Qual é o objetivo deste alerta?

 

Este alerta tem por objetivo fornecer uma visão geral dos novos comunicados de segurança disponibilizados em 12 de novembro de 2013. Adicionalmente, este alerta fornece uma visão geral das revisões realizadas em dois comunicados de segurança existentes em 12 de novembro de 2013.  

Nota: A Microsoft também lançou oito novos boletins de segurança em 12 de novembro de 2013.  Porque existe uma grande quantidade de informação a comunicar, em um esforço para simplificar o processo, os novos boletins de segurança são discutidos em um alerta separado dedicado a informações exclusivas sobre boletins de segurança.

 Novos comunicados de segurança 

A Microsoft publicou três novos comunicados de segurança em 12 de novembro de 2013. Confira a seguir uma visão geral sobre esses novos comunicados de segurança:

 

Comunicado de Segurança 2862152

Vulnerabilidade no Direct Access pode permitir desvio de recurso de segurança

Sumário executivo

A Microsoft está anunciando a disponibilidade de uma atualização para todas as versões suportadas do Windows que soluciona uma vulnerabilidade na forma como o DirectAccess autentica conexões do servidor DirectAccess aos clientes DirectAccess.

Um atacante que explorar com sucesso a vulnerabilidade pode usar um servidor DirectAccess especialmente criado para se passar por um servidor DirectAccess legítimo e estabelecer conexões com clientes DirectAccess legítimos. O sistema controlado pelo atacante, aparecendo ser um servidor legítimo, poderia fazer um sistema cliente se autenticar automaticamente e conectar-se ao sistema controlado pelo atacante, permitindo que o atacante intercepte o tráfego de rede do usuário de destino e potencialmente determine suas credenciais de domínio criptografadas.

A Microsoft não está ciente de qualquer ataque ativo que esteja explorando esta vulnerabilidade no momento do lançamento deste comunicado.

Softwares afetados

  • Windows XP
  • Windows Server 2003
  • Windows Vista
  • Windows Server 2008
  • Windows 7
  • Windows Server 2008 R2
  • Windows 8
  • Windows Server 2012
  • Windows RT
  • Windows 8.1
  • Windows Server 2012 R2
  • Windows RT 8.1

Ações recomendadas para usuários finais

A Microsoft recomenda que os clientes apliquem a atualização imediatamente usando software de gerenciamento de atualizações, ou pela verificação de atualizações usando o serviço Microsoft Update.

Ações recomendadas para administradores corporativos

Além de instalar a atualização, etapas administrativas adicionais são necessárias para estar protegido contra a vulnerabilidade descrita neste comunicado. Leia o Artigo da Base de conhecimento Microsoft 2852152para obter mais detalhes.

Mais informações

http://technet.microsoft.com/pt-br/security/advisory/2862152

 

 

Comunicado de Segurança 2868725

Atualização para desabilitar o RC4

Sumário executivo

A Microsoft está anunciando a disponibilidade de uma atualização que trata fraquezas conhecidas no RC4. O uso do RC4 em TLS e SSL pode permitir a um atacante executar ataques do tipo man-in-the-middle e recuperar texto puro de sessões criptografadas.

A atualização oferece suporte a remoção do RC4 como uma cifra disponível em sistemas afetados por meio de configurações do registro. Ela também permite aos desenvolvedores remover o RC4 em aplicativos individuais através do uso do flag SCH_USE_STRONG_CRYPTO na estrutura SCHANNEL_CRED. Estas opções não são habilitadas por padrão.

Softwares afetados

  • Windows 7
  • Windows Server 2008 R2
  • Windows 8
  • Windows Server 2012
  • Windows RT

Observação: Esta atualização não se aplica ao Windows 8.1, Windows server 2012 R2 ou Windows RT 8.1 porque esses sistemas operacionais já incluem a funcionalidade de restrição do uso do RC4.

Recomendação

A Microsoft recomenda que os clientes baixem e instalem a atualização imediatamente e em seguida, testem as novas configurações em seus ambientes.

Mais informações

http://technet.microsoft.com/pt-br/security/advisory/2868725

 

 

Comunicado de Segurança 2880823

Atualização para reprovação do algoritmo de hashing SHA-1 para o Programa de Certificado Raiz da Microsoft

Sumário executivo

A Microsoft está anunciando uma mudança de política para o Programa de Certificado Raiz da Microsoft. A nova política já não permitirá que autoridades certificadoras raízes emitam certificados X.509 usando o algoritmo de hash SHA-1 para fins de uso do SSL e assinatura de código após 1º de janeiro de 2016. O uso do algoritmo de hash SHA-1 em certificados digitais pode permitir a um atacante falsificar conteúdo, executar ataques de phishing ou executar ataques do tipo man-in-the-middle.

Recomendação

A Microsoft recomenda que as autoridades certificadoras já não emitam certificados usando o algoritmo de hash SHA-1 e comecem a migrar para o algoritmo SHA-2. A Microsoft também recomenda que os clientes substituam seus certificados SHA-1 por certificados SHA-2 assim que possível.

Mais informações

http://technet.microsoft.com/pt-br/security/advisory/2880823

 

Comunicado de segurança relançado

 

A Microsoft relançou um comunicado de segurança em 12 de novembro de 2013. Confira a seguir uma visão geral sobre esse comunicado de segurança:

 

Comunicado de Segurança 2755801

Atualização para vulnerabilidades no Adobe Flash Player no Internet Explorer

Sumário executivo

A Microsoft está anunciando a disponibilidade de uma atualização para o Adobe Flash Player no Internet Explorer em todas as edições suportadas do Windows 8, Windows Server 2012, Windows RT, Windows 8.1, Windows Server 2012 R2 e Windows RT 8.1. A atualização elimina as vulnerabilidades no Adobe Flash Player, atualizando as bibliotecas Adobe Flash afetadas contidas dentro de Internet Explorer 10 e Internet Explorer 11.

Softwares afetados

  • Windows 8
  • Windows Server 2012
  • Windows RT
  • Windows 8.1
  • Windows Server 2012 R2
  • Windows RT 8.1

Mais informações

http://technet.Microsoft.com/pt-br/Security/Advisory/2755801

 

Comunicado de segurança revisado

 

A Microsoft revisou um comunicado de segurança em 12 de novembro de 2013. Confira a seguir uma visão geral sobre esse comunicado de segurança:

 

Comunicado de Segurança 2854544

Atualização para melhoria da infraestrutura de criptografia e de certificados digitais no Windows

Sumário executivo

A Microsoft está anunciando a disponibilidade de uma atualização, como parte dos esforços para melhorar a infraestrutura de criptografia e certificados digitais no Windows. A Microsoft continuará a anunciar atualizações através deste comunicado, tudo com o objetivo de reforçar a infraestrutura de manipulação de certificados e criptografia no Windows, em resposta a um ambiente de ameaças em constante evolução.

Atualizações relacionadas

Comunicado de Segurança Microsoft 2868725-Atualização para desabilitar o RC4

Comunicado de Segurança Microsoft 2880823 - Atualização para reprovação do algoritmo de hashing SHA-1 para o Programa de Certificado Raiz da Microsoft

Mais informações

http://technet.Microsoft.com/pt-br/Security/Advisory/2854544

 

Recursos adicionais

 

 

 

 

 

Sobre a Consistência de Informações

 

Fornecemos a você informações precisas de forma estática (neste e-mail) e dinâmica (na Web). O conteúdo de segurança da Microsoft publicado na Web é atualizado ocasionalmente para refletir informações alteradas. Se os resultados forem inconsistentes entre a informação desta mensagem e a informação no conteúdo de segurança do site da Microsoft, a informação do site deve ser considerada a autoritativa/correta.

 

Se você tiver qualquer dúvida sobre este alerta entre em contato com seu gerente de contas técnico.

 

Atenciosamente,

Equipe de segurança da Microsoft CSS