Atualização de segurança para o Microsoft Graphics Component (4013075)
Publicado: terça-feira, 14 de março de 2017 | Atualizado: May 9, 2017
Versão: 3.0
Resumo executivo
Esta atualização de segurança resolve vulnerabilidades no Microsoft Windows, Microsoft Office, Skype for Business, Microsoft Lync e Microsoft Silverlight. A mais grave dessas vulnerabilidades pode permitir a execução remota de código se um usuário visitar um site especialmente criado ou abrir um documento especialmente criado. Os usuários cujas contas estão configuradas para ter menos direitos de usuário no sistema correm menos riscos do que aqueles que têm direitos de usuário administrativo.
Esta atualização de segurança é classificada como Crítica para:
Todas as versões suportadas do Microsoft Windows
Edições afetadas do Microsoft Office 2007 e do Microsoft Office 2010
Edições afetadas do Skype for Business 2016, Microsoft Lync 2013 e Microsoft Lync 2010
Edições afetadas do Silverlight
A atualização de segurança elimina as vulnerabilidades corrigindo como o software manipula objetos na memória.
Para obter mais informações, consulte a seção Softwares afetados e classificações de gravidade da vulnerabilidade.
Para obter mais informações sobre essa atualização, consulte o artigo 4013075 da Base de Dados de Conhecimento Microsoft.
Software afetado e classificações de gravidade da vulnerabilidade
As seguintes versões ou edições de software são afetadas. As versões ou edições que não estão listadas já passaram do ciclo de vida de suporte ou não são afetadas. Para determinar o ciclo de vida de suporte para sua versão ou edição de software, consulte Ciclo de Vida do Suporte da Microsoft.
As classificações de gravidade indicadas para cada software afetado pressupõem o impacto máximo potencial da vulnerabilidade. Para obter informações sobre a probabilidade, dentro de 30 dias após o lançamento deste boletim de segurança, da possibilidade de exploração da vulnerabilidade em relação à sua classificação de gravidade e impacto à segurança, consulte o Índice de exploração no resumo de boletins de março.
[1]Esta actualização só está disponível através do Windows Update.
[2]As atualizações do Windows 10 são cumulativas. A versão de segurança mensal inclui todas as correções de segurança para vulnerabilidades que afetam o Windows 10, além de atualizações não relacionadas à segurança. As atualizações estão disponíveis por meio do Catálogo do Microsoft Update.
[3]A partir da versão de outubro de 2016, a Microsoft está alterando o modelo de serviço de atualização para Windows 7, Windows Server 2008 R2, Windows 8.1, Windows Server 2012 e Windows Server 2012 R2. Para obter mais informações, consulte este artigo do Microsoft TechNet.
*A coluna Atualizações substituídas mostra apenas a atualização mais recente em qualquer cadeia de atualizações substituídas. Para obter uma lista abrangente de atualizações substituídas, vá para o Catálogo do Microsoft Update, procure o número KB da atualização e exiba os detalhes da atualização (as informações sobre atualizações substituídas são fornecidas na guia PackageDetails ).
*A coluna Atualizações substituídas mostra apenas a atualização mais recente em qualquer cadeia de atualizações substituídas. Para obter uma lista abrangente de atualizações substituídas, vá para o Catálogo do Microsoft Update, procure o número KB da atualização e exiba os detalhes da atualização (as informações sobre atualizações substituídas são fornecidas na guia Detalhes do Pacote).
Software e plataformas de comunicação da Microsoft
Suplemento do Microsoft Live Meeting 2007[3](4010304)
Divulgação de Informações Importantes
Divulgação de Informações Importantes
Execução remota crítica de código
Nenhum
[1]Antes de instalar esta atualização, você deve ter 2965218 de atualização e 3039779 de atualização de segurança instalados. Consulte as Perguntas frequentes sobre atualização para obter mais informações.
[2]Esta atualização está disponível no Centro de Download da Microsoft.
*A coluna Atualizações substituídas mostra apenas a atualização mais recente em uma cadeia de atualizações substituídas. Para obter uma lista abrangente de atualizações substituídas, vá para o Catálogo do Microsoft Update, procure o número KB da atualização e exiba os detalhes da atualização (as informações sobre atualizações substituídas estão na guia Detalhes do Pacote ).
Ferramentas e software para desenvolvedores da Microsoft
*A coluna Atualizações substituídas mostra apenas a atualização mais recente em uma cadeia de atualizações substituídas. Para obter uma lista abrangente de atualizações substituídas, vá para o Catálogo do Microsoft Update, procure o número KB da atualização e exiba os detalhes da atualização (as informações sobre atualizações substituídas estão na guia Detalhes do Pacote ).
Perguntas frequentes sobre atualizações
Por que a atualização de segurança 4012583 neste boletim também está indicada no boletim MS17-011?
Por que a atualização de segurança 4012497 neste boletim também está indicada no boletim MS17-018?
A 4012583 da atualização de segurança também é indicada no boletim MS17-011 e 4012497 também é indicada no boletim MS17-018 para versões com suporte do Windows Vista e do Windows Server 2008 devido à maneira como as correções de vulnerabilidades que afetam produtos específicos são consolidadas. Como os boletins são divididos pelas vulnerabilidades que estão sendo abordadas, não pelo pacote de atualização que está sendo lançado, é possível que boletins separados, cada um abordando vulnerabilidades distintas, listem o mesmo pacote de atualização que o veículo para fornecer suas respectivas correções. Esse é frequentemente o caso de atualizações cumulativas para produtos, como o Internet Explorer ou o Silverlight, em que atualizações de segurança singulares abordam diferentes vulnerabilidades de segurança em boletins separados.
Observação Os usuários não precisam instalar atualizações de segurança idênticas fornecidas com vários boletins mais de uma vez.
Há vários pacotes de atualização disponíveis para alguns dos softwares afetados. Preciso instalar todas as atualizações listadas na tabela Softwares afetados para o software?
Sim. Os clientes devem aplicar todas as atualizações oferecidas para o software instalado em seus sistemas. Se várias atualizações se aplicarem, elas poderão ser instaladas em qualquer ordem.
Preciso instalar essas atualizações de segurança em uma sequência específica?
Não. Várias atualizações para um determinado sistema podem ser aplicadas em qualquer sequência.
Estou executando o Office 2010, que está listado como software afetado. Por que a atualização não está sendo oferecida?
A atualização, KB3127958 (Ogl.dll), não é aplicável ao Office 2010 no Windows Vista e versões posteriores do Windows porque o código vulnerável não está presente.
Esta atualização está sendo oferecida para software que não é especificamente indicado como afetado na tabela Softwares afetados e Classificações de gravidade de vulnerabilidade. Por que esta atualização está sendo oferecida?
Quando as atualizações abordam o código vulnerável existente em um componente compartilhado entre vários produtos do Microsoft Office ou compartilhado entre várias versões do mesmo produto do Microsoft Office, a atualização é considerada aplicável a todos os produtos e versões com suporte que contêm o componente vulnerável.
Por exemplo, quando uma atualização se aplica a produtos do Microsoft Office 2007, somente o Microsoft Office 2007 pode ser listado especificamente na tabela Softwares afetados. No entanto, a atualização pode se aplicar ao Microsoft Word 2007, Microsoft Excel 2007, Microsoft Visio 2007, Microsoft Compatibility Pack, Microsoft Excel Viewer ou qualquer outro produto do Microsoft Office 2007 que não esteja especificamente listado na tabela Softwares afetados. Além disso, quando uma atualização se aplica a produtos do Microsoft Office 2010, somente o Microsoft Office 2010 pode ser listado especificamente na tabela Softwares afetados. No entanto, a atualização pode se aplicar ao Microsoft Word 2010, Microsoft Excel 2010, Microsoft Visio 2010, Microsoft Visio Viewer ou qualquer outro produto do Microsoft Office 2010 que não esteja especificamente listado na tabela Softwares afetados.
Para obter mais informações sobre esse comportamento e ações recomendadas, consulte o artigo 830335 da Base de Dados de Conhecimento Microsoft. Para obter uma lista de produtos do Microsoft Office aos quais uma atualização pode se aplicar, consulte o artigo da Base de Dados de Conhecimento Microsoft associado à atualização específica.
Há algum pré-requisito para qualquer uma das atualizações oferecidas neste boletim para edições afetadas do Microsoft Lync 2013 (Skype for Business)?
Sim. Os clientes que executam edições afetadas do Microsoft Lync 2013 (Skype for Business) devem primeiro instalar a atualização de 2965218 para o Office 2013 lançada em abril de 2015 e, em seguida, a atualização de segurança 3039779 lançada em maio de 2015. Para obter mais informações sobre essas duas atualizações de pré-requisito, consulte:
Por que a atualização do Lync 2010 Attendee (instalação em nível de usuário) só está disponível no Centro de Download da Microsoft?
A Microsoft está lançando a atualização para o Lync 2010 Attendee (instalação em nível de usuário) somente para o Centro de Download da Microsoft. Como a instalação em nível de usuário do Lync 2010 Attendee é manipulada por meio de uma sessão do Lync, métodos de distribuição, como a atualização automática, não são apropriados para esse tipo de cenário de instalação.
Esta versão contém alguma alteração adicional de funcionalidade relacionada à segurança?
Sim. Além das atualizações de segurança que abordam as vulnerabilidades descritas neste boletim, a Microsoft está lançando uma atualização que substitui determinadas bibliotecas de terceiros que foram usadas pelo Windows 8.1, Windows Server 2012, Windows Server 2012 R2, Windows Server 2016 e todas as versões do Windows 10. Esta atualização fornece a mesma funcionalidade de forma mais segura e confiável.
Informações de vulnerabilidade
Várias vulnerabilidades de elevação de privilégio do Windows GDI
Existem vulnerabilidades de elevação de privilégio na maneira como a GDI (Interface de Dispositivo Gráfico) do Windows manipula objetos na memória. O invasor que explorar com êxito essas vulnerabilidades poderá executar código arbitrário no modo kernel. Um invasor pode instalar programas, exibir, alterar ou excluir dados, além de criar contas com direitos de usuário totais.
Para explorar essas vulnerabilidades, um invasor primeiro precisa fazer logon no sistema. Um invasor pode então executar um aplicativo especialmente criado que pode explorar essas vulnerabilidades e assumir o controle de um sistema afetado.
A atualização elimina essas vulnerabilidades corrigindo como o GDI manipula objetos na memória e impedindo instâncias de elevação de privilégio de modo de usuário não intencional.
A tabela a seguir contém um link para a entrada padrão da vulnerabilidade na lista Common Vulnerabilities and Exposures:
Título da vulnerabilidade
Número CVE
Divulgado publicamente
Explorado
Vulnerabilidade de elevação de privilégio do Windows GDI
A Microsoft não identificou nenhum fator atenuante para essas vulnerabilidades.
Soluções Alternativas
A Microsoft não identificou nenhuma solução alternativa para essas vulnerabilidades.
Vulnerabilidade de divulgação não autorizada de informações do componente gráfico do Windows - CVE-2017-0038
Existe uma vulnerabilidade de divulgação não autorizada de informações quando o componente GDI do Windows divulga incorretamente o conteúdo de sua memória. O invasor que explorar com êxito a vulnerabilidade poderá obter informações para comprometer ainda mais o sistema do usuário.
Há várias maneiras de um invasor explorar a vulnerabilidade, como convencendo um usuário a abrir um documento especialmente criado ou convencendo um usuário a visitar uma página da Web não confiável.
A atualização elimina a vulnerabilidade corrigindo como o componente GDI do Windows manipula objetos na memória.
A tabela a seguir contém um link para a entrada padrão da vulnerabilidade na lista Common Vulnerabilities and Exposures:
Título da vulnerabilidade
Número CVE
Divulgado publicamente
Explorado
Vulnerabilidade de divulgação não autorizada de informações do componente gráfico do Windows
A Microsoft não identificou nenhum fator atenuante para esta vulnerabilidade.
Soluções Alternativas
A Microsoft não identificou quaisquer soluções alternativas para esta vulnerabilidade.
Várias vulnerabilidades de divulgação de informações do GDI+
Existem várias vulnerabilidades de divulgação não autorizada de informações na maneira como a GDI (Windows Graphics Device Interface) manipula objetos na memória, permitindo que um invasor recupere informações de um sistema de destino. Por si só, a divulgação de informações não permite a execução arbitrária de códigos; no entanto, ele pode permitir a execução de código arbitrário se o invasor usá-lo em combinação com outra vulnerabilidade.
Para explorar essas vulnerabilidades, um invasor teria que fazer logon em um sistema afetado e executar um aplicativo especialmente criado.
A atualização de segurança elimina as vulnerabilidades corrigindo como o GDI manipula endereços de memória.
A tabela a seguir contém um link para a entrada padrão da vulnerabilidade na lista Common Vulnerabilities and Exposures:
Título da vulnerabilidade
Número CVE
Divulgado publicamente
Explorado
Vulnerabilidade de divulgação não autorizada de informações do GDI+
A Microsoft não identificou nenhum fator atenuante para essas vulnerabilidades.
Soluções Alternativas
A Microsoft não identificou nenhuma solução alternativa para essas vulnerabilidades.
Várias vulnerabilidades de divulgação de informações do Microsoft Color Management
Existem várias vulnerabilidades de divulgação não autorizada de informações na maneira como o Color Management Module (ICM32.dll) manipula objetos na memória. Essas vulnerabilidades permitem que um invasor recupere informações para ignorar o modo de usuário ASLR (Address Space Layout Randomization) em um sistema de destino. Por si só, as divulgações de informações não permitem a execução arbitrária de códigos; no entanto, eles podem permitir a execução de código arbitrário se o invasor usá-lo em combinação com outra vulnerabilidade.
Num cenário de ataque baseado na Web, um intruso poderia alojar um Web site especialmente concebido para explorar a vulnerabilidade e, em seguida, convencer os utilizadores a visualizar o Web site. Um invasor não teria como forçar os usuários a exibir o conteúdo controlado pelo invasor. Em vez disso, um invasor teria que convencer os usuários a agir, geralmente fazendo com que eles cliquem em um link em um email ou mensagem do Instant Messenger que leva os usuários ao site do invasor ou abrindo um anexo enviado por email.
A atualização de segurança elimina a vulnerabilidade corrigindo como o Módulo de Gerenciamento de Cores manipula objetos na memória.
A tabela a seguir contém um link para a entrada padrão da vulnerabilidade na lista Common Vulnerabilities and Exposures:
Título da vulnerabilidade
Número CVE
Divulgado publicamente
Explorado
Vulnerabilidade de divulgação não autorizada de informações do Microsoft Color Management
A Microsoft não identificou nenhum fator atenuante para essas vulnerabilidades.
Soluções Alternativas
A Microsoft não identificou nenhuma solução alternativa para essas vulnerabilidades.
Várias vulnerabilidades de execução remota de código de componentes gráficos
Existem vulnerabilidades de execução remota de código devido à maneira como o Componente Gráfico do Windows manipula objetos na memória. Um invasor que explorar com êxito essas vulnerabilidades poderá assumir o controle do sistema afetado. Um invasor pode instalar programas, exibir, alterar ou excluir dados, além de criar contas com direitos de usuário totais. Os usuários cujas contas estão configuradas para ter menos direitos de usuário no sistema correm menos riscos do que aqueles que têm direitos de usuário administrativo.
Há várias maneiras pelas quais um invasor pode explorar essas vulnerabilidades.
Num cenário de ataque baseado na Web, um intruso poderia alojar um Web site especialmente concebido para explorar esta vulnerabilidade e, em seguida, convencer um utilizador a visualizar o Web site. Um invasor não teria como forçar os usuários a exibir o conteúdo controlado pelo invasor. Em vez disso, um invasor teria que convencer os usuários a agir, geralmente fazendo com que eles cliquem em um link em uma mensagem de email ou em uma mensagem do Instant Messenger que leva os usuários ao site do invasor ou abrindo um anexo enviado por email.
Em um cenário de ataque de compartilhamento de arquivos, um invasor pode fornecer um arquivo de documento especialmente criado projetado para explorar essas vulnerabilidades e, em seguida, convencer um usuário a abrir o arquivo de documento.
Observe que, para produtos afetados do Microsoft Office, o Painel de Visualização é um vetor de ataque.
A atualização de segurança elimina as vulnerabilidades corrigindo como o Componente Gráfico do Windows manipula objetos na memória.
A tabela a seguir contém links para a entrada padrão da vulnerabilidade na lista Common Vulnerabilities and Exposures:
Título da vulnerabilidade
Número CVE
Divulgado publicamente
Explorado
Vulnerabilidade de execução remota de código do componente gráfico
A Microsoft não identificou nenhum fator atenuante para essas vulnerabilidades.
Soluções Alternativas
A Microsoft não identificou nenhuma solução alternativa para essas vulnerabilidades.
Implantação de atualização de segurança
Para obter informações sobre a Implantação da Atualização de Segurança, consulte o artigo da Base de Dados de Conhecimento Microsoft mencionado no Resumo Executivo.
Agradecimentos
A Microsoft reconhece os esforços daqueles na comunidade de segurança que nos ajudam a proteger os clientes por meio da divulgação coordenada de vulnerabilidades. Consulte Agradecimentos para obter mais informações.
Aviso de isenção de responsabilidade
As informações fornecidas na Base de Dados de Conhecimento Microsoft são fornecidas "no estado em que se encontram", sem qualquer tipo de garantia. A Microsoft se isenta de todas as garantias, expressas ou implícitas, incluindo as garantias de comercialização e adequação a uma finalidade específica. Em nenhuma circunstância a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, incluindo danos diretos, indiretos, incidentais, consequenciais, perda de lucros comerciais ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido avisados da possibilidade de tais danos. Alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou incidentais, portanto, a limitação acima pode não se aplicar.
Revisões
V1.0 (14 de março de 2017): Boletim publicado.
V1.1 (14 de março de 2017): Substituição alterada no pacote 3178688 afetando o Microsoft Office 2010 Service Pack 2 (edições de 32 e 64 bits) de 3115131 no MS16-097 para 2889841 no MS16-148.
V2.0 (11 de abril de 2017): Boletim revisado para anunciar o lançamento do 4017018 de atualização para Windows Vista e Windows Server 2008. A atualização substitui a atualização 4012583 apenas para CVE-2017-0038, para resolver a vulnerabilidade de forma abrangente. A Microsoft recomenda que os clientes que executam o software afetado instalem a atualização de segurança para ficarem totalmente protegidos contra a vulnerabilidade descrita neste boletim. Consulte o Artigo 4017018 da Base de Dados de Conhecimento Microsoft para obter mais informações.
V3.0 (9 de maio de 2017): A Microsoft relançou a atualização de segurança 4017018 para edições afetadas do Windows Server 2008. O relançamento foi reclassificado como uma atualização de segurança. A Microsoft recomenda que os clientes instalem o Update 4017018 para estarem totalmente protegidos contra CVE-2017-0038. Os clientes que já instalaram a atualização não precisam executar nenhuma ação adicional.
Além disso, esta correção de atualização de segurança também se aplica ao Windows Server 2008 para sistemas baseados em Itanium.
Proteger o desenvolvimento de software significa integrar a segurança em cada etapa do ciclo de vida de desenvolvimento, da análise de requisitos à manutenção. A Microsoft fornece muitos serviços que podem ajudá-lo a desenvolver códigos mais seguros e implantar um aplicativo mais seguro na nuvem. Este roteiro de aprendizado fornece uma visão geral dos serviços e das ofertas disponíveis para ajudá-lo a criar software seguro como parte de uma solução de segurança cibernética.O prazo para as agências cumprirem