Modelo do MSRC ppDocument

Comunicado de Segurança da Microsoft 3155527

Atualização dos pacotes de criptografia para FalseStart

Publicado em: 10 de maio de 2016

Versão: 1.0

Sinopse

O FalseStart permite ao cliente TLS enviar os dados do aplicativo antes de receber e verificar a mensagem de conclusão do servidor. Isso permite a um atacante iniciar um ataque intermediário (MiTM, man-in-the-middle) para forçar o cliente TLS a criptografar o primeiro envio dos registros de dados do aplicativo usando o pacote de criptografia escolhido pelo atacante na lista do cliente. Para evitar ataques de downgrade, os clientes TLS permitem somente FalseStart quando os pacotes de criptografia mais fortes são negociados.

Este comunicado de atualização fornece uma manutenção de rotina da lista dos pacotes de criptografia que podem ser usados com o FalseStart. Esta atualização não terá impacto na conectividade ou interoperabilidade.

Para obter mais detalhes e orientações de implantação, consulte o artigo 3155527 da Base de Dados de Conhecimento Microsoft.

Softwares Afetados

Sistema operacional
Windows 8.1 para sistemas de 32 bits
Windows 8.1 para sistemas baseados em x64
Windows Server 2012
Windows Server 2012 R2
Windows RT 8.1
Windows 10 para sistemas de 32 bits
Windows 10 para sistemas baseados em x64
Windows 10 Versão 1511 para sistemas de 32 bits
Windows 10 Versão 1511 para sistemas baseados em x64
Opção de instalação Server Core
Windows Server 2012 (instalação Server Core)
Windows Server 2012 R2 (instalação Server Core)

Perguntas frequentes do comunicado

Qual é o escopo do comunicado?
Anunciar a disponibilidade de uma atualização para a lista dos pacotes de criptografia que podem ser usados com o FalseStart.

O que a atualização faz?
A atualização fornece a lista mais recente dos pacotes de criptografia que podem ser usados com o FalseStart. Esta atualização não terá impacto na conectividade ou interoperabilidade.

Agradecimentos

A Microsoft reconhece os esforços dos membros da comunidade de segurança que nos ajudam a proteger os consumidores graças à divulgação responsável de vulnerabilidades. Consulte Agradecimentos para obter mais informações.

Outras informações

Microsoft Active Protections Program (MAPP)

Para melhorar as proteções de segurança para os clientes, a Microsoft fornece informações sobre vulnerabilidades aos principais fornecedores de software de segurança antes do lançamento de cada atualização de segurança mensal. Assim, os fornecedores de software de segurança podem usar essas informações sobre vulnerabilidades para fornecer proteções atualizadas aos clientes por meio de seus softwares ou dispositivos de segurança, como antivírus, sistemas de detecção de invasões baseados em rede ou sistemas de prevenção de invasões baseados em host. Para determinar se os fornecedores de software de segurança estão disponibilizando proteções ativas, visite os sites de proteções ativas fornecidos pelos parceiros do programa, listados em Parceiros do Microsoft Active Protections Program (MAPP).

Comentários

Suporte

Aviso de isenção de responsabilidade

As informações oferecidas neste documento são fornecidas "como estão" sem garantia de nenhum tipo. A Microsoft se isenta de todas as garantias, expressas ou implícitas, inclusive as garantias de comercialização e adequação a um propósito específico. Em hipótese alguma a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, inclusive danos diretos, indiretos, incidentais, consequenciais, danos por lucros cessantes ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido alertados da possibilidade dos referidos danos. Como alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou indiretos, a limitação acima pode não ser aplicável a você.

Revisões

  • V1.0 (10 de maio de 2016): Comunicado publicado.

Página gerada em 04/05/2016 às 10:20:00-07:00.