giovedì 11 settembre 2014

Microsoft Patch day settembre: 4 bollettini risolvono 42 vulnerabilità


Come parte del suo Patch Day di settembre, Microsoft ha rilasciato quattro bollettini di sicurezza, uno dei quali considerato di livello "critico" e tre "importanti", che affrontano 42 vulnerabilità in Windows, Internet Explorer, .NET Framework, e Lync Server. La priorità di questo mese è l'aggiornamento per Internet Explorer, che risolve 37 bug. Nel caso ve lo siete perso, l'aggiornamento di agosto per IE include anche nuove funzionalità per bloccare controllo ActiveX out-of-date. Questa funzionalità viene abilitata con l'aggiornamento odierno. Oltre ai bollettini sulla sicurezza di questo mese, Microsoft ha rivisto tre consulenze sulla sicurezza.

L'aggiornamento aggiunge una protezione supplementare alle credenziali degli utenti quando si accede in un sistema R2 di Windows 7 o Sever 2008. Contestualmente Adobe ha rilasciato un bollettino di sicurezza che riguarda Flash Player. Gli aggiornamenti per Windows, Mac e Linux correggono 12 vulnerabilità che potrebbero consentire a malintenzionati di prendere il controllo dei sistemi interessati. Gli aggiornamenti risolvono, tra l'altro, una vulnerabilità di perdita della memoria e una vulnerabilità-use-after-free che potrebbe provocare l'esecuzione di codice. Di seguito i bollettini sulla sicurezza di settembre in ordine di gravità. 

MS14-052 - Aggiornamento cumulativo della protezione per Internet Explorer (2977629). Questo aggiornamento risolve una vulnerabilità divulgata pubblicamente e 36 segnalate privatamente in Internet Explorer. La più grave può consentire l'esecuzione di codice in modalità remota se un utente visualizza una pagina Web appositamente predisposta con IE. Un utente malintenzionato che riesca a sfruttare questei bug può ottenere gli stessi diritti utente dell'utente corrente.  I clienti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione. 

MS14-053 - Una vulnerabilità in .NET Framework può consentire attacchi Denial of Service (2990931). Questo aggiornamento risolve una vulnerabilità segnalata privatamente in Microsoft .NET Framework. Il bug può consentire un attacco DoS se un utente malintenzionato invia un piccolo numero di richieste appositamente predisposte a un sito web .NET-enabled interessato. Per impostazione predefinita, ASP.NET non viene installato quando .NET Framework è installato su qualsiasi versione supportata di Windows. Per essere interessato dalla vulnerabilità CVE-2014-4072, i clienti devono installare manualmente e attivare ASP.NET registrandolo con IIS


• MS14-054 - Una vulnerabilità in Windows Task Scheduler può consentire l'acquisizione di privilegi più elevati (2988948). Questo aggiornamento per la protezione risolve una vulnerabilità segnalata privatamente in Microsoft Windows. La vulnerabilità può consentire di privilegi più elevati se un utente malintenzionato accede al sistema interessato ed esegue un'applicazione appositamente predisposta. Un utente malintenzionato deve disporre di credenziali di accesso valide ed essere in grado di accedere in locale per sfruttare questa vulnerabilità. La vulnerabilità CVE-2014-4074 non può essere sfruttata in remoto o da utenti anonimi. 

MS14-055 - Alcune vulnerabilità in Microsoft Lync Server possono consentire attacchi Denial of Service (2990928). Questo aggiornamento per la protezione risolve tre vulnerabilità segnalate privatamente in Microsoft Lync Server. La più grave di queste vulnerabilità può consentire un attacco Denial of Service se un utente malintenzionato invia una richiesta appositamente predisposta a un server Lync. L'aggiornamento risolve le vulnerabilità CVE-2014-4068CVE-2014-4070CVE-2014-4071 correggendo il modo in cui Lync Server disinfetta l'input dell'utente e correggendo il modo in cui Lync Server gestisce le eccezioni e dereference null.

Microsoft ha rivisto il Security Advisory 2871997 - Aggiornamento per migliorare le credenziali di protezione e di gestione. L'aggiornamento (2982378) aggiunge una protezione supplementare alle credenziali degli utenti quando si accede in un sistema R2 di Windows 7 o Windows Sever 2008 per garantire che le credenziali siano rimossi immediatamente invece di aspettare fino a quando si ottiene un Kerberos TGT (Ticket Granting Ticket). E' stato rivisito anche il Security Advisory 2905247 - Insicura configurazione del sito ASP.NET può consentire privilegi più elevati. L'update offre adesso l'aggiornamento tramite Microsoft Update.

Microsoft consiglia a coloro che hanno disabilitato l'update automatico, di scaricare le patch manualmente e installarle da Windows Update. A corollario, Microsoft ha rilasciato come di consueto una versione aggiornata dello strumento di rimozione malware giunto alla versione 5.16, per consentire l'eliminazione di software dannosi dai computer che eseguono Windows. Si ricorda che questo strumento non sostituisce un prodotto antivirus. Per tutte le ultime informazioni, è possibile anche seguire il team MSRC su Twitter all'indirizzo @MSFTSecResponse. Il prossimo appuntamento con il patch day è fissato per martedì 14 ottobre 2014.


Nessun commento:

Posta un commento