Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Microsoft rilascia aggiornamento per vulnerabilità multiple in Office 2016 per Mac

excel  microsoft office  PowerPoint  remote code execution   giovedì, 17 maggio 2018

Nella giornata del 15 maggio 2018 Microsoft ha rilasciato un aggiornamento di sicurezza che risolve tre diverse vulnerabilità di gravità elevata (CVE-2018-8176, CVE-2018-8147, CVE-2018-8162) in Microsoft Office 2016 per Mac che possono consentire l’esecuzione di codice arbitrario da remoto.

La prima vulnerabilità è legata ad un problema nella validazione di contenuti XML da parte dell’applicativo Microsoft PowerPoint. Le altre due vulnerabilità dipendono da un problema nella gestione degli oggetti in memoria da parte di Microsoft Excel.

Un attaccante potrebbe sfruttare queste vulnerabilità facendo in modo che un utente apra un file PowerPoint o Excel appositamente predisposto. Se sfruttate con successo, queste vulnerabilità potrebbero consentire l’esecuzione di codice arbitrario nel contesto dell’utente corrente. Se l’utente corrente è connesso con diritti di amministratore, l’attaccante potrebbe assumere il controllo completo del sistema interessato.

Queste vulnerabilità sono state risolte in Office 2016 per Mac versione 16.13.0 (build 18051301).

Si raccomanda agli utenti di Microsoft Office 2016 per Mac di prendere visione dei seguenti avvisi di sicurezza di Microsoft e di scaricare al più presto gli aggiornamenti disponibili (gli aggiornamenti sono disponibili anche da Microsoft AutoUpdate):

Notizie correlate

Vulnerabilità multiple in PHP 7

28 gennaio 2020

ono state scoperte diverse vulnerabilità in PHP 7 che potrebbero consentire ad un attaccante remoto di eseguire codice arbitrario nel contesto dell’applicazione affetta o di causare condizioni di denial of service.Leggi tutto

Avviso di sicurezza di Microsoft per falla critica 0-day in Internet Explorer

20 gennaio 2020

Microsoft ha rilasciato un avviso di sicurezza relativo ad una vulnerabilità critica zero-day in Internet Explorer che può causare l’esecuzione di codice arbitrario da remoto.Leggi tutto

Grave Vulnerabilità 0-Day su Citrix NetScaler e ADC

13 gennaio 2020

È stata recentemente individuata una grave vulnerabilità zero-day nei prodotti Citrix NetScaler, Citrix Application Delivery Controller (ADC) e Citrix Gateway.Leggi tutto