Boletim de Segurança da Microsoft MS16-091 – Importante
Atualização de segurança para .NET Framework (3170048)
Publicado em: 12 de julho de 2016 | Atualizado em: 8 de novembro de 2016
Versão: 1.1
Resumo executivo
Essa atualização de segurança resolve uma vulnerabilidade no Microsoft .NET Framework. A vulnerabilidade poderá causar a divulgação de informações se um invasor carregar um arquivo XML especialmente criado em um aplicativo baseado na Web.
Esta atualização de segurança é classificada como Importante para o Microsoft .NET Framework 2.0 Service Pack 2, Microsoft .NET Framework 3.5, Microsoft .NET Framework 3.5.1, Microsoft .NET Framework 4.5.2, Microsoft .NET Framework 4.6 e Microsoft .NET Framework 4.6.1 nas versões afetadas do Microsoft Windows. Para obter mais informações, consulte a seção Classificações de severidade de vulnerabilidade e software afetados .
A atualização resolve a vulnerabilidade modificando a maneira como o analisador XXE (Entidade Externa XML) analisa a entrada XML. Para obter mais informações sobre a vulnerabilidade, consulte a seção Informações de vulnerabilidade .
Para obter mais informações sobre essa atualização, consulte Artigo da Base de Dados de Conhecimento Microsoft 3170048.
Classificações de severidade de vulnerabilidade e software afetadas
As versões ou edições de software a seguir são afetadas. Versões ou edições que não estão listadas estão além do ciclo de vida de suporte ou não são afetadas. Para determinar o ciclo de vida de suporte para sua versão ou edição de software, consulte Suporte da Microsoft Ciclo de vida.
As classificações de severidade indicadas para cada software afetado pressupõem o impacto máximo potencial da vulnerabilidade. Para obter informações sobre a probabilidade, dentro de 30 dias após o lançamento deste boletim de segurança, da explorabilidade da vulnerabilidade em relação à classificação de gravidade e ao impacto de segurança, consulte o Índice de Exploração no resumo do boletim de julho.
| Sistema operacional | **Componente** | Vulnerabilidade de divulgação de informações do .NET – CVE-2016-3255 | **Atualizações substituído ** |
|---|---|---|---|
| Windows Vista | |||
| Windows Vista Service Pack 2 | Microsoft .NET Framework 2.0 Service Pack 2 (3163244) | Importante Divulgação de informações | Nenhum |
| Windows Vista Service Pack 2 | Microsoft .NET Framework 4.5.2[1](3163251) | Importante Divulgação de informações | Nenhum |
| Windows Vista Service Pack 2 | Microsoft .NET Framework 4.6[1](3164025) | Importante Divulgação de informações | Nenhum |
| Windows Vista x64 Edition Service Pack 2 | Microsoft .NET Framework 2.0 Service Pack 2 (3163244) | Importante Divulgação de informações | Nenhum |
| Windows Vista x64 Edition Service Pack 2 | Microsoft .NET Framework 4.5.2[1](3163251) | Importante Divulgação de informações | Nenhum |
| Windows Vista x64 Edition Service Pack 2 | Microsoft .NET Framework 4.6[1](3164025) | Importante Divulgação de informações | Nenhum |
| Windows Server 2008 | |||
| Windows Server 2008 para sistemas de 32 bits Service Pack 2 | Microsoft .NET Framework 2.0 Service Pack 2 (3163244) | Importante Divulgação de informações | Nenhum |
| Windows Server 2008 para sistemas de 32 bits Service Pack 2 | Microsoft .NET Framework 4.5.2[1](3163251) | Importante Divulgação de informações | Nenhum |
| Windows Server 2008 para sistemas de 32 bits Service Pack 2 | Microsoft .NET Framework 4.6[1](3164025) | Importante Divulgação de informações | Nenhum |
| Windows Server 2008 para sistemas baseados em x64 Service Pack 2 | Microsoft .NET Framework 2.0 Service Pack 2 (3163244) | Importante Divulgação de informações | Nenhum |
| Windows Server 2008 para sistemas baseados em x64 Service Pack 2 | Microsoft .NET Framework 4.5.2[1](3163251) | Importante Divulgação de informações | Nenhum |
| Windows Server 2008 para sistemas baseados em x64 Service Pack 2 | Microsoft .NET Framework 4.6[1](3164025) | Importante Divulgação de informações | Nenhum |
| Windows Server 2008 para sistemas baseados em Itanium Service Pack 2 | Microsoft .NET Framework 2.0 Service Pack 2 (3163244) | Importante Divulgação de informações | Nenhum |
| Windows 7 | |||
| Windows 7 para sistemas de 32 bits Service Pack 1 | Microsoft .NET Framework 3.5.1 (3163245) | Importante Divulgação de informações | Nenhum |
| Windows 7 para sistemas de 32 bits Service Pack 1 | Microsoft .NET Framework 4.5.2[1](3163251) | Importante Divulgação de informações | Nenhum |
| Windows 7 para sistemas de 32 bits Service Pack 1 | Microsoft .NET Framework 4.6/4.6.1[1](3164025) | Importante Divulgação de informações | Nenhum |
| Windows 7 para sistemas baseados em x64 Service Pack 1 | Microsoft .NET Framework 3.5.1 (3163245) | Importante Divulgação de informações | Nenhum |
| Windows 7 para sistemas baseados em x64 Service Pack 1 | Microsoft .NET Framework 4.5.2[1](3163251) | Importante Divulgação de informações | Nenhum |
| Windows 7 para sistemas baseados em x64 Service Pack 1 | Microsoft .NET Framework 4.6/4.6.1[1](3164025) | Importante Divulgação de informações | Nenhum |
| Windows Server 2008 R2 | |||
| Windows Server 2008 R2 para sistemas baseados em x64 Service Pack 1 | Microsoft .NET Framework 3.5.1 (3163245) | Importante Divulgação de informações | Nenhum |
| Windows Server 2008 R2 para sistemas baseados em x64 Service Pack 1 | Microsoft .NET Framework 4.5.2[1](3163251) | Importante Divulgação de informações | Nenhum |
| Windows Server 2008 R2 para sistemas baseados em x64 Service Pack 1 | Microsoft .NET Framework 4.6/4.6.1[1](3164025) | Importante Divulgação de informações | Nenhum |
| Windows Server 2008 R2 para Sistemas baseados em Itanium Service Pack 1 | Microsoft .NET Framework 3.5.1 (3163245) | Importante Divulgação de informações | Nenhum |
| Windows 8.1 | |||
| Windows 8.1 para sistemas de 32 bits | Microsoft .NET Framework 3.5 (3163247) | Importante Divulgação de informações | Nenhum |
| Windows 8.1 para sistemas de 32 bits | Microsoft .NET Framework 4.5.2[1](3163291) | Importante Divulgação de informações | Nenhum |
| Windows 8.1 para sistemas de 32 bits | Microsoft .NET Framework 4.6/4.6.1[1](3164024) | Importante Divulgação de informações | Nenhum |
| Windows 8.1 para sistemas baseados em x64 | Microsoft .NET Framework 3.5 (3163247) | Importante Divulgação de informações | Nenhum |
| Windows 8.1 para sistemas baseados em x64 | Microsoft .NET Framework 4.5.2[1](3163291) | Importante Divulgação de informações | Nenhum |
| Windows 8.1 para sistemas baseados em x64 | Microsoft .NET Framework 4.6/4.6.1[1](3164024) | Importante Divulgação de informações | Nenhum |
| Windows Server 2012 e Windows Server 2012 R2 | |||
| Windows Server 2012 | Microsoft .NET Framework 3.5 (3163246) | Importante Divulgação de informações | Nenhum |
| Windows Server 2012 | Microsoft .NET Framework 4.5.2[1](3163250) | Importante Divulgação de informações | Nenhum |
| Windows Server 2012 | Microsoft .NET Framework 4.6/4.6.1[1](3164023) | Importante Divulgação de informações | Nenhum |
| Windows Server 2012 R2 | Microsoft .NET Framework 3.5 (3163247) | Importante Divulgação de informações | Nenhum |
| Windows Server 2012 R2 | Microsoft .NET Framework 4.5.2[1](3163291) | Importante Divulgação de informações | Nenhum |
| Windows Server 2012 R2 | Microsoft .NET Framework 4.6/4.6.1[1](3164024) | Importante Divulgação de informações | Nenhum |
| Windows RT 8.1 | |||
| Windows RT 8.1 | Microsoft .NET Framework 4.5.2[1][2](3163291) | Importante Divulgação de informações | Nenhum |
| Windows RT 8.1 | Microsoft .NET Framework 4.6/4.6.1[1][2](3164024) | Importante Divulgação de informações | Nenhum |
| Windows 10 | |||
| Windows 10 para sistemas de 32 bits[3](3163912) | Microsoft .NET Framework 3.5 | Importante Divulgação de informações | 3163017 |
| Windows 10 para sistemas de 32 bits[3](3163912) | Microsoft .NET Framework 4.6 | Importante Divulgação de informações | 3163017 |
| Windows 10 para sistemas baseados em x64[3](3163912) | Microsoft .NET Framework 3.5 | Importante Divulgação de informações | 3163017 |
| Windows 10 para sistemas baseados em x64[3](3163912) | Microsoft .NET Framework 4.6 | Importante Divulgação de informações | 3163017 |
| Windows 10 Versão 1511 para Sistemas de 32 bits[3](3172985) | Microsoft .NET Framework 3.5 | Importante Divulgação de informações | 3163018 |
| Windows 10 Versão 1511 para Sistemas de 32 bits[3](3172985) | Microsoft .NET Framework 4.6.1 | Importante Divulgação de informações | 3163018 |
| Windows 10 versão 1511 para sistemas baseados em x64[3](3172985) | Microsoft .NET Framework 3.5 | Importante Divulgação de informações | 3163018 |
| Windows 10 versão 1511 para sistemas baseados em x64[3](3172985) | Microsoft .NET Framework 4.6.1 | Importante Divulgação de informações | 3163018 |
| Opção de instalação do Server Core | |||
| Windows Server 2008 R2 para sistemas baseados em x64 Service Pack 1 (instalação Server Core) | Microsoft .NET Framework 3.5.1 (3163245) | Importante Divulgação de informações | Nenhum |
| Windows Server 2008 R2 para sistemas baseados em x64 Service Pack 1 (instalação Server Core) | Microsoft .NET Framework 4.5.2[1](3163251) | Importante Divulgação de informações | Nenhum |
| Windows Server 2008 R2 para sistemas baseados em x64 Service Pack 1 (instalação Server Core) | Microsoft .NET Framework 4.6/4.6.1[1](3164025) | Importante Divulgação de informações | Nenhum |
| Windows Server 2012 (instalação server core) | Microsoft .NET Framework 3.5 (3163246) | Importante Divulgação de informações | Nenhum |
| Windows Server 2012 (instalação server core) | Microsoft .NET Framework 4.5.2[1](3163250) | Importante Divulgação de informações | Nenhum |
| Windows Server 2012 (instalação server core) | Microsoft .NET Framework 4.6/4.6.1[1](3164023) | Importante Divulgação de informações | Nenhum |
| Windows Server 2012 R2 (instalação server core) | Microsoft .NET Framework 3.5 (3163247) | Importante Divulgação de informações | Nenhum |
| Windows Server 2012 R2 (instalação server core) | Microsoft .NET Framework 4.5.2[1](3163291) | Importante Divulgação de informações | Nenhum |
| Windows Server 2012 R2 (instalação server core) | Microsoft .NET Framework 4.6/4.6.1[1](3164024) | Importante Divulgação de informações | Nenhum |
[1]Para obter informações sobre as alterações no suporte para .NET Framework 4.x, consulte Comunicados de suporte do Explorer da Internet e do .NET Framework 4.x.
[2]As atualizações do Windows RT 8.1 estão disponíveis somente por meio de Windows Update.
[3]As atualizações do Windows 10 são cumulativas. A versão de segurança mensal inclui todas as correções de segurança para vulnerabilidades que afetam o Windows 10, além de atualizações não relacionadas à segurança. As atualizações estão disponíveis por meio do Catálogo do Microsoft Update.
Nota A vulnerabilidade discutida neste boletim afeta Windows Server 2016 Technical Preview 4 e Windows Server 2016 Technical Preview 5. Uma atualização está disponível para Windows Server 2016 Technical Preview 5 por meio de Windows Update. No entanto, nenhuma atualização está disponível para Windows Server 2016 Technical Preview 4. Para ser protegida contra a vulnerabilidade, a Microsoft recomenda que os clientes que executam Windows Server 2016 atualização do Technical Preview 4 para Windows Server 2016 Technical Preview 5.
Informações de vulnerabilidade
Vulnerabilidade de divulgação de informações do .NET – CVE-2016-3255
Existe uma vulnerabilidade de divulgação de informações quando .NET Framework analisa incorretamente a entrada XML que contém uma referência a uma entidade externa. Um invasor que explorou essa vulnerabilidade com êxito pode ler arquivos arbitrários por meio de uma declaração de entidade externa XML.
Para explorar a vulnerabilidade, um invasor pode criar dados XML especialmente criados e induzir um aplicativo a analisar e validar os dados XML. Por exemplo, um invasor pode criar um arquivo XML e carregá-lo em um aplicativo baseado na Web. A atualização resolve a vulnerabilidade modificando a maneira como o analisador XXE (Entidade Externa XML) analisa a entrada XML.
A tabela a seguir contém links para a entrada padrão para cada vulnerabilidade na lista Vulnerabilidades e Exposições Comuns:
| Título da vulnerabilidade | Número CVE | Divulgado publicamente | Explorado |
|---|---|---|---|
| Vulnerabilidade de divulgação de informações do .NET | CVE-2016-3255 | Não | Não |
Atenuando fatores
A Microsoft não identificou nenhum fator atenuante para essa vulnerabilidade.
Soluções Alternativas
A Microsoft não identificou nenhuma solução alternativa para essa vulnerabilidade.
Implantação de atualização de segurança
Para obter informações de Implantação de Atualização de Segurança, consulte o artigo da Base de Dados de Conhecimento Microsoft referenciado no Resumo Executivo.
Agradecimentos
A Microsoft reconhece os esforços daqueles na comunidade de segurança que nos ajudam a proteger os clientes por meio da divulgação coordenada de vulnerabilidades. Confira Confirmações para obter mais informações.
Isenção de responsabilidade
As informações fornecidas na Base de Dados de Conhecimento Microsoft são fornecidas "como estão" sem garantia de qualquer tipo. A Microsoft se isenta de todas as garantias, expressas ou implícitas, incluindo as garantias de comercialização e adequação para uma finalidade específica. Em nenhum caso, a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, incluindo danos diretos, indiretos, incidentais, conseqüentes, perda de lucros comerciais ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido avisados da possibilidade de tais danos. Alguns estados não permitem a exclusão ou limitação de responsabilidade por danos conseqüentes ou incidentais, portanto, a limitação anterior pode não se aplicar.
Revisões
- V1.0 (12 de julho de 2016): Boletim publicado.
- V1.1 (8 de novembro de 2016): Boletim revisado para anunciar que uma alteração de detecção foi feita para levar em conta .NET Framework clientes de pacote cumulativo de atualizações de hotfix 4.6.1 que não estavam sendo devidamente oferecidos atualizações de segurança aplicáveis ao .NET Framework 4.6.1
Página gerada 2016-11-03 15:41-07:00.