Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Aggiornamenti di sicurezza per prodotti Microsoft (aprile 2018)

Internet Explorer  microsoft  microsoft office   mercoledì, 11 aprile 2018

Nella giornata del 10 aprile 2018 Microsoft ha emesso diversi aggiornamenti di sicurezza che risolvono vulnerabilità multiple in svariati prodotti. Se sfruttate con successo, le più gravi tra queste vulnerabilità possono causare l’esecuzione di codice arbitrario da remoto.

Gli aggiornamenti riguardano i seguenti prodotti:

  • Internet Explorer: 9, 10, 11
  • Microsoft Edge
  • Microsoft Windows: 7 SP1, 8.1, RT 8.1, 10
  • Microsoft Windows Server: 2008 R2 SP1, 2008 SP2, 2012, 2012 R2, 2016
  • Microsoft Windows Server Core Installations: version 1709, 2008 R2 SP1, 2008 SP2, 2012, 2012 R2, 2016
  • Microsoft Office: 2010 SP2, 2013 SP1, 2013 RT SP1, 2016, 2016 Click-to-Run (C2R), 2016 for Mac
  • Microsoft Office Compatibility Pack SP3
  • Microsoft Office Web Apps 2010 SP2
  • Microsoft Office Web Apps Server 2013 SP1
  • Microsoft Word: 2007 SP3, 2010 SP2, 2013 SP1, 2013 RT SP1, 2016
  • Word Automation Services
  • Microsoft Excel: 2007 SP3, 2010 SP, 2013 RT SP1, 2013 SP1, 2016, 2016 Click-to-Run (C2R)
  • Microsoft Excel Viewer 2007 SP3
  • Excel Services
  • Microsoft SharePoint Server: 2010 SP2, 2013 SP1
  • Microsoft SharePoint Enterprise Server: 2013 SP1, 2016
  • Microsoft Visual Studio: 2010 SP1, 2012 Update 5, 2013 Update 5, 2015 Update 3, 2017
  • ChakraCore
  • Microsoft Wireless Keyboard 850

Gli aggiornamenti includono fix per le seguenti vulnerabilità di gravità elevata o critiche:

  • Una vulnerabilità di gravità elevata in Active Directory (CVE-2018-0890) che può consentire ad un attaccante di aggirare le politiche di sicurezza del firewall per le app “Modern” di Windows mediante un’applicazione appositamente predisposta.
  • Una vulnerabilità di gravità elevata nell’implementazione del protocollo HTTP 2.0 (HTTP.sys) (CVE-2018-0956) in Windows 10, Windows Server 1709 e Windows Server 2016 che può consentire ad un attaccante causare una condizione di denial of service.
  • Una vulnerabilità critica nel componente Microsoft Graphics di Windows (CVE-2018-1010) legata ad una gestione non corretta dei font incorporati che può consentire ad un attaccante di eseguire codice da remoto e prendere il controllo completo del sistema affetto.
  • Una vulnerabilità di gravità elevata nel componente Microsoft JET Database Engine di Windows (CVE-2018-1003) che può consentire ad un attaccante di eseguire codice da remoto mediante un file Excel appositamente predisposto e prendere il controllo completo del sistema affetto.
  • Una vulnerabilità critica in Internet Explorer (CVE-2018-0988) legata alla gestione degli oggetti in memoria da parte dello Scripting Engine che può consentire ad un attaccante di eseguire codice da remoto nel contesto dell’utente corrente.
  • Una vulnerabilità di gravità elevata nel componente Office Graphics di Microsoft Office (CVE-2018-1028) legata ad una gestione non corretta dei font incorporati che può consentire ad un attaccante di eseguire codice da remoto e prendere il controllo completo del sistema affetto.

Si raccomanda ai gestori e agli utenti di sistemi e prodotti Microsoft di prendere visione dei bollettini di sicurezza Microsoft di aprile 2018 e di applicare al più presto gli aggiornamenti necessari.

I bollettini di sicurezza Microsoft più recenti sono reperibili sul portale Security Update Guide (per ora disponibile solo in Inglese).

Gli aggiornamenti di sicurezza possono essere scaricati dal sito Microsoft Download Center. Per i sistemi desktop gli aggiornamenti possono essere ottenuti automaticamente mediante Microsoft Update.

Notizie correlate

AMD rilascia aggiornamenti per CPU vulnerabili ad attacchi Spectre tipo 2

12 aprile 2018

AMD ha rilasciato aggiornamenti del microcodice per i processori vulnerabili agli attacchi Spectre di tipo 2. Microsoft ha rilasciato patch specifiche per Windows 10 su piattaforme AMD.Leggi tutto

Risolta vulnerabilità critica in Microsoft Malware Protection Engine

4 aprile 2018

Microsoft ha rilasciato lo scorso 3 aprile un aggiornamento di sicurezza che risolve una vulnerabilità critica nel software Malware Protection Engine che potrebbe causare l'esecuzione di codice arbitrario.Leggi tutto

Microsoft rilascia aggiornamento per grave falla del kernel in Windows 7 e Windows Server 2008

30 marzo 2018

Microsoft ha rilasciato un aggiornamento di sicurezza "out-of-band" che risolve una grave vulnerabilità in Windows 7 e Windows Server 2008 che può consentire l'esecuzione di codice arbitrario in modalità kernel.Leggi tutto