Boletim de Segurança da Microsoft MS16-013 - Crítico

Atualização de segurança para o Diário do Windows para abordar a execução remota de código (3134811)

Publicado em: 09.02.16

Versão: 1.0

Sinopse

Esta atualização de segurança resolve uma vulnerabilidade no Microsoft Windows. A vulnerabilidade pode permitir a execução remota de código se um usuário abrir um arquivo de Diário especialmente criado. Os usuários cujas contas estão configuradas para ter menos direitos de usuário podem ser menos afetados do que os usuários que têm direitos de administrador.

Esta atualização de segurança é classificada como crítica para todas as edições com suporte do Windows Vista, Windows 7, Windows 8.1 e Windows 10, e para todas as edições não Itanium do Windows Server 2008 e Windows Server 2008 R2 com suporte, assim como para todas as edições do Windows Server 2012 e Windows Server 2012 R2 com suporte. Para obter mais informações, consulte a seção Softwares Afetados.

A atualização de segurança aborda a vulnerabilidade, modificando a maneira como o Diário do Windows analisa arquivos do Diário. Para obter mais informações sobre a vulnerabilidade consulte a seção Informações sobre vulnerabilidade.

Para obter mais informações sobre essa atualização, consulte o artigo 3134811 da Base de Dados de Conhecimento da Microsoft.

Softwares Afetados e Classificações de Gravidade da Vulnerabilidade

As seguinte versões ou edições de software foram afetadas. As versões ou edições que não estão listadas já passaram de seu ciclo de vida do suporte ou não foram afetadas. Para determinar o ciclo de vida do suporte para sua versão ou edição de software, visite o site Ciclo de vida do suporte da Microsoft.

As classificações de gravidade indicadas para cada softwares afetados assumem o potencial máximo do impacto da vulnerabilidade. Para obter informações referentes à probabilidade de exploração da vulnerabilidade em relação à sua classificação de gravidade e ao impacto à segurança, em até 30 dias a partir do lançamento deste boletim de segurança, consulte o Índice de Exploração no Resumo de boletins de fevereiro.

Softwares Afetados Vulnerabilidade de corrupção de memória no Diário do Windows – CVE-2016-0038 Atualizações substituídas*
Windows Vista
Windows Vista Service Pack 2
(3115858)
Críticoº
Execução remota de código
3100213 em MS15-114
Windows Vista x64 Edition Service Pack 2
(3115858)
Críticoº
Execução remota de código
3100213 em MS15-114
Windows Server 2008
Windows Server 2008 Service Pack 2 para sistemas de 32 bits
(3115858)
Críticoº
Execução remota de código
3100213 em MS15-114
Windows Server 2008 Service Pack 2 para sistemas baseados em x64
(3115858)
Críticoº
Execução remota de código
3100213 em MS15-114
Windows 7
Windows 7 para sistemas de 32 bits Service Pack 1
(3115858)
Críticoº
Execução remota de código
3100213 em MS15-114
Windows 7 para sistemas baseados em x64 Service Pack 1
(3115858)
Críticoº
Execução remota de código
3100213 em MS15-114
Windows Server 2008 R2
Windows Server 2008 R2 para Sistemas baseados em x64 Service Pack 1
(3115858)
Críticoº
Execução remota de código
3100213 em MS15-114
Windows 8,1
Windows 8.1 para sistemas de 32 bits
(3115858)
Críticoº
Execução remota de código
3069114 no MS15-098
Windows 8.1 para sistemas baseados em x64
(3115858)
Críticoº
Execução remota de código
3069114 no MS15-098
Windows Server 2012 e Windows Server 2012 R2
Windows Server 2012
(3115858)
Críticoº
Execução remota de código
3069114 no MS15-098
Windows Server 2012 R2
(3115858)
Críticoº
Execução remota de código
3069114 no MS15-098
Windows 10
Windows 10 para sistemas de 32 bits[1] (3135174) Críticoº
Execução remota de código
3124266
Windows 10 para sistemas baseados em x64[1] (3135174) Críticoº
Execução remota de código
3124266
Windows 10 Versão 1511 para sistemas de 32 bits[1] (3135173) Críticoº
Execução remota de código
3116900
Windows 10 Versão 1511 para sistemas baseados em x64[1] (3135173) Críticoº
Execução remota de código
3116900
[1]As atualizações do Windows 10 são cumulativas. Além de conter atualizações não relacionadas à segurança, elas também contêm todas as correções de segurança para todas as vulnerabilidades afetadas do Windows 10 enviadas com o lançamento de segurança deste mês. A atualização está disponível por meio do Catálogo do Windows Update. * A coluna Atualizações substituídas mostra somente a atualização mais recente em qualquer cadeia de atualizações substituídas. Para um lista abrangente de atualizações substituídas, vá até o Catálogo Microsoft Update, procure pelo número da KB da atualização e depois visualize os detalhes da atualização (as informações sobre as atualizações substituídas são fornecidas na guia Detalhes do Pacote). Observação O Windows Server Technical Preview 4 é afetado. Recomenda-se que os clientes que estiverem executando esse sistema operacional apliquem a atualização, que está disponível no Windows Update. Perguntas frequentes de atualização ----------------------------------- Estou executando um dos sistemas operacionais na tabela de Softwares afetados. Por que a atualização do Diário não está sendo oferecida?
A atualização é oferecida apenas aos seguintes sistemas em que o Diário do Windows está instalado. - Em edições com suporte do Windows Server 2008, o Diário do Windows não está instalado por padrão. Está instalado caso o recurso Experiência Desktop esteja ativado. Como resultado, a atualização para o Diário do Windows aplica-se somente se o recurso da Experiência Desktop estiver habilitado. - Em edições com suporte do Windows Server 2008 R2, Windows Server 2012 e Windows Server 2012 R2, o Diário do Windows não é instalado por padrão. Ele é instalado caso o recurso Serviços de Reconhecimento de Manuscrito esteja ativado. Como resultado, a atualização para o Diário do Windows aplica-se somente se os Serviços de Reconhecimento de Manuscritos estiverem habilitados. Informações sobre a vulnerabilidade ----------------------------------- Vulnerabilidade de corrupção de memória no Diário do Windows - CVE-2016-0038 ---------------------------------------------------------------------------- Existe uma vulnerabilidade de execução remota de código no Microsoft Windows quando um arquivo do Diário especialmente criado é aberto no Diário do Windows. O atacante que explorar essa vulnerabilidade com êxito poderá fazer com que um código arbitrário seja executado no contexto do usuário atual. Se um usuário estiver conectado com direitos administrativos, o atacante poderá assumir o controle total do sistema afetado. O atacante poderá instalar programas; exibir, alterar ou excluir dados, ou criar novas contas com direitos totais de usuário. Os usuários cujas contas estão configuradas para ter menos direitos de usuário podem ser menos afetados do que os usuários que têm direitos de administrador. Para um ataque ser bem sucedido, essa vulnerabilidade requer que um usuário abra um arquivo do Diário especialmente criado com uma versão afetada do Diário do Windows. Em um cenário de ataque por email, o atacante pode explorar a vulnerabilidade, enviando para o usuário um arquivo do Diário especialmente criado e, em seguida, convencendo-o a abrir o arquivo. A atualização de segurança aborda a vulnerabilidade, modificando a maneira como o Diário do Windows analisa arquivos do Diário. A tabela a seguir contém links para a entrada padrão para cada vulnerabilidade na lista Vulnerabilidades Comuns e Exposições:

Título da vulnerabilidade Número de CVE Divulgadas de forma pública Explorado
Vulnerabilidade de corrupção de memória do Diário do Windows CVE-2016-0038 Não Não

Fatores atenuantes

A Microsoft não identificou quaisquer fatores atenuantes para essa vulnerabilidade.

Soluções alternativas

As seguintes soluções alternativas podem ser úteis em seu caso:

  • Não abra anexos suspeitos

    Não abra arquivos do Windows Journal (.jnt) recebidos de fontes não confiáveis ou recebidos inesperadamente de fontes confiáveis. Essa vulnerabilidade pode ser explorada quando o usuário abre um arquivo especialmente criado.

    No Windows 7 ou Vista:

    1. Clique em Iniciar, clique em Painel de Controle e depois clique em Programas.
    2. Clique em Ativar ou desativar recursos do Windows.
    3. Desmarque Componentes do Tablet PC (Componentes Opcionais do Tablet PC em sistemas Windows Vista).
    4. Clique em OK.

    Impacto da solução alternativa. Os usuários não poderão usar o Diário do Windows ou outro Componente do Tablet PC.

    Observação O Windows 8 e o Windows 8.1 não oferecem um mecanismo para desabilitar o Diário do Windows.

    Como desfazer a solução alternativa.

    1. Clique em Iniciar, clique em Painel de Controle e depois clique em Programas.
    2. Clique em Ativar ou desativar recursos do Windows.
    3. Marque Componentes do Tablet PC (Componentes Opcionais do Tablet PC em sistemas Windows Vista).
    4. Clique em OK.
  • Remova a associação de tipo de arquivo .jnt

    Método interativo:
    Observação O uso incorreto do Editor do Registro pode causar problemas sérios que podem exigir a reinstalação do sistema operacional. A Microsoft não garante que os problemas resultantes do uso incorreto do Editor do Registro possam ser solucionados. Você é responsável pelo uso do Editor do Registro. Para obter informações sobre como editar o Registro, consulte o tópico da Ajuda "Alterar chaves e valores" do Editor do Registro (Regedit.exe) ou exiba os tópicos da Ajuda "Adicionar e excluir informações no Registro" e "Editar informações do Registro" no Regedt32.exe.

    Para remover a associação de tipo de arquivo .jnt usando o método interativo, siga estas etapas:

    1. Clique em Iniciar, em Executar, digite regedit e clique em OK.
    2. Expanda HKEY_CLASSES_ROOT, clique em jntfile e, em seguida, clique no menu Arquivo e selecione Exportar.
    3. Na caixa de diálogo Exportar Arquivo de Registro, digite jntfile HKCR file association registry backup.reg e clique em Salvar. Isto criará um backup desta chave do Registro na pasta Meus Documentos por padrão.
    4. Pressione a tecla Delete no teclado para excluir a chave de Registro. Quando receber a confirmação de exclusão do valor do Registro, clique em Sim.
    5. Expanda HKEY_CURRENT_USER, Software, Microsoft, Windows, CurrentVersion, Explorer e, em seguida, FileExts.
    6. Clique em .jnt e clique no menu Arquivo e selecione Exportar.
    7. Na caixa de diálogo Exportar Arquivo de Registro , digite .jntHKCU file association registry backup.reg e clique em Salvar. Isto criará um backup desta chave do Registro na pasta Meus Documentos por padrão.
    8. Pressione a tecla Delete no teclado para excluir a chave de Registro. Quando receber a confirmação de exclusão do valor do Registro, clique em Sim.

    Usando um script gerenciado:
    Observação O uso incorreto do Editor do Registro pode causar problemas sérios que podem exigir a reinstalação do sistema operacional. A Microsoft não garante que os problemas resultantes do uso incorreto do Editor do Registro possam ser solucionados. Você é responsável pelo uso do Editor do Registro. Para obter informações sobre como editar o Registro, consulte o tópico da Ajuda "Alterar chaves e valores" do Editor do Registro (Regedit.exe) ou exiba os tópicos da Ajuda "Adicionar e excluir informações no Registro" e "Editar informações do Registro" no Regedt32.exe.

    Para remover a associação de tipo de arquivo .jnt usando um script gerenciado e interativo, execute estas etapas:

    1. Crie uma cópia de backup das chaves do Registro a partir de um script de implantação gerenciado usando os seguintes comandos:

      Regedit.exe /e jntfile_HKCR_registry_backup.reg HKEY_CLASSES_ROOT\jntfile  
      Regedit.exe /e jnt_HKCU_registry_backup.reg HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.jnt
      
    2. Salve o seguinte em um arquivo com a extensão .reg (por ex., Delete_jnt_file_association.reg):

      Windows Registry Editor Versão 5.00  
      [-HKEY_CLASSES_ROOT\jntfile]  
      [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.jnt]
      
    3. Execute o script de Registro criado na etapa 2 na máquina de destino com o seguinte comando:

      Regedit.exe /s Delete_jnt_file_association.reg
      

      Impacto da solução alternativa. Clicar duas vezes em um arquivo .jnt não iniciará o journal.exe.

    Como desfazer a solução alternativa:

    Restaure as chaves do Registro usando Editor de Registro para restaurar as configurações salvas nos arquivos .REG.

  • Remova o Diário do Windows desabilitando o recurso do Windows que o instala

    Nos sistemas do Windows Vista e Windows 7, siga estas etapas:

    1. Clique em Iniciar, em Painel de Controle e em Programas.
    2. Clique em Ativar ou desativar recursos do Windows e, em seguida, desmarque a caixa de seleção para Componentes Opcionais do Tablet PC (sistemas do Windows Vista) ou para Componentes do Tablet PC (sistemas do Windows 7).
    3. Clique em OK.

    Impacto da solução alternativa. O Diário do Windows é removido do sistema.

    Como desfazer a solução alternativa:

    Para reinstalar o Diário do Windows nos sistemas do Windows Vista ou do Windows 7, siga estas etapas:

    1. Clique em Iniciar, em Painel de Controle e em Programas.
    2. Clique em Ativar ou desativar recursos do Windows e, em seguida, selecione a caixa de seleção para Componentes Opcionais do Tablet PC (sistemas do Windows Vista) ou para Componentes do Tablet PC (sistemas do Windows 7).
    3. Clique em OK.
  • Negar acesso ao Journal.exe

    Para negar acesso ao Journal.exe, digite os seguintes comandos em um prompt de comando administrativo:

    > takeown.exe /f "%ProgramFiles%\Windows Journal\Journal.exe"  
    > icacls.exe "%ProgramFiles%\Windows Journal\Journal.exe" /deny everyone:(F)
    

    Impacto da solução alternativa. O Diário do Windows torna-se inacessível.

    Como desfazer a solução alternativa:

    Para reestabelecer acesso ao Journal.exe, digite os seguintes comandos em um prompt de comando administrativo:

    > icacls.exe "%ProgramFiles%\Windows Journal\Journal.exe" /remove:d everyone
    

Implantação de atualização de segurança

Para obter informações sobre Implementação de atualizações de segurança, consulte o artigo da Base de Dados de Conhecimento da Microsoft mencionado aqui no Sinopse.

Agradecimentos

A Microsoft reconhece os esforços dos membros da comunidade de segurança que nos ajudam a proteger os consumidores graças à divulgação responsável de vulnerabilidades. Consulte Agradecimentos para obter mais informações.

Aviso de isenção de responsabilidade

As informações fornecidas na Base de Dados de Conhecimento da Microsoft são apresentadas "no estado em que se encontram", sem garantia de qualquer tipo. A Microsoft se isenta de todas as garantias, expressas ou implícitas, inclusive as garantias de comercialização e adequação a um propósito específico. Em hipótese alguma a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, inclusive danos diretos, indiretos, incidentais, consequenciais, danos por lucros cessantes ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido alertados da possibilidade dos referidos danos. Como alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou indiretos, a limitação acima pode não ser aplicável a você.

Revisões

  • V1.0 (09.02.16): Boletim publicado.

Página gerada em 03.02.16 12:01:00-08:00.