Modelo do MSRC ppDocument

Boletim de Segurança da Microsoft MS15-049 - Importante

Vulnerabilidade no Silverlight pode permitir a elevação de privilégio (3058985)

Publicado em: 12.05.2015 | Atualizado em: 23.06.2015

Versão: 1.1

Sinopse

Esta atualização de segurança resolve uma vulnerabilidade no Microsoft Silverlight. A vulnerabilidade pode permitir elevação de privilégio se um aplicativo do Silverlight especialmente criado estiver executando em um sistema afetado. Para explorar a vulnerabilidade um atacante precisa primeiro fazer logon no sistema ou convencer um usuário conectado a executar um aplicativo especialmente criado.

Esta atualização de segurança foi classificada como Importante para Microsoft Silverlight 5 e Microsoft Silverlight 5 Developer Runtime quando instalada em Mac ou em todas as versões com suporte do Microsoft Windows. Para obter mais informações, consulte a seção Software Afetado.

A atualização de segurança aborda a vulnerabilidade adicionando verificações adicionais para garantir que processos sem privilégios elevados são limitados a executar em um nível de integridade baixo (permissões muito limitadas). Para obter mais informações sobre a vulnerabilidade, consulte a seção Informações sobre vulnerabilidade.

Para obter mais informações sobre essa atualização, consulte o artigo 3058985 da Base de Dados de Conhecimento da Microsoft.

Software Afetado

As seguinte versões ou edições de software foram afetadas. As versões ou edições que não estão listadas já passaram de seu ciclo de vida do suporte ou não foram afetadas. Para determinar o ciclo de vida do suporte para sua versão ou edição de software, visite o site Ciclo de vida do suporte da Microsoft

**Sistema operacional** **Impacto máximo à segurança** **Avaliação de gravidade agregada** **Atualizações substituídas**
**Software**
[Microsoft Silverlight 5](http://www.microsoft.com/downloads/details.aspx?familyid=b0ccca17-8ad7-440c-8213-665e7b7a4a5d) quando instalado no Mac (3056819) Importante Elevação de privilégio 2932677 no [MS14-014](https://technet.microsoft.com/pt-br/library/security/ms14-014)
[Microsoft Silverlight 5 Developer Runtime](http://www.microsoft.com/downloads/details.aspx?familyid=b0ccca17-8ad7-440c-8213-665e7b7a4a5d) quando instalado no Mac (3056819) Importante Elevação de privilégio 2932677 no [MS14-014](https://technet.microsoft.com/pt-br/library/security/ms14-014)
[Microsoft Silverlight 5](http://www.microsoft.com/downloads/details.aspx?familyid=b0ccca17-8ad7-440c-8213-665e7b7a4a5d) quando instalado em todas as versões com suporte de clientes Microsoft Windows (3056819) Importante Elevação de privilégio 2932677 no [MS14-014](https://technet.microsoft.com/pt-br/library/security/ms14-014)
[Microsoft Silverlight 5 Developer Runtime](http://www.microsoft.com/downloads/details.aspx?familyid=b0ccca17-8ad7-440c-8213-665e7b7a4a5d) quando instalado em todas as versões com suporte de clientes Microsoft Windows (3056819) Importante Elevação de privilégio 2932677 no [MS14-014](https://technet.microsoft.com/pt-br/library/security/ms14-014)
[Microsoft Silverlight 5](http://www.microsoft.com/downloads/details.aspx?familyid=b0ccca17-8ad7-440c-8213-665e7b7a4a5d) quando instalado em todas as versões com suporte de servidores Microsoft Windows (3056819) Importante Elevação de privilégio 2932677 no [MS14-014](https://technet.microsoft.com/pt-br/library/security/ms14-014)
[Microsoft Silverlight 5 Developer Runtime](http://www.microsoft.com/downloads/details.aspx?familyid=b0ccca17-8ad7-440c-8213-665e7b7a4a5d) quando instalado em todas as versões com suporte de servidores Microsoft Windows (3056819) Importante Elevação de privilégio 2932677 no [MS14-014](https://technet.microsoft.com/pt-br/library/security/ms14-014)

Classificação de gravidade e Identificadores de vulnerabilidade

As classificações de gravidade a seguir pressupõem o impacto máximo possível da vulnerabilidade. Para obter informações referentes à probabilidade de exploração da vulnerabilidade em relação à sua classificação de gravidade e ao impacto à segurança, dentro de 30 dias a partir do lançamento deste boletim de segurança, consulte o Índice de exploração no resumo de boletins de maio.

**A Classificação de gravidade de vulnerabilidade e Impacto máximo de segurança por software afetado**
**Software Afetado** [**Vulnerabilidade do aplicativo fora do navegador do Microsoft Silverlight - CVE-2015-1715**](http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2015-1715) **Avaliação de gravidade agregada**
Microsoft Silverlight 5 quando instalado no Mac (3056819) **Importante**  Elevação de privilégio **Importante**
Microsoft Silverlight 5 Developer Runtime quando instalado no Mac (3056819) **Importante**  Elevação de privilégio **Importante**
Microsoft Silverlight 5 quando instalado em todas as versões com suporte de clientes Microsoft Windows (3056819) **Importante**  Elevação de privilégio **Importante**
Microsoft Silverlight 5 Developer Runtime quando instalado em todas as versões com suporte de clientes Microsoft Windows (3056819) **Importante**  Elevação de privilégio **Importante**
Microsoft Silverlight 5 quando instalado em todas as versões com suporte de servidores Microsoft Windows (3056819) **Importante**  Elevação de privilégio **Importante**
Microsoft Silverlight 5 Developer Runtime quando instalado em todas as versões com suporte de servidores Microsoft Windows (3056819) **Importante**  Elevação de privilégio **Importante**

Perguntas frequentes de atualização

Por que os mesmos arquivos de atualização neste boletim também são indicados no boletim GDI+?
Embora este boletim e o boletim GDI+ foram lançados simultaneamente, cada um aborda vulnerabilidades de segurança diferentes, as atualizações de segurança para cada um foram consolidadas, por isso a ocorrência de arquivos de atualização idênticos presentes nos dois boletins.

Observe que os pacotes de atualização idênticos estipulados em vários boletins não precisam ser instalados mais de uma vez.

Que navegadores da Web oferecem suporte aos aplicativos Microsoft Silverlight?
Para executar aplicativos Microsoft Silverlight, a maioria dos navegadores da Web, inclusive o Microsoft Internet Explorer, exige que o Microsoft Silverlight seja instalado e que o plug-in correspondente seja habilitado. Para obter mais informações sobre o Microsoft Silverlight, acesse o site oficial, Microsoft Silverlight. Por favor, consulte a documentação de seu navegador para obter mais informações sobre como desabilitar ou remover plug-ins.

Quais versões do Microsoft Silverlight 5 são afetadas pela vulnerabilidade?
O Microsoft Silverlight compilação 5.1.40416.00, que é a compilação atual do Microsoft Silverlight na data do primeiro lançamento deste boletim, trata da vulnerabilidade e não é afetado. Compilações do Microsoft Silverlight anteriores à versão 5.1.40416.00 são afetadas.

Como sei qual versão e compilação do Microsoft Silverlight está instalada no momento em meu sistema?
Se o Microsoft Silverlight já estiver instalado no seu computador, você poderá visitar a página Get Microsoft Silverlight, que indicará a versão e a compilação do Silverlight atualmente instaladas em seu sistema. Outra opção é usar o recurso Gerenciar Complementos das versões atuais do Microsoft Internet Explorer para determinar as informações de versão e compilação atualmente instaladas no sistema.

Você também pode verificar manualmente o número da versão do sllauncher.exe localizado no diretório "%ProgramFiles%\Microsoft Silverlight" (nos sistemas Microsoft Windows x86) ou no diretório "%ProgramFiles(x86)%\Microsoft Silverlight" (nos sistemas Microsoft Windows x64).

Além disso, no Microsoft Windows, as informações de versão e compilação da versão atualmente instalada do Microsoft Silverlight podem ser obtidas no Registro, em [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Silverlight]:Version nos sistemas Microsoft Windows x86, ou [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Silverlight]:Version nos sistemas Microsoft Windows x64.

No Apple Mac OS, as informações de versão e compilação da versão atualmente instalada do Microsoft Silverlight podem ser obtidas da seguinte maneira:

  1. Abra o Localizador
  2. Selecione a unidade do sistema e vá para a pasta Internet Plug-ins - Biblioteca
  3. Clique com o botão direito do mouse no arquivo Silverlight.Plugin (se seu mouse tiver apenas um botão, pressione a tecla Ctrl enquanto clica no arquivo) para abrir o menu de contexto. Em seguida, clique em Mostrar Conteúdo do Pacote.
  4. Dentro da pasta de conteúdo, localize o arquivo info.plist e abra-o com um editor. Ele conterá uma entrada como a seguinte, que indica o número da versão: SilverlightVersion 5.1.40416.00

A versão instalada com esta atualização de segurança para o Microsoft Silverlight 5 é 5.1.40416.00. Se o número da versão do Microsoft Silverlight 5 é maior ou igual a este número de versão, o seu sistema não está vulnerável.

Como atualizo minha versão do Microsoft Silverlight?
O recurso de atualização automática do Microsoft Silverlight ajuda a garantir que sua instalação do Microsoft Silverlight seja mantida atualizada com a última versão do Microsoft Silverlight, da funcionalidade do Microsoft Silverlight e dos recursos de segurança. Para obter mais informações sobre o recurso de atualização automática do Microsoft Silverlight, consulte Microsoft Silverlight Updater. Usuários do Windows que desabilitaram o recurso de atualização automática do Microsoft Silverlight podem se inscrever no Microsoft Update para obter a versão mais recente do Microsoft Silverlight, ou baixar a versão mais recente do Microsoft Silverlight manualmente usando o link de download na tabela Softwares afetados na seção anterior, Softwares afetados e não afetados. Para obter informações sobre como implantar o Microsoft Silverlight em um ambiente empresarial, consulte o guia de implantação empresarial do Silverlight.

Isto atualizará minha versão do Silverlight?
A atualização 3056819 atualizar versões anteriores do Silverlight para a versão 5.1.40416.00 do Silverlight. A Microsoft recomenda a atualização para ficar protegido contra a vulnerabilidade descrita neste boletim.

Onde eu posso encontrar informações adicionais sobre o ciclo de vida de produto do Silverlight?
Para informações sobre o ciclo de vida específico ao Silverlight, consulte a Política do ciclo de vida de suporte do Microsoft Silverlight.

Informações sobre a vulnerabilidade

Vulnerabilidade do aplicativo fora do navegador do Microsoft Silverlight - CVE-2015-1715

Existe uma vulnerabilidade de elevação de privilégio no Microsoft Silverlight que é causada quando o Silverlight permite incorretamente aplicativos que são destinados a executar em um nível de integridade baixo (permissões muito limitadas) a ser executado em um nível de integridade médio (permissões do usuário atual) ou mais elevado. Para explorar esta vulnerabilidade um atacante precisa primeiro fazer logon no sistema ou convencer um usuário conectado a executar um aplicativo do Silverlight especialmente criado.

Um atacante que explorar com êxito esta vulnerabilidade pode executar um código arbitrário com o mesmo nível de permissão que o usuário conectado atualmente ou mais elevado. O atacante poderá instalar programas; exibir, alterar ou excluir dados; ou criar novas contas com direitos totais de usuário. A atualização aborda a vulnerabilidade adicionando verificações adicionais para garantir que processos sem privilégios elevados são limitados a executar em um nível de integridade baixo (permissões muito limitadas).

A Microsoft recebeu informações sobre esta vulnerabilidade por meio da divulgação coordenada de vulnerabilidades. Quando esse boletim de segurança foi originalmente emitido, a Microsoft ainda não tinha recebido informações que indicassem que a vulnerabilidade tinha sido usada de forma pública para atacar clientes.

Fatores atenuantes

A Microsoft não identificou quaisquer fatores atenuantes para essa vulnerabilidade.

Soluções alternativas

As seguintes soluções alternativas podem ser úteis em seu caso:

  • Impedir temporariamente que o Microsoft Silverlight seja executado no Internet Explorer

    1. No Internet Explorer, vá para o menu Ferramentas e clique em Opções da Internet.
    2. Na janela Opções da Internet, clique na guia Programas e clique em Gerenciar complementos.
    3. Na lista Barra de ferramentas e Extensões, localize e selecione Microsoft Silverlight e clique em Desabilitar.

     

  • Impedir temporariamente que o Microsoft Silverlight seja executado no Mozilla Firefox

    1. No Mozilla Firefox, vá para o menu Ferramentas e clique em Complementos.
    2. Na janela Complementos, clique na guia Plugins .
    3. Localize o plugin Silverlight e clique em Desabilitar.

     

  • Impedir temporariamente que o Microsoft Silverlight seja executado no Google Chrome

    1. No Google Chrome, digite about:plugins na barra de endereços.
    2. Na janela resultante, localize o plugin do Silverlight e desabilite-o.

     

  • Remova o Silverlight.Configuration.exe do ElevationPolicy do IE

    Aviso A utilização incorreta do Editor de Registro poderá provocar problemas graves que poderão forçar a reinstalação do sistema operacional. A Microsoft não garante a solução de problemas resultantes do uso incorreto do Editor do Registro. Você é responsável pelo uso do Editor do Registro.

    1. Abra o Editor do Registro.
    2. Expanda HKEY_LOCAL_MACHINE > SOFTWARE > Microsoft > Internet Explorer > Low Rights > ElevationPolicy
    3. Selecione {003B91A6-61E3-4591-891D-01E94C8CB11E}
    4. Clique no menu Arquivo e, em seguida, clique em Exportar.
    5. Na janela Exportar Arquivo de Registro, digite silverlight.configuration.exe_backup.reg e clique em Salvar.
    6. Clique no menu Arquivo, clique em Excluir e em Sim.
    7. Feche o Editor do Registro.
    8. Desconecte-se e conecte-se novamente, ou reinicie o computador.

    Como desfazer a solução alternativa.

    1. Abra o Editor do Registro.
    2. Clique no menu Arquivo e, em seguida, clique em Importar.
    3. Na janela Importar Arquivo de Registro, clique em silverlight.configuration.exe_backup.reg e clique em Abrir.
    4. Feche o Editor do Registro.
    5. Desconecte-se e conecte-se novamente, ou reinicie o computador.

Implantação de atualização de segurança

Para obter informações sobre Implementação de atualizações de segurança, consulte o artigo da Base de Dados de Conhecimento da Microsoft mencionado aqui no Sinopse.

Agradecimentos

A Microsoft reconhece os esforços dos membros da comunidade de segurança que nos ajudam a proteger os consumidores graças à divulgação responsável de vulnerabilidades. Consulte Agradecimentos para obter mais informações.

Aviso de isenção de responsabilidade

As informações fornecidas na Base de Dados de Conhecimento da Microsoft são apresentadas "no estado em que se encontram", sem garantia de qualquer tipo. A Microsoft se isenta de todas as garantias, expressas ou implícitas, inclusive as garantias de comercialização e adequação a um propósito específico. Em hipótese alguma a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, inclusive danos diretos, indiretos, incidentais, consequenciais, danos por lucros cessantes ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido alertados da possibilidade dos referidos danos. Como alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou indiretos, a limitação acima pode não ser aplicável a você.

Revisões

  • V1.0 (12.05.15): Boletim publicado.
  • V1.1 (23.06.2015): Boletim revisado para anunciar uma alteração de detecção na atualização 3056819 para o Microsoft Silverlight 5. Isto é uma alteração somente de detecção. Os clientes que já atualizaram seus sistemas com êxito não precisam fazer mais nada.

Página gerada em 16.07.15 12:46Z-07:00.