Boletim de Segurança da Microsoft MS17-006 – Crítico

Atualização de segurança cumulativa para o Internet Explorer (4013073)

Publicado em: 14 de março de 2017

Versão: 1.0

Esta atualização de segurança resolve vulnerabilidades no Internet Explorer. A vulnerabilidade mais grave poderá permitir a execução remota de código se um usuário visualizar uma página da Web especialmente criada usando o Internet Explorer. Um invasor que conseguir explorar essas vulnerabilidades poderá obter os mesmos direitos que o usuário atual. Se o usuário atual estiver conectado com direitos administrativos, o invasor que explorar com êxito essa vulnerabilidade poderá obter o controle total do sistema afetado. O invasor poderá instalar programas; exibir, alterar ou excluir dados; ou criar novas contas com direitos totais de usuário.

Esta atualização de segurança foi classificada como Crítica para o Internet Explorer 9 (IE 9) e o Internet Explorer 11 (IE 11) em clientes Windows e como Moderada para o Internet Explorer 9 (IE 9), o Internet Explorer 10 (IE 10) e o Internet Explorer 11 (IE 11) em servidores Windows afetados. Para obter mais informações, consulte a seção Softwares afetados.

Para obter mais informações sobre as vulnerabilidades, consulte a seção Informações sobre a vulnerabilidade.

Para obter mais informações sobre essa atualização, consulte o artigo 4013073 da Base de Dados de Conhecimento Microsoft.

As seguinte versões ou edições de software foram afetadas. As versões ou edições que não estão listadas já passaram de seu ciclo de vida do suporte ou não foram afetadas. Para determinar o ciclo de vida do suporte para sua versão ou edição de software, consulte Ciclo de vida do suporte da Microsoft.

As classificações de gravidade indicadas para cada software afetado assumem o potencial máximo do impacto da vulnerabilidade. Para obter informações referentes à probabilidade da capacidade de exploração da vulnerabilidade em relação a sua classificação de gravidade e ao impacto à segurança, dentro de 30 dias a partir do lançamento deste boletim de segurança, consulte o Índice de capacidade de exploração no Resumo de boletins de março.

Observação Consulte o Guia de atualizações de segurança para conhecer uma nova abordagem ao consumo de informações sobre atualizações de segurança. Você pode personalizar suas exibições e criar planilhas de softwares afetados, além de baixar dados por meio de uma API RESTful. Para obter mais informações, consulte as Perguntas frequentes sobre o Guia de atualizações de segurança. Como lembrete, o Guia de Atualizações de Segurança substituirá os boletins de segurança. Para obter mais detalhes, consulte nossa postagem de blog, Furthering our commitment to security updates (Ampliando nosso compromisso com as atualizações de segurança).

Sistema operacional

Componente

Impacto máximo à segurança

Classificação de gravidade agregada

Atualizações substituídas*

Internet Explorer 9

Windows Vista Service Pack 2

Internet Explorer 9
(4012204)

Execução remota de código

Crítica

3203621 em MS16-144

Windows Vista Service Pack 2

API do Microsoft Internet Messaging
(3218362)

Divulgação não autorizada de informações

Importante

3193515 em MS16-126

Windows Vista x64 Edition Service Pack 2

Internet Explorer 9
(4012204)

Execução remota de código

Crítica

3203621 em MS16-144

Windows Vista x64 Edition Service Pack 2

API do Microsoft Internet Messaging
(3218362)

Divulgação não autorizada de informações

Importante

3193515 em MS16-126

Windows Server 2008 Service Pack 2 para sistemas de 32 bits

Internet Explorer 9
(4012204)

Execução remota de código

Moderada

3203621 em MS16-144

Windows Server 2008 Service Pack 2 para sistemas de 32 bits

API do Microsoft Internet Messaging
(3218362)

Divulgação não autorizada de informações

Importante

3193515 em MS16-126

Windows Server 2008 Service Pack 2 para sistemas com base em x64

Internet Explorer 9
(4012204)

Execução remota de código

Moderada

3203621 em MS16-144

Windows Server 2008 Service Pack 2 para sistemas com base em x64

API do Microsoft Internet Messaging
(3218362)

Divulgação não autorizada de informações

Importante

3193515 em MS16-126

Internet Explorer 10

Windows Server 2012
Apenas segurança

Internet Explorer 10
(4012204)

Execução remota de código

Moderada

Nenhuma

Windows Server 2012
Pacote cumulativo mensal[1]

Internet Explorer 10
(4012217)

Execução remota de código

Moderada

3205409

Internet Explorer 11

Windows 7 Service Pack 1 para sistemas de 32 bits
Apenas segurança

Internet Explorer 11
(4012204)

Execução remota de código

Crítica

Nenhuma

Windows 7 Service Pack 1 para sistemas de 32 bits
Pacote cumulativo mensal[2]

Internet Explorer 11
(4012215)

Execução remota de código

Crítica

3212646

Windows 7 Service Pack 1 para sistemas com base em x64
Apenas segurança

Internet Explorer 11
(4012204)

Execução remota de código

Crítica

Nenhuma

Windows 7 Service Pack 1 para sistemas com base em x64
Pacote cumulativo mensal[3]

Internet Explorer 11
(4012215)

Execução remota de código

Crítica

3212646

Windows Server 2008 R2 Service Pack 1 para sistemas com base em x64
Apenas segurança

Internet Explorer 11
(4012204)

Execução remota de código

Moderada

Nenhuma

Windows Server 2008 R2 Service Pack 1 para sistemas com base em x64
Pacote cumulativo mensal[3]

Internet Explorer 11
(4012215)

Execução remota de código

Moderada

3212646

Windows 8.1 para sistemas de 32 bits
Apenas segurança

Internet Explorer 11
(4012204)

Execução remota de código

Crítica

Nenhuma

Windows 8.1 para sistemas de 32 bits
Pacote cumulativo mensal[3]

Internet Explorer 11
(4012216)

Execução remota de código

Crítica

3205401

Windows 8.1 para sistemas com base em x64
Apenas segurança

Internet Explorer 11
(4012204)

Execução remota de código

Crítica

Nenhuma

Windows 8.1 para sistemas com base em x64
Pacote cumulativo mensal[3]

Internet Explorer 11
(4012216)

Execução remota de código

Crítica

3205401

Windows Server 2012 R2
Apenas segurança

Internet Explorer 11
(4012204)

Execução remota de código

Moderada

Nenhuma

Windows Server 2012 R2
Pacote cumulativo mensal[3]

Internet Explorer 11
(4012216)

Execução remota de código

Moderada

3205401

Windows RT 8.1
Pacote cumulativo mensal[2][3]

Internet Explorer 11
(4012216)

Execução remota de código

Crítica

3205401

Windows 10 para sistemas de 32 bits [4]
(4012606)

Internet Explorer 11

Execução remota de código

Crítica

3210720

Windows 10 para sistemas com base em x64 [4]
(4012606)

Internet Explorer 11

Execução remota de código

Crítica

3210720

Windows 10 Versão 1511 para sistemas de 32 bits [4]
(4013198)

Internet Explorer 11

Execução remota de código

Crítica

3210721

Windows 10 Versão 1511 para sistemas com base em x64 [4]
(4013198)

Internet Explorer 11

Execução remota de código

Crítica

3210721

Windows 10 Versão 1607 para sistemas de 32 bits [4]
(4013429)

Internet Explorer 11

Execução remota de código

Crítica

3213986

Windows 10 Versão 1607 para sistemas com base em x64 [4]
(4013429)

Internet Explorer 11

Execução remota de código

Crítica

3213986

Windows Server 2016 para sistemas com base em x64 [4]
(4013429)

Internet Explorer 11

Execução remota de código

Moderada

3213986

[1] Os usuários do Internet Explorer 9 também devem instalar a atualização de segurança 3218362 para se protegerem totalmente contra a CVE-2017-0008.

[2]Esta atualização está disponível no Windows Update.

[3]A partir da versão de outubro de 2016, a Microsoft modificou o modelo de fornecimento de atualizações para os sistemas operacionais Windows 7, Windows Server 2008 R2, Windows 8.1, Windows Server 2012 e Windows Server 2012 R2. Para obter mais informações, consulte este artigo do Microsoft TechNet

[4]As atualizações do Windows 10 e do Windows Server 2016 são cumulativas. O lançamento de segurança mensal inclui todas as correções de segurança para as vulnerabilidades que afetam o Windows 10 e o Windows Server 2016, além de conter atualizações não relacionadas à segurança. As atualizações estão disponíveis pelo Catálogo do Microsoft Update. Observe que, a partir de 13 de dezembro de 2016, os detalhes do Windows 10 e do Windows Server 2016 para as Atualizações cumulativas serão documentados em Notas de versão. Consulte as Notas de versão para ver números de compilação de sistemas operacionais, problemas conhecidos e informações de listas de arquivos afetados.

* A coluna Atualizações substituídas mostra somente a atualização mais recente em qualquer cadeia de atualizações substituídas. Para ver uma lista abrangente de atualizações substituídas, acesse o Catálogo do Microsoft Update, procure o número do artigo da base de dados da atualização e depois visualize os detalhes da atualização (informações sobre as atualizações substituídas são fornecidas na guia Detalhes do Pacote).

Além de instalar esta atualização, existem outras etapas que preciso executar para ser protegido contra qualquer uma das vulnerabilidades discutidas neste boletim? 
Sim. Para os sistemas operacionais Vista e Windows Server 2008, a instalação da atualização cumulativa 4012204 por si só não protege totalmente contra a CVE-2017-0008. Você também deve instalar a atualização de segurança 3218362 em MS17-006 para ficar totalmente protegido contra essa vulnerabilidade.

As classificações de gravidade a seguir pressupõem o impacto máximo possível da vulnerabilidade. Para obter informações referentes à probabilidade da capacidade de exploração da vulnerabilidade em relação à sua classificação de gravidade e ao impacto à segurança, dentro de 30 dias a partir do lançamento deste boletim de segurança, consulte o Índice de capacidade de exploração no Resumo dos boletins de março.

Onde for especificado na tabela de Classificação de gravidade e de impacto, os valores Crítico, Importante e Moderado indicam classificações de gravidade. Para obter mais informações, consulte o Boletim de Segurança sobre o Sistema de Classificação de Gravidade. Consulte a seguinte tecla para as abreviações usadas na tabela para indicar o impacto máximo:

Abreviação

Impacto máximo

RCE

Execução remota de código

EoP

Elevação de privilégio

Identificação

Divulgação não autorizada de informação

SFB

Desvio de recurso de segurança

 

Impacto e classificações de gravidade da vulnerabilidade

Número da CVE    

Título da vulnerabilidade

Internet
Explorer 9

Internet
Explorer 10

Internet
Explorer 11

Internet
Explorer 11

no Windows 10

CVE-2017-0008

Vulnerabilidade de divulgação de informação do Internet Explorer

Clientes Windows:
Importante/ID

Servidores Windows
Baixa/ID

Servidores Windows:
Baixa/ID

Clientes Windows:
Importante/ID

Servidores Windows
Baixa/ID

Clientes Windows:
Importante/ID

Servidores Windows
Baixa/ID

CVE-2017-0009

Vulnerabilidade de divulgação de informações no navegador da Microsoft

Clientes Windows:
Importante/ID

Servidores Windows
Baixa/ID

Servidores Windows:
Baixa/ID

Clientes Windows:
Importante/ID

Servidores Windows
Baixa/ID

Clientes Windows:
Importante/ID

Servidores Windows
Baixa/ID

CVE-2017-0012

Vulnerabilidade de falsificação do navegador da Microsoft

Não aplicável

Não Aplicável

Clientes Windows:
Importante/Falsificação

Windows Servers:
Baixa/Falsificação

Clientes Windows:
Importante/Falsificação

Windows Servers:
Baixa/Falsificação

CVE-2017-0018

Vulnerabilidade de corrupção de memória do Internet Explorer

Não Aplicável

Servidores Windows:
Moderada/RCE

Clientes Windows:
Crítica/RCE

Servidores Windows
Moderada/RCE

Clientes Windows:
Crítica/RCE

Servidores Windows
Moderada/RCE

CVE-2017-0033

Vulnerabilidade de falsificação do navegador da Microsoft

Não aplicável

Não Aplicável

Clientes Windows:
Importante/Falsificação

Windows Servers:
Baixa/Falsificação

Clientes Windows:
Importante/Falsificação

Windows Servers:
Baixa/Falsificação

CVE-2017-0037

Vulnerabilidade de corrupção de memória do navegador da Microsoft

Não Aplicável

Servidores Windows:
Moderada/RCE

Clientes Windows:
Crítica/RCE

Servidores Windows
Moderada/RCE

Clientes Windows:
Crítica/RCE

Servidores Windows
Moderada/RCE

CVE-2017-0040

Vulnerabilidade de corrupção da memória do mecanismo de script

Clientes Windows:
Crítica/RCE

Servidores Windows
Moderada/RCE

Servidores Windows:
Moderada/RCE

Clientes Windows:
Crítica/RCE

Servidores Windows
Moderada/RCE

Clientes Windows:
Crítica/RCE

Servidores Windows
Moderada/RCE

CVE-2017-0049

Vulnerabilidade de divulgação não autorizada de informações do mecanismo de script

Não Aplicável

Não Aplicável

Clientes Windows:
Importante/ID

Servidores Windows
Baixa/ID

Clientes Windows:
Importante/ID

Servidores Windows
Baixa/ID

CVE-2017-0059

Vulnerabilidade de divulgação de informação do Internet Explorer

Clientes Windows:
Importante/ID

Servidores Windows
Baixa/ID

Servidores Windows:
Baixa/ID

Clientes Windows:
Importante/ID

Servidores Windows
Baixa/ID

Clientes Windows:
Importante/ID

Servidores Windows
Baixa/ID

CVE-2017-0130

Vulnerabilidade de corrupção da memória do mecanismo de script

Clientes Windows:
Crítica/RCE

Servidores Windows
Moderada/RCE

Servidores Windows:
Moderada/RCE

Clientes Windows:
Crítica/RCE

Servidores Windows
Moderada/RCE

Clientes Windows:
Crítica/RCE

Servidores Windows
Moderada/RCE

CVE-2017-0149

Vulnerabilidade de corrupção da memória do Microsoft Internet Explorer

Clientes Windows:
Crítica/RCE

Servidores Windows
Moderada/RCE

Servidores Windows:
Moderada/RCE

Clientes Windows:
Crítica/RCE

Servidores Windows
Moderada/RCE

Clientes Windows:
Crítica/RCE

Servidores Windows
Moderada/RCE

CVE-2017-0154

Vulnerabilidade na Elevação de Privilégio do Internet Explorer

Não Aplicável

Não Aplicável

Não Aplicável

Clientes Windows:
Importante/EoP

Servidores Windows
Baixo/EoP

Várias vulnerabilidades de divulgação não autorizada de informações

Existem vulnerabilidades de divulgação não autorizada de informações na maneira como os componentes afetados manipulam objetos na memória. Um invasor que conseguir explorar essas vulnerabilidades poderá obter informações para comprometer ainda mais um sistema de destino.

No cenário de ataque pela Web, o invasor pode hospedar um site em uma tentativa de explorar as vulnerabilidades. Além disso, sites comprometidos e sites que aceitam ou hospedam conteúdo fornecido pelo usuário podem ter conteúdo especialmente criado que pode ser usado para explorar as vulnerabilidades. Em todos os casos, um invasor não tem como forçar os usuários a exibir o conteúdo controlado por ele. Em vez disso, um invasor teria que convencer os usuários a realizarem uma ação. Por exemplo, um atacante pode enganar os usuários para eles clicarem em um link que os leva ao site do atacante.

A atualização de segurança resolve as vulnerabilidades, corrigindo a maneira como os componentes afetados manipulam objetos na memória.

A tabela a seguir contém links para a entrada padrão de cada vulnerabilidade na lista Vulnerabilidades e exposições comuns:

Título da vulnerabilidade

Número de CVE

Divulgadas de forma pública

Explorado

Vulnerabilidade de divulgação de informação do Internet Explorer

CVE-2017-0008

Sim

Não

Vulnerabilidade de divulgação de informações no navegador da Microsoft

CVE-2017-0009

Não

Não

Vulnerabilidade de divulgação não autorizada de informações do mecanismo de script

CVE-2017-0049

Não

Não

Vulnerabilidade de divulgação de informação do Internet Explorer

CVE-2017-0059

Não

Não

Fatores atenuantes

A Microsoft não identificou fatores atenuantes para essas vulnerabilidades.

Soluções alternativas

A Microsoft não identificou soluções alternativas para essas vulnerabilidades.

Várias vulnerabilidades de corrupção de memória em navegadores da Microsoft

Existem várias vulnerabilidades de execução remota de código quando navegadores da Microsoft afetados acessam indevidamente objetos na memória. Essas vulnerabilidades podem corromper a memória a ponto de permitir que um invasor execute um código arbitrário no contexto do usuário atual. Um invasor que conseguir explorar essas vulnerabilidades poderá obter os mesmos direitos que o usuário atual. Se o usuário atual estiver conectado com direitos de usuário administrativo, o invasor poderá assumir o controle do sistema afetado. O invasor poderá instalar programas; exibir, alterar ou excluir dados; ou criar novas contas com direitos totais de usuário.

Um invasor pode hospedar um site especialmente criado para explorar essas vulnerabilidades por meio de navegadores da Microsoft afetados e depois convencer um usuário a visualizar esse site. O invasor pode tirar proveito de sites comprometidos ou de sites que aceitam ou hospedam conteúdo fornecido pelo usuário ou anúncios, adicionando conteúdo especialmente criado para explorar a vulnerabilidade. No entanto, em todos os casos, o atacante não tem como forçar os usuários a exibir o conteúdo controlado pelo atacante. Em vez disso, um atacante teria que convencer os usuários a tomar uma ação, geralmente na forma de atrativos em uma mensagem de e-mail ou mensagem instantânea, ou induzindo-os a abrir um anexo enviado por e-mail.

A atualização resolve essas vulnerabilidades, modificando a maneira como os navegadores da Microsoft manipulam objetos na memória.

A tabela a seguir contém links para a entrada padrão de cada vulnerabilidade na lista Vulnerabilidades e exposições comuns:

Título da vulnerabilidade

Número de CVE

Divulgadas de forma pública

Explorado

Vulnerabilidade de corrupção de memória do Internet Explorer

CVE-2017-0018

Não

Não

Vulnerabilidade de corrupção de memória do navegador da Microsoft

CVE-2017-0037

Sim

Não

Vulnerabilidade de corrupção de memória do Internet Explorer

CVE-2017-0149

Não

Sim

Fatores atenuantes

A Microsoft não identificou fatores atenuantes para essas vulnerabilidades.

Soluções alternativas

A Microsoft não identificou soluções alternativas para essas vulnerabilidades.

Perguntas frequentes

Estou executando o Internet Explorer no Windows Server 2008, no Windows Server 2008 R2, no Windows Server 2012 ou no Windows Server 2012 R2. Isso reduz essas vulnerabilidades? 
Sim. Por padrão, o Internet Explorer no Windows Server 2008, no Windows Server 2008 R2, no Windows Server 2012 e no Windows Server 2012 R2 é executado em um modo restrito, conhecido como Configuração de Segurança Reforçada. A Configuração de Segurança Reforçada é um grupo de configurações predefinidas do Internet Explorer que reduz a probabilidade de um usuário ou administrador baixar e executar um conteúdo da Web especialmente criado em um servidor. Esse é um fator atenuante para sites que não tenham sido adicionados à zona Sites confiáveis do Internet Explorer.

O EMET pode ajudar a atenuar ataques que tentam explorar estas vulnerabilidades? 
Sim. O EMET (Enhanced Mitigation Experience Toolkit) habilita os usuários a gerenciar tecnologias de atenuação de segurança que ajudam a dificultar a exploração de vulnerabilidades de corrupção de memória por parte de invasores em uma determinada parte do software. O EMET ajuda a reduzir ataques que tentam explorar essas vulnerabilidades no Internet Explorer em sistemas nos quais o EMET está instalado e configurado para funcionar com o Internet Explorer.

Para obter mais informações sobre o EMET, consulte Enhanced Mitigation Experience Toolkit.

Várias vulnerabilidades de falsificação em navegadores da Microsoft

Existem vulnerabilidades de falsificação quando um navegador da Microsoft não analisa corretamente as respostas HTTP. Um invasor que conseguir explorar essas vulnerabilidades poderá enganar um usuário, redirecionando-o a um site especialmente criado. O site especialmente criado pode falsificar conteúdo ou ser usado como um pivô para encadear um ataque com outras vulnerabilidades nos serviços Web.

Para explorar essas vulnerabilidade, o usuário deve clicar em uma URL especialmente criada. Em um cenário de ataque por email, um invasor pode enviar uma mensagem para o usuário contendo a URL especialmente criada, em uma tentativa de convencê-lo a clicar nela.

Em um cenário de ataque com base na Web, o atacante pode hospedar um site especialmente criado para parecer com um site legítimo para o usuário. No entanto, não há como o atacante forçar os usuários a acessar o site especialmente criado. O invasor teria que convencer o usuário a acessar o site especialmente criado, geralmente por meio de um chamariz em um email ou uma mensagem instantânea, e depois convencer o usuário a interagir com o conteúdo no site.

A atualização resolve as vulnerabilidades, corrigindo o modo como os navegadores da Microsoft analisam respostas HTTP.

A tabela a seguir contém links para a entrada padrão de cada vulnerabilidade na lista Vulnerabilidades e exposições comuns:

Título da vulnerabilidade

Número de CVE

Divulgadas de forma pública

Explorado

Vulnerabilidade de falsificação do browser da Microsoft

CVE-2017-0012

Sim

Não

Vulnerabilidade de falsificação do navegador da Microsoft

CVE-2017-0033

Sim

Não

Fatores atenuantes

A Microsoft não identificou fatores atenuantes para essas vulnerabilidades.

Soluções alternativas

A Microsoft não identificou soluções alternativas para essas vulnerabilidades.

Vulnerabilidades múltiplas de corrupção da memória do mecanismo de script

Existem várias vulnerabilidades de execução remota de código na forma como os mecanismos JScript e VBScript renderizam ao manipular objetos na memória no Internet Explorer. Essas vulnerabilidades podem corromper a memória a ponto de permitir que um invasor execute um código arbitrário no contexto do usuário atual. Um invasor que conseguir explorar essas vulnerabilidades poderá obter os mesmos direitos que o usuário atual. Se um usuário atual tiver feito logon com direitos administrativos, o invasor que conseguir explorar essas vulnerabilidades poderá obter o controle total do sistema afetado. O invasor poderá instalar programas; exibir, alterar ou excluir dados; ou criar novas contas com direitos totais de usuário.

Em um cenário de ataque pela Web, um invasor pode hospedar um site especialmente criado para explorar essas vulnerabilidades por meio do Internet Explorer e depois convencer um usuário a visualizar esse site. O invasor também pode incorporar um controle ActiveX marcado como "seguro para inicialização" em um aplicativo ou documento do Microsoft Office que hospede o mecanismo de processamento do IE. O invasor também pode tirar proveito de sites comprometidos e de sites que aceitem ou hospedem anúncios ou conteúdo fornecido pelo usuário. Esses sites podem conter conteúdo especialmente criado para explorar essas vulnerabilidades.

A atualização resolve essas vulnerabilidades, modificando a maneira como os mecanismos de script JScript e VBScript manipulam objetos na memória.

A tabela a seguir contém links para a entrada padrão para a vulnerabilidade na lista Vulnerabilidades Comuns e Exposições:

Título da vulnerabilidade

Número de CVE

Divulgadas de forma pública

Explorado

Vulnerabilidade de corrupção da memória do mecanismo de script

CVE-2017-0040

Não

Não

Vulnerabilidade de corrupção da memória do mecanismo de script

CVE-2017-0130

Não

Não

Fatores atenuantes

A Microsoft não identificou fatores atenuantes para essas vulnerabilidades.

Soluções alternativas

A Microsoft não identificou soluções alternativas para essas vulnerabilidades.

Vulnerabilidade de divulgação não autorizada de informações do mecanismo de script - CVE-2017-0049

Existe uma vulnerabilidade de divulgação não autorizada de informações quando o mecanismo de script Jscript não manipula objetos na memória corretamente. A vulnerabilidade pode permitir que um invasor detecte arquivos específicos no computador do usuário. No cenário de ataque pela Web, o atacante pode hospedar um site que contenha um arquivo usado para explorar a vulnerabilidade.

Além disso, sites comprometidos e sites que aceitem ou hospedem conteúdo fornecido pelo usuário podem conter conteúdo especialmente desenvolvido que pode explorar esta vulnerabilidade. No entanto, em todos os casos, o atacante não tem como forçar um usuário a exibir o conteúdo controlado pelo atacante. Em vez disso, um atacante pode precisar convencer os usuários a realizarem uma ação. Por exemplo, um atacante pode enganar os usuários para eles clicarem em um link que os leva ao site do atacante.

Um atacante que explore com êxito esta vulnerabilidade poderá potencialmente ler dados que não devam ser divulgados. Observe que essa vulnerabilidade não permitirá que um atacante execute código ou eleve seus direitos de usuário diretamente, mas pode ser usada para obter informações em uma tentativa de comprometer ainda mais o sistema afetado.

A atualização de segurança resolve a vulnerabilidade, ajudando a limitar as informações que são retornadas aos navegadores da Microsoft afetados.

A tabela a seguir contém links para a entrada padrão para a vulnerabilidade na lista Vulnerabilidades Comuns e Exposições:

Título da vulnerabilidade

Número de CVE

Divulgadas de forma pública

Explorado

Vulnerabilidade de divulgação não autorizada de informações do mecanismo de script

CVE-2017-0049

Não

Não

Fatores atenuantes

A Microsoft não identificou fatores atenuantes para essa vulnerabilidade.

Soluções alternativas

A Microsoft não identificou soluções alternativas para essa vulnerabilidade.

Vulnerabilidade na Elevação de Privilégio do Internet Explorer - CVE-2017-0154

Existe uma vulnerabilidade de elevação de privilégio quando o Internet Explorer não impõe políticas entre domínios corretamente, o que pode permitir que um invasor acesse informações de um domínio e as insira em outro domínio. A atualização aborda a vulnerabilidade ajudando a garantir que as políticas entre domínios sejam forçadas corretamente no Internet Explorer.

No cenário de ataque pela Web, o atacante pode hospedar um site que contenha um arquivo usado para explorar a vulnerabilidade. Além disso, sites comprometidos e sites que aceitem ou hospedem conteúdo fornecido pelo usuário podem conter conteúdo especialmente desenvolvido que pode explorar esta vulnerabilidade. No entanto, em todos os casos, o atacante não tem como forçar os usuários a exibir o conteúdo controlado pelo atacante. Em vez disso, um atacante pode precisar convencer os usuários a realizarem uma ação. Por exemplo, um atacante pode enganar os usuários para eles clicarem em um link que os leva ao site do atacante. Um atacante que explorou com êxito essa vulnerabilidade pode elevar privilégios em versões afetadas do Internet Explorer.

A vulnerabilidade não permite, por si só, que um código arbitrário seja executado. No entanto, a vulnerabilidade pode ser usada com outra vulnerabilidade (por exemplo, uma vulnerabilidade de execução remota de código) que pode tirar proveito dos privilégios elevados ao executar código arbitrário. Por exemplo, um atacante pode explorar outra vulnerabilidade para executar código arbitrário através do Internet Explorer, mas devido ao contexto no qual os processos são lançados pelo Internet Explorer, o código pode ser restrito para executar em um nível de integridade baixo (permissões muito limitadas). No entanto, um atacante pode, por sua vez, explorar essas vulnerabilidades para fazer com que o código arbitrário seja executado em um nível médio de integridade (permissões do usuário atual).

A tabela a seguir contém links para a entrada padrão para cada vulnerabilidade na lista Vulnerabilidades Comuns e Exposições: A tabela a seguir contém links para a entrada padrão de cada vulnerabilidade na lista Vulnerabilidades e exposições comuns

Título da vulnerabilidade

Número de CVE

Divulgadas de forma pública

Explorado

Vulnerabilidade na Elevação de Privilégio do Internet Explorer

CVE-2017-0154

Sim

Não

Fatores atenuantes

A Microsoft não identificou fatores atenuantes para essa vulnerabilidade.

Soluções alternativas

A Microsoft não identificou soluções alternativas para essa vulnerabilidade.

Para obter informações sobre a implantação de atualização de segurança, consulte o artigo da Base de Dados de Conhecimento Microsoft mencionado aqui no Resumo executivo.

A Microsoft reconhece os esforços dos membros da comunidade de segurança que nos ajudam a proteger os consumidores graças à divulgação responsável de vulnerabilidades. Consulte Agradecimentos para obter mais informações.

As informações fornecidas na Base de Dados de Conhecimento Microsoft são apresentadas "no estado em que se encontram", sem garantia de qualquer tipo. A Microsoft se isenta de todas as garantias, expressas ou implícitas, inclusive as garantias de comercialização e adequação a um propósito específico. Em hipótese alguma a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, inclusive danos diretos, indiretos, incidentais, consequenciais, danos por lucros cessantes ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido alertados da possibilidade dos referidos danos. Como alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou indiretos, a limitação acima pode não ser aplicável a você.

  • V1.0 14 de março de 2017: Boletim publicado.
Página gerada em 08/03/2017 às 14:03-08:00.
Mostrar: