Aviso
Esta atualização de segurança foi re lançada a 12 de setembro de 2017, para resolver problemas conhecidos na atualização 3170455 paraCVE-2016-3238.
A Microsoft disponinirou as seguintes atualizações para as versões suportadas atualmente da Microsoft Windows. Para obter mais informações, vá ao seguinte artigo na Base de Dados de Conhecimento Microsoft:
-
Nova atualização 3170455 para o Windows Server 2008
-
Rollup mensal 4038777 e atualização de segurança 4038779 para o Windows 7 e Windows Server 2008 R2
-
Rollup mensal 4038799 e atualização de segurança 4038786 para Windows Server 2012
-
Rollup mensal 4038792 e atualização de segurança 4038793 para Windows 8.1 e Windows Server 2012 R2
-
Atualização cumulativa 4038781 para Windows 10
-
Atualização cumulativa 4038781 para Windows 10 1511
-
Atualização cumulativa 4038782 para Windows 10 1607 e Windows Server 2016
A Microsoft recomenda que os clientes que executem o Windows Server 2008 reinstale a atualização 3170455. A Microsoft recomenda que os clientes que executem outras versões suportadas Windows instalem a atualização adequada. Para obter mais informações, vá para o artigo 3170455da Base de Dados de Conhecimento Microsoft.
Outras alterações incluídas no re-lançamento do MS16-087
-
Registo de eventos adicionado para ajudar a determinar a causa dos erros de instalação do controlador de impressora
Anteriormente, a única forma de um cliente saber o motivo pelo qual um controlador falhou a nova restrição verifica o que implementou como parte do MS16-087: recolher registos de impressão etw e, em seguida, enviar para a Microsoft para análise.
Adicionámos funcionalidades para registar a causa das falhas do registo de eventos, para que os clientes possam investigar a causa das falhas de controlador.
Informações que serão com sessão marcada:
1. Se um controlador não tiver um package-aware ou não estiver assinado corretamente, será assinada a seguinte mensagem:
MSG_CSRSPL_UNTRUSTED_DRIVER:"O spooler de impressão não conseguiu transferir o pacote de transferência do controlador <driverName>. Código de erro= <erroCodeFromListBelow>. Bloquear controlador, uma vez que poderia haver a possibilidade de potencial adulteração."
2. Se um controlador falhar a validação de uma assinatura utilizando o catálogo fornecido, é marcada a seguinte mensagem:
VALIDATEDRVINFO_FAILED:"Em VALIDATINGDRVINFO, Adding printer driver <driverName> failed, error code <errorCodeFromListBelow>.
Códigos de Erro Possíveis:
|
Código |
Significado |
|
0x800F0243L |
Publisher não é de confiança |
|
0x800F024BL |
Hash not in catalog |
|
0x800F022FL |
Sem Catálogo para INF OEM |
|
0x800F023FL |
Sem catálogo de autenticação |
|
0x800F0240L |
A autenticação não é autenticada |
|
0x800F0249L |
Genérico "Instalação do controlador bloqueada" |
Resumo
Esta atualização de segurança resolve vulnerabilidades no Microsoft Windows. A maior gravidade das vulnerabilidades pode permitir a execução remota de código se um atacante conseguir executar um ataque man-in-the-middle (MiTM) numa estação de trabalho ou servidor de impressão ou configurar um servidor de impressão rogue numa rede de destino.
Para saber mais sobre a vulnerabilidade, consulte Boletim de Segurança da Microsoft MS16-087.
Mais Informações
Importante
-
Após instalar esta atualização de segurança, para implementar controlador de Pontos e Imprimir de servidores de impressão para clientes, tem de aplicar Windows o seguinte rollup de atualizações no servidor de impressora Windows 8.1 ou Windows Server 2012 R2:
3000850 Rollup da atualização de novembro de 2014 Windows RT 8.1, Windows 8.1 e Windows Server 2012 R2
-
Todas as futuras atualizações de segurança e não segurança do Windows RT 8.1, Windows 8.1 e Windows Server 2012 R2 necessitam que a atualização 2919355 seja instalada. Recomendamos que instale a atualização 2919355 no seu computador baseado no Windows RT 8.1, baseado no Windows 8.1 ou no computador baseado em Windows Server 2012 R2 para receber atualizações futuras.
-
Se instalar um pacote de idiomas depois de instalar esta atualização, tem de reinstalar esta atualização. Por conseguinte, recomendamos que instale os pacotes de idiomas de que precisa antes de instalar esta atualização. Para obter mais informações, consulte Adicionar pacotes de idiomas Windows.
Informações adicionais sobre esta atualização de segurança
Os seguintes artigos contêm informações adicionais sobre esta atualização de segurança, no que diz respeito a versões individuais de produtos. Os artigos podem conter informações de problemas conhecidos.
-
3170455 MS16-087: Descrição da atualização de segurança para os Windows spooler de impressão: 12 de julho de 2016
-
3163912 Atualização cumulativa para Windows 10: 12 de julho de 2016
-
3172985 Atualização cumulativa para Windows 10 Versão 1511 e Windows Server 2016 Technical Preview 4: 12 de julho de 2016
Problemas conhecidos
Se estiver a utilizar a impressão de rede no seu ambiente, poderá detetar um dos seguintes problemas:
-
Poderá ser-lhe pedido um aviso sobre como instalar um controlador de impressora ou que o controlador não instale sem notificação após aplicar o MS16-087. Os sintomas dependem do cenário específico.
Cenário 1: para controladores de impressoras v3 desconhecedores de pacotes, a seguinte mensagem de aviso pode ser apresentada quando os utilizadores tentarem ligar-se a impressoras ponto e impressora:
Cenário 2 Os controldores com conhecimento de encomendas têm de estar assinados com um certificado de confiança. O processo de verificação verifica se todos os ficheiros incluídos no controlador são hash no catálogo. Se essa verificação falhar, o controlador será considerado não fidediigno. Nesta situação, a instalação do controlador está bloqueada e é apresentada a seguinte mensagem de aviso:
Cenário 3: para cenários não interativos (por exemplo, a impressora é instalada através de um script automatizado), quando o controlador da impressora corresponde aos critérios descritos no Cenário 1 ou no Cenário 2, a instalação da impressora falha e não é apresentada nenhuma mensagem de aviso.
Nestas situações, contacte o seu administrador de rede para obter um controlador atualizado do fabricante da impressora.
Orientações para administradores de rede:-
Atualize o controlador de impressora afetado. Foram introduzidos controldores de impressora V3 com conhecimento de Windows Vista. Instalar um controlador de impressora com conhecimento de pacotes irá resolver o problema.
-
Se uma impressora legada específica não tiver o controlador de impressora adequado disponível, a pré-instalação do controlador da impressora problemática no sistema de cliente irá resolver o problema.
Para obter mais informações sobre estes cenários, consulte os seguintes recursos da Microsoft:
-
-
Depois de aplicar a atualização de segurança MS16-087 (KB 3170455)e tentar ligar a uma impressora fidedcrita que está instalada num sistema que executa o Windows 8.1 ou o Windows Server 2012 R2, não pode ligar à impressora.
Para resolver este problema, aplique o seguinte rollup Windows atualização no servidor de impressora Windows 8.1 ou Windows Server 2012 R2:3000850 Rollup da atualização de novembro de 2014 Windows RT 8.1, Windows 8.1 e Windows Server 2012 R2
Atualização de outubro de 2016: Mitigação para problemas conhecidos
A Microsoft lançou uma atualização para outubro de 2016 que permite aos administradores de rede configurar políticas que permitam a instalação de controladores de impressão que considerem seguros. Esta atualização também permite que os administradores de rede implementem ligações de impressora que considerem seguras.
As atualizações estão contidas nos seguintes pacotes de roll-up.
|
Windows 10 RTM |
|
|
Windows 10 1511 |
|
|
Windows 10 1607 |
|
|
Windows 7 e Windows Server 2008 R2 |
|
|
Windows Server 2012 |
|
|
Windows 8.1 e Windows Server 2012 R2 |
Configurar a Política de Grupo para adicionar servidores de impressão à lista de servidores permitidos
-
Clique em Iniciar e, em seguida, clique em Executar.
-
Escreva gpedit.msc e, em seguida, clique em OK.
-
Expanda Configuração do Computador e, em seguida, expanda Modelos Administrativos.
-
Clique em Impressoras.
-
Faça duplo clique em Restrições de Impressão e Ponto e, em seguida, selecione a opção Ativado.
-
Em Opções, selecione a caixa de verificação Os utilizadores só podem apontar e imprimir para estes servidores e, em seguida, escreva os nomes dos servidores completamente qualificados na caixa de texto, separados por ponto e pontões.
-
Em Pedidos de Segurança, defina-os da seguinte forma:
-
"Ao instalar controldores para uma nova ligação": "Mostrar aviso e aviso elevado".
-
"Ao atualizar os controldores para uma ligação existente": "Mostrar aviso e aviso elevado".
-
-
Clique em Aplicar e, em seguida, OK.
-
Na página Política de impressoras, faça duplo clique em Ponto de Pacote e Imprimir – Servidores aprovados.
-
Selecione a opção Ativado.
-
Em Opções, clique em Mostrar.
-
Escreva um nome de servidor completamente qualificado em cada linha.
-
Clique em OK.
-
Clique em Aplicar e, em seguida, clique em OK.
-
Se estiver a utilizar um cliente autenticado, reinicie o cliente e, em seguida, verifique se estas políticas estão em vigor.
-
Se utilizar políticas de domínio, empurre as políticas para os clientes do domínio e, em seguida, verifique se estas políticas estão em vigor.
Nota Após ativar estas políticas de grupo, tem de adicionar todos os servidores de impressora à lista Restrições de Impressão e Ponto e Ponto de Pacote e Imprimir – servidor aprovado. Isto é verdadeiro independentemente da consciência do pacote.
Atualização de outubro de 2016 Perguntas Mais Frequentes
-
P: Devemos desinstalar a atualização anterior?
A: Não. A atualização anterior corrige a vulnerabilidade. A atualização de outubro de 2016 fornece mitigação para dar aos administradores de rede a capacidade de instalarem controladores que considerem seguros. -
P: Mesmo com a atualização de outubro de 2016 instalada e as políticas de grupo configuradas, a mensagem "Confia nesta impressora" continua a ser apresentada quando tento instalar uma impressora local. Porque é que isso é?
A: Esta mitigação é direccional para impressoras de rede e não para impressoras locais, pelo que este comportamento é esperado.
Nota Se receber a mensagem "Confia nesta impressora", substitua o controlador atual por um controlador de segurança de pacotes ou instale os ficheiros do controlador no arquivo do controlador local antes de instalar a impressora local. Para obter mais informações, consulte a secção Orientação para administradores de rede.
Como obter e instalar a atualização
Método 1: Windows Atualização
Esta atualização está disponível através Windows Atualização. Quando ativar a atualização automática, esta atualização será transferida e instalada automaticamente. Para obter mais informações sobre como ativar a atualização automática, consulte Obter atualizações de segurança automaticamente.
Nota: Windows RT 8.1, esta atualização está disponível apenas através Windows Atualização.
Pode obter o pacote de atualização a partir do Centro de Transferências da Microsoft. Siga as instruções de instalação na página de transferência para instalar a atualização.
Clique na ligação de transferência no Boletim de Segurança da Microsoft MS16-087 que corresponde à versão do Windows que está a executar.
Mais Informações
Windows Tabela de Referência da Vista (todas as edições)
A tabela seguinte contém as informações de atualização de segurança para este software.
|
Nomes de ficheiro de atualização de segurança |
Para todas as edições de 32 bits suportadas das Windows Vista: |
|
Para todas as edições suportadas baseadas em x64 do Windows Vista: |
|
|
Comutador de instalação |
Consulte o artigo 934307 da Base de Dados de Conhecimento Microsoft |
|
Requisitos de reinício |
Em alguns casos, esta atualização não necessita de um reinício do sistema. Se os ficheiros necessários estiverem a ser utilizados, esta atualização necessitará de um reinício do sistema. Se este comportamento ocorrer, receberá uma mensagem a aconselhá-lo a reiniciar o sistema. |
|
Informações de remoção |
WUSA.exe não suporta a desinstalação de atualizações. Para desinstalar uma atualização instalada pela WUSA, clique em Painel de Controlo e,em seguida, clique em Segurança. Em Atualização Windows,clique em Ver atualizações instaladas e,em seguida, selecione a partir da lista de atualizações. |
|
Informações de ficheiro |
Consulte o artigo 3170455 da Base de Dados de Conhecimento Microsoft |
|
Verificação de chave de registo |
Nota: não existe uma chave de registo para validar a presença desta atualização. |
Windows Tabela de Referência do Server 2008 (todas as edições)
A tabela seguinte contém as informações de atualização de segurança para este software.
|
Nomes de ficheiro de atualização de segurança |
Para todas as edições de 32 bits suportadas do Windows Server 2008: |
|
Para todas as edições suportadas baseadas em x64 do Windows Server 2008: |
|
|
Para todas as edições suportadas baseadas em Itanium do Windows Server 2008: |
|
|
Comutador de instalação |
Consulte o artigo 934307 da Base de Dados de Conhecimento Microsoft |
|
Requisitos de reinício |
Em alguns casos, esta atualização não necessita de um reinício do sistema. Se os ficheiros necessários estiverem a ser utilizados, esta atualização necessitará de um reinício do sistema. Se este comportamento ocorrer, receberá uma mensagem a aconselhá-lo a reiniciar o sistema. |
|
Informações de remoção |
WUSA.exe não suporta a desinstalação de atualizações. Para desinstalar uma atualização instalada pela WUSA, clique em Painel de Controlo e,em seguida, clique em Segurança. Em Atualização Windows,clique em Ver atualizações instaladas e,em seguida, selecione a partir da lista de atualizações. |
|
Informações de ficheiro |
Consulte o artigo 3170455 da Base de Dados de Conhecimento Microsoft |
|
Verificação de chave de registo |
Nota: não existe uma chave de registo para validar a presença desta atualização. |
Windows 7 (todas as edições) Tabela de Referência
A tabela seguinte contém as informações de atualização de segurança para este software.
|
Nome de ficheiro de atualização de segurança |
Para todas as edições de 32 bits suportadas do Windows 7: |
|
Para todas as edições suportadas baseadas em x64 do Windows 7: |
|
|
Comutador de instalação |
Consulte o artigo 934307 da Base de Dados de Conhecimento Microsoft |
|
Requisitos de reinício |
Em alguns casos, esta atualização não necessita de um reinício do sistema. Se os ficheiros necessários estiverem a ser utilizados, esta atualização necessitará de um reinício do sistema. Se este comportamento ocorrer, receberá uma mensagem a aconselhá-lo a reiniciar o sistema. |
|
Informações de remoção |
Para desinstalar uma atualização instalada pela WUSA, utilize o comutador de configuração /Desinstalar ou clique em Painel de Controlo,clique em Sistema e Segurança ,clique em Atualizar Windows, clique em Ver atualizações instaladase, em seguida, selecione a partir da lista de atualizações. |
|
Informações de ficheiro |
Consulte o artigo 3170455 da Base de Dados de Conhecimento Microsoft |
|
Verificação de chave de registo |
Nota: não existe uma chave de registo para validar a presença desta atualização. |
Windows Tabela de Referência do Server 2008 R2 (todas as edições)
A tabela seguinte contém as informações de atualização de segurança para este software.
|
Nome de ficheiro de atualização de segurança |
Para todas as edições suportadas baseadas em x64 do Windows Server 2008 R2: |
|
Para todas as edições suportadas baseadas em Itanium do Windows Server 2008 R2: |
|
|
Comutador de instalação |
Consulte o artigo 934307 da Base de Dados de Conhecimento Microsoft |
|
Requisitos de reinício |
Em alguns casos, esta atualização não necessita de um reinício do sistema. Se os ficheiros necessários estiverem a ser utilizados, esta atualização necessitará de um reinício do sistema. Se este comportamento ocorrer, receberá uma mensagem a aconselhá-lo a reiniciar o sistema. |
|
Informações de remoção |
Para desinstalar uma atualização instalada pela WUSA, utilize o comutador de configuração /Desinstalar ou clique em Painel de Controlo,clique em Sistema e Segurança ,clique em Atualizar Windows, clique em Ver atualizações instaladase, em seguida, selecione a partir da lista de atualizações. |
|
Informações de ficheiro |
Consulte o artigo 3170455 da Base de Dados de Conhecimento Microsoft |
|
Verificação de chave de registo |
Nota: não existe uma chave de registo para validar a presença desta atualização. |
Windows 8.1 (todas as edições) Tabela de Referência
A tabela seguinte contém as informações de atualização de segurança para este software.
|
Nome de ficheiro de atualização de segurança |
Para todas as edições de 32 bits suportadas das Windows 8.1: |
|
Para todas as edições suportadas baseadas em x64 das Windows 8.1: |
|
|
Comutador de instalação |
Consulte o artigo 934307 da Base de Dados de Conhecimento Microsoft |
|
Requisitos de reinício |
Em alguns casos, esta atualização não necessita de um reinício do sistema. Se os ficheiros necessários estiverem a ser utilizados, esta atualização necessitará de um reinício do sistema. Se este comportamento ocorrer, receberá uma mensagem a aconselhá-lo a reiniciar o sistema. |
|
Informações de remoção |
Para desinstalar uma atualização instalada pela WUSA, utilize o comutador de configuração /Desinstalar ou clique em Painel de Controlo,clique em Sistema e Segurança ,clique em Atualização Windows, clique em Atualizações instaladas em Consulte também e, em seguida, selecione a partir da lista de atualizações. |
|
Informações de ficheiro |
Consulte o artigo 3170455 da Base de Dados de Conhecimento Microsoft |
|
Verificação de chave de registo |
Nota: não existe uma chave de registo para validar a presença desta atualização. |
Windows Server 2012 tabela de referência Windows Server 2012 R2 (todas as edições)
A tabela seguinte contém as informações de atualização de segurança para este software.
|
Nome de ficheiro de atualização de segurança |
Para todas as edições suportadas do Windows Server 2012: |
|
Para todas as edições suportadas do Windows Server 2012 R2: |
|
|
Comutador de instalação |
Consulte o artigo 934307 da Base de Dados de Conhecimento Microsoft |
|
Requisitos de reinício |
Em alguns casos, esta atualização não necessita de um reinício do sistema. Se os ficheiros necessários estiverem a ser utilizados, esta atualização necessitará de um reinício do sistema. Se este comportamento ocorrer, receberá uma mensagem a aconselhá-lo a reiniciar o sistema. |
|
Informações de remoção |
Para desinstalar uma atualização instalada pela WUSA, utilize o comutador de configuração /Desinstalar ou clique em Painel de Controlo,clique em Sistema e Segurança ,clique em Atualização Windows, clique em Atualizações instaladas em Consulte também e, em seguida, selecione a partir da lista de atualizações. |
|
Informações de ficheiro |
Consulte o artigo 3170455 da Base de Dados de Conhecimento Microsoft |
|
Verificação de chave de registo |
Nota: não existe uma chave de registo para validar a presença desta atualização. |
Windows RT 8.1 (todas as edições) Tabela de Referência
A tabela seguinte contém as informações de atualização de segurança para este software.
|
Implementação |
Esta atualização está disponível apenas Windows Atualizar. |
|
Requisitos de Reinício |
Em alguns casos, esta atualização não necessita de um reinício do sistema. Se os ficheiros necessários estiverem a ser utilizados, esta atualização necessitará de um reinício do sistema. Se este comportamento ocorrer, receberá uma mensagem a aconselhá-lo a reiniciar o sistema. |
|
Informações de Remoção |
Clique em Painel de Controlo, clique em Sistema e Segurança, clique Windows Atualizar e, em seguida, em Ver também, clique em Atualizações instaladas e selecione a partir da lista de atualizações. |
|
Informações de Ficheiro |
Consulte o artigo 3170455 da Base de Dados de Conhecimento Microsoft |
Windows 10 (todas as edições) Tabela de Referência
A tabela seguinte contém as informações de atualização de segurança para este software.
|
Nome de ficheiro de atualização de segurança |
Para todas as edições de 32 bits suportadas das Windows 10: |
|
Para todas as edições suportadas baseadas em x64 do Windows 10: |
|
|
Para todas as edições de 32 bits suportadas das Windows 10 1511: |
|
|
Para todas as edições suportadas baseadas em x64 Windows 10 Versão 1511: |
|
|
Comutador de instalação |
Consulte o artigo 934307 da Base de Dados de Conhecimento Microsoft |
|
Requisitos de reinício |
Em alguns casos, esta atualização não necessita de um reinício do sistema. Se os ficheiros necessários estiverem a ser utilizados, esta atualização necessitará de um reinício do sistema. Se este comportamento ocorrer, receberá uma mensagem a aconselhá-lo a reiniciar o sistema. |
|
Informações de remoção |
Para desinstalar uma atualização instalada pela WUSA, utilize o comutador de configuração /Desinstalar ou clique em Painel de Controlo,clique em Sistema e Segurança ,clique em Atualização Windows, clique em Atualizações instaladas em Consulte também e, em seguida, selecione a partir da lista de atualizações. |
|
Informações de ficheiro |
Consulte o artigo 3163912 |
|
Verificação de chave de registo |
Nota: não existe uma chave de registo para validar a presença desta atualização. |
Ajuda para a instalação de atualizações: Suporte para o Microsoft Update
Soluções de segurança para profissionais de TI: Remoção de Problemas de Segurança do TechNet e Suporte
Ajuda para proteger o seu computador baseado Windows seu computador contra vírus e software malware: Centro de Soluções e Segurança de Vírus
Suporte local de acordo com o seu país:Suporte Internacional
