Come parte del suo Patch Day di novembre, Microsoft ha rilasciato 12 bollettini di sicurezza, quattro dei quali classificati con livello di gravità Critico e i restanti Importante, per affrontare 53 vulnerabilità in tutte le versioni supportate di Windows e Internet Explorer. Gli amministratori dovrebbero dare la priorità al primo aggiornamento che contiene 25 correzioni per varie versioni di Internet Explorer da IE7 a IE11, con il più grave di questi difetti in grado di permettere agli hacker di ottenere il controllo dei computer degli utenti. Contestualmente, Adobe ha rilasciato un bollettino di sicurezza per risolvere 17 bug in Flash Player. Di seguito i bollettini sulla sicurezza di novembre in ordine di gravità.
• MS15-112 - Aggiornamento della protezione per Internet Explorer (3104517). Questo aggiornamento per la protezione risolve diverse vulnerabilità in Internet Explorer. La più grave delle vulnerabilità può consentire l'esecuzione di codice in modalità remota se un utente visualizza una pagina Web appositamente predisposta con Internet Explorer. Un utente malintenzionato che riesca a sfruttare le vulnerabilità può ottenere gli stessi diritti utente dell'utente corrente. I clienti con account configurati in modo da disporre solo di diritti utente limitati sul sistema sono esposti in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.
• MS15-113 - Aggiornamento della protezione per Microsoft Edge (3104519). Questo aggiornamento per la protezione risolve diverse vulnerabilità di Microsoft Edge. La più grave delle vulnerabilità può consentire l'esecuzione di codice in modalità remota se un utente visualizza una pagina Web appositamente predisposta con Microsoft Edge. Un utente malintenzionato che riesca a sfruttare le vulnerabilità può ottenere gli stessi diritti utente dell'utente corrente. I clienti con account configurati in modo da disporre solo di diritti utente limitati sul sistema sono esposti in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.
• MS15-114 - Aggiornamento della protezione per Windows Journal per l'esecuzione di codice in modalità remota (3100213). Questo aggiornamento per la protezione risolve una vulnerabilità in Microsoft Windows. La vulnerabilità può consentire l'esecuzione di codice in modalità remota se un utente apre un Journal file appositamente predisposto. Gli utenti con account configurati in modo da disporre solo di diritti utente limitati sul sistema sono esposti in misura inferiore rispetto a quelli che operano con privilegi di amministrazione. L'aggiornamento di sicurezza risolve la vulnerabilità modificando il modo in cui Windows Journal analizza i file Journal.
• MS15-115 - Aggiornamento della protezione per Microsoft Windows per l'esecuzione di codice in modalità remota (3105864). Questo aggiornamento per la protezione risolve diverse vulnerabilità in Microsoft Windows. La più grave delle vulnerabilità può consentire l'esecuzione di codice in modalità remota se un utente malintenzionato convince un utente ad aprire un documento appositamente predisposto o visitare una pagina web non attendibile che contiene caratteri embedded. L'aggiornamento risolve le vulnerabilità correggendo il modo in cui Windows gestisce gli oggetti nella memoria e Adobe Type Manager gestisce i font incorporati.
• MS15-116 - Aggiornamento della protezione per Microsoft Office per l'esecuzione di codice in modalità remota (3104540). Questo aggiornamento risolve diverse vulnerabilità in Microsoft Office. La più grave delle vulnerabilità può consentire l'esecuzione di codice in modalità remota se un utente apre un file di Microsoft Office appositamente predisposto. Un utente malintenzionato che riesca a sfruttare la vulnerabilità potrebbe eseguire codice arbitrario nel contesto dell'utente corrente. I clienti con account configurati in modo da disporre solo di diritti utente limitati sul sistema sono esposti in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.
• MS15-117 - Aggiornamento della protezione per NDIS per l'esecuzione dei privilegi più elevati (3101722). Questo aggiornamento per la protezione risolve una vulnerabilità in Microsoft Windows NDSI. La vulnerabilità può consentire l'elevazione dei privilegi se un utente malintenzionato accede a un sistema e lancia un applicativo appositamente predisposto. L'aggiornamento per la protezione risolve la vulnerabilità correggendo il modo in cui NDIS convalida la lunghezza del buffer. La vulnerabilità dei privilegi più elevati esiste quando Network Driver Interface Standard non riesce a controllare la lunghezza di un buffer di memoria prima di copiarlo in essa.
• MS15-118 - Aggiornamento della protezione per .NET Framework per l'esecuzione dei privilegi più elevati (3104507). Questo aggiornamento per la protezione risolve diverse vulnerabilità di Microsoft .NET Framework. La più grave delle vulnerabilità può consentire l'elevazione dei privilegi se un utente malintenzionato convince un utente a navigare in un sito Web compromesso o aprire un link in una e-mail appositamente predisposto che è stato progettato per iniettare codice lato client nel browser dell'utente. Gli aggiornamenti di sicurezza affrontano le vulnerabilità modificando il modo in cui ASP.NET convalida il valore di una richiesta HTTP.
• MS15-119 - Aggiornamento della protezione per Winsock per l'esecuzione dei privilegi più elevati (3104521). Questo aggiornamento per la protezione risolve una vulnerabilità in Microsoft Windows. La vulnerabilità può consentire l'elevazione dei privilegi se un utente malintenzionato accede a un sistema di destinazione e viene eseguito il codice appositamente predisposto, progettato per sfruttare la vulnerabilità. L'aggiornamento risolve il bug impedendo a Winsock di accedere agli indirizzi di memoria non validi. Una vulnerabilità dei privilegi più elevati esiste quando Winsock effettua una chiamata a un indirizzo di memoria senza verificare che l'indirizzo sia valido.
• MS15-120 - Aggiornamento della protezione per IPSec per l'esecuzione di Denial of Service (3102939). Questo aggiornamento per la protezione risolve una vulnerabilità di negazione del servizio in Microsoft Windows. Un utente malintenzionato che riesca a sfruttare la vulnerabilità potrebbe causare la non risposta del server. Per sfruttare la vulnerabilità un utente malintenzionato deve disporre di credenziali valide. L'aggiornamento risolve la vulnerabilità aggiungendo un ulteriore controllo per verificare la negoziazione di crittografia. Una negazione del servizio esiste quando il servizio IPSec gestisce erroneamente la negoziazione di crittografia.
• MS15-121 - Aggiornamento della protezione per Schannel per affrontare attacchi di spoofing (3081320). Questo aggiornamento per la protezione risolve una vulnerabilità in Microsoft Windows. La vulnerabilità potrebbe consentire attacchi di spoofing se un utente malintenzionato effettua un attacco man-in-the-middle (MiTM) tra un client e un server legittimo. L'aggiornamento per la protezione risolve la vulnerabilità aggiungendo un supporto extended master secret a tutte le versioni supportate di Transport Layer Security (TLS). Una vulnerabilità di spoofing esiste quando causata da una debolezza in tutte le versioni supportate del protocollo TLS.
• MS15-122 - Aggiornamento della protezione per Kerberos per affrontare Security Feature Bypass (3105256). Questo aggiornamento risolve una security feature bypass in Microsoft Windows. Un utente malintenzionato potrebbe bypassare l'autenticazione Kerberos su un computer di destinazione e decrittografare unità protette da BitLocker. Il bypass può essere sfruttato solo se il sistema di destinazione ha BitLocker attivato senza una chiave PIN o USB, il computer è al dominio, e l'attaccante ha accesso fisico al computer. L'aggiornamento risolve il bug con l'aggiunta di un controllo di autenticazione ulteriore che verrà eseguito prima di una modifica di password.
• MS15-123 - Aggiornamento della protezione per Skype for Business e Microsoft Lync per affrontare intercettazione di informazioni personali (3105872). Questo aggiornamento per la protezione risolve una vulnerabilità in Skype for Business e Microsoft Lync. La vulnerabilità può consentire l'intercettazione di informazioni personali se un utente malintenzionato invita un utente di destinazione a una sessione di messaggistica istantanea e quindi invia a tale utente un messaggio con contenuto JavaScript appositamente predisposto. L'aggiornamento risolve la vulnerabilità correggendo il modo in cui Skype for Business e Microsoft Lync disinfettano i contenuti.
Microsoft consiglia a coloro che hanno disabilitato l'update automatico, di scaricare le patch manualmente (alcune delle quali richiedono il riavvio del computer) e installarle da Windows Update. A corollario, Microsoft ha rilasciato come di consueto una versione aggiornata dello strumento di rimozione malware giunto alla versione 5.30, per consentire l'eliminazione di software dannosi dai computer che eseguono Windows. Si ricorda che questo strumento non sostituisce un prodotto antivirus. Per tutte le ultime informazioni, è possibile seguire il team MSRC su Twitter all'indirizzo @MSFTSecResponse. Il prossimo appuntamento con il Patch day è fissato per martedì 15 dicembre 2015.
• MS15-119 - Aggiornamento della protezione per Winsock per l'esecuzione dei privilegi più elevati (3104521). Questo aggiornamento per la protezione risolve una vulnerabilità in Microsoft Windows. La vulnerabilità può consentire l'elevazione dei privilegi se un utente malintenzionato accede a un sistema di destinazione e viene eseguito il codice appositamente predisposto, progettato per sfruttare la vulnerabilità. L'aggiornamento risolve il bug impedendo a Winsock di accedere agli indirizzi di memoria non validi. Una vulnerabilità dei privilegi più elevati esiste quando Winsock effettua una chiamata a un indirizzo di memoria senza verificare che l'indirizzo sia valido.
• MS15-120 - Aggiornamento della protezione per IPSec per l'esecuzione di Denial of Service (3102939). Questo aggiornamento per la protezione risolve una vulnerabilità di negazione del servizio in Microsoft Windows. Un utente malintenzionato che riesca a sfruttare la vulnerabilità potrebbe causare la non risposta del server. Per sfruttare la vulnerabilità un utente malintenzionato deve disporre di credenziali valide. L'aggiornamento risolve la vulnerabilità aggiungendo un ulteriore controllo per verificare la negoziazione di crittografia. Una negazione del servizio esiste quando il servizio IPSec gestisce erroneamente la negoziazione di crittografia.
• MS15-121 - Aggiornamento della protezione per Schannel per affrontare attacchi di spoofing (3081320). Questo aggiornamento per la protezione risolve una vulnerabilità in Microsoft Windows. La vulnerabilità potrebbe consentire attacchi di spoofing se un utente malintenzionato effettua un attacco man-in-the-middle (MiTM) tra un client e un server legittimo. L'aggiornamento per la protezione risolve la vulnerabilità aggiungendo un supporto extended master secret a tutte le versioni supportate di Transport Layer Security (TLS). Una vulnerabilità di spoofing esiste quando causata da una debolezza in tutte le versioni supportate del protocollo TLS.
• MS15-122 - Aggiornamento della protezione per Kerberos per affrontare Security Feature Bypass (3105256). Questo aggiornamento risolve una security feature bypass in Microsoft Windows. Un utente malintenzionato potrebbe bypassare l'autenticazione Kerberos su un computer di destinazione e decrittografare unità protette da BitLocker. Il bypass può essere sfruttato solo se il sistema di destinazione ha BitLocker attivato senza una chiave PIN o USB, il computer è al dominio, e l'attaccante ha accesso fisico al computer. L'aggiornamento risolve il bug con l'aggiunta di un controllo di autenticazione ulteriore che verrà eseguito prima di una modifica di password.
• MS15-123 - Aggiornamento della protezione per Skype for Business e Microsoft Lync per affrontare intercettazione di informazioni personali (3105872). Questo aggiornamento per la protezione risolve una vulnerabilità in Skype for Business e Microsoft Lync. La vulnerabilità può consentire l'intercettazione di informazioni personali se un utente malintenzionato invita un utente di destinazione a una sessione di messaggistica istantanea e quindi invia a tale utente un messaggio con contenuto JavaScript appositamente predisposto. L'aggiornamento risolve la vulnerabilità correggendo il modo in cui Skype for Business e Microsoft Lync disinfettano i contenuti.
Microsoft consiglia a coloro che hanno disabilitato l'update automatico, di scaricare le patch manualmente (alcune delle quali richiedono il riavvio del computer) e installarle da Windows Update. A corollario, Microsoft ha rilasciato come di consueto una versione aggiornata dello strumento di rimozione malware giunto alla versione 5.30, per consentire l'eliminazione di software dannosi dai computer che eseguono Windows. Si ricorda che questo strumento non sostituisce un prodotto antivirus. Per tutte le ultime informazioni, è possibile seguire il team MSRC su Twitter all'indirizzo @MSFTSecResponse. Il prossimo appuntamento con il Patch day è fissato per martedì 15 dicembre 2015.
Nessun commento:
Posta un commento