Modelo do MSRC ppDocument

Boletim de Segurança da Microsoft MS14-059 - Importante

Vulnerabilidade no ASP.NET MVC pode permitir o desvio de recurso de segurança (2990942)

Publicado em: 14 de outubro de 2014

Versão: 1.0

Informações Gerais

Sinopse

Esta atualização de segurança elimina uma vulnerabilidade divulgada publicamente no ASP.NET MVC. A vulnerabilidade pode permitir o desvio de recurso de segurança se um invasor convencer um usuário a clicar em um link especialmente criado ou a visitar uma página da Web com conteúdo especialmente criado e projetado para explorar a vulnerabilidade. Em um cenário de ataque com base na Web, o invasor pode hospedar um site especialmente projetado para explorar a vulnerabilidade através de um navegador da Web e então convencer um usuário a visualizar o site. O invasor também pode tirar proveito dos sites comprometidos e de sites que aceitam ou hospedam o conteúdo fornecido pelo usuário ou anúncios. Esses sites da Web podem ter conteúdo especialmente criado para explorar essa vulnerabilidade. Em todos os casos, entretanto, o invasor não tem como forçar os usuários a exibir o conteúdo controlado pelo invasor. Em vez disso, o invasor precisa convencer os usuários a executar uma ação, normalmente clicando em um link em uma mensagem de email ou em uma mensagem do Instant Messenger que os leve ao site do invasor ou abrindo um anexo enviado por email.

Esta atualização de segurança é classificada como Importante para ASP.NET MVC 2, ASP.NET MVC 3, ASP.NET MVC 4, ASP.NET MVC 5 e APS.NET MVC 5.1. Para obter mais informações, consulte a seção Softwares afetados deste boletim.

A atualização de segurança elimina a vulnerabilidade corrigindo a forma como o ASP.NET MVC lida com a codificação de entrada. Para obter mais informações sobre a vulnerabilidade, consulte a subseção Perguntas frequentes (FAQ) para a vulnerabilidade específica mais adiante neste boletim.

Recomendação. A Microsoft recomenda que os clientes instalem esta atualização de segurança assim que possível. Em alguns casos, clientes com atualização automática habilitada não precisarão tomar nenhuma providência, porque esta atualização de segurança será baixada e instalada automaticamente. A atualização será oferecida a sistemas com atualização automática habilitada se qualquer um dos dois critérios a seguir forem atendidos:

• MVC 2.0, MVC 3.0, ou MVC 4.0 estiverem instalados, ou
• O sistema estiver executando o Microsoft .NET Framework 4.5.1 e um aplicativo com o componente afetado (System.Web.Mvc.dll for ASP.NET MVC 2.0, 3.0, 4.0, 5.0 e 5.1) ter sido previamente carregado

Os clientes com atualização automática desabilitada cujos sistemas cumpram quaisquer um dos critérios também podem obter a atualização verificando se há alguma disponível por meio do serviço do Microsoft Update. Os clientes cujos sistemas não cumpram quaisquer um dos critérios (ou os clientes que não tenham certeza se é esse o caso) devem baixar e instalar a atualização manualmente usando os links do Centro de Download da Microsoft apresentados na tabela Softwares afetados neste boletim. Para obter informações sobre opções de configuração específicas em atualizações automáticas, veja o Artigo 294871 da Base de Conhecimento Microsoft. Para clientes que não têm a atualização automática habilitada, as etapas em Ativar ou desativar a atualização automática poderão ser usadas para ativar a atualização automática.

Os clientes que executam o MVC 3.0, MVC 4.0, MVC 5.0 ou MVC 5.1 também têm a opção de implantar manualmente o pacote atualizado NuGet, como detalhado na seção Implantação de atualização de segurança neste boletim. Observe que os clientes sem controle de seus servidores que precisem fazer correções em seus aplicativo precisarão reimplementar seu aplicativo depois de baixar e instalar o pacote atualizado NuGet. Para obter mais informações sobre o suporte de serviço do .NET NuGet, consulte Suporte do .NET 4.5.1 a atualizações de segurança das bibliotecas do .NET NuGet.

Artigo da Base de Conhecimento Microsoft

• Artigo da Base de Conhecimento Microsoft: 2990942
• Informações sobre o arquivo: Sim
• Hashes SHA1/SHA2: Sim
• Problemas conhecidos: Nenhuma 

Softwares afetados

As seguinte versões ou edições de software foram afetadas. As versões ou edições que não estão listadas já passaram de seu ciclo de vida do suporte ou não foram afetadas. Para determinar o ciclo de vida do suporte para sua versão ou edição de software, visite o site Política do Ciclo de Vida do ASP.NET.

Softwares afetados 

Ferramentas para Desenvolvedores	Impacto máximo à segurança	Avaliação de gravidade agregada	Atualizações substituídas
ASP.NET MVC 2.0 (2993939)	Desvio de recurso de segurança	Importante	Nenhuma
ASP.NET MVC 3.0 (2993937)	Desvio de recurso de segurança	Importante	Nenhuma
ASP.NET MVC 4.0 (2993928)	Desvio de recurso de segurança	Importante	Nenhuma
ASP.NET MVC 5.0 (2992080)	Desvio de recurso de segurança	Importante	Nenhuma
ASP.NET MVC 5.1 (2994397)	Desvio de recurso de segurança	Importante	Nenhuma

  Perguntas frequentes de atualização -----------------------------------

O que é ASP.NET MVC? 
O ASP.NET MVC (Model View Controller) é um conjunto de ferramentas baseado em padrões que constrói sites dinâmico que permitem uma separação clara de assuntos e proporciona aos clientes o controle total sobre markup para um desenvolvimento ágil e satisfatório. O ASP.NET MVC inclui muitos recursos que permitem um desenvolvimento rápido e fácil de usar em conjunto com TDD, criando aplicativos sofisticados que empregam os mais recentes padrões da Web. Para obter mais informações, consulte Conheça o ASP.NET MVC.

A quem a atualização automática será oferecida? 
A atualização será oferecida a sistemas com atualização automática habilitada se qualquer um dos dois critérios a seguir forem atendidos:

• MVC 2.0, MVC 3.0, ou MVC 4.0 estiverem instalados, ou
• O sistema estiver executando o Microsoft .NET Framework 4.5.1 e um aplicativo com o componente afetado (System.Web.Mvc.dll for ASP.NET MVC 2.0, 3.0, 4.0, 5.0 e 5.1) ter sido previamente carregado

Os clientes com atualização automática desabilitada cujos sistemas cumpram quaisquer um dos critérios também podem obter a atualização verificando se há alguma disponível por meio do serviço do Microsoft Update. Os clientes cujos sistemas não cumpram quaisquer um dos critérios (ou os clientes que não tenham certeza se é esse o caso) devem baixar e instalar a atualização manualmente usando os links do Centro de Download da Microsoft apresentados na tabela Softwares afetados neste boletim. Para obter informações sobre opções de configuração específicas em atualizações automáticas, veja o Artigo 294871 da Base de Conhecimento Microsoft. Para clientes que não têm a atualização automática habilitada, as etapas em Ativar ou desativar a atualização automática poderão ser usadas para ativar a atualização automática.

Os clientes que executam o MVC 3.0, MVC 4.0, MVC 5.0 ou MVC 5.1 também têm a opção de implantar manualmente o pacote atualizado NuGet, como detalhado na seção Implantação de atualização de segurança neste boletim. Observe que os clientes sem controle de seus servidores que precisem fazer correções em seus aplicativo precisarão reimplementar seu aplicativo depois de baixar e instalar o pacote atualizado NuGet. Para obter mais informações sobre o suporte de serviço do .NET NuGet, consulte Suporte do .NET 4.5.1 a atualizações de segurança das bibliotecas do .NET NuGet.

Como posso determinar qual versão do ASP.NET MVC está instalada em meu sistema? 
Para o MVC 4.0, MVC 5.0 ou MVC 5.1, você deve ter implantado o binário afetado (System.Web.MVC.dll) com seu aplicativo. Verifique a pasta Bin do aplicativo para ver se há uma versão mais recente do binário. Para MVC 2.0, MVC 3.0 ou MVC 4.0, consulte o item Adicionar ou Remover Programas do painel de controle para saber a versão do MVC instalado.

Nomes em Adicionar/Remover Programas

Microsoft ASP.NET MVC 2

Microsoft ASP.NET MVC 3

Microsoft ASP.NET MVC 4 Runtime

**Tenho que habilitar o Microsoft Update em meu computador/servidor para obter esta atualização?**  Não. Se você não quiser habilitar o Microsoft Update em seu sistema, você pode baixar a atualização diretamente do Centro de Download da Microsoft (consulte o artigo da Base de Conhecimento: [2990942](http://support.microsoft.com/kb/2990942))) ou você poderá atualizar os pacotes NuGet para a versão segura (consulte a seção **Implantação de atualização de segurança** deste boletim) e então reimplemente o aplicativo no servidor. **O que a atualização faz no sistema e como é o aplicativo MVC é afetado?**  A atualização MSI instala o conjunto corrigido (System.Web.Mvc.dll) no GAC. Desta maneira, as versões vulneráveis do conjunto (System.Web.Mvc.dll) que foram implantadas com aplicativos executados no servidor são substituídas pela versão no GAC, que será a versão segura. Para MVC 3.0 e MVC 4.0, é possível instalar o produto completo no servidor em que a versão vulnerável do System.Web.Mvc.dll está instalada no GAC. Para lidar com esse problema, a versão do conjunto foi incrementada na versão corrigida e um conjunto de diretiva do publisher acompanhante também foi instalado para redirecionar as versões anteriores do conjunto que foram implantadas com os aplicativos.  **Devo me preocupar sobre um possível impacto negativo desta atualização sobre a funcionalidade do site?**  Não. Esta atualização não tem impacto negativo na funcionalidade do site. No entanto, em circunstâncias raras, quando um desenvolvedor tiver usado a função Afetar e codificado manualmente a saída em HTML, o usuário talvez visualize caracteres duplamente codificados. Por exemplo, “<” talvez seja exibido como “<”. Isto pode ser corrigido pelo desenvolvedor, removendo a etapa de codificação manual. Esse problema não afeta funcionalidades do site; é apenas um artefato visual. **O MVC 3.0 RTM está instalado no meu sistema e, depois de instalar a atualização, não consigo mais criar um novo projeto no Visual Studio 2010, como posso corrigir isso?**   Os modelos do ASP.NET MVC 3.0 para o Visual Studio 2010 contam com conjuntos que estão instalados na pasta Reference Assemblies. Uma vez que a versão atualizada do conjunto para o MVC 3.0 tiver sido incrementada, modelos não funcionarão mais. Para resolver esse problema, instale a atualização de ferramenta do MVC 3.0.1 para o Visual Studio 2010. **Instalei a atualização e agora pretendo reimplementar meus aplicativos com uma versão mais recente do ASP.NET MVC; há problemas com esse plano de ação?**  Não há problemas. Quando você implementar um aplicativo com uma versão mais recente do System.Web.Mvc.dll do que a existente no GAC, a versão do conjunto que é implementado com o aplicativo irá então prevalecer. **Uso uma versão mais antiga do software discutido neste boletim de segurança. O que devo fazer?**  Os softwares afetados listados neste boletim foram testados para determinar quais edições são afetadas. Outras versões passaram seu ciclo de vida de suporte. Para obter mais informações sobre o ciclo de vida de suporte do ASP.NET, visite o site [Diretivas do ciclo de vida de suporte do ASP.NET](http://www.asp.net/support). Os clientes que possuem versões anteriores do software devem priorizar a migração para as versões com suporte, a fim de evitar uma possível exposição a vulnerabilidades. Para determinar o ciclo de vida do suporte para sua versão de software, consulte [Selecione um Produto para Obter Informações do Ciclo de Vida](http://go.microsoft.com/fwlink/?linkid=169555). Para obter mais informações sobre service packs para essas versões de software, consulte [Política de Suporte do Ciclo de Vida do Service Pack](http://go.microsoft.com/fwlink/?linkid=89213). Os clientes que precisarem de suporte adicional para software mais antigo deverão entrar em contato com o representante da equipe de contas da Microsoft, o gerente técnico da conta ou o representante do parceiro Microsoft apropriado para obter opções de suporte personalizadas. Os clientes sem um contrato Alliance, Premier ou Authorized podem entrar em contato com o escritório de vendas local da Microsoft. Para obter informações de contato, consulte o site de [Informações internacionais da Microsoft](http://go.microsoft.com/fwlink/?linkid=33329), selecione o país para visualizar uma lista de números de telefone. Ao ligar, peça para falar com o gerente de vendas local de Suporte Premier. Para obter mais informações, consulte as [Perguntas Frequentes sobre a Política do Ciclo de Vida do Suporte da Microsoft](http://go.microsoft.com/fwlink/?linkid=169557). Classificação de gravidade e Identificadores de vulnerabilidade ---------------------------------------------------------------

As classificações de gravidade a seguir pressupõem o impacto máximo possível da vulnerabilidade. Para obter informações referentes à probabilidade de exploração da vulnerabilidade em relação à sua classificação de gravidade e ao impacto à segurança, em até 30 dias a partir do lançamento deste boletim de segurança, consulte o Índice de exploração no http://technet.microsoft.com/pt-br/security/cc998259.aspx de outubro. Para obter mais informações, consulte o Índice de exploração da Microsoft.

**A Classificação de gravidade de vulnerabilidade e Impacto máximo de segurança por software afetado**
**Softwares afetados**	**Vulnerabilidade no MVC XSS - CVE-2014-4075**	**Avaliação de gravidade agregada**
**Ferramentas para Desenvolvedores**
ASP.NET MVC 2.0 (2993939)	**Importante**  Desvio de recurso de segurança	**Importante**
ASP.NET MVC 3.0 (2993937)	**Importante**  Desvio de recurso de segurança	**Importante**
ASP.NET MVC 4.0 (2993928)	**Importante**  Desvio de recurso de segurança	**Importante**
ASP.NET MVC 5.0 (2992080)	**Importante**  Desvio de recurso de segurança	**Importante**
ASP.NET MVC 5.1 (2994397)	**Importante**  Desvio de recurso de segurança	**Importante**

 

Vulnerabilidade no MVC XSS - CVE-2014-4075

Uma vulnerabilidade entre scripts (XSS) existe no SQL ASP.NET MVC e pode permitir que um invasor injete um script do lado cliente no navegador da Web do usuário. O script poderia falsificar conteúdo, divulgar informações ou realizar todas as ações que o usuário pode realizar no site afetado, em nome do usuário visado.

Para exibir esta vulnerabilidade como uma entrada padrão na lista Common Vulnerabilities and Exposures, consulte CVE-2014-4075.

Fatores atenuantes

A atenuação refere-se a uma configuração, configuração comum ou prática recomendada geral, existindo num estado padrão, que possa reduzir a gravidade de exploração de uma vulnerabilidade. Os fatores de atenuação a seguir podem ser úteis em sua situação:

• Em um cenário de ataque com base na Web, o invasor pode hospedar um site especialmente projetado para explorar esta vulnerabilidade através de um navegador da Web e então convencer um usuário a visualizar o site. O invasor também pode tirar proveito dos sites comprometidos e de sites que aceitam ou hospedam o conteúdo fornecido pelo usuário ou anúncios. Esses sites podem ter conteúdo especialmente criado para explorar essa vulnerabilidade. Em todos os casos, entretanto, o invasor não tem como forçar os usuários a exibir o conteúdo controlado pelo invasor. Em vez disso, o invasor precisa convencer os usuários a executar uma ação, normalmente clicando em um link em uma mensagem de email ou em uma mensagem do Instant Messenger que os leve ao site do invasor ou abrindo um anexo enviado por email.
• O Filtro de XSS no Internet Explorer 8, Internet Explorer 9, Internet Explorer 10 e Internet Explorer 11 evita este ataque a usuários ao navegar para um site na zona da Internet. O Filtro de XSS no Internet Explorer 8, Internet Explorer 9, Internet Explorer 10 e Internet Explorer 11 é ativado por padrão na zona da Internet, mas não é ativado por padrão na Zona da Intranet.

Soluções alternativas

A solução alternativa refere-se a uma configuração ou alteração de configuração que não corrige a vulnerabilidade subjacente mas que ajudaria a bloquear vetores de ataque conhecidos antes de aplicar a atualização. A Microsoft testou as soluções alternativas e estados a seguir como parte do cenário que implica se uma solução alternativa reduziria funcionalidade:

• Defina as configurações de zona de segurança da Internet e da intranet local como “Alta” para bloquear controles ActiveX e scripts ativos nessas zonas

  Você pode ajudar na proteção contra a exploração dessa vulnerabilidade alterando suas configurações, para que a zona de segurança da Internet bloqueie controles ActiveX e scripts ativos. É possível fazer isso configurando a segurança do navegador como Alta.

  Para aumentar o nível de segurança da navegação no Internet Explorer, siga estas etapas:

  1. No menu Ferramentas do Internet Explorer, clique em Opções da Internet.
  2. Na caixa de diálogo Opções da Internet, clique na guia Segurança e, em seguida, clique em Internet.
  3. Em Nível de segurança para esta zona, mova o controle deslizante para Alto. Isso define o nível de segurança para todos os sites visitados como Alto.
  4. Clique em Intranet local.
  5. Em Nível de segurança para esta zona, mova o controle deslizante para Alto. Isso define o nível de segurança para todos os sites visitados como Alto.
  6. Clique em OK para aceitar as alterações e retornar ao Internet Explorer.

  Observação Se o controle deslizante não estiver visível, clique em Nível padrão e então mova o controle deslizante para Alto.

  Observação A configuração do nível como Alto pode fazer com que alguns sites não funcionem corretamente. Se você encontrar dificuldades ao usar um site após alterar a configuração, mas tiver certeza de que o site é seguro, é possível adicionar esse site à lista de sites confiáveis. Isso permite que o site funcione corretamente, mesmo com a configuração de segurança definida como Alta.

  Impacto da solução alternativa. Há efeitos colaterais ao bloqueio de controles ActiveX e scripts ativos. Muitos sites que não estão na Internet ou na intranet usam controles ActiveX e scripts ativos para fornecer funcionalidade adicional. Por exemplo, um site de comércio eletrônico ou bancário online pode usar controles ActiveX para fornecer menus, formulários de pedidos ou até mesmo extratos de contas. O bloqueio de controles ActiveX ou scripts ativos é uma configuração global que afeta todos os sites da Internet e da intranet. Se você não quiser bloquear controles ActiveX e scripts ativos para esses sites, use os passos descritos em “Adicione sites confiáveis à zona Sites confiáveis do Internet Explorer”.

  Adicione sites confiáveis à zona Sites confiáveis do Internet Explorer

  Depois de definir o Internet Explorer para bloquear controles ActiveX e scripts ativos na zona da Internet e da Intranet local, você pode adicionar sites confiáveis à zona de Sites confiáveis do Internet Explorer. Isso permitirá que você continue usando os sites confiáveis exatamente como faz atualmente, enquanto ajuda a se proteger contra ataques em sites não confiáveis. É recomendável adicionar somente sites nos quais você confia à zona de Sites confiáveis.

  Para isso, execute as seguintes etapas:

  1. No Internet Explorer, clique em Ferramentas, clique em Opções da Internet e, em seguida, clique na guia Segurança.
  2. Na caixa Selecione uma zona de conteúdo da Web para especificar suas configurações de segurança, clique em Sites Confiáveis e, em seguida, clique em Sites.
  3. Se desejar adicionar sites que não requeiram um canal criptografado, clique para desmarcar a caixa de diálogo Exigir verificação do servidor (https:) para todos os sites desta zona.
  4. Na caixa Adicionar este site à zona, digite a URL de um site em que confia e, em seguida, clique em Adicionar.
  5. Repita essas etapas para cada site que você deseja adicionar à zona.
  6. Clique em OK duas vezes para aceitar as alterações e retornar ao Internet Explorer.

  Observação Adicione os sites que você tem certeza de que não realizarão ações mal-intencionadas em seu sistema. Dois em particular que você pode desejar adicionar são *.windowsupdate.microsoft.com e *.update.microsoft.com. Estes são os sites que hospedam a atualização, e é preciso ter um controle ActiveX para instalar a atualização.

Perguntas frequentes

Qual é o escopo da vulnerabilidade? 
É uma vulnerabilidade entre scripts (XSS) que pode levar a uma elevação de privilégio.

O que provoca a vulnerabilidade? 
A vulnerabilidade é causada quando o ASP.NET MVC falha em codificar adequadamente entradas.

Qual componente é afetado pela vulnerabilidade?  
System.Web.Mvc.dll é o componente afetado pela vulnerabilidade.

O que é script entre sites (XSS)?  
O Script entre sites (XSS) é uma vulnerabilidade de classe de segurança que pode permitir que um invasor injete scripts na resposta a uma solicitação de página da Web. Este script é executado pelo aplicativo solicitante, geralmente um navegador da Web. O script pode falsificar conteúdo, divulgar informações ou efetuar todas as ações que o usuário pode realizar no site afetado, em nome do usuário visado.

Para que um invasor pode usar a vulnerabilidade? 
Um invasor que explorar a vulnerabilidade com êxito poderá injetar um script do lado do cliente na instância do Internet Explorer do usuário. O script poderia falsificar conteúdo, divulgar informações ou realizar todas as ações que o usuário pode realizar no site afetado, em nome do usuário visado.

De que forma o invasor pode explorar a vulnerabilidade? 
Em um cenário de invasão baseado na web, um invasor pode convencer o usuário a visitar uma página da web com conteúdo criado especificamente para explorar a vulnerabilidade.

Quais são os principais sistemas que correm riscos com a vulnerabilidade? 
Os servidores que executam versões afetadas do ASP.NET MVC correm riscos maiores com essa vulnerabilidade.

O que a atualização faz? 
A atualização elimina a vulnerabilidade corrigindo a forma como o ASP.NET MVC lida com a codificação de entrada.

Quando esse boletim de segurança foi lançado, essa vulnerabilidade já tinha sido divulgada publicamente? 
Sim. Essa vulnerabilidade foi divulgada publicamente. Ela recebeu o número CVE-2014-4075da lista Common Vulnerability and Exposure.

Quando este boletim de segurança foi lançado, a Microsoft havia recebido algum relatório informando que essa vulnerabilidade estava sendo explorada? 
Não. A Microsoft não recebeu nenhuma informação indicando que essa vulnerabilidade tinha sido usada publicamente para atacar clientes quando este boletim de segurança foi lançado pela primeira vez.

Orientação e ferramentas de detecção e implantação

Vários recursos estão disponíveis para ajudar administradores a implantar atualizações de segurança. 

• O MBSA (Microsoft Baseline Security Analyzer) permite aos administradores pesquisar, em sistemas locais e remotos, atualizações de segurança ausentes e problemas de configuração de segurança comuns. 
• O WSUS (Windows Server Update Services), SMS (Systems Management Server) e SCCM (System Center Configuration Manager) ajudam os administradores a distribuir as atualizações de segurança. 
• Os componentes do Avaliador de compatibilidade com atualizações, incluídos no Kit de ferramentas de compatibilidade de aplicativos, auxilia a otimizar os testes e a validação das atualizações do Windows com relação aos aplicativos instalados. 

Para informações sobre estas e outras ferramentas que estão disponíveis, consulte Ferramentas de segurança para profissionais de TI. 

Implantação de atualização de segurança

ASP.NET MVC 2.0

Tabela de referência

A tabela a seguir contém as informações de atualização de segurança desse software.

**Visão geral**	A atualização para o ASP.NET MVC 2.0 é fornecida por meio da atualização automática e também está disponível para instalação manual através do Centro de Download da Microsoft.
**Informações sobre instalação**
**Nome de arquivo do pacote DLC e link para download**	**AspNetMVC2.msi**
**Nome de arquivo do pacote NuGet**	Não Aplicável
**Procedimento de atualização de NuGet**	Não Aplicável
**Impacto**	Instalar esta atualização fará com que o IIS seja reinicializado.
**Requisito de reinicialização**	Em alguns casos, esta atualização não exige a reinicialização. Se os arquivos exigidos estiverem em uso, será necessária uma reinicialização. Se isso ocorrer, uma mensagem que aconselha a reinicialização será exibida.
**Informações sobre remoção**	Para remover esta atualização, você precisará para usar o item **Adicionar ou Remover** Programas no **Painel de Controle** para desinstalar todo o produto ASP.NET MVC 2 (Microsoft ASP.NET MVC 2) e então instalar a versão de produto anterior
**Informações da atualização**	Consulte o [Artigo 2993939 da Base de Dados de Conhecimento Microsoft](https://support.microsoft.com/kb/2993939)
**Verificação de instalação**	Use o item **Adicionar ou Remover** Programas no **Painel de Controle** e procure **Microsoft ASP.NET MVC2**.A versão instalada é 2.0.60926.0.

 

ASP.NET MVC 3.0

Tabela de referência

A tabela a seguir contém as informações de atualização de segurança desse software.

**Visão geral**	A atualização para o ASP.NET MVC 3.0 é fornecida por meio da atualização automática e também está disponível para instalação manual através do Centro de Download da Microsoft ou NuGet.
**Informações sobre instalação**
**Nome de arquivo do pacote DLC e link para download**	**AspNetMVC3.msi**
**Nome de arquivo do pacote NuGet**	**Microsoft.AspNet.Mvc.3.0.50813.1.nupkg**
**Procedimento de atualização de NuGet**	**Atualize seus pacotes de projeto do Visual Studio usando o NuGet, recompile seu aplicativo e implante** 1. Abra sua solução em Visual Studio. 2. No Gerenciador de soluções, clique com o botão direito do mouse no nó **Referências** e então clique em **Gerenciar pacotes de NuGet**. 3. Selecione a guia **Atualizações**. Uma lista de pacotes com atualizações aparece no painel de centro. 4. Selecione o pacote de atualização para sua versão do ASP.NET MVC e, então clique em **Atualizar**. 5. Compile e implante seu aplicativo Web. Para obter mais informações sobre gerenciamento de Pacotes de NuGet usando a caixa de diálogo de NuGet, consulte [Managing NuGet Packages Using the Dialog](http://docs.nuget.org/docs/start-here/managing-nuget-packages-using-the-dialog).
**Impacto**	Instalar esta atualização fará com que o IIS seja reinicializado.
**Requisito de reinicialização**	Em alguns casos, esta atualização não exige a reinicialização. Se os arquivos exigidos estiverem em uso, será necessária uma reinicialização. Se isso ocorrer, uma mensagem que aconselha a reinicialização será exibida.
**Informações sobre remoção**	Para remover esta atualização, você precisará para usar o item **Adicionar ou Remover** Programas no **Painel de Controle** para desinstalar todo o produto ASP.NET MVC 3 (Microsoft ASP.NET MVC 3) e então instalar a versão de produto anterior
**Informações da atualização**	Consulte o [Artigo 2993937 da Base de Dados de Conhecimento Microsoft](https://support.microsoft.com/kb/2993937)
**Verificação de instalação**	Use o item **Adicionar ou Remover** Programas no **Painel de Controle** e procure **Microsoft ASP.NET MVC 3**. A versão instalada é a 3.0.50813.0. Para a atualização do NuGet, a versão do arquivo do binário implementado é 3.0.50813.0.

 

ASP.NET MVC 4.0

Tabela de referência

A tabela a seguir contém as informações de atualização de segurança desse software.

**Visão geral**	A atualização para o ASP.NET MVC 4.0 é fornecida por meio da atualização automática e também está disponível para instalação manual através do Centro de Download da Microsoft ou NuGet.
**Informações sobre instalação**
**Nome de arquivo do pacote DLC e link para download**	**AspNetMVC4.msi**
**Nome de arquivo do pacote NuGet**	**Microsoft.AspNet.Mvc.4.0.40804.0.nupkg**
**Procedimento de atualização de NuGet**	**Atualize seus pacotes de projeto do Visual Studio usando o NuGet, recompile seu aplicativo e implante** 1. Abra sua solução em Visual Studio. 2. No Gerenciador de soluções, clique com o botão direito do mouse no nó **Referências** e então clique em **Gerenciar pacotes de NuGet**. 3. Selecione a guia **Atualizações**. Uma lista de pacotes com atualizações aparece no painel de centro. 4. Selecione o pacote de atualização para sua versão do ASP.NET MVC e, então clique em **Atualizar**. 5. Compile e implante seu aplicativo Web. Para obter mais informações sobre gerenciamento de Pacotes de NuGet usando a caixa de diálogo de NuGet, consulte [Managing NuGet Packages Using the Dialog](http://docs.nuget.org/docs/start-here/managing-nuget-packages-using-the-dialog).
**Impacto**	Instalar esta atualização fará com que o IIS seja reinicializado.
**Requisito de reinicialização**	Em alguns casos, esta atualização não exige a reinicialização. Se os arquivos exigidos estiverem em uso, será necessária uma reinicialização. Se isso ocorrer, uma mensagem que aconselha a reinicialização será exibida.
**Informações sobre remoção**	Para remover esta atualização, você precisará para usar o item **Adicionar ou Remover** Programas no **Painel de Controle** para desinstalar todo o produto ASP.NET MVC 4 (Microsoft ASP.NET MVC 4 Runtime) e então instalar a versão de produto anterior
**Informações da atualização**	Consulte o [Artigo 2993928 da Base de Dados de Conhecimento Microsoft](https://support.microsoft.com/kb/2993928)
**Verificação de instalação**	Use o item **Adicionar ou Remover** Programas no **Painel de Controle** e procure **Microsoft ASP.NET MVC 4 Runtime**. A versão instalada é a 4.0.40804.0. Para a atualização do NuGet, a versão do arquivo do binário implementado é a 4.0.40804.0.

 

ASP.NET MVC 5.0

Tabela de referência

A tabela a seguir contém as informações de atualização de segurança desse software.

**Visão geral**	A atualização para o ASP.NET MVC 5.0 está disponível para instalação manual através do Centro de Download da Microsoft ou NuGet. Esta atualização é um patch para o produto ASP.NET MVC 5.0.
**Informações sobre instalação**
**Nome de arquivo do pacote DLC e link para download**	**AspNetWebFxUpdate\_KB2992080.msi**
**Nome de arquivo do pacote NuGet**	**Microsoft.AspNet.Mvc.5.0.2.nupkg**
**Procedimento de atualização de NuGet**	**Atualize seus pacotes de projeto do Visual Studio usando o NuGet, recompile seu aplicativo e implante** 1. Abra sua solução em Visual Studio. 2. No Gerenciador de soluções, clique com o botão direito do mouse no nó **Referências** e então clique em **Gerenciar pacotes de NuGet**. 3. Selecione a guia **Atualizações**. Uma lista de pacotes com atualizações aparece no painel de centro. 4. Selecione o pacote de atualização para sua versão do ASP.NET MVC e, então clique em **Atualizar**. 5. Compile e implante seu aplicativo Web. Para obter mais informações sobre gerenciamento de Pacotes de NuGet usando a caixa de diálogo de NuGet, consulte [Managing NuGet Packages Using the Dialog](http://docs.nuget.org/docs/start-here/managing-nuget-packages-using-the-dialog).
**Impacto**	Instalar esta atualização fará com que o IIS seja reinicializado.
**Requisito de reinicialização**	Em alguns casos, esta atualização não exige a reinicialização. Se os arquivos exigidos estiverem em uso, será necessária uma reinicialização. Se isso ocorrer, uma mensagem que aconselha a reinicialização será exibida.
**Informações sobre remoção**	Use o item **Adicionar ou Remover Programas** no **Painel de Controle** e clique com o botão direito para remover a atualização. O nome da atualização mostrada será **Atualização de Segurança do Microsoft ASP.NET Web Frameworks 5.0 (KB2992080)**.
**Informações da atualização**	Consulte o [Artigo 2992080 da Base de Dados de Conhecimento Microsoft](https://support.microsoft.com/kb/2992080)
**Verificação de instalação**	Use o item **Adicionar ou Remover** Programas no **Painel de Controle** e procure **Atualização de Segurança do Microsoft ASP.NET Web Frameworks 5.0 (KB2992080)**. Para a atualização do NuGet, a versão do arquivo do binário implementado é a 5.0.20821.0.

 

ASP.NET MVC 5.1

Tabela de referência

A tabela a seguir contém as informações de atualização de segurança desse software.

**Visão geral**	A atualização para o ASP.NET MVC 5.1 está disponível para instalação manual através do Centro de Download da Microsoft ou NuGet. Esta atualização é um patch para o produto ASP.NET MVC 5.1.
**Informações sobre instalação**
**Nome de arquivo do pacote DLC e link para download**	**AspNetWebFxUpdate\_KB2994397.msi**
**Nome de arquivo do pacote NuGet**	**Microsoft.AspNet.Mvc.5.1.3.nupkg**
**Procedimento de atualização de NuGet**	**Atualize seus pacotes de projeto do Visual Studio usando o NuGet, recompile seu aplicativo e implante** 1. Abra sua solução em Visual Studio. 2. No Gerenciador de soluções, clique com o botão direito do mouse no nó **Referências** e então clique em **Gerenciar pacotes de NuGet**. 3. Selecione a guia **Atualizações**. Uma lista de pacotes com atualizações aparece no painel de centro. 4. Selecione o pacote de atualização para sua versão do ASP.NET MVC e, então clique em **Atualizar**. 5. Compile e implante seu aplicativo Web. Para obter mais informações sobre gerenciamento de Pacotes de NuGet usando a caixa de diálogo de NuGet, consulte [Managing NuGet Packages Using the Dialog](http://docs.nuget.org/docs/start-here/managing-nuget-packages-using-the-dialog).
**Impacto**	Instalar esta atualização fará com que o IIS seja reinicializado.
**Requisito de reinicialização**	Em alguns casos, esta atualização não exige a reinicialização. Se os arquivos exigidos estiverem em uso, será necessária uma reinicialização. Se isso ocorrer, uma mensagem que aconselha a reinicialização será exibida.
**Informações sobre remoção**	Use o item **Adicionar ou Remover Programas** no **Painel de Controle** e clique com o botão direito para remover a atualização. O nome da atualização mostrada será **Atualização de Segurança do Microsoft ASP.NET Web Frameworks 5.1 (KB2994397)**.
**Informações da atualização**	Consulte o [Artigo 2994397 da Base de Dados de Conhecimento Microsoft](https://support.microsoft.com/kb/2994397)
**Verificação de instalação**	Use o item **Adicionar ou Remover** Programas no **Painel de Controle** e procure **Atualização de Segurança do Microsoft ASP.NET Web Frameworks 5.1 (KB2994397)**. Para a atualização do NuGet, a versão do arquivo do binário implementado é a 5.1.20821.0.

 

Outras informações

Microsoft Active Protections Program (MAPP)

Para melhorar as proteções de segurança para os clientes, a Microsoft fornece informações sobre vulnerabilidades aos principais fornecedores de software de segurança antes do lançamento de cada atualização de segurança mensal. Assim, os fornecedores de software de segurança podem usar essas informações sobre vulnerabilidades para fornecer proteções atualizadas aos clientes por meio de seus softwares ou dispositivos de segurança, como antivírus, sistemas de detecção de invasões baseados em rede ou sistemas de prevenção de invasões baseados em host. Para determinar se os fornecedores de software de segurança estão disponibilizando proteções ativas, visite os sites de proteções ativas fornecidos pelos parceiros do programa, listados em Parceiros do Microsoft Active Protections Program (MAPP).

Suporte

Como obter ajuda e suporte para esta atualização de segurança

• Ajude a instalar atualizações: Suporte para Microsoft Update
• Soluções de segurança para profissionais de TI: Solução de problemas e suporte de segurança TechNet
• Ajuda a proteger seu computador Windows de vírus e malware: Central de segurança e solução contra vírus
• Suporte local de acordo com seu país: Suporte internacional

Aviso de isenção de responsabilidade

As informações fornecidas na Microsoft Knowledge Base são apresentadas "no estado em que se encontram", sem garantia de qualquer tipo. A Microsoft se isenta de todas as garantias, expressas ou implícitas, inclusive as garantias de comercialização e adequação a um propósito específico. Em hipótese alguma a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, inclusive danos diretos, indiretos, incidentais, consequenciais, danos por lucros cessantes ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido alertados da possibilidade dos referidos danos. Como alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou indiretos, a limitação acima pode não ser aplicável a você.

Revisões

• V1.0 (14 de outubro de 2014): Boletim publicado.

Página gerada em 15/10/2014 12:02Z-07:00.