Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Aggiornamenti di sicurezza per prodotti Microsoft (dicembre 2018)

.NET  edge  Internet Explorer  microsoft   mercoledì, 12 dicembre 2018

Nella giornata dell’11 dicembre 2018 Microsoft ha emesso diversi aggiornamenti di sicurezza che risolvono vulnerabilità multiple in svariati prodotti. Se sfruttate con successo, le più gravi tra queste vulnerabilità possono causare l’esecuzione di codice arbitrario da remoto.

Gli aggiornamenti riguardano i seguenti prodotti:

  • Windows 7, 8.1, RT 8.1, 10
  • Windows Server 2008, 2008 R2, 2012, 2012 R2, 2016, 2019
  • Windows Server (Server Core installation) 2008, 2008 R2, 2012, 2012 R2, 2016, 2019
  • Windows Azure Pack Rollup 13.1
  • Edge
  • Internet Explorer 9, 10, 11
  • Office 2010, 2016 for Mac, 2019, 2019 for Mac
  • Office 365 ProPlus
  • Office Compatibility Pack
  • Office Online Server
  • Office Web Apps 2010, 2013
  • Excel 2010, 2013, 2013 RT, 2016
  • Excel Viewer 2007
  • Outlook 2010, 2013, 2013 RT, 2016
  • PowerPoint 2010, 2013, 2013 RT, 2016
  • PowerPoint Viewer
  • SharePoint Enterprise Server 2013, 2016
  • SharePoint Foundation 2010
  • SharePoint Server 2010, 2013, 2019
  • Exchange Server 2016
  • ChakraCore
  • Visual Studio 2015, 2017
  • Dynamics NAV 2016, 2017
  • .NET Framework 3.5, 3.5.1, 4.5.2, 4.6, 4.6.1, 4.6.2, 4.7, 4.7.1, 4.7.2

Gli aggiornamenti includono fix per le seguenti vulnerabilità critiche o di gravità elevata:

  • Una vulnerabilità di gravità elevata in Microsoft Windows legata ad una gestione impropria degli oggetti in memoria da parte del kernel che può consentire ad un attaccante di di eseguire codice arbitrario in modalità kernel (CVE-2018-8611). Questa vulnerabilità zero-day, scoperta da Kaspersky Lab, è già stata attivamente sfruttata in-the-wild da diversi attori malevoli.
  • Una vulnerabilità critica in Microsoft .NET Framework legata ad una gestione impropria dell’input che può consentire ad un attaccante di prendere il controllo del sistema locale (CVE-2018-8540).
  • Vulnerabilità multiple critiche in Microsoft Edge legate ad una gestione impropria degli oggetti in memoria da parte del Chakra Scripting Engine che possono consentire ad un attaccante di eseguire codice da remoto nel contesto dell’utente corrente (CVE-2018-8583, CVE-2018-8624, CVE-2018-8629, CVE-2018-8617, CVE-2018-8618).
  • Una vulnerabilità critica nel componente DNS server di Microsoft Windows legata ad una gestione impropria delle richieste che può consentire ad un attaccante di eseguire codice arbitrario su un sistema affetto nel contesto dell’utente Local System (CVE-2018-8626).
  • Una vulnerabilità critica in Microsoft Internet Explorer legata ad una gestione impropria degli oggetti in memoria che può consentire ad un attaccante di eseguire codice arbitrario nel contesto dell’utente corrente (CVE-2018-8631).
  • Una vulnerabilità critica in Microsoft Windows legata ad una gestione impropria degli oggetti in memoria da parte del componente Microsoft text-to-speech che può consentire ad un attaccante di prendere il controllo del sistema locale (CVE-2018-8634).
  • Una vulnerabilità di gravità elevata in Microsoft PowerPoint legata ad una gestione impropria degli oggetti in memoria che può consentire ad un attaccante di eseguire codice arbitrario nel contesto dell’utente corrente (CVE-2018-8628).

Si raccomanda ai gestori e agli utenti di sistemi e prodotti Microsoft di prendere visione dei bollettini di sicurezza Microsoft di dicembre 2018 e di applicare al più presto gli aggiornamenti necessari.

I bollettini di sicurezza Microsoft più recenti sono reperibili sul portale Security Update Guide (per ora disponibile solo in Inglese).

Gli aggiornamenti di sicurezza possono essere scaricati dal sito Microsoft Download Center. Per i sistemi desktop gli aggiornamenti possono essere ottenuti automaticamente mediante Microsoft Update.

Notizie correlate

Aggiornamenti di sicurezza per prodotti Microsoft (marzo 2019)

13 marzo 2019

Nella giornata del 12 marzo 2019 Microsoft ha emesso diversi aggiornamenti di sicurezza che risolvono vulnerabilità multiple in svariati prodotti.Leggi tutto

Google scopre grave falla 0-day in Windows 7

11 marzo 2019

Google ha pubblicato un bollettino di sicurezza riguardante una vulnerabilità zero-day presente nel sistema operativo Microsoft Windows almeno fino alla versione 7.Leggi tutto

Aggiornamenti di sicurezza per prodotti Microsoft (febbraio 2019)

13 febbraio 2019

Nella giornata del 12 febbraio 2019 Microsoft ha emesso diversi aggiornamenti di sicurezza che risolvono vulnerabilità multiple in svariati prodotti.Leggi tutto