Come pubblicato nella notifica anticipata di sicurezza relativa al mese di giugno, con questo Patch Day Microsoft ha rilasciato sette aggiornamenti che risolvono 66 vulnerabilità, 59 delle quali conivolgono le versioni di Internet Explorer comprese fra la 8 e la 11. Due bollettini sono considerati critici, mentre le restanti cinque patch sono valutato come importanti. Interessati anche Office e i tablet Surface e Surface Pro. Le falle tappate in Internet Explorer permettevano l'esecuzione di codice remoto o la scalata di privilegi. Contestualmente Adobe ha corretto sei vulnerabilità critiche in Flash Player e AIR. Microsoft ha ufficialmente abbandonato il supporto per Windows XP. Di seguito i bollettini sulla sicurezza di giugno in ordine di gravità.
• MS14-035 - Aggiornamento cumulativo per la protezione di Internet Explorer (2969262). Questo aggiornamento per la protezione risolve due vulnerabilità divulgate pubblicamente e cinquantasette vulnerabilità segnalate privatamente in Internet Explorer. La vulnerabilità con gli effetti più gravi sulla protezione può consentire l'esecuzione di codice in modalità remota se un utente visualizza una pagina Web appositamente predisposta in Internet Explorer. Sfruttando queste vulnerabilità, un utente malintenzionato può ottenere gli stessi diritti utente dell'utente corrente. Pertanto, i clienti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.
• MS14-036 - Una vulnerabilità nel componente Microsoft Graphics può consentire l'esecuzione di codice in modalità remota (2967487). Questo aggiornamento per la protezione risolve due vulnerabilità segnalate privatamente in Microsoft Windows, Microsoft Office e Microsoft Lync. Queste vulnerabilità possono consentire l'esecuzione di codice in modalità remota se un utente apre un file o una pagina Web appositamente predisposta. Pertanto, gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione. L'aggiornamento risolve le vulnerabilità correggendo tra l'altro il modo in cui in cui GDI+ convalida i tipi di record immagine appositamente predisposti.
• MS14-034 - Una vulnerabilità in Microsoft Word può consentire l'esecuzione di codice in modalità remota (2969261). Questo aggiornamento per la protezione risolve una vulnerabilità di Microsoft Office che è stata segnalata privatamente. La vulnerabilità può consentire l'esecuzione di codice in modalità remota se un utente apre un file appositamente predisposto con una versione interessata di Microsoft Word. Sfruttando questa vulnerabilità, un utente malintenzionato può ottenere gli stessi diritti utente dell'utente corrente. Pertanto, i clienti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.
• MS14-033 - Una vulnerabilità in Microsoft XML Core Services (MSXML) può consentire l'intercettazione di informazioni personali (2966061). Questo aggiornamento per la protezione risolve una vulnerabilità di Microsoft Windows che è stata segnalata privatamente. La vulnerabilità può consentire l'intercettazione di informazioni personali nel momento in cui un utente registrato visita un sito Web appositamente predisposto, designato a richiamare MSXML tramite IE. In ogni caso, non è in alcun modo possibile obbligare gli utenti a visitare questi siti Web. L'utente malintenzionato deve convincere le vittime a visitare un sito, in genere inducendole a fare clic su un collegamento in un messaggio email o in una richiesta di messaggistica immediata che le indirizzi al sito.
• MS14-032 - Una vulnerabilità in Microsoft Lync Server può consentire l'intercettazione di informazioni personali (2969258). Questo aggiornamento per la protezione risolve una vulnerabilità di Microsoft Lync Server che è stata segnalata privatamente. La vulnerabilità CVE-2014-1823 può consentire l'intercettazione di informazioni personali se un utente tenta di partecipare a una riunione Lync facendo clic su un URL appositamente predisposto. L'aggiornamento per la protezione risolve la vulnerabilità correggendo il modo in cui Microsoft Lync Server gestisce e disinfetta i contenuti.
• MS14-031 - Una vulnerabilità nel procotollo TCP può consentire un attacco di tipo Denial of Service (2962478). Questo aggiornamento per la protezione risolve una vulnerabilità di Microsoft Windows che è stata segnalata privatamente. La vulnerabilità può consentire un attacco di tipo Denial of Service se un utente malintenzionato invia una sequenza di pacchetti appositamente predisposti al sistema di destinazione. L'aggiornamento per la protezione risolve la vulnerabilità modificando il modo in cui lo stack TCP/IP di Windows gestisce i pacchetti appositamente predisposti.
• MS14-030 - Una vulnerabilità in Desktop remoto può consentire la manomissione dei dati (2969259). Questo aggiornamento per la protezione risolve una vulnerabilità di Microsoft Windows che è stata segnalata privatamente. La vulnerabilità CVE-2014-0296 può consentire la manomissione dei dati se un utente malintenzionato riesce ad accedere allo stesso segmento di rete del sistema interessato durante una sessione RDP (Remote Desktop Protocol) attiva, quindi invia pacchetti RDP appositamente predisposti al sistema interessato. Per impostazione predefinita, RDP non è attivato in alcun sistema operativo Windows. I sistemi che non hanno il protocollo RDP attivato non sono a rischio.
Microsoft consiglia a coloro che hanno disabilitato l'update automatico, di scaricare le patch manualmente e installarle da Windows Update. A corollario, Microsoft ha rilasciato come di consueto una versione aggiornata dello strumento di rimozione malware giunto alla versione 5.13, per consentire l'eliminazione di software dannosi dai computer che eseguono Windows 8.1, Windows 8, Windows 7, Windows Vista, Windows Server 2003, Windows Server 2008 o Windows XP. Per tutte le ultime informazioni, è possibile anche seguire il team MSRC su Twitter all'indirizzo @MSFTSecResponse. Si ricorda che questo strumento non sostituisce un prodotto antivirus. Il prossimo appuntamento con il patch day è fissato per martedì 8 luglio 2014.
Nessun commento:
Posta un commento