Come parte del suo Patch Day di maggio, Microsoft ha rilasciato 16 bollettini di sicurezza, la metà dei quali classificati con livello di gravità Critico e i restanti Importante, per affrontare 37 vulnerabilità che possono portare all'esecuzione di codice remoto, una partita leggermente più grande rispetto ai 13 emessi nel mese di aprile. I problemi riguardano Microsoft Windows, Microsoft Office, Microsoft Edge e altri prodotti dell'azienda. Il bollettino più critico in Windows Vista risolve una vulnerabilità in JScript e VBScript, mentre una patch si distingue dal resto perché si tratta di una 0-day in Internet Explorer attivamente sfruttata in natura. Di seguito i bollettini sulla sicurezza di maggio in ordine di gravità.
• MS16-051 - Aggiornamento cumulativo per la protezione di Internet Explorer (3155533). Questo aggiornamento per la protezione risolve cinque vulnerabilità in Internet Explorer. La più grave delle vulnerabilità può consentire l'esecuzione di codice in modalità remota se un utente visualizza una pagina Web appositamente predisposta con Internet Explorer. Un utente malintenzionato che riesca a sfruttare le vulnerabilità può ottenere gli stessi diritti utente dell'utente corrente. Se l'utente corrente è connesso con privilegi di amministrazione, un utente malintenzionato potrebbe assumere il controllo del sistema interessato. Un utente malintenzionato potrebbe quindi installare programmi; visualizzare, modificare o eliminare dati oppure creare nuovi account con diritti utente completi.
• MS16-052 - Aggiornamento cumulativo per la protezione di Microsoft Edge (3155538). Questo aggiornamento per la protezione risolve quattro vulnerabilità in Microsoft Edge. La più grave delle vulnerabilità può consentire l'esecuzione di codice in modalità remota se un utente visualizza una pagina Web appositamente predisposta con Microsoft Edge. Un utente malintenzionato che riesca a sfruttare le vulnerabilità può ottenere gli stessi diritti utente dell'utente corrente. I clienti con account configurati in modo da disporre solo di diritti utente limitati sul sistema potrebbero essere esposti in misura inferiore rispetto a quelli che operano con privilegi di amministrazione. L'aggiornamento risolve le vulnerabilità modificando il modo in cui Microsoft Edge gestisce gli oggetti in memoria.
• MS16-053 - Aggiornamento della protezione per JScript e VBScript (3156764). Questo aggiornamento per la protezione risolve due vulnerabilità nei motori di script JScript e VBScript in Microsoft Windows. Le vulnerabilità possono consentire l'esecuzione di codice in modalità remota se un utente visita un sito Web appositamente predisposto. Un utente malintenzionato che riesca a sfruttare queste vulnerabilità può ottenere gli stessi diritti utente dell'utente corrente. Se l'utente corrente è connesso con privilegi di amministrazione, un utente malintenzionato che sfrutti queste vulnerabilità può assumere il controllo del sistema interessato. Un utente malintenzionato potrebbe quindi installare programmi; visualizzare, modificare o eliminare dati oppure creare nuovi account con diritti utente completi.
• MS16-054 - Aggiornamento della protezione per Microsoft Office (3155544). Questo aggiornamento per la protezione risolve due vulnerabilità in Microsoft Office. Le vulnerabilità possono consentire l'esecuzione di codice in modalità remota se un utente apre un file di Microsoft Office appositamente predisposto. Un utente malintenzionato che riesca a sfruttare la vulnerabilità potrebbe eseguire codice arbitrario nel contesto dell'utente corrente. I clienti con account configurati in modo da disporre solo di diritti utente limitati sul sistema potrebbero essere esposti in misura inferiore rispetto a quelli che operano con privilegi di amministrazione. L'aggiornamento per la protezione risolve le vulnerabilità correggendo il modo in cui Office gestisce gli oggetti in memoria, e correggendo come la libreria font di Windows gestisce i font incorporati.
• MS16-055 - Aggiornamento della protezione per Microsoft Graphics Component (3156754). Questo aggiornamento per la protezione risolve due vulnerabilità in Microsoft Windows. La più grave delle vulnerabilità può consentire l'esecuzione di codice in modalità remota se un utente apre un documento appositamente predisposto o visita un sito web appositamente predisposto. Gli utenti con account configurati in modo da disporre solo di diritti utente limitati sul sistema potrebbero essere esposti in misura inferiore rispetto a quelli che operano con privilegi di amministrazione. L'aggiornamento per la protezione risolve le vulnerabilità correggendo come il componente di Windows GDI e Windows Imaging Component gestiscono gli oggetti in memoria.
• MS16-056 - Aggiornamento della protezione per Windows Journal (3156761). Questo aggiornamento per la protezione risolve una vulnerabilità in Microsoft Windows. La vulnerabilità potrebbe consentire l'esecuzione di codice in modalità remota se un utente apre un file Journal appositamente predisposto. Un utente malintenzionato che riesca a sfruttare questa vulnerabilità potrebbe causare l'esecuzione di codice arbitrario nel contesto dell'utente corrente. Gli utenti con account configurati in modo da disporre solo di diritti utente limitati sul sistema potrebbero essere esposti in misura inferiore rispetto a quelli che operano con privilegi di amministrazione. L'aggiornamento risolve la vulnerabilità modificando il modo in cui Windows Journal analizza i file Journal.
• MS16-057 - Aggiornamento della protezione per Windows Shell (3156987). Questo aggiornamento per la protezione risolve una vulnerabilità in Microsoft Windows. La vulnerabilità potrebbe consentire l'esecuzione di codice in modalità remota se un utente malintenzionato convince con successo un utente a navigare su un sito Web appositamente predisposto che accetta contenuto online fornito dall'utente, o convince un utente ad aprire un contenuto appositamente predisposto. Un utente malintenzionato che riesca a sfruttare questa vulnerabilità può ottenere gli stessi diritti utente dell'utente corrente. Gli utenti con account configurati in modo da disporre solo di diritti utente limitati sul sistema potrebbero essere esposti in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.
• MS16-058 - Aggiornamento della protezione per Windows IIS (3141083). Questo aggiornamento per la protezione risolve una vulnerabilità in Microsoft Windows. La vulnerabilità potrebbe consentire l'esecuzione di codice in modalità remota se un utente malintenzionato con accesso al sistema locale esegue un'applicazione dannosa. Un utente malintenzionato che riesca a sfruttare questa vulnerabilità può ottenere gli stessi diritti utente dell'utente corrente. Gli utenti con account configurati in modo da disporre solo di diritti utente limitati sul sistema potrebbero essere esposti in misura inferiore rispetto a quelli che operano con privilegi di amministrazione. L'aggiornamento per la protezione risolve la vulnerabilità correggendo il modo in cui Windows convalida l'input durante il caricamento di alcune librerie.
• MS16-059 - Aggiornamento della protezione per Windows Media Center (3150220). Questo aggiornamento per la protezione risolve una vulnerabilità in Microsoft Windows. La vulnerabilità potrebbe consentire l'esecuzione di codice in modalità remota se Windows Media Center apre un file appositamente predisposto collegamento Media Center link (.mcl) che fa riferimento a codice dannoso. Un utente malintenzionato che riesca a sfruttare questa vulnerabilità può ottenere gli stessi diritti utente dell'utente corrente. Gli utenti con account configurati in modo da disporre solo di diritti utente limitati sul sistema potrebbero essere esposti in misura inferiore rispetto a quelli che operano con privilegi di amministrazione. L'aggiornamento per la protezione risolve la vulnerabilità correggendo modo in cui Windows Media Center gestisce alcune risorse nel file .mcl.
• MS16-060 - Aggiornamento della protezione per Windows Kernel (3154846). Questo aggiornamento per la protezione risolve una vulnerabilità in Microsoft Windows. La vulnerabilità può consentire l'elevazione dei privilegi se un utente malintenzionato accede al sistema interessato ed esegue un'applicazione appositamente predisposta. Un utente malintenzionato che sfrutti questa vulnerabilità potrebbe accedere alle chiavi di registro privilegiate e quindi elevare le autorizzazioni. Un utente malintenzionato potrebbe quindi installare programmi; visualizzare, modificare o eliminare dati oppure creare nuovi account con diritti utente completi. L'aggiornamento per la protezione risolve la vulnerabilità correggendo come il kernel di Windows analizza i collegamenti simbolici.
• MS16-061 - Aggiornamento della protezione per Microsoft RPC (3155520). Questo aggiornamento per la protezione risolve una vulnerabilità in Microsoft Windows. La vulnerabilità potrebbe consentire l'esecuzione di codice in modalità remota se un utente malintenzionato autenticato rende malformate richieste Remote Procedure Call (RPC) a un host interessato. Un utente malintenzionato autenticato sfruttando questa vulnerabilità potrebbe eseguire codice arbitrario e prendere il controllo del sistema interessato. Un utente malintenzionato potrebbe quindi installare programmi; visualizzare, modificare o eliminare dati oppure creare nuovi account con diritti utente completi. L'aggiornamento per la protezione risolve la vulnerabilità modificando il modo in cui Microsoft Windows gestisce i messaggi RPC.
• MS16-062 - Aggiornamento della protezione per i driver in modalità kernel di Windows (3158222). Questo aggiornamento per la protezione risolve sette vulnerabilità in Microsoft Windows. La più grave delle vulnerabilità può consentire l'elevazione dei privilegi se un utente malintenzionato accede al sistema interessato ed esegue un'applicazione appositamente predisposta. L'aggiornamento per la protezione risolve le vulnerabilità correggendo come il driver in modalità kernel di Windows gestisce gli oggetti in memoria; come il kernel di Windows gestisce gli indirizzi di memoria; il modo in cui il sottosistema grafico del kernel Microsoft DirectX (dxgkrnl.sys) gestisce alcune chiamate ed evade per precludere la mappatura impropria della memoria ed previenea l'elevazione non intenzionale dalla modalità utente.
• MS16-064 - Aggiornamento della protezione per Adobe Flash Player (3157993). Una vulnerabilità critica esiste in Adobe Flash Player 21.0.0.226 e versioni precedenti per Windows, Macintosh, Linux e Chrome OS. In uno scenario di attacco basato sul Web in cui l'utente sta utilizzando Internet Explorer per desktop, un utente malintenzionato potrebbe ospitare un sito Web appositamente predisposto che è stato progettato per sfruttare la vulnerabilità tramite IE e quindi convincere un all'utente di visualizzare il sito web. Lo sfruttamento con successo potrebbe causare un crash e consentire potenzialmente a un malintenzionato di assumere il controllo del sistema interessato. L'aggiornamento risolve le vulnerabilità in Adobe Flash Player, aggiornando le librerie di Adobe Flash colpite da contenuti in Internet Explorer 10, Internet Explorer 11, e Microsoft Edge.
• MS16-065 - Aggiornamento della protezione per .NET Framework (3156757). Questo aggiornamento per la protezione risolve una vulnerabilità in Microsoft .NET Framework. La vulnerabilità potrebbe causare la divulgazione di informazioni se un utente malintenzionato inietta dati non crittografati nel canale protetto di destinazione e quindi esegue un attacco man-in-the-middle (MiTM) tra il cliente target e un server legittimo. Un utente malintenzionato che riesca a sfruttare questa vulnerabilità può decifrare il traffico criptato SSL/TLS. L'aggiornamento risolve la vulnerabilità modificando il modo in cui la componente di crittografia .NET invia e riceve pacchetti di rete crittografati.
• MS16-066 - Aggiornamento della protezione per Virtual Secure Mode (3155451). Questo aggiornamento per la protezione risolve una vulnerabilità in Microsoft Windows. La vulnerabilità può consentire funzionalità di sicurezza di esclusione se un utente malintenzionato esegue un'applicazione appositamente predisposta per aggirare le protezioni di integrità del codice in Windows. Questo aggiornamento della protezione è considerato di livello importante per tutte le edizioni supportate di Microsoft Windows 10. L'aggiornamento per la protezione risolve la vulnerabilità correggendo il comportamento della caratteristica di sicurezza per impedire la segnatura non corretta delle pagine RWX sotto HVCI.
• MS16-067 - Aggiornamento della protezione per Volume Manager Driver (3155784). Questo aggiornamento per la protezione risolve una vulnerabilità in Microsoft Windows. La vulnerabilità può consentire l'intercettazione di informazioni personali se un disco USB montato sopra Remote Desktop Protocol (RDP) tramite Microsoft RemoteFX non è legato correttamente alla sessione di mount utente. Un utente malintenzionato che riesca a sfruttare questa vulnerabilità potrebbe ottenere l'accesso alle informazioni di file e directory sul disco USB del mount utente. Questo aggiornamento risolve la vulnerabilità assicurando che l'accesso ai dischi USB su RDP viene applicato correttamente per evitare non-mount session access.
Microsoft consiglia a coloro che hanno disabilitato l'update automatico, di scaricare le patch manualmente (alcune delle quali richiedono il riavvio del computer) e installarle da Windows Update. Gli aggiornamenti sono disponibili sul anche sito Download Center di Microsoft. La società, tuttavia, ha annunciato, di limitare il download diretto degli aggiornamenti. A corollario, Microsoft ha rilasciato come di consueto una versione aggiornata dello strumento di rimozione malware giunto alla versione 5.36, per consentire l'eliminazione di software dannosi dai computer che eseguono Windows. Si ricorda che questo strumento non sostituisce un prodotto antivirus. Per tutte le ultime informazioni, è possibile seguire il team MSRC su Twitter all'indirizzo @MSFTSecResponse. Il prossimo appuntamento con il Patch day è fissato per martedì 14 giugno 2016.
Microsoft consiglia a coloro che hanno disabilitato l'update automatico, di scaricare le patch manualmente (alcune delle quali richiedono il riavvio del computer) e installarle da Windows Update. Gli aggiornamenti sono disponibili sul anche sito Download Center di Microsoft. La società, tuttavia, ha annunciato, di limitare il download diretto degli aggiornamenti. A corollario, Microsoft ha rilasciato come di consueto una versione aggiornata dello strumento di rimozione malware giunto alla versione 5.36, per consentire l'eliminazione di software dannosi dai computer che eseguono Windows. Si ricorda che questo strumento non sostituisce un prodotto antivirus. Per tutte le ultime informazioni, è possibile seguire il team MSRC su Twitter all'indirizzo @MSFTSecResponse. Il prossimo appuntamento con il Patch day è fissato per martedì 14 giugno 2016.
Nessun commento:
Posta un commento