mercoledì 12 dicembre 2012

Microsoft Patch Day di dicembre: 7 aggiornamenti, 5 critici e 2 importanti


In occasione dell'ultimo patch day del 2012, Microsoft ha distribuito 7 nuove correzioni di sicurezza: di queste, cinque sono indicate come "critiche" e due "importanti". Come pubblicato nella notifica preventiva di sicurezza,  i 5 bollettini critici descrivono vulnerabilità sfruttabili per attacchi da remoto e includono tra l'altro il nuovo sistema operativo Windows 8, la suite Office ed il browser Internet Explorer 10. I 2 bollettini "importanti" sono classificati nelle categorie Remote Code Execution e Security Feature Bypass e riguardano entrambi il sistema operativo Windows. Di seguito i bollettini sulla sicurezza di dicembre in ordine di gravità.

MS12-077 - Aggiornamento cumulativo per la protezione di Internet Explorer (2761465) Questo aggiornamento per la protezione risolve tre vulnerabilità di Internet Explorer segnalate privatamente. Le vulnerabilità con gli effetti più gravi sulla protezione possono consentire l'esecuzione di codice in modalità remota se un utente visualizza una pagina Web appositamente predisposta in Internet Explorer. Sfruttando queste vulnerabilità, un utente malintenzionato può ottenere gli stessi diritti utente dell'utente corrente. Pertanto, gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.

Questo aggiornamento per la protezione è considerato di livello critico per Internet Explorer 9 e Internet Explorer 10 su client Windows e di livello moderato per Internet Explorer 9 e Internet Explorer 10 su server Windows. Questo aggiornamento per la protezione non ha alcun livello di gravità di Internet Explorer 6, Internet Explorer 7 e Internet Explorer 8.  Vulnerabilità legata a un errore di tipo use-after-free di InjectHTMLStream (CVE-2012-4781); vulnerabilità legata a un errore di tipo use-after-free di CMarkup (CVE-2012-4782); vulnerabilità legata a un errore di tipo use-after-free nel conteggio errato dei riferimenti (CVE-2012-4787).

MS12-078 - Alcune vulnerabilità nei driver in modalità kernel di Windows possono consentire l'esecuzione di codice in modalità remota (2783534). Questo aggiornamento per la protezione risolve una vulnerabilità divulgata pubblicamente e una vulnerabilità segnalata privatamente in Microsoft Windows. La più grave delle vulnerabilità può consentire l'esecuzione di codice in modalità remota se un utente apre un documento appositamente predisposto o visita una pagina Web dannosa che incorpora i file di caratteri TrueType o OpenType.

Un utente malintenzionato deve convincere gli utenti a visitare il sito Web, in genere inducendoli a fare clic su un collegamento in un messaggio di posta elettronica che li indirizzi al sito. Questo aggiornamento per la protezione è considerato di livello critico per tutte le versioni supportate di Microsoft Windows (esclusi gli impianti di base del server, che sono di livello importante). Vulnerabilità legata all'analisi dei caratteri OpenType (CVE-2012-2556); vulnerabilità legata all'analisi dei caratteri TrueType (CVE-2012-4786).


•  MS12-079 - Una vulnerabilità in Microsoft Word può consentire l'esecuzione di codice in modalità remota (2780642). Questo aggiornamento per la protezione risolve una vulnerabilità di Microsoft Office che è stata segnalata privatamente. La vulnerabilità può consentire l'esecuzione di codice in modalità remota se un utente apre un file RTF appositamente predisposto utilizzando una versione interessata del software Microsoft Office o visualizza in anteprima o apre un messaggio di posta elettronica RTF appositamente predisposto in Outlook utilizzando Microsoft Word come visualizzatore di email. Sfruttando tale vulnerabilità, un utente malintenzionato potrebbe acquisire gli stessi diritti utente dell'utente corrente.

Pertanto, gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione. Questo aggiornamento per la protezione è considerato di livello critico per tutte le edizioni supportate di Microsoft Word 2010 e Microsoft Word 2007. Questo aggiornamento per la protezione è considerato di livello importante per tutte le edizioni supportate di Microsoft Word 2003, e tutte le versioni supportate di Microsoft Word Viewer, Microsoft Office Compatibility Pack, e Microsoft Office Web Apps. Vulnerabilità legata all'esecuzione di codice in modalità remota del dato RTF "listoverridecount" in Word (CVE-2012-2539).

• MS12-080 - Alcune vulnerabilità in Microsoft Exchange Server possono consentire l'esecuzione di codice in modalità remota (2784126) Questo aggiornamento per la protezione risolve alcune vulnerabilità divulgate pubblicamente e una vulnerabilità segnalata privatamente in Microsoft Exchange Server. Le vulnerabilità con gli effetti più gravi sulla protezione sono in Microsoft Exchange Server WebReady Document Viewing e possono consentire l'esecuzione di codice in modalità remota nel contesto di protezione del servizio di transcodifica sul server Exchange, se un utente visualizza in anteprima un file appositamente predisposto utilizzando Outlook Web App (OWA).

Il servizio di transcodifica in Exchange utilizzato per WebReady Document Viewing è in esecuzione nell'account LocalService. L'account LocalService dispone di privilegi minimi sul computer locale e presenta credenziali anonime sulla rete. Questo aggiornamento per la protezione è considerato di livello critico per tutte le edizioni supportate di Microsoft Exchange Server 2007 e Microsoft Exchange Server 2010. Oracle Outside In contiene più vulnerabilità sfruttabili (CVE-2012-3214, CVE-2012-3217); vulnerabilità DoS in Exchange legata al feed RSS (CVE-2012-4791).

• MS12-081 - Una vulnerabilità legata al componente di gestione dei file in Windows può consentire l'esecuzione di codice in modalità remota (2758857).    Questo aggiornamento per la protezione risolve una vulnerabilità di Microsoft Windows che è stata segnalata privatamente. La vulnerabilità può consentire l'esecuzione di codice in modalità remota se un utente naviga a una cartella che contiene un file o una cartella secondaria con un nome appositamente predisposto. Sfruttando questa vulnerabilità, un utente malintenzionato può ottenere gli stessi diritti utente dell'utente corrente.

Pertanto, gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione. Questo aggiornamento per la protezione è considerato di livello critico per tutte le edizioni supportate di Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 e Windows Server 2008 R2. Windows 8, Windows Server 2012, e Windows RT non sono interessati dalla vulnerabilità. Vulnerabilità legata all'analisi del nome file in Windows (CVE-2012-4774).


• MS12-082 - Una vulnerabilità in DirectPlay può consentire l'esecuzione di codice in modalità remota (2770660). Questo aggiornamento per la protezione risolve una vulnerabilità di Microsoft Windows che è stata segnalata privatamente. La vulnerabilità può consentire l'esecuzione di codice in modalità remota se un utente malintenzionato convince un utente a visualizzare un documento di Office appositamente predisposto con contenuto incorporato. Sfruttando questa vulnerabilità, un utente malintenzionato può ottenere gli stessi diritti utente dell'utente corrente.

Pertanto, gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione. Questo aggiornamento per la protezione è considerato di livello importante per tutte le versioni supportate di Microsoft Windows ad eccezione di Windows RT. L'aggiornamento per la protezione risolve la vulnerabilità correggendo il modo in cui DirectPlay gestisce contenuti appositamente predisposti. Vulnerabilità legata all'overflow degli heap DirectPlay (CVE-2012-1537).

• MS12-083 - Una vulnerabilità nel componente IP-HTTPS può consentire l'elusione della funzione di protezione (2765809) Questo aggiornamento per la protezione risolve una vulnerabilità di Microsoft Windows che è stata segnalata privatamente. La vulnerabilità può consentire l'elusione della funzione di protezione se un utente malintenzionato presenta un certificato revocato a un server IP-HTTPS utilizzato comunemente nelle distribuzioni di Microsoft DirectAccess.

Per sfruttare la vulnerabilità, un utente malintenzionato deve utilizzare un certificato rilasciato dal dominio per l'autenticazione del server IP-HTTPS. L'accesso a un sistema all'interno dell'organizzazione richiederebbe comunque le credenziali di sistema o di dominio. Questo aggiornamento per la protezione è considerato di livello importante per tutte le edizioni supportate di Windows Server 2008 R2 e Windows Server 2012. L'aggiornamento per la protezione risolve la vulnerabilità modificando il modo in cui Microsoft Windows controlla la validità dei certificati. Vulnerabilità legata all'elusione del certificato revocato (CVE-2012-2549).

Microsoft consiglia a coloro che hanno disabilitato l'update automatico, di scaricare le patch manualmente e installarle da Windows Update. A corollario, Microsoft ha rilasciato come di consueto una versione aggiornata dello strumento di rimozione malware giunto alla versione 4.15, che facilita l'eliminazione di software dannosi dai computer che eseguono Windows 8, Windows 7, Windows Vista, Windows Server 2003, Windows Server 2008 o Windows XP. Consultare l'articolo KB890830 per l'elenco del software dannoso che può essere rimosso dalla versione corrente dello strumento nonché per istruzioni sull'uso. Il prossimo appuntamento con il patch day è per martedì 8 gennaio 2013.

2 commenti: