MS16-087: Atualização de segurança para componentes do spooler de impressão do Windows: 12 de julho de 2016

Aplica-se A
Windows Server 2012 R2 Datacenter Windows Server 2012 R2 Standard Windows Server 2012 R2 Essentials Windows Server 2012 R2 Foundation Windows 8.1 Enterprise Windows 8.1 Pro Windows 8.1 Windows RT 8.1 Windows Server 2012 Datacenter Windows Server 2012 Datacenter Windows Server 2012 Standard Windows Server 2012 Standard Windows Server 2012 Essentials Windows Server 2012 Foundation Windows Server 2012 Foundation Windows Server 2008 R2 Service Pack 1 Windows Server 2008 R2 Datacenter Windows Server 2008 R2 Enterprise Windows Server 2008 R2 Standard Windows Server 2008 R2 Web Edition Windows Server 2008 R2 Foundation Windows 7 Service Pack 1 Windows 7 Ultimate Windows 7 Enterprise Windows 7 Professional Windows 7 Home Premium Windows 7 Home Basic Windows 7 Starter Windows Server 2008 Service Pack 2 Windows Server 2008 Datacenter Windows Server 2008 Enterprise Windows Server 2008 Standard Windows Server 2008 Web Edition Windows Server 2008 Foundation Windows Server 2008 for Itanium-Based Systems Windows Vista Service Pack 2 Windows Vista Ultimate Windows Vista Enterprise Windows Vista Business Windows Vista Home Premium Windows Vista Home Basic Windows Vista Starter

Aviso

Esta atualização de segurança foi novamente lançada a 12 de setembro de 2017 para resolver problemas conhecidos na atualização 3170455 para CVE-2016-3238.

A Microsoft disponibilizou as seguintes atualizações para versões atualmente suportadas do Microsoft Windows. Para obter mais informações, consulte o seguinte artigo na Base de Dados de Conhecimento Microsoft:

  • Atualização novamente lançada 3170455 para o Windows Server 2008
  • Rollup mensal 4038777 e 4038779 de atualização de segurança para Windows 7 e Windows Server 2008 R2
  • Rollup mensal 4038799 e 4038786 de atualização de segurança para Windows Server 2012
  • 4038793 de atualização de segurança e 4038792 de rollup mensal para Windows 8.1 e Windows Server 2012 R2
  • 4038781 de atualização cumulativa para Windows 10
  • Atualização cumulativa 4038781 para a Versão 1511 do Windows 10
  • Atualização cumulativa 4038782 para Windows 10 Versão 1607 e Windows Server 2016

A Microsoft recomenda que os clientes com Windows Server 2008 reinstalem a atualização 3170455. A Microsoft recomenda que os clientes com outras versões suportadas do Windows instalem a atualização adequada. Para obter mais informações, consulte o artigo da Base de Dados de Conhecimento Microsoft 3170455.

Outras alterações incluídas na nova versão do MS16-087

  • Registo de eventos adicionado para ajudar a determinar a causa dos erros de instalação do controlador de impressora

Anteriormente, a única forma de um cliente saber por que motivo um controlador falhou nas novas verificações de restrição implementadas como parte do MS16-087 era recolher registos de etw de impressão e, em seguida, enviar para a Microsoft para análise.

Adicionámos funcionalidades para registar a causa das falhas no logger de eventos para que os clientes possam investigar a causa principal das falhas do controlador.

Informações que serão registadas:

1. Se um controlador não tiver conhecimento do pacote ou não estiver assinado corretamente, é registada a seguinte mensagem:

MSG_CSRSPL_UNTRUSTED_DRIVER: "O spooler de impressão não conseguiu transferir o pacote para driver <driverName>. Código de erro= <errorCodeFromListBelow>. A bloquear o controlador, uma vez que pode haver uma possibilidade de potencial adulteração."

2. Se um controlador falhar a validação de uma assinatura com o catálogo fornecido, é registada a seguinte mensagem:

VALIDATEDRVINFO_FAILED: "Em VALIDATINGDRVINFO, falha ao adicionar o controlador de impressoraName><, código < de erroCodeFromListBelow>.

Códigos de erro possíveis:

Código Significado
0x800F0243L Publicador não fidedigno
0x800F024BL Hash não está no catálogo
0x800F022FL Sem Catálogo para OEM INF
0x800F023FL Nenhum catálogo de authenticode
0x800F0240L Autenticação não permitida
0x800F0249L Genérico "Instalação do controlador bloqueada"

Resumo

Esta atualização de segurança resolve vulnerabilidades no Microsoft Windows. O mais grave das vulnerabilidades pode permitir a execução remota de código se um atacante conseguir executar um ataque man-in-the-middle (MiTM) numa estação de trabalho ou servidor de impressão, ou configurar um servidor de impressão não autorizado numa rede de destino.

Para saber mais sobre a vulnerabilidade, consulte Boletim de Segurança da Microsoft MS16-087.

Mais Informações

Importante

  • Depois de instalar esta atualização de segurança, para implementar controladores point e print de servidores de impressão em clientes, tem de aplicar o seguinte update rollup do Windows no servidor de impressoras Windows 8.1 ou Windows Server 2012 R2:
    3000850 o update rollup de novembro de 2014 para Windows RT 8.1, Windows 8.1 e Windows Server 2012 R2
  • Todas as atualizações futuras de segurança e não relacionadas com segurança para Windows RT 8.1, Windows 8.1 e Windows Server 2012 R2 requerem a instalação de 2919355 de atualização. Recomendamos que instale 2919355 de atualização no seu computador baseado em Windows RT 8.1, baseado em Windows 8.1 ou Windows Server 2012 computador baseado em R2 para receber atualizações futuras.
  • Se instalar um pacote de idiomas depois de instalar esta atualização, terá de reinstalar esta atualização. Por este motivo, recomendamos que instale todos os pacotes de idiomas de que necessita antes de instalar esta atualização. Para obter mais informações, consulte Adicionar pacotes de idiomas ao Windows.

Informações adicionais sobre esta atualização de segurança

Os artigos seguintes contêm informações adicionais sobre esta atualização de segurança, uma vez que estão relacionados com versões de produto individuais. Os artigos podem conter informações de problemas conhecidas.

  • 3170455 MS16-087: Descrição da atualização de segurança para componentes do spooler de impressão do Windows: 12 de julho de 2016
  • 3163912 Atualização cumulativa para Windows 10: 12 de julho de 2016
  • 3172985 Atualização cumulativa para Windows 10 Versão 1511 e Windows Server 2016 Technical Preview 4: 12 de julho de 2016

Problemas conhecidos

Se estiver a utilizar a impressão de rede no seu ambiente, poderá deparar-se com um dos seguintes problemas:

  • Poderá ser-lhe pedido um aviso sobre a instalação de um controlador de impressora ou o controlador poderá não conseguir instalar sem notificação depois de aplicar o MS16-087. Os sintomas aqui dependem do cenário específico.
    Cenário 1 Para controladores de impressora v3 sem suporte para pacotes, a seguinte mensagem de aviso pode ser apresentada quando os utilizadores tentam ligar-se a impressoras de ponto a ponto e de impressão:

    e5e460dd-5995-37ef-44bd-60313f49c7f3
    Cenário 2 Os controladores com suporte para pacotes têm de ser assinados com um certificado fidedigno. O processo de verificação verifica se todos os ficheiros incluídos no controlador estão codificados no catálogo. Se essa verificação falhar, o controlador será considerado indigno de confiança. Nesta situação, a instalação do controlador está bloqueada e é apresentada a seguinte mensagem de aviso:

    0b55cb05-ac97-13a3-d053-717a790f26a1
    Cenário 3 Para cenários não interativos (por exemplo, a impressora é instalada através de um script automatizado), quando o controlador da impressora corresponde aos critérios descritos no Cenário 1 ou Cenário 2, a instalação da impressora falha e não é apresentada nenhuma mensagem de aviso.

    Nestas situações, contacte o administrador de rede para obter um controlador atualizado junto do fabricante da impressora.

    Orientação para administradores de rede:

    • Atualize o controlador de impressora afetado. Os controladores de impressora V3 com suporte para pacotes foram introduzidos no Windows Vista. A instalação de um controlador de impressora com suporte para pacotes irá resolver o problema.
    • Se uma impressora legada específica não tiver o controlador de impressora adequado disponível, a pré-instalação do controlador de impressora problemático no sistema cliente resolverá o problema.

    Para obter mais informações sobre estes cenários, veja os seguintes recursos da Microsoft:

  • Depois de aplicar a atualização de segurança MS16-087 (KB 3170455) e tentar ligar a uma impressora com suporte para pacotes fidedigno instalada num sistema com Windows 8.1 ou Windows Server 2012 R2, não pode ligar à impressora.

    Para resolver este problema, aplique o seguinte update rollup do Windows no servidor de impressoras Windows 8.1 ou Windows Server 2012 R2:
    3000850 o update rollup de novembro de 2014 para Windows RT 8.1, Windows 8.1 e Windows Server 2012 R2

Atualização de outubro de 2016: Mitigação para problemas conhecidos

A Microsoft lançou uma atualização para outubro de 2016 que permite aos administradores de rede configurar políticas que permitem a instalação de controladores de impressão que consideram seguros. Esta atualização também permite que os administradores de rede implementem ligações de impressora que consideram seguras.

As atualizações estão contidas nos seguintes pacotes de roll-up.
 

Windows 10 RTM KB 3192440
Windows 10 1511 KB 3192441
Windows 10 1607 KB 3194798
Windows 7 e Windows Server 2008 R2 KB 3192403
Windows Server 2012 KB 3192406
Windows 8.1 e Windows Server 2012 R2 KB 3192404

Configurar Política de Grupo para adicionar servidores de impressão à lista de permissões

  1. Clique em Iniciare, em seguida, clique em Executar.

  2. Escreva gpedit.msc e, em seguida, clique em OK.

  3. Expanda Configuração do Computador e, em seguida, expanda Modelos Administrativos.

  4. Clique em Impressoras.

  5. Faça duplo clique em Apontar e Imprimir Restrições e, em seguida, selecione a opção Ativado.

  6. Em Opções, selecione a caixa de verificação Os utilizadores só podem apontar e imprimir para estes servidores e, em seguida, escrever os nomes de servidor completamente qualificados na caixa de texto, separados por ponto e vírgula.

  7. Em Segurança Pedidos, defina-as da seguinte forma:

    1. "Ao instalar controladores para uma nova ligação": "Mostrar aviso e pedido de elevação".
    2. "Ao atualizar controladores para uma ligação existente": "Mostrar aviso e pedido de elevação".
  8. Clique em Aplicar e, em seguida, em OK.

  9. Na página política Impressoras, faça duplo clique em Ponto de Pacote e Imprimir – Servidores aprovados.

  10. Selecione a opção Ativado.

  11. Em Opções, clique em Mostrar.

  12. Escreva um nome de servidor completamente qualificado em cada linha.

  13. Clique em OK.

  14. Clique em Aplicar e, em seguida, clique em OK.

  15. Se estiver a utilizar um cliente autónomo, reinicie o cliente e, em seguida, verifique se estas políticas estão em vigor.

  16. Se utilizar políticas de domínio, envie as políticas para os clientes de domínio e, em seguida, verifique se estas políticas estão em vigor.

Nota Depois de ativar estas políticas de grupo, tem de adicionar todos os servidores de impressoras à lista Restrições de Ponto e Impressão e à lista De Pontos de Pacote e Impressão – Servidor aprovado. Isto é verdade, independentemente da consciência dos pacotes.

Perguntas Mais Frequentes sobre a Atualização de Outubro de 2016

  • P: Devemos desinstalar a atualização anterior?
    R: Não. A atualização anterior corrige a vulnerabilidade. A atualização de outubro de 2016 fornece mitigação para dar aos administradores de rede a capacidade de instalar controladores que consideram seguros.

  • P: Mesmo com a atualização de outubro de 2016 instalada e as políticas de grupo configuradas, a mensagem "Confia nesta impressora" continua a ser apresentada quando tento instalar uma impressora local. Por que é isto?
    R: Esta mitigação destina-se a impressoras de rede e não a impressoras locais, pelo que este comportamento é esperado.

    Nota Se receber a mensagem "Confia nesta impressora", substitua o controlador atual utilizando um controlador com suporte para pacotes fidedigno ou instale os ficheiros do controlador no arquivo de controladores local antes de instalar a impressora local. Para obter mais informações, veja a secção Orientações para administradores de rede .

Como obter e instalar a atualização

Método 1: Windows Update

Esta atualização está disponível através do Windows Update. Quando ativar a atualização automática, esta atualização será transferida e instalada automaticamente. Para obter mais informações sobre como ativar a atualização automática, consulte Obter atualizações de segurança automaticamente.

Nota Para Windows RT 8.1, esta atualização só está disponível através de Windows Update.

Método 2: Centro de Transferências da Microsoft

Pode obter o pacote de atualização autónomo através do Centro de Transferências da Microsoft. Siga as instruções de instalação na página de transferência para instalar a atualização.

Clique na ligação de transferência no Boletim de Segurança da Microsoft MS16-087 que corresponde à versão do Windows que está a executar.

Mais Informações

Informações de implementação da atualização de segurança

Tabela de referência do Windows Vista (todas as edições)

A tabela seguinte contém as informações de atualização de segurança para este software.
 

Nomes de ficheiros de atualização de segurança Para todas as edições de 32 bits suportadas do Windows Vista:
Windows6.0-KB3170455-x86.msu
Para todas as edições suportadas baseadas em x64 do Windows Vista:
Windows6.0-KB3170455-x64.msu
Comutadores de instalação Consulte o Artigo da Base de Dados de Conhecimento Microsoft 934307
Requisito de reinício Em alguns casos, esta atualização não requer um reinício do sistema. Se os ficheiros necessários estiverem a ser utilizados, esta atualização exigirá um reinício do sistema. Se este comportamento ocorrer, receberá uma mensagem que o aconselha a reiniciar o sistema.
Informações de remoção WUSA.exe não suporta a desinstalação de atualizações. Para desinstalar uma atualização instalada pelo WUSA, clique em Painel de Controlo e, em seguida, clique em Segurança. Em Windows Update, clique em Ver atualizações instaladas e, em seguida, selecione a partir da lista de atualizações.
Informações de ficheiro Consulte o Artigo da Base de Dados de Conhecimento Microsoft 3170455
Verificação da chave de registo Nota Uma chave de registo não existe para validar a presença desta atualização.

Windows Server 2008 (todas as edições) Tabela de referência

A tabela seguinte contém as informações de atualização de segurança para este software.
 

Nomes de ficheiros de atualização de segurança Para todas as edições de 32 bits suportadas do Windows Server 2008:
Windows6.0-KB3170455-x86.msu
Para todas as edições baseadas em x64 suportadas do Windows Server 2008:
Windows6.0-KB3170455-x64.msu
Para todas as edições baseadas em Itanium suportadas do Windows Server 2008:
Windows6.0-KB3170455-ia64.msu
Comutadores de instalação Consulte o Artigo da Base de Dados de Conhecimento Microsoft 934307
Requisito de reinício Em alguns casos, esta atualização não requer um reinício do sistema. Se os ficheiros necessários estiverem a ser utilizados, esta atualização exigirá um reinício do sistema. Se este comportamento ocorrer, receberá uma mensagem que o aconselha a reiniciar o sistema.
Informações de remoção WUSA.exe não suporta a desinstalação de atualizações. Para desinstalar uma atualização instalada pelo WUSA, clique em Painel de Controlo e, em seguida, clique em Segurança. Em Windows Update, clique em Ver atualizações instaladas e, em seguida, selecione a partir da lista de atualizações.
Informações de ficheiro Consulte o Artigo da Base de Dados de Conhecimento Microsoft 3170455
Verificação da chave de registo Nota Uma chave de registo não existe para validar a presença desta atualização.

Tabela de referência do Windows 7 (todas as edições)

A tabela seguinte contém as informações de atualização de segurança para este software.
 

Nome do ficheiro de atualização de segurança Para todas as edições de 32 bits suportadas do Windows 7:
Windows6.1-KB3170455-x86.msu
Para todas as edições baseadas em x64 suportadas do Windows 7:
Windows6.1-KB3170455-x64.msu
Comutadores de instalação Consulte o Artigo da Base de Dados de Conhecimento Microsoft 934307
Requisito de reinício Em alguns casos, esta atualização não requer um reinício do sistema. Se os ficheiros necessários estiverem a ser utilizados, esta atualização exigirá um reinício do sistema. Se este comportamento ocorrer, receberá uma mensagem que o aconselha a reiniciar o sistema.
Informações de remoção Para desinstalar uma atualização instalada pelo WUSA, utilize o comutador de configuração /Desinstalar ou clique em Painel de Controlo, clique em Sistema e Segurança, clique em Windows Update, clique em Ver atualizações instaladas e, em seguida, selecione a partir da lista de atualizações.
Informações de ficheiro Consulte o Artigo da Base de Dados de Conhecimento Microsoft 3170455
Verificação da chave de registo Nota Uma chave de registo não existe para validar a presença desta atualização.

tabela de referência Windows Server 2008 R2 (todas as edições)

A tabela seguinte contém as informações de atualização de segurança para este software.
 

Nome do ficheiro de atualização de segurança Para todas as edições suportadas baseadas em x64 do Windows Server 2008 R2:
Windows6.1-KB3170455-x64.msu
Para todas as edições baseadas em Itanium suportadas do Windows Server 2008 R2:
Windows6.1-KB3170455-ia64.msu
Comutadores de instalação Consulte o Artigo da Base de Dados de Conhecimento Microsoft 934307
Requisito de reinício Em alguns casos, esta atualização não requer um reinício do sistema. Se os ficheiros necessários estiverem a ser utilizados, esta atualização exigirá um reinício do sistema. Se este comportamento ocorrer, receberá uma mensagem que o aconselha a reiniciar o sistema.
Informações de remoção Para desinstalar uma atualização instalada pelo WUSA, utilize o comutador de configuração /Desinstalar ou clique em Painel de Controlo, clique em Sistema e Segurança, clique em Windows Update, clique em Ver atualizações instaladas e, em seguida, selecione a partir da lista de atualizações.
Informações de ficheiro Consulte o Artigo da Base de Dados de Conhecimento Microsoft 3170455
Verificação da chave de registo Nota Uma chave de registo não existe para validar a presença desta atualização.

Windows 8.1 (todas as edições) Tabela de referência

A tabela seguinte contém as informações de atualização de segurança para este software.

Nome do ficheiro de atualização de segurança Para todas as edições de 32 bits suportadas do Windows 8.1:
Windows8.1-KB3170455-x86.msu
Para todas as edições suportadas baseadas em x64 do Windows 8.1:
Windows8.1-KB3170455-x64.msu
Comutadores de instalação Consulte o Artigo da Base de Dados de Conhecimento Microsoft 934307
Requisito de reinício Em alguns casos, esta atualização não requer um reinício do sistema. Se os ficheiros necessários estiverem a ser utilizados, esta atualização exigirá um reinício do sistema. Se este comportamento ocorrer, receberá uma mensagem que o aconselha a reiniciar o sistema.
Informações de remoção Para desinstalar uma atualização instalada pelo WUSA, utilize o comutador de configuração /Desinstalar ou clique em Painel de Controlo, clique em Sistema e Segurança, clique em Windows Update, clique em Atualizações instaladas em Ver também e, em seguida, selecione a partir da lista de atualizações.
Informações de ficheiro Consulte o Artigo da Base de Dados de Conhecimento Microsoft 3170455
Verificação da chave de registo Nota Uma chave de registo não existe para validar a presença desta atualização.

tabela de referência Windows Server 2012 e Windows Server 2012 R2 (todas as edições)

A tabela seguinte contém as informações de atualização de segurança para este software.
 

Nome do ficheiro de atualização de segurança Para todas as edições suportadas do Windows Server 2012:
Windows8-RT-KB3170455-x64.msu
Para todas as edições suportadas do Windows Server 2012 R2:
Windows8.1-KB3170455-x64.msu
Comutadores de instalação Consulte o Artigo da Base de Dados de Conhecimento Microsoft 934307
Requisito de reinício Em alguns casos, esta atualização não requer um reinício do sistema. Se os ficheiros necessários estiverem a ser utilizados, esta atualização exigirá um reinício do sistema. Se este comportamento ocorrer, receberá uma mensagem que o aconselha a reiniciar o sistema.
Informações de remoção Para desinstalar uma atualização instalada pelo WUSA, utilize o comutador de configuração /Desinstalar ou clique em Painel de Controlo, clique em Sistema e Segurança, clique em Windows Update, clique em Atualizações instaladas em Ver também e, em seguida, selecione a partir da lista de atualizações.
Informações de ficheiro Consulte o Artigo da Base de Dados de Conhecimento Microsoft 3170455
Verificação da chave de registo Nota Uma chave de registo não existe para validar a presença desta atualização.

Windows RT 8.1 (todas as edições) Tabela de referência

A tabela seguinte contém as informações de atualização de segurança para este software.
 

Implementação Esta atualização só está disponível através de Windows Update.
Requisito de Reinício Em alguns casos, esta atualização não requer um reinício do sistema. Se os ficheiros necessários estiverem a ser utilizados, esta atualização exigirá um reinício do sistema. Se este comportamento ocorrer, receberá uma mensagem que o aconselha a reiniciar o sistema.
Informações de Remoção Clique Painel de Controlo, clique em Sistema e Segurança, clique em Windows Update e, em seguida, em Ver também, clique em Atualizações instaladas e selecione a partir da lista de atualizações.
Informações de ficheiro Consulte o Artigo da Base de Dados de Conhecimento Microsoft 3170455

tabela de referência Windows 10 (todas as edições)

A tabela seguinte contém as informações de atualização de segurança para este software.
 

Nome do ficheiro de atualização de segurança Para todas as edições de 32 bits suportadas do Windows 10:
Windows10.0-KB3163912-x86.msu
Para todas as edições suportadas baseadas em x64 do Windows 10:
Windows10.0-KB3163912-x64.msu
Para todas as edições de 32 bits suportadas do Windows 10 Versão 1511:
Windows10.0-KB3172985-x86.msu
Para todas as edições suportadas baseadas em x64 do Windows 10 Versão 1511:
Windows10.0-KB3172985-x64.msu
Comutadores de instalação Consulte o Artigo da Base de Dados de Conhecimento Microsoft 934307
Requisito de reinício Em alguns casos, esta atualização não requer um reinício do sistema. Se os ficheiros necessários estiverem a ser utilizados, esta atualização exigirá um reinício do sistema. Se este comportamento ocorrer, receberá uma mensagem que o aconselha a reiniciar o sistema.
Informações de remoção Para desinstalar uma atualização instalada pelo WUSA, utilize o comutador de configuração /Desinstalar ou clique em Painel de Controlo, clique em Sistema e Segurança, clique em Windows Update, clique em Atualizações instaladas em Ver também e, em seguida, selecione a partir da lista de atualizações.
Informações de ficheiro Consulte o Artigo da Base de Dados de Conhecimento Microsoft 3163912
Consulte o Artigo da Base de Dados de Conhecimento Microsoft 3172985
Verificação da chave de registo Nota Uma chave de registo não existe para validar a presença desta atualização.
Como obter ajuda e suporte para esta atualização de segurança

Ajuda para instalar atualizações: Suporte para o Microsoft Update

Soluções de segurança para profissionais de TI: Resolução de Problemas e Suporte da Segurança TechNet

Ajuda para proteger o seu computador baseado no Windows contra vírus e software maligno: Centro de Segurança e Solução de Vírus

Suporte local de acordo com o seu país: Suporte Internacional