DetailPage-MSS-KB

Base de Dados de Conhecimento

ID do artigo: 2643584 - Última revisão: quinta-feira, 26 de janeiro de 2012 - Revisão: 4.0

Nesta página

INTRODUÇÃO

A Microsoft lançou o boletim de segurança MS12-006. Para exibir o boletim completo, visite um dos seguintes sites da Microsoft:

Como obter ajuda e suporte para esta atualização de segurança

Os usuários domésticos podem obter suporte gratuito pelo telefone 1-866-PCSAFETY nos Estados Unidos e Canadá
(visite esta página para encontrar o número de telefone de sua localidade) (http://support.microsoft.com/gp/cu_sc_selector_telephone?ln=pt-br)
ou contatando a subsidiária local da Microsoft. Para obter mais informações sobre como contatar sua subsidiária local da Microsoft para solucionar problemas de suporte com atualizações de segurança, visite o site de Suporte Internacional da Microsoft:
http://support.microsoft.com/common/international.aspx?ln=pt-br&rdpath=4 (http://support.microsoft.com/common/international.aspx?ln=pt-br&rdpath=4)
Os clientes da América do Norte podem obter acesso instantâneo a suporte por email gratuito ilimitado ou a suporte individual por chat ilimitado visitando o seguinte site da Microsoft:
https://consumersecuritysupport.microsoft.com/default.aspx?locale=pt-br&st=1&wfxredirect=1 (https://consumersecuritysupport.microsoft.com/default.aspx?locale=pt-br&st=1&wfxredirect=1)
Para clientes empresariais, o suporte para atualizações de segurança está disponível em seus contatos de suporte normais.

Corrigir para mim

Duas soluções Fix it estão disponíveis.
  • Solução Fix it para TLS 1.1 no Internet Explorer: A solução habilita o TLS 1.1, que não é afetado por essa vulnerabilidade, no Windows Internet Explorer. A maioria dos usuários padrões deve instalar essa solução Fix it.
  • Solução Fix it para TLS 1.1 em servidores baseados no Windows: A solução habilita o TLS 1.1, que não é afetado pela vulnerabilidade.
As soluções Fix it descritas nesta seção não são destinadas a substituir qualquer atualização de segurança. É recomendável ter sempre as atualizações de segurança mais recentes instaladas. No entanto, oferecemos as soluções Fix it como alternativas para alguns cenários.

Para obter mais informações sobre as soluções alternativas, consulte o boletim de segurança MS12-006:
http://technet.microsoft.com/pt-br/security/bulletin/ms12-006 (http://technet.microsoft.com/pt-br/security/bulletin/ms12-006)
 O boletim fornece mais informações sobre o problema e inclui o seguinte:
  • Os cenários nos quais você pode aplicar ou desabilitar a solução alternativa
  • Fatores de redução
  • Soluções alternativas
  • Perguntas mais frequentes
Especificamente, para ver esta informação, procure na seção de Informações sobre Vulnerabilidade e expanda o parágrafo sobre Alternativas no parágrafo Protocolos de Vulnerabilidade SSL e TLS - CVE-2011-3389.

Solução Fix it para TLS 1.1 no Internet Explorer

Para habilitar ou desabilitar esta solução Fix it, clique no botão Corrigir ou no link sob o cabeçalho Habilitar ou sob o cabeçalho Desabilitar. Clique em Executar na caixa de diálogo Download de Arquivo e siga as etapas no Assistente Fix it.
Recolher esta tabelaExpandir esta tabela
HabilitarDesabilitar
Corrigir este problema
Microsoft Fix it 50773
Corrigir este problema
Microsoft Fix it 50772

Observações

  • Esses assistentes podem estar disponíveis apenas em inglês. No entanto, as correções automáticas também funcionam em versões do Windows em outros idiomas.
  • Se estiver usando um computador que não apresenta esse problema, você poderá salvar a correção automática em uma unidade flash ou em um CD para executá-la posteriormente no computador com o problema.

Solução Fix it para TLS 1.1 em servidores baseados no Windows

Para habilitar ou desabilitar esta solução Fix it, clique no botão Corrigir ou no link sob o cabeçalho Habilitar ou sob o cabeçalho Desabilitar. Clique em Executar na caixa de diálogo Download de Arquivo e siga as etapas no Assistente Fix it.
Recolher esta tabelaExpandir esta tabela
HabilitarDesabilitar
Corrigir este problema
Microsoft Fix it 50774
Corrigir este problema
Microsoft Fix it 50775

Observações

  • Esses assistentes podem estar disponíveis apenas em inglês. No entanto, as correções automáticas também funcionam em versões do Windows em outros idiomas.
  • Se estiver usando um computador que não apresenta esse problema, você poderá salvar a correção automática em uma unidade flash ou em um CD para executá-la posteriormente no computador com o problema.

Problemas conhecidos com esta atualização de segurança

Após instalar esta atualização de segurança, você pode experimentar falha de autenticação ou perda de conectividade com alguns servidores HTTPS. Este problema ocorre porque esta atualização de segurança altera a forma que os registros são enviados ao servidor HTTPS.

Para desativar ou reativar temporariamente esta atualização de segurança, clique no botão Fix it ou no link do cabeçalho Desativar atualização de segurança ou no cabeçalho Reativar atualização de segurança. Clique em Executar na caixa de diálogo Download de Arquivo e siga as etapas descritas no assistente Corrigir.
Recolher esta tabelaExpandir esta tabela
Desativar a atualização de segurança Reativar a atualização de segurança
Corrigir este problema
Microsoft Fix it 50824
Corrigir este problema
Microsoft Fix it 50825
Observações
  • Esses assistentes podem estar disponíveis apenas em inglês. No entanto, as correções automáticas também funcionam em versões do Windows em outros idiomas.
  • Se estiver usando um computador que não apresenta esse problema, você poderá salvar a correção automática em uma unidade flash ou em um CD para executá-la posteriormente no computador com o problema.
A seguinte tabela mostra os valores que são aplicados a estas soluções Fix it para o registro SendExtraRecord da entrada DWORD:
Recolher esta tabelaExpandir esta tabela
Cabeçalho Valor aplicado à entrada SendExtraRecord
Desativar a atualização de segurança 2
Reativar a atualização de segurança 0

Problemas conhecidos e informações adicionais sobre esta atualização de segurança

Os artigos a seguir contêm informações adicionais sobre esta atualização de segurança em relação a versões de produtos individuais. Os artigos podem conter informações sobre problemas conhecidos. Se esse for o caso, o problema conhecido estará listado abaixo de cada link de artigo:
  • 2585542  (http://support.microsoft.com/kb/2585542/pt-br/ ) MS12-006: Descrição da atualização de segurança do Webio, Winhttp e schannel no Windows: 10 de janeiro de 2012
  • 2638806  (http://support.microsoft.com/kb/2638806/pt-br/ ) MS12-006: Descrição da atualização de segurança do Winhttp no Windows Server 2003 e Windows XP Professional x64 Edition: 10 de janeiro de 2012

Informações de Registro

Não recomendado Não recomendamos que você use o seguinte procedimento para desativar esta atualização de segurança. No entanto, fornecemos este procedimento para cenários nos quais você pode estar usando aplicativos incompatíveis com esta atualização de segurança, que permitem a divisão de Registros SSL para todos os aplicativos.

Importante Esta seção, método ou tarefa contém etapas que descrevem como modificar o Registro. No entanto, sérios problemas poderão ocorrer caso você modifique o Registro incorretamente. Portanto, certifique-se de seguir essas etapas cuidadosamente. Para obter mais proteção, faça um backup do Registro antes de modificá-lo. Dessa forma, você poderá restaurar o Registro se ocorrer um problema. Para obter informações adicionais sobre como fazer backup e restaurar o Registro, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft:
322756  (http://support.microsoft.com/kb/322756/pt-br/ ) Como fazer o backup e restaurar o Registro no Windows


Por padrão, esta atualização de segurança define o modo Aceitar no nível schannel devido aos problemas de compatibilidade do aplicativo. Para desativar esta atualização de segurança para todos os aplicativos do sistema, você deve adicionar um valor DWORD chamado SendExtraRecord que possui um valor de 2 para a seguinte subchave do Registro:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL
Para adicionar esta entrada de Registro da entrada de registro schannel, siga estas etapas:
  1. Clique em Iniciar, Executar, digite regedit na caixa Abrir e clique em OK.
  2. Localize e clique na seguinte subchave do Registro:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL
  3. No menu Editar, aponte para Novo e clique em Valor DWORD.
  4. Digite SendExtraRecord para o nome do DWORD e pressione ENTER.
  5. Clique com o botão direito em SendExtraRecord e clique em Modificar.
  6. Na caixa Dados do valor, digite 2 para desativar o Registro de divisão no schannel e clique em OK.
  7. Saia do Editor do Registro.
Esta entrada do Registro pode ter três valores, que fornecem diferentes modos de operação:
Recolher esta tabelaExpandir esta tabela
Valor da chave de Registro Descrição
0Por padrão, o schannel está incluído no "Modo Aceitar". Isso significa que esta atualização de segurança trabalhará para todos os chamadores que enviarem o sinalizador Seguro para o schannel. A entrada do Registro schannel "SendExtraRecord" não será criada pelo pacote de segurança. Portanto, não haver uma entrada do Registro schannel significa que o sistema está executando deste modo. Se alguém cria esta chave do registro e define o valor para 0, o schannel executará novamente deste modo.

Esta configuração tem o mesmo efeito que não criar esta entrada de Registro. Os aplicativos que enviam um sinalizador Seguro para o schannel durante a sessão de inicialização irá preparar somente o caminho de código seguro fixo. Para outros aplicativos, não haverá mudanças no comportamento do schannel.

Esta atualização de segurança também corrige as camadas do aplicativo que estão envolvidas na navegação da Web usando o Internet Explorer para enviar o sinalizador Seguro para ajudar a proteger os cenários de uso do navegador.

Observação No Windows Server 2003, a atualização de segurança 2638806 deve ser instalada para ajudar na segurança dos aplicativos do cliente HTTP que usam o WinHTTP APIs. Para obter mais informações, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft:
2638806  (http://support.microsoft.com/kb/2638806/pt-br/ ) MS12-006: Descrição da atualização de segurança do Winhttp no Windows Server 2003 e Windows XP Professional x64 Edition: 10 de janeiro de 2012
1 Definir o valor para 1 significa "ativado para todos". Isso significa que os chamadores não precisam enviar o sinalizador e o schannel dividirá todos os Registros SSL. Com este valor definido, os aplicativos não precisam fazer qualquer alteração. Um cliente que está muito preocupado com a segurança do sistema pode ajudar a tornar seu sistema mais seguro, permitindo esta chave do registro.
2 Definir o valor para 2 significa "desativado para todos". Isso significa que o schannel não dividirá os Registros de qualquer chamada de criptografia que o aplicativo faz. Este modo não honra a bandeira Segura que um aplicativo envia.
Com base em testes internos, descobrimos que não é possível definir o valor de Registro para 1, pois pode quebrar muitos cenários em uma empresa. Portanto, não incentivamos os usuários a usá-lo.

Problemas conhecidos com a ativação da entrada do Registro SendExtraRecord.

  • Definir o valor de entrada do Registro SendExtraRecord para 1 impõe a divisão do Registro em cada chamada para criptografar os dados no schannel. Isso ocorre independente se o chamador envia o sinalizador Seguro durante a inicialização da sessão.
  • Muitos aplicativos que usam o schannel são escritos de modo que o lado do receptor assume os dados do aplicativo que serão embalados em um único pacote. Isso ocorre mesmo que o aplicativo chame o schannel para descriptografar. Os aplicativos ignoram um sinalizador definido pelo schannel. O sinalizador indica ao aplicativo que não há mais dados a serem descriptografados e captados pelo receptor. Este método não segue o método prescrito pelo MSDN do uso do schannel. Como a atualização de segurança impõe a divisão do Registro, ocorre a quebra de tais aplicativos.
  • Os aplicativos quebrados incluem produtos Microsoft e componentes na caixa. Os seguintes são exemplos de cenários que podem ser quebrados quando o valor do Registro SendExtraRecord é definido para 1:
    • Todos os produtos SQL e aplicativos embutidos no SQL.
    • Os Servidores de Terminal que possuam a Autenticação em Nível de Rede (NLA) ativada. Por padrão, a NLA está ativada no Windows Vista e versões posteriores do Windows.
    • Alguns cenários de RRAS (Routing Remote Access Service).

Definir o valor do Registro SendExtraRecord para 1 impõe a divisão de Registro segura para todos os aplicativos que usam o Windows TLS/SSL. No entanto, esta configuração provavelmente terá problemas de compatibilidade de aplicativos. Portanto, recomendamos que os clientes configurem o TLS 1.1 e o TLS 1.2 em vez de usar esta configuração de registro. O TLS 1.1 e o TLS 1.2 não são vulneráveis a este problema.

Se um usuário pretende usar esta configuração do Registro, recomendamos que realizem totalmente os testes de compatibilidade do aplicativo antes de implementá-los. Alguns produtos comuns que são conhecidos por serem afetados por esta configuração incluem produtos Microsoft SQL, Windows Terminal Server e Windows Remote Access Server.

Perguntas frequentes

Pergunta: O que a Microsoft pode fazer para me ajudar a corrigir o meu aplicativo do servidor?
Resposta: Certifique-se de que o aplicativo pode lidar com a Fragmentação de Registros do aplicativo SSL/TLS, conforme descrito nos seguintes RFCs:
Observação: este é um artigo de “PUBLICAÇÃO RÁPIDA” criado diretamente pela organização de suporte da Microsoft. As informações aqui contidas são fornecidas no presente estado, em resposta a questões emergentes. Como resultado da velocidade de disponibilização, os materiais podem incluir erros tipográficos e poderão ser revisados a qualquer momento, sem aviso prévio. Consulte os Termos de Uso (http://go.microsoft.com/fwlink/?LinkId=151500) para ver outras informações.

A informação contida neste artigo aplica-se a:
  • Windows 7 Service Pack 1 nas seguintes plataformas
    • Windows 7 Enterprise
    • Windows 7 Home Premium
    • Windows 7 Professional
    • Windows 7 Ultimate
    • Windows 7 Home Basic
  • Windows Server 2008 R2 Service Pack 1 nas seguintes plataformas
    • Windows Server 2008 R2 Datacenter
    • Windows Server 2008 R2 Enterprise
    • Windows Server 2008 R2 Standard
  • Windows Server 2008 Service Pack 2 nas seguintes plataformas
    • Windows Server 2008 Datacenter
    • Windows Server 2008 Enterprise
    • Windows Server 2008 Standard
    • Windows Web Server 2008
  • Microsoft Windows Server 2003 Service Pack 2 nas seguintes plataformas
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter x64 Edition
    • Microsoft Windows Server 2003, Enterprise x64 Edition
    • Microsoft Windows Server 2003, Standard x64 Edition
    • Microsoft Windows XP Professional x64 Edition
Palavras-chave: 
atdownload kbfix kbbug kbexpertiseinter kbsecurity kbsecbulletin kbsecvulnerability kbsurveynew KB2643584
Compartilhar
Opções de suporte adicionais
Fóruns de Suporte do Microsoft Community
Contate-nos diretamente
Localize um parceiro certificado da Microsoft
Microsoft Store