Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Aggiornamenti di sicurezza per prodotti Microsoft (dicembre 2018)

.NET  edge  Internet Explorer  microsoft   mercoledì, 12 dicembre 2018

Nella giornata dell’11 dicembre 2018 Microsoft ha emesso diversi aggiornamenti di sicurezza che risolvono vulnerabilità multiple in svariati prodotti. Se sfruttate con successo, le più gravi tra queste vulnerabilità possono causare l’esecuzione di codice arbitrario da remoto.

Gli aggiornamenti riguardano i seguenti prodotti:

  • Windows 7, 8.1, RT 8.1, 10
  • Windows Server 2008, 2008 R2, 2012, 2012 R2, 2016, 2019
  • Windows Server (Server Core installation) 2008, 2008 R2, 2012, 2012 R2, 2016, 2019
  • Windows Azure Pack Rollup 13.1
  • Edge
  • Internet Explorer 9, 10, 11
  • Office 2010, 2016 for Mac, 2019, 2019 for Mac
  • Office 365 ProPlus
  • Office Compatibility Pack
  • Office Online Server
  • Office Web Apps 2010, 2013
  • Excel 2010, 2013, 2013 RT, 2016
  • Excel Viewer 2007
  • Outlook 2010, 2013, 2013 RT, 2016
  • PowerPoint 2010, 2013, 2013 RT, 2016
  • PowerPoint Viewer
  • SharePoint Enterprise Server 2013, 2016
  • SharePoint Foundation 2010
  • SharePoint Server 2010, 2013, 2019
  • Exchange Server 2016
  • ChakraCore
  • Visual Studio 2015, 2017
  • Dynamics NAV 2016, 2017
  • .NET Framework 3.5, 3.5.1, 4.5.2, 4.6, 4.6.1, 4.6.2, 4.7, 4.7.1, 4.7.2

Gli aggiornamenti includono fix per le seguenti vulnerabilità critiche o di gravità elevata:

  • Una vulnerabilità di gravità elevata in Microsoft Windows legata ad una gestione impropria degli oggetti in memoria da parte del kernel che può consentire ad un attaccante di di eseguire codice arbitrario in modalità kernel (CVE-2018-8611). Questa vulnerabilità zero-day, scoperta da Kaspersky Lab, è già stata attivamente sfruttata in-the-wild da diversi attori malevoli.
  • Una vulnerabilità critica in Microsoft .NET Framework legata ad una gestione impropria dell’input che può consentire ad un attaccante di prendere il controllo del sistema locale (CVE-2018-8540).
  • Vulnerabilità multiple critiche in Microsoft Edge legate ad una gestione impropria degli oggetti in memoria da parte del Chakra Scripting Engine che possono consentire ad un attaccante di eseguire codice da remoto nel contesto dell’utente corrente (CVE-2018-8583, CVE-2018-8624, CVE-2018-8629, CVE-2018-8617, CVE-2018-8618).
  • Una vulnerabilità critica nel componente DNS server di Microsoft Windows legata ad una gestione impropria delle richieste che può consentire ad un attaccante di eseguire codice arbitrario su un sistema affetto nel contesto dell’utente Local System (CVE-2018-8626).
  • Una vulnerabilità critica in Microsoft Internet Explorer legata ad una gestione impropria degli oggetti in memoria che può consentire ad un attaccante di eseguire codice arbitrario nel contesto dell’utente corrente (CVE-2018-8631).
  • Una vulnerabilità critica in Microsoft Windows legata ad una gestione impropria degli oggetti in memoria da parte del componente Microsoft text-to-speech che può consentire ad un attaccante di prendere il controllo del sistema locale (CVE-2018-8634).
  • Una vulnerabilità di gravità elevata in Microsoft PowerPoint legata ad una gestione impropria degli oggetti in memoria che può consentire ad un attaccante di eseguire codice arbitrario nel contesto dell’utente corrente (CVE-2018-8628).

Si raccomanda ai gestori e agli utenti di sistemi e prodotti Microsoft di prendere visione dei bollettini di sicurezza Microsoft di dicembre 2018 e di applicare al più presto gli aggiornamenti necessari.

I bollettini di sicurezza Microsoft più recenti sono reperibili sul portale Security Update Guide (per ora disponibile solo in Inglese).

Gli aggiornamenti di sicurezza possono essere scaricati dal sito Microsoft Download Center. Per i sistemi desktop gli aggiornamenti possono essere ottenuti automaticamente mediante Microsoft Update.

Notizie correlate

Aggiornamenti di sicurezza per prodotti Microsoft (gennaio 2019)

9 gennaio 2019

Nella giornata dell'8 gennaio 2019 Microsoft ha emesso diversi aggiornamenti di sicurezza che risolvono vulnerabilità multiple in svariati prodotti tra cui Windows e Edge.Leggi tutto

Microsoft rilascia aggiornamento per grave falla 0-day in Internet Explorer

20 dicembre 2018

Microsoft ha rilasciato una patch di emergenza per risolvere una vulnerabilità zero-day in Internet Explorer che può causare l’esecuzione di codice arbitrario da remoto.Leggi tutto

Avviso di sicurezza di Microsoft per certificati digitali compromessi

28 novembre 2018

Microsoft ha emesso un avviso di sicurezza relativo a due certificati digitali CA root, installati in Windows da applicazioni di terze parti, le cui corrispondenti chiavi private sono state rese per errore pubbliche dagli sviluppatori.Leggi tutto