Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Aggiornamenti di sicurezza per prodotti Microsoft (novembre 2018)

edge  microsoft   mercoledì, 14 novembre 2018

Nella giornata del 13 novembre 2018 Microsoft ha emesso diversi aggiornamenti di sicurezza che risolvono vulnerabilità multiple in svariati prodotti. Se sfruttate con successo, le più gravi tra queste vulnerabilità possono causare l’esecuzione di codice arbitrario da remoto.

Gli aggiornamenti riguardano i seguenti prodotti:

  • Windows 7, 8.1, RT 8.1, 10
  • Windows Server 2008, 2008 R2, 2012, 2012 R2, 2016, 2019
  • Windows Server (Core Installation) 2012 R2, 2012, 2016, 2019
  • Edge
  • Internet Explorer 10, 11, 9
  • Office 2010, 2013, 2013 RT, 2016, 2019
  • Office for Mac 2016, 2019
  • Office 365 ProPlus
  • Office Compatibility Pack
  • Office Web Apps 2010, 2013
  • Office Web Apps Server 2013
  • Outlook 2010, 2013, 2013 RT, 2016
  • Excel 2010, 2013, 2013 RT, 2016
  • Word 2010, 2013, 2013 RT, 2016
  • Project 2010, 2016
  • Project Server 2013
  • SharePoint Enterprise Server 2013, 2016
  • SharePoint Foundation 2013
  • SharePoint Server 2010,2019
  • Skype Business 2016,2016 Basic
  • Team Foundation Server 2017 Update 3.1, 2018 Update 1.1, 2018 Update 3, 2018 Update 3.1
  • Azure App Service for Azure Stack
  • ChakraCore
  • Dynamics 365 (on-premises) version 8
  • Lync 2013
  • Lync Basic 2013
  • .NET Core 2.1
  • PowerShell Core 6.0, 6.1

Gli aggiornamenti includono fix per le seguenti vulnerabilità critiche o di gravità elevata:

  • Una vulnerabilità di gravità elevata in Microsoft Windows 7 e Windows Server 2008 legata ad una gestione impropria delle chiamate al componente Win32k.sys che può consentire ad un attaccante autenticato di eseguire codice arbitrario nel contesto del sistema locale (CVE-2018-8589). Questa vulnerabilità zero-day, scoperta da Kaspersky Lab, è stata attivamente sfruttata in-the-wild in un numero limitato di attacchi.
  • Una vulnerabilità di gravità elevata in Microsoft Windows 10 versione 1809 quando viene installato da un dispositivo fisico (USB, DVD, ecc.) selezionando l’opzione “Elementi da mantenere: Niente” che può consentire ad un attaccante di ottenere l’accesso al sistema locale (CVE-2018-8592).
  • Una vulnerabilità critica in Microsoft Windows Server legata ad una gestione impropria degli oggetti in memoria da parte del componente Windows Deployment Services TFTP che può consentire ad un attaccante di eseguire codice arbitrario con privilegi elevati (CVE-2018-8476).
  • Vulnerabilità multiple critiche in Microsoft Edge legate ad una gestione impropria degli oggetti in memoria da parte del Chakra Scripting Engine che possono consentire ad un attaccante di eseguire codice da remoto nel contesto dell’utente corrente (CVE-2018-8541, CVE-2018-8542, CVE-2018-8543, CVE-2018-8551, CVE-2018-8555, CVE-2018-8556, CVE-2018-8557, CVE-2018-8557).
  • Una vulnerabilità critica in Microsoft Windows legata ad una gestione impropria degli oggetti in memoria da parte del motore di scripting VBScript che può consentire ad un attaccante di eseguire codice da remoto nel contesto dell’utente corrente (CVE-2018-8544).
  • Una vulnerabilità critica nel componente Microsoft Graphics di Windows legata ad una gestione impropria degli oggetti in memoria che può consentire ad un attaccante di eseguire codice arbitrario su un sistema affetto (CVE-2018-8553).
  • Una vulnerabilità critica in Microsoft Dynamics 365 (on-premises) versione 8 legata a controlli insufficienti in input sulle richieste Web che può consentire ad un attaccante di eseguire codice arbitrario nel contesto dell’account del servizio SQL (CVE-2018-8476).

Si raccomanda ai gestori e agli utenti di sistemi e prodotti Microsoft di prendere visione dei bollettini di sicurezza Microsoft di novembre 2018 e di applicare al più presto gli aggiornamenti necessari.

I bollettini di sicurezza Microsoft più recenti sono reperibili sul portale Security Update Guide (per ora disponibile solo in Inglese).

Gli aggiornamenti di sicurezza possono essere scaricati dal sito Microsoft Download Center. Per i sistemi desktop gli aggiornamenti possono essere ottenuti automaticamente mediante Microsoft Update.

Notizie correlate

Aggiornamenti di sicurezza per prodotti Microsoft (marzo 2019)

13 marzo 2019

Nella giornata del 12 marzo 2019 Microsoft ha emesso diversi aggiornamenti di sicurezza che risolvono vulnerabilità multiple in svariati prodotti.Leggi tutto

Google scopre grave falla 0-day in Windows 7

11 marzo 2019

Google ha pubblicato un bollettino di sicurezza riguardante una vulnerabilità zero-day presente nel sistema operativo Microsoft Windows almeno fino alla versione 7.Leggi tutto

Aggiornamenti di sicurezza per prodotti Microsoft (febbraio 2019)

13 febbraio 2019

Nella giornata del 12 febbraio 2019 Microsoft ha emesso diversi aggiornamenti di sicurezza che risolvono vulnerabilità multiple in svariati prodotti.Leggi tutto