Boletim de Segurança da Microsoft MS16-041 – Importante
Atualização de segurança para .NET Framework (3148789)
Publicado em: 12 de abril de 2016
Versão: 1.0
Resumo executivo
Essa atualização de segurança resolve uma vulnerabilidade no Microsoft .NET Framework. A vulnerabilidade poderá permitir a execução remota de código se um invasor com acesso ao sistema local executar um aplicativo mal-intencionado.
Esta atualização de segurança é classificada como Importante para o Microsoft .NET Framework 4.6 e o Microsoft .NET Framework 4.6.1 nas versões afetadas do Microsoft Windows. Para obter mais informações, consulte a seção Software Afetado .
A atualização de segurança resolve a vulnerabilidade corrigindo como corrigir como o .NET valida a entrada no carregamento da biblioteca. Para obter mais informações sobre a vulnerabilidade, consulte a seção Informações de vulnerabilidade .
Para obter mais informações sobre essa atualização, consulte Artigo da Base de Dados de Conhecimento Microsoft 3148789.
Classificações de severidade de vulnerabilidade e software afetadas
As versões ou edições de software a seguir são afetadas. Versões ou edições que não estão listadas estão além do ciclo de vida de suporte ou não são afetadas. Para determinar o ciclo de vida de suporte para sua versão ou edição de software, consulte Suporte da Microsoft Ciclo de vida.
As classificações de severidade indicadas para cada software afetado pressupõem o impacto máximo potencial da vulnerabilidade. Para obter informações sobre a probabilidade, dentro de 30 dias após o lançamento deste boletim de segurança, da explorabilidade da vulnerabilidade em relação à classificação de gravidade e ao impacto de segurança, consulte o Índice de Exploração no resumo do boletim de abril.
| Sistema operacional | Componente | .NET Framework vulnerabilidade de execução remota de código – CVE-2016-0148 | Atualizações substituído |
|---|---|---|---|
| Windows Vista | |||
| Windows Vista Service Pack 2 | Microsoft .NET Framework 4.6[1](3143693) | Importante Execução remota de código | 3083186 no MS15-092 |
| Windows Vista x64 Edition Service Pack 2 | Microsoft .NET Framework 4.6[1](3143693) | Importante Execução remota de código | 3083186 no MS15-092 |
| Windows Server 2008 | |||
| Windows Server 2008 para sistemas de 32 bits Service Pack 2 | Microsoft .NET Framework 4.6[1](3143693) | Importante Execução remota de código | 3083186 no MS15-092 |
| Windows Server 2008 para sistemas baseados em x64 Service Pack 2 | Microsoft .NET Framework 4.6[1](3143693) | Importante Execução remota de código | 3083186 no MS15-092 |
| Windows 7 | |||
| Windows 7 para sistemas de 32 bits Service Pack 1 | Microsoft .NET Framework 4.6/4.6.1[1](3143693) | Importante Execução remota de código | 3083186 no MS15-092 |
| Windows 7 para sistemas baseados em x64 Service Pack 1 | Microsoft .NET Framework 4.6/4.6.1[1](3143693) | Importante Execução remota de código | 3083186 no MS15-092 |
| Windows Server 2008 R2 | |||
| Windows Server 2008 R2 para sistemas baseados em x64 Service Pack 1 | Microsoft .NET Framework 4.6/4.6.1[1](3143693) | Importante Execução remota de código | 3083186 no MS15-092 |
| Opção de instalação do Server Core | |||
| Windows Server 2008 R2 para sistemas baseados em x64 Service Pack 1 (instalação Server Core) | Microsoft .NET Framework 4.6/4.6.1[1](3143693) | Importante Execução remota de código | 3083186 no MS15-092 |
[1]Para obter informações sobre as alterações no suporte para .NET Framework 4.x, consulte Comunicados de suporte do Explorer da Internet e do .NET Framework 4.x.
Informações de vulnerabilidade
.NET Framework vulnerabilidade de execução remota de código – CVE-2016-0148
Existe uma vulnerabilidade de execução remota de código quando o Microsoft .NET Framework falha ao validar corretamente a entrada antes de carregar bibliotecas. Um invasor que explorou essa vulnerabilidade com êxito pode assumir o controle de um sistema afetado. Um invasor pode instalar programas, exibir, alterar ou excluir dados, além de criar contas com direitos de usuário totais. Os usuários cujas contas estão configuradas para ter menos direitos de usuário no sistema correm menos riscos do que aqueles que têm direitos de usuário administrativo.
Para explorar a vulnerabilidade, primeiro um invasor precisaria acessar o sistema local com a capacidade de executar um aplicativo mal-intencionado. A atualização de segurança resolve a vulnerabilidade corrigindo como o .NET valida a entrada na carga da biblioteca.
A tabela a seguir contém links para a entrada padrão para cada vulnerabilidade na lista Vulnerabilidades e Exposições Comuns:
| Título da vulnerabilidade | Número CVE | Divulgado publicamente | Explorado |
|---|---|---|---|
| Vulnerabilidade de execução de código remoto do .NET Framework | CVE-2016-0148 | Sim | Não |
Atenuando fatores
A Microsoft não identificou nenhum fator atenuante para essa vulnerabilidade.
Soluções Alternativas
A Microsoft não identificou nenhuma solução alternativa para essa vulnerabilidade.
Implantação de atualização de segurança
Para obter informações de Implantação de Atualização de Segurança, consulte o artigo da Base de Dados de Conhecimento Microsoft referenciado no Resumo Executivo.
Agradecimentos
A Microsoft reconhece os esforços daqueles na comunidade de segurança que nos ajudam a proteger os clientes por meio da divulgação coordenada de vulnerabilidades. Confira Confirmações para obter mais informações.
Isenção de responsabilidade
As informações fornecidas na Base de Dados de Conhecimento Microsoft são fornecidas "como estão" sem garantia de qualquer tipo. A Microsoft se isenta de todas as garantias, expressas ou implícitas, incluindo as garantias de comercialização e adequação para uma finalidade específica. Em nenhum caso, a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, incluindo danos diretos, indiretos, incidentais, conseqüentes, perda de lucros comerciais ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido avisados da possibilidade de tais danos. Alguns estados não permitem a exclusão ou limitação de responsabilidade por danos conseqüentes ou incidentais, portanto, a limitação anterior pode não se aplicar.
Revisões
- V1.0 (12 de abril de 2016): boletim publicado.
Página gerada 2016-04-07 14:46-07:00.