Microsoft Patch day marzo: 18 aggiornamenti risolvono 146 problemi

Microsoft ha ripreso le sue uscite mensili di aggiornamento per la protezione dopo il rinvio eccezionale del mese scorso. L'azienda di Redmond aveva deciso di rinviare il Patch Tuesday di febbraio a causa di un problema dell'ultimo minuto che, come spiegato dalla stessa società, avrebbe potuto avere un impatto su alcuni clienti. Come ci si poteva aspettare, a causa del differimento, il pacchetto di aggiornamenti rilasciato a marzo è relativamente pesante. Si compone infatti di 18 bollettini di sicurezza, nove dei quali classificati come Critici e nove Importanti, per affrontare altrettante vulnerabilità in Microsoft Edge, Internet Explorer, Kernel Mode Drivers, Windows Kernel, Silverlight e Flash Player.

Microsoft Patch day gennaio: 4 aggiornamenti fissano 4 vulnerabilità

Come parte del suo Patch Day di gennaio, Microsoft ha rilasciato 4 bollettini di sicurezza, due dei quali classificati come Critici e due Importanti, per affrontare altrettante vulnerabilità in Microsoft Office, Edge browser, Windows Service Authority Local Security Subsystem (LSASS) e Flash Player. In particolare, Microsoft ha patchato un totale di 16 diverse vulnerabilità, ma solo 3 sono state rilevate nei prodotti della società, mentre i restanti 13 sono nel software di Adobe che è in dotazione nei browser Internet Explorer 10, Internet Explorer 11 e Microsoft Edge. In realtà, il pacchetto di aggiornamenti di sicurezza di questo mese è il più piccolo dopo quello rilasciato da Microsoft a gennaio del 2014.

Microsoft Patch day novembre: 14 bollettini fissano 68 vulnerabilità

Come parte del suo Patch Day di novembre, Microsoft ha rilasciato 14 bollettini di sicurezza, sei dei quali dei quali classificati come Critici e otto Importanti, per affrontare 68 vulnerabilità in Windows, Office, Edge, Internet Explorer e SQL Server, due delle quali sono già state sfruttate da un attaccante e tre che sono state divulgate pubblicamente. Di particolare nota è l'aggiornamento che fissa la 0-day in diverse versioni di Windows e riportata da Google alla fine di ottobre. La vulnerabilità è una escalation di privilegi locale nel kernel di Windows che può essere utilizzata come una fuga di sicurezza della sandbox. Secondo Microsoft, la soluzione integrata Windows Defender era in grado di bloccare l'attacco.

Microsoft Patch day agosto: nove bollettini risolvono 34 vulnerabilità

Come parte del suo Patch Day di agosto, Microsoft ha rilasciato 9 bollettini di sicurezza, cinque dei quali dei quali classificati con livello di gravità Critico e i restanti Importante per affrontare 34 vulnerabilità nel suo software, rendendo questo pacchetto di correzioni uno dei più leggeri del 2016 in termini di numero di patch. A parte alcune gravi vulnerabilità in Windows, così come in alcuni dei prodotti Microsoft di punta come Office, Skype, Internet Explorer e Edge, non ci sono zero-day o vulnerabilità divulgate pubblicamente questo mese. Risolte gravi vulnerabilità in Microsoft Edge e IE che possono consentire l'esecuzione di codice da remoto. Di seguito i bollettini sulla sicurezza di agosto in ordine di gravità.

Microsoft Patch day maggio: sedici bollettini risolvono 37 vulnerabilità

Come parte del suo Patch Day di maggio, Microsoft ha rilasciato 16 bollettini di sicurezza, la metà dei quali classificati con livello di gravità Critico e i restanti Importante, per affrontare 37 vulnerabilità che possono portare all'esecuzione di codice remoto, una partita leggermente più grande rispetto ai 13 emessi nel mese di aprile. I problemi riguardano Microsoft Windows, Microsoft Office, Microsoft Edge e altri prodotti dell'azienda. Il bollettino più critico in Windows Vista risolve una vulnerabilità in JScript e VBScript, mentre una patch si distingue dal resto perché si tratta di una 0-day in Internet Explorer attivamente sfruttata in natura. Di seguito i bollettini sulla sicurezza di maggio in ordine di gravità.

Microsoft Patch day gennaio: 9 aggiornamenti risolvono 25 problemi

Come parte del suo Patch Day di gennaio, Microsoft ha rilasciato 9 bollettini di sicurezza, sei dei quali classificati con livello di gravità Critico e i restanti Importante, per affrontare 25 vulnerabilità in Windows, Internet Explorer, Office, Silverlight, Edge browser, Visual Basic ed Exchange server. I problemi critici si trovano in Windows, Office, Edge browser, Internet Explorer, Silverlight e Visual Basic. Le altre vulnerabilità permettono a un utente malintenzionato di accedere al sistema elevando i suoi diritti. Un altro difetto consente di effettuare attacchi di spoofing agli utenti di Exchange. Il primo Patch Tuesday del 2016 comprende anche gli ultimi aggiornamenti per le versioni precedenti di IE e Windows 8.

Adobe: 2 bollettini chiudono 69 bug critici in Flash, Reader e Acrobat

Microsoft ha rilasciato gli aggiornamenti relativi al Patch Day di ottobre 2015 e Adobe ha rilasciato 2 bollettini di sicurezza che patchano 69 vulnerabilità critiche nei suoi software, molte delle quali possono causare la divulgazione di informazioni e l'esecuzione di codice. Secondo Adobe nessuno dei difetti sono attualmente sfruttati in natura. Tredici bug riguardano Adobe Flash Player mentre 56 coinvolgono Acrobat e Reader di Adobe, compresi i suoi prodotti DC, XI e X, per entrambi i sistemi operativi Windows e Mac OS X. Se sfruttati, molti delle vulnerabilità, tra cui corruzione della memoria, buffer overflow dello heap, e problemi use-after-free, potrebbero portare all'esecuzione di codice.

Microsoft Patch day settembre: 12 bollettini chiudono 56 vulnerabilità

Come parte del suo Patch Day di settembre, Microsoft ha rilasciato 12 bollettini di sicurezza, cinque dei quali classificati con livello di gravità Critico e i restanti Importante, per affrontare 56 vulnerabilità in Windows, Office, Internet Explorer, SharePoint, .NET Framework, Exchange Server, Lync, Skype for Business Server e il nuovo browser Edge. I problemi più gravi consentono l'escalation dei privilegi, la divulgazione di informazioni, bypass delle funzioni di sicurezza, esecuzione di codice remoto ed attacchi di tipo DdoS. Solo tre dei pacchetti, non richiedono alcuna azione dai normali utenti, in quanto si riferiscono al software server. Di seguito i bollettini sulla sicurezza di settembre in ordine di gravità.

Microsoft Patch day maggio: tredici update chiudono 48 vulnerabilità

Come parte del suo Patch Day di maggio, Microsoft ha rilasciato 13 bollettini di sicurezza, tre dei quali considerati di livello critico e i restanti di livello importante, per affrontare 48 vulnerabilità di Internet Explorer, Microsoft Font Drivers e Windows Journal, i quali portano a esecuzione di codice remoto. Gli update riguardano tutti i sistemi operativi client e server, tra cui Windows 10 Technical Preview. Altro software interessato include Microsoft Silverlight, Microsoft Office e Microsoft SharePoint Server. Contestualmente, Adobe ha rilasciato alcune patch per risolvere vulnerabilità in Acrobat, Reader e Flash. Di seguito i bollettini di Microsoft sulla sicurezza di maggio in ordine di gravità.

Microsoft Patch day gennaio: 8 bollettini chiudono 8 bug ma non solo

Questo Patch Day è diverso dai suoi predecessori sotto alcuni aspetti. La scorsa settimana Microsoft ha annunciato che non avrebbe più fornito il suo Advance Notification Service (ANS), fornendo le informazioni preventive di aggiornamento di sicurezza mensili solo ai clienti con contratti pagati e alle organizzazioni che collaborano al Microsoft Active Protections Program (MAPP). Redmond ha spiegato che si tratta di una scelta legata ad una "evoluzione" del servizio e al comportamento degli utenti. Il suo servizio di notifica anticipata è stato creato più di un decennio fa come parte dell'aggiornamento Tuesday comunicato dall'azienda anticipatamente.

Microsoft Patch day dicembre: 7 bollettini per tappare 24 vulnerabilità

Come parte del suo Patch Day di dicembre, Microsoft ha rilasciato sette bollettini di sicurezza, tre dei quali considerati di livello critico e quattro importante, che affrontano 24 vulnerabilità in Windows, Internet Explorer, Office ed Exchange. Sono interessate tutte le versioni supportate di Windows ad esclusione di XP, il cui supporto è stato sospeso da aprile scorso. Tra gli aggiornamenti anche quello che, all'ultimo momento, non era stato pubblicato in occasione del patch day di novembre. Una vulnerabilità critica in Windows riguarda anche la preview tecnica di Windows 10 e Windows Server Technical Preview. Contestualmente Adobe ha rilasciato 26 aggiornamenti per i suoi prodotti Flash Player e Cold Fusion. Di seguito i bollettini di Microsoft sulla sicurezza di dicembre in ordine di gravità.

Microsoft Patch day novembre: 14 bollettini risolvono 33 vulnerabilità

Come parte del suo Patch Day di novembre, Microsoft ha rilasciato 14 aggiornamenti di sicurezza, quattro dei quali considerati di livello critico, otto di livello importante e due considerati di livello moderato, per affrontare 33 vulnerabilità in Windows, Internet Explorer, Office, .NET Framework, Internet Information Services, Remote Desktop Protocol, Active Directory Federation Services, IME (Giapponese) e Kernel Mode Driver. Originariamente Microsoft aveva pianificato di rilasciare 16 bollettini, ma a causa di problemi emersi alla fine dei test, due bollettini sono stati rinviati. Di seguito i bollettini di Microsoft sulla sicurezza di novembre in ordine di gravità.

Microsoft Patch day settembre: 4 bollettini risolvono 42 vulnerabilità

Come parte del suo Patch Day di settembre, Microsoft ha rilasciato quattro bollettini di sicurezza, uno dei quali considerato di livello "critico" e tre "importanti", che affrontano 42 vulnerabilità in Windows, Internet Explorer, .NET Framework, e Lync Server. La priorità di questo mese è l'aggiornamento per Internet Explorer, che risolve 37 bug. Nel caso ve lo siete perso, l'aggiornamento di agosto per IE include anche nuove funzionalità per bloccare controllo ActiveX out-of-date. Questa funzionalità viene abilitata con l'aggiornamento odierno. Oltre ai bollettini sulla sicurezza di questo mese, Microsoft ha rivisto tre consulenze sulla sicurezza.

Microsoft Patch day agosto: 9 aggiornamenti risolvono 37 vulnerabilità

Come parte del suo Patch Day di agosto, Microsoft ha rilasciato nove aggiornamenti che risolvono 37 vulnerabilità. Due dei 9 aggiornamenti sono considerati "critici" mentre i restanti "importanti". I due bug critici interessano Windows, Internet Explorer e Microsoft OneNote. Le vulnerabilità importanti in Windows si riferiscono alle edizioni commerciali e professionali di Windows 7 e Windows 8; l'aggiornamento di IE è per tutte le versioni su tutte le edizioni di Windows supportate. Le altre sette patch considerate importanti si occupano di Windows, Office, Server NET Framework di SQL e SharePoint Server 2013. Di seguito i bollettini sulla sicurezza di agosto in ordine di gravità.

Microsoft Patch day luglio: 6 aggiornamenti risolvono 29 vulnerabilità

Come parte del suo Patch Day di luglio, Microsoft ha rilasciato sei aggiornamenti, due dei quali sono considerati "critici", tre "importanti" e uno classificato come "medio". Il pacchetto cumulativo di aggiornamenti della protezione per Internet Explorer include un totale di 29 vulnerabilità. Il più pericoloso di questi difetti potrebbe consentire l'esecuzione di codice arbitrario da remoto se l'utente visita un sito web appositamente progettato. Le altre patch risolvono bug in Windows Journal, la tastiera su schermo, il driver di funzioni ausiliario (AFD) e DirectShow. L'aggiornamento interessa in ogni caso tutte le versioni del sistema operativo di Redmond, da Windows Vista a Windows 8.1. Di seguito i bollettini sulla sicurezza di luglio in ordine di gravità.

Microsoft Patch day giugno: 7 aggiornamenti risolvono 66 vulnerabilità

Come pubblicato nella notifica anticipata di sicurezza relativa al mese di giugno, con questo Patch Day Microsoft ha rilasciato sette aggiornamenti che risolvono 66 vulnerabilità, 59 delle quali conivolgono le versioni di Internet Explorer comprese fra la 8 e la 11. Due bollettini sono considerati critici, mentre le restanti cinque patch sono valutato come importanti. Interessati anche Office e i tablet Surface e Surface Pro. Le falle tappate in Internet Explorer permettevano l'esecuzione di codice remoto o la scalata di privilegi. Contestualmente Adobe ha corretto sei vulnerabilità critiche in Flash Player e AIR. Microsoft ha ufficialmente abbandonato il supporto per Windows XP. Di seguito i bollettini sulla sicurezza di giugno in ordine di gravità.

Adobe rilascia aggiornamenti di sicurezza per Flash, Reader e Acrobat

Gli amministratori e gli utenti finali sono invitati ad aggiornare i loro sistemi a seguito di una serie di patch rilasciate da Microsoft e Adobe, che riguardano in totale più di 30 falle di sicurezza. Adobe ha dichiarato che il suo aggiornamento mensile include le patch per il suo Flash, Reader e Acrobat piattaforme, nonché un aggiornamento per Illustrator. In totale, l'aggiornamento pone rimedio a 18 vulnerabilità e falle di sicurezza. Pochi utenti hanno Acrobat o Illustrator, ma molti o la maggior parte probabilmente hanno uno o entrambi Flash e Reader.

Microsoft Patch day maggio: 8 aggiornamenti chiudono 13 vulnerabilità

Dopo l'aggiornamento out-of-band che ha risolto la vulnerabilità 0-day di IE anche su Windows XP, Microsoft ha reso disponibile in occasione del Patch Day di maggio 8 bollettini, sei critici e due importanti, che risolvono 13 vulnerabilità di sicurezza (incluso il security bullettin MS14-021) relativi a Windows, Internet Explorer, Office ed al pacchetto .NET Framework. Inoltre, il Security Advisory 2871997 riguarda un aggiornamento per Windows 8 e Windows Server 2012 che migliora la protezione delle credenziali e domain authentication controls per ridurre i furti di credenziali. Mentre Adobe ha rilasciato degli aggiornamenti di sicurezza che risolvono alcuni bug in Flash, Illustrator, Reader e Acrobat. Di seguito i bollettini sulla sicurezza di maggio in ordine di gravità.

• MS14-029 - Aggiornamento per la protezione di Internet Explorer (2962482). Questo aggiornamento "critico" per la protezione risolve due vulnerabilità in Internet Explorer segnalate privatamente. Queste vulnerabilità possono consentire l'esecuzione di codice in modalità remota se un utente visualizza una pagina Web appositamente predisposta con Internet Explorer. Sfruttando queste vulnerabilità, un utente malintenzionato può ottenere gli stessi diritti utente dell'utente corrente. Pertanto, i clienti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione. Vulnerabilità: CVE-2014-0310, CVE-2014-1815. 

• MS14-022 - Alcune vulnerabilità in Microsoft SharePoint Server possono consentire l'esecuzione di codice in modalità remota (2952166). Questo aggiornamento "critico" per la protezione risolve diverse vulnerabilità segnalate privatamente nel software di produttività e in Microsoft Office Server. La più grave di queste vulnerabilità può consentire l'esecuzione di codice in modalità remota se un utente malintenzionato autenticato invia contenuti di pagina appositamente predisposti a un server SharePoint di destinazione. L'aggiornamento per la protezione risolve le vulnerabilità correggendo il modo in cui SharePoint Server e Web Applications eseguono la purificazione dei contenuti di pagina appositamente predisposti. Vulnerabilità: CVE-2014-0255, CVE-2014-0256. 

• MS14-023 - Alcune vulnerabilità in Microsoft Office possono consentire l'esecuzione di codice in modalità remota (2961037) - Questo aggiornamento "importante" per la protezione risolve due vulnerabilità segnalate privatamente in Microsoft Office. La vulnerabilità più grave può consentire l'esecuzione di codice in modalità remota se un utente apre un file di Office situato nella stessa directory di rete di un file della libreria appositamente predisposto. Sfruttando questa vulnerabilità, un utente malintenzionato può ottenere gli stessi diritti utente dell'utente corrente. Pertanto, i clienti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione. Vulnerabilità: CVE-2014-1756, CVE-2014-1808. 

• MS14-025 - Una vulnerabilità nelle preferenze Criteri di gruppo può consentire l'acquisizione di privilegi più elevati (2962486). Questo aggiornamento per la protezione risolve una vulnerabilità "importante" divulgata pubblicamente in Microsoft Windows. La vulnerabilità CVE-2014-1812 può consentire l'acquisizione di privilegi più elevati se si utilizzano le preferenze Criteri di gruppo Active Directory per distribuire le password all'interno del dominio; questa procedura può consentire a un utente malintenzionato di recuperare e decrittografare la password memorizzata con le preferenze Criteri di gruppo. L'aggiornamento per la protezione risolve la vulnerabilità eliminando la possibilità di configurare e distribuire password che utilizzano determinate estensioni di preferenze Criteri di gruppo.

• MS14-026 - Una vulnerabilità in .NET Framework può consentire l'acquisizione di privilegi più elevati (2958732) - Questo aggiornamento "importante" per la protezione risolve una vulnerabilità di Microsoft .NET Framework che è stata segnalata privatamente. La vulnerabilità CVE-2014-1806 può consentire l'acquisizione di privilegi più elevati se un utente malintenzionato non autenticato invia dati appositamente predisposti a una workstation o a un server interessato che utilizza .NET Remoting. Solo le applicazioni personalizzate specificatamente designate per l'uso di .NET Remoting potrebbero esporre un sistema alla vulnerabilità. L'aggiornamento per la protezione risolve la vulnerabilità assicurando che .NET Framework applichi correttamente i controlli di protezione per la memoria dell'applicazione.

• MS14-027 - Una vulnerabilità legata al gestore della shell di Windows può consentire l'acquisizione di privilegi più elevati (2962488). Questo aggiornamento "importante" per la protezione risolve una vulnerabilità di Microsoft Windows che è stata segnalata privatamente. La vulnerabilità CVE-2014-1807 può consentire l'acquisizione di privilegi più elevati se un utente malintenzionato esegue un'applicazione appositamente predisposta che utilizza ShellExecute. Per sfruttare la vulnerabilità, è necessario disporre di credenziali di accesso valide ed essere in grado di accedere al sistema in locale. L'aggiornamento per la protezione risolve la vulnerabilità correggendo il modo in cui l'API ShellExecute gestisce le associazioni di file in determinate circostanze. 

•  MS14-028 - Una vulnerabilità in iSCSI può consentire un attacco di tipo Denial of Service (2962485). Questo aggiornamento "importante" per la protezione risolve due vulnerabilità segnalate privatamente in Microsoft Windows. Le vulnerabilità possono consentire un attacco di tipo Denial of Service se un utente malintenzionato invia grandi quantità di pacchetti iSCSI appositamente predisposti sulla rete di destinazione. Questa vulnerabilità interessa solo i server per i quali è stato attivato il ruolo di destinazione iSCSI. L'aggiornamento per la protezione risolve le vulnerabilità modificando il modo in cui i sistemi operativi interessati gestiscono le connessioni iSCSI. Vulnerabilità: CVE-2014-0255, CVE-2014-0256. 

•  MS14-024 - Una vulnerabilità in un controllo comune Microsoft può consentire l'elusione della funzione di protezione (2961033). Questo aggiornamento "importante" per la protezione risolve una vulnerabilità segnalata privatamente in un'implementazione della libreria dei controlli comuni MSCOMCTL. La vulnerabilità CVE-2014-1809 può consentire l'elusione della funzione di protezione ASLR se un utente visualizza una pagina Web appositamente predisposta in un browser Web in grado di creare istanze di componenti COM. L'elusione della funzione di protezione non consente da sola l'esecuzione di codice arbitrario. Tuttavia, un utente malintenzionato potrebbe utilizzare questa vulnerabilità in combinazione con un'altra per trarre vantaggio ed eseguire codice arbitrario. 

Microsoft consiglia a coloro che hanno disabilitato l'update automatico, di scaricare le patch manualmente e installarle da Windows Update. A corollario, Microsoft ha rilasciato come di consueto una versione aggiornata dello strumento di rimozione malware giunto alla versione 5.12, per consentire l'eliminazione di software dannosi dai computer che eseguono Windows 8.1, Windows 8, Windows 7, Windows Vista, Windows Server 2003, Windows Server 2008 o Windows XP. Per tutte le ultime informazioni, è possibile anche seguire il team MSRC su Twitter all'indirizzo @MSFTSecResponse. Si ricorda che questo strumento non sostituisce un prodotto antivirus. Il prossimo appuntamento con il patch day è fissato per martedì 10 giugno 2014.

Microsoft chiude vulnerabilità 0-day in Internet Explorer anche su XP

Microsoft rilascerà a breve un aggiornamento di sicurezza out-of-band per affrontare il difetto che interessa Internet Explorer (IE) che è stato primo discussa nel Security Advisory 2963983. Questo aggiornamento è completamente testato e pronto per il rilascio di tutte le versioni interessate di il browser. Lo comunica la società in una nota sul blog del Microsoft Security Response Center (MSRC). La vulnerabilità consente ai cyber criminali di eseguire da remoto il codice arbitrario sul computer target dal momento in cui l'utente visita un sito Web malevolo.

Microsoft Patch day aprile: 4 aggiornamenti risolvono 11 vulnerabilità

Microsoft ha ufficialmente chiuso il supporto di Windows XP, con il rilascio del suo ultimo update di sicurezza per lo storico sistema operativo e la sua suite Office 2003. Il gigante di Redmond ha sollecitato le imprese e i consumatori per migrare alle sue più moderne versioni dell'O.S., che supportano alcune caratteristiche di sicurezza profondamente radicate. Nonostante ciò Windows XP continua ad equipaggiare il 32% dei computer in tutto il mondo e la maggioranza dei suoi utilizzatori non intende abbandonarlo.