Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Aggiornamenti di sicurezza per prodotti Microsoft (gennaio 2019)

edge  microsoft   mercoledì, 9 gennaio 2019

Nella giornata dell’8 gennaio 2019 Microsoft ha emesso diversi aggiornamenti di sicurezza che risolvono vulnerabilità multiple in svariati prodotti. Se sfruttate con successo, le più gravi tra queste vulnerabilità possono causare l’esecuzione di codice arbitrario da remoto.

Gli aggiornamenti riguardano i seguenti prodotti:

  • Microsoft Windows
  • Microsoft Edge
  • Internet Explorer
  • Microsoft Office e Microsoft Office Services and Web Apps
  • ChakraCore
  • .NET Framework
  • Microsoft Dynamics NAV
  • Microsoft Exchange Server
  • Microsoft Visual Studio
  • Windows Azure Pack (WAP)

Gli aggiornamenti includono fix per le seguenti vulnerabilità critiche o di gravità elevata:

  • Una vulnerabilità critica nel client DHCP di Microsoft Windows che può consentire ad un attaccante di eseguire codice arbitrario su un sistema affetto mediante risposte DHCP appositamente predisposte (CVE-2019-0547).
  • Due vulnerabilità critiche in Windows Hyper-V legate ad una gestione impropria dell’input di un utente autenticato di un sistema guest che possono consentire ad un’applicazione malevola di eseguire codice arbitrario sul sistema host (CVE-2019-0550, CVE-2019-0551).
  • Una vulnerabilità critica in Microsoft Edge legata ad una gestione impropria degli oggetti in memoria che può consentire ad un attaccante di eseguire codice da remoto nel contesto dell’utente corrente (CVE-2019-0565).
  • Vulnerabilità multiple critiche in Microsoft Edge legate ad una gestione impropria degli oggetti in memoria da parte del Chakra Scripting Engine che possono consentire ad un attaccante di eseguire codice da remoto nel contesto dell’utente corrente (CVE-2019-0539, CVE-2019-0567, CVE-2019-0568).
  • Una vulnerabilità di gravità elevata in Microsoft Windows legata ad una gestione impropria degli oggetti in memoria da parte del componente Jet Database Engine che può consentire ad un attaccante di di eseguire codice arbitrario sul sistema bersaglio (CVE-2019-0579).

Si raccomanda ai gestori e agli utenti di sistemi e prodotti Microsoft di prendere visione dei bollettini di sicurezza Microsoft di gennaio 2019 e di applicare al più presto gli aggiornamenti necessari.

I bollettini di sicurezza Microsoft più recenti sono reperibili sul portale Security Update Guide (per ora disponibile solo in Inglese).

Gli aggiornamenti di sicurezza possono essere scaricati dal sito Microsoft Download Center. Per i sistemi desktop gli aggiornamenti possono essere ottenuti automaticamente mediante Microsoft Update.

Notizie correlate

Aggiornamenti di sicurezza per prodotti Microsoft (marzo 2019)

13 marzo 2019

Nella giornata del 12 marzo 2019 Microsoft ha emesso diversi aggiornamenti di sicurezza che risolvono vulnerabilità multiple in svariati prodotti.Leggi tutto

Google scopre grave falla 0-day in Windows 7

11 marzo 2019

Google ha pubblicato un bollettino di sicurezza riguardante una vulnerabilità zero-day presente nel sistema operativo Microsoft Windows almeno fino alla versione 7.Leggi tutto

Aggiornamenti di sicurezza per prodotti Microsoft (febbraio 2019)

13 febbraio 2019

Nella giornata del 12 febbraio 2019 Microsoft ha emesso diversi aggiornamenti di sicurezza che risolvono vulnerabilità multiple in svariati prodotti.Leggi tutto