Boletim de Segurança da Microsoft MS15-078 - Crítica

Vulnerabilidades no Driver de fonte da Microsoft podem permitir a execução remota de código (3079904) 

Publicado em: 20.07.2015

Versão: 1.0

Sinopse

Esta atualização de segurança resolve uma vulnerabilidade no Microsoft Windows. A vulnerabilidade pode permitir a execução remota do código se um usuário abrir um documento especialmente criado ou visitar uma página da Web não confiável que contém fontes TrueType incorporadas.

Esta atualização de segurança foi classificada como Crítico para todas as versões com suporte do Microsoft Windows. Para obter mais informações, consulte a seção Software Afetado.

A atualização aborda a vulnerabilidade corrigindo como a biblioteca do Windows Adobe Type Manager manipula as fontes OpenType. Para obter mais informações sobre a vulnerabilidade, consulte a seção Informações sobre vulnerabilidade. Para obter mais informações sobre essa atualização, consulte o artigo 3079904 da Base de Dados de Conhecimento da Microsoft.

Ações sugeridas. A maioria dos clientes tem o recurso de atualizações automáticas habilitado e não precisará tomar nenhuma providência porque a atualização será baixada e instalada automaticamente. Os clientes que não têm as atualizações automáticas habilitadas, ou que instalam atualizações manualmente, podem usar os links na seção Software afetado para baixar e instalar a atualização. Consulte o artigo 3079904 da Base de Dados de Conhecimento Microsoft para obter mais informações.

Software Afetado

As seguinte versões ou edições de software foram afetadas. As versões ou edições que não estão listadas já passaram de seu ciclo de vida do suporte ou não foram afetadas. Para determinar o ciclo de vida do suporte para sua versão ou edição de software, visite o site Ciclo de vida do suporte da Microsoft

**Sistema operacional** **Impacto máximo à segurança** **Avaliação de gravidade agregada** **Atualizações substituídas**\*
**Windows Vista**
[Windows Vista Service Pack 2](http://www.microsoft.com/pt-br/download/details.aspx?id=48173) (3079904) Execução remota de código Crítico 3077657 no [MS15-077](https://technet.microsoft.com/pt-br/library/security/ms15-077)
[Windows Vista x64 Edition Service Pack 2](http://www.microsoft.com/pt-br/download/details.aspx?id=48166) (3079904) Execução remota de código Crítico 3077657 no [MS15-077](https://technet.microsoft.com/pt-br/library/security/ms15-077)
**Windows Server 2008**
[Windows Server 2008 para sistemas de 32 bits Service Pack 2](http://www.microsoft.com/pt-br/download/details.aspx?id=48162) (3079904) Execução remota de código Crítico 3077657 no [MS15-077](https://technet.microsoft.com/pt-br/library/security/ms15-077)
[Windows Server 2008 Service Pack 2 para sistemas baseados em x64](http://www.microsoft.com/pt-br/download/details.aspx?id=48172) (3079904) Execução remota de código Crítico 3077657 no [MS15-077](https://technet.microsoft.com/pt-br/library/security/ms15-077)
[Windows Server 2008 para sistemas baseados em Itanium Service Pack 2](http://www.microsoft.com/downloads/details.aspx?familyid=05557fb5-0060-4d35-a7ce-634b27cb711e) (3079904) Execução remota de código Crítico 3077657 no [MS15-077](https://technet.microsoft.com/pt-br/library/security/ms15-077)
**Windows 7**
[Windows 7 para sistemas de 32 bits Service Pack 1](http://www.microsoft.com/pt-br/download/details.aspx?id=48169) (3079904) Execução remota de código Crítico 3077657 no [MS15-077](https://technet.microsoft.com/pt-br/library/security/ms15-077)
[Windows 7 para Sistemas baseados em x64 Service Pack 1](http://www.microsoft.com/pt-br/download/details.aspx?id=48165) (3079904) Execução remota de código Crítico 3077657 no [MS15-077](https://technet.microsoft.com/pt-br/library/security/ms15-077)
**Windows Server 2008 R2**
[Windows Server 2008 R2 para Sistemas baseados em x64 Service Pack 1](http://www.microsoft.com/pt-br/download/details.aspx?id=48176) (3079904) Execução remota de código Crítico 3077657 no [MS15-077](https://technet.microsoft.com/pt-br/library/security/ms15-077)
[Windows Server 2008 R2 Service Pack 1 para sistemas baseados em Itanium](http://www.microsoft.com/downloads/details.aspx?familyid=39ec0d18-8996-45bc-85e2-aa07b0520088) (3079904) Execução remota de código Crítico 3077657 no [MS15-077](https://technet.microsoft.com/pt-br/library/security/ms15-077)
**Windows 8 e Windows 8.1**
[Windows 8 para sistemas de 32 bits](http://www.microsoft.com/pt-br/download/details.aspx?id=48177) (3079904) Execução remota de código Crítico 3077657 no [MS15-077](https://technet.microsoft.com/pt-br/library/security/ms15-077)
[Windows 8 para sistemas baseados em x64](http://www.microsoft.com/pt-br/download/details.aspx?id=48174) (3079904) Execução remota de código Crítico 3077657 no [MS15-077](https://technet.microsoft.com/pt-br/library/security/ms15-077)
[Windows 8.1 para sistemas de 32 bits](http://www.microsoft.com/pt-br/download/details.aspx?id=48170) (3079904) Execução remota de código Crítico 3077657 no [MS15-077](https://technet.microsoft.com/pt-br/library/security/ms15-077)
[Windows 8.1 para sistemas baseados em x64](http://www.microsoft.com/pt-br/download/details.aspx?id=48175) (3079904) Execução remota de código Crítico 3077657 no [MS15-077](https://technet.microsoft.com/pt-br/library/security/ms15-077)
**Windows Server 2012 e Windows Server 2012 R2**
[Windows Server 2012](http://www.microsoft.com/pt-br/download/details.aspx?id=48168) (3079904) Execução remota de código Crítico 3077657 no [MS15-077](https://technet.microsoft.com/pt-br/library/security/ms15-077)
[Windows Server 2012 R2](http://www.microsoft.com/pt-br/download/details.aspx?id=48161) (3079904) Execução remota de código Crítico 3077657 no [MS15-077](https://technet.microsoft.com/pt-br/library/security/ms15-077)
**Windows RT e Windows RT 8.1**
Windows RT[1] (3079904) Execução remota de código Crítico 3077657 no [MS15-077](https://technet.microsoft.com/pt-br/library/security/ms15-077)
Windows RT 8.1[1] (3079904) Execução remota de código Crítico 3077657 no [MS15-077](https://technet.microsoft.com/pt-br/library/security/ms15-077)
**Opção de instalação Server Core**
[Windows Server 2008 Service Pack 2 para sistemas de 32 bits](http://www.microsoft.com/pt-br/download/details.aspx?id=48162) (instalação Server Core) (3079904) Execução remota de código Crítico 3077657 no [MS15-077](https://technet.microsoft.com/pt-br/library/security/ms15-077)
[Windows Server 2008 Service Pack 2 para sistemas baseados em x64](http://www.microsoft.com/pt-br/download/details.aspx?id=48172) (instalação Server Core) (3079904) Execução remota de código Crítico 3077657 no [MS15-077](https://technet.microsoft.com/pt-br/library/security/ms15-077)
[Windows Server 2008 R2 Service Pack 1 para sistemas baseados em x64](http://www.microsoft.com/pt-br/download/details.aspx?id=48176) (instalação Server Core) (3079904) Execução remota de código Crítico 3077657 no [MS15-077](https://technet.microsoft.com/pt-br/library/security/ms15-077)
[Windows Server 2012](http://www.microsoft.com/pt-br/download/details.aspx?id=48168) (instalação Server Core) (3079904) Execução remota de código Crítico 3077657 no [MS15-077](https://technet.microsoft.com/pt-br/library/security/ms15-077)
[Windows Server 2012 R2](http://www.microsoft.com/pt-br/download/details.aspx?id=48161) (instalação Server Core) (3079904) Execução remota de código Crítico 3077657 no [MS15-077](https://technet.microsoft.com/pt-br/library/security/ms15-077)
[1]A atualização está disponível apenas no [Windows Update](http://update.microsoft.com/microsoftupdate/v6/vistadefault.aspx?ln=pt-br).

* A coluna Atualizações substituídas mostra somente a atualização mais recente em uma cadeia de atualizações substituídas. Para um lista abrangente de atualizações substituídas, vá até o Catálogo Microsoft Update, procure pelo número da KB da atualização e depois visualize os detalhes da atualização (as informações sobre as atualizações substituídas estão na guia Detalhes do Pacote).

Classificação de gravidade e Identificadores de vulnerabilidade

As classificações de gravidade a seguir pressupõem o impacto máximo possível da vulnerabilidade. Para obter informações referentes à probabilidade de exploração da vulnerabilidade em relação à sua classificação de gravidade e ao impacto à segurança, em até 30 dias a partir do lançamento deste boletim de segurança, consulte o Índice de exploração no resumo de boletins de julho.

**A Classificação de gravidade de vulnerabilidade e Impacto máximo de segurança por software afetado**
**Software Afetado** [**Vulnerabilidade do Driver de fonte OpenType - CVE-2015-2426**](http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2015-2426) **Avaliação de gravidade agregada**
**Windows Vista**
Windows Vista Service Pack 2 (3079904) **Crítico**  Execução remota de código **Crítico**
Windows Vista x64 Edition Service Pack 2 (3079904) **Crítico**  Execução remota de código **Crítico**
**Windows Server 2008**
Windows Server 2008 para sistemas de 32 bits Service Pack 2 (3079904) **Crítico**  Execução remota de código **Crítico**
Windows Server 2008 Service Pack 2 para sistemas baseados em x64 (3079904) **Crítico**  Execução remota de código **Crítico**
Windows Server 2008 para sistemas baseados em Itanium Service Pack 2 (3079904) **Crítico**  Execução remota de código **Crítico**
**Windows 7**
Windows 7 para sistemas de 32 bits Service Pack 1 (3079904) **Crítico**  Execução remota de código **Crítico**
Windows 7 para Sistemas baseados em x64 Service Pack 1 (3079904) **Crítico**  Execução remota de código **Crítico**
**Windows Server 2008 R2**
Windows Server 2008 R2 para Sistemas baseados em x64 Service Pack 1 (3079904) **Crítico**  Execução remota de código **Crítico**
Windows Server 2008 R2 Service Pack 1 para sistemas baseados em Itanium (3079904) **Crítico**  Execução remota de código **Crítico**
**Windows 8 e Windows 8.1**
Windows 8 para sistemas de 32 bits (3079904) **Crítico**  Execução remota de código **Crítico**
Windows 8 para sistemas baseados em x64 (3079904) **Crítico**  Execução remota de código **Crítico**
Windows 8.1 para sistemas de 32 bits (3079904) **Crítico**  Execução remota de código **Crítico**
Windows 8.1 para sistemas baseados em x64 (3079904) **Crítico**  Execução remota de código **Crítico**
**Windows Server 2012 e Windows Server 2012 R2**
Windows Server 2012 (3079904) **Crítico**  Execução remota de código **Crítico**
Windows Server 2012 R2 (3079904) **Crítico**  Execução remota de código **Crítico**
**Windows RT 8.1**
Windows RT[1] (3079904) **Crítico**  Execução remota de código **Crítico**
Windows RT 8.1[1] (3079904) **Crítico**  Execução remota de código **Crítico**
**Opção de instalação Server Core**
Windows Server 2008 Service Pack 2 para sistemas de 32 bits (instalação Server Core) (3079904) **Crítico**  Execução remota de código **Crítico**
Windows Server 2008 Service Pack 2 para sistemas baseados em x64 (instalação Server Core) (3079904) **Crítico**  Execução remota de código **Crítico**
Windows Server 2008 R2 para Sistemas baseados em x64 Service Pack 1 (instalação Server Core) (3079904) **Crítico**  Execução remota de código **Crítico**
Windows Server 2012 (instalação Server Core) (3079904) **Crítico**  Execução remota de código **Crítico**
Windows Server 2012 R2 (instalação Server Core) (3079904) **Crítico**  Execução remota de código **Crítico**

Informações sobre a vulnerabilidade

Vulnerabilidade do Driver de fonte OpenType - CVE-2015-2426

Existe uma vulnerabilidade de execução remota de código no Microsoft Windows quando a biblioteca do Windows Adobe Type Manager manipula incorretamente fontes OpenType especialmente criadas. O atacante que explorar com êxito essa vulnerabilidade poderá assumir o controle total do sistema afetado. O atacante poderá instalar programas; exibir, alterar ou excluir dados; ou criar novas contas com direitos totais de usuário.

Há várias maneiras pelas quais um atacante pode explorar esta vulnerabilidade, como convencer um usuário a abrir um documento especialmente criado ou a visitar um página da Web que contenha fontes OpenType não confiáveis incorporadas. A atualização aborda a vulnerabilidade corrigindo como a biblioteca do Windows Adobe Type Manager manipula as fontes OpenType.

Quando esse boletim de segurança foi lançado, a Microsoft tinha informações que indicavam que esta vulnerabilidade era pública, mas não tinha nenhuma informação para indicar que esta vulnerabilidade tenha sido usada para atacar clientes. Nossa análise mostrou que explorar código pode ser criado de tal maneira que um atacante pode explorar consistentemente esta vulnerabilidade.

Fatores atenuantes

A Microsoft não identificou quaisquer fatores atenuantes para essa vulnerabilidade.

Soluções alternativas

As seguintes soluções alternativas podem ser úteis em seu caso:

  • Renomear o ATMFD.DLL Para sistemas de 32 bits:

    1. Digite os comandos a seguir em um prompt de comando administrativo:

          cd "%windir%\system32"
          takeown.exe /f atmfd.dll
          icacls.exe atmfd.dll /save atmfd.dll.acl
          icacls.exe atmfd.dll /grant Administrators:(F) 
          rename atmfd.dll x-atmfd.dll
      
    2. Reinicie o sistema.

    Para sistemas de 64 bits:

    1. Digite os comandos a seguir em um prompt de comando administrativo:

          cd "%windir%\system32"
          takeown.exe /f atmfd.dll
          icacls.exe atmfd.dll /save atmfd.dll.acl
          icacls.exe atmfd.dll /grant Administrators:(F) 
          rename atmfd.dll x-atmfd.dll
          cd "%windir%\syswow64"
          takeown.exe /f atmfd.dll
          icacls.exe atmfd.dll /save atmfd.dll.acl
          icacls.exe atmfd.dll /grant Administrators:(F) 
          rename atmfd.dll x-atmfd.dll
      
    2. Reinicie o sistema.

    Procedimento opcional para o Windows 8 e sistemas posteriores (desabilitar ATMFD):

    Observação O uso incorreto do Editor do Registro pode causar problemas sérios que podem exigir a reinstalação do sistema operacional. A Microsoft não garante que os problemas resultantes do uso incorreto do Editor do Registro possam ser solucionados. Você é responsável pelo uso do Editor do Registro. Para obter informações sobre como editar o Registro, consulte o tópico da Ajuda "Alterar chaves e valores" do Editor do Registro (Regedit.exe) ou exiba os tópicos da Ajuda "Adicionar e excluir informações no Registro" e "Editar informações do Registro" no Regedt32.exe.

    Método 1 (editar manualmente o registro do sistema):

    1. Executar regedit.exe como administrador.

    2. No Editor do Registro, navegue para a seguinte subchave (ou crie-a) e defina seu valor DWORD para 1:

      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows\DisableATMFD, DWORD = 1

    3. Feche o Editor do Registro e reinicie o sistema.

    Método 2 (use um script de implantação gerenciado):

    1. Crie um arquivo de texto chamado ATMFD-disable.reg que contenha o seguinte texto:

          Windows Registry Editor Versão 5.00
          [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
          "DisableATMFD"=dword:00000001
      
    2. Execute regedit.exe.

    3. No Editor do Registro, clique no menu Arquivo e depois clique em Importar.

    4. Navegue até e selecione o arquivo ATMFD-disable.reg que você criou no primeiro passo.
      (Observação Se o seu arquivo não está listado onde você espera que ele esteja, certifique-se se que não foi dado a ele automaticamente uma extensão de arquivo .txt ou altere os parâmetros de extensão do arquivo do diálogo para Todos os arquivos).

    5. Clique em Abrir e depois em OK para fechar o Editor de Registros.

    Impacto da solução alternativa. Aplicativos que se baseiam na tecnologia de fonte incorporada não conseguirão exibir corretamente. Desabilitar o ATMFD.DLL pode fazer com que determinados aplicativos parem de funcionar corretamente se eles usam fontes OpenType. O Microsoft Windows não libera as fontes OpenType nativamente. No entanto, os aplicativos de terceiros podem instalá-las e eles podem ser afetados por essa alteração.

    Como desfazer a solução alternativa.

    Para sistemas de 32 bits:

    1. Digite os comandos a seguir em um prompt de comando administrativo:

          cd "%windir%\system32"
          rename x-atmfd.dll atmfd.dll
          icacls.exe atmfd.dll /setowner "NT SERVICE\TrustedInstaller"
          icacls.exe . /restore atmfd.dll.acl
      
    2. Reinicie o sistema.

    Para sistemas de 64 bits:

    1. Digite os comandos a seguir em um prompt de comando administrativo:

          cd "%windir%\system32"
          rename x-atmfd.dll atmfd.dll
          icacls.exe atmfd.dll /setowner "NT SERVICE\TrustedInstaller"
          icacls.exe . /restore atmfd.dll.acl
          cd "%windir%\syswow64"
          rename x-atmfd.dll atmfd.dll
          icacls.exe atmfd.dll /setowner "NT SERVICE\TrustedInstaller"
          icacls.exe . /restore atmfd.dll.acl
      
    2. Reinicie o sistema.

    Procedimento opcional para o Windows 8 e sistemas posteriores (habilitar ATMFD):

    Observação O uso incorreto do Editor do Registro pode causar problemas sérios que podem exigir a reinstalação do sistema operacional. A Microsoft não garante que os problemas resultantes do uso incorreto do Editor do Registro possam ser solucionados. Você é responsável pelo uso do Editor do Registro. Para obter informações sobre como editar o Registro, consulte o tópico da Ajuda "Alterar chaves e valores" do Editor do Registro (Regedit.exe) ou exiba os tópicos da Ajuda "Adicionar e excluir informações no Registro" e "Editar informações do Registro" no Regedt32.exe.

    Método 1 (editar manualmente o registro do sistema):

    1. Executar regedit.exe como administrador.

    2. No Editor do Registro, navegue até a seguinte subchave e defina o valor DWORD como 0:

      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows\DisableATMFD, DWORD = 0

    3. Feche o Editor do Registro e reinicie o sistema.

    Método 2 (use um script de implantação gerenciado):

    1. Crie um arquivo de texto chamado ATMFD-enable.reg que contenha o seguinte texto:

          Windows Registry Editor Versão 5.00
          [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
          "DisableATMFD"=dword:00000000
      
    2. Execute regedit.exe.

    3. No Editor do Registro, clique no menu Arquivo e depois clique em Importar.

    4. Navegue até e selecione o arquivo ATMFD-enable.reg que você criou no primeiro passo.
      (Observação Se o seu arquivo não está listado onde você espera que ele esteja, certifique-se se que não foi dado a ele automaticamente uma extensão de arquivo .txt ou altere os parâmetros de extensão do arquivo do diálogo para Todos os arquivos).

    5. Clique em Abrir e depois em OK para fechar o Editor de Registros.

Implantação de atualização de segurança

Para obter informações sobre Implementação de atualizações de segurança, consulte o artigo da Base de Dados de Conhecimento da Microsoft mencionado aqui no Sinopse.

Agradecimentos

A Microsoft reconhece os esforços dos membros da comunidade de segurança que nos ajudam a proteger os consumidores por meio da divulgação responsável de vulnerabilidades. Consulte Agradecimentos para obter mais informações.

Aviso de isenção de responsabilidade

As informações fornecidas na Base de Dados de Conhecimento da Microsoft são apresentadas "no estado em que se encontram", sem garantia de qualquer tipo. A Microsoft se isenta de todas as garantias, expressas ou implícitas, inclusive as garantias de comercialização e adequação a um propósito específico. Em hipótese alguma a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, inclusive danos diretos, indiretos, incidentais, consequenciais, danos por lucros cessantes ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido alertados da possibilidade dos referidos danos. Como alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou indiretos, a limitação acima pode não ser aplicável a você.

Revisões

  • V1.0 (20.07.2015): Boletim publicado.

Página gerada em 20.07.15 11:03Z-07:00.