Boletim de Segurança da Microsoft MS16-024 – Crítico

  • Artigo
  • 7 minutos para o fim da leitura

Atualização de segurança cumulativa do Microsoft Edge (3142019) 

Publicado em: 8 de março de 2016

Versão: 1.0

Sinopse

Esta atualização de segurança elimina vulnerabilidades no Microsoft Edge. A vulnerabilidade mais grave pode permitir a execução remota de código se um usuário visualizar uma página da Web criada especialmente usando o Microsoft Edge. O atacante que explorar com êxito as vulnerabilidades poderá ganhar os mesmos direitos de usuário que o usuário em questão. Os clientes cujas contas são configuradas com poucos direitos de usuário no sistema correm menos riscos do que aqueles que possuem direitos administrativos.

Esta atualização de segurança foi classificada como Crítica para o Microsoft Edge no Windows 10. Para obter mais informações, consulte a seção Softwares Afetados.

A atualização de segurança corrige a vulnerabilidade ao:

  • Modificar como o Microsoft Edge manipula objetos na memória
  • Alterar como o Microsoft Edge lida com a política do referenciador

Para obter mais informações sobre a vulnerabilidade, consulte a seção Informações sobre vulnerabilidade.

Para obter mais informações sobre essa atualização, consulte o artigo 3142019 da Base de Dados de Conhecimento da Microsoft.

Softwares Afetados

As seguinte versões ou edições de software foram afetadas. As versões ou edições que não estão listadas já passaram de seu ciclo de vida do suporte ou não foram afetadas. Para determinar o ciclo de vida do suporte para sua versão ou edição de software, consulte Ciclo de vida do suporte da Microsoft.

**Sistema operacional** **Componente** **Impacto máximo à segurança** **Classificação de gravidade agregada** **Atualizações substituídas**
**Microsoft Edge**
[Windows 10 para sistemas de 32 bits](https://support.microsoft.com/pt-br/kb/3140745)[1] (3140745) Microsoft Edge Execução remota de código Críticoº [3135174](https://support.microsoft.com/pt-br/kb/3135174)
[Windows 10 para sistemas baseados em x64](https://support.microsoft.com/pt-br/kb/3140745)[1] (3140745) Microsoft Edge Execução remota de código Críticoº [3135174](https://support.microsoft.com/pt-br/kb/3135174)
[Windows 10 Versão 1511 para sistemas de 32 bits](https://support.microsoft.com/pt-br/kb/3140768)[1] (3140768) Microsoft Edge Execução remota de código Críticoº [3140743](https://support.microsoft.com/pt-br/kb/3140743)
[Windows 10 Versão 1511 para sistemas baseados em x64](https://support.microsoft.com/pt-br/kb/3140768)[1] (3140768) Microsoft Edge Execução remota de código Críticoº [3140743](https://support.microsoft.com/pt-br/kb/3140743)
[1]As atualizações do Windows 10 são cumulativas. Além de conter atualizações não relacionadas à segurança, elas também contêm todas as correções de segurança para todas as vulnerabilidades afetadas do Windows 10 enviadas com o lançamento de segurança deste mês. As atualizações estão disponíveis pelo [Catálogo do Windows Update](http://catalog.update.microsoft.com/v7/site/home.aspx).

Observação O Windows Server Technical Preview 4 é afetado. Recomenda-se que os consumidores que estiverem executando esses sistemas operacionais apliquem a atualização, que está disponível no Windows Update

Perguntas frequentes de atualização

Esta atualização contém alterações adicionais relacionadas à segurança da funcionalidade? 
Além das alterações que estão listadas para as vulnerabilidades descritas neste boletim, esta atualização inclui atualizações de defesa profunda para ajudar a aprimorar recursos relacionados à segurança.

Classificação de gravidade e Identificadores de vulnerabilidade

As classificações de gravidade a seguir pressupõem o impacto máximo possível da vulnerabilidade. Para obter informações referentes à probabilidade de exploração da vulnerabilidade em relação à sua classificação de gravidade e ao impacto à segurança, dentro de 30 dias a partir do lançamento deste boletim de segurança, consulte o Índice de exploração no resumo de boletins de março.

Onde for especificado na tabela de Classificação de gravidade e de impacto, os valores Crítico, Importante e Moderado indicam classificações de gravidade. Para obter mais informações, veja o Boletim de Segurança sobre o Sistema de Classificação de Gravidade. Consulte a seguinte tecla para as abreviações usadas na tabela para indicar o impacto máximo:

Abreviação Impacto máximo
RCE Execução remota de código
EoP Elevação de privilégio
Identificação Divulgação não autorizada de informação
SFB Desvio de recurso de segurança
 

**Classificação de gravidade e de impacto da vulnerabilidade**
**Número de CVE** **Título da vulnerabilidade** **Microsoft Edge**
[CVE-2016-0102](http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2016-0102) Vulnerabilidade de corrupção de memória do navegador da Microsoft Clientes Windows **Crítico/RCE** Windows Servers: **Moderado/RCE**
[CVE-2016-0105](http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2016-0105) Vulnerabilidade de corrupção de memória do navegador da Microsoft Clientes Windows **Crítico/RCE** Windows Servers: **Moderado/RCE**
[CVE-2016-0109](http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2016-0109) Vulnerabilidade de corrupção de memória do navegador da Microsoft Clientes Windows **Crítico/RCE** Windows Servers: **Moderado/RCE**
[CVE-2016-0110](http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2016-0110) Vulnerabilidade de corrupção de memória do navegador da Microsoft Clientes Windows **Crítico/RCE** Windows Servers: **Moderado/RCE**
[CVE-2016-0111](http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2016-0111) Vulnerabilidade de corrupção de memória do navegador da Microsoft Clientes Windows **Crítico/RCE** Windows Servers: **Moderado/RCE**
[CVE-2016-0116](http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2016-0116) Vulnerabilidade de corrupção de memória do Microsoft Edge Clientes Windows **Crítico/RCE** (O Windows 10 não é afetado) Windows Servers: **Moderado/RCE**
[CVE-2016-0123](http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2016-0123) Vulnerabilidade de corrupção de memória do Microsoft Edge Clientes Windows **Crítico/RCE** Windows Servers: **Moderado/RCE**
[CVE-2016-0124](http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2016-0124) Vulnerabilidade de corrupção de memória do Microsoft Edge Clientes Windows **Crítico/RCE** (A versão 1511 do Windows 10 não é afetada) Windows Servers: **Moderado/RCE**
[CVE-2016-0125](http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2016-0125) Vulnerabilidade de divulgação de informações no Microsoft Edge Clientes Windows **Moderado / ID** Windows Servers: **Baixo/ID**
[CVE-2016-0129](http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2016-0129) Vulnerabilidade de corrupção de memória do Microsoft Edge Clientes Windows **Crítico/RCE** (O Windows 10 não é afetado) Windows Servers: **Moderado/RCE**
[CVE-2016-0130](http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2016-0130) Vulnerabilidade de corrupção de memória do Microsoft Edge Clientes Windows **Crítico/RCE** Windows Servers: **Moderado/RCE**

Informações sobre a vulnerabilidade

Várias vulnerabilidades de corrupção de memória do Microsoft Edge

Existem várias vulnerabilidades de execução remota de código quando o Microsoft Edge acessa indevidamente objetos na memória. As vulnerabilidades podem corromper a memória de modo que um atacante possa executar um código arbitrário no contexto do usuário atual.

Um atacante pode hospedar um site da Web especialmente criado para explorar as vulnerabilidades por meio do Microsoft Edge e convencer um usuário a exibir o site. O atacante pode tirar proveito de sites comprometidos e sites que aceitem ou hospedem conteúdo fornecido pelo usuário ou anúncios adicionando conteúdo especialmente criado que pode explorar esta vulnerabilidade. No entanto, em todos os casos, o atacante não tem como forçar os usuários a exibir o conteúdo controlado pelo atacante. Em vez disso, um atacante teria que convencer os usuários a adotar uma ação, geralmente na forma de atrativos em uma mensagem de e-mail ou instantânea, ou induzindo-os a abrir um anexo enviado por e-mail.

O atacante que explorar com êxito as vulnerabilidades poderá ganhar os mesmos direitos de usuário que o usuário em questão. Se um usuário atual tiver feito logon com direitos administrativos, o atacante que explorar com êxito as vulnerabilidades poderá obter o controle total do sistema afetado. O atacante poderá instalar programas; exibir, alterar ou excluir dados; ou criar novas contas com direitos totais de usuário. A atualização aborda a vulnerabilidade modificando a maneira como o Microsoft Edge manipula objetos na memória.

A tabela a seguir contém links para a entrada padrão para cada vulnerabilidade na lista Vulnerabilidades Comuns e Exposições:

Título da vulnerabilidade Número de CVE Divulgadas de forma pública Explorado
Vulnerabilidade de corrupção de memória do navegador da Microsoft CVE-2016-0102 Não Não
Vulnerabilidade de corrupção de memória do navegador da Microsoft CVE-2016-0105 Não Não
Vulnerabilidade de corrupção de memória do navegador da Microsoft CVE-2016-0109 Não Não
Vulnerabilidade de corrupção de memória do navegador da Microsoft CVE-2016-0110 Não Não
Vulnerabilidade de corrupção de memória do navegador da Microsoft CVE-2016-0111 Não Não
Vulnerabilidade de corrupção de memória do Microsoft Edge CVE-2016-0116 Não Não
Vulnerabilidade de corrupção de memória do Microsoft Edge CVE-2016-0123 Não Não
Vulnerabilidade de corrupção de memória do Microsoft Edge CVE-2016-0124 Não Não
Vulnerabilidade de corrupção de memória do Microsoft Edge CVE-2016-0129 Não Não
Vulnerabilidade de corrupção de memória do Microsoft Edge CVE-2016-0130 Não Não
### Fatores atenuantes A Microsoft não identificou quaisquer [fatores atenuantes](https://technet.microsoft.com/pt-br/library/security/dn848375.aspx) para essas vulnerabilidades. ### Soluções alternativas A Microsoft não identificou nenhuma [solução alternativa](https://technet.microsoft.com/pt-br/library/security/dn848375.aspx) para essas vulnerabilidades.  Vulnerabilidade de divulgação de informações no Microsoft Edge – CVE-2016-0125 ------------------------------------------------------------------------------ Uma vulnerabilidade de divulgação de informação existe quando o Microsoft Edge manipula incorretamente a política do referenciador. Um atacante que explora a vulnerabilidade com êxito pode obter informações sobre o contexto de solicitações ou o histórico de navegação de um usuário. Para explorar a vulnerabilidade, o atacante deve convencer um usuário que está acessando um site seguro a clicar em um link que o direciona para um site mal-intencionado. A atualização corrige a vulnerabilidade alterando como Microsoft Edge lida com a política do referenciador. A tabela a seguir contém links para a entrada padrão para cada vulnerabilidade na lista Vulnerabilidades Comuns e Exposições:

Título da vulnerabilidade Número de CVE Divulgadas de forma pública Explorado
Vulnerabilidade de divulgação de informações no Microsoft Edge CVE-2016-0125 Não Não
### Fatores atenuantes A Microsoft não identificou quaisquer [fatores atenuantes](https://technet.microsoft.com/pt-br/library/security/dn848375.aspx) para essa vulnerabilidade. ### Soluções alternativas A Microsoft não identificou nenhuma [solução alternativa](https://technet.microsoft.com/pt-br/library/security/dn848375.aspx) para esta vulnerabilidade.  Implantação de atualização de segurança --------------------------------------- Para obter informações sobre Implementação de atualizações de segurança, consulte o artigo da Base de dados de conhecimento da Microsoft mencionado [aqui](#kbarticle) no Sinopse. Agradecimentos -------------- A Microsoft reconhece os esforços dos membros da comunidade de segurança que nos ajudam a proteger os consumidores graças à divulgação responsável de vulnerabilidades. Consulte [Agradecimentos](https://technet.microsoft.com/pt-br/library/security/mt674627.aspx) para obter mais informações. Aviso de isenção de responsabilidade ------------------------------------ As informações fornecidas na Base de Dados de Conhecimento da Microsoft são apresentadas "no estado em que se encontram", sem garantia de qualquer tipo. A Microsoft se isenta de todas as garantias, expressas ou implícitas, inclusive as garantias de comercialização e adequação a um propósito específico. Em hipótese alguma a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, inclusive danos diretos, indiretos, incidentais, consequenciais, danos por lucros cessantes ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido alertados da possibilidade dos referidos danos. Como alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou indiretos, a limitação acima pode não ser aplicável a você. Revisões -------- - V1.0 (8 de março de 2016): Boletim publicado. *Página gerada em 02.03.16 as 09:57:00-08:00.*