mercoledì 13 marzo 2013

Patch Day Microsoft di marzo: sette aggiornamenti risolvono 20 vulnerabilità


Come annunciato nella notifica preventiva di sicurezza, Microsoft ha rilasciato 7 aggiornamenti in occasione del terzo Patch Day dell'anno, che risolvono 20 vulnerabilità. Dei sette aggiornamenti di sicurezza, quattro sono considerati di livello "critico" e tre "Importante", che risolvono 20 vulnerabilità in Microsoft Windows, Office, Internet Explorer, Server Tools e Silverlight. Per i bollettini di grado "critico" si registrano tre problemi di esecuzione di codice remoto ed un problema di elevazione dei privilegi. Importante, inoltre, l'aggiornamento per Internet Explorer. Di seguito i bollettini sulla sicurezza di marzo in ordine di gravità.

MS13-021 - Aggiornamento cumulativo per la protezione di Internet Explorer (2809289). Questo aggiornamento per la protezione risolve otto vulnerabilità segnalate privatamente e una vulnerabilità divulgata pubblicamente relative a Internet Explorer. Le vulnerabilità più grave può consentire l'esecuzione di codice in modalità remota se un utente visualizza una pagina Web appositamente predisposta con Internet Explorer. Un utente malintenzionato che riesca a sfruttare queste vulnerabilità, può ottenere gli stessi diritti utente dell'utente corrente. Gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.

Questo aggiornamento per la protezione è considerato di livello critico per Internet Explorer 6, Internet Explorer 7, Internet Explorer 8, Internet Explorer 9 e Internet Explorer 10 su client Windows e di livello moderato per Internet Explorer 6, Internet Explorer 7, Internet Explorer 8, Internet Explorer 9, e Internet Explorer 10 su server Windows. L'aggiornamento per la protezione risolve le vulnerabilità modificando il modo in cui Internet Explorer gestisce gli oggetti nella memoria. Vulnerabilità: CVE-2013-0087, CVE-2013-0088, CVE-2013-0089, CVE-2013-0090, CVE-2013-0091, CVE-2013-0092, CVE-2013-0093, CVE-2013-0094, CVE-2013-1288.

MS13-022 - Una vulnerabilità in Silverlight può consentire l'esecuzione di codice in modalità remota (2814124) Questo aggiornamento per la protezione risolve una vulnerabilità segnalata privatamente in Microsoft Silverlight. La vulnerabilità può consentire l'esecuzione di codice in modalità remota se un utente malintenzionato ospita un sito web che contiene un'applicazione Silverlight appositamente predisposta in grado di sfruttare la vulnerabilità e quindi convince un utente a visualizzare il sito web. L'utente malintenzionato potrebbe inoltre servirsi di siti Web manomessi e siti Web che accettano o ospitano contenuti forniti dagli utenti o pubblicità.

Tali siti possono includere contenuti appositamente predisposti in grado di sfruttare questa vulnerabilità. In tutti i casi, tuttavia, un utente malintenzionato non può in alcun modo obbligare gli utenti a visitare un sito web. Al contrario, l'utente malintenzionato dovrebbe convincere gli utenti a visitare un sito Web, in genere inducendoli a fare clic su un collegamento in un messaggio di posta elettronica o in un messaggio di Instant Messenger che li indirizzi al sito Web dell'utente malintenzionato.

Potrebbe anche essere possibile visualizzare contenuti Web appositamente predisposti utilizzando banner pubblicitari o altre modalità di invio di contenuti Web ai sistemi interessati. Questo aggiornamento per la protezione è considerato di livello critico per Microsoft Silverlight 5 e Microsoft Silverlight 5 Runtime Developer installato su Mac e tutte le versioni supportate di Microsoft Windows. L'aggiornamento per la protezione risolve la vulnerabilità correggendo il modo in cui Microsoft Silverlight controlla i puntatori di memoria durante il rendering di oggetti HTML. Vulnerabilità Silverlight Double Dereference (CVE-2013-0074).

Priorità degli aggiornamenti

MS13-023 - Una vulnerabilità in Microsoft Visio Viewer 2010 potrebbe consentire l'esecuzione di codice in modalità remota (2801261). Questo aggiornamento per la protezione risolve una vulnerabilità segnalata privatamente in Microsoft Office. La vulnerabilità può consentire l'esecuzione di codice in modalità remota se un utente apre un file Visio appositamente predisposto. Un utente malintenzionato che riesca a sfruttare la vulnerabilità, può ottenere gli stessi diritti utente dell'utente corrente.

Gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione. Questo aggiornamento per la protezione è considerato di livello critico per tutte le edizioni supportate di Microsoft Visio Viewer 2010. L'aggiornamento per la protezione risolve la vulnerabilità modificando il modo in cui Microsoft Visio Viewer alloca la memoria durante l'analisi di file Visio appositamente predisposti. Vulnerabilità Visio Viewer Tree Object Type Confusion (CVE-2013-0079).

• MS13-024 - Alcune vulnerabilità in SharePoint possono consentire l'acquisizione di privilegi più elevati (2780176). Questo aggiornamento per la protezione risolve quattro vulnerabilità segnalate privatamente in Microsoft SharePoint e Microsoft SharePoint Foundation. La vulnerabilità più grave può consentire l'acquisizione di privilegi più elevati se un utente fa clic su un URL appositamente predisposto che porta l'utente a un sito SharePoint di destinazione.

Questo aggiornamento per la protezione è considerato di livello critico per tutte le edizioni supportate di Microsoft SharePoint Server 2010 e di livello importante per tutte le edizioni supportate di Microsoft SharePoint Foundation 2010. L'aggiornamento per la protezione risolve le vulnerabilità correggendo il modo in cui Microsoft SharePoint Server convalida URL e l'input dell'utente. Vulnerabilità Callback Function (CVE-2013-0080), vulnerabilità SharePoint XSS (CVE-2013-0083), Vulnerabilità SharePoint Directory Traversal (CVE-2013-0084), vulnerabilità Buffer Overflow (CVE-2013-0085).

Aggregato di rischio e indice sfruttabilità

MS13-025 - Una vulnerabilità in Microsoft OneNote può consentire l'intercettazione di informazioni personali (2816264). Questo aggiornamento per la protezione risolve una vulnerabilità segnalata privatamente in Microsoft OneNote. La vulnerabilità può consentire l'intercettazione di informazioni personali se un utente malintenzionato convince un utente ad aprire un file di OneNote appositamente predisposto. Questo aggiornamento per la protezione è considerato di livello importante per tutte le edizioni supportate di Microsoft OneNote 2010. L'aggiornamento per la protezione risolve la vulnerabilità modificando il modo in cui Microsoft OneNote controlla la dimensione di un buffer da assegnare. Vulnerabilità Buffer Size Validation (CVE-2013-0086).

• MS13-026 - Una vulnerabilità in Office Outlook per Mac può consentire l'intercettazione di informazioni personali (2813682). Questo aggiornamento per la protezione risolve una vulnerabilità segnalata privatamente in Microsoft Office per Mac. La vulnerabilità può consentire l'intercettazione di informazioni personali se un utente apre un messaggio di posta elettronica appositamente predisposto. Questo aggiornamento per la protezione è considerato di livello importante per Microsoft Office 2008 per Mac e Microsoft Office per Mac 2011. L'aggiornamento per la protezione risolve la vulnerabilità, contribuendo a garantire che Microsoft Outlook per Mac non scarichi contenuti da fonti esterne senza il consenso dell'utente. Vulnerabilità Unintended Content Loading (CVE-2013-0095).

MS13-027 - Vulnerabilità del driver in modalità kernel possono consentire l'acquisizione di privilegi più elevati (2807986). Questo aggiornamento per la protezione risolve tre vulnerabilità segnalate privatamente in Microsoft Windows. Queste vulnerabilità possono consentire l'elevazione dei privilegi se un utente malintenzionato ottiene l'accesso a un sistema. Questo aggiornamento per la protezione è considerato di livello importante per tutte le versioni supportate di Microsoft Windows. L'aggiornamento per la protezione risolve le vulnerabilità correggendo il modo in cui un Windows kernel-mode driver gestisce gli oggetti nella memoria. Vulnerabilità Windows USB Descriptor (CVE-2013-1285, CVE-2013-1286, CVE-2013-1287).

Microsoft consiglia a coloro che hanno disabilitato l'update automatico, di scaricare le patch manualmente e installarle da Windows Update. A corollario, Microsoft ha rilasciato come di consueto una versione aggiornata dello strumento di rimozione malware giunto alla versione 4.18, per consentire l'eliminazione di software dannosi dai computer che eseguono Windows 8, Windows 7, Windows Vista, Windows Server 2003, Windows Server 2008 o Windows XP. Consultare l'articolo KB890830 per l'elenco del software dannoso che può essere rimosso dalla versione corrente dello strumento nonché per istruzioni sull'uso. Il prossimo appuntamento con il patch day è per martedì 9 aprile 2013.

Crediti immagini: Blog Technet

3 commenti: