MS12-006: Uma vulnerabilidade no SSL/TLS pode permitir a divulgação de informações: 10 de Janeiro de 2012

Traduções de Artigos Traduções de Artigos
Artigo: 2643584 - Ver produtos para os quais este artigo se aplica.
Expandir tudo | Reduzir tudo

Nesta página

INTRODUÇÃO

A Microsoft publicou o boletim de segurança MS12-006. Para ver o boletim de segurança completo, visite um dos seguintes Web sites da Microsoft:

Como obter ajuda e suporte para esta actualização de segurança

Os utilizadores domésticos dispõem de suporte gratuito através do número 1-866-PCSAFETY nos Estados Unidos e no Canadá
(visite esta página para saber qual é o seu número de telefone local)
ou contactando a subsidiária local da Microsoft. Para mais informações sobre como contactar a subsidiária local da Microsoft relativamente a problemas de suporte com actualizações de segurança, visite o Web site de Suporte Internacional da Microsoft:
http://support.microsoft.com/common/international.aspx?ln=pt&rdpath=4
Os clientes da América do Norte também podem obter acesso imediato a suporte gratuito ilimitado por correio electrónico ou a suporte individual ilimitado por chat, visitando o seguinte Web site da Microsoft:
https://support.microsoft.com/oas/default.aspx?ln=pt&prid=7552&st=1&wfxredirect=1&sd=gn
No caso de clientes empresariais, o suporte para actualizações de segurança está disponível através dos contactos de suporte normais.

Corrigir por mim

Estão disponíveis duas soluções Fix it.
  • Solução Fix it para Transport Layer Security (TLS) 1.1 no Internet Explorer: A solução activa o TLS 1.1, que não é afectado por esta vulnerabilidade, no Windows Internet Explorer. A maioria dos utilizadores tradicionais deve instalar esta solução Fix it.
  • Solução Fix it para TLS 1.1 em servidores baseados no Windows: A solução activa o TLS 1.1, que não é afectado pela vulnerabilidade.
As soluções Fix it descritas nesta secção não se destinam a substituir nenhuma actualização de segurança. Recomendamos que instale sempre as actualizações de segurança mais recentes. No entanto, disponibilizamos estas soluções Fix it como opções de solução para determinados cenários.

Para mais informações acerca de medidas para contornar o problema, consulte o boletim de segurança MS12-006:
http://technet.microsoft.com/pt-pt/security/bulletin/ms12-006
O boletim fornece mais informações sobre o problema e inclui o seguinte:
  • Os cenários nos quais poderá aplicar ou desactivar a medida para contornar o problema
  • Factores atenuantes
  • Formas de contornar o problema
  • Perguntas mais frequentes
Especificamente, para ver estas informações, procure a secção Informações de Vulnerabilidade e, em seguida, expanda o parágrafo Resoluções abaixo do parágrafo Vulnerabilidade dos Protocolos SSL e TLS - CVE-2011-3389.

Solução Fix it para TLS 1.1 no Internet Explorer

Para activar ou desactivar esta solução Fix it, clique na hiperligação ou botão Fix it sob o cabeçalho Activar ou sob o cabeçalho Desactivar. Clique em Executar na caixa de diálogo Transferência de Ficheiros e, em seguida, siga os passos indicados no Assistente Fix it.
Reduzir esta tabelaExpandir esta tabela
ActivarDesactivar
Corrigir este problema
Microsoft Fix it 50773
Corrigir este problema
Microsoft Fix it 50772

Notas

  • Estes assistentes podem estar apenas em inglês. Contudo, as correcções automáticas também funcionam para versões do Windows noutros idiomas.
  • Se não estiver a trabalhar no computador que tem o problema, pode guardar a correcção automática numa unidade Flash ou num CD e, em seguida, executá-la no computador com o problema.

Solução Fix it para TLS 1.1 em servidores baseados no Windows

Para activar ou desactivar esta solução Fix it, clique na hiperligação ou botão Fix it sob o cabeçalho Activar ou sob o cabeçalho Desactivar. Clique em Executar na caixa de diálogo Transferência de Ficheiros e, em seguida, siga os passos indicados no assistente Fix it.
Reduzir esta tabelaExpandir esta tabela
ActivarDesactivar
Corrigir este problema
Microsoft Fix it 50774
Corrigir este problema
Microsoft Fix it 50775

Notas

  • Estes assistentes podem estar apenas em inglês. Contudo, as correcções automáticas também funcionam para versões do Windows noutros idiomas.
  • Se não estiver a trabalhar no computador que tem o problema, pode guardar a correcção automática numa unidade Flash ou num CD e, em seguida, executá-la no computador com o problema.

Problemas conhecidos com esta actualização de segurança

Após instalar esta actualização de segurança, poderá detectar alguma falha de autenticação ou perda de conectividade a alguns servidores HTTPS. Este problema ocorre porque esta actualização de segurança altera o modo como os registos são enviados para os servidores HTTPS. 

Para desactivar temporariamente ou reactivar esta actualização de segurança, clique no botão ou hiperligação Fix it sob o cabeçalho Desactivar a actualização de segurança ou sob o cabeçalho Reactivar a actualização de segurança . Clique em Executar na caixa de diálogo Transferência de Ficheiros e, em seguida, siga os passos indicados no assistente Fix it.
Reduzir esta tabelaExpandir esta tabela
Desactivar a actualização de segurança Reactivar a actualização de segurança
Corrigir este problema
Microsoft Fix it 50824
Corrigir este problema
Microsoft Fix it 50825
Notas
  • Estes assistentes podem estar apenas em inglês. Contudo, as correcções automáticas também funcionam para versões do Windows noutros idiomas.
  • Se não estiver a trabalhar no computador que tem o problema, pode guardar a correcção automática numa unidade Flash ou num CD e, em seguida, executá-la no computador com o problema.
A tabela seguinte mostra os valores que são aplicados por estas soluções Fix it para a entrada DWORD do registo SendExtraRecord:
Reduzir esta tabelaExpandir esta tabela
Cabeçalho Valor aplicado na entrada SendExtraRecord
Desactivar a actualização de segurança 2
Reactivar a actualização de segurança 0

Problemas conhecidos e informações adicionais sobre esta actualização de segurança

Os artigos seguintes incluem informações adicionais sobre esta actualização de segurança relativamente a versões de produtos individuais. Os artigos podem incluir informações sobre o problema conhecido. Se for este o caso, o problema conhecido é listado abaixo de cada hiperligação do artigo:
  • 2585542 MS12-006: Descrição da actualização de segurança para Webio, Winhttp e Schannel no Windows: 10 de Janeiro de 2012
  • 2638806 MS12-006: Descrição da actualização de segurança para Winhttp no Windows Server 2003 e Windows XP Professional x64 Edition: 10 de Janeiro de 2012

Informações de registo

Não recomendado Não aconselhamos a utilização do seguinte procedimento para desactivar esta actualização de segurança. Contudo, fornecemos esta procedimento para cenários nos quais possa ter utilizado aplicações que são incompatíveis com esta actualização de segurança, o que permite registos SSL divididos para todas as aplicações.

Importante Esta secção, método ou tarefa contém passos que explicam como modificar o registo. No entanto, poderão ocorrer problemas graves se modificar o registo de forma incorrecta. Assim, certifique-se de que segue estes passos cuidadosamente. Para uma maior segurança, efectue uma cópia de segurança do registo antes de o modificar. Deste modo, pode restaurar o registo se ocorrer um problema. Para mais informações sobre como efectuar uma cópia de segurança e restaurar o registo, clique no número de artigo que se segue para visualizar o artigo na Base de Dados de Conhecimento Microsoft:
322756 Como criar uma cópia de segurança e restaurar o registo no Windows


Por predefinição, esta actualização de segurança define o modo Opt-in ao nível Schannel, devido a problemas de compatibilidade da aplicação. Para desactivar esta actualização de segurança em todas as aplicações ao nível do sistema, deve adicionar um valor DWORD com o nome SendExtraRecord com um valor 2 à seguinte subchave do registo:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL
Para adicionar esta entrada de registo Schannel, siga estes passos:
  1. Clique em Iniciar, clique em Executar, escreva regedit na caixa Abrir e clique em OK.
  2. Localize e clique na seguinte subchave no registo:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL
  3. No menu Editar, aponte para Novo e, em seguida, clique em Valor DWORD.
  4. Escreva SendExtraRecord para o nome de DWORD e, em seguida, prima ENTER.
  5. Clique com o botão direito em SendExtraRecord e, em seguida, clique em Modificar.
  6. Na caixa Dados do valor, escreva 2 para desactivar o registo dividido no Schannel e, em seguida, clique em OK.
  7. Saia do Editor de Registo.
Esta entrada de registo pode ter três valores, os quais fornecem diferentes modos de funcionamento:
Reduzir esta tabelaExpandir esta tabela
Valor da chave de registo Descrição
0Por predefinição, Schannel está incluído no "Modo Optin". Isto significa que esta actualização de segurança funcionará para todos os autores de chamadas que enviem o sinalizador Secure para o Schannel. A entrada de registo do Schannel "SendExtraRecord" não será criada pelo pacote de segurança. Por conseguinte, nenhuma entrada de registo do Schannel significa que o sistema está a executar este modo. Se alguém criar esta chave de registo e definir o valor para 0, o schannel voltará a ser executado neste modo.

Esta definição tem o mesmo efeito que não criar de todo esta entrada de registo. Aplicações que enviem um sinalizador Secure para o Schannel durante o início de sessão só utilizarão o caminho de código seguro corrigido. Nas outras aplicações, não existirá alteração no comportamento do Schannel.

Esta actualização de segurança também corrige as camadas de aplicações que estão envolvidas na navegação na Web ao utilizar o Internet Explorer para enviar este sinalizador Secure, de modo a ajudar a proteger os cenários de utilização de browsers.

Nota No Windows Server 2003, a actualização de segurança 2638806 tem de ser instalada para ajudar a proteger as aplicações do cliente HTTP que utilizam APIs WinHTTP. Para obter mais informações, clique no número de artigo que se segue para ver o artigo na Base de Dados de Conhecimento Microsoft:
2638806 MS12-006: Descrição da actualização de segurança para Winhttp no Windows Server 2003 e Windows XP Professional x64 Edition: 10 de Janeiro de 2012
1 Definir o valor como 1 significa "activar para todos". Isto significa que os autores de chamadas não têm de enviar o sinalizador e que o Schannel irá dividir todos os registos SSL. Com este valor definido, as aplicações não têm que fazer nenhuma alteração. Os clientes que estão preocupados com a segurança do sistema podem ajudar a tornar os seus sistemas mais seguros, ao activar esta chave de registo.
2 Definir o valor como 2 significa "desactivar para todos". Isto significa que o Schannel não irá dividir os registos em nenhuma chamada de encriptação que a aplicação faça. Este modo não respeita o sinalizador Seguro que uma aplicação envia.
Com base em testes internos, verificámos que não pode verdadeiramente definir o valor de registo como 1, dado que pode dar origem a demasiados cenários numa empresa. Por conseguinte, aconselhamos os utilizadores a não o fazerem.

Problemas conhecidos relativamente à activação da chave de registo SendExtraRecord

  • Definir o valor do registo SendExtraRecord como 1 promove a divisão de registos em todas as chamadas para encriptar dados no Schannel. Isto ocorre independentemente de o autor da chamada ter enviado o sinalizador Secure durante o início de sessão ou não.
  • Muitas aplicações que utilizam o Schannel são escritas de modo a que o lado do receptor assuma que os dados da aplicação serão compactados num único pacote. Isto ocorre mesmo que uma aplicação aceda ao Schannel para desencriptar. As aplicações ignoram um sinalizador que seja definido pelo Schannel. O sinalizador indica à aplicação que existem mais dados para serem desencriptados e recolhidos pelo receptor. Este método não segue o método prescrito pelo MSDN para utilizar o Schannel. Dado que a actualização de segurança promove a divisão de registos, isto danifica tais aplicações.
  • As aplicações danificadas incluem produtos da Microsoft e componentes de entrada. Seguem-se exemplos de cenários que poderão ser afectados quando o valor do registos SendExtraRecord for definido como 1:
    • Todos os produtos SQL e aplicações que estejam incorporadas no SQL.
    • Servidores de terminais que tenham a Autenticação de Nível de Rede (NLA) activada. Por predefinição, a NLA está activa no Windows Vista e em versões posteriores do Windows.
    • Alguns cenários de Serviço de Encaminhamento e Acesso Remoto (RRAS).

Definir o valor do registo SendExtraRecord como 1 promove a divisão segura de registos em todas as aplicações que utilizam o Windows TLS/SSL. Contudo, é provável que esta definição origine problemas de compatibilidade das aplicações. Por isso, recomendamos que os clientes configurem a TLS 1.1 e a TLS 1.2 em vez de utilizarem esta definição do registo. O TLS 1.1 e TLS 1.2 não são vulneráveis a este problema.

Se um utilizador pretender utilizar esta definição de registo, recomendamos que teste amplamente a compatibilidade da aplicação antes de a implementar. Alguns dos produtos mais comuns que são afectados por esta definição são os produtos Microsoft SQL, o Servidor de Terminais do Windows e o Servidor de Acesso Remoto do Windows.

FAQ

P: O que pode a Microsoft fazer para me ajudar a corrigir a minha aplicação do lado do servidor?
R: Certifique-se de que a sua aplicação consegue suportar a Fragmentação dos registos de aplicação SSL/TLS, conforme descrito nos seguintes RFCs:
Nota Este é um artigo de ?PUBLICAÇÃO RÁPIDA? criado directamente a partir da organização de suporte da Microsoft. As informações contidas neste artigo são fornecidas ?tal como estão? em resposta a problemas recentes. Devido à urgência em disponibilizar este artigo, os materiais poderão incluir erros tipográficos e ser revistos em qualquer altura sem aviso prévio. Consulte os Termos de Utilização para outras considerações.

Propriedades

Artigo: 2643584 - Última revisão: 26 de janeiro de 2012 - Revisão: 4.0
A informação contida neste artigo aplica-se a:
  • Windows 7 Service Pack 1 nas seguintes plataformas
    • Windows 7 Enterprise
    • Windows 7 Home Premium
    • Windows 7 Professional
    • Windows 7 Ultimate
    • Windows 7 Home Basic
  • Windows 7 Enterprise
  • Windows 7 Home Premium
  • Windows 7 Professional
  • Windows 7 Ultimate
  • Windows 7 Home Basic
  • Windows Server 2008 R2 Service Pack 1 nas seguintes plataformas
    • Windows Server 2008 R2 Datacenter
    • Windows Server 2008 R2 Enterprise
    • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 Service Pack 2 nas seguintes plataformas
    • Windows Server 2008 Datacenter
    • Windows Server 2008 Enterprise
    • Windows Server 2008 Standard
    • Windows Web Server 2008
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Microsoft Windows Server 2003 Service Pack 2 nas seguintes plataformas
    • Microsoft Windows Server 2003 Datacenter Edition
    • Microsoft Windows Server 2003 Enterprise Edition
    • Microsoft Windows Server 2003 Standard Edition
    • Microsoft Windows Server 2003 Web Edition
    • Microsoft Windows Server 2003, Datacenter x64 Edition
    • Microsoft Windows Server 2003, Enterprise x64 Edition
    • Microsoft Windows Server 2003, Standard x64 Edition
    • Microsoft Windows XP Professional x64 Edition
Palavras-chave: 
atdownload kbfix kbbug kbexpertiseinter kbsecurity kbsecbulletin kbsecvulnerability kbsurveynew KB2643584

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com