Boletim de Segurança da Microsoft MS15-101 - Importante

Vulnerabilidades no .NET Framework podem permitir elevação de privilégio (3089662)

Publicado em: 08.09.15 | Atualizado em: 09.02.16

Versão: 1.2

Sinopse

Esta atualização de segurança resolve vulnerabilidades no Microsoft .NET Framework. A mais severa dessas vulnerabilidades pode permitir a divulgação de informações confidenciais se um usuário clicar em uma URL especialmente criada. No entanto, em todos os casos, um atacante não teria como forçar os usuários a executar o aplicativo; um atacante teria que convencer os usuários a fazer isso.

Esta atualização de segurança é classificada como Importante Microsoft .NET Framework 2.0 Service Pack 2, Microsoft .NET Framework 3.5, Microsoft .NET Framework 3.5.1, Microsoft .NET Framework 4, Microsoft .NET Framework 4.5, Microsoft .NET Framework 4.5.1, and Microsoft .NET Framework 4.5.2 em versões afetadas do Microsoft Windows . Para obter mais informações, consulte a seção Softwares Afetados.

As atualizações de segurança abordam as vulnerabilidades corrigindo como o .NET Framework copia objetos na memória e corrigindo a forma como o .NET Framework manipula solicitações especialmente criadas. Para obter mais informações, consulte a subseção Perguntas Frequentes (FAQ) relacionada à esta vulnerabilidade específica.

Para obter mais informações sobre essa atualização, consulte o artigo 3089662 da Base de Dados de Conhecimento da Microsoft.

Softwares afetados e Classificações de gravidade da vulnerabilidade

As seguinte versões ou edições de software foram afetadas. As versões ou edições que não estão listadas já passaram de seu ciclo de vida do suporte ou não foram afetadas. Para determinar o ciclo de vida do suporte para sua versão ou edição de software, visite o site Ciclo de vida do suporte da Microsoft

As classificações de gravidade a seguir pressupõem o impacto máximo possível da vulnerabilidade. Para obter informações referentes à probabilidade de exploração da vulnerabilidade em relação à sua classificação de gravidade e ao impacto à segurança, em até 30 dias a partir do lançamento deste boletim de segurança, consulte o Índice de exploração no resumo de boletins de setembro.

**Sistema operacional** **Componente** [**Vulnerabilidade de elevação de privilégio do .NET - CVE-2015-2504**](http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2015-2504) [**Vulnerabilidade de negação de serviço no MVC - CVE-2015-2526**](http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2015-2526) **Atualizações substituídas**
**Windows Vista**
Windows Vista Service Pack 2 Microsoft .NET Framework 2.0 Service Pack 2 **Importante** Elevação de privilégio ([3074541](http://www.microsoft.com/pt-br/download/details.aspx?id=48898)) Não aplicável 3074541 – 2656374 no [MS12-025](https://technet.microsoft.com/pt-br/library/security/ms12-025)
Windows Vista Service Pack 2 Microsoft .NET Framework 4[1] **Importante** Elevação de privilégio ([3074547](http://www.microsoft.com/pt-br/download/details.aspx?id=48897)) Não aplicável 3074547 – 2656368 no [MS12-025](https://technet.microsoft.com/pt-br/library/security/ms12-025)
Windows Vista Service Pack 2 Microsoft .NET Framework 4.5/4.5.1/4.5.2 **Importante** Elevação de privilégio ([3074550](http://www.microsoft.com/pt-br/download/details.aspx?id=48861)) **Importante** Negação de serviço ([3074230](http://www.microsoft.com/pt-br/download/details.aspx?id=48908)) 3074550 – Nenhum 3074230 – Nenhum
Windows Vista Service Pack 2 Microsoft .NET Framework 4.6 **Importante** Elevação de privilégio ([3074554](http://www.microsoft.com/pt-br/download/details.aspx?id=48849)) **Importante** Negação de Serviço ([3074233](http://www.microsoft.com/pt-br/download/details.aspx?id=48892)) 3074554 – Nenhum 3074233 – Nenhum
Windows Vista x64 Edition Service Pack 2 Microsoft .NET Framework 2.0 Service Pack 2 **Importante** Elevação de privilégio ([3074541](http://www.microsoft.com/pt-br/download/details.aspx?id=48898)) Não aplicável 3074541 – 2656374 no [MS12-025](https://technet.microsoft.com/pt-br/library/security/ms12-025)
Windows Vista x64 Edition Service Pack 2 Microsoft .NET Framework 4[1] **Importante** Elevação de privilégio ([3074547](http://www.microsoft.com/pt-br/download/details.aspx?id=48897)) Não aplicável 3074547 – 2656368 no [MS12-025](https://technet.microsoft.com/pt-br/library/security/ms12-025)
Windows Vista x64 Edition Service Pack 2 Microsoft .NET Framework 4.5/4.5.1/4.5.2 **Importante** Elevação de privilégio ([3074550](http://www.microsoft.com/pt-br/download/details.aspx?id=48861)) **Importante** Negação de Serviço ([3074230](http://www.microsoft.com/pt-br/download/details.aspx?id=48908)) 3074550 – Nenhum 3074230 – Nenhum
Windows Vista x64 Edition Service Pack 2 Microsoft .NET Framework 4.6 **Importante** Elevação de privilégio ([3074554](http://www.microsoft.com/pt-br/download/details.aspx?id=48849)) **Importante** Negação de Serviço ([3074233](http://www.microsoft.com/pt-br/download/details.aspx?id=48892)) 3074554 – Nenhum 3074233 – Nenhum
**Windows Server 2008**
Windows Server 2008 para sistemas de 32 bits Service Pack 2 Microsoft .NET Framework 2.0 Service Pack 2 **Importante** Elevação de privilégio ([3074541](http://www.microsoft.com/pt-br/download/details.aspx?id=48898)) Não aplicável 3074541 – 2656374 no [MS12-025](https://technet.microsoft.com/pt-br/library/security/ms12-025)
Windows Server 2008 para sistemas de 32 bits Service Pack 2 Microsoft .NET Framework 4[1] **Importante** Elevação de privilégio ([3074547](http://www.microsoft.com/pt-br/download/details.aspx?id=48897)) Não aplicável 3074547 – 2656368 no [MS12-025](https://technet.microsoft.com/pt-br/library/security/ms12-025)
Windows Server 2008 para sistemas de 32 bits Service Pack 2 Microsoft .NET Framework 4.5/4.5.1/4.5.2 **Importante** Elevação de privilégio ([3074550](http://www.microsoft.com/pt-br/download/details.aspx?id=48861)) **Importante** Negação de Serviço ([3074230](http://www.microsoft.com/pt-br/download/details.aspx?id=48908)) 3074550 – Nenhum 3074230 – Nenhum
Windows Server 2008 para sistemas de 32 bits Service Pack 2 Microsoft .NET Framework 4.6 **Importante** Elevação de privilégio ([3074554](http://www.microsoft.com/pt-br/download/details.aspx?id=48849)) **Importante** Negação de Serviço ([3074233](http://www.microsoft.com/pt-br/download/details.aspx?id=48892)) 3074554 – Nenhum 3074233 – Nenhum
Windows Server 2008 para sistemas baseados em x64 Service Pack 2 Microsoft .NET Framework 2.0 Service Pack 2 **Importante** Elevação de privilégio ([3074541](http://www.microsoft.com/pt-br/download/details.aspx?id=48898)) Não aplicável 3074541 – 2656374 no [MS12-025](https://technet.microsoft.com/pt-br/library/security/ms12-025)
Windows Server 2008 para sistemas baseados em x64 Service Pack 2 Microsoft .NET Framework 4[1] **Importante** Elevação de privilégio ([3074547](http://www.microsoft.com/pt-br/download/details.aspx?id=48897)) Não aplicável 3074547 – 2656368 no [MS12-025](https://technet.microsoft.com/pt-br/library/security/ms12-025)
Windows Server 2008 para sistemas baseados em x64 Service Pack 2 Microsoft .NET Framework 4.5/4.5.1/4.5.2 **Importante** Elevação de privilégio ([3074550](http://www.microsoft.com/pt-br/download/details.aspx?id=48861)) **Importante** Negação de Serviço ([3074230](http://www.microsoft.com/pt-br/download/details.aspx?id=48908)) 3074550 – Nenhum 3074230 – Nenhum
Windows Server 2008 para sistemas baseados em x64 Service Pack 2 Microsoft .NET Framework 4.6 **Importante** Elevação de privilégio ([3074554](http://www.microsoft.com/pt-br/download/details.aspx?id=48849)) **Importante** Negação de Serviço ([3074233](http://www.microsoft.com/pt-br/download/details.aspx?id=48892)) 3074554 – Nenhum 3074233 – Nenhum
Windows Server 2008 para sistemas baseados em Itanium Service Pack 2 Microsoft .NET Framework 2.0 Service Pack 2 **Importante** Elevação de privilégio ([3074541](http://www.microsoft.com/pt-br/download/details.aspx?id=48898)) Não aplicável 3074541 – 2656374 no [MS12-025](https://technet.microsoft.com/pt-br/library/security/ms12-025)
Windows Server 2008 para sistemas baseados em Itanium Service Pack 2 Microsoft .NET Framework 4[1] **Importante** Elevação de privilégio ([3074547](http://www.microsoft.com/pt-br/download/details.aspx?id=48897)) Não aplicável 3074547 – 2656368 no [MS12-025](https://technet.microsoft.com/pt-br/library/security/ms12-025)
**Windows 7**
Windows 7 para sistemas de 32 bits Service Pack 1 Microsoft .NET Framework 3.5.1 **Importante** Elevação de privilégio ([3074543](http://www.microsoft.com/pt-br/download/details.aspx?id=48905)) Não aplicável 3074543 – 2656373 no [MS12-025](https://technet.microsoft.com/pt-br/library/security/ms12-025)
Windows 7 para sistemas de 32 bits Service Pack 1 Microsoft .NET Framework 4[1] **Importante** Elevação de privilégio ([3074547](http://www.microsoft.com/pt-br/download/details.aspx?id=48897)) Não aplicável 3074547 – 2656368 no [MS12-025](https://technet.microsoft.com/pt-br/library/security/ms12-025)
Windows 7 para sistemas de 32 bits Service Pack 1 Microsoft .NET Framework 4.5/4.5.1/4.5.2 **Importante** Elevação de privilégio ([3074550](http://www.microsoft.com/pt-br/download/details.aspx?id=48861)) **Importante** Negação de Serviço ([3074230](http://www.microsoft.com/pt-br/download/details.aspx?id=48908)) 3074550 – Nenhum 3074230 – Nenhum
Windows 7 para sistemas de 32 bits Service Pack 1 Microsoft .NET Framework 4.6 **Importante** Elevação de privilégio ([3074554](http://www.microsoft.com/pt-br/download/details.aspx?id=48849)) **Importante** Negação de Serviço ([3074233](http://www.microsoft.com/pt-br/download/details.aspx?id=48892)) 3074554 – Nenhum 3074233 – Nenhum
Windows 7 para sistemas baseados em x64 Service Pack 1 Microsoft .NET Framework 3.5.1 **Importante** Elevação de privilégio ([3074543](http://www.microsoft.com/pt-br/download/details.aspx?id=48905)) Não aplicável 3074543 – 2656373 no [MS12-025](https://technet.microsoft.com/pt-br/library/security/ms12-025)
Windows 7 para sistemas baseados em x64 Service Pack 1 Microsoft .NET Framework 4[1] **Importante** Elevação de privilégio ([3074547](http://www.microsoft.com/pt-br/download/details.aspx?id=48897)) Não aplicável 3074547 – 2656368 no [MS12-025](https://technet.microsoft.com/pt-br/library/security/ms12-025)
Windows 7 para sistemas baseados em x64 Service Pack 1 Microsoft .NET Framework 4.5/4.5.1/4.5.2 **Importante** Elevação de privilégio ([3074550](http://www.microsoft.com/pt-br/download/details.aspx?id=48861)) **Importante** Negação de Serviço ([3074230](http://www.microsoft.com/pt-br/download/details.aspx?id=48908)) 3074550 – Nenhum 3074230 – Nenhum
Windows 7 para sistemas baseados em x64 Service Pack 1 Microsoft .NET Framework 4.6 **Importante** Elevação de privilégio ([3074554](http://www.microsoft.com/pt-br/download/details.aspx?id=48849)) **Importante** Negação de Serviço ([3074233](http://www.microsoft.com/pt-br/download/details.aspx?id=48892)) 3074554 – Nenhum 3074233 – Nenhum
**Windows Server 2008 R2**
Windows Server 2008 R2 para sistemas baseados em x64 Service Pack 1 Microsoft .NET Framework 3.5.1 **Importante** Elevação de privilégio ([3074543](http://www.microsoft.com/pt-br/download/details.aspx?id=48905)) Não aplicável 3074543 – 2656373 no [MS12-025](https://technet.microsoft.com/pt-br/library/security/ms12-025)
Windows Server 2008 R2 para sistemas baseados em x64 Service Pack 1 Microsoft .NET Framework 4[1] **Importante** Elevação de privilégio ([3074547](http://www.microsoft.com/pt-br/download/details.aspx?id=48897)) Não aplicável 3074547 – 2656368 no [MS12-025](https://technet.microsoft.com/pt-br/library/security/ms12-025)
Windows Server 2008 R2 para sistemas baseados em x64 Service Pack 1 Microsoft .NET Framework 4.5/4.5.1/4.5.2 **Importante** Elevação de privilégio ([3074550](http://www.microsoft.com/pt-br/download/details.aspx?id=48861)) **Importante** Negação de Serviço ([3074230](http://www.microsoft.com/pt-br/download/details.aspx?id=48908)) 3074550 – Nenhum 3074230 – Nenhum
Windows Server 2008 R2 para sistemas baseados em x64 Service Pack 1 Microsoft .NET Framework 4.6 **Importante** Elevação de privilégio ([3074554](http://www.microsoft.com/pt-br/download/details.aspx?id=48849)) **Importante** Negação de Serviço ([3074233](http://www.microsoft.com/pt-br/download/details.aspx?id=48892)) 3074554 – Nenhum 3074233 – Nenhum
Windows Server 2008 R2 para sistemas baseados em Itanium Service Pack 1 Microsoft .NET Framework 3.5.1 **Importante** Elevação de privilégio ([3074543](http://www.microsoft.com/pt-br/download/details.aspx?id=48905)) Não aplicável 3074543 – 2656373 no [MS12-025](https://technet.microsoft.com/pt-br/library/security/ms12-025)
Windows Server 2008 R2 para sistemas baseados em Itanium Service Pack 1 Microsoft .NET Framework 4[1] **Importante** Elevação de privilégio ([3074547](http://www.microsoft.com/pt-br/download/details.aspx?id=48897)) Não aplicável 3074547 – 2656368 no [MS12-025](https://technet.microsoft.com/pt-br/library/security/ms12-025)
**Windows 8 e Windows 8.1**
Windows 8 para sistemas de 32 bits Microsoft .NET Framework 3.5 **Importante** Elevação de privilégio ([3074544](http://www.microsoft.com/pt-br/download/details.aspx?id=48902)) Não aplicável 3074544 – Nenhum
Windows 8 para sistemas de 32 bits Microsoft .NET Framework 4.5/4.5.1/4.5.2 **Importante** Elevação de privilégio ([3074229](http://www.microsoft.com/pt-br/download/details.aspx?id=48847)) **Importante** Negação de Serviço ([3074549](http://www.microsoft.com/pt-br/download/details.aspx?id=48894)) 3074229 – Nenhum 3074549 – Nenhum
Windows 8 para sistemas de 32 bits Microsoft .NET Framework 4.6 **Importante** Elevação de privilégio ([3074552](https://www.microsoft.com/pt-br/download/details.aspx?id=48836)) **Importante** Negação de Serviço ([3074231](http://www.microsoft.com/pt-br/download/details.aspx?id=48889)) 3074552 – Nenhum 3074231 – Nenhum
Windows 8 para sistemas baseados em x64 Microsoft .NET Framework 3.5 **Importante** Elevação de privilégio ([3074544](http://www.microsoft.com/pt-br/download/details.aspx?id=48902)) Não aplicável 3074544 – Nenhum
Windows 8 para sistemas baseados em x64 Microsoft .NET Framework 4.5/4.5.1/4.5.2 **Importante** Elevação de privilégio ([3074229](http://www.microsoft.com/pt-br/download/details.aspx?id=48847)) **Importante** Negação de Serviço ([3074549](http://www.microsoft.com/pt-br/download/details.aspx?id=48894)) 3074229 – Nenhum 3074549 – Nenhum
Windows 8 para sistemas baseados em x64 Microsoft .NET Framework 4.6 **Importante** Elevação de privilégio ([3074552](https://www.microsoft.com/pt-br/download/details.aspx?id=48836)) **Importante** Negação de Serviço ([3074231](http://www.microsoft.com/pt-br/download/details.aspx?id=48889)) 3074552 – Nenhum 3074231 – Nenhum
Windows 8.1 para sistemas de 32 bits Microsoft .NET Framework 3.5 **Importante** Elevação de privilégio ([3074545](http://www.microsoft.com/pt-br/download/details.aspx?id=48903)) Não aplicável 3074545 – Nenhum
Windows 8.1 para sistemas de 32 bits Microsoft .NET Framework 4.5.1/4.5.2 **Importante** Elevação de privilégio ([3074548](http://www.microsoft.com/pt-br/download/details.aspx?id=48896)) **Importante** Negação de Serviço ([3074228](http://www.microsoft.com/pt-br/download/details.aspx?id=48904)) 3074548 – Nenhum 3074228 – Nenhum
Windows 8.1 para sistemas de 32 bits Microsoft .NET Framework 4.6 **Importante** Elevação de privilégio ([3074553](http://www.microsoft.com/pt-br/download/details.aspx?id=48842)) **Importante** Negação de Serviço ([3074232](http://www.microsoft.com/pt-br/download/details.aspx?id=48893)) 3074553 – Nenhum 3074232 – Nenhum
Windows 8.1 para sistemas baseados em x64 Microsoft .NET Framework 3.5 **Importante** Elevação de privilégio ([3074545](http://www.microsoft.com/pt-br/download/details.aspx?id=48903)) Não aplicável 3074545 – Nenhum
Windows 8.1 para sistemas baseados em x64 Microsoft .NET Framework 4.5.1/4.5.2 **Importante** Elevação de privilégio ([3074548](http://www.microsoft.com/pt-br/download/details.aspx?id=48896)) **Importante** Negação de Serviço ([3074228](http://www.microsoft.com/pt-br/download/details.aspx?id=48904)) 3074548 – Nenhum 3074228 – Nenhum
Windows 8.1 para sistemas baseados em x64 Microsoft .NET Framework 4.6 **Importante** Elevação de privilégio ([3074553](http://www.microsoft.com/pt-br/download/details.aspx?id=48842)) **Importante** Negação de Serviço ([3074232](http://www.microsoft.com/pt-br/download/details.aspx?id=48893)) 3074553 – Nenhum 3074232 – Nenhum
**Windows Server 2012 e Windows Server 2012 R2**
Windows Server 2012 Microsoft .NET Framework 3.5 **Importante** Elevação de privilégio ([3074544](http://www.microsoft.com/pt-br/download/details.aspx?id=48902)) Não aplicável 3074544 – Nenhum
Windows Server 2012 Microsoft .NET Framework 4.5/4.5.1/4.5.2 **Importante** Elevação de privilégio ([3074229](http://www.microsoft.com/pt-br/download/details.aspx?id=48847)) **Importante** Negação de Serviço ([3074549](http://www.microsoft.com/pt-br/download/details.aspx?id=48894)) 3074229 – Nenhum 3074549 – Nenhum
Windows Server 2012 Microsoft .NET Framework 4.6 **Importante** Elevação de privilégio ([3074552](https://www.microsoft.com/pt-br/download/details.aspx?id=48836)) **Importante** Negação de Serviço ([3074231](http://www.microsoft.com/pt-br/download/details.aspx?id=48889)) 3074552 – Nenhum 3074231 – Nenhum
Windows Server 2012 R2 Microsoft .NET Framework 3.5 **Importante** Elevação de privilégio ([3074545](http://www.microsoft.com/pt-br/download/details.aspx?id=48903)) Não aplicável 3074545 – Nenhum
Windows Server 2012 R2 Microsoft .NET Framework 4.5.1/4.5.2 **Importante** Elevação de privilégio ([3074548](http://www.microsoft.com/pt-br/download/details.aspx?id=48896)) **Importante** Negação de Serviço ([3074228](http://www.microsoft.com/pt-br/download/details.aspx?id=48904)) 3074548 – Nenhum 3074228 – Nenhum
Windows Server 2012 R2 Microsoft .NET Framework 4.6 **Importante** Elevação de privilégio ([3074553](http://www.microsoft.com/pt-br/download/details.aspx?id=48842)) **Importante** Negação de Serviço ([3074232](http://www.microsoft.com/pt-br/download/details.aspx?id=48893)) 3074553 – Nenhum 3074232 – Nenhum
**Windows RT e Windows RT 8.1**
Windows RT Microsoft .NET Framework 4.5/4.5.1/4.5.2[2] **Importante** Elevação de privilégio (3074229) **Importante** Negação de Serviço (3074549) 3074229 – Nenhum 3074549 – Nenhum
Windows RT Microsoft .NET Framework 4.6[2] **Importante** Elevação de privilégio (3074552) **Importante** Negação de Serviço (3074231) 3074552 – Nenhum 3074231 – Nenhum
Windows RT 8.1 Microsoft .NET Framework 4.5.1/4.5.2[2] **Importante** Elevação de privilégio (3074548) **Importante** Negação de Serviço (3074228) 3074548 – Nenhum 3074228 – Nenhum
Windows RT 8.1 Microsoft .NET Framework 4.6[2] **Importante** Elevação de privilégio (3074553) **Importante** Negação de Serviço (3074232) 3074553 – Nenhum 3074232 – Nenhum
**Windows 10**
Windows 10 para sistemas de 32 bits[3] Microsoft .NET Framework 3.5 **Importante** Elevação de privilégio ([3081455](https://support.microsoft.com/pt-br/kb/3081455)) Não aplicável [3081444](https://support.microsoft.com/pt-br/kb/3081444)
Windows 10 para sistemas de 32 bits[3] Microsoft .NET Framework 4.6 **Importante** Elevação de privilégio ([3081455](https://support.microsoft.com/pt-br/kb/3081455)) **Importante** Negação de serviço ([3081455](https://support.microsoft.com/pt-br/kb/3081455)) [3081444](https://support.microsoft.com/pt-br/kb/3081444)
Windows 10 para sistemas baseados em x64 [3] Microsoft .NET Framework 3.5 **Importante** Elevação de privilégio ([3081455](https://support.microsoft.com/pt-br/kb/3081455)) Não aplicável [3081444](https://support.microsoft.com/pt-br/kb/3081444)
Windows 10 para sistemas baseados em x64 [3] Microsoft .NET Framework 4.6 **Importante** Elevação de privilégio ([3081455](https://support.microsoft.com/pt-br/kb/3081455)) **Importante** Negação de serviço ([3081455](https://support.microsoft.com/pt-br/kb/3081455)) [3081444](https://support.microsoft.com/pt-br/kb/3081444)
**Opção de instalação Server Core**
Windows Server 2008 R2 para sistemas baseados em x64 Service Pack 1 (instalação Server Core) Microsoft .NET Framework 3.5.1 **Importante** Elevação de privilégio ([3074543](http://www.microsoft.com/pt-br/download/details.aspx?id=48905)) Não aplicável 3074543 – 2656373 no [MS12-025](https://technet.microsoft.com/pt-br/library/security/ms12-025)
Windows Server 2008 R2 para sistemas baseados em x64 Service Pack 1 (instalação Server Core) Microsoft .NET Framework 4[1] **Importante** Elevação de privilégio ([3074547](http://www.microsoft.com/pt-br/download/details.aspx?id=48897)) Não aplicável 3074547 – 2656368 no [MS12-025](https://technet.microsoft.com/pt-br/library/security/ms12-025)
Windows Server 2008 R2 para sistemas baseados em x64 Service Pack 1 (instalação Server Core) Microsoft .NET Framework 4.5/4.5.1/4.5.2 **Importante** Elevação de privilégio ([3074550](http://www.microsoft.com/pt-br/download/details.aspx?id=48861)) **Importante** Negação de Serviço ([3074230](http://www.microsoft.com/pt-br/download/details.aspx?id=48908)) 3074550 – Nenhum 3074230 – Nenhum
Windows Server 2008 R2 para sistemas baseados em x64 Service Pack 1 (instalação Server Core) Microsoft .NET Framework 4.6 **Importante** Elevação de privilégio ([3074554](http://www.microsoft.com/pt-br/download/details.aspx?id=48849)) **Importante** Negação de Serviço ([3074233](http://www.microsoft.com/pt-br/download/details.aspx?id=48892)) 3074554 – Nenhum 3074233 – Nenhum
Windows Server 2012 (instalação Server Core) Microsoft .NET Framework 3.5 **Importante** Elevação de privilégio ([3074544](http://www.microsoft.com/pt-br/download/details.aspx?id=48902)) Não aplicável 3074544 – Nenhum
Windows Server 2012 (instalação Server Core) Microsoft .NET Framework 4.5/4.5.1/4.5.2 **Importante** Elevação de privilégio ([3074229](http://www.microsoft.com/pt-br/download/details.aspx?id=48847)) **Importante** Negação de Serviço ([3074549](http://www.microsoft.com/pt-br/download/details.aspx?id=48894)) 3074229 – Nenhum 3074549 – Nenhum
Windows Server 2012 (instalação Server Core) Microsoft .NET Framework 4.6 **Importante** Elevação de privilégio ([3074552](https://www.microsoft.com/pt-br/download/details.aspx?id=48836)) **Importante** Negação de Serviço ([3074231](http://www.microsoft.com/pt-br/download/details.aspx?id=48889)) 3074552 – Nenhum 3074231 – Nenhum
Windows Server 2012 R2 (instalação Server Core) Microsoft .NET Framework 3.5 **Importante** Elevação de privilégio ([3074545](http://www.microsoft.com/pt-br/download/details.aspx?id=48903)) Não aplicável 3074545 – Nenhum
Windows Server 2012 R2 (instalação Server Core) Microsoft .NET Framework 4.5.1/4.5.2 **Importante** Elevação de privilégio ([3074548](http://www.microsoft.com/pt-br/download/details.aspx?id=48896)) **Importante** Negação de Serviço ([3074228](http://www.microsoft.com/pt-br/download/details.aspx?id=48904)) 3074548 – Nenhum 3074228 – Nenhum
Windows Server 2012 R2 (instalação Server Core) Microsoft .NET Framework 4.6 **Importante** Elevação de privilégio ([3074553](http://www.microsoft.com/pt-br/download/details.aspx?id=48842)) **Importante** Negação de Serviço ([3074232](http://www.microsoft.com/pt-br/download/details.aspx?id=48893)) 3074553 – Nenhum 3074232 – Nenhum
[1].NET Framework 4 e .NET Framework 4 Client Profile afetados.

[2]A atualização está disponível apenas no Windows Update.

[3]A atualização do Windows 10 é cumulativa. Além de conter atualizações não relacionadas à segurança, ela também contém todas as correções de segurança para todas as vulnerabilidades afetadas do Windows 10 enviadas com o lançamento de segurança deste mês. Consulte artigo 3081455 da Base de Dados de Conhecimento da Microsoft para obter mais informações e links para download.

Observação O Windows Server Technical Preview 2 é afetado. Recomenda-se que os clientes que estiverem executando esse sistema operacional apliquem a atualização, que está disponível no Windows Update

Perguntas frequentes de atualização

Como determino que a versão do Microsoft .NET Framework está instalada?
Você pode instalar e executar várias versões do .Net Framework em um sistema, além de poder instalar as versões em qualquer ordem. Para obter mais informações, consulte o artigo 318785 da Base de Dados de Conhecimento da Microsoft.

Qual é a diferença entre o .NET Framework 4 e o .NET Framework 4 Client Profile?  Os pacotes redistribuíveis do .NET Framework versão 4 estão disponíveis em dois perfis: .NET Framework 4 e .NET Framework 4 Client Profile. O .NET Framework 4 Client Profile é um subconjunto do perfil do .NET Framework 4 que é otimizado para aplicativos clientes. Ele fornece funcionalidade para a maioria dos aplicativos clientes, incluindo recursos do Windows Presentation Foundation (WPF), Windows Forms, Windows Communication Foundation (WCF) e ClickOnce. Isso possibilita a implantação mais rápida e um pacote de instalação menor para aplicativos que têm como alvo o .NET Framework 4 Client Profile. Para obter mais informações, consulte o artigo de MSDN, .NET Framework Client Profile.

Existem vários pacotes de atualização disponíveis para alguns dos Softwares Afetados. Eu devo instalar todas as atualizações listadas na tabela de Softwares Afetados para o software?
Sim. Os clientes devem aplicar todas as atualizações oferecidas para o software instalado em seus sistemas.

Devo instalar essas atualizações de segurança em uma determinada sequência?
Não. As várias atualizações de um sistema podem ser aplicadas em qualquer sequência.

Informações sobre a vulnerabilidade

Vulnerabilidade de elevação de privilégio do .NET - CVE-2015-2504

Há uma vulnerabilidade de elevação de privilégio na maneira que o método do .NET Framework que valida o número de objetos na memória antes de copiar esses objetos em uma matriz. O atacante que explorar com êxito esta vulnerabilidade poderá assumir o controle total do sistema afetado. O atacante poderá instalar programas; exibir, alterar ou excluir dados; ou criar novas contas com direitos totais de usuário. Os usuários cujas contas estão configuradas para ter menos direitos de usuário podem ser menos afetados do que os usuários que têm direitos de administrador.

Existem dois cenários de ataque possíveis para a exploração dessas vulnerabilidade: um cenário de navegação pela Web e uma anulação de aplicativo Windows .NET das restrições CAS (Code Access Security). Esses cenários são descritos como segue:

  • Cenário de ataque por navegação pela Web O atacante pode hospedar um site especialmente criado que contenha um XBAP (aplicativo de navegador XAML) especialmente projetado para explorar esta vulnerabilidade e, então, convencer um usuário a exibir o site. O atacante também pode tirar proveito dos sites comprometidos e de sites que aceitam ou hospedam o conteúdo fornecido pelo usuário ou anúncios. No entanto, em todos os casos, um atacante não teria como forçar os usuários a visitarem os sites. Em vez disso, o atacante teria que persuadir os usuários a visitar o site, geralmente fazendo com que eles cliquem em um link em um e-mail ou mensagem do Instant Messenger que leva o usuário ao site do atacante. Também é possível exibir conteúdo da Web próprio para a finalidade usando anúncios de banner ou outros métodos para implantar conteúdo da Web nos sistemas afetados.
  • Cenário de ataque por aplicativos .NET do WindowsEssa vulnerabilidade também pode ser usada pelos aplicativos Windows .NET Framework para anular as restrições do CAS (Code Access Security).

Existem dois tipos de sistemas que correm risco com esta vulnerabilidade:

  • No cenário de navegação pela Web a exploração bem-sucedida desta vulnerabilidade requer que um usuário tenha feito login e esteja visitando sites usando um navegador da Web capaz de instanciar aplicativos XBAPs. Portanto, quaisquer sistemas nos quais um navegador da Web seja usado com frequência, como estações de trabalho ou servidores de terminal, estão mais expostos a esta vulnerabilidade. Os servidores correm mais riscos se os administradores permitirem que os usuários procurem e leiam e-mails nos servidores. Entretanto, as práticas recomendadas não recomendam esse procedimento.

  • Cenário por aplicativos .NET do Windows As estações de trabalho e os servidores que executam aplicativos Windows .NET Framework não confiáveis também correm risco com esta vulnerabilidade.

A atualização elimina a vulnerabilidade, corrigindo a maneira como o .NET Framework copia objetos na memória. Essa vulnerabilidade foi divulgada de forma pública. Foi atribuído o número CVE-2015-2504 da lista Common Vulnerability and Exposure. Quando este boletim foi originalmente publicado, a Microsoft estava ciente dos ataques dirigidos limitados que tentaram explorar esta vulnerabilidade.

Fatores atenuantes

A Microsoft não identificou quaisquer fatores atenuantes para esta vulnerabilidade.

Soluções alternativas

A Microsoft não identificou nenhuma solução alternativa para esta vulnerabilidade. 

Vulnerabilidade de negação de serviço no MVC - CVE-2015-2526

Há uma vulnerabilidade de negação de serviços que é causada quando não manipula corretamente certos pedidos especialmente criados. Um atacante que explore com êxito esta vulnerabilidade pode enviar um pequeno número de solicitações específicas a um servidor de ASP.NET, fazendo com que o desempenho caia o suficiente para causar uma condição de negação de serviço.

Um atacante pode usar essa vulnerabilidade para causar um ataque de negação de serviço e atrapalhar a disponibilidade de sites que usam ASP.NET. Os sistemas que estão na Internet, com o ASP.NET instalado, estão principalmente correndo risco de apresentar esta vulnerabilidade. Os sites internos que usam o ASP.NET pode também ter o risco desta vulnerabilidade. A atualização aborda esta vulnerabilidade corrigindo como o .Net Framework manipula as solicitações específicas.

A Microsoft recebeu informações sobre esta vulnerabilidade por meio da divulgação coordenada de vulnerabilidades. Quando esse boletim de segurança foi originalmente emitido, a Microsoft ainda não tinha recebido informações que indicassem que a vulnerabilidade tinha sido usada de forma pública para atacar clientes.

Fatores atenuantes

A Microsoft não identificou quaisquer fatores atenuantes para essa vulnerabilidade.

Soluções alternativas

A Microsoft não identificou nenhuma solução alternativa para esta vulnerabilidade. 

Implantação de atualização de segurança

Para obter informações sobre Implementação de atualizações de segurança, consulte o artigo da Base de Dados de Conhecimento da Microsoft mencionado aqui na Sinopse.

Agradecimentos

A Microsoft reconhece os esforços dos membros da comunidade de segurança que nos ajudam a proteger os consumidores graças à divulgação responsável de vulnerabilidades. Consulte Agradecimentos para obter mais informações.  

Aviso de isenção de responsabilidade

As informações fornecidas na Base de Dados de Conhecimento da Microsoft são apresentadas "no estado em que se encontram", sem qualquer tipo de garantia. A Microsoft se isenta de todas as garantias, expressas ou implícitas, inclusive as garantias de comercialização e adequação a um propósito específico. Em hipótese alguma a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, inclusive danos diretos, indiretos, incidentais, consequenciais, danos por lucros cessantes ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido alertados da possibilidade dos referidos danos. Como alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou indiretos, a limitação acima pode não ser aplicável a você.

Revisões

  • V1.0 (08.09.15): Boletim publicado.
  • V1.1 (25.09.15): O Windows Server Technical Preview 3 foi removido do rodapé da tabela de Softwares afetados, pois não é afetado pelas vulnerabilidades descritas neste boletim de segurança. Esta é apenas uma alteração informativa. Os clientes que já atualizaram seus sistemas com êxito não precisam fazer mais nada.
  • V1.2 (9 de fevereiro de 2016): boletim revisado para anunciar uma alteração de detecção para a atualização 3074554 para o .NET Framework 4.6. Esta é apenas uma alteração informativa. Os clientes que já atualizaram seus sistemas com êxito não precisam fazer mais nada.

Página gerada em 04-02-2016 11:08-08:00.