Consultoria de Segurança

Comunicado de Segurança da Microsoft 2639658

Vulnerabilidade na análise de fonte TrueType pode permitir elevação de privilégio

Publicado: terça-feira, 3 de novembro de 2011 | Atualizado: December 13, 2011

Versão: 2.0

Informações Gerais

Resumo executivo

A Microsoft concluiu a investigação sobre um relatório público desta vulnerabilidade. Publicamos o boletim MS11-087 para resolver este problema. Para obter mais informações sobre esse problema, incluindo links para download de uma atualização de segurança disponível, consulte o boletim MS11-087. A vulnerabilidade abordada é a Vulnerabilidade de análise de fonte TrueType - CVE-2011-3402.

Trabalhamos com parceiros em nosso Microsoft Active Protections Program (MAPP) para fornecer informações que eles possam usar para fornecer proteções mais amplas aos clientes. Para obter informações sobre proteções lançadas por parceiros MAPP, consulte Parceiros MAPP com proteções atualizadas.

Outras Informações

Programa de Proteção Ativa da Microsoft (MAPP)

Para melhorar as proteções de segurança para os clientes, a Microsoft fornece informações sobre vulnerabilidades aos principais fornecedores de software de segurança antes de cada lançamento mensal da atualização de segurança. Os provedores de software de segurança podem usar essas informações de vulnerabilidade para fornecer proteções atualizadas aos clientes por meio de seus softwares ou dispositivos de segurança, como antivírus, sistemas de detecção de intrusão baseados em rede ou sistemas de prevenção de intrusão baseados em host. Para determinar se as proteções ativas estão disponíveis a partir de provedores de software de segurança, visite os sites de proteções ativas fornecidos por parceiros do programa, listados em Parceiros do Microsoft Active Protections Program (MAPP).

Feedback

• Você pode fornecer comentários preenchendo o formulário de Ajuda e Suporte da Microsoft, Atendimento ao Cliente Fale Conosco.

Suporte

• Os clientes nos Estados Unidos e no Canadá podem receber suporte técnico do Suporte de Segurança. Para obter mais informações sobre as opções de suporte disponíveis, consulte Ajuda e Suporte da Microsoft.
• Os clientes internacionais podem receber suporte de suas subsidiárias locais da Microsoft. Para obter mais informações sobre como entrar em contato com a Microsoft para problemas de suporte internacional, visite Suporte internacional.
• O Microsoft TechNet Security fornece informações adicionais sobre segurança em produtos Microsoft.

Aviso de isenção de responsabilidade

As informações fornecidas neste comunicado são fornecidas "no estado em que se encontram", sem garantia de qualquer tipo. A Microsoft se isenta de todas as garantias, expressas ou implícitas, incluindo as garantias de comercialização e adequação a uma finalidade específica. Em nenhuma circunstância a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, incluindo danos diretos, indiretos, incidentais, consequenciais, perda de lucros comerciais ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido avisados da possibilidade de tais danos. Alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou incidentais, portanto, a limitação acima pode não se aplicar.

Revisões

• V1.0 (3 de novembro de 2011): Comunicado publicado.
• V1.1 (3 de novembro de 2011): Notação de localização adicionada à seção Soluções alternativas.
• V1.2 (4 de novembro de 2011): Revisada a solução alternativa, Negar acesso ao T2EMBED.DLL, para melhorar o suporte para versões não em inglês do Windows Vista, Windows Server 2008, Windows 7 e Windows Server 2008 R2. Os clientes com versões não inglesas do Microsoft Windows devem reavaliar a aplicabilidade da solução alternativa revisada para seu ambiente.
• V1.3 (8 de novembro de 2011): Adicionado link para Parceiros MAPP com proteções atualizadas no Sumário Executivo. Declaração de impacto revisada para a solução alternativa, Negar acesso ao T2EMBED.DLL, para resolver um problema de reoferta no Windows XP e no Windows Server 2003. Além disso, revisou os fatores atenuantes.
• V1.4 (11 de novembro de 2011): Declaração de impacto revisada para a solução alternativa, Negar acesso a T2EMBED.DLL, para abordar aplicativos que dependem de T2EMBED.DLL para funcionalidade.
• V2.0 (13 de dezembro de 2011): Comunicado atualizado para refletir a publicação do boletim de segurança.

Construído em 2014-04-18T13:49:36Z-07:00