Come parte del suo Patch Day di novembre, Microsoft ha rilasciato 14 aggiornamenti di sicurezza, quattro dei quali considerati di livello critico, otto di livello importante e due considerati di livello moderato, per affrontare 33 vulnerabilità in Windows, Internet Explorer, Office, .NET Framework, Internet Information Services, Remote Desktop Protocol, Active Directory Federation Services, IME (Giapponese) e Kernel Mode Driver. Originariamente Microsoft aveva pianificato di rilasciare 16 bollettini, ma a causa di problemi emersi alla fine dei test, due bollettini sono stati rinviati. Di seguito i bollettini di Microsoft sulla sicurezza di novembre in ordine di gravità.
• MS14-064 - Alcune vulnerabilità in OLE di Windows possono consentire l'esecuzione codice in modalità remota (3011443). Questo aggiornamento per la protezione risolve due vulnerabilità in Object Linking and Embedding (OLE). La più grave di queste vulnerabilità può consentire l'esecuzione di codice in modalità remota se un utente visualizza una pagina Web appositamente predisposta con Internet Explorer. Un utente malintenzionato che riesca a sfruttare la vulnerabilità può eseguire codice arbitrario nel contesto dell'utente corrente. Se l'utente è connesso con privilegi di amministrazione, un malintenzionato potrebbe quindi installare programmi; visualizzare, modificare o eliminare dati; oppure creare nuovi account con diritti utente completi.
• MS14-065 - Aggiornamento cumulativo per la protezione di Internet Explorer (3003057). Questo aggiornamento per la protezione risolve diciassette vulnerabilità segnalate privatamente in Internet Explorer. La più grave di queste vulnerabilità può consentire l'esecuzione di codice in modalità remota se un utente visualizza una pagina Web appositamente predisposta con Internet Explorer. Un utente malintenzionato che riesca a sfruttare queste vulnerabilità può ottenere gli stessi diritti utente dell'utente corrente. I clienti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.
• MS14-066 - Una vulnerabilità presente in SChannel può consentire l'esecuzione di codice in modalità remota (2992611). Questo aggiornamento per la protezione risolve una vulnerabilità segnalata privatamente nel pacchetto di protezione Microsoft Canale sicuro (Schannel) in Windows. La vulnerabilità può consentire l'esecuzione di codice in modalità remota se un utente malintenzionato invia pacchetti appositamente predisposti a un server Windows. Sistemi server e workstation che eseguono una versione interessata di Schannel sono principalmente a rischio. Questo aggiornamento include nuovi TLS cipher suites che offrono la crittografia più robusta per proteggere le informazioni dei clienti.
• MS14-067 - Una vulnerabilità in XML Core Services può consentire l'esecuzione codice in modalità remota (2993958). Questo aggiornamento risolve una vulnerabilità segnalata in Windows. La vulnerabilità può consentire l'esecuzione di codice in modalità remota se un utente connesso visita un sito Web appositamente predisposto per richiamare Microsoft XML Core Services (MSXML) tramite Internet Explorer. In tutti i casi, tuttavia non è in alcun modo possibile obbligare gli utenti a visitare questi siti Web. Al contrario, l'utente malintenzionato dovrebbe convincere gli utenti a visitare un sito Web, in genere inducendoli a fare clic su un link in un messaggio email o di Instant Messenger che li indirizzi al sito Web dell'utente malintenzionato.
• MS14-068 - Data di uscita da definire.
• MS14-069 - Alcune vulnerabilità in Microsoft Office possono consentire l'esecuzione di codice in modalità remota (3009710). Questo aggiornamento per la protezione risolve tre vulnerabilità segnalate privatamente in Microsoft Office. Le vulnerabilità possono consentire l'esecuzione di codice in modalità remota se un file appositamente predisposto viene aperto in un'edizione interessata di Microsoft Office 2007. Un utente malintenzionato che sfrutti questa vulnerabilità può ottenere gli stessi diritti utente dell'utente corrente. I clienti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.
• MS14-070 - Una vulnerabilità in TCP/IP può consentire l'acquisizione di privilegi più elevati (2989935). Questo aggiornamento per la protezione risolve una vulnerabilità segnalata pubblicamente in TCP/IP che si verifica durante il processo di controllo input/output (IOCTL). Questa vulnerabilità può consentire l'acquisizione di privilegi più elevati se un utente malintenzionato accede a un sistema ed esegue un'applicazione appositamente predisposta. Un malintenzioanto che sfrutti questa vulnerabilità può eseguire codice arbitrario nel contesto di un altro processo. Se questo processo viene eseguito con privilegi di amministratore, un utente malintenzionato potrebbe installare programmi; visualizzare, modificare o eliminare dati; oppure creare nuovi account con diritti utente completi.
• MS14-071 - Una vulnerabilità nel servizio Audio di Windows può consentire l'acquisizione di privilegi più elevati (3005607). Questo aggiornamento per la protezione risolve una vulnerabilità segnalata privatamente in Microsoft Windows. La vulnerabilità può consentire l'acquisizione di privilegi più elevati se un'applicazione utilizza il servizio Microsoft Windows Audio. La vulnerabilità di per sé non consente di eseguire codice arbitrario. La vulnerabilità dovrebbe essere utilizzata in combinazione con un'altra vulnerabilità che ha permesso l'esecuzione di codice remoto. La vulnerabilità è causata quando il servizio Microsoft Windows Audio convalida in modo improprio le autorizzazioni a determinate condizioni, potenzialmente permettendo script da eseguire con privilegi elevati.
• MS14-072 - Una vulnerabilità in .NET Framework può consentire di privilegi più elevati (3005210). Questo aggiornamento per la protezione risolve una vulnerabilità segnalata privatamente in Microsoft .NET Framework. La vulnerabilità può consentire l'acquisizione di privilegi più elevati se un utente malintenzionato invia dati appositamente predisposti di una workstation affetta o server che utilizza .NET Remoting. Solo le applicazioni personalizzate che sono state specificamente progettate per utilizzare .NET Remoting esporrebbero un sistema alla vulnerabilità. L'aggiornamento risolve la vulnerabilità assicurando che .NET Framework applichi correttamente i controlli di sicurezza per la memoria dell'applicazione.
• MS14-073 - Una vulnerabilità in Microsoft SharePoint Foundation può consentire di privilegi più elevati (3000431). Questo aggiornamento per la protezione risolve una vulnerabilità segnalata privatamente in Microsoft SharePoint Server. Un utente malintenzionato autenticato in grado di sfruttare questa vulnerabilità può eseguire uno script arbitrario nel contesto dell'utente nel sito di SharePoint corrente. In uno scenario di attacco basato sul Web, l'utente malintenzionato potrebbe pubblicare un sito Web appositamente predisposto per sfruttare queste vulnerabilità e quindi convincere un utente a visualizzare il sito web. L'utente malintenzionato può inoltre usufruire di siti web compromessi e siti web che accettano o ospitano contenuti pubblicitari forniti dagli host user-provider.
• MS14-074 - Una vulnerabilità in Remote Desktop Protocol può consentire di bypassare l'elemento di sicurezza (3003743). Questo aggiornamento per la protezione risolve una vulnerabilità segnalata privatamente in Microsoft Windows. La vulnerabilità può consentire di escludere la funzionalità di sicurezza quando Remote Desktop Protocol (RDP) non riesce a collegarsi correttamente agli eventi di controllo. Per impostazione predefinita, RDP non è abilitato su qualsiasi sistema operativo Windows. I sistemi che non hanno RDP attivato non sono a rischio. L'aggiornamento per la protezione risolve la vulnerabilità correggendo il modo in cui RDP gestisce l'autenticazione e la registrazione.
• MS14-075 - Data di uscita da definire.
• MS14-076 - Una vulnerabilità in Internet Information Services (IIS) può consentire di bypassare l'elemento di sicurezza (2982998). Questo aggiornamento per la protezione risolve una vulnerabilità segnalata privatamente in Microsoft Internet Information Services (IIS) che potrebbe portare ad un by-pass della funzione di sicurezza "IP e restrizioni dominio". Lo sfruttamento di questa vulnerabilità potrebbe portare a clienti da domini ristretti o bloccati che hanno accesso alle risorse Web con restrizioni. L'aggiornamento per la protezione risolve la vulnerabilità modificando il modo di IIS gestisce le richieste quando esistono le configurazioni IP e di restrizione di dominio specifici.
• MS14-077 - Una vulnerabilità in Active Directory Federation Services può consentire l'intercettazione di informazioni personali (3003381). Questo aggiornamento per la protezione risolve una vulnerabilità segnalata privatamente in Active Directory Federation Services (ADFS). La vulnerabilità può consentire l'intercettazione di informazioni personali se un utente lascia il browser aperto dopo la disconnessione da un'applicazione, e un attaccante riapre l'applicazione nel browser immediatamente dopo che l'utente è disconnesso. L'aggiornamento per la protezione risolve la vulnerabilità assicurando che il processo di disconnessione registri correttamente fuori l'utente.
• MS14-078 - Una vulnerabilità in IME (giapponese) può consentire di privilegi più elevati (3005210). Questo aggiornamento per la protezione risolve una vulnerabilità segnalata privatamente in Microsoft Input Method Editor (IME) (giapponese). La vulnerabilità può consentire di escludere la sandbox in base ai criteri sandbox dell'applicazione su un sistema in cui è installata una versione interessata di Microsoft IME (giapponese). Un utente malintenzionato che sfrutti questa vulnerabilità può escludere alla sandbox da un'applicazione vulnerabile e ottenere l'accesso al sistema interessato con diritti degli utenti registrati. Se il sistema interessato è connesso con diritti amministrativi, riesce quindi a installare programmi; visualizzare, modificare o eliminare dati o creare nuovi account con diritti amministrativi completi.
• MS14-079 - Una vulnerabilità nel driver in modalità kernel può consentire attacchi Denial of Service (3002885). Questo aggiornamento per la protezione risolve una vulnerabilità segnalata privatamente in Microsoft Windows. La vulnerabilità può consentire un attacco Denial of Service se un utente malintenzionato inserisce un tipo di carattere TrueType appositamente predisposto in una condivisione di rete e un utente si sposta da lì in Esplora risorse di Windows. In uno scenario di attacco, l'utente malintenzionato potrebbe pubblicare un sito Web contenente una pagina web che viene utilizzata per sfruttare la vulnerabilità. Inoltre, siti Web manomessi e quelli che accettano o ospitano annunci pubblicitari possono includere contenuti appositamente predisposti per sfruttare questa vulnerabilità.
Come al solito, le correzioni sono disponibili tramite Windows Update, il che significa che verranno applicate automaticamente per la maggior parte degli utenti. Microsoft consiglia a coloro che hanno disabilitato l'update automatico, di scaricare le patch manualmente e installarle da Windows Update. A corollario, Microsoft ha rilasciato come di consueto una versione aggiornata dello strumento di rimozione malware giunto alla versione 5.18, per consentire l'eliminazione di software dannosi. Si ricorda che questo strumento non sostituisce un prodotto antivirus. Per tutte le ultime informazioni, è possibile seguire il team MSRC su Twitter all'indirizzo @MSFTSecResponse. Il prossimo appuntamento con il patch day è per martedì 9 dicembre 2014.
Nessun commento:
Posta un commento