Boletim de Segurança da Microsoft MS16-022 – Crítico

Atualização de segurança para o Adobe Flash Player (3135782)

Publicado em: 9 de fevereiro de 2016 | Atualizado em: 12 de fevereiro de 2016

Versão: 1.1

Sinopse

Esta atualização de segurança resolve vulnerabilidades no Adobe Flash Player quando instalada em todas as versões com suporte do Windows Server 2012, do Windows 8.1, do Windows Server 2012 R2, do Windows RT 8.1, do Windows 10 e do Windows 10 versão 1511. Para mais informações, consulte a seção Softwares Afetados. A atualização aborda as vulnerabilidades no Adobe Flash Player atualizando as bibliotecas afetadas do Adobe Flash contidas no Internet Explorer 10, no Internet Explorer 11, e no Microsoft Edge.

Para obter mais informações sobre essa atualização, consulte o artigo 3135782 da Base de Dados de Conhecimento da Microsoft.

Informações sobre a vulnerabilidade

Esta atualização de segurança aborda as seguintes vulnerabilidades, descritas no Boletim de Segurança da Adobe APSB16-04:

CVE-2016-0964, CVE-2016-0965, CVE-2016-0966, CVE-2016-0967, CVE-2016-0968, CVE-2016-0969, CVE-2016-0970, CVE-2016-0971, CVE-2016-0972, CVE-2016-0973, CVE-2016-0974, CVE-2016-0975, CVE-2016-0976, CVE-2016-0977, CVE-2016-0978, CVE-2016-0979, CVE-2016-0980, CVE-2016-0981, CVE-2016-0982, CVE-2016-0983, CVE-2016-0984, CVE-2016-0985

Softwares Afetados

As seguinte versões ou edições de software foram afetadas. As versões ou edições que não estão listadas já passaram de seu ciclo de vida do suporte ou não foram afetadas. Para determinar o ciclo de vida do suporte para sua versão ou edição de software, visite o site Ciclo de vida do suporte da Microsoft.

Sistema operacional

Componente

Impacto e gravidade agregada

Atualizações substituídas*

Windows 8,1

Windows 8.1 para sistemas de 32 bits

Adobe Flash Player
(3135782)

Críticoº
Execução remota de código

3133431 na SA2755801

Windows 8.1 para sistemas baseados em x64

Adobe Flash Player
(3135782)

Críticoº
Execução remota de código

3133431 na SA2755801

Windows Server 2012 e Windows Server 2012 R2

Windows Server 2012

Adobe Flash Player
(3135782)

Moderada
Execução remota de código

3133431 na SA2755801

Windows Server 2012 R2

Adobe Flash Player
(3135782)

Moderada
Execução remota de código

3133431 na SA2755801

Windows RT 8.1

Windows RT 8.1[1]

Adobe Flash Player
(3135782)

Críticoº
Execução remota de código

3133431 na SA2755801

Windows 10

Windows 10 para sistemas de 32 bits[2]

Adobe Flash Player
(3135782)

Crítico
Execução remota de código

3133431 na SA2755801

Windows 10 para sistemas baseados em x64 [2]

Adobe Flash Player
(3135782)

Crítico
Execução remota de código

3133431 na SA2755801

Windows 10 Versão 1511 para sistemas de 32 bits[2]

Adobe Flash Player
(3135782)

Crítico
Execução remota de código

3133431 na SA2755801

Windows 10 Versão 1511 para sistemas baseados em x64[2]

Adobe Flash Player
(3135782)

Críticoº
Execução remota de código

3133431 na SA2755801

[1]Esta atualização só está disponível no Windows Update.

[2]As atualizações do Adobe Flash Player para as atualizações do Windows 10 estão disponíveis no Windows Update ou por meio do Catálogo do Microsoft Update.

Nota O Windows Server Technical Preview 4 é afetado; a classificação de gravidade agregada é Crítica e o impacto é Moderado, execução remota de código. Recomenda-se que os clientes que estiverem executando esses sistemas operacionais apliquem a atualização, que está disponível no Windows Update.

* A coluna Atualizações substituídas mostra somente a atualização mais recente em qualquer cadeia de atualizações substituídas. Para um lista abrangente de atualizações substituídas, vá até o Catálogo Microsoft Update, procure pelo número da KB da atualização e depois visualize os detalhes da atualização (as informações sobre as atualizações substituídas são fornecidas na guia Detalhes do Pacote).

Perguntas frequentes

De que forma o atacante pode explorar essas vulnerabilidades?
Em um cenário de ataque baseado na Web no qual o usuário esteja usando o Internet Explorer para área de trabalho, um atacante poderia hospedar um site especialmente projetado para explorar qualquer uma dessas vulnerabilidades através do Internet Explorer e, então, convencer um usuário a visualizar o site. O atacante também pode incorporar um controle ActiveX marcado como "seguro para inicialização" em um aplicativo ou documento do Microsoft Office que hospede o mecanismo de processamento do IE. O atacante também pode tirar proveito dos sites comprometidos e de sites que aceitam ou hospedam o conteúdo fornecido pelo usuário ou anúncios. Esses sites podem possuir conteúdo especialmente criado que pode explorar qualquer uma dessas vulnerabilidades. No entanto, em todos os casos, o atacante não tem como forçar os usuários a exibir o conteúdo controlado pelo atacante. Em vez disso, o atacante precisa convencer os usuários a executar uma ação, normalmente clicando em um link em uma mensagem de e-mail ou em uma mensagem do Instant Messenger que leve os usuários ao site do atacante ou abrindo um anexo enviado por e-mail.

Em um cenário de ataque baseado na Web no qual o usuário esteja usando o Internet Explorer no estilo UI do Windows 8, um atacante teria que primeiramente aceitar um site já relacionado na lista de Modo de Exibição de Compatibilidade. Um atacante poderia hospedar um site que possua conteúdo em Flash especialmente criado para explorar qualquer uma dessas vulnerabilidades por meio do Internet Explorer e convencer um usuário exibir o site. Um atacante não teria como forçar os usuários a exibir o conteúdo controlado pelo atacante. Em vez disso, o atacante precisa convencer os usuários a executar uma ação, normalmente clicando em um link em uma mensagem de e-mail ou em uma mensagem do Instant Messenger que leve os usuários ao site do atacante ou abrindo um anexo enviado por e-mail. Para obter mais informações sobre o Internet Explorer e a Lista de Modo de Exibição de Compatibilidade, consulte o Artigo de MSDN, Guia do Desenvolvedor para sites com conteúdo para Adobe Flash Player no Windows 8.

Fatores atenuantes

A atenuação refere-se a uma configuração, configuração comum ou prática recomendada geral, existindo num estado padrão, que possa reduzir a gravidade de exploração de uma vulnerabilidade. Os seguintes fatores atenuantes podem ser úteis no seu caso:

  • Em um cenário de ataque baseado na Web no qual o usuário esteja usando o Internet Explorer para desktop, um atacante poderia hospedar um site que contenha uma página usada para explorar qualquer umas dessas vulnerabilidades. Além disso, sites comprometidos e sites que aceitem ou hospedem conteúdo fornecido pelo usuário ou anúncios podem conter conteúdo especialmente criado que pode explorar qualquer uma dessas vulnerabilidades. No entanto, em todos os casos, um atacante não teria como forçar os usuários a visitarem os sites. Em vez disso, o atacante teria que persuadir os usuários a visitar o site, geralmente fazendo com que eles cliquem em um link em um e-mail ou mensagem do Instant Messenger que leva o usuário ao site do atacante.
  • O Internet Explorer no estilo IU do Windows 8 somente reproduzirá conteúdos em Flash de sites relacionados na lista de Modo de Exibição de Compatibilidade. Essa restrição requer que um atacante primeiramente aceite um site já relacionado na lista de Modo de Exibição de Compatibilidade. Um atacante poderia hospedar o conteúdo em Flash especialmente criado para explorar qualquer uma dessas vulnerabilidades por meio do Internet Explorer e convencer um usuário exibir o site. Um atacante não teria como forçar os usuários a exibir o conteúdo controlado pelo atacante. Em vez disso, o atacante precisa convencer os usuários a executar uma ação, normalmente clicando em um link em uma mensagem de e-mail ou em uma mensagem do Instant Messenger que leve os usuários ao site do atacante ou abrindo um anexo enviado por e-mail.
  • Por padrão, todas as versões com suporte do Microsoft Outlook e do Windows Live Mail abrem e-mails em HTML na zona de Sites restritos. A zona de sites restritos, que desabilita o script e os controles ActiveX, ajuda a reduzir o risco de um atacante ser capaz de usar qualquer uma dessas vulnerabilidades para executar código mal-intencionado. Se um usuário clicar em um link em uma mensagem de e-mail, ele ainda pode estar vulnerável à exploração de qualquer uma dessas vulnerabilidades, por meio do cenário de ataque baseado na Web.
  • Por padrão, o Internet Explorer no Windows Server 2012 e no Windows Server 2012 R2 é executado em um modo restrito, conhecido como Configuração de Segurança Reforçada. Este modo pode ajudar a reduzir a probabilidade de exploração por essas vulnerabilidades no Adobe Flash Player no Internet Explorer.

Soluções alternativas

A solução alternativa refere-se a uma configuração ou alteração de configuração que ajudaria a bloquear vetores de ataque conhecidos antes de aplicar a atualização.

  • Evite que o Adobe Flash Player seja executado

    Você pode desabilitar tentativas de criar uma instância do Adobe Flash Player no Internet Explorer e em outros aplicativos que honram o recurso de kill bit, como o Office 2007 e o Office 2010, configurando o kill bit para o controle no Registro.

    Aviso A utilização incorreta do Editor de Registro poderá provocar problemas graves que poderão forçar a reinstalação do sistema operacional. A Microsoft não garante a solução de problemas resultantes do uso incorreto do Editor do Registro. Você é responsável pelo uso do Editor do Registro.

    Para configurar o kill bit para o controle no Registro, execute as seguintes etapas:

    1. Cole o seguinte arquivo em um arquivo de texto e salve-o com a extensão de arquivo .reg.

          Windows Registry Editor Versão 5.00
          [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{D27CDB6E-AE6D-11CF-96B8-444553540000}]
          "Compatibility Flags"=dword:00000400
      
          [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\ActiveX Compatibility\{D27CDB6E-AE6D-11CF-96B8-444553540000}]
          "Compatibility Flags"=dword:00000400
      
    2. Clique duas vezes no arquivo .reg para aplicá-lo a um sistema individual.

      Também é possível aplicar entre domínios usando a Política de Grupo. Para obter mais informações sobre a Política de Grupo, consulte o artigo do TechNet, Coleção da Política de Grupo.

    Observação Você deve reiniciar o Internet Explorer para que as alterações entrem em vigor.

    Impacto da solução alternativa. Não há impacto desde que o objeto não seja usado no Internet Explorer.

    Como desfazer a solução alternativa. Exclua as chaves do Registro adicionadas na implementação desta solução alternativa.

  • Evite que o Adobe Flash Player seja executado no Internet Explorer por meio da Política de Grupo

    Observação O snap-in do MMC Política de Grupo pode ser usado para definir a diretiva para uma máquina, para uma unidade organizacional ou para todo um domínio. Para obter mais informações sobre Políticas de grupo, visite o seguinte site da Microsoft:

    Visão geral da Política de Grupo

    O que é o Editor de Objeto de Política de Grupo?

    Ferramentas e configurações principais da Diretiva de Grupo

    Para desabilitar o Adobe Flash Player no Internet Explorer por meio da Política de Grupo, execute as seguintes etapas:

    Observação Esta solução alternativa não evita que o Flash seja invocado por outros aplicativos, como o Microsoft Office 2007 ou o Microsoft Office 2010.

    1. Abra o console de gerenciamento de Política de Grupo e configure-o para funcionar com o objeto de Política de Grupo apropriado, como máquina local, UO ou domínio GPO.
    2. Navegue até o seguinte nó:

    Modelos administrativos - Componentes de Windows - Internet Explorer - Recursos de segurança - Gerenciamento de Complementos

    1. Clique duas vezes em Desativar o Adobe Flash no Internet Explorer e evitar que aplicativos usem a tecnologia do Internet Explorer para criar instâncias de objetos Flash.
    2. Altere a configuração para Habilitado.
    3. Clique em Aplicar e em OK para voltar ao Console de Gerenciamento de Política de Grupo.
    4. Atualize a Política de Grupo em todos os sistemas ou aguarde o próximo intervalo de atualização programado para a Política de Grupo para que as configurações entrem em vigor.
  • Evite a execução do Adobe Flash Player no Office 2010 em sistemas afetados

    Observação Esta solução alternativa não evita que o Adobe Flash Player seja executado no Internet Explorer.

    Aviso A utilização incorreta do Editor de Registro poderá provocar problemas graves que poderão forçar a reinstalação do sistema operacional. A Microsoft não garante a solução de problemas resultantes do uso incorreto do Editor do Registro. Você é responsável pelo uso do Editor do Registro.

    Para obter as etapas detalhadas de como impedir que um controle seja executado no Internet Explorer, consulte o artigo 240797 da Base de Dados de Conhecimento Microsoft. Siga as etapas nesse artigo para criar um valor de Sinalizadores de Compatibilidade no Registro para impedir que um objeto COM seja instanciado no Internet Explorer.

    Para desabilitar o Adobe Flash Player apenas no Office 2010, configure o kill bit do controle ActiveX para Adobe Flash Player no Registro usando as seguintes etapas:

    1. Crie um arquivo de texto denominado Disable_Flash.reg com o seguinte conteúdo:

          Windows Registry Editor Versão 5.00
      
          [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM\Compatibility\{D27CDB6E-AE6D-11CF-96B8-444553540000}]
          "Compatibility Flags"=dword:00000400
      
    2. Clique duas vezes no arquivo .reg para aplicá-lo a um sistema individual.

      Observação Você deve reiniciar o Internet Explorer para que as alterações entrem em vigor.

      Também é possível aplicar entre domínios usando a Política de Grupo. Para obter mais informações sobre a Política de Grupo, consulte o artigo do TechNet, Coleção da Política de Grupo.

  • Impede que os controles ActiveX sejam executados no Office 2007 e Office 2010

    Para desabilitar todos os controles do ActiveX no Microsoft Office 2007 e no Microsoft Office 2010, incluindo o Adobe Flash Player no Internet Explorer, execute as seguintes etapas:

    1. Clique em Arquivo, em Opções, Central de Confiabilidade e em Configurações da Central de Confiabilidade.
    2. Clique em Configurações do ActiveX no painel esquerdo e selecione Desabilitar todos os controles sem notificação.
    3. Clique em OK para salvar as configurações.

    Impacto da solução alternativa. Documentos do Office que usam controles ActiveX incorporados não podem ser exibidos, como pretendido.

    Como desfazer a solução alternativa.

    Para reativar os controles ActiveX no Microsoft Office 2007 e Microsoft Office 2010, execute as seguintes etapas:

    1. Clique em Arquivo, em Opções, em Central de Confiabilidade e em Configurações da Central de Confiabilidade.
    2. Clique em Configurações do ActiveX no painel esquerdo e desmarque Desabilitar todos os controles sem notificação.
    3. Clique em OK para salvar as configurações.
  • Defina as configurações de zona de segurança da Internet e da intranet local como “Alta” para bloquear controles ActiveX e scripts ativos nessas zonas

    Você pode ajudar na proteção contra a exploração dessas vulnerabilidades alterando suas configurações para que a zona de segurança da Internet bloqueie controles ActiveX e scripts ativos. É possível fazer isso configurando a segurança do navegador como Alta.

    Para aumentar o nível de segurança da navegação no Internet Explorer, siga estas etapas:

    1. No menu Ferramentas no Internet Explorer, clique em Opções da Internet.
    2. Na caixa de diálogo Opções da Internet, clique na guia Segurança e em Internet.
    3. Em Nível de segurança para esta zona, mova o controle deslizante para Alto. Isso define o nível de segurança para todos os sites visitados como Alto.
    4. Clique em Intranet local.
    5. Em Nível de segurança para esta zona, mova o controle deslizante para Alto. Isso define o nível de segurança para todos os sites visitados como Alto.
    6. Clique em OK para aceitar as alterações e retornar ao Internet Explorer.

    Observação Se o controle deslizante não estiver visível, clique em Nível padrão e mova o controle deslizante para Alto.

    Observação A configuração do nível como Alto pode fazer com que alguns sites não funcionem corretamente. Se você encontrar dificuldades ao usar um site após alterar a configuração, mas tiver certeza de que o site é seguro, é possível adicionar esse site à lista de sites confiáveis. Isso permite que o site funcione corretamente, mesmo com a configuração de segurança definida como Alta.

    Impacto da solução alternativa. Há efeitos colaterais ao bloqueio de controles ActiveX e scripts ativos. Muitos sites que não estão na Internet ou na intranet usam controles ActiveX e scripts ativos para fornecer funcionalidade adicional. Por exemplo, um site de comércio eletrônico ou bancário online pode usar controles ActiveX para fornecer menus, formulários de pedidos ou até mesmo extratos de contas. O bloqueio de controles ActiveX ou scripts ativos é uma configuração global que afeta todos os sites da Internet e da intranet. Se você não quiser bloquear controles ActiveX e scripts ativos para esses sites, use as etapas descritas em “Adicione sites confiáveis à zona Sites confiáveis do Internet Explorer”.

  • Configure o Internet Explorer para notificá-lo antes da execução de scripts ativos ou desabilite os scripts ativos na zona de segurança da Internet e da Intranet local

    Para se proteger contra a exploração dessas vulnerabilidades, altere as configurações para ser notificado antes da execução de scripts ativos ou desabilite os scripts ativos na zona de segurança da Internet e da intranet local. Para isso, execute as seguintes etapas:

    1. No Internet Explorer, clique em Opções da Internet no menu Ferramentas.
    2. Clique na guia Segurança.
    3. Clique em Internet e em Nível Personalizado.
    4. Em Configurações, na seção Script, em Scripts Ativos, clique em Avisar ou Desativar e em OK.
    5. Clique em Intranet local e em Nível Personalizado.
    6. Em Configurações, na seção Script, em Scripts Ativos, clique em Avisar ou Desativar e em OK.
    7. Clique em OK duas vezes para retornar ao Internet Explorer.

    Observação Desabilitar os scripts ativos nas zonas de segurança da Internet e da intranet local poderá fazer com que alguns sites não funcionem corretamente. Se você encontrar dificuldades ao usar um site após alterar a configuração, mas tiver certeza de que o site é seguro, é possível adicionar esse site à lista de sites confiáveis. Isso permitirá que o site funcione adequadamente.

    Impacto da solução alternativa. A notificação antes da execução de scripts ativos apresenta efeitos colaterais. Muitos sites que não estão na Internet ou na intranet usam scripts ativos para fornecer funcionalidade adicional. Por exemplo, um site de comércio eletrônico ou bancário online pode usar controles ActiveX para fornecer menus, formulários de pedidos ou até mesmo extratos de contas. A notificação antes da execução dos scripts ativos é uma configuração global que afeta todos os sites da Internet e da intranet. Você será notificado frequentemente quando ativar essa solução alternativa. Para cada notificação, se achar que confia no site que está visitando, clique em Sim para executar os scripts ativos. Se não quiser ser avisado para todos esses sites, use as etapas descritas em “Adicione sites confiáveis à zona Sites confiáveis do Internet Explorer”.

  • Adicione sites confiáveis à zona Sites confiáveis do Internet Explorer

    Depois de definir o Internet Explorer para solicitar confirmação antes de executar controles ActiveX e scripts ativos na zona da Internet e da Intranet local, você pode adicionar sites confiáveis à zona de Sites confiáveis do Internet Explorer. Isso permitirá que você continue usando os sites confiáveis exatamente como faz atualmente, enquanto ajuda a proteger-se de ataques em sites não confiáveis. É recomendável adicionar somente sites nos quais você confia à zona de Sites confiáveis.

    Para isso, execute as seguintes etapas:

    1. No Internet Explorer, clique em Ferramentas, em Opções da Internet e clique na guia Segurança.
    2. Na caixa Selecione uma zona de conteúdo da Web para especificar suas configurações de segurança, clique em Sites Confiáveis e em Sites.
    3. Se desejar adicionar sites que não requerem um canal criptografado, clique para desmarcar a caixa de seleção Exigir verificação do servidor (https:) para todos os sites desta zona.
    4. Na caixa Adicionar este site à zona, digite a URL de um site em que confia e clique em Adicionar.
    5. Repita essas etapas para cada site que você deseja adicionar à zona.
    6. Clique em OK duas vezes para aceitar as alterações e retornar ao Internet Explorer.

    Observação Adicione os sites que você tem certeza de que não realizarão ações mal-intencionadas em seu sistema. Existem dois sites específicos que você deve adicionar *.windowsupdate.microsoft.com e *.update.microsoft.com. Esses sites hospedam a atualização e exigem um controle ActiveX para instalá-la.

Implantação de atualização de segurança

Para obter informações sobre Implementação de atualizações de segurança, consulte o artigo da Base de Dados de Conhecimento da Microsoft mencionado aqui no Sinopse.

Agradecimentos

A Microsoft reconhece os esforços dos membros da comunidade de segurança que nos ajudam a proteger os consumidores graças à divulgação responsável de vulnerabilidades. Consulte Agradecimentos para obter mais informações.

Aviso de isenção de responsabilidade

As informações fornecidas na Base de Dados de Conhecimento da Microsoft são apresentadas "no estado em que se encontram", sem garantia de qualquer tipo. A Microsoft se isenta de todas as garantias, expressas ou implícitas, inclusive as garantias de comercialização e adequação a um propósito específico. Em hipótese alguma a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, inclusive danos diretos, indiretos, incidentais, consequenciais, danos por lucros cessantes ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido alertados da possibilidade dos referidos danos. Como alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou indiretos, a limitação acima pode não ser aplicável a você.

Revisões

  • V1.0 (09.02.16): Boletim publicado.
  • V1.1 (12 de fevereiro de 2016): Boletim revisado para adicionar links para a atualização 3135782 no Centro de Download para o Windows 8.1 para sistemas de 32 bits, Windows 8.1 para sistemas com base em x64, Windows Server 2012 e Windows Server 2012 R2. Esta é apenas uma alteração informativa. Não é necessária mais nenhuma ação para os clientes que já instalaram esta atualização com êxito.

Página gerada em 12 de fevereiro de 2016 às 11:06-08:00.