usam controles ActiveX e scripts ativos para fornecer funcionalidade adicional. Por exemplo, um site de comércio eletrônico ou bancário online pode usar controles ActiveX para fornecer menus, formulários de pedidos ou até mesmo extratos de contas. O bloqueio de controles ActiveX ou scripts ativos é uma configuração global que afeta todos os sites da Internet e da intranet. Se você não quiser bloquear controles ActiveX e scripts ativos para esses sites, use as etapas descritas em “Adicione sites confiáveis à zona Sites confiáveis do Internet Explorer”.

     

  • Configure o Internet Explorer para notificá-lo antes da execução de scripts ativos ou desabilite os scripts ativos na zona de segurança da Internet e da Intranet local

    Para se proteger contra a exploração dessas vulnerabilidades, altere as configurações para ser notificado antes da execução de scripts ativos ou desabilite os scripts ativos na zona de segurança da Internet e da intranet local. Para isso, execute as seguintes etapas:

    1. No Internet Explorer, clique em Opções da Internet no menu Ferramentas.
    2. Clique na guia Segurança.
    3. Clique em Internet e em Nível Personalizado.
    4. Em Configurações, na seção Script, em Scripts Ativos, clique em Avisar ou Desativar e em OK.
    5. Clique em Intranet local e em Nível personalizado.
    6. Em Configurações, na seção Script, em Scripts Ativos, clique em Avisar ou Desativar e em OK.
    7. Clique em OK para retornar ao Internet Explorer e, em seguida, clique em OK novamente.

    Observação Desabilitar os scripts ativos nas zonas de segurança da Internet e da intranet local poderá fazer com que alguns sites não funcionem corretamente. Se você encontrar dificuldades ao usar um site após alterar a configuração, mas tiver certeza de que o site é seguro, é possível adicionar esse site à lista de sites confiáveis. Isso permitirá que o site funcione adequadamente.

    Impacto da solução alternativa. A notificação antes da execução de scripts ativos apresenta efeitos colaterais. Muitos sites que não estão na Internet ou na intranet usam scripts ativos para fornecer funcionalidade adicional. Por exemplo, um site de comércio eletrônico ou bancário online pode usar controles ActiveX para fornecer menus, formulários de pedidos ou até mesmo extratos de contas. A notificação antes da execução dos scripts ativos é uma configuração global que afeta todos os sites da Internet e da intranet. Você será notificado frequentemente quando ativar essa solução alternativa. Para cada notificação, se achar que confia no site que está visitando, clique em Sim para executar os scripts ativos. Se não quiser ser avisado para todos esses sites, use as etapas descritas em “Adicione sites confiáveis à zona Sites confiáveis do Internet Explorer”.

     

  • Adicione sites confiáveis à zona Sites confiáveis do Internet Explorer

    Depois de definir o Internet Explorer para solicitar confirmação antes de executar controles ActiveX e scripts ativos na zona da Internet e da Intranet local, você pode adicionar sites confiáveis à zona de Sites confiáveis do Internet Explorer. Isso permitirá que você continue usando os sites confiáveis exatamente como faz atualmente, enquanto ajuda a proteger-se de ataques em sites não confiáveis. É recomendável adicionar somente sites nos quais você confia à zona de Sites confiáveis.

    Para isso, execute as seguintes etapas:

    1. No Internet Explorer, clique em Ferramentas, em Opções da Internet e clique na guia Segurança.
    2. Na caixa Selecione uma zona de conteúdo da Web para especificar suas configurações de segurança, clique em Sites Confiáveis e em Sites.
    3. Se desejar adicionar sites que não requerem um canal criptografado, clique para desmarcar a caixa de seleção Exigir verificação do servidor (https:).
    4. Na caixa Adicionar este site à zona, digite a URL de um site em que confia e clique em Adicionar.
    5. Repita essas etapas para cada site que você deseja adicionar à zona.
    6. Clique em OK duas vezes para aceitar as alterações e retornar ao Internet Explorer.

    Observação Adicione os sites que você tem certeza de que não realizarão ações mal-intencionadas em seu sistema. Dois sites específicos que você deve adicionar são *.windowsupdate.microsoft.com e *.update.microsoft.com. Esses são sites que hospedarão a atualização e exigem um controle ActiveX para instalá-la.

Para obter informações sobre a implementação de atualizações de segurança, consulte o artigo da Base de Dados de Conhecimento Microsoft mencionado aqui no Resumo executivo.

A Microsoft reconhece os esforços dos membros da comunidade de segurança que nos ajudam a proteger os consumidores graças à divulgação responsável de vulnerabilidades. Consulte Agradecimentos para obter mais informações.

As informações fornecidas na Base de Dados de Conhecimento Microsoft são apresentadas "no estado em que se encontram", sem garantia de qualquer tipo. A Microsoft se isenta de todas as garantias, expressas ou implícitas, inclusive as garantias de comercialização e adequação a um propósito específico. Em hipótese alguma a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, inclusive danos diretos, indiretos, incidentais, consequenciais, danos por lucros cessantes ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido alertados da possibilidade dos referidos danos. Como alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou indiretos, a limitação acima pode não ser aplicável a você.

  • V1.0 (10 de janeiro de 2017): Boletim publicado.

Página gerada em 2017-01-04 11:34-08:00.
Mostrar: