ID do artigo: 2643584 - �ltima revis�o: quinta-feira, 26 de janeiro de 2012 - Revis�o: 4.0

MS12-006: Vulnerabilidade no SSL/TLS pode permitir a divulga��o de informa��es: 10 de janeiro de 2012

Exibir os produtos aos quais esse artigo se aplica.

Dica do SistemaEste artigo aplica-se a um sistema operativo diferente do que est� a utilizar. Foi desactivado o conte�do do artigo, que pode n�o ser relevante para si.

INTRODU��O

A Microsoft lan�ou o boletim de seguran�a MS12-006. Para exibir o boletim completo, visite um dos seguintes sites da Microsoft:

Usu�rios dom�sticos:
http://www.microsoft.com/pt-br/security/pc-security/bulletins/201201.aspx (http://www.microsoft.com/pt-br/security/pc-security/bulletins/201201.aspx)
Pular os detalhes: Baixe agora as atualiza��es para seu computador dom�stico ou laptop pelo site do Microsoft Update:
http://www.update.microsoft.com/microsoftupdate/v6/default.aspx?ln=pt-br (http://www.update.microsoft.com/microsoftupdate/v6/default.aspx?ln=pt-br)
Profissionais de TI:
http://technet.microsoft.com/pt-br/security/bulletin/ms12-006 (http://technet.microsoft.com/pt-br/security/bulletin/ms12-006)

Voltar para o in�cio

Como obter ajuda e suporte para esta atualiza��o de seguran�a

Os usu�rios dom�sticos podem obter suporte gratuito pelo telefone 1-866-PCSAFETY nos Estados Unidos e Canad�

(visite esta p�gina para encontrar o n�mero de telefone de sua localidade) (http://support.microsoft.com/gp/cu_sc_selector_telephone?ln=pt-br)

ou contatando a subsidi�ria local da Microsoft. Para obter mais informa��es sobre como contatar sua subsidi�ria local da Microsoft para solucionar problemas de suporte com atualiza��es de seguran�a, visite o site de Suporte Internacional da Microsoft:

http://support.microsoft.com/common/international.aspx?ln=pt-br&rdpath=4 (http://support.microsoft.com/common/international.aspx?ln=pt-br&rdpath=4)

Os clientes da Am�rica do Norte podem obter acesso instant�neo a suporte por email gratuito ilimitado ou a suporte individual por chat ilimitado visitando o seguinte site da Microsoft:

https://consumersecuritysupport.microsoft.com/default.aspx?locale=pt-br&st=1&wfxredirect=1 (https://consumersecuritysupport.microsoft.com/default.aspx?locale=pt-br&st=1&wfxredirect=1)

Para clientes empresariais, o suporte para atualiza��es de seguran�a est� dispon�vel em seus contatos de suporte normais.

Voltar para o in�cio

Corrigir para mim

Duas solu��es Fix it est�o dispon�veis.

Solu��o Fix it para TLS 1.1 no Internet Explorer: A solu��o habilita o TLS 1.1, que n�o � afetado por essa vulnerabilidade, no Windows Internet Explorer. A maioria dos usu�rios padr�es deve instalar essa solu��o Fix it.
Solu��o Fix it para TLS 1.1 em servidores baseados no Windows: A solu��o habilita o TLS 1.1, que n�o � afetado pela vulnerabilidade.

As solu��es Fix it descritas nesta se��o n�o s�o destinadas a substituir qualquer atualiza��o de seguran�a. � recomend�vel ter sempre as atualiza��es de seguran�a mais recentes instaladas. No entanto, oferecemos as solu��es Fix it como alternativas para alguns cen�rios.

Para obter mais informa��es sobre as solu��es alternativas, consulte o boletim de seguran�a MS12-006:

http://technet.microsoft.com/pt-br/security/bulletin/ms12-006 (http://technet.microsoft.com/pt-br/security/bulletin/ms12-006)

�O boletim fornece mais informa��es sobre o problema e inclui o seguinte:

Os cen�rios nos quais voc� pode aplicar ou desabilitar a solu��o alternativa
Fatores de redu��o
Solu��es alternativas
Perguntas mais frequentes

Especificamente, para ver esta informa��o, procure na se��o de�Informa��es sobre Vulnerabilidade e expanda o par�grafo sobre Alternativas no par�grafo Protocolos de Vulnerabilidade SSL e TLS - CVE-2011-3389.

Voltar para o in�cio

Solu��o Fix it para TLS 1.1 no Internet Explorer

Para habilitar ou desabilitar esta solu��o Fix it, clique no bot�o Corrigir ou no link sob o cabe�alho Habilitar ou sob o cabe�alho Desabilitar. Clique em Executar na caixa de di�logo Download de Arquivo e siga as etapas no Assistente Fix it.

Recolher esta tabelaExpandir esta tabela

Habilitar	Desabilitar
Corrigir este problema Microsoft Fix it 50773	Corrigir este problema Microsoft Fix it 50772

Observa��es

Esses assistentes podem estar dispon�veis apenas em ingl�s. No entanto, as corre��es autom�ticas tamb�m funcionam em vers�es do Windows em outros idiomas.
Se estiver usando um computador que n�o apresenta esse problema, voc� poder� salvar a corre��o autom�tica em uma unidade flash ou em um CD para execut�-la posteriormente no computador com o problema.

Voltar para o in�cio

Solu��o Fix it para TLS 1.1 em servidores baseados no Windows

Recolher esta tabelaExpandir esta tabela

Habilitar	Desabilitar
Corrigir este problema Microsoft Fix it 50774	Corrigir este problema Microsoft Fix it 50775

Observa��es

Esses assistentes podem estar dispon�veis apenas em ingl�s. No entanto, as corre��es autom�ticas tamb�m funcionam em vers�es do Windows em outros idiomas.
Se estiver usando um computador que n�o apresenta esse problema, voc� poder� salvar a corre��o autom�tica em uma unidade flash ou em um CD para execut�-la posteriormente no computador com o problema.

Voltar para o in�cio

Problemas conhecidos com esta atualiza��o de seguran�a

Ap�s instalar esta atualiza��o de seguran�a, voc� pode experimentar falha de autentica��o ou perda de conectividade com alguns servidores HTTPS. Este problema ocorre porque esta atualiza��o de seguran�a altera a forma que os registros s�o enviados ao servidor HTTPS.

Para desativar ou reativar temporariamente esta atualiza��o de seguran�a, clique no bot�o Fix it ou no link do cabe�alho Desativar atualiza��o de seguran�a ou no cabe�alho Reativar atualiza��o de seguran�a. Clique em Executar na caixa de di�logo Download de Arquivo e siga as etapas descritas no assistente Corrigir.

Recolher esta tabelaExpandir esta tabela

Desativar a atualiza��o de seguran�a	Reativar a atualiza��o de seguran�a
Corrigir este problema Microsoft Fix it 50824	Corrigir este problema Microsoft Fix it 50825

Observa��es

Esses assistentes podem estar dispon�veis apenas em ingl�s. No entanto, as corre��es autom�ticas tamb�m funcionam em vers�es do Windows em outros idiomas.
Se estiver usando um computador que n�o apresenta esse problema, voc� poder� salvar a corre��o autom�tica em uma unidade flash ou em um CD para execut�-la posteriormente no computador com o problema.

A seguinte tabela mostra os valores que s�o aplicados a estas solu��es Fix it para o registro SendExtraRecord da entrada DWORD:

Recolher esta tabelaExpandir esta tabela

Cabe�alho	Valor aplicado � entrada SendExtraRecord
Desativar a atualiza��o de seguran�a	2
Reativar a atualiza��o de seguran�a	0

Problemas conhecidos e informa��es adicionais sobre esta atualiza��o de seguran�a

Os artigos a seguir cont�m informa��es adicionais sobre esta atualiza��o de seguran�a em rela��o a vers�es de produtos individuais. Os artigos podem conter informa��es sobre problemas conhecidos. Se esse for o caso, o problema conhecido estar� listado abaixo de cada link de artigo:

2585542� (http://support.microsoft.com/kb/2585542/pt-br/ ) MS12-006: Descri��o da atualiza��o de seguran�a do Webio, Winhttp e schannel no Windows: 10 de janeiro de 2012
2638806� (http://support.microsoft.com/kb/2638806/pt-br/ ) MS12-006: Descri��o da atualiza��o de seguran�a do Winhttp no Windows Server 2003 e Windows XP Professional x64 Edition: 10 de janeiro de 2012

Voltar para o in�cio

Informa��es de Registro

N�o recomendado N�o recomendamos que voc� use o seguinte procedimento para desativar esta atualiza��o de seguran�a. No entanto, fornecemos este procedimento para cen�rios nos quais voc� pode estar usando aplicativos incompat�veis com esta atualiza��o de seguran�a, que permitem a divis�o de Registros SSL para todos os aplicativos.

Importante Esta se��o, m�todo ou tarefa cont�m etapas que descrevem como modificar o Registro. No entanto, s�rios problemas poder�o ocorrer caso voc� modifique o Registro incorretamente. Portanto, certifique-se de seguir essas etapas cuidadosamente. Para obter mais prote��o, fa�a um backup do Registro antes de modific�-lo. Dessa forma, voc� poder� restaurar o Registro se ocorrer um problema. Para obter informa��es adicionais sobre como fazer backup e restaurar o Registro, clique no n�mero abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft:

322756� (http://support.microsoft.com/kb/322756/pt-br/ ) Como fazer o backup e restaurar o Registro no Windows

Por padr�o, esta atualiza��o de seguran�a define o modo Aceitar no n�vel schannel devido aos problemas de compatibilidade do aplicativo. Para desativar esta atualiza��o de seguran�a para todos os aplicativos do sistema, voc� deve adicionar um valor DWORD chamado SendExtraRecord que possui um valor de 2 para a seguinte subchave do Registro:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL

Para adicionar esta entrada de Registro da entrada de registro schannel, siga estas etapas:

Clique em Iniciar, Executar, digite regedit na caixa Abrir e clique em OK.
Localize e clique na seguinte subchave do Registro:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL
No menu Editar, aponte para Novo e clique em Valor DWORD.
Digite SendExtraRecord para o nome do DWORD e pressione ENTER.
Clique com o bot�o direito em SendExtraRecord e clique em Modificar.
Na caixa Dados do valor, digite 2 para desativar o Registro de divis�o no schannel e clique em OK.
Saia do Editor do Registro.

Esta entrada do Registro pode ter tr�s valores, que fornecem diferentes modos de opera��o:

Recolher esta tabelaExpandir esta tabela

Valor da chave de Registro	Descri��o
0	Por padr�o, o schannel est� inclu�do no "Modo Aceitar". Isso significa que esta atualiza��o de seguran�a trabalhar� para todos os chamadores que enviarem o sinalizador Seguro para o schannel. A entrada do Registro schannel "SendExtraRecord" n�o ser� criada pelo pacote de seguran�a. Portanto, n�o haver uma entrada do Registro schannel significa que o sistema est� executando deste modo. Se algu�m cria esta chave do registro e define o valor para 0, o schannel executar� novamente deste modo. Esta configura��o tem o mesmo efeito que n�o criar esta entrada de Registro. Os aplicativos que enviam um sinalizador Seguro para o schannel durante a sess�o de inicializa��o ir� preparar somente o caminho de c�digo seguro fixo. Para outros aplicativos, n�o haver� mudan�as no comportamento do schannel. Esta atualiza��o de seguran�a tamb�m corrige as camadas do aplicativo que est�o envolvidas na navega��o da Web usando o Internet Explorer para enviar o sinalizador Seguro para ajudar a proteger os cen�rios de uso do navegador. Observa��o No Windows Server 2003, a atualiza��o de seguran�a 2638806 deve ser instalada para ajudar na seguran�a dos aplicativos do cliente HTTP que usam o WinHTTP APIs. Para obter mais informa��es, clique no n�mero abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft: 2638806� (http://support.microsoft.com/kb/2638806/pt-br/ ) MS12-006: Descri��o da atualiza��o de seguran�a do Winhttp no Windows Server 2003 e Windows XP Professional x64 Edition: 10 de janeiro de 2012
1	Definir o valor para 1 significa "ativado para todos". Isso significa que os chamadores n�o precisam enviar o sinalizador e o schannel dividir� todos os Registros SSL. Com este valor definido, os aplicativos n�o precisam fazer qualquer altera��o. Um cliente que est� muito preocupado com a seguran�a do sistema pode ajudar a tornar seu sistema mais seguro, permitindo esta chave do registro.
2	Definir o valor para 2 significa "desativado para todos". Isso significa que o schannel n�o dividir� os Registros de qualquer chamada de criptografia que o aplicativo faz. Este modo n�o honra a bandeira Segura que um aplicativo envia.

Com base em testes internos, descobrimos que n�o � poss�vel definir o valor de Registro para 1, pois pode quebrar muitos cen�rios em uma empresa. Portanto, n�o incentivamos os usu�rios a us�-lo.

Voltar para o in�cio

Problemas conhecidos com a ativa��o da entrada do Registro SendExtraRecord.

Definir o valor de entrada do Registro SendExtraRecord para 1 imp�e a divis�o do Registro em cada chamada para criptografar os dados no schannel. Isso ocorre independente se o chamador envia o sinalizador Seguro durante a inicializa��o da sess�o.
Muitos aplicativos que usam o schannel s�o escritos de modo que o lado do receptor assume os dados do aplicativo que ser�o embalados em um �nico pacote. Isso ocorre mesmo que o aplicativo chame o schannel para descriptografar. Os aplicativos ignoram um sinalizador definido pelo schannel. O sinalizador indica ao aplicativo que n�o h� mais dados a serem descriptografados e captados pelo receptor. Este m�todo n�o segue o m�todo prescrito pelo MSDN do uso do schannel. Como a atualiza��o de seguran�a imp�e a divis�o do Registro, ocorre a quebra de tais aplicativos.
Os aplicativos quebrados incluem produtos Microsoft e componentes na caixa. Os seguintes s�o exemplos de cen�rios que podem ser quebrados quando o valor do Registro SendExtraRecord � definido para 1:

Todos os produtos SQL e aplicativos embutidos no SQL.
Os Servidores de Terminal que possuam a Autentica��o em N�vel de Rede (NLA) ativada. Por padr�o, a NLA est� ativada no Windows Vista e vers�es posteriores do Windows.
Alguns cen�rios de RRAS (Routing Remote Access Service).

Definir o valor do Registro SendExtraRecord para 1 imp�e a divis�o de Registro segura para todos os aplicativos que usam o Windows TLS/SSL. No entanto, esta configura��o provavelmente ter� problemas de compatibilidade de aplicativos. Portanto, recomendamos que os clientes configurem o TLS 1.1 e o TLS 1.2 em vez de usar esta configura��o de registro. O TLS 1.1 e o TLS 1.2 n�o s�o vulner�veis a este problema.

Se um usu�rio pretende usar esta configura��o do Registro, recomendamos que realizem totalmente os testes de compatibilidade do aplicativo antes de implement�-los. Alguns produtos comuns que s�o conhecidos por serem afetados por esta configura��o incluem produtos Microsoft SQL, Windows Terminal Server e Windows Remote Access Server.

Voltar para o in�cio

Perguntas frequentes

Pergunta: O que a Microsoft pode fazer para me ajudar a corrigir o meu aplicativo do servidor?
Resposta: Certifique-se de que o aplicativo pode lidar com a Fragmenta��o de Registros do aplicativo SSL/TLS, conforme descrito nos seguintes RFCs:

TLS 1.0: http://www.ietf.org/rfc/rfc2246.txt paragraph 6.2.1 (http://www.ietf.org/rfc/rfc2246.txt)
SSL 3.0: http://www.ietf.org/rfc/rfc6101.txt paragraph 5.2.1 (http://www.ietf.org/rfc/rfc6101.txt)

Voltar para o in�cio

Observa��o: este � um artigo de ?PUBLICA��O R�PIDA? criado diretamente pela organiza��o de suporte da Microsoft. As informa��es aqui contidas s�o fornecidas no presente estado, em resposta a quest�es emergentes. Como resultado da velocidade de disponibiliza��o, os materiais podem incluir erros tipogr�ficos e poder�o ser revisados a qualquer momento, sem aviso pr�vio. Consulte os Termos de Uso (http://go.microsoft.com/fwlink/?LinkId=151500) para ver outras informa��es.

Voltar para o in�cio