Modelo do MSRC ppDocument

Boletim de Segurança da Microsoft MS15-056 - Crítico

Atualização de segurança cumulativa para o Internet Explorer (3058515)

Publicado em: 09.06.2015

Versão: 1.0

Sinopse

Esta atualização de segurança resolve vulnerabilidades no Internet Explorer. A vulnerabilidade mais grave pode permitir a Execução de código remota se um usuário visualizar uma página da Web criada especialmente usando o Internet Explorer. O atacante que explorar com êxito as vulnerabilidades poderá obter os mesmos direitos que o usuário ativo. Os clientes cujas contas são configuradas com poucos direitos de usuário no sistema correm menos riscos do que aqueles que possuem direitos administrativos.

Essa atualização de segurança foi classificada como Crítica para o Internet Explorer 6 (IE 6), Internet Explorer 7 (IE 7), Internet Explorer 8 (IE 8), Internet Explorer 9 (IE 9), Internet Explorer 10 (IE 10) e Internet Explorer 11 (IE 11) em clientes Windows afetados, e como Moderada para o Internet Explorer 6 (IE 6), Internet Explorer 7 (IE 7), Internet Explorer 8 (IE 8), Internet Explorer 9 (IE 9), Internet Explorer 10 (IE 10) e Internet Explorer 11 (IE 11) em servidores Windows afetados. Para obter mais informações, consulte a seção Software Afetado.

A atualização de segurança aborda vulnerabilidades ao:

  • Impedir que o histórico do navegador seja acessado por um site mal-intencionado
  • Adicionar validações de permissão adicionais para o Internet Explorer
  • Modificar como o Internet Explorer manipula objetos na memória

Para obter mais informações sobre as vulnerabilidades, consulte a seção Informações sobre vulnerabilidade.

Para obter mais informações sobre essa atualização, consulte o artigo 3058515 da Base de Dados de Conhecimento da Microsoft.

Software Afetado

As seguinte versões ou edições de software foram afetadas. As versões ou edições que não estão listadas já passaram de seu ciclo de vida do suporte ou não foram afetadas. Para determinar o ciclo de vida do suporte para sua versão ou edição de software, visite o site Ciclo de vida do suporte da Microsoft.

Software afetado

Sistema operacional Componente Impacto máximo à segurança Avaliação de gravidade agregada Atualizações substituídas*
Internet Explorer 6
Windows Server 2003 Service Pack 2
Internet Explorer 6
(3058515)
Execução de código remota Moderada 3049563 no MS15-043
Microsoft Windows Server 2003 x64 Edition Service Pack 2 Internet Explorer 6
(3058515)
Execução de código remota Moderada 3049563 no MS15-043
Windows Server 2003 com SP2 para sistemas baseados no Itanium Internet Explorer 6
(3058515)
Execução de código remota Moderada 3049563 no MS15-043
Internet Explorer 7
Windows Server 2003 Service Pack 2
Internet Explorer 7
(3058515)
Execução de código remota Moderada 3049563 no MS15-043
Microsoft Windows Server 2003 x64 Edition Service Pack 2 Internet Explorer 7
(3058515)
Execução de código remota Moderada 3049563 no MS15-043
Windows Server 2003 com SP2 para sistemas baseados no Itanium Internet Explorer 7
(3058515)
Execução de código remota Moderada 3049563 no MS15-043
Windows Vista Service Pack 2 Internet Explorer 7
(3058515)
Execução de código remota Crítico 3049563 no MS15-043
Windows Vista x64 Edition Service Pack 2 Internet Explorer 7
(3058515)
Execução de código remota Crítico 3049563 no MS15-043
Windows Server 2008 para sistemas de 32 bits Service Pack 2 Internet Explorer 7
(3058515)
Execução de código remota Moderada 3049563 no MS15-043
Windows Server 2008 Service Pack 2 para sistemas baseados em x64 Internet Explorer 7
(3058515)
Execução de código remota Moderada 3049563 no MS15-043
Windows Server 2008 para sistemas baseados em Itanium Service Pack 2 Internet Explorer 7
(3058515)
Execução de código remota Moderada 3049563 no MS15-043
Internet Explorer 8
Windows Server 2003 Service Pack 2
Internet Explorer 8
(3058515)
Execução de código remota Moderada 3049563 no MS15-043
Microsoft Windows Server 2003 x64 Edition Service Pack 2 Internet Explorer 8
(3058515)
Execução de código remota Moderada 3049563 no MS15-043
Windows Vista Service Pack 2 Internet Explorer 8
(3058515)
Execução de código remota Crítico 3049563 no MS15-043
Windows Vista x64 Edition Service Pack 2 Internet Explorer 8
(3058515)
Execução de código remota Crítico 3049563 no MS15-043
Windows Server 2008 para sistemas de 32 bits Service Pack 2 Internet Explorer 8
(3058515)
Execução de código remota Moderada 3049563 no MS15-043
Windows Server 2008 Service Pack 2 para sistemas baseados em x64 Internet Explorer 8
(3058515)
Execução de código remota Moderada 3049563 no MS15-043
Windows 7 para sistemas de 32 bits Service Pack 1 Internet Explorer 8
(3058515)
Execução de código remota Crítico 3049563 no MS15-043
Windows 7 para Sistemas baseados em x64 Service Pack 1 Internet Explorer 8
(3058515)
Execução de código remota Crítico 3049563 no MS15-043
Windows Server 2008 R2 para Sistemas baseados em x64 Service Pack 1 Internet Explorer 8
(3058515)
Execução de código remota Moderada 3049563 no MS15-043
Windows Server 2008 R2 Service Pack 1 para sistemas baseados em Itanium Internet Explorer 8
(3058515)
Execução de código remota Moderada 3049563 no MS15-043
Internet Explorer 9
Windows Vista Service Pack 2 Internet Explorer 9
(3058515)
Execução de código remota Crítico 3049563 no MS15-043
Windows Vista x64 Edition Service Pack 2 Internet Explorer 9
(3058515)
Execução de código remota Crítico 3049563 no MS15-043
Windows Server 2008 para sistemas de 32 bits Service Pack 2 Internet Explorer 9
(3058515)
Execução de código remota Moderada 3049563 no MS15-043
Windows Server 2008 Service Pack 2 para sistemas baseados em x64 Internet Explorer 9
(3058515)
Execução de código remota Moderada 3049563 no MS15-043
Windows 7 para sistemas de 32 bits Service Pack 1 Internet Explorer 9
(3058515)
Execução de código remota Crítico 3049563 no MS15-043
Windows 7 para Sistemas baseados em x64 Service Pack 1 Internet Explorer 9
(3058515)
Execução de código remota Crítico 3049563 no MS15-043
Windows Server 2008 R2 para Sistemas baseados em x64 Service Pack 1 Internet Explorer 9
(3058515)
Execução de código remota Moderada 3049563 no MS15-043
Internet Explorer 10
Windows 7 para sistemas de 32 bits Service Pack 1 Internet Explorer 10
(3058515)
Execução de código remota Crítico 3049563 no MS15-043
Windows 7 para Sistemas baseados em x64 Service Pack 1 Internet Explorer 10
(3058515)
Execução de código remota Crítico 3049563 no MS15-043
Windows Server 2008 R2 para Sistemas baseados em x64 Service Pack 1 Internet Explorer 10
(3058515)
Execução de código remota Moderada 3049563 no MS15-043
Windows 8 para sistemas de 32 bits Internet Explorer 10
(3058515)
Execução de código remota Crítico 3049563 no MS15-043
Windows 8 para sistemas baseados em x64 Internet Explorer 10
(3058515)
Execução de código remota Crítico 3049563 no MS15-043
Windows Server 2012 Internet Explorer 10
(3058515)
Execução de código remota Moderada 3049563 no MS15-043
Windows RT Internet Explorer 10[1] (3058515) Execução de código remota Crítico 3049563 no MS15-043
Internet Explorer 11
Windows 7 para sistemas de 32 bits Service Pack 1 Internet Explorer 11
(3058515)
Execução de código remota Crítico 3049563 no MS15-043
Windows 7 para Sistemas baseados em x64 Service Pack 1 Internet Explorer 11
(3058515)
Execução de código remota Crítico 3049563 no MS15-043
Windows Server 2008 R2 para Sistemas baseados em x64 Service Pack 1 Internet Explorer 11
(3058515)
Execução de código remota Moderada 3049563 no MS15-043
Windows 8.1 para sistemas de 32 bits Internet Explorer 11
(3058515)
Execução de código remota Crítico 3049563 no MS15-043
Windows 8.1 para sistemas baseados em x64 Internet Explorer 11
(3058515)
Execução de código remota Crítico 3049563 no MS15-043
Windows Server 2012 R2 Internet Explorer 11
(3058515)
Execução de código remota Moderada 3049563 no MS15-043
Windows RT 8.1 Internet Explorer 11[1] (3058515) Execução de código remota Crítico 3049563 no MS15-043

[1]Esta atualização está disponível no Windows Update.

Observação O Windows Technical Preview e o Windows Server Technical Preview são afetados. Recomenda-se que os consumidores que estiverem executando esses sistemas operacionais apliquem a atualização, que está disponível no Windows Update.

* A coluna Atualizações substituídas mostra somente a atualização mais recente em uma cadeia de atualizações substituídas. Para um lista abrangente de atualizações substituídas, vá até o Catálogo Microsoft Update, procure pelo número da KB da atualização e depois visualize os detalhes da atualização (as informações sobre as atualizações substituídas estão na guia Detalhes do Pacote).

Perguntas frequentes de atualização

Esta atualização contém alterações adicionais relacionadas à segurança da funcionalidade?
Além das alterações que estão listadas para as vulnerabilidades descritas neste boletim, esta atualização inclui atualizações de defesa profunda para ajudar a aprimorar recursos relacionados à segurança.

Classificação de gravidade e Identificadores de vulnerabilidade

As classificações de gravidade a seguir pressupõem o impacto máximo possível da vulnerabilidade. Para obter informações referentes à probabilidade de exploração da vulnerabilidade em relação à sua classificação de gravidade e ao impacto à segurança, em até 30 dias a partir do lançamento deste boletim de segurança, consulte o Índice de exploração no resumo de boletins de junho.

Onde for especificado na tabela de Classificação de gravidade e de impacto, os valores Crítico, Importante e Moderado indicam classificações de gravidade. Para obter mais informações, veja o Boletim de Segurança sobre o Sistema de Classificação de Gravidade. Consulte a seguinte tecla para as abreviações usadas na tabela para indicar o impacto máximo:

Abreviação Impacto máximo
RCE Execução de código remota
EoP Elevação de privilégio
Identificação Divulgação não autorizada de informação
SFB Desvio de recurso de segurança
Classificação de gravidade e de impacto da vulnerabilidade
Número de CVE Título da vulnerabilidade Internet Explorer 6 Internet Explorer 7 Internet Explorer 8 Internet Explorer 9 Internet Explorer 10 Internet Explorer 11
CVE-2015-1687 Vulnerabilidade de corrupção de memória do Internet Explorer Clientes Windows:
Crítico/RCE
Windows Servers:
Moderado/RCE
Clientes Windows:
Crítico/RCE
Windows Servers:
Moderado/RCE
Clientes Windows:
Crítico/RCE
Windows Servers:
Moderado/RCE
Clientes Windows:
Crítico/RCE
Windows Servers:
Moderado/RCE
Não Aplicável Não Aplicável
CVE-2015-1730 Vulnerabilidade de corrupção de memória do Internet Explorer Não Aplicável Não Aplicável Não Aplicável Clientes Windows:
Crítico/RCE
Windows Servers:
Moderado/RCE
Não Aplicável Não Aplicável
CVE-2015-1731 Vulnerabilidade de corrupção de memória do Internet Explorer Não Aplicável Não Aplicável Não Aplicável Não Aplicável Clientes Windows:
Crítico/RCE
Windows Servers:
Moderado/RCE
Clientes Windows:
Crítico/RCE
Windows Servers:
Moderado/RCE
CVE-2015-1732 Vulnerabilidade de corrupção de memória do Internet Explorer Não Aplicável Não Aplicável Não Aplicável Não Aplicável Não Aplicável Clientes Windows:
Crítico/RCE
Windows Servers:
Moderado/RCE
CVE-2015-1735 Vulnerabilidade de corrupção de memória do Internet Explorer Clientes Windows:
Crítico/RCE
Windows Servers:
Moderado/RCE
Clientes Windows:
Crítico/RCE
Windows Servers:
Moderado/RCE
Clientes Windows:
Crítico/RCE
Windows Servers:
Moderado/RCE
Clientes Windows:
Crítico/RCE
Windows Servers:
Moderado/RCE
Clientes Windows:
Crítico/RCE
Windows Servers:
Moderado/RCE
Clientes Windows:
Crítico/RCE
Windows Servers:
Moderado/RCE
CVE-2015-1736 Vulnerabilidade de corrupção de memória do Internet Explorer Não Aplicável Não Aplicável Não Aplicável Não Aplicável Clientes Windows:
Crítico/RCE
Windows Servers:
Moderado/RCE
Clientes Windows:
Crítico/RCE
Windows Servers:
Moderado/RCE
CVE-2015-1737 Vulnerabilidade de corrupção de memória do Internet Explorer Não Aplicável Não Aplicável Não Aplicável Não Aplicável Clientes Windows:
Crítico/RCE
Windows Servers:
Moderado/RCE
Clientes Windows:
Crítico/RCE
Windows Servers:
Moderado/RCE
CVE-2015-1739 Vulnerabilidade na Elevação de Privilégio do Internet Explorer Não Aplicável Não Aplicável Não Aplicável Não Aplicável Clientes Windows:
Importante/EoP
Windows Servers:
Baixo/EoP
Clientes Windows:
Importante/EoP
Windows Servers:
Baixo/EoP
CVE-2015-1740 Vulnerabilidade de corrupção de memória do Internet Explorer Clientes Windows:
Crítico/RCE
Windows Servers:
Moderado/RCE
Clientes Windows:
Crítico/RCE
Windows Servers:
Moderado/RCE
Clientes Windows:
Crítico/RCE
Windows Servers:
Moderado/RCE
Clientes Windows:
Crítico/RCE
Windows Servers:
Moderado/RCE
Clientes Windows:
Crítico/RCE
Windows Servers:
Moderado/RCE
Clientes Windows:
Crítico/RCE
Windows Servers:
Moderado/RCE
CVE-2015-1741 Vulnerabilidade de corrupção de memória do Internet Explorer Não Aplicável Não Aplicável Não Aplicável Clientes Windows:
Crítico/RCE
Windows Servers:
Moderado/RCE
Clientes Windows:
Crítico/RCE
Windows Servers:
Moderado/RCE
Clientes Windows:
Crítico/RCE
Windows Servers:
Moderado/RCE
Número de CVE Título da vulnerabilidade Internet Explorer 6 Internet Explorer 7 Internet Explorer 8 Internet Explorer 9 Internet Explorer 10 Internet Explorer 11
CVE-2015-1742 Vulnerabilidade de corrupção de memória do Internet Explorer Não Aplicável Não Aplicável Não Aplicável Não Aplicável Não Aplicável Clientes Windows:
Crítico/RCE
Windows Servers:
Moderado/RCE
CVE-2015-1743 Vulnerabilidade na Elevação de Privilégio do Internet Explorer Não Aplicável Clientes Windows:
Importante/EoP
Windows Servers:
Baixo/EoP
Clientes Windows:
Importante/EoP
Windows Servers:
Baixo/EoP
Clientes Windows:
Importante/EoP
Windows Servers:
Baixo/EoP
Clientes Windows:
Importante/EoP
Windows Servers:
Baixo/EoP
Clientes Windows:
Importante/EoP
Windows Servers:
Baixo/EoP
CVE-2015-1744 Vulnerabilidade de corrupção de memória do Internet Explorer Clientes Windows:
Crítico/RCE
Windows Servers:
Moderado/RCE
Clientes Windows:
Crítico/RCE
Windows Servers:
Moderado/RCE
Clientes Windows:
Crítico/RCE
Windows Servers:
Moderado/RCE
Clientes Windows:
Crítico/RCE
Windows Servers:
Moderado/RCE
Clientes Windows:
Crítico/RCE
Windows Servers:
Moderado/RCE
Clientes Windows:
Crítico/RCE
Windows Servers:
Moderado/RCE
CVE-2015-1745 Vulnerabilidade de corrupção de memória do Internet Explorer Clientes Windows:
Crítico/RCE
Windows Servers:
Moderado/RCE
Clientes Windows:
Crítico/RCE
Windows Servers:
Moderado/RCE
Clientes Windows:
Crítico/RCE
Windows Servers:
Moderado/RCE
Clientes Windows:
Crítico/RCE
Windows Servers:
Moderado/RCE
Clientes Windows:
Crítico/RCE
Windows Servers:
Moderado/RCE
Clientes Windows:
Crítico/RCE
Windows Servers:
Moderado/RCE
CVE-2015-1747 Vulnerabilidade de corrupção de memória do Internet Explorer Não Aplicável Não Aplicável Não Aplicável Não Aplicável Não Aplicável Clientes Windows:
Crítico/RCE
Windows Servers:
Moderado/RCE
CVE-2015-1748 Vulnerabilidade na Elevação de Privilégio do Internet Explorer Não Aplicável Clientes Windows:
Importante/EoP
Windows Servers:
Baixo/EoP
Clientes Windows:
Importante/EoP
Windows Servers:
Baixo/EoP
Clientes Windows:
Importante/EoP
Windows Servers:
Baixo/EoP
Clientes Windows:
Importante/EoP
Windows Servers:
Baixo/EoP
Clientes Windows:
Importante/EoP
Windows Servers:
Baixo/EoP
CVE-2015-1750 Vulnerabilidade de corrupção de memória do Internet Explorer Não Aplicável Não Aplicável Não Aplicável Não Aplicável Não Aplicável Clientes Windows:
Crítico/RCE
Windows Servers:
Moderado/RCE
CVE-2015-1751 Vulnerabilidade de corrupção de memória do Internet Explorer Não Aplicável Não Aplicável Não Aplicável Não Aplicável Clientes Windows:
Crítico/RCE
Windows Servers:
Moderado/RCE
Não Aplicável
CVE-2015-1752 Vulnerabilidade de corrupção de memória do Internet Explorer Não Aplicável Não Aplicável Não Aplicável Clientes Windows:
Crítico/RCE
Windows Servers:
Moderado/RCE
Clientes Windows:
Crítico/RCE
Windows Servers:
Moderado/RCE
Clientes Windows:
Crítico/RCE
Windows Servers:
Moderado/RCE
CVE-2015-1753 Vulnerabilidade de corrupção de memória do Internet Explorer Não Aplicável Não Aplicável Não Aplicável Não Aplicável Não Aplicável Clientes Windows:
Crítico/RCE
Windows Servers:
Moderado/RCE
Número de CVE Título da vulnerabilidade Internet Explorer 6 Internet Explorer 7 Internet Explorer 8 Internet Explorer 9 Internet Explorer 10 Internet Explorer 11
CVE-2015-1754 Vulnerabilidade de corrupção de memória do Internet Explorer Não Aplicável Não Aplicável Clientes Windows:
Crítico/RCE
Windows Servers:
Moderado/RCE
Não Aplicável Não Aplicável Não Aplicável
CVE-2015-1755 Vulnerabilidade de corrupção de memória do Internet Explorer Não Aplicável Não Aplicável Não Aplicável Não Aplicável Clientes Windows:
Crítico/RCE
Windows Servers:
Moderado/RCE
Clientes Windows:
Crítico/RCE
Windows Servers:
Moderado/RCE
CVE-2015-1765 Vulnerabilidade de divulgação de informação do Internet Explorer Não Aplicável Não Aplicável Não Aplicável Clientes Windows:
Importante/ID
Windows Servers:
Baixo/ID
Clientes Windows:
Importante/ID
Windows Servers:
Baixo/ID
Clientes Windows:
Importante/ID
Windows Servers:
Baixo/ID
CVE-2015-1766 Vulnerabilidade de corrupção de memória do Internet Explorer Clientes Windows:
Crítico/RCE
Windows Servers:
Moderado/RCE
Clientes Windows:
Crítico/RCE
Windows Servers:
Moderado/RCE
Clientes Windows:
Crítico/RCE
Windows Servers:
Moderado/RCE
Clientes Windows:
Crítico/RCE
Windows Servers:
Moderado/RCE
Clientes Windows:
Crítico/RCE
Windows Servers:
Moderado/RCE
Clientes Windows:
Crítico/RCE
Windows Servers:
Moderado/RCE

Informações sobre a vulnerabilidade

Vulnerabilidade de Divulgação de Informação do Internet Explorer – CVE-2015-1765

Existe uma vulnerabilidade de divulgação de informação no Internet Explorer que pode permitir que um atacante que explora com êxito esta vulnerabilidade obtenha acesso ao histórico do navegador de um usuário.

No cenário de ataque pela Web, o atacante pode hospedar um site que contenha um arquivo usado para explorar essa vulnerabilidade. Além disso, sites comprometidos e sites que aceitem ou hospedem conteúdo fornecido pelo usuário podem conter conteúdo especialmente desenvolvido que pode explorar esta vulnerabilidade. No entanto, em todos os casos, o atacante não tem como forçar os usuários a exibir o conteúdo controlado pelo atacante. Em vez disso, um atacante pode precisar convencer os usuários a realizarem uma ação. Por exemplo, um atacante pode enganar os usuários para eles clicarem em um link que os leva ao site do atacante.

A atualização aborda a vulnerabilidade impedindo que os históricos do navegador sejam acessados por um site mal-intencionado. A tabela a seguir contém links para a entrada padrão para cada vulnerabilidade na lista Vulnerabilidades Comuns e Exposições:

Título da vulnerabilidade Número de CVE Divulgadas de forma pública Explorado
Vulnerabilidade de divulgação de informação do Internet Explorer CVE-2015-1765 Sim Não

Fatores atenuantes

A Microsoft não identificou quaisquer fatores atenuantes para essa vulnerabilidade.

Soluções alternativas

A Microsoft não identificou nenhuma solução alternativa para esta vulnerabilidade.

Perguntas frequentes

Estou executando o Internet Explorer para Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 ou Windows Server 2012 R2. Isso atenua a vulnerabilidade?
Sim. Por padrão, o Internet Explorer no Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 e Windows Server 2012 R2 é executado em um modo restrito, conhecido como Configuração de Segurança Reforçada. A Configuração de Segurança Reforçada é um grupo de configurações predefinidas do Internet Explorer que reduz a probabilidade de um usuário ou administrador baixar e executar um conteúdo da Web especialmente criado em um servidor. Esse é um fator atenuante para sites que não tenham sido adicionados à zona Sites confiáveis do Internet Explorer.

Múltiplas vulnerabilidades de elevação de privilégio

Há vulnerabilidades de elevação de privilégio quando o Internet Explorer não valida corretamente as permissões em condições específicas, potencialmente permitindo que o script seja executando com privilégios elevados.

No cenário de ataque pela Web, o atacante pode hospedar um site que contenha um arquivo usado para explorar essa vulnerabilidade. Além disso, sites comprometidos e sites que aceitem ou hospedem conteúdo fornecido pelo usuário podem conter conteúdo especialmente desenvolvido que pode explorar estas vulnerabilidades. No entanto, em todos os casos, o atacante não tem como forçar os usuários a exibir o conteúdo controlado pelo atacante. Em vez disso, um atacante pode precisar convencer os usuários a realizarem uma ação. Por exemplo, um atacante pode enganar os usuários para eles clicarem em um link que os leva ao site do atacante. Um atacante que explorou com êxito essas vulnerabilidades pode elevar privilégios em versões afetadas do Internet Explorer.

Essas vulnerabilidades sozinhas não permitem a execução de um código arbitrário. No entanto, essas vulnerabilidades podem ser usadas em conjunto com outra vulnerabilidade (por exemplo, uma vulnerabilidade de execução remota de código) que pode tirar vantagem de privilégios elevados ao executar o código arbitrário. Por exemplo, um atacante pode explorar outra vulnerabilidade para executar código arbitrário através do Internet Explorer, mas devido ao contexto no qual os processos são lançados pelo Internet Explorer, o código pode ser restrito para executar em um nível de integridade baixo (permissões muito limitadas). No entanto, um atacante pode, por sua vez, explorar essas vulnerabilidades para causar a execução do código arbitrário em um nível de integridade médio (permissões do usuário atual).

A atualização aborda as vulnerabilidades adicionando validações de permissão adicionais ao Internet Explorer. A tabela a seguir contém links para a entrada padrão para cada vulnerabilidade na lista Vulnerabilidades Comuns e Exposições:

Título da vulnerabilidade Número de CVE Divulgadas de forma pública Explorado
Vulnerabilidade na Elevação de Privilégio do Internet Explorer CVE-2015-1739 Não Não
Vulnerabilidade na Elevação de Privilégio do Internet Explorer CVE-2015-1743 Não Não
Vulnerabilidade na Elevação de Privilégio do Internet Explorer CVE-2015-1748 Não Não

Fatores atenuantes

A Microsoft não identificou quaisquer fatores atenuantes para essas vulnerabilidades.

Soluções alternativas

A Microsoft não identificou quaisquer soluções alternativas para essas vulnerabilidades.

Vulnerabilidade de corrupção de múltiplas memórias no Internet Explorer

Haverá vulnerabilidades de Execução de código remota quando o Internet Explorer acessar indevidamente um objeto na memória. Essas vulnerabilidades podem corromper a memória de modo que um atacante possa executar um código arbitrário no contexto do usuário atual.

O atacante pode hospedar um site especialmente projetado para explorar esta vulnerabilidade através do Internet Explorer e convencer um usuário a exibir o site. O atacante pode tirar proveito de sites comprometidos e sites que aceitem ou hospedem conteúdo fornecido pelo usuário ou anúncios adicionando conteúdo especialmente criado que pode explorar estas vulnerabilidades. No entanto, em todos os casos, o atacante não tem como forçar os usuários a exibir o conteúdo controlado pelo atacante. Em vez disso, um atacante pode convencer os usuários a realizarem uma ação, geralmente fazendo-os clicar em um link de um chat ou mensagem de e-mail que leva os usuários ao site do atacante ou abrindo um anexo enviado por e-mail.

O atacante que explorar com êxito as vulnerabilidades poderá obter os mesmos direitos que o usuário ativo. Se um usuário atual tiver feito logon com direitos administrativos, o atacante que explorar com êxito essas vulnerabilidades poderá obter o controle total do sistema afetado. O atacante poderá instalar programas; exibir, alterar ou excluir dados; ou criar novas contas com direitos totais de usuário. Sistemas em que o Internet Explorer é usado com frequência, como estações de trabalho ou servidores de terminal, estão mais expostos a essa vulnerabilidade.

A atualização aborda as vulnerabilidades modificando a maneira como o Internet Explorer manipula objetos na memória. A tabela a seguir contém links para a entrada padrão para cada vulnerabilidade na lista Vulnerabilidades Comuns e Exposições:

Título da vulnerabilidade Número de CVE Divulgadas de forma pública Explorado
Vulnerabilidade de corrupção de memória do Internet Explorer CVE-2015-1687 Não Não
Vulnerabilidade de corrupção de memória do Internet Explorer CVE-2015-1730 Não Não
Vulnerabilidade de corrupção de memória do Internet Explorer CVE-2015-1731 Não Não
Vulnerabilidade de corrupção de memória do Internet Explorer CVE-2015-1732 Não Não
Vulnerabilidade de corrupção de memória do Internet Explorer CVE-2015-1735 Não Não
Vulnerabilidade de corrupção de memória do Internet Explorer CVE-2015-1736 Não Não
Vulnerabilidade de corrupção de memória do Internet Explorer CVE-2015-1737 Não Não
Vulnerabilidade de corrupção de memória do Internet Explorer CVE-2015-1740 Não Não
Vulnerabilidade de corrupção de memória do Internet Explorer CVE-2015-1741 Não Não
Vulnerabilidade de corrupção de memória do Internet Explorer CVE-2015-1742 Não Não
Vulnerabilidade de corrupção de memória do Internet Explorer CVE-2015-1744 Não Não
Vulnerabilidade de corrupção de memória do Internet Explorer CVE-2015-1745 Não Não
Vulnerabilidade de corrupção de memória do Internet Explorer CVE-2015-1747 Não Não
Vulnerabilidade de corrupção de memória do Internet Explorer CVE-2015-1750 Não Não
Vulnerabilidade de corrupção de memória do Internet Explorer CVE-2015-1751 Não Não
Vulnerabilidade de corrupção de memória do Internet Explorer CVE-2015-1752 Não Não
Vulnerabilidade de corrupção de memória do Internet Explorer CVE-2015-1753 Não Não
Vulnerabilidade de corrupção de memória do Internet Explorer CVE-2015-1754 Não Não
Vulnerabilidade de corrupção de memória do Internet Explorer CVE-2015-1755 Não Não
Vulnerabilidade de corrupção de memória do Internet Explorer CVE-2015-1766 Não Não

Fatores atenuantes

A Microsoft não identificou quaisquer fatores atenuantes para essas vulnerabilidades.

Soluções alternativas

A Microsoft não identificou quaisquer soluções alternativas para essas vulnerabilidades.

Perguntas frequentes

Estou executando o Internet Explorer para Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 ou Windows Server 2012 R2. Isso reduz essas vulnerabilidades?
Sim. Por padrão, o Internet Explorer no Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 e Windows Server 2012 R2 é executado em um modo restrito, conhecido como Configuração de Segurança Reforçada. A Configuração de Segurança Reforçada é um grupo de configurações predefinidas do Internet Explorer que reduz a probabilidade de um usuário ou administrador baixar e executar um conteúdo da Web especialmente criado em um servidor. Esse é um fator atenuante para sites que não tenham sido adicionados à zona Sites confiáveis do Internet Explorer.

O EMET pode ajudar a atenuar ataques que tentam explorar estas vulnerabilidades?
Sim. O Enhanced Mitigation Experience Toolkit (EMET) permite que os usuários gerenciem tecnologias de atenuação de segurança que ajudam a dificultar a exploração de vulnerabilidades de corrupção de memória por parte dos atacantes em uma determinada parte do software. O EMET ajuda a reduzir ataques que tentam explorar essas vulnerabilidades no Internet Explorer em sistemas nos quais o EMET está instalado e configurado para funcionar com o Internet Explorer.

Para obter mais informações sobre o EMET, consulte Enhanced Mitigation Experience Toolkit.

Implantação de atualização de segurança

Para obter informações sobre Implementação de atualizações de segurança, consulte o artigo da Base de dados de conhecimento da Microsoft mencionado aqui no Sinopse.

Agradecimentos

A Microsoft reconhece os esforços dos membros da comunidade de segurança que nos ajudam a proteger os consumidores graças à divulgação responsável de vulnerabilidades. Consulte Agradecimentos para obter mais informações.

Aviso de isenção de responsabilidade

As informações fornecidas na Base de Dados de Conhecimento da Microsoft são apresentadas "no estado em que se encontram", sem garantia de qualquer tipo. A Microsoft se isenta de todas as garantias, expressas ou implícitas, inclusive as garantias de comercialização e adequação a um propósito específico. Em hipótese alguma a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, inclusive danos diretos, indiretos, incidentais, consequenciais, danos por lucros cessantes ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido alertados da possibilidade dos referidos danos. Como alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou indiretos, a limitação acima pode não ser aplicável a você.

Revisões

  • V1.0 (09.06.2015): Boletim publicado.

Página gerada 05.06.15 13:27Z-07:00.