Compartilhar via


Microsoft Security Bulletin MS16-119 - Crítica

Atualização de segurança cumulativa para o Microsoft Edge (3192890)

Publicado em: 11 de outubro de 2016

Versão: 1.0

Resumo executivo

Esta atualização de segurança resolve vulnerabilidades no Microsoft Edge. A mais grave das vulnerabilidades pode permitir a execução remota de código se um usuário exibir uma página da Web especialmente criada usando o Microsoft Edge. Um invasor que explorar com êxito as vulnerabilidades poderá obter os mesmos direitos de usuário que o usuário atual. Os clientes cujas contas estão configuradas para ter menos direitos de usuário no sistema podem ser menos afetados do que os usuários com direitos de usuário administrativo.

Esta atualização de segurança é classificada como Crítica para o Microsoft Edge no Windows 10. Para obter mais informações, consulte a seção Softwares afetados.

A atualização elimina as vulnerabilidades:

  • modificando como o Microsoft Edge e determinadas funções manipulam objetos na memória.
  • modificando como o mecanismo de script JavaScript do Chakra manipula objetos na memória.
  • restringindo quais informações são retornadas ao Microsoft Edge.
  • alterando a maneira como os navegadores da Microsoft armazenam credenciais na memória.
  • corrigindo como os navegadores da Microsoft lidam com limites de namespace.
  • corrigir como a Política de Segurança de Conteúdo do Microsoft Edge valida documentos.

Para obter mais informações sobre as vulnerabilidades, consulte a seção Informações sobre vulnerabilidade.

Para obter mais informações sobre essa atualização, consulte o artigo 3192890 da Base de Dados de Conhecimento Microsoft.

Softwares afetados

As seguintes versões ou edições de software são afetadas. As versões ou edições que não estão listadas já passaram do ciclo de vida de suporte ou não são afetadas. Para determinar o ciclo de vida de suporte para sua versão ou edição de software, consulte Ciclo de Vida do Suporte da Microsoft.

Sistema operacional Componente Impacto máximo na segurança Classificação de gravidade agregada Atualizações substituídas
Microsoft Edge
Windows 10 para sistemas de 32 bits[1](3192440) Microsoft Edge Execução remota de código Crítico 3185611
Windows 10 para sistemas baseados em x64[1](3192440) Microsoft Edge Execução remota de código Crítico 3185611
Windows 10 versão 1511 para sistemas de 32 bits[1](3192441) Microsoft Edge Execução remota de código Crítico 3185614
Windows 10 versão 1511 para sistemas baseados em x64[1](3192441) Microsoft Edge Execução remota de código Crítico 3185614
Windows 10 versão 1607 para sistemas de 32 bits[1](3194798) Microsoft Edge Execução remota de código Crítico 3189866
Windows 10 versão 1607 para sistemas baseados em x64[1]( 3194798) Microsoft Edge Execução remota de código Crítico 3189866

[1]As atualizações do Windows 10 são cumulativas. A versão de segurança mensal inclui todas as correções de segurança para vulnerabilidades que afetam o Windows 10, além de atualizações não relacionadas à segurança. As atualizações estão disponíveis por meio do Catálogo do Microsoft Update.

Observação As vulnerabilidades discutidas neste boletim afetam o Windows Server 2016 Technical Preview 5. Para se proteger das vulnerabilidades, a Microsoft recomenda que os clientes que executam esse sistema operacional apliquem a atualização atual, que está disponível exclusivamente no Windows Update.

Classificações de gravidade e identificadores de vulnerabilidade

As classificações de gravidade a seguir pressupõem o impacto máximo potencial da vulnerabilidade. Para obter informações sobre a probabilidade, dentro de 30 dias após o lançamento deste boletim de segurança, da possibilidade de exploração da vulnerabilidade em relação à sua classificação de gravidade e impacto à segurança, consulte o Índice de exploração no resumo de boletins de outubro.

Quando especificado na tabela Classificações de gravidade e impacto, os valores Crítico, Importante e Moderado indicam classificações de gravidade. Para obter mais informações, consulte Sistema de classificação de gravidade do boletim de segurança. Consulte a seguinte chave para as abreviaturas usadas na tabela para indicar o impacto máximo:

Abreviação Impacto Máximo
RCE Execução remota de código
EpP Elevação de privilégio
ID Divulgação de informações
SFB Desvio de recurso de segurança

 

Classificações de gravidade e impacto da vulnerabilidade
Número CVE Título da vulnerabilidade Microsoft Edge
CVE-2016-3267 Vulnerabilidade de divulgação não autorizada de informações do navegador da Microsoft Clientes Windows: Moderado / ID Servidores Windows: Baixo / ID
CVE-2016-3331 Vulnerabilidade de corrupção de memória do navegador da Microsoft Clientes Windows: Servidores Windows Críticos / RCE : Moderados / RCE (Win 10 1607 não é afetado)
CVE-2016-3382 Vulnerabilidade de corrupção de memória do mecanismo de script Clientes Windows: Servidores Windows Críticos / RCE : Moderados / RCE
CVE-2016-3386 Vulnerabilidade de corrupção de memória do mecanismo de script Clientes Windows: Servidores Windows Críticos / RCE : Moderados / RCE
CVE-2016-3387 Vulnerabilidade de elevação de privilégio do navegador da Microsoft Clientes Windows: Servidores Windows Importantes / EoP : Baixo / EoP
CVE-2016-3388 Vulnerabilidade de elevação de privilégio do navegador da Microsoft Clientes Windows: Servidores Windows Importantes / EoP : Baixo / EoP
CVE-2016-3389 Vulnerabilidade de corrupção de memória do mecanismo de script Clientes Windows: Servidores Windows Críticos / RCE : Moderados / RCE
CVE-2016-3390 Vulnerabilidade de corrupção de memória do mecanismo de script Clientes Windows: Servidores Windows Críticos / RCE : Moderados / RCE
CVE-2016-3391 Vulnerabilidade de divulgação não autorizada de informações do navegador da Microsoft Clientes Windows: Moderado / ID Servidores Windows: Baixo / ID
CVE-2016-3392 Desvio do recurso de segurança do Microsoft Edge Clientes Windows: Moderado / SFB Servidores Windows: Baixo / SFB
CVE-2016-7189 Vulnerabilidade de execução remota de código do mecanismo de script Clientes Windows: Servidores Windows Críticos / RCE : Moderados / RCE
CVE-2016-7190 Vulnerabilidade de corrupção de memória do mecanismo de script Clientes Windows: Servidores Windows Críticos / RCE : Moderados / RCE
CVE-2016-7194 Vulnerabilidade de corrupção de memória do mecanismo de script Clientes Windows: Servidores Windows Críticos / RCE : Moderados / RCE

Informações de vulnerabilidade

Vulnerabilidade de corrupção de memória do Microsoft Edge - CVE-2016-3331

Existe uma vulnerabilidade de execução remota de código na maneira como o Microsoft Edge manipula objetos na memória. A vulnerabilidade pode corromper a memória de uma forma que pode permitir que um invasor execute código arbitrário no contexto do usuário atual.

Num cenário de ataque baseado na Web, um intruso poderia alojar um Web site especialmente concebido para explorar as vulnerabilidades através do Microsoft Edge e, em seguida, convencer um utilizador a visualizar o Web site. O invasor também pode tirar proveito de sites comprometidos e sites que aceitam ou hospedam conteúdo fornecido pelo usuário ou anúncios. Esses sites podem conter conteúdo especialmente criado que pode explorar a vulnerabilidade.

A atualização de segurança elimina a vulnerabilidade modificando como o Microsoft Edge manipula objetos na memória.

A tabela a seguir contém um link para a entrada padrão da vulnerabilidade na lista Common Vulnerabilities and Exposures:

Título da vulnerabilidade Número CVE Divulgado publicamente Explorado
Vulnerabilidade de corrupção de memória do navegador da Microsoft CVE-2016-3331 Não Não

Fatores atenuantes

A Microsoft não identificou nenhum fator atenuante para essas vulnerabilidades.

Soluções Alternativas

A Microsoft não identificou nenhuma solução alternativa para essas vulnerabilidades.

 

Várias vulnerabilidades de corrupção de memória do mecanismo de script

Existem várias vulnerabilidades de execução remota de código na maneira como o mecanismo JavaScript do Chakra é renderizado ao manipular objetos na memória no Microsoft Edge. As vulnerabilidades podem corromper a memória de tal forma que um invasor possa executar código arbitrário no contexto do usuário atual. Um invasor que explorar com êxito as vulnerabilidades poderá obter os mesmos direitos de usuário que o usuário atual. Se o usuário atual estiver conectado com direitos administrativos, um invasor que explorar com êxito as vulnerabilidades poderá assumir o controle de um sistema afetado. Um invasor pode instalar programas, exibir, alterar ou excluir dados, além de criar contas com direitos de usuário totais.

Num cenário de ataque baseado na Web, um intruso poderia alojar um Web site especialmente concebido para explorar as vulnerabilidades através do Microsoft Edge e, em seguida, convencer um utilizador a visualizar o Web site. Um invasor também pode incorporar um controle ActiveX marcado como "seguro para inicialização" em um aplicativo ou documento do Microsoft Office que hospeda o mecanismo de renderização de Borda. O invasor também pode tirar proveito de sites comprometidos e sites que aceitam ou hospedam conteúdo fornecido pelo usuário ou anúncios. Esses sites podem conter conteúdo especialmente criado que pode explorar as vulnerabilidades.

A atualização de segurança elimina as vulnerabilidades modificando como o mecanismo de script JavaScript do Chakra manipula objetos na memória.

A tabela a seguir contém links para a entrada padrão de cada vulnerabilidade na lista Common Vulnerabilities and Exposures:

Título da vulnerabilidade Número CVE Divulgado publicamente Explorado
Vulnerabilidade de corrupção de memória do mecanismo de script CVE-2016-3382 Não Não
Vulnerabilidade de corrupção de memória do mecanismo de script CVE-2016-3386 Não Não
Vulnerabilidade de corrupção de memória do mecanismo de script CVE-2016-3389 Não Não
Vulnerabilidade de corrupção de memória do mecanismo de script CVE-2016-3390 Não Não
Vulnerabilidade de corrupção de memória do mecanismo de script CVE-2016-7190 Não Não
Vulnerabilidade de corrupção de memória do mecanismo de script CVE-2016-7194 Não Não

Fatores atenuantes

A Microsoft não identificou nenhum fator atenuante para essas vulnerabilidades.

Soluções Alternativas

A Microsoft não identificou nenhuma solução alternativa para essas vulnerabilidades.

 

Vulnerabilidade de divulgação não autorizada de informações do navegador da Microsoft CVE-2016-3267

Existe uma vulnerabilidade de divulgação não autorizada de informações quando o Microsoft Edge não manipula corretamente objetos na memória. A vulnerabilidade pode permitir que um invasor detecte arquivos específicos no computador do usuário. Em um cenário de ataque baseado na Web, um invasor pode hospedar um site usado para tentar explorar a vulnerabilidade.

Além disso, sites comprometidos e sites que aceitam ou hospedam conteúdo gerado pelo usuário podem conter conteúdo especialmente criado que pode explorar a vulnerabilidade. Em todos os casos, no entanto, um invasor não teria como forçar um usuário a exibir o conteúdo controlado pelo invasor. Em vez disso, um invasor teria que convencer os usuários a agir. Por exemplo, um invasor pode enganar os usuários para que cliquem em um link que os leve ao site do invasor.

O invasor que explorar com êxito a vulnerabilidade poderá ler dados que não se destinavam a ser divulgados. Observe que a vulnerabilidade não permite que um invasor execute código ou eleve os direitos de um usuário diretamente, mas a vulnerabilidade pode ser usada para obter informações na tentativa de comprometer ainda mais o sistema afetado. A atualização elimina a vulnerabilidade, ajudando a restringir quais informações são retornadas ao Internet Explorer.

A tabela a seguir contém um link para a entrada padrão da vulnerabilidade na lista Common Vulnerabilities and Exposures:

Título da vulnerabilidade Número CVE Divulgado publicamente Explorado
Vulnerabilidade de divulgação não autorizada de informações do navegador da Microsoft CVE-2016-3267 Não Não

Fatores atenuantes

A Microsoft não identificou nenhum fator atenuante para esta vulnerabilidade.

Soluções Alternativas

A Microsoft não identificou quaisquer soluções alternativas para esta vulnerabilidade.

 

Vulnerabilidade de divulgação não autorizada de informações do navegador da Microsoft CVE-2016-3391

Existe uma vulnerabilidade de divulgação não autorizada de informações quando os navegadores da Microsoft deixam dados de credenciais na memória. O invasor que explorar com êxito essa vulnerabilidade poderá coletar credenciais de um despejo de memória do processo do navegador. Um invasor precisaria acessar um despejo de memória do sistema afetado.

A atualização elimina a vulnerabilidade alterando a maneira como os navegadores da Microsoft armazenam credenciais na memória.

A tabela a seguir contém um link para a entrada padrão da vulnerabilidade na lista Common Vulnerabilities and Exposures:

Título da vulnerabilidade Número CVE Divulgado publicamente Explorado
Vulnerabilidade de divulgação não autorizada de informações do navegador da Microsoft CVE-2016-3391 Não Não

Fatores atenuantes

A Microsoft não identificou nenhum fator atenuante para esta vulnerabilidade.

Soluções Alternativas

A Microsoft não identificou quaisquer soluções alternativas para esta vulnerabilidade. 

Vulnerabilidade de execução remota de código do mecanismo de script CVE-2016-7189

Existe uma vulnerabilidade de execução remota de código quando o Microsoft Edge manipula incorretamente objetos na memória. O invasor que explorar com êxito a vulnerabilidade poderá obter informações para comprometer ainda mais o sistema do usuário.

Para explorar a vulnerabilidade, em um cenário de ataque baseado na Web, um invasor pode hospedar um site usado para tentar explorar a vulnerabilidade. Além disso, sites comprometidos e sites que aceitam ou hospedam conteúdo fornecido pelo usuário podem conter conteúdo especialmente criado que pode explorar a vulnerabilidade. Em todos os casos, no entanto, um invasor não teria como forçar os usuários a exibir o conteúdo controlado pelo invasor. Em vez disso, um invasor teria que convencer os usuários a agir. Por exemplo, um invasor pode enganar os usuários para que cliquem em um link que os leve ao site do invasor.

A atualização elimina a vulnerabilidade corrigindo como os componentes afetados manipulam objetos na memória.

A tabela a seguir contém um link para a entrada padrão da vulnerabilidade na lista Common Vulnerabilities and Exposures:

Título da vulnerabilidade Número CVE Divulgado publicamente Explorado
Vulnerabilidade de execução remota de código do mecanismo de script CVE-2016-7189 Não Não

Fatores atenuantes

A Microsoft não identificou nenhum fator atenuante para essas vulnerabilidades.

Soluções Alternativas

A Microsoft não identificou nenhuma solução alternativa para essas vulnerabilidades.

Várias vulnerabilidades de elevação de privilégio do navegador da Microsoft

Existem vulnerabilidades de elevação de privilégio quando o Microsoft Edge não protege corretamente o namespace privado. Um invasor que explorar com êxito essas vulnerabilidades poderá obter permissões elevadas no diretório de namespace de um sistema vulnerável e obter privilégios elevados.

As vulnerabilidades por si só não permitem a execução de código arbitrário. No entanto, essas vulnerabilidades podem ser usadas em conjunto com uma ou mais vulnerabilidades (por exemplo, uma vulnerabilidade de execução remota de código e outra elevação de privilégio) que podem tirar proveito dos privilégios elevados durante a execução.

A atualização elimina as vulnerabilidades corrigindo como os navegadores da Microsoft lidam com limites de namespace.

A tabela a seguir contém links para a entrada padrão de cada vulnerabilidade na lista Common Vulnerabilities and Exposures:

Título da vulnerabilidade Número CVE Divulgado publicamente Explorado
Vulnerabilidade de elevação de privilégio do navegador da Microsoft CVE-2016-3388 Não Não
Vulnerabilidade de elevação de privilégio do navegador da Microsoft CVE-2016-3387 Não Não

Fatores atenuantes

A Microsoft não identificou nenhum fator atenuante para essas vulnerabilidades.

Soluções Alternativas

A Microsoft não identificou nenhuma solução alternativa para essas vulnerabilidades.

Vulnerabilidade de desvio do recurso de segurança do navegador da Microsoft - CVE-2016-3392

Existe uma vulnerabilidade de desvio de recurso de segurança quando a Política de Segurança de Conteúdo de Borda não manipula corretamente a validação de determinados documentos especialmente criados.

Um invasor pode enganar um usuário para que ele carregue uma página com conteúdo mal-intencionado. Para explorar a vulnerabilidade, um invasor precisaria enganar um usuário para que ele carregue uma página ou visite um site. A página também pode ser injetada em um site ou rede de anúncios comprometidos.

A atualização corrige como a Política de Segurança de Conteúdo de Borda valida documentos.

A tabela a seguir contém um link para a entrada padrão da vulnerabilidade na lista Common Vulnerabilities and Exposures:

Título da vulnerabilidade Número CVE Divulgado publicamente Explorado
Vulnerabilidade de desvio do recurso de segurança do Microsoft Edge CVE-2016-3392 Não Não

Fatores atenuantes

A Microsoft não identificou nenhum fator atenuante para essas vulnerabilidades.

Soluções Alternativas

A Microsoft não identificou nenhuma solução alternativa para essas vulnerabilidades.

Implantação de atualização de segurança

Para obter informações sobre a Implantação da Atualização de Segurança, consulte o artigo da Base de Dados de Conhecimento Microsoft mencionado no Resumo Executivo.

Agradecimentos

A Microsoft reconhece os esforços daqueles na comunidade de segurança que nos ajudam a proteger os clientes por meio da divulgação coordenada de vulnerabilidades. Consulte Agradecimentos para obter mais informações.

Aviso de isenção de responsabilidade

As informações fornecidas na Base de Dados de Conhecimento Microsoft são fornecidas "no estado em que se encontram", sem qualquer tipo de garantia. A Microsoft se isenta de todas as garantias, expressas ou implícitas, incluindo as garantias de comercialização e adequação a uma finalidade específica. Em nenhuma circunstância a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, incluindo danos diretos, indiretos, incidentais, consequenciais, perda de lucros comerciais ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido avisados da possibilidade de tais danos. Alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou incidentais, portanto, a limitação acima pode não se aplicar.

Revisões

  • V1.0 (11 de outubro de 2016) Boletim publicado.

Página gerada em 12/10/2016 10:17-07:00.