Boletim de Segurança da Microsoft MS17-007 – Crítico

Atualização de segurança cumulativa do Microsoft Edge (4013071)

Publicado em: 14 de março de 2017 | Atualizado em: 8 de agosto de 2017

Versão: 2.0

Esta atualização de segurança elimina vulnerabilidades no Microsoft Edge. A mais grave das vulnerabilidades poderá permitir a execução remota de código se um usuário visualizar uma página da Web especialmente criada usando o Microsoft Edge. Um invasor que conseguir explorar essas vulnerabilidades poderá adquirir o controle de um sistema afetado. O invasor poderá instalar programas; exibir, alterar ou excluir dados; ou criar novas contas com direitos totais de usuário.

Essa atualização de segurança foi classificada como Crítica para o Microsoft Edge no Windows 10 e como Moderada no Windows Server 2016. Para obter mais informações, consulte a seção Softwares afetados.

A atualização resolve as vulnerabilidades modificando o modo como o Microsoft Edge manipula objetos na memória.

Para obter mais informações sobre estas vulnerabilidades, consulte a seção Informações sobre vulnerabilidade. Para obter mais informações sobre essa atualização, consulte o artigo 4013071 da Base de Dados de Conhecimento Microsoft.

As seguinte versões ou edições de software foram afetadas. As versões ou edições que não estão listadas já passaram de seu ciclo de vida do suporte ou não foram afetadas. Para determinar o ciclo de vida do suporte para sua versão ou edição anterior de software, consulte Ciclo de vida do suporte da Microsoft.

As classificações de gravidade indicadas para cada software afetado assumem o potencial máximo do impacto da vulnerabilidade. Para obter informações referentes à probabilidade da capacidade de exploração da vulnerabilidade em relação a sua classificação de gravidade e ao impacto à segurança, dentro de 30 dias a partir do lançamento deste boletim de segurança, consulte o Índice de capacidade de exploração no Resumo de boletins de março.

Observação Consulte o Guia de atualizações de segurança para conhecer uma nova abordagem ao consumo de informações sobre atualizações de segurança. Você pode personalizar suas exibições e criar planilhas de softwares afetados, além de baixar dados por meio de uma API RESTful. Para obter mais informações, consulte as Perguntas frequentes sobre o Guia de atualizações de segurança. Como lembrete, o Guia de Atualizações de Segurança substituirá os boletins de segurança. Para obter mais detalhes, consulte nossa postagem de blog, Furthering our commitment to security updates (Ampliando nosso compromisso com as atualizações de segurança).

Softwares afetados do Microsoft Edge

Sistema operacional

Componente

Impacto máximo à segurança

Classificação de gravidade agregada

Atualizações substituídas

Microsoft Edge

Windows 10 para sistemas de 32 bits [1]
(4025338)

Microsoft Edge

Execução remota de código

Crítica

4022727

Windows 10 para sistemas com base em x64 [1]
(4025338)

Microsoft Edge

Execução remota de código

Crítica

4022727

Windows 10 Versão 1511 para sistemas de 32 bits [1]
(4025338)

Microsoft Edge

Execução remota de código

Crítica

4022714

Windows 10 Versão 1511 para sistemas com base em x64 [1]
(4025338)

Microsoft Edge

Execução remota de código

Crítica

4022714

Windows 10 Versão 1607 para sistemas de 32 bits [1]
(4025338)

Microsoft Edge

Execução remota de código

Crítica

4022715

Windows 10 Versão 1607 para sistemas com base em x64 [1]
(4025338)

Microsoft Edge

Execução remota de código

Crítica

4022715

Windows 10 Versão 1703 para sistemas de 32 bits [1]
(4025338)

Microsoft Edge

Execução remota de código

Crítica

4022725

Windows 10 Versão 1703 para sistemas com base em x64 [1]
(4025338)

Microsoft Edge

Execução remota de código

Crítica

4022725

Windows Server 2016

Windows Server 2016 para sistemas com base em x64 [1]
(4013429)

Microsoft Edge

Execução remota de código

Moderada

3213986

[1]As atualizações do Windows 10 e do Windows Server 2016 são cumulativas. O lançamento de segurança mensal inclui todas as correções de segurança para as vulnerabilidades que afetam o Windows 10, além de conter atualizações não relacionadas à segurança. As atualizações estão disponíveis pelo Catálogo do Microsoft Update. Observe que, a partir de 13 de dezembro de 2016, os detalhes do Windows 10 e do Windows Server 2016 para as Atualizações cumulativas serão documentados em Notas de versão. Consulte as Notas de versão para ver números de compilação de sistemas operacionais, problemas conhecidos e informações de listas de arquivos afetados.

* A coluna Atualizações substituídas mostra somente a atualização mais recente em qualquer cadeia de atualizações substituídas. Para ver um lista abrangente de atualizações substituídas, acesse o Catálogo do Microsoft Update, procure o número do artigo da base de dados da atualização e depois visualize os detalhes da atualização (informações sobre as atualizações substituídas são fornecidas na guia Detalhes do Pacote).

A vulnerabilidade da Biblioteca de PDF discutida neste boletim também é discutida no boletim de PDF do Windows (MS17-009), que será lançado em março. Para proteger-me contra a vulnerabilidade, preciso instalar várias atualizações em meu sistema específico e na configuração do Microsoft Edge? 
Não. Os clientes que executam sistemas Windows 10 só precisam instalar a atualização cumulativa para seu sistema para se protegerem contra a CVE-2017-0023. A vulnerabilidade da biblioteca de PDF aparece no boletim do Microsoft Edge, pois, em sistemas Windows 10, a correção de segurança para essa vulnerabilidade reside no componente Microsoft Edge que é fornecido na atualização cumulativa.

As classificações de gravidade a seguir pressupõem o impacto máximo possível da vulnerabilidade. Para obter informações referentes à probabilidade da capacidade de exploração da vulnerabilidade em relação à sua classificação de gravidade e ao impacto à segurança, dentro de 30 dias a partir do lançamento deste boletim de segurança, consulte o Índice de capacidade de exploração no Resumo dos boletins de março.

Onde for especificado na tabela de Classificação de gravidade e de impacto, os valores Crítico, Importante e Moderado indicam classificações de gravidade. Para obter mais informações, consulte o Boletim de Segurança sobre o Sistema de Classificação de Gravidade. Consulte a seguinte tecla para as abreviações usadas na tabela para indicar o impacto máximo:

Abreviação

Impacto máximo

RCE

Execução remota de código

EoP

Elevação de privilégio

Identificação

Divulgação não autorizada de informação

SFB

Desvio de recurso de segurança

 


Impacto e classificações de gravidade da vulnerabilidade

Número de CVE

Título da vulnerabilidade

Microsoft Edge

CVE-2017-0009

Vulnerabilidade de divulgação de informações no navegador da Microsoft

Clientes Windows:
Importante/ID

Servidores Windows
Baixa/ID

CVE-2017-0010

Vulnerabilidade de corrupção da memória do mecanismo de script

Clientes Windows:
Crítica/RCE

Servidores Windows
Moderada/RCE

CVE-2017-0011

Vulnerabilidade de divulgação de informações do Microsoft Edge

Clientes Windows:
Importante/ID

Servidores Windows
Baixa/ID

CVE-2017-0012

Vulnerabilidade de falsificação do navegador da Microsoft

Clientes Windows:
Importante/Falsificação

Windows Servers:
Baixa/Falsificação

CVE-2017-0015

Vulnerabilidade de corrupção da memória do mecanismo de script

Clientes Windows:
Crítica/RCE
(Apenas o Windows 10 e o Windows 10 versão 1511 são afetados)

CVE-2017-0017

Vulnerabilidade de divulgação de informações do Microsoft Edge

Clientes Windows:
Importante/ID

Servidores Windows
Baixa/ID

CVE-2017-0023

Vulnerabilidade de corrupção de memória de PDF da Microsoft

Clientes Windows:
Crítica/RCE

Servidores Windows
Moderada/RCE

CVE-2017-0032

Vulnerabilidade de corrupção da memória do mecanismo de script

Clientes Windows:
Crítica/RCE

Servidores Windows
Moderada/RCE

CVE-2017-0033

Vulnerabilidade de falsificação do navegador da Microsoft

Clientes Windows:
Importante/Falsificação

Windows Servers:
Baixa/Falsificação

CVE-2017-0034

Vulnerabilidade de corrupção de memória do Microsoft Edge

Clientes Windows:
Crítica/RCE
(Apenas o Windows 10 versão 1607 é afetado)

Servidores Windows:
Moderada/RCE

CVE-2017-0035

Vulnerabilidade de corrupção da memória do mecanismo de script

Clientes Windows:
Crítica/RCE

Servidores Windows
Moderada/RCE

CVE-2017-0037

Vulnerabilidade de corrupção de memória do navegador da Microsoft

Clientes Windows:
Crítica/RCE

Servidores Windows
Moderada/RCE

CVE-2017-0065

Vulnerabilidade de divulgação de informações no navegador da Microsoft

Clientes Windows:
Importante/ID

Servidores Windows
Baixa/ID

CVE-2017-0066

Vulnerabilidade de bypass do recurso de segurança do Microsoft Edge

Clientes Windows:
Importante/SFB

Servidores Windows:
Baixa/SFB

CVE-2017-0067

Vulnerabilidade de corrupção da memória do mecanismo de script

Clientes Windows:
Crítica/RCE

Servidores Windows
Moderada/RCE

CVE-2017-0068

Vulnerabilidade de divulgação de informações do Microsoft Edge

Clientes Windows:
Importante/ID

Servidores Windows
Baixa/ID

CVE-2017-0069

Vulnerabilidade de falsificação do Microsoft Edge

Clientes Windows:
Importante/Falsificação

Windows Servers:
Baixa/Falsificação

CVE-2017-0070

Vulnerabilidade de corrupção da memória do mecanismo de script

Clientes Windows:
Crítica/RCE

Servidores Windows
Moderada/RCE

CVE-2017-0071

Vulnerabilidade de corrupção da memória do mecanismo de script

Clientes Windows:
Crítica/RCE

Servidores Windows
Moderada/RCE

CVE-2017-0094

Vulnerabilidade de corrupção da memória do mecanismo de script

Clientes Windows:
Crítica/RCE

Servidores Windows
Moderada/RCE

CVE-2017-0131

Vulnerabilidade de corrupção da memória do mecanismo de script

Clientes Windows:
Importante/RCE

Servidores Windows:
Baixa/RCE

CVE-2017-0132

Vulnerabilidade de corrupção da memória do mecanismo de script

Clientes Windows:
Crítica/RCE

Servidores Windows
Moderada/RCE

CVE-2017-0133

Vulnerabilidade de corrupção da memória do mecanismo de script

Clientes Windows:
Crítica/RCE
(Apenas as versões 1511 e 1607 do Windows 10 são afetadas)

Servidores Windows:
Moderada/RCE

CVE-2017-0134

Vulnerabilidade de corrupção da memória do mecanismo de script

Clientes Windows:
Crítica/RCE

Servidores Windows
Moderada/RCE

CVE-2017-0135

Bypass do recurso de segurança do Microsoft Edge

Clientes Windows:
Importante/SFB

Servidores Windows:
Baixa/SFB

CVE-2017-0136

Vulnerabilidade de corrupção da memória do mecanismo de script

Clientes Windows:
Crítica/RCE
(Apenas o Windows 10 versão 1607 é afetado)

CVE-2017-0137

Vulnerabilidade de corrupção da memória do mecanismo de script

Clientes Windows:
Crítica/RCE

Servidores Windows
Moderada/RCE

CVE-2017-0138

Vulnerabilidade de corrupção da memória do mecanismo de script

Clientes Windows:
Crítica/RCE

Servidores Windows
Moderada/RCE

CVE-2017-0140

Bypass do recurso de segurança do Microsoft Edge

Clientes Windows:
Importante/SFB
(Apenas o Windows 10 versão 1607 é afetado)

Servidores Windows:
Baixa/SFB

CVE-2017-0141

Vulnerabilidade de corrupção da memória do mecanismo de script

Clientes Windows:
Crítica/RCE

Servidores Windows
Moderada/RCE

CVE-2017-0150

Vulnerabilidade de corrupção da memória do mecanismo de script

Clientes Windows:
Crítica/RCE
(Apenas o Windows 10 versão 1607 é afetado)

Servidores Windows:
Moderada/RCE

CVE-2017-0151

Vulnerabilidade de corrupção da memória do mecanismo de script

Clientes Windows:
Crítica/RCE
(Apenas o Windows 10 versão 1607 é afetado)

Servidores Windows:
Moderada/RCE

Várias vulnerabilidades de corrupção de memória do Mecanismo de Script da Microsoft

Existem várias vulnerabilidades de execução remota de código na maneira como os mecanismos de script da Microsoft afetados realizam renderizações ao manipularem objetos na memória em navegadores da Microsoft. Essas vulnerabilidades podem corromper a memória a ponto de permitir que um invasor execute um código arbitrário no contexto do usuário atual. Um invasor que conseguir explorar essas vulnerabilidades poderá obter os mesmos direitos que o usuário atual. Se um usuário atual tiver feito logon com direitos administrativos, o invasor que conseguir explorar essas vulnerabilidades poderá obter o controle total do sistema afetado. O invasor poderá instalar programas; exibir, alterar ou excluir dados; ou criar novas contas com direitos totais de usuário.

Em um cenário de ataque pela Web, o invasor pode hospedar um site especialmente criado para explorar essas vulnerabilidades por meio de um navegador da Microsoft e depois convencer um usuário a visualizar esse site. O invasor também pode incorporar um controle ActiveX marcado como "seguro para inicialização" em um aplicativo ou documento do Microsoft Office que hospeda o mecanismo de renderização do Edge. O invasor também pode tirar proveito de sites comprometidos e de sites que aceitem ou hospedem anúncios ou conteúdo fornecido pelo usuário. Esses sites da Web podem ter conteúdo especialmente criado para explorar as vulnerabilidades.

A atualização de segurança resolve essas vulnerabilidades, modificando a maneira como os mecanismos de scripts da Microsoft afetados manipulam objetos na memória.

A tabela a seguir contém um link para a entrada padrão de cada vulnerabilidade na lista Vulnerabilidades e Exposições Comuns:

Título da vulnerabilidade

Número da CVE

Divulgadas de forma pública

Explorado

Vulnerabilidade de corrupção da memória do mecanismo de script

CVE-2017-0010

Não

Não

Vulnerabilidade de corrupção da memória do mecanismo de script

CVE-2017-0015

Não

Não

Vulnerabilidade de corrupção da memória do mecanismo de script

CVE-2017-0032

Não

Não

Vulnerabilidade de corrupção da memória do mecanismo de script

CVE-2017-0035

Não

Não

Vulnerabilidade de corrupção da memória do mecanismo de script

CVE-2017-0067

Não

Não

Vulnerabilidade de corrupção da memória do mecanismo de script

CVE-2017-0070

Não

Não

Vulnerabilidade de corrupção da memória do mecanismo de script

CVE-2017-0071

Não

Não

Vulnerabilidade de corrupção da memória do mecanismo de script

CVE-2017-0094

Não

Não

Vulnerabilidade de corrupção da memória do mecanismo de script

CVE-2017-0131

Não

Não

Vulnerabilidade de corrupção da memória do mecanismo de script

CVE-2017-0132

Não

Não

Vulnerabilidade de corrupção da memória do mecanismo de script

CVE-2017-0133

Não

Não

Vulnerabilidade de corrupção da memória do mecanismo de script

CVE-2017-0134

Não

Não

Vulnerabilidade de corrupção da memória do mecanismo de script

CVE-2017-0136

Não

Não

Vulnerabilidade de corrupção da memória do mecanismo de script

CVE-2017-0137

Não

Não

Vulnerabilidade de corrupção da memória do mecanismo de script

CVE-2017-0138

Não

Não

Vulnerabilidade de corrupção da memória do mecanismo de script

CVE-2017-0141

Não

Não

Vulnerabilidade de corrupção da memória do mecanismo de script

CVE-2017-0150

Não

Não

Vulnerabilidade de corrupção da memória do mecanismo de script

CVE-2017-0151

Não

Não

Fatores atenuantes

A Microsoft não identificou fatores atenuantes para essas vulnerabilidades.

Soluções alternativas

A Microsoft não identificou soluções alternativas para essas vulnerabilidades.

Várias vulnerabilidades de divulgação não autorizada de informações do Microsoft Edge

Existem várias vulnerabilidades de divulgação não autorizada de informações na maneira como os componentes afetados manipulam objetos na memória. Um invasor que conseguir explorar essas vulnerabilidades poderá obter informações para comprometer ainda mais um sistema de destino.

No cenário de ataque pela Web, o invasor pode hospedar um site que contenha um arquivo usado para explorar as vulnerabilidades. Além disso, sites comprometidos e sites que aceitam ou hospedam conteúdo fornecido pelo usuário podem ter conteúdo especialmente criado que pode ser usado para explorar essas vulnerabilidades. Em todos os casos, um invasor não tem como forçar os usuários a exibir o conteúdo controlado por ele. Em vez disso, um invasor teria que convencer os usuários a realizarem uma ação. Por exemplo, um atacante pode enganar os usuários para eles clicarem em um link que os leva ao site do atacante.

A atualização de segurança resolve essas vulnerabilidades, corrigindo a maneira como os componentes afetados manipulam objetos na memória.

A tabela a seguir contém links para a entrada padrão de cada vulnerabilidade na lista Vulnerabilidades e exposições comuns:

Título da vulnerabilidade

Número da CVE

Divulgadas de forma pública

Explorado

Vulnerabilidade de divulgação de informações no navegador da Microsoft

CVE-2017-0009

Não

Não

Vulnerabilidade de divulgação de informações do Microsoft Edge

CVE-2017-0011

Não

Não

Vulnerabilidade de divulgação de informações do Microsoft Edge

CVE-2017-0017

Não

Não

Vulnerabilidade de divulgação de informações no navegador da Microsoft

CVE-2017-0065

Sim

Não

Vulnerabilidade de divulgação de informações do Microsoft Edge

CVE-2017-0068

Não

Não

Fatores atenuantes

A Microsoft não identificou fatores atenuantes para essas vulnerabilidades.

Soluções alternativas

A Microsoft não identificou soluções alternativas para essas vulnerabilidades.

Várias vulnerabilidades de falsificação do Microsoft Edge

Existem várias vulnerabilidades de falsificação quando um navegador da Microsoft não analisa corretamente as respostas HTTP. Um invasor que conseguir explorar essas vulnerabilidades poderá enganar um usuário, redirecionando-o a um site especialmente criado. O site especialmente criado pode falsificar conteúdo ou ser usado como um pivô para encadear um ataque com outras vulnerabilidades nos serviços Web.

Para explorar essas vulnerabilidade, o usuário deve clicar em uma URL especialmente criada. Em um cenário de ataque por email, um invasor pode enviar uma mensagem para o usuário contendo a URL especialmente criada, em uma tentativa de convencê-lo a clicar nela.

Em um cenário de ataque com base na Web, o atacante pode hospedar um site especialmente criado para parecer com um site legítimo para o usuário. No entanto, não há como o atacante forçar os usuários a acessar o site especialmente criado. O invasor teria que convencer o usuário a acessar o site especialmente criado, geralmente por meio de um chamariz em um email ou uma mensagem instantânea, e depois convencer o usuário a interagir com o conteúdo no site.

A atualização resolve essas vulnerabilidades, corrigindo a maneira como os navegadores da Microsoft analisam respostas HTTP.

A tabela a seguir contém links para a entrada padrão de cada vulnerabilidade na lista Vulnerabilidades e exposições comuns:

Título da vulnerabilidade

Número de CVE

Divulgadas de forma pública

Explorado

Vulnerabilidade de falsificação do browser da Microsoft

CVE-2017-0012

Sim

Não

Vulnerabilidade de falsificação do navegador da Microsoft

CVE-2017-0033

Sim

Não

Vulnerabilidade de falsificação do Microsoft Edge

CVE-2017-0069

Sim

Não

Fatores atenuantes

A Microsoft não identificou fatores atenuantes para essas vulnerabilidades.

Soluções alternativas

A Microsoft não identificou soluções alternativas para essas vulnerabilidades.

Vulnerabilidade de corrupção de memória de navegadores da Microsoft CVE-2017-0037

Existe uma vulnerabilidade de execução remota de código quando o Microsoft Edge acessa indevidamente objetos na memória. A vulnerabilidade pode corromper a memória que permite a um invasor executar um código arbitrário no contexto do usuário atual.

Um invasor pode hospedar um site especialmente criado para explorar a vulnerabilidade por meio do Microsoft Edge e convencer um usuário a exibir o site. O atacante pode tirar proveito de sites comprometidos e sites que aceitem ou hospedem conteúdo fornecido pelo usuário ou anúncios adicionando conteúdo especialmente criado que pode explorar esta vulnerabilidade. No entanto, em todos os casos, o atacante não tem como forçar os usuários a exibir o conteúdo controlado pelo atacante. Em vez disso, um invasor teria que convencer os usuários a realizar uma ação, geralmente na forma de atrativos em uma mensagem de email ou instantânea, ou induzindo-os a abrir um anexo enviado por email.

Para efetuar a execução de código completa, um adversário também precisa combinar essa vulnerabilidade com outras explorações. Um invasor que tenha conseguido combinar várias vulnerabilidades pode criar uma cadeia de explorações pode obter os mesmos direitos do usuário atual. Se o usuário atual estiver conectado com direitos de usuário administrativo, o invasor poderá assumir o controle do sistema afetado. O invasor poderá instalar programas; exibir, alterar ou excluir dados; ou criar novas contas com direitos totais de usuário.

A atualização aborda a vulnerabilidade modificando a maneira como o Microsoft Edge manipula objetos na memória.

A tabela a seguir contém um link para a entrada padrão da vulnerabilidade na lista Vulnerabilidades e exposições comuns:

Título da vulnerabilidade

Número da CVE

Divulgadas de forma pública

Explorado

Vulnerabilidade de corrupção de memória do navegador da Microsoft

CVE-2017-0037

Sim

Não

Fatores atenuantes

A Microsoft não identificou fatores atenuantes para essa vulnerabilidade.

Soluções alternativas

A Microsoft não identificou soluções alternativas para essa vulnerabilidade.

Vulnerabilidade de corrupção de memória de PDF da Microsoft - CVE 2017-0023

Existe uma vulnerabilidade de execução remota de código quando a Biblioteca de PDFs do Microsoft Windows manipula incorretamente os objetos na memória. A vulnerabilidade pode corromper a memória de modo a permitir que um invasor execute código arbitrário no contexto do usuário atual. Um invasor que tenha conseguido explorar as vulnerabilidades pode obter os mesmos direitos que o usuário atual. Se o usuário atual estiver conectado com direitos de usuário administrativo, o invasor poderá assumir o controle do sistema afetado. O invasor poderá instalar programas; exibir, alterar ou excluir dados; ou criar novas contas com direitos totais de usuário.

Para explorar a vulnerabilidade em sistemas Windows 10 com o Microsoft Edge definido como navegador padrão, o invasor pode hospedar um site especialmente criado que contém o conteúdo em PDF mal-intencionados e, em seguida, convencer os usuários a visualizarem esse site. Ele também pode tirar proveito de sites da Web comprometidos ou que aceitam ou hospedam anúncios ou conteúdo fornecido pelo usuário, adicionando a eles conteúdo em PDF especialmente criado. Apenas sistemas Windows 10 com o Microsoft Edge definido como navegador padrão podem ser comprometidos pela simples visualização de um site. Os navegadores de todos os outros sistemas operacionais afetados não renderizam automaticamente o conteúdo em PDF e, portanto, um invasor não tem como forçar os usuários a visualizarem o conteúdo controlado por ele. Em vez disso, ele precisa convencer os usuários a abrirem um documento PDF especialmente criado, geralmente por meio de atrativos em um email, uma mensagem instantânea ou um anexo de email.

A atualização resolve a vulnerabilidade, modificando a forma como os sistemas afetados manipulam objetos na memória.

A tabela a seguir contém links para a entrada padrão de cada vulnerabilidade na lista Vulnerabilidades e exposições comuns:

Título da vulnerabilidade

Número de CVE

Divulgadas de forma pública

Explorado

Vulnerabilidade de corrupção de memória de PDF da Microsoft

CVE-2017-0023

Não

Não

Fatores atenuantes

A Microsoft não identificou fatores atenuantes para essa vulnerabilidade.

Soluções alternativas

A Microsoft não identificou soluções alternativas para essa vulnerabilidade.

Várias vulnerabilidades de bypass de recurso de segurança do Microsoft Edge

Existem várias funcionalidades de bypass de recurso de segurança quando o Microsoft Edge não consegue aplicar corretamente a Política de Mesma Origem para elementos HTML presentes em outras janelas do navegador.

Um invasor pode enganar o usuário a ponto de fazê-lo carregar uma página com conteúdo mal-intencionado. Para explorar essas vulnerabilidades, um invasor precisa enganar um usuário a ponto de fazê-lo carregar uma página ou visitar um site. A página também pode ser injetada em um site comprometido ou em uma rede de anúncios.

A atualização resolve essas vulnerabilidades, corrigindo como a Política de Mesma Origem verifica a existência de scripts que tentam manipular elementos HTML em outras janelas do navegador.

A tabela a seguir contém um link para a entrada padrão da vulnerabilidade na lista Vulnerabilidades e exposições comuns:

Título da vulnerabilidade

Número da CVE

Divulgadas de forma pública

Explorado

Vulnerabilidade de bypass do recurso de segurança do Microsoft Edge

CVE-2017-0066

Não

Não

Vulnerabilidade de bypass do recurso de segurança do Microsoft Edge

CVE-2017-0135

Não

Não

Vulnerabilidade de bypass do recurso de segurança do Microsoft Edge

CVE-2017-0140

Não

Não

Fatores atenuantes

A Microsoft não identificou fatores atenuantes para essas vulnerabilidades.

Soluções alternativas

A Microsoft não identificou soluções alternativas para essas vulnerabilidades.

Vulnerabilidade de corrupção de memória do Microsoft Edge - CVE-2017-0034

Existe uma vulnerabilidade de execução remota de código quando o Microsoft Edge acessa indevidamente objetos na memória. A vulnerabilidade pode corromper a memória de modo a permitir que um invasor execute código arbitrário no contexto do usuário atual. Um invasor que tenha conseguido explorar as vulnerabilidades pode obter os mesmos direitos que o usuário atual. Se o usuário atual estiver conectado com direitos de usuário administrativo, o invasor poderá assumir o controle do sistema afetado. O invasor poderá instalar programas; exibir, alterar ou excluir dados; ou criar novas contas com direitos totais de usuário.

Um invasor pode hospedar um site especialmente criado para explorar a vulnerabilidade por meio do Microsoft Edge e convencer um usuário a exibir o site. O atacante pode tirar proveito de sites comprometidos e sites que aceitem ou hospedem conteúdo fornecido pelo usuário ou anúncios adicionando conteúdo especialmente criado que pode explorar esta vulnerabilidade. No entanto, em todos os casos, o atacante não tem como forçar os usuários a exibir o conteúdo controlado pelo atacante. Em vez disso, um invasor teria que convencer os usuários a realizarem uma ação, geralmente por meio de atrativos em um email ou em uma mensagem instantânea, ou induzindo-os a abrir um anexo enviado por email.

A atualização aborda a vulnerabilidade modificando a maneira como o Microsoft Edge manipula objetos na memória.

A tabela a seguir contém um link para a entrada padrão da vulnerabilidade na lista Vulnerabilidades e exposições comuns:

Título da vulnerabilidade

Número da CVE

Divulgadas de forma pública

Explorado

Vulnerabilidade de corrupção de memória do Microsoft Edge

CVE-2017-0034

Não

Não

Fatores atenuantes

A Microsoft não identificou fatores atenuantes para a vulnerabilidade.

Soluções alternativas

A Microsoft não identificou soluções alternativas para a vulnerabilidade.

Para obter informações sobre a implementação de atualizações de segurança, consulte o artigo da Base de Dados de Conhecimento Microsoft mencionado aqui no Resumo executivo.

A Microsoft reconhece os esforços dos membros da comunidade de segurança que nos ajudam a proteger os consumidores graças à divulgação responsável de vulnerabilidades. Consulte Agradecimentos para obter mais informações.

As informações fornecidas na Base de Dados de Conhecimento Microsoft são apresentadas "no estado em que se encontram", sem garantia de qualquer tipo. A Microsoft se isenta de todas as garantias, expressas ou implícitas, inclusive as garantias de comercialização e adequação a um propósito específico. Em hipótese alguma a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, inclusive danos diretos, indiretos, incidentais, consequenciais, danos por lucros cessantes ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido alertados da possibilidade dos referidos danos. Como alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou indiretos, a limitação acima pode não ser aplicável a você.

  • V1.0 (14 de março de 2017): Boletim publicado.
  • V2.0 (8 de agosto de 2017): Para abordar o CVE-2017-0071 de maneira abrangente, a Microsoft lançou as atualizações de segurança de julho para todas as versões do Windows 10. Observe que o Windows 10 para sistemas de 32 bits, o Windows 10 para sistemas baseados em x64, o Windows 10 Versão 1703 para sistemas de 32 bits e o Windows 10 Versão 1703 para sistemas baseados em x64 foram adicionados à tabela de Produtos Afetados, pois também são afetados por essa vulnerabilidade. A Microsoft recomenda que os clientes que ainda não fizeram isso instalem as atualizações de segurança de julho de 2017 para ficarem totalmente protegidos contra essa vulnerabilidade.
Página gerada em 2017-08-02 09:24-07:00.
Mostrar: