Modelo do MSRC ppDocument

Boletim de Segurança da Microsoft MS15-045 - Crítico

Vulnerabilidade no Windows Journal pode permitir a execução remota de código (3046002)

Publicado em: 12.05.15

Versão: 1.0

Sinopse

Esta atualização de segurança elimina vulnerabilidades no Microsoft Windows. As vulnerabilidades podem permitir a execução remota de código se um usuário abrir um arquivo do Diário especialmente criado. Os usuários cujas contas estão configuradas para ter menos direitos de usuário podem ser menos afetados do que os usuários que têm direitos de administrador.

Esta atualização de segurança foi classificada como Crítica para todas as edições com suporte do Windows Vista, Windows Server 2008 (excluindo as edições Itanium), Windows 7, Windows Server 2008 R2 (excluindo as edições Itanium), Windows 8, Windows Server 2012, Windows RT, Windows 8.1, Windows Server 2012 R2 e Windows RT 8.1. Para obter mais informações, consulte a seção Software Afetado.

A atualização de segurança aborda as vulnerabilidades, modificando a maneira como o Diário do Windows analisa arquivos do Diário. Para obter mais informações sobre as vulnerabilidades, consulte a seção Informações sobre vulnerabilidade.

Para obter mais informações sobre essa atualização, consulte o artigo 3046002 da Base de Dados de Conhecimento da Microsoft.

Software Afetado

As seguinte versões ou edições de software foram afetadas. As versões ou edições que não estão listadas já passaram de seu ciclo de vida do suporte ou não foram afetadas. Para determinar o ciclo de vida do suporte para sua versão ou edição de software, visite o site Ciclo de vida do suporte da Microsoft

**Sistema operacional** **Componente** **Impacto máximo à segurança** **Avaliação de gravidade agregada** **Atualizações substituídas**
**Windows Vista**
[Windows Vista Service Pack 2](http://www.microsoft.com/downloads/details.aspx?familyid=72584734-eea8-4f1b-a7e2-32d591d069d2) (3046002) Diário do Windows Execução de código remota Crítico 2971850 no [MS14-038](https://technet.microsoft.com/pt-br/library/security/ms14-038)
[Windows Vista x64 Edition Service Pack 2](http://www.microsoft.com/downloads/details.aspx?familyid=17e38be2-e5e2-41b0-9e1e-c216e3b36c6a) (3046002) Diário do Windows Execução de código remota Crítico 2971850 no [MS14-038](https://technet.microsoft.com/pt-br/library/security/ms14-038)
**Windows Server 2008**
[Windows Server 2008 para sistemas de 32 bits Service Pack 2](http://www.microsoft.com/downloads/details.aspx?familyid=23b7e977-f77f-4603-ad1c-19a0b33a5a75)[1] (3046002) Diário do Windows Execução de código remota Crítico 2971850 no [MS14-038](https://technet.microsoft.com/pt-br/library/security/ms14-038)
[Windows Server 2008 para sistemas x64 Service Pack 2](http://www.microsoft.com/downloads/details.aspx?familyid=58ee189d-2d25-40c8-9709-21b0a3e8a160)[1] (3046002) Diário do Windows Execução de código remota Crítico 2971850 no [MS14-038](https://technet.microsoft.com/pt-br/library/security/ms14-038)
**Windows 7**
[Windows 7 para sistemas de 32 bits Service Pack 1](http://www.microsoft.com/downloads/details.aspx?familyid=5eddd68f-aa12-426d-aa13-a0b24efa79fa) (3046002) Diário do Windows Execução de código remota Crítico 2971850 no [MS14-038](https://technet.microsoft.com/pt-br/library/security/ms14-038)
[Windows 7 para Sistemas baseados em x64 Service Pack 1](http://www.microsoft.com/downloads/details.aspx?familyid=2a1cf1ef-49cd-424d-83d6-69f0ff7fff06) (3046002) Diário do Windows Execução de código remota Crítico 2971850 no [MS14-038](https://technet.microsoft.com/pt-br/library/security/ms14-038)
**Windows Server 2008 R2**
[Windows Server 2008 R2 para sistemas x64 Service Pack 1](http://www.microsoft.com/downloads/details.aspx?familyid=c3f6c7b4-315d-4271-a713-6f51dfbb9d61)[1] (3046002) Diário do Windows Execução de código remota Crítico 2971850 no [MS14-038](https://technet.microsoft.com/pt-br/library/security/ms14-038)
**Windows 8 e Windows 8.1**
[Windows 8 para sistemas de 32 bits](http://www.microsoft.com/downloads/details.aspx?familyid=1007b5e1-5f60-41ab-8e38-b54a40094789) (3046002) Diário do Windows Execução de código remota Crítico 2971850 no [MS14-038](https://technet.microsoft.com/pt-br/library/security/ms14-038)
[Windows 8 para sistemas baseados em x64](http://www.microsoft.com/downloads/details.aspx?familyid=7f117093-a683-493d-9808-1bd2e55dea33) (3046002) Diário do Windows Execução de código remota Crítico 2971850 no [MS14-038](https://technet.microsoft.com/pt-br/library/security/ms14-038)
[Windows 8.1 para sistemas de 32 bits](http://www.microsoft.com/downloads/details.aspx?familyid=a564ce07-7ee5-4b8a-83a1-93ebf0116202) (3046002) Diário do Windows Execução de código remota Crítico 2971850 e 2974286 na [MS14-038](https://technet.microsoft.com/pt-br/library/security/ms14-038)
[Windows 8.1 para sistemas baseados em x64](http://www.microsoft.com/downloads/details.aspx?familyid=50969636-03c7-4729-a0bc-aa07f7abd5dd) (3046002) Diário do Windows Execução de código remota Crítico 2971850 e 2974286 na [MS14-038](https://technet.microsoft.com/pt-br/library/security/ms14-038)
**Windows Server 2012 e Windows Server 2012 R2**
[Windows Server 2012](http://www.microsoft.com/downloads/details.aspx?familyid=dd0b8dfc-574f-41c2-aadf-5347383c1d7b)[1] (3046002) Diário do Windows Execução de código remota Crítico 2971850 no [MS14-038](https://technet.microsoft.com/pt-br/library/security/ms14-038)
[Windows Server 2012 R2](http://www.microsoft.com/downloads/details.aspx?familyid=43e07d94-b38a-4e01-afda-39cd73213244)[1] (3046002) Diário do Windows Execução de código remota Crítico 2971850 e 2974286 na [MS14-038](https://technet.microsoft.com/pt-br/library/security/ms14-038)
**Windows RT e Windows RT 8.1**
Windows RT[2] (3046002) Diário do Windows Execução de código remota Crítico 2971850 no [MS14-038](https://technet.microsoft.com/pt-br/library/security/ms14-038)
Windows RT 8.1[2] (3046002) Diário do Windows Execução de código remota Crítico 2971850 no [MS14-038](https://technet.microsoft.com/pt-br/library/security/ms14-038)
**Observação** A atualização está disponível para o Windows Technical Preview e o Windows Server Technical Preview. Recomenda-se que os consumidores que estiverem executando esses sistemas operacionais apliquem a atualização, que está disponível no Windows Update.

[1]Os servidores não são afetados em suas configurações padrão; no entanto, dependendo do sistema operacional, eles são afetados se a Experiência Desktop estiver instalada ou os recursos da Experiência Desktop estiverem habilitados. Consulte as Perguntas frequentes de atualização neste boletim para obter mais informações.

[2]A atualização está disponível apenas no Windows Update.

Perguntas frequentes de atualização

Estou executando um dos sistemas operacionais na tabela de Softwares afetados. Por que a atualização do Diário não está sendo oferecida?
A atualização é oferecida apenas aos sistemas em que o diário do Windows está instalado.

Observação Em edições com suporte do Windows Server 2008, o Diário do Windows não é instalado por padrão. Nesse sistema operacional, ele é instalado quando o Experiência Desktop está ativado. Como resultado, a atualização do Windows Journal aplica-se somente se o recurso Experiência Desktop estiver ativada.

Observação Em edições com suporte do Windows Server 2008 R2, Windows Server 2012 e Windows Server 2012 R2, o Diário do Windows não é instalado por padrão. Nesses sistemas operacionais, ele é instalado quando o de tinta e manuscrito serviços está ativado. Como resultado, a atualização do Windows Journal aplica-se somente se o serviços de tinta e manuscrito estiver ativado.

Classificação de gravidade e Identificadores de vulnerabilidade

As classificações de gravidade a seguir pressupõem o impacto máximo possível da vulnerabilidade. Para obter informações referentes à probabilidade de exploração da vulnerabilidade em relação à sua classificação de gravidade e ao impacto à segurança, dentro de 30 dias a partir do lançamento deste boletim de segurança, consulte o Índice de exploração no resumo de boletins de maio.

**A Classificação de gravidade de vulnerabilidade e Impacto máximo de segurança por software afetado**
**Software Afetado** [**Vulnerabilidade de execução remota de código no Windows Journal - CVE-2015-1675**](http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2015-1675) [**Vulnerabilidade de execução remota de código no Windows Journal - CVE-2015-1695**](http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2015-1695) [**Vulnerabilidade de execução remota de código no Windows Journal - CVE-2015-1696**](http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2015-1696) [**Vulnerabilidade de execução remota de código no Windows Journal - CVE-2015-1697**](http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2015-1697) [**Vulnerabilidade de execução remota de código no Windows Journal - CVE-2015-1698**](http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2015-1698) [**Vulnerabilidade de execução remota de código no Windows Journal - CVE-2015-1699**](http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2015-1699) **Avaliação de gravidade agregada**
**Windows Vista**
Windows Vista Service Pack 2 (3046002) **Crítico**  Execução de código remota **Crítico**  Execução de código remota **Crítico**  Execução de código remota **Crítico**  Execução de código remota **Crítico**  Execução de código remota **Crítico**  Execução de código remota **Crítico**
Windows Vista x64 Edition Service Pack 2 (3046002) **Crítico**  Execução de código remota **Crítico**  Execução de código remota **Crítico**  Execução de código remota **Crítico**  Execução de código remota **Crítico**  Execução de código remota **Crítico**  Execução de código remota **Crítico**
**Windows Server 2008**
Windows Server 2008 para sistemas de 32 bits Service Pack 2 (3046002) **Crítico**  Execução de código remota **Crítico**  Execução de código remota **Crítico**  Execução de código remota **Crítico**  Execução de código remota **Crítico**  Execução de código remota **Crítico**  Execução de código remota **Crítico**
Windows Server 2008 Service Pack 2 para sistemas baseados em x64 (3046002) **Crítico**  Execução de código remota **Crítico**  Execução de código remota **Crítico**  Execução de código remota **Crítico**  Execução de código remota **Crítico**  Execução de código remota **Crítico**  Execução de código remota **Crítico**
**Windows 7**
Windows 7 para sistemas de 32 bits Service Pack 1 (3046002) **Crítico**  Execução de código remota **Crítico**  Execução de código remota **Crítico**  Execução de código remota **Crítico**  Execução de código remota **Crítico**  Execução de código remota **Crítico**  Execução de código remota **Crítico**
Windows 7 para Sistemas baseados em x64 Service Pack 1 (3046002) **Crítico**  Execução de código remota **Crítico**  Execução de código remota **Crítico**  Execução de código remota **Crítico**  Execução de código remota **Crítico**  Execução de código remota **Crítico**  Execução de código remota **Crítico**
**Windows Server 2008 R2**
Windows Server 2008 R2 para Sistemas baseados em x64 Service Pack 1 (3046002) **Crítico**  Execução de código remota **Crítico**  Execução de código remota **Crítico**  Execução de código remota **Crítico**  Execução de código remota **Crítico**  Execução de código remota **Crítico**  Execução de código remota **Crítico**
**Windows 8 e Windows 8.1**
Windows 8 para sistemas de 32 bits (3046002) **Crítico**  Execução de código remota **Crítico**  Execução de código remota **Crítico**  Execução de código remota **Crítico**  Execução de código remota **Crítico**  Execução de código remota **Crítico**  Execução de código remota **Crítico**
Windows 8 para sistemas baseados em x64 (3046002) **Crítico**  Execução de código remota **Crítico**  Execução de código remota **Crítico**  Execução de código remota **Crítico**  Execução de código remota **Crítico**  Execução de código remota **Crítico**  Execução de código remota **Crítico**
Windows 8.1 para sistemas de 32 bits (3046002) **Crítico**  Execução de código remota **Crítico**  Execução de código remota **Crítico**  Execução de código remota **Crítico**  Execução de código remota **Crítico**  Execução de código remota **Crítico**  Execução de código remota **Crítico**
Windows 8.1 para sistemas baseados em x64 (3046002) **Crítico**  Execução de código remota **Crítico**  Execução de código remota **Crítico**  Execução de código remota **Crítico**  Execução de código remota **Crítico**  Execução de código remota **Crítico**  Execução de código remota **Crítico**
**Windows Server 2012 e Windows Server 2012 R2**
Windows Server 2012 (3046002) **Crítico**  Execução de código remota **Crítico**  Execução de código remota **Crítico**  Execução de código remota **Crítico**  Execução de código remota **Crítico**  Execução de código remota **Crítico**  Execução de código remota **Crítico**
Windows Server 2012 R2 (3046002) **Crítico**  Execução de código remota **Crítico**  Execução de código remota **Crítico**  Execução de código remota **Crítico**  Execução de código remota **Crítico**  Execução de código remota **Crítico**  Execução de código remota **Crítico**
**Windows RT e Windows RT 8.1**
Windows RT (3046002) **Crítico**  Execução de código remota **Crítico**  Execução de código remota **Crítico**  Execução de código remota **Crítico**  Execução de código remota **Crítico**  Execução de código remota **Crítico**  Execução de código remota **Crítico**
Windows RT 8.1 (3046002) **Crítico**  Execução de código remota **Crítico**  Execução de código remota **Crítico**  Execução de código remota **Crítico**  Execução de código remota **Crítico**  Execução de código remota **Crítico**  Execução de código remota **Crítico**

Informações sobre a vulnerabilidade

Múltiplas vulnerabilidades de execução remota de código no Diário do Windows

Existe uma vulnerabilidade de execução remota de código no Microsoft Windows quando um arquivo do Diário especialmente criado é aberto no Diário do Windows. O invasor que explorar essa vulnerabilidade com êxito poderá fazer com que um código arbitrário seja executado no contexto do usuário atual. Se um usuário estiver conectado com direitos administrativos, o atacante poderá assumir o controle total do sistema afetado. O atacante poderá instalar programas; exibir, alterar ou excluir dados; ou criar novas contas com direitos totais de usuário. Os usuários cujas contas estão configuradas para ter menos direitos de usuário podem ser menos afetados do que os usuários que têm direitos de administrador.

Para um ataque ser bem sucedido, essa vulnerabilidade requer que um usuário abra um arquivo do Diário especialmente criado com uma versão afetada do Diário do Windows. Em um cenário de ataque por email, o invasor pode explorar a vulnerabilidade, enviando para o usuário um arquivo do Journal especialmente criado e convencendo-o a abrir o arquivo. A atualização de segurança aborda a vulnerabilidade, modificando a maneira como o Diário do Windows analisa arquivos do Diário.

A tabela a seguir contém links para a entrada padrão para cada vulnerabilidade na lista Vulnerabilidades Comuns e Exposições:

Título da vulnerabilidade Número de CVE Divulgadas de forma pública Explorado
Vulnerabilidade de execução remota de código no Windows Journal CVE-2015-1675 Sim Não
Vulnerabilidade de execução remota de código no Windows Journal CVE-2015-1695 Sim Não
Vulnerabilidade de execução remota de código no Windows Journal CVE-2015-1696 Não Não
Vulnerabilidade de execução remota de código no Windows Journal CVE-2015-1697 Não Não
Vulnerabilidade de execução remota de código no Windows Journal CVE-2015-1698 Não Não
Vulnerabilidade de execução remota de código no Windows Journal CVE-2015-1699 Não Não
### Fatores atenuantes A Microsoft não identificou quaisquer [fatores atenuantes](https://technet.microsoft.com/pt-br/library/security/dn848375.aspx) para essa vulnerabilidade. ### Soluções alternativas As seguintes [soluções alternativas](https://technet.microsoft.com/pt-br/library/security/dn848375.aspx) podem ser úteis em seu caso: - **Não abra arquivos do Windows Journal (.jnt) recebidos de fontes não confiáveis ou recebidos inesperadamente de fontes confiáveis.** Não abra arquivos do Windows Journal (.jnt) recebidos de fontes não confiáveis ou recebidos inesperadamente de fontes confiáveis. Essa vulnerabilidade pode ser explorada quando o usuário abre um arquivo especialmente criado.
  • Remover a associação de tipo de arquivo. jnt

    Método interativo: Observação O uso incorreto do Editor do Registro pode causar problemas sérios que podem exigir a reinstalação do sistema operacional. A Microsoft não garante que os problemas resultantes do uso incorreto do Editor do Registro possam ser solucionados. Você é responsável pelo uso do Editor do Registro. Para obter informações sobre como editar o Registro, consulte o tópico da Ajuda "Alterar chaves e valores" do Editor do Registro (Regedit.exe) ou exiba os tópicos da Ajuda "Adicionar e excluir informações no Registro" e "Editar informações do Registro" no Regedt32.exe.

    Para remover a associação de tipo de arquivo. jnt usando o método interativo, siga estas etapas:

    1. Clique em Iniciar, em Executar, digite regedit e clique em OK.
    2. Expanda HKEY_CLASSES_ROOT, clique em jntfile e, em seguida, clique no menu Arquivo e selecione Exportar.
    3. Na caixa de diálogo Exportar Arquivo de Registro, digite jntfile HKCR file association registry backup.reg e clique em Salvar. Isto criará um backup desta chave do Registro na pasta Meus Documentos por padrão.
    4. Pressione a tecla Delete no teclado para excluir a chave do Registro. Quando solicitado para excluir o valor do Registro, clique em Sim.
    5. Expanda HKEY_CURRENT_USER, Software, Microsoft, Windows, CurrentVersion, Explorer e, em seguida, FileExts.
    6. Clique em .jnt e clique no menu Arquivo e selecione Exportar.
    7. Na caixa de diálogo Exportar Arquivo de Registro , digite .jntHKCU file association registry backup.reg e clique em Salvar. Isto criará um backup desta chave do Registro na pasta Meus Documentos por padrão.
    8. Pressione a tecla Delete no teclado para excluir a chave do Registro. Quando solicitado para excluir o valor do Registro, clique em Sim.

    Usando um script gerenciado:
    Observação O uso incorreto do Editor do Registro pode causar problemas sérios que podem exigir a reinstalação do sistema operacional. A Microsoft não garante que os problemas resultantes do uso incorreto do Editor do Registro possam ser solucionados. Você é responsável pelo uso do Editor do Registro. Para obter informações sobre como editar o Registro, consulte o tópico da Ajuda "Alterar chaves e valores" do Editor do Registro (Regedit.exe) ou exiba os tópicos da Ajuda "Adicionar e excluir informações no Registro" e "Editar informações do Registro" no Regedt32.exe.

    Para remover a associação de tipo de arquivo. jnt usando interativo, gerenciados script, execute estas etapas:

    1. Primeiro faça uma cópia de backup das chaves do Registro a partir de um script de implantação gerenciado usando os seguintes comandos:

          Regedit.exe /e jntfile_HKCR_registry_backup.reg HKEY_CLASSES_ROOT\jntfile  
          Regedit.exe /e jnt_HKCU_registry_backup.reg HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.jnt
      
    2. Em seguida, salve o seguinte em um arquivo com a extensão (ou seja, Delete_jnt_file_association.reg):

          Windows Registry Editor Versão 5.00  
          [-HKEY_CLASSES_ROOT\jntfile]  
          [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.jnt]
      
    3. Execute o script de Registro criado na etapa 2 na máquina de destino com o seguinte comando:

          Regedit.exe /s Delete_jnt_file_association.reg
      

    Impacto da solução alternativa. Duas vezes em um arquivo. jnt não iniciar journal.exe.

    Como desfazer a solução alternativa:

    Restaure as chaves do Registro usando Editor de Registro para restaurar as configurações salvas nos arquivos .REG.

  • Remover o diário do Windows desabilitando o recurso do Windows que instala

    Nos sistemas do Windows Vista e Windows 7 systems, siga estas etapas:

    1. Clique em Iniciar, em Painel de Controle e em Programas.
    2. Clique em Ativar ou desativar recursos do Windows e, em seguida, desmarque Componentes Opcionais do Tablet PC (sistemas do Windows Vista) ou Componentes do Tablet PC (sistemas do Windows 7).
    3. Clique em OK.

    Impacto da solução alternativa. o diário do Windows é removido do sistema.

    Como desfazer a solução alternativa:

    Para reinstalar o diário do Windows no Windows Vista ou sistemas Windows 7, siga estas etapas:

    1. Clique em Iniciar, em Painel de Controle e em Programas.
    2. Clique em Ativar ou desativar recursos do Windows e, em seguida, marque Componentes Opcionais do Tablet PC (sistemas do Windows Vista) ou Componentes do Tablet PC (sistemas do Windows 7).
    3. Clique em OK.

     

  • Negar acesso a Journal.exe

    Para negar acesso a Journal.exe, digite os seguintes comandos em um prompt de comando administrativo:

        >TAKEOWN.exe /f "%ProgramFiles%\Windows Journal\Journal.exe"   
        > icacls.exe "%ProgramFiles%\Windows Journal\Journal.exe" /deny everyone:(F)
    

    Impacto da solução alternativa. o diário do Windows torna-se inacessível.

    Como desfazer a solução alternativa:

    Para restabelecer o acesso a Journal.exe, digite os seguintes comandos em um prompt de comando administrativo:

        >icacls.exe "%ProgramFiles%\Windows Journal\Journal.exe" /Remove:d todos  
    

Implantação de atualização de segurança

Para obter informações sobre Implementação de atualizações de segurança, consulte o artigo da Base de Dados de Conhecimento da Microsoft mencionado aqui no Sinopse.

Agradecimentos

A Microsoft reconhece os esforços dos membros da comunidade de segurança que nos ajudam a proteger os consumidores graças à divulgação responsável de vulnerabilidades. Consulte Agradecimentos para obter mais informações.

Aviso de isenção de responsabilidade

As informações fornecidas na Base de Dados de Conhecimento da Microsoft são apresentadas "no estado em que se encontram", sem garantia de qualquer tipo. A Microsoft se isenta de todas as garantias, expressas ou implícitas, inclusive as garantias de comercialização e adequação a um propósito específico. Em hipótese alguma a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, inclusive danos diretos, indiretos, incidentais, consequenciais, danos por lucros cessantes ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido alertados da possibilidade dos referidos danos. Como alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou indiretos, a limitação acima pode não ser aplicável a você.

Revisões

  • V1.0 (12.05.15): Boletim publicado.

Página gerada em 06.05.15 11:14Z-07:00.