Boletim de Segurança da Microsoft MS17-007 – Crítico

Atualização de segurança cumulativa do Microsoft Edge (4013071)

Publicado em: 14 de março de 2017 | Atualizado em: 8 de agosto de 2017

Versão: 2.0

Resumo executivo

Esta atualização de segurança elimina vulnerabilidades no Microsoft Edge. A mais grave das vulnerabilidades poderá permitir a execução remota de código se um usuário visualizar uma página da Web especialmente criada usando o Microsoft Edge. Um invasor que conseguir explorar essas vulnerabilidades poderá adquirir o controle de um sistema afetado. O invasor poderá instalar programas; exibir, alterar ou excluir dados; ou criar novas contas com direitos totais de usuário.

Essa atualização de segurança foi classificada como Crítica para o Microsoft Edge no Windows 10 e como Moderada no Windows Server 2016. Para obter mais informações, consulte a seção Softwares afetados.

A atualização resolve as vulnerabilidades modificando o modo como o Microsoft Edge manipula objetos na memória.

Para obter mais informações sobre estas vulnerabilidades, consulte a seção Informações sobre vulnerabilidade. Para obter mais informações sobre essa atualização, consulte o artigo 4013071 da Base de Dados de Conhecimento Microsoft.

Softwares afetados e classificações de gravidade da vulnerabilidade

As seguinte versões ou edições de software foram afetadas. As versões ou edições que não estão listadas já passaram de seu ciclo de vida do suporte ou não foram afetadas. Para determinar o ciclo de vida do suporte para sua versão ou edição anterior de software, consulte Ciclo de vida do suporte da Microsoft.

As classificações de gravidade indicadas para cada software afetado assumem o potencial máximo do impacto da vulnerabilidade. Para obter informações referentes à probabilidade da capacidade de exploração da vulnerabilidade em relação a sua classificação de gravidade e ao impacto à segurança, dentro de 30 dias a partir do lançamento deste boletim de segurança, consulte o Índice de capacidade de exploração no Resumo de boletins de março.

Observação Consulte o Guia de atualizações de segurança para conhecer uma nova abordagem ao consumo de informações sobre atualizações de segurança. Você pode personalizar suas exibições e criar planilhas de softwares afetados, além de baixar dados por meio de uma API RESTful. Para obter mais informações, consulte as Perguntas frequentes sobre o Guia de atualizações de segurança. Como lembrete, o Guia de Atualizações de Segurança substituirá os boletins de segurança. Para obter mais detalhes, consulte nossa postagem de blog, Furthering our commitment to security updates (Ampliando nosso compromisso com as atualizações de segurança).

Softwares afetados do Microsoft Edge

Sistema operacional Componente Impacto máximo à segurança Classificação de gravidade agregada Atualizações substituídas
Microsoft Edge
Windows 10 para sistemas de 32 bits[1] (4025338) Microsoft Edge Execução remota de código Crítica 4022727
Windows 10 para sistemas com base em x64[1] (4025338) Microsoft Edge Execução remota de código Crítica 4022727
Windows 10 Versão 1511 para sistemas de 32 bits[1] (4025338) Microsoft Edge Execução remota de código Crítica 4022714
Windows 10 Versão 1511 para sistemas com base em x64[1] (4025338) Microsoft Edge Execução remota de código Crítica 4022714
Windows 10 Versão 1607 para sistemas de 32 bits[1] (4025338) Microsoft Edge Execução remota de código Crítica 4022715
Windows 10 Versão 1607 para sistemas com base em x64[1] (4025338) Microsoft Edge Execução remota de código Crítica 4022715
Windows 10 Versão 1703 para sistemas de 32 bits[1] (4025338) Microsoft Edge Execução remota de código Crítica 4022725
Windows 10 Versão 1703 para sistemas com base em x64[1] (4025338) Microsoft Edge Execução remota de código Crítica 4022725
Windows Server 2016
Windows Server 2016 para sistemas com base em x64[1] (4013429) Microsoft Edge Execução remota de código Moderada 3213986

[1]As atualizações do Windows 10 e do Windows Server 2016 são cumulativas. O lançamento de segurança mensal inclui todas as correções de segurança para as vulnerabilidades que afetam o Windows 10, além de conter atualizações não relacionadas à segurança. As atualizações estão disponíveis pelo Catálogo do Microsoft Update. Observe que, a partir de 13 de dezembro de 2016, os detalhes do Windows 10 e do Windows Server 2016 para as Atualizações cumulativas serão documentados em Notas de versão. Consulte as Notas de versão para ver números de compilação de sistemas operacionais, problemas conhecidos e informações de listas de arquivos afetados.

* A coluna Atualizações substituídas mostra somente a atualização mais recente em qualquer cadeia de atualizações substituídas. Para ver um lista abrangente de atualizações substituídas, acesse o Catálogo do Microsoft Update, procure o número do artigo da base de dados da atualização e depois visualize os detalhes da atualização (informações sobre as atualizações substituídas são fornecidas na guia Detalhes do Pacote).

Perguntas frequentes de atualização

A vulnerabilidade da Biblioteca de PDF discutida neste boletim também é discutida no boletim de PDF do Windows (MS17-009), que será lançado em março. Para proteger-me contra a vulnerabilidade, preciso instalar várias atualizações em meu sistema específico e na configuração do Microsoft Edge?
Não. Os clientes que executam sistemas Windows 10 só precisam instalar a atualização cumulativa para seu sistema para se protegerem contra a CVE-2017-0023. A vulnerabilidade da biblioteca de PDF aparece no boletim do Microsoft Edge, pois, em sistemas Windows 10, a correção de segurança para essa vulnerabilidade reside no componente Microsoft Edge que é fornecido na atualização cumulativa.

Classificação de gravidade e Identificadores de vulnerabilidade

As classificações de gravidade a seguir pressupõem o impacto máximo possível da vulnerabilidade. Para obter informações referentes à probabilidade da capacidade de exploração da vulnerabilidade em relação à sua classificação de gravidade e ao impacto à segurança, dentro de 30 dias a partir do lançamento deste boletim de segurança, consulte o Índice de capacidade de exploração no Resumo dos boletins de março.

Onde for especificado na tabela de Classificação de gravidade e de impacto, os valores Crítico, Importante e Moderado indicam classificações de gravidade. Para obter mais informações, consulte o Boletim de Segurança sobre o Sistema de Classificação de Gravidade. Consulte a seguinte tecla para as abreviações usadas na tabela para indicar o impacto máximo:

Abreviação Impacto máximo
RCE Execução remota de código
EoP Elevação de privilégio
Identificação Divulgação não autorizada de informação
SFB Desvio de recurso de segurança

Impacto e classificações de gravidade da vulnerabilidade
Número de CVE Título da vulnerabilidade Microsoft Edge
CVE-2017-0009 Vulnerabilidade de divulgação de informações no navegador da Microsoft Clientes Windows:
Importante/ID
Servidores Windows
Baixa/ID
CVE-2017-0010 Vulnerabilidade de corrupção da memória do mecanismo de script Clientes Windows:
Crítica/RCE
Servidores Windows
Moderada/RCE
CVE-2017-0011 Vulnerabilidade de divulgação de informações do Microsoft Edge Clientes Windows:
Importante/ID
Servidores Windows
Baixa/ID
CVE-2017-0012 Vulnerabilidade de falsificação do navegador da Microsoft Clientes Windows:
Importante/Falsificação
Windows Servers:
Baixa/Falsificação
CVE-2017-0015 Vulnerabilidade de corrupção da memória do mecanismo de script Clientes Windows:
Crítica/RCE
(Apenas o Windows 10 e o Windows 10 versão 1511 são afetados)
CVE-2017-0017 Vulnerabilidade de divulgação de informações do Microsoft Edge Clientes Windows:
Importante/ID
Servidores Windows
Baixa/ID
CVE-2017-0023 Vulnerabilidade de corrupção de memória de PDF da Microsoft Clientes Windows:
Crítica/RCE
Servidores Windows
Moderada/RCE
CVE-2017-0032 Vulnerabilidade de corrupção da memória do mecanismo de script Clientes Windows:
Crítica/RCE
Servidores Windows
Moderada/RCE
CVE-2017-0033 Vulnerabilidade de falsificação do navegador da Microsoft Clientes Windows:
Importante/Falsificação
Windows Servers:
Baixa/Falsificação
CVE-2017-0034 Vulnerabilidade de corrupção de memória do Microsoft Edge Clientes Windows:
Crítica/RCE
(Apenas o Windows 10 versão 1607 é afetado)
Servidores Windows:
Moderada/RCE
CVE-2017-0035 Vulnerabilidade de corrupção da memória do mecanismo de script Clientes Windows:
Crítica/RCE
Servidores Windows
Moderada/RCE
CVE-2017-0037 Vulnerabilidade de corrupção de memória do navegador da Microsoft Clientes Windows:
Crítica/RCE
Servidores Windows
Moderada/RCE
CVE-2017-0065 Vulnerabilidade de divulgação de informações no navegador da Microsoft Clientes Windows:
Importante/ID
Servidores Windows
Baixa/ID
CVE-2017-0066 Vulnerabilidade de bypass do recurso de segurança do Microsoft Edge Clientes Windows:
Importante/SFB
Servidores Windows:
Baixa/SFB
CVE-2017-0067 Vulnerabilidade de corrupção da memória do mecanismo de script Clientes Windows:
Crítica/RCE
Servidores Windows
Moderada/RCE
CVE-2017-0068 Vulnerabilidade de divulgação de informações do Microsoft Edge Clientes Windows:
Importante/ID
Servidores Windows
Baixa/ID
CVE-2017-0069 Vulnerabilidade de falsificação do Microsoft Edge Clientes Windows:
Importante/Falsificação
Windows Servers:
Baixa/Falsificação
CVE-2017-0070 Vulnerabilidade de corrupção da memória do mecanismo de script Clientes Windows:
Crítica/RCE
Servidores Windows
Moderada/RCE
CVE-2017-0071 Vulnerabilidade de corrupção da memória do mecanismo de script Clientes Windows:
Crítica/RCE
Servidores Windows
Moderada/RCE
CVE-2017-0094 Vulnerabilidade de corrupção da memória do mecanismo de script Clientes Windows:
Crítica/RCE
Servidores Windows
Moderada/RCE
CVE-2017-0131 Vulnerabilidade de corrupção da memória do mecanismo de script Clientes Windows:
Importante/RCE
Servidores Windows:
Baixa/RCE
CVE-2017-0132 Vulnerabilidade de corrupção da memória do mecanismo de script Clientes Windows:
Crítica/RCE
Servidores Windows
Moderada/RCE
CVE-2017-0133 Vulnerabilidade de corrupção da memória do mecanismo de script Clientes Windows:
Crítica/RCE
(Apenas as versões 1511 e 1607 do Windows 10 são afetadas)
Servidores Windows:
Moderada/RCE
CVE-2017-0134 Vulnerabilidade de corrupção da memória do mecanismo de script Clientes Windows:
Crítica/RCE
Servidores Windows
Moderada/RCE
CVE-2017-0135 Bypass do recurso de segurança do Microsoft Edge Clientes Windows:
Importante/SFB
Servidores Windows:
Baixa/SFB
CVE-2017-0136 Vulnerabilidade de corrupção da memória do mecanismo de script Clientes Windows:
Crítica/RCE
(Apenas o Windows 10 versão 1607 é afetado)
CVE-2017-0137 Vulnerabilidade de corrupção da memória do mecanismo de script Clientes Windows:
Crítica/RCE
Servidores Windows
Moderada/RCE
CVE-2017-0138 Vulnerabilidade de corrupção da memória do mecanismo de script Clientes Windows:
Crítica/RCE
Servidores Windows
Moderada/RCE
CVE-2017-0140 Bypass do recurso de segurança do Microsoft Edge Clientes Windows:
Importante/SFB
(Apenas o Windows 10 versão 1607 é afetado)
Servidores Windows:
Baixa/SFB
CVE-2017-0141 Vulnerabilidade de corrupção da memória do mecanismo de script Clientes Windows:
Crítica/RCE
Servidores Windows
Moderada/RCE
CVE-2017-0150 Vulnerabilidade de corrupção da memória do mecanismo de script Clientes Windows:
Crítica/RCE
(Apenas o Windows 10 versão 1607 é afetado)
Servidores Windows:
Moderada/RCE
CVE-2017-0151 Vulnerabilidade de corrupção da memória do mecanismo de script Clientes Windows:
Crítica/RCE
(Apenas o Windows 10 versão 1607 é afetado)
Servidores Windows:
Moderada/RCE

Informações sobre a vulnerabilidade

Várias vulnerabilidades de corrupção de memória do Mecanismo de Script da Microsoft

Existem várias vulnerabilidades de execução remota de código na maneira como os mecanismos de script da Microsoft afetados realizam renderizações ao manipularem objetos na memória em navegadores da Microsoft. Essas vulnerabilidades podem corromper a memória a ponto de permitir que um invasor execute um código arbitrário no contexto do usuário atual. Um invasor que conseguir explorar essas vulnerabilidades poderá obter os mesmos direitos que o usuário atual. Se um usuário atual tiver feito logon com direitos administrativos, o invasor que conseguir explorar essas vulnerabilidades poderá obter o controle total do sistema afetado. O invasor poderá instalar programas; exibir, alterar ou excluir dados; ou criar novas contas com direitos totais de usuário.

Em um cenário de ataque pela Web, o invasor pode hospedar um site especialmente criado para explorar essas vulnerabilidades por meio de um navegador da Microsoft e depois convencer um usuário a visualizar esse site. O invasor também pode incorporar um controle ActiveX marcado como "seguro para inicialização" em um aplicativo ou documento do Microsoft Office que hospeda o mecanismo de renderização do Edge. O invasor também pode tirar proveito de sites comprometidos e de sites que aceitem ou hospedem anúncios ou conteúdo fornecido pelo usuário. Esses sites da Web podem ter conteúdo especialmente criado para explorar as vulnerabilidades.

A atualização de segurança resolve essas vulnerabilidades, modificando a maneira como os mecanismos de scripts da Microsoft afetados manipulam objetos na memória.

A tabela a seguir contém um link para a entrada padrão de cada vulnerabilidade na lista Vulnerabilidades e Exposições Comuns:

Título da vulnerabilidade Número da CVE Divulgadas de forma pública Explorado
Vulnerabilidade de corrupção da memória do mecanismo de script CVE-2017-0010 Não Não
Vulnerabilidade de corrupção da memória do mecanismo de script CVE-2017-0015 Não Não
Vulnerabilidade de corrupção da memória do mecanismo de script CVE-2017-0032 Não Não
Vulnerabilidade de corrupção da memória do mecanismo de script CVE-2017-0035 Não Não
Vulnerabilidade de corrupção da memória do mecanismo de script CVE-2017-0067 Não Não
Vulnerabilidade de corrupção da memória do mecanismo de script CVE-2017-0070 Não Não
Vulnerabilidade de corrupção da memória do mecanismo de script CVE-2017-0071 Não Não
Vulnerabilidade de corrupção da memória do mecanismo de script CVE-2017-0094 Não Não
Vulnerabilidade de corrupção da memória do mecanismo de script CVE-2017-0131 Não Não
Vulnerabilidade de corrupção da memória do mecanismo de script CVE-2017-0132 Não Não
Vulnerabilidade de corrupção da memória do mecanismo de script CVE-2017-0133 Não Não
Vulnerabilidade de corrupção da memória do mecanismo de script CVE-2017-0134 Não Não
Vulnerabilidade de corrupção da memória do mecanismo de script CVE-2017-0136 Não Não
Vulnerabilidade de corrupção da memória do mecanismo de script CVE-2017-0137 Não Não
Vulnerabilidade de corrupção da memória do mecanismo de script CVE-2017-0138 Não Não
Vulnerabilidade de corrupção da memória do mecanismo de script CVE-2017-0141 Não Não
Vulnerabilidade de corrupção da memória do mecanismo de script CVE-2017-0150 Não Não
Vulnerabilidade de corrupção da memória do mecanismo de script CVE-2017-0151 Não Não

Fatores atenuantes

A Microsoft não identificou fatores atenuantes para essas vulnerabilidades.

Soluções alternativas

A Microsoft não identificou soluções alternativas para essas vulnerabilidades.

Várias vulnerabilidades de divulgação não autorizada de informações do Microsoft Edge

Existem várias vulnerabilidades de divulgação não autorizada de informações na maneira como os componentes afetados manipulam objetos na memória. Um invasor que conseguir explorar essas vulnerabilidades poderá obter informações para comprometer ainda mais um sistema de destino.

No cenário de ataque pela Web, o invasor pode hospedar um site que contenha um arquivo usado para explorar as vulnerabilidades. Além disso, sites comprometidos e sites que aceitam ou hospedam conteúdo fornecido pelo usuário podem ter conteúdo especialmente criado que pode ser usado para explorar essas vulnerabilidades. Em todos os casos, um invasor não tem como forçar os usuários a exibir o conteúdo controlado por ele. Em vez disso, um invasor teria que convencer os usuários a realizarem uma ação. Por exemplo, um atacante pode enganar os usuários para eles clicarem em um link que os leva ao site do atacante.

A atualização de segurança resolve essas vulnerabilidades, corrigindo a maneira como os componentes afetados manipulam objetos na memória.

A tabela a seguir contém links para a entrada padrão de cada vulnerabilidade na lista Vulnerabilidades e exposições comuns:

Título da vulnerabilidade Número da CVE Divulgadas de forma pública Explorado
Vulnerabilidade de divulgação de informações no navegador da Microsoft CVE-2017-0009 Não Não
Vulnerabilidade de divulgação de informações do Microsoft Edge CVE-2017-0011 Não Não
Vulnerabilidade de divulgação de informações do Microsoft Edge CVE-2017-0017 Não Não
Vulnerabilidade de divulgação de informações no navegador da Microsoft CVE-2017-0065 Sim Não
Vulnerabilidade de divulgação de informações do Microsoft Edge CVE-2017-0068 Não Não

Fatores atenuantes

A Microsoft não identificou fatores atenuantes para essas vulnerabilidades.

Soluções alternativas

A Microsoft não identificou soluções alternativas para essas vulnerabilidades.

Várias vulnerabilidades de falsificação do Microsoft Edge

Existem várias vulnerabilidades de falsificação quando um navegador da Microsoft não analisa corretamente as respostas HTTP. Um invasor que conseguir explorar essas vulnerabilidades poderá enganar um usuário, redirecionando-o a um site especialmente criado. O site especialmente criado pode falsificar conteúdo ou ser usado como um pivô para encadear um ataque com outras vulnerabilidades nos serviços Web.

Para explorar essas vulnerabilidade, o usuário deve clicar em uma URL especialmente criada. Em um cenário de ataque por email, um invasor pode enviar uma mensagem para o usuário contendo a URL especialmente criada, em uma tentativa de convencê-lo a clicar nela.

Em um cenário de ataque com base na Web, o atacante pode hospedar um site especialmente criado para parecer com um site legítimo para o usuário. No entanto, não há como o atacante forçar os usuários a acessar o site especialmente criado. O invasor teria que convencer o usuário a acessar o site especialmente criado, geralmente por meio de um chamariz em um email ou uma mensagem instantânea, e depois convencer o usuário a interagir com o conteúdo no site.

A atualização resolve essas vulnerabilidades, corrigindo a maneira como os navegadores da Microsoft analisam respostas HTTP.

A tabela a seguir contém links para a entrada padrão de cada vulnerabilidade na lista Vulnerabilidades e exposições comuns:

Título da vulnerabilidade Número de CVE Divulgadas de forma pública Explorado
Vulnerabilidade de falsificação do browser da Microsoft CVE-2017-0012 Sim Não
Vulnerabilidade de falsificação do navegador da Microsoft CVE-2017-0033 Sim Não
Vulnerabilidade de falsificação do Microsoft Edge CVE-2017-0069 Sim Não

Fatores atenuantes

A Microsoft não identificou fatores atenuantes para essas vulnerabilidades.

Soluções alternativas

A Microsoft não identificou soluções alternativas para essas vulnerabilidades.

Vulnerabilidade de corrupção de memória de navegadores da Microsoft CVE-2017-0037

Existe uma vulnerabilidade de execução remota de código quando o Microsoft Edge acessa indevidamente objetos na memória. A vulnerabilidade pode corromper a memória que permite a um invasor executar um código arbitrário no contexto do usuário atual.

Um invasor pode hospedar um site especialmente criado para explorar a vulnerabilidade por meio do Microsoft Edge e convencer um usuário a exibir o site. O atacante pode tirar proveito de sites comprometidos e sites que aceitem ou hospedem conteúdo fornecido pelo usuário ou anúncios adicionando conteúdo especialmente criado que pode explorar esta vulnerabilidade. No entanto, em todos os casos, o atacante não tem como forçar os usuários a exibir o conteúdo controlado pelo atacante. Em vez disso, um invasor teria que convencer os usuários a realizar uma ação, geralmente na forma de atrativos em uma mensagem de email ou instantânea, ou induzindo-os a abrir um anexo enviado por email.

Para efetuar a execução de código completa, um adversário também precisa combinar essa vulnerabilidade com outras explorações. Um invasor que tenha conseguido combinar várias vulnerabilidades pode criar uma cadeia de explorações pode obter os mesmos direitos do usuário atual. Se o usuário atual estiver conectado com direitos de usuário administrativo, o invasor poderá assumir o controle do sistema afetado. O invasor poderá instalar programas; exibir, alterar ou excluir dados; ou criar novas contas com direitos totais de usuário.

A atualização aborda a vulnerabilidade modificando a maneira como o Microsoft Edge manipula objetos na memória.

A tabela a seguir contém um link para a entrada padrão da vulnerabilidade na lista Vulnerabilidades e exposições comuns:

Título da vulnerabilidade Número da CVE Divulgadas de forma pública Explorado
Vulnerabilidade de corrupção de memória do navegador da Microsoft CVE-2017-0037 Sim Não

Fatores atenuantes

A Microsoft não identificou fatores atenuantes para essa vulnerabilidade.

Soluções alternativas

A Microsoft não identificou soluções alternativas para essa vulnerabilidade.

Vulnerabilidade de corrupção de memória de PDF da Microsoft - CVE 2017-0023

Existe uma vulnerabilidade de execução remota de código quando a Biblioteca de PDFs do Microsoft Windows manipula incorretamente os objetos na memória. A vulnerabilidade pode corromper a memória de modo a permitir que um invasor execute código arbitrário no contexto do usuário atual. Um invasor que tenha conseguido explorar as vulnerabilidades pode obter os mesmos direitos que o usuário atual. Se o usuário atual estiver conectado com direitos de usuário administrativo, o invasor poderá assumir o controle do sistema afetado. O invasor poderá instalar programas; exibir, alterar ou excluir dados; ou criar novas contas com direitos totais de usuário.

Para explorar a vulnerabilidade em sistemas Windows 10 com o Microsoft Edge definido como navegador padrão, o invasor pode hospedar um site especialmente criado que contém o conteúdo em PDF mal-intencionados e, em seguida, convencer os usuários a visualizarem esse site. Ele também pode tirar proveito de sites da Web comprometidos ou que aceitam ou hospedam anúncios ou conteúdo fornecido pelo usuário, adicionando a eles conteúdo em PDF especialmente criado. Apenas sistemas Windows 10 com o Microsoft Edge definido como navegador padrão podem ser comprometidos pela simples visualização de um site. Os navegadores de todos os outros sistemas operacionais afetados não renderizam automaticamente o conteúdo em PDF e, portanto, um invasor não tem como forçar os usuários a visualizarem o conteúdo controlado por ele. Em vez disso, ele precisa convencer os usuários a abrirem um documento PDF especialmente criado, geralmente por meio de atrativos em um email, uma mensagem instantânea ou um anexo de email.

A atualização resolve a vulnerabilidade, modificando a forma como os sistemas afetados manipulam objetos na memória.

A tabela a seguir contém links para a entrada padrão de cada vulnerabilidade na lista Vulnerabilidades e exposições comuns:

Título da vulnerabilidade Número de CVE Divulgadas de forma pública Explorado
Vulnerabilidade de corrupção de memória de PDF da Microsoft CVE-2017-0023 Não Não

Fatores atenuantes

A Microsoft não identificou fatores atenuantes para essa vulnerabilidade.

Soluções alternativas

A Microsoft não identificou soluções alternativas para essa vulnerabilidade.

Várias vulnerabilidades de bypass de recurso de segurança do Microsoft Edge

Existem várias funcionalidades de bypass de recurso de segurança quando o Microsoft Edge não consegue aplicar corretamente a Política de Mesma Origem para elementos HTML presentes em outras janelas do navegador.

Um invasor pode enganar o usuário a ponto de fazê-lo carregar uma página com conteúdo mal-intencionado. Para explorar essas vulnerabilidades, um invasor precisa enganar um usuário a ponto de fazê-lo carregar uma página ou visitar um site. A página também pode ser injetada em um site comprometido ou em uma rede de anúncios.

A atualização resolve essas vulnerabilidades, corrigindo como a Política de Mesma Origem verifica a existência de scripts que tentam manipular elementos HTML em outras janelas do navegador.

A tabela a seguir contém um link para a entrada padrão da vulnerabilidade na lista Vulnerabilidades e exposições comuns:

Título da vulnerabilidade Número da CVE Divulgadas de forma pública Explorado
Vulnerabilidade de bypass do recurso de segurança do Microsoft Edge CVE-2017-0066 Não Não
Vulnerabilidade de bypass do recurso de segurança do Microsoft Edge CVE-2017-0135 Não Não
Vulnerabilidade de bypass do recurso de segurança do Microsoft Edge CVE-2017-0140 Não Não

Fatores atenuantes

A Microsoft não identificou fatores atenuantes para essas vulnerabilidades.

Soluções alternativas

A Microsoft não identificou soluções alternativas para essas vulnerabilidades.

Vulnerabilidade de corrupção de memória do Microsoft Edge - CVE-2017-0034

Existe uma vulnerabilidade de execução remota de código quando o Microsoft Edge acessa indevidamente objetos na memória. A vulnerabilidade pode corromper a memória de modo a permitir que um invasor execute código arbitrário no contexto do usuário atual. Um invasor que tenha conseguido explorar as vulnerabilidades pode obter os mesmos direitos que o usuário atual. Se o usuário atual estiver conectado com direitos de usuário administrativo, o invasor poderá assumir o controle do sistema afetado. O invasor poderá instalar programas; exibir, alterar ou excluir dados; ou criar novas contas com direitos totais de usuário.

Um invasor pode hospedar um site especialmente criado para explorar a vulnerabilidade por meio do Microsoft Edge e convencer um usuário a exibir o site. O atacante pode tirar proveito de sites comprometidos e sites que aceitem ou hospedem conteúdo fornecido pelo usuário ou anúncios adicionando conteúdo especialmente criado que pode explorar esta vulnerabilidade. No entanto, em todos os casos, o atacante não tem como forçar os usuários a exibir o conteúdo controlado pelo atacante. Em vez disso, um invasor teria que convencer os usuários a realizarem uma ação, geralmente por meio de atrativos em um email ou em uma mensagem instantânea, ou induzindo-os a abrir um anexo enviado por email.

A atualização aborda a vulnerabilidade modificando a maneira como o Microsoft Edge manipula objetos na memória.

A tabela a seguir contém um link para a entrada padrão da vulnerabilidade na lista Vulnerabilidades e exposições comuns:

Título da vulnerabilidade Número da CVE Divulgadas de forma pública Explorado
Vulnerabilidade de corrupção de memória do Microsoft Edge CVE-2017-0034 Não Não

Fatores atenuantes

A Microsoft não identificou fatores atenuantes para a vulnerabilidade.

Soluções alternativas

A Microsoft não identificou soluções alternativas para a vulnerabilidade.

Implantação da atualização de segurança

Para obter informações sobre a implementação de atualizações de segurança, consulte o artigo da Base de Dados de Conhecimento Microsoft mencionado aqui no Resumo executivo.

Agradecimentos

A Microsoft reconhece os esforços dos membros da comunidade de segurança que nos ajudam a proteger os consumidores graças à divulgação responsável de vulnerabilidades. Consulte Agradecimentos para obter mais informações.

Aviso de isenção de responsabilidade

As informações fornecidas na Base de Dados de Conhecimento Microsoft são apresentadas "no estado em que se encontram", sem garantia de qualquer tipo. A Microsoft se isenta de todas as garantias, expressas ou implícitas, inclusive as garantias de comercialização e adequação a um propósito específico. Em hipótese alguma a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, inclusive danos diretos, indiretos, incidentais, consequenciais, danos por lucros cessantes ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido alertados da possibilidade dos referidos danos. Como alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou indiretos, a limitação acima pode não ser aplicável a você.

Revisões

  • V1.0 (14 de março de 2017): Boletim publicado.
  • V2.0 (8 de agosto de 2017): Para abordar o CVE-2017-0071 de maneira abrangente, a Microsoft lançou as atualizações de segurança de julho para todas as versões do Windows 10. Observe que o Windows 10 para sistemas de 32 bits, o Windows 10 para sistemas baseados em x64, o Windows 10 Versão 1703 para sistemas de 32 bits e o Windows 10 Versão 1703 para sistemas baseados em x64 foram adicionados à tabela de Produtos Afetados, pois também são afetados por essa vulnerabilidade. A Microsoft recomenda que os clientes que ainda não fizeram isso instalem as atualizações de segurança de julho de 2017 para ficarem totalmente protegidos contra essa vulnerabilidade.

Página gerada em 2017-08-02 09:24-07:00.