Aviso
Esta atualização de segurança voltou a ser lançada em 12 de setembro de 2017 para resolver problemas conhecidos na atualização 3170455 para a CVE-2016-3238. A Microsoft disponibilizou as atualizações a seguir para as versões do Microsoft Windows atualmente com suporte. Para obter mais informações, vá para o seguinte artigo da Base de Dados de Conhecimento Microsoft:
-
Atualização 3170455 novamente lançada para Windows Server 2008
-
Pacote cumulativo mensal 4038777 e atualização de segurança 4038779 para Windows 7 e Windows Server 2008 R2
-
Pacote cumulativo mensal 4038799 e atualização de segurança 4038786 para Windows Server 2012
-
Pacote cumulativo mensal 4038792 e atualização de segurança 4038793 para Windows 8.1 e Windows Server 2012 R2
-
Atualização cumulativa 4038781 para Windows 10
-
Atualização cumulativa 4038781 para Windows 10 Versão 1511
-
Atualização cumulativa 4038782 para Windows 10 Versão 1607 e Windows Server 2016
A Microsoft recomenda que os clientes que estão executando o Windows Server 2008 reinstalem a atualização 3170455. A Microsoft recomenda que os clientes que estejam executando outras versões com suporte do Windows instalem a atualização apropriada. Para obter mais informações, acesse o artigo 3170455 da Base de Dados de Conhecimento Microsoft.
Outras alterações incluídas no relançamento do MS16-087
-
Adição do log de eventos para ajudar a determinar a causa de erros de instalação de drivers de impressora
Anteriormente, a única maneira para um cliente saber por que um driver falhou nas novas verificações de restrição implementadas como parte da MS16-087 era coletar logs etw e impressão e enviá-los à Microsoft para análise.
Adicionamos funcionalidades para registrar a causa de falhas no agente de log de eventos, para que os clientes possam investigar a causa raiz de falhas de driver por conta própria.
Informações que serão registradas:
1. Se um driver não tiver reconhecimento de pacote ou não estiver devidamente assinado, a seguinte mensagem será registrada:
MSG_CSRSPL_UNTRUSTED_DRIVER: "O spooler de impressão falhou ao baixar o pacote para o driver <driverName>. Código do erro= <errorCodeFromListBelow>. Bloqueando o driver, pois já possibilidades de adulteração."
2. Se um driver falhar na validação de uma assinatura usando o catálogo fornecido, a seguinte mensagem será registada:
VALIDATEDRVINFO_FAILED: "Em VALIDATINGDRVINFO, falha ao adicionar o driver de impressora <driverName>. Código de erro <errorCodeFromListBelow>.
Possíveis códigos de erro:
|
Código |
Significado |
|
0x800F0243L |
Fornecedor não confiável |
|
0x800F024BL |
Hash não consta no catálogo |
|
0x800F022FL |
Nenhum catálogo para OEM INF |
|
0x800F023FL |
Nenhum catálogo de autenticação |
|
0x800F0240L |
Authenticode não permitido |
|
0x800F0249L |
"Instalação de driver bloqueada" genérica |
Resumo
Esta atualização de segurança resolve vulnerabilidades no Microsoft Windows. A vulnerabilidade mais grave pode permitir a execução remota de código se um invasor conseguir executar um ataque man-in-the-middle (MiTM) em uma estação de trabalho ou servidor de impressão ou instalar um servidor de impressão falso em uma rede de destino. Para saber mais sobre a vulnerabilidade, consulte o Boletim de Segurança da Microsoft MS16-087.
Informações adicionais
Importante
-
Após a instalação desta atualização de segurança, para implantar drivers Apontar e Imprimir de servidores de impressão nos clientes, você deve aplicar o seguinte pacote cumulativo de atualizações do Windows ao servidor de impressora Windows 8.1 ou Windows Server 2012 R2:
3000850 Pacote cumulativo de atualizações de novembro de 2014 do Windows RT 8.1, Windows 8.1 e Windows Server 2012 R2
-
Todas as futuras atualizações relacionadas ou não à segurança para o Windows RT 8.1, Windows 8.1 e Windows Server 2012 R2 exigem que a atualização 2919355 seja instalada. Recomendamos que você instale a atualização 2919355 em seu computador Windows RT 8.1, Windows 8.1 ou Windows Server 2012 R2 para continuar recebendo atualizações futuras.
-
Se você instalar um pacote de idiomas depois de instalar esta atualização, deverá reinstalar esta atualização. Portanto, recomendamos que você instale qualquer pacote de idiomas necessário antes de instalar esta atualização. Para obter mais informações, consulte Adicionar pacotes de idiomas ao Windows.
Informações adicionais sobre a atualização de segurança
Os artigos a seguir contêm informações adicionais sobre esta atualização de segurança em relação a versões de produtos individuais. Os artigos podem conter informações sobre problemas conhecidos.
-
3170455 MS16-087: Descrição da atualização de segurança para componentes do spooler de impressão do Windows: 12 de julho de 2016
-
3163912 Atualização cumulativa para Windows 10: 12 de julho de 2016
-
3172985 Atualização cumulativa para o Windows 10 versão 1511 e o Windows Server 2016 Technical Preview 4: 12 de julho de 2016
Problemas conhecidos
Se você está usando a impressão de rede no seu ambiente, pode passar por um dos seguintes problemas:
-
Talvez você receba um aviso sobre instalação de um driver de impressora, ou a instalação do driver pode falhar sem uma notificação após a aplicação do MS16-087. Os sintomas aqui dependem do cenário específico.
Cenário 1 Para drivers de impressora v3 sem reconhecimento de pacote, a seguinte mensagem de aviso pode ser exibida quando os usuários tentam se conectar a impressoras com o recurso apontar e imprimir:
Cenário 2 Drivers com reconhecimento de pacote devem ser assinados com um certificado confiável. O processo de verificação verifica se todos os arquivos incluídos no driver estão codificados em hash no catálogo. Se essa verificação falhar, o driver será considerado não confiável. Nessa situação, a instalação do driver é bloqueada, e a seguinte mensagem de aviso é exibida:
Cenário 3 Para cenários não interativos (por exemplo, a impressora é instalada por meio de um script automatizado), quando o driver de impressora corresponde aos critérios descritos no Cenário 1 ou 2, a instalação de impressora falha, e nenhuma mensagem de aviso é exibida. Nessas situações, entre em contato com o administrador da rede para obter um driver atualizado do fabricante da impressora. Orientação para administradores de rede:
-
Atualize o driver de impressora afetado. Drivers de impressora V3 habilitados para pacote foram introduzidos no Windows Vista. A instalação de um driver de impressora habilitado para pacote resolverá o problema.
-
Se uma impressora específica herdada não tiver o driver de impressora apropriado, a pré-instalação do driver de impressora problemático no sistema cliente resolverá o problema.
Para obter mais informações sobre esses cenários, consulte os seguintes recursos da Microsoft:
-
-
Depois que você aplica a atualização de segurança MS16-087 (KB 3170455) e tenta se conectar a uma impressora confiável com reconhecimento de pacotes instalada em um sistema que executa o Windows 8.1 ou Windows Server 2012 R2, não é possível conectar-se à impressora. Para resolver esse problema, aplique o pacote cumulativo de atualizações do Windows a seguir ao servidor de impressora do Windows 8.1 ou do Windows Server 2012 R2.
3000850 Pacote cumulativo de atualizações de novembro de 2014 do Windows RT 8.1, Windows 8.1 e Windows Server 2012 R2
Atualização de outubro de 2016: Atenuação de problemas conhecidos
A Microsoft lançou uma atualização para outubro de 2016 que permite que administradores de rede configurem políticas que possibilitam a instalação de drivers de impressão que eles consideram seguros. Essa atualização também permite que os administradores de rede implantem conexões de impressora que eles consideram seguros. As atualizações estão contidas nos pacotes cumulativos a seguir.
|
Windows 10 RTM |
|
|
Windows 10 1511 |
|
|
Windows 10 1607 |
|
|
Windows 7 e Windows Server 2008 R2 |
|
|
Windows Server 2012 |
|
|
Windows 8.1 e Windows Server 2012 R2 |
Configurando a Política de Grupo para adicionar servidores de impressão à lista de permissão
-
Clique em Iniciar e em Executar.
-
Digite gpedit.msc e clique em OK.
-
Expanda Configuração do Computador e depois Modelos Administrativos.
-
Clique em Impressoras.
-
Clique duas vezes em Restrições ao recurso apontar e imprimir e selecione a opção Habilitado.
-
Em Opções, marque a caixa de seleção Os usuários só podem apontar e imprimir nestes servidores e digite os nomes de servidor totalmente qualificados na caixa de texto, separados por ponto-e-vírgula.
-
Em Prompts de Segurança, defina-os da seguinte forma:
-
"Ao instalar drivers para uma nova conexão": "Mostrar aviso e solicitação de elevação".
-
"Ao atualizar drivers para uma conexão existente": "Mostrar aviso e solicitação de elevação".
-
-
Clique em Aplicar e depois em OK.
-
Na página de políticas Impressoras, clique duas vezes em Recurso apontar e imprimir - servidores aprovados.
-
Selecione a opção Habilitado.
-
Em Opções, clique em Mostrar.
-
Digite um nome de servidor totalmente qualificado em cada linha.
-
Clique em OK.
-
Clique em Aplicar e OK.
-
Se você estiver usando um cliente autônomo, reinicie-o e verifique se essas políticas estão em vigor.
-
Se você usar políticas de domínio, envie-as para os clientes de domínio e, em seguida, verifique se elas estão em vigor.
Observação Depois de habilitar essas políticas de grupo, você precisará adicionar todos os servidores de impressora às listas Restrições ao recurso apontar e imprimir e Recurso apontar e imprimir - servidores aprovados. Isso é válido independentemente do reconhecimento de pacote.
Perguntas frequentes sobre a atualização de outubro de 2016
-
P: Devemos desinstalar a atualização anterior? R: Não. A atualização anterior corrige a vulnerabilidade. A atualização de outubro de 2016 oferece mitigação para dar aos administradores de rede a capacidade de instalar drivers que eles consideram para ser seguro.
-
P: Mesmo com a atualização de outubro de 2016 instalada e as políticas de grupo configuradas, a mensagem "Você confia nesta impressora" é exibida quando eu tento instalar uma impressora local. Por que isso? R: Esta mitigação foi concebida para impressoras de rede, e não para impressoras locais, de modo que esse comportamento é esperado. Observação Se você receber a mensagem "Você confia nesta impressora", substitua seu driver atual usando um driver confiável com reconhecimento de pacote ou instale os arquivos de driver no repositório de drivers local antes de instalar a impressora local. Para obter mais informações, consulte a seção Orientação para administradores de rede.
Como obter e instalar a atualização
Método 1: Windows Update
Essa atualização está disponível por meio do Windows Update. Quando você ativar as atualizações automáticas, essa atualização será baixada e instalada automaticamente. Para obter mais informações sobre como ativar a atualização automática, consulte Obter atualizações de segurança automaticamente. Observação Para Windows RT 8.1, esta atualização está disponível apenas no Windows Update.
Você pode obter o pacote de atualização autônomo no Centro de Download da Microsoft. Siga as instruções de instalação na página de download para instalar a atualização. Clique no link de download no Boletim de Segurança da Microsoft MS16-087 que corresponde à versão do Windows que você está executando.
Informações adicionais
Tabela de referência do Windows Vista (todas as edições) A tabela a seguir contém as informações de atualização de segurança para este software.
|
Nomes dos arquivos de atualização de segurança |
Para todas as edições compatíveis de 32 bits do Windows Vista: Windows6.0-KB3170455-x86.msu |
|
Para todas as edições compatíveis baseadas em x64 do Windows Vista: Windows6.0-KB3170455-x64.msu |
|
|
Opções de instalação |
Consulte o Artigo 934307 da Base de Dados de Conhecimento Microsoft |
|
Requisito de reinicialização |
Em alguns casos, a atualização não exige a reinicialização do sistema. Se os arquivos necessários estiverem sendo usados, esta atualização exigirá uma reinicialização do sistema. Se isso ocorrer, você receberá uma mensagem solicitando a reinicialização do sistema. |
|
Informações sobre remoção |
O arquivo WUSA.exe não oferece suporte à desinstalação de atualizações. Para desinstalar uma atualização instalada pelo WUSA, clique em Painel de Controle e em Segurança. Em Windows Update, clique em Exibir atualizações instaladas e selecione uma opção na lista de atualizações. |
|
Informações do arquivo |
Consulte o artigo 3170455 da Base de Dados de Conhecimento Microsoft |
|
Verificação da chave do Registro |
Observação Não existe uma chave do Registro para validar a presença desta atualização. |
Tabela de referência do Windows Server 2008 (todas as edições) A tabela a seguir contém as informações de atualização de segurança para este software.
|
Nomes dos arquivos de atualização de segurança |
Para todas as edições compatíveis de 32 bits do Windows Server 2008:: Windows6.0-KB3170455-x86.msu |
|
Para todas as edições com suporte baseadas em x64 do Windows Server 2008: Windows6.0-KB3170455-x64.msu |
|
|
Para todas as edições compatíveis baseadas em Itanium do Windows Server 2008: Windows6.0-KB3170455-ia64.msu |
|
|
Opções de instalação |
Consulte o Artigo 934307 da Base de Dados de Conhecimento Microsoft |
|
Requisito de reinicialização |
Em alguns casos, a atualização não exige a reinicialização do sistema. Se os arquivos necessários estiverem sendo usados, esta atualização exigirá uma reinicialização do sistema. Se isso ocorrer, você receberá uma mensagem solicitando a reinicialização do sistema. |
|
Informações sobre remoção |
O arquivo WUSA.exe não oferece suporte à desinstalação de atualizações. Para desinstalar uma atualização instalada pelo WUSA, clique em Painel de Controle e em Segurança. Em Windows Update, clique em Exibir atualizações instaladas e selecione uma opção na lista de atualizações. |
|
Informações do arquivo |
Consulte o artigo 3170455 da Base de Dados de Conhecimento Microsoft |
|
Verificação da chave do Registro |
Observação Não existe uma chave do Registro para validar a presença desta atualização. |
Tabela de referência do Windows 7 (todas as edições) A tabela a seguir contém as informações de atualização de segurança para este software.
|
Nome do arquivo da atualização de segurança |
Para todas as edições compatíveis de 32 bits do Windows 7: Windows6.1-KB3170455-x86.msu |
|
Para todas as edições compatíveis baseadas em x64 do Windows 7: Windows6.1-KB3170455-x64.msu |
|
|
Opções de instalação |
Consulte o Artigo 934307 da Base de Dados de Conhecimento Microsoft |
|
Requisito de reinicialização |
Em alguns casos, a atualização não exige a reinicialização do sistema. Se os arquivos necessários estiverem sendo usados, esta atualização exigirá uma reinicialização do sistema. Se isso ocorrer, você receberá uma mensagem solicitando a reinicialização do sistema. |
|
Informações sobre remoção |
Para desinstalar uma atualização instalada pelo WUSA, use a opção de instalação /Uninstall ou clique em Painel de Controle, clique em Sistema e Segurança, clique em Windows Update, clique em Exibir atualizações instaladas e selecione uma das opções na lista de atualizações. |
|
Informações do arquivo |
Consulte o artigo 3170455 da Base de Dados de Conhecimento Microsoft |
|
Verificação da chave do Registro |
Observação Não existe uma chave do Registro para validar a presença desta atualização. |
Tabela de referência do Windows Server 2008 R2 (todas as edições) A tabela a seguir contém as informações de atualização de segurança para este software.
|
Nome do arquivo da atualização de segurança |
Para todas as edições compatíveis baseadas em x64 do Windows Server 2008 R2: Windows6.1-KB3170455-x64.msu |
|
Para todas as edições compatíveis baseadas em Itanium do Windows Server 2008 R2: Windows6.1-KB3170455-ia64.msu |
|
|
Opções de instalação |
Consulte o Artigo 934307 da Base de Dados de Conhecimento Microsoft |
|
Requisito de reinicialização |
Em alguns casos, a atualização não exige a reinicialização do sistema. Se os arquivos necessários estiverem sendo usados, esta atualização exigirá uma reinicialização do sistema. Se isso ocorrer, você receberá uma mensagem solicitando a reinicialização do sistema. |
|
Informações sobre remoção |
Para desinstalar uma atualização instalada pelo WUSA, use a opção de instalação /Uninstall ou clique em Painel de Controle, clique em Sistema e Segurança, clique em Windows Update, clique em Exibir atualizações instaladas e selecione uma das opções na lista de atualizações. |
|
Informações do arquivo |
Consulte o artigo 3170455 da Base de Dados de Conhecimento Microsoft |
|
Verificação da chave do Registro |
Observação Não existe uma chave do Registro para validar a presença desta atualização. |
Tabela de referência do Windows 8.1 (todas as edições) A tabela a seguir contém as informações de atualização de segurança para este software.
|
Nome do arquivo da atualização de segurança |
Para todas as edições compatíveis de 32 bits do Windows 8.1: Windows8.1-KB3170455-x86.msu |
|
Para todas as edições compatíveis baseadas em x64 do Windows 8.1: Windows8.1-KB3170455-x64.msu |
|
|
Opções de instalação |
Consulte o Artigo 934307 da Base de Dados de Conhecimento Microsoft |
|
Requisito de reinicialização |
Em alguns casos, a atualização não exige a reinicialização do sistema. Se os arquivos necessários estiverem sendo usados, esta atualização exigirá uma reinicialização do sistema. Se isso ocorrer, você receberá uma mensagem solicitando a reinicialização do sistema. |
|
Informações sobre remoção |
Para desinstalar uma atualização instalada pelo WUSA, use a opção de instalação /Uninstall ou clique em Painel de Controle, clique em Sistema e Segurança, clique em Windows Update, clique em Atualizações instaladas em Consulte também e selecione uma das opções na lista de atualizações. |
|
Informações do arquivo |
Consulte o artigo 3170455 da Base de Dados de Conhecimento Microsoft |
|
Verificação da chave do Registro |
Observação Não existe uma chave do Registro para validar a presença desta atualização. |
Tabela de referência do Windows Server 2012 e do Windows Server 2012 R2 (todas as edições) A tabela a seguir contém as informações de atualização de segurança para este software.
|
Nome do arquivo da atualização de segurança |
Para todas as edições compatíveis do Windows Server 2012: Windows8-RT-KB3170455-x64.msu |
|
Para todas as edições compatíveis do Windows Server 2012 R2: Windows8.1-KB3170455-x64.msu |
|
|
Opções de instalação |
Consulte o Artigo 934307 da Base de Dados de Conhecimento Microsoft |
|
Requisito de reinicialização |
Em alguns casos, a atualização não exige a reinicialização do sistema. Se os arquivos necessários estiverem sendo usados, esta atualização exigirá uma reinicialização do sistema. Se isso ocorrer, você receberá uma mensagem solicitando a reinicialização do sistema. |
|
Informações sobre remoção |
Para desinstalar uma atualização instalada pelo WUSA, use a opção de instalação /Uninstall ou clique em Painel de Controle, clique em Sistema e Segurança, clique em Windows Update, clique em Atualizações instaladas em Consulte também e selecione uma das opções na lista de atualizações. |
|
Informações do arquivo |
Consulte o artigo 3170455 da Base de Dados de Conhecimento Microsoft |
|
Verificação da chave do Registro |
Observação Não existe uma chave do Registro para validar a presença desta atualização. |
Tabela de referência do Windows RT 8.1 (todas as edições) A tabela a seguir contém as informações de atualização de segurança desse software.
|
Implantação |
A atualização está disponível apenas no Windows Update. |
|
Requisito de reinicialização |
Em alguns casos, a atualização não exige a reinicialização do sistema. Se os arquivos necessários estiverem sendo usados, esta atualização exigirá uma reinicialização do sistema. Se isso ocorrer, você receberá uma mensagem solicitando a reinicialização do sistema. |
|
Informações sobre remoção |
Clique em Painel de Controle, Sistema e Segurança, Windows Update e, em Consulte também, clique em Atualizações instaladas e selecione uma opção na lista de atualizações. |
|
Informações sobre arquivos |
Consulte o artigo 3170455 da Base de Dados de Conhecimento Microsoft |
Tabela de referência do Windows 10 (todas as edições) A tabela a seguir contém as informações de atualização de segurança deste software.
|
Nome do arquivo da atualização de segurança |
Para todas as edições de 32 bits do Windows 10 com suporte: Windows10.0-KB3163912-x86.msu |
|
Para todas as edições com suporte baseadas em x64 do Windows 10: Windows10.0-KB3163912-x64.msu |
|
|
Para todas as edições de 32 bits do Windows 10, versão 1511 com suporte: Windows10.0-KB3172985-x86.msu |
|
|
Para todas as edições com base em x64 do Windows 10, versão 1511 com suporte: Windows10.0-KB3172985-x64.msu |
|
|
Opções de instalação |
Consulte o Artigo 934307 da Base de Dados de Conhecimento Microsoft |
|
Requisito de reinicialização |
Em alguns casos, a atualização não exige a reinicialização do sistema. Se os arquivos necessários estiverem sendo usados, esta atualização exigirá uma reinicialização do sistema. Se isso ocorrer, você receberá uma mensagem solicitando a reinicialização do sistema. |
|
Informações sobre remoção |
Para desinstalar uma atualização instalada pelo WUSA, use a opção de instalação /Uninstall ou clique em Painel de Controle, clique em Sistema e Segurança, clique em Windows Update, clique em Atualizações instaladas em Consulte também e selecione uma das opções na lista de atualizações. |
|
Informações do arquivo |
Consulte o artigo 3163912 da Base de Dados de Conhecimento Microsoft Consulte o artigo 3172985 da Base de Dados de Conhecimento Microsoft |
|
Verificação da chave do Registro |
Observação Não existe uma chave do Registro para validar a presença desta atualização. |
Ajuda para instalar atualizações: Suporte para o Microsoft Update Soluções de segurança para os profissionais de TI: Suporte e solução de problemas de segurança do TechNet Ajuda para proteger seu computador baseado em Windows contra vírus e malware: Central de segurança e solução contra vírus Suporte local de acordo com o seu país: Suporte internacional
