Boletim de Segurança da Microsoft MS16-117 – Crítico

Atualização de segurança do Adobe Flash Player (3188128)

Publicado em: 13 de setembro de 2016

Versão: 1.0

Resumo executivo

Essa atualização de segurança resolve vulnerabilidades no Adobe Flash Player quando instalada em todas as edições com suporte do Windows 8.1, Windows Server 2012, Windows Server 2012 R2, Windows RT 8.1 e Windows 10.

Essa atualização de segurança é classificada como Crítica. A atualização aborda as vulnerabilidades no Adobe Flash Player atualizando as bibliotecas adobe flash afetadas contidas na Internet Explorer 10, internet Explorer 11 e Microsoft Edge. Para obter mais informações, consulte a seção Software Afetado .

Para obter mais informações sobre essa atualização, consulte Artigo da Base de Dados de Conhecimento Microsoft 3188128.

Informações de vulnerabilidade

Essa atualização de segurança aborda as seguintes vulnerabilidades, que são descritas no Adobe Security Bulletin APSB16-29:

CVE-2016-4271, CVE-2016-4272, CVE-2016-4274, CVE-2016-4275, CVE-2016-4276, CVE-2016-4277, CVE-2016-4278, CVE-2016-4279, CVE-2016-4280, CVE-2016-4281, CVE-2016-4282, CVE-2016-4283, CVE-2016-4284, CVE-2016-4285, CVE-2016-4287, CVE-2016-6921, CVE-2016-6922, CVE-2016-6923, CVE-2016-6924, CVE-2016-6925, CVE-2016-6926, CVE-2016-6927, CVE-2016-6929, CVE-2016-6930, CVE-2016-6931, CVE-2016-6932

Software afetado

As versões ou edições de software a seguir são afetadas. Versões ou edições que não estão listadas estão além do ciclo de vida de suporte ou não são afetadas. Para determinar o ciclo de vida de suporte para sua versão ou edição de software, consulte Suporte da Microsoft Ciclo de vida.

Sistema operacional Componente Gravidade e impacto agregados Atualizações substituído*
Windows 8.1
Windows 8.1 para sistemas de 32 bits Adobe Flash Player (3188128) Crítico Execução remota de código 3174060 no MS16-093
Windows 8.1 para sistemas baseados em x64 Adobe Flash Player (3188128) Crítico Execução remota de código 3174060 no MS16-093
Windows Server 2012 e Windows Server 2012 R2
Windows Server 2012 Adobe Flash Player (3188128) Moderada Execução remota de código 3174060 no MS16-093
Windows Server 2012 R2 Adobe Flash Player (3188128) Moderada Execução remota de código 3174060 no MS16-093
Windows RT 8.1
Windows RT 8.1 Adobe Flash Player (3188128)[1] Crítico Execução remota de código 3174060 no MS16-093
Windows 10
Windows 10 para sistemas de 32 bits Adobe Flash Player (3188128)[2] Crítico Execução remota de código 3174060 no MS16-093
Windows 10 para sistemas baseados em x64 Adobe Flash Player (3188128)[2] Crítico Execução remota de código 3174060 no MS16-093
Windows 10 versão 1511 para sistemas de 32 bits Adobe Flash Player (3188128)[2] Crítico Execução remota de código 3174060 no MS16-093
Windows 10 Versão 1511 para sistemas baseados em x64 Adobe Flash Player (3188128)[2] Crítico Execução remota de código 3174060 no MS16-093
Windows 10 versão 1607 para sistemas de 32 bits Adobe Flash Player (3188128)[2] Crítico Execução remota de código Nenhum
Windows 10 Versão 1607 para sistemas baseados em x64 Adobe Flash Player (3188128)[2] Crítico Execução remota de código Nenhum

[1]Essa atualização está disponível por meio de Windows Update.

[2]As atualizações do Adobe FlashPlayer para atualizações do Windows 10 estão disponíveis por meio de Windows Update ou por meio do Catálogo do Microsoft Update.

Nota As vulnerabilidades discutidas neste boletim afetam Windows Server 2016 Technical Preview 5. Para ser protegida contra vulnerabilidades, a Microsoft recomenda que os clientes que executam esse sistema operacional apliquem a atualização atual, que está disponível exclusivamente de Windows Update.

*A coluna Atualizações Substituída mostra apenas a atualização mais recente em qualquer cadeia de atualizações substituídas. Para obter uma lista abrangente de atualizações substituídas, acesse o Catálogo do Microsoft Update, pesquise o número de KB de atualização e exiba os detalhes da atualização (as informações substituídas por atualizações são fornecidas na guia Detalhes do Pacote).

Perguntas frequentes

Como um invasor pode explorar essas vulnerabilidades?
Em um cenário de ataque baseado na Web em que o usuário está usando Internet Explorer para área de trabalho, um invasor pode hospedar um site especialmente criado que foi projetado para explorar qualquer uma dessas vulnerabilidades por meio de Explorer da Internet e, em seguida, convencer um usuário a exibir o site. Um invasor também pode inserir um controle ActiveX marcado como "seguro para inicialização" em um aplicativo ou documento do Microsoft Office que hospeda o mecanismo de renderização do IE. O invasor também pode aproveitar sites e sites comprometidos que aceitam ou hospedam conteúdo ou anúncios fornecidos pelo usuário. Esses sites podem conter conteúdo especialmente elaborado que poderia explorar qualquer uma dessas vulnerabilidades. Em todos os casos, no entanto, um invasor não teria como forçar os usuários a exibir o conteúdo controlado pelo invasor. Em vez disso, um invasor teria que convencer os usuários a tomar medidas, normalmente clicando em um link em uma mensagem de email ou em uma mensagem do Instant Messenger que leva os usuários para o site do invasor ou abrindo um anexo enviado por email.

Em um cenário de ataque baseado na Web em que o usuário está usando a Internet Explorer na interface do usuário estilo Windows 8, um invasor primeiro precisaria comprometer um site já listado na lista de CV (Modo de Exibição de Compatibilidade). Um invasor poderia hospedar um site que contém conteúdo flash especialmente criado projetado para explorar qualquer uma dessas vulnerabilidades por meio de Explorer da Internet e, em seguida, convencer um usuário a exibir o site. Um invasor não teria como forçar os usuários a exibir o conteúdo controlado pelo invasor. Em vez disso, um invasor teria que convencer os usuários a tomar medidas, normalmente clicando em um link em uma mensagem de email ou em uma mensagem do Instant Messenger que leva os usuários para o site do invasor ou abrindo um anexo enviado por email. Para obter mais informações sobre a Internet Explorer e a Lista de CV, consulte o Artigo do MSDN, Diretrizes para desenvolvedores para sites com conteúdo do Adobe Flash Player no Windows 8.

Atenuando fatores

Mitigação refere-se a uma configuração, configuração comum ou prática recomendada geral, existente em um estado padrão, que poderia reduzir a gravidade da exploração de uma vulnerabilidade. Os seguintes fatores atenuantes podem ser úteis em sua situação:

  • Em um cenário de ataque baseado na Web em que o usuário está usando Internet Explorer para área de trabalho, um invasor pode hospedar um site que contém uma página da Web que é usada para explorar qualquer uma dessas vulnerabilidades. Além disso, sites e sites comprometidos que aceitam ou hospedam conteúdo ou anúncios fornecidos pelo usuário podem conter conteúdo especialmente elaborado que poderia explorar qualquer uma dessas vulnerabilidades. Em todos os casos, no entanto, um invasor não teria como forçar os usuários a visitar esses sites. Em vez disso, um invasor teria que convencer os usuários a visitar o site, normalmente fazendo com que eles clicassem em um link em uma mensagem de email ou mensagem do Instant Messenger que leva os usuários para o site do invasor.
  • A internet Explorer na interface do usuário no estilo do Windows 8 só reproduzirá conteúdo flash de sites listados na lista CV (Modo de Exibição de Compatibilidade). Essa restrição exige que um invasor primeiro comprometa um site já listado na lista de CV. Um invasor poderia hospedar conteúdo flash especialmente criado projetado para explorar qualquer uma dessas vulnerabilidades por meio de Explorer da Internet e, em seguida, convencer um usuário a exibir o site. Um invasor não teria como forçar os usuários a exibir o conteúdo controlado pelo invasor. Em vez disso, um invasor teria que convencer os usuários a tomar medidas, normalmente clicando em um link em uma mensagem de email ou em uma mensagem do Instant Messenger que leva os usuários para o site do invasor ou abrindo um anexo enviado por email.
  • Por padrão, todas as versões com suporte do Microsoft Outlook e do Windows Live Mail abrem mensagens de email HTML na zona Sites restritos. A zona sites restritos, que desabilita scripts e controles ActiveX, ajuda a reduzir o risco de um invasor poder usar qualquer uma dessas vulnerabilidades para executar código mal-intencionado. Se um usuário clicar em um link em uma mensagem de email, o usuário ainda poderá ficar vulnerável à exploração de qualquer uma dessas vulnerabilidades por meio do cenário de ataque baseado na Web.
  • Por padrão, os Explorer da Internet no Windows Server 2012 e no Windows Server 2012 R2 são executados em um modo restrito conhecido como Configuração de Segurança Aprimorada. Esse modo pode ajudar a reduzir a probabilidade de exploração dessas vulnerabilidades do Adobe Flash Player na Internet Explorer.

Soluções Alternativas

Solução alternativa refere-se a uma configuração ou alteração de configuração que ajudaria a bloquear vetores de ataque conhecidos antes de aplicar a atualização.

  • Impedir que o Adobe Flash Player seja executado

    Você pode desabilitar as tentativas de instanciar o Adobe Flash Player na Internet Explorer e outros aplicativos que respeitam o recurso kill bit, como o Office 2007 e o Office 2010, definindo o kill bit para o controle no Registro.

    Aviso Se você usar o Editor do Registro incorretamente, poderá causar sérios problemas que podem exigir a reinstalação do sistema operacional. A Microsoft não pode garantir que seja possível resolver problemas que resultam do uso incorreto do Editor do Registro. Use o Editor do Registro por sua conta e risco.

    Para definir o kill bit para o controle no Registro, execute as seguintes etapas:

    1. Cole o seguinte em um arquivo de texto e salve-o com a extensão de arquivo .reg.

          Windows Registry Editor Version 5.00
          [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{D27CDB6E-AE6D-11CF-96B8-444553540000}]
          "Compatibility Flags"=dword:00000400
      
          [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\ActiveX Compatibility\{D27CDB6E-AE6D-11CF-96B8-444553540000}]
          "Compatibility Flags"=dword:00000400
      
    2. Clique duas vezes no arquivo .reg para aplicá-lo a um sistema individual. Você também pode aplicar essa solução alternativa entre domínios usando Política de Grupo. Para obter mais informações sobre Política de Grupo, consulte o artigo do TechNet, Política de Grupo coleção.

    Nota Você deve reiniciar o Explorer da Internet para que as alterações entrem em vigor.

    Impacto da solução alternativa. Não há nenhum impacto, desde que o objeto não se destine a ser usado na Internet Explorer.

    Como desfazer a solução alternativa. Exclua as chaves do Registro que foram adicionadas na implementação dessa solução alternativa.

  • Impedir que o Adobe Flash Player seja executado na Internet Explorer por meio de Política de Grupo

    Nota O snap-in do MMC Política de Grupo pode ser usado para definir a política para um computador, para uma unidade organizacional ou para um domínio inteiro. Para obter mais informações sobre Política de Grupo, visite os seguintes sites da Microsoft:

    Visão geral da Política de Grupo

    O que é Política de Grupo Editor de Objetos?

    Principais ferramentas e configurações de Política de Grupo

    Para desabilitar o Adobe Flash Player na Internet Explorer por meio de Política de Grupo, execute as seguintes etapas:

    Nota Essa solução alternativa não impede que o Flash seja invocado de outros aplicativos, como o Microsoft Office 2007 ou o Microsoft Office 2010.

    1. Abra o Console de Gerenciamento do Política de Grupo e configure o console para trabalhar com o objeto Política de Grupo apropriado, como computador local, UO ou GPO de domínio.
    2. Navegue até o seguinte nó: Modelos Administrativos ->Componentes do Windows ->Internet Explorer ->Recursos de Segurança ->Gerenciamento de Complementos
    3. Clique duas vezes em Desativar o Adobe Flash na Internet Explorer e impedir que os aplicativos usem a tecnologia de Explorer da Internet para instanciar objetos Flash.
    4. Altere a configuração para Habilitado.
    5. Clique em Aplicar e em OK para retornar ao Console de Gerenciamento do Política de Grupo.
    6. Atualize Política de Grupo em todos os sistemas ou aguarde o próximo intervalo agendado Política de Grupo atualização para que as configurações entrem em vigor.
  • Impedir que o Adobe Flash Player seja executado no Office 2010 em sistemas afetados

    Nota Essa solução alternativa não impede que o Adobe Flash Player seja executado na Internet Explorer.

    Aviso Se você usar o Editor do Registro incorretamente, poderá causar sérios problemas que podem exigir a reinstalação do sistema operacional. A Microsoft não pode garantir que seja possível resolver problemas que resultam do uso incorreto do Editor do Registro. Use o Editor do Registro por sua conta e risco.

    Para obter as etapas detalhadas que você pode usar para impedir que um controle seja executado na Internet Explorer, consulte Artigo da Base de Dados de Conhecimento Microsoft 240797. Siga as etapas no artigo para criar um valor sinalizadores de compatibilidade no registro para impedir que um objeto COM seja instanciado na Internet Explorer.

    Para desabilitar o Adobe Flash Player somente no Office 2010, defina o kill bit para o controle ActiveX para Adobe Flash Player no Registro usando as seguintes etapas:

    1. Crie um arquivo de texto chamado Disable_Flash.reg com o seguinte conteúdo:

          Windows Registry Editor Version 5.00
      
          [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM\Compatibility\{D27CDB6E-AE6D-11CF-96B8-444553540000}]
          "Compatibility Flags"=dword:00000400
      
    2. Clique duas vezes no arquivo .reg para aplicá-lo a um sistema individual.

    3. Nota Você deve reiniciar o Explorer da Internet para que as alterações entrem em vigor.

      Você também pode aplicar essa solução alternativa entre domínios usando Política de Grupo. Para obter mais informações sobre Política de Grupo, consulte o artigo do TechNet, Política de Grupo coleção.

 

  • Impedir que controles ActiveX sejam executados no Office 2007 e no Office 2010

    Para desabilitar todos os controles ActiveX no Microsoft Office 2007 e no Microsoft Office 2010, incluindo o Adobe Flash Player na Internet Explorer, execute as seguintes etapas:

    1. Clique em Arquivo, em Opções, em Central de Confiabilidade e em Configurações da Central de Confiabilidade.
    2. Clique em Configurações do ActiveX no painel esquerdo e selecione Desabilitar todos os controles sem notificações.
    3. Clique em OK para salvar as configurações.

    Impacto da solução alternativa. Os documentos do Office que usam controles ActiveX inseridos podem não ser exibidos conforme o esperado.

    Como desfazer a solução alternativa.

    Para reabilitar os controles ActiveX no Microsoft Office 2007 e no Microsoft Office 2010, execute as seguintes etapas:

    1. Clique em Arquivo, em Opções, em Central de Confiabilidade e em Configurações da Central de Confiabilidade.
    2. Clique em Configurações do ActiveX no painel esquerdo e desmarque Desmarcar Desabilitar todos os controles sem notificações.
    3. Clique em OK para salvar as configurações.

 

  • Definir configurações de zona de segurança da intranet local e internet como "Alta" para bloquear controles ActiveX e scripts ativos nessas zonas

    Você pode ajudar a proteger contra a exploração dessas vulnerabilidades alterando suas configurações para a zona de segurança da Internet para bloquear controles ActiveX e Scripts Ativos. Você pode fazer isso definindo a segurança do navegador como Alta.

    Para aumentar o nível de segurança de navegação na Internet Explorer, execute as seguintes etapas:

    1. No menu Ferramentas de Explorer da Internet, clique em Opções da Internet.
    2. Na caixa de diálogo Opções da Internet , clique na guia Segurança e clique em Internet.
    3. Em Nível de segurança para essa zona, mova o controle deslizante para Alto. Isso define o nível de segurança de todos os sites que você visita ao Alto.
    4. Clique em Intranet local.
    5. Em Nível de segurança para essa zona, mova o controle deslizante para Alto. Isso define o nível de segurança de todos os sites que você visita ao Alto.
    6. Clique em OK para aceitar as alterações e retornar à Internet Explorer.

    Nota Se nenhum controle deslizante estiver visível, clique em Nível Padrão e mova o controle deslizante para Alto.

    Nota Definir o nível como Alto pode fazer com que alguns sites funcionem incorretamente. Se você tiver dificuldades para usar um site depois de alterar essa configuração e tiver certeza de que o site é seguro de usar, poderá adicionar esse site à sua lista de sites confiáveis. Isso permitirá que o site funcione corretamente mesmo com a configuração de segurança definida como Alta.

    Impacto da solução alternativa. Há efeitos colaterais para bloquear controles ActiveX e scripts ativos. Muitos sites na Internet ou em uma intranet usam o ActiveX ou o Active Scripting para fornecer funcionalidade adicional. Por exemplo, um site de comércio eletrônico online ou site bancário pode usar controles ActiveX para fornecer menus, formulários de pedidos ou até mesmo demonstrativos de conta. Bloquear controles ActiveX ou Scripts Ativos é uma configuração global que afeta todos os sites da Internet e da intranet. Se você não quiser bloquear controles ActiveX ou Scripts Ativos para esses sites, use as etapas descritas em "Adicionar sites confiáveis à Internet Explorer zona de sites confiáveis".

  • Configurar o Explorer de Internet para solicitar antes de executar o Script Ativo ou desabilitar o Script Ativo na Zona de Segurança da Internet e da Intranet Local

    Você pode ajudar a proteger contra a exploração dessas vulnerabilidades alterando suas configurações para solicitar antes de executar o Script Ativo ou para desabilitar o Script Ativo na Internet e na zona de segurança da intranet local. Para fazer isso, execute estas etapas:

    1. Na Internet Explorer, clique em Opções da Internet no menu Ferramentas.
    2. Clique na guia Segurança .
    3. Clique em Internet e, em seguida, clique em Nível Personalizado.
    4. Em Configurações, na seção Scripts, em Script Ativo, clique em **Prompt **ou Desabilitar e clique em OK.
    5. Clique em Intranet local e, em seguida, clique em Nível Personalizado.
    6. Em Configurações, na seção Scripts, em Script Ativo, clique em **Prompt **ou Desabilitar e clique em OK.
    7. Clique em OK para retornar à Internet Explorer e clique em OK novamente.

    Nota Desabilitar o Script Ativo na Internet e nas zonas de segurança da intranet local pode fazer com que alguns sites funcionem incorretamente. Se você tiver dificuldades para usar um site depois de alterar essa configuração e tiver certeza de que o site é seguro de usar, poderá adicionar esse site à sua lista de sites confiáveis. Isso permitirá que o site funcione corretamente.

    Impacto da solução alternativa. Há efeitos colaterais para solicitar antes de executar o Script Ativo. Muitos sites que estão na Internet ou em uma intranet usam o Script Ativo para fornecer funcionalidade adicional. Por exemplo, um site de comércio eletrônico online ou site bancário pode usar o Active Scripting para fornecer menus, formulários de pedidos ou até mesmo demonstrativos de conta. Solicitar antes de executar o Active Scripting é uma configuração global que afeta todos os sites da Internet e da intranet. Você será solicitado com frequência ao habilitar essa solução alternativa. Para cada prompt, se você achar que confia no site que está visitando, clique em Sim para executar o Active Scripting. Se você não quiser ser solicitado a fornecer todos esses sites, use as etapas descritas em "Adicionar sites confiáveis à Internet Explorer zona de sites confiáveis".

  • Adicionar sites confiáveis à Internet Explorer zona de sites confiáveis

    Depois de definir a Internet Explorer exigir um prompt antes de executar controles ActiveX e Scripts Ativos na zona da Internet e na zona da intranet local, você pode adicionar sites confiáveis à Internet Explorer zona de sites confiáveis. Isso permitirá que você continue a usar sites confiáveis exatamente como faz hoje, ajudando a protegê-lo contra esse ataque em sites não confiáveis. Recomendamos que você adicione apenas sites confiáveis à zona de sites confiáveis.

    Para fazer isso, execute estas etapas:

    1. Na Internet Explorer, clique em Ferramentas, clique em Opções da Internet e, em seguida, clique na guia Segurança.
    2. Na caixa Selecionar uma zona de conteúdo da Web para especificar suas configurações de segurança atuais , clique em Sites Confiáveis e, em seguida, clique em Sites.
    3. Se você quiser adicionar sites que não exigem um canal criptografado, clique para limpar a opção Exigir verificação do servidor (https:) para todos os sites nesta zona marcar caixa.
    4. Na caixa Adicionar este site à zona , digite a URL de um site em que você confia e clique em Adicionar.
    5. Repita essas etapas para cada site que você deseja adicionar à zona.
    6. Clique em OK duas vezes para aceitar as alterações e retornar à Internet Explorer.

    Nota Adicione todos os sites em que você confia para não tomar medidas mal-intencionadas em seu sistema. Dois sites em particular que talvez você queira adicionar são *.windowsupdate.microsoft.com e *.update.microsoft.com. Esses são os sites que hospedarão a atualização e exigem um controle ActiveX para instalar a atualização.

Implantação de atualização de segurança

Para obter informações de Implantação de Atualização de Segurança, consulte o artigo da Base de Dados de Conhecimento Microsoft referenciado no Resumo Executivo.

Agradecimentos

A Microsoft reconhece os esforços daqueles na comunidade de segurança que nos ajudam a proteger os clientes por meio da divulgação coordenada de vulnerabilidades. Confira Confirmações para obter mais informações.

Isenção de responsabilidade

As informações fornecidas na Base de Dados de Conhecimento Microsoft são fornecidas "como estão" sem garantia de qualquer tipo. A Microsoft se isenta de todas as garantias, expressas ou implícitas, incluindo as garantias de comercialização e adequação para uma finalidade específica. Em nenhum caso, a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, incluindo danos diretos, indiretos, incidentais, conseqüentes, perda de lucros comerciais ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido avisados da possibilidade de tais danos. Alguns estados não permitem a exclusão ou limitação de responsabilidade por danos conseqüentes ou incidentais, portanto, a limitação anterior pode não se aplicar.

Revisões

  • V1.0 (13 de setembro de 2016): boletim publicado.

Página gerada 2016-09-12 09:56-07:00.