Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Aggiornamenti di sicurezza per prodotti Microsoft (gennaio 2019)

edge  microsoft   mercoledì, 9 gennaio 2019

Nella giornata dell’8 gennaio 2019 Microsoft ha emesso diversi aggiornamenti di sicurezza che risolvono vulnerabilità multiple in svariati prodotti. Se sfruttate con successo, le più gravi tra queste vulnerabilità possono causare l’esecuzione di codice arbitrario da remoto.

Gli aggiornamenti riguardano i seguenti prodotti:

  • Microsoft Windows
  • Microsoft Edge
  • Internet Explorer
  • Microsoft Office e Microsoft Office Services and Web Apps
  • ChakraCore
  • .NET Framework
  • Microsoft Dynamics NAV
  • Microsoft Exchange Server
  • Microsoft Visual Studio
  • Windows Azure Pack (WAP)

Gli aggiornamenti includono fix per le seguenti vulnerabilità critiche o di gravità elevata:

  • Una vulnerabilità critica nel client DHCP di Microsoft Windows che può consentire ad un attaccante di eseguire codice arbitrario su un sistema affetto mediante risposte DHCP appositamente predisposte (CVE-2019-0547).
  • Due vulnerabilità critiche in Windows Hyper-V legate ad una gestione impropria dell’input di un utente autenticato di un sistema guest che possono consentire ad un’applicazione malevola di eseguire codice arbitrario sul sistema host (CVE-2019-0550, CVE-2019-0551).
  • Una vulnerabilità critica in Microsoft Edge legata ad una gestione impropria degli oggetti in memoria che può consentire ad un attaccante di eseguire codice da remoto nel contesto dell’utente corrente (CVE-2019-0565).
  • Vulnerabilità multiple critiche in Microsoft Edge legate ad una gestione impropria degli oggetti in memoria da parte del Chakra Scripting Engine che possono consentire ad un attaccante di eseguire codice da remoto nel contesto dell’utente corrente (CVE-2019-0539, CVE-2019-0567, CVE-2019-0568).
  • Una vulnerabilità di gravità elevata in Microsoft Windows legata ad una gestione impropria degli oggetti in memoria da parte del componente Jet Database Engine che può consentire ad un attaccante di di eseguire codice arbitrario sul sistema bersaglio (CVE-2019-0579).

Si raccomanda ai gestori e agli utenti di sistemi e prodotti Microsoft di prendere visione dei bollettini di sicurezza Microsoft di gennaio 2019 e di applicare al più presto gli aggiornamenti necessari.

I bollettini di sicurezza Microsoft più recenti sono reperibili sul portale Security Update Guide (per ora disponibile solo in Inglese).

Gli aggiornamenti di sicurezza possono essere scaricati dal sito Microsoft Download Center. Per i sistemi desktop gli aggiornamenti possono essere ottenuti automaticamente mediante Microsoft Update.

Notizie correlate

Microsoft rilascia aggiornamento per grave falla 0-day in Internet Explorer

20 dicembre 2018

Microsoft ha rilasciato una patch di emergenza per risolvere una vulnerabilità zero-day in Internet Explorer che può causare l’esecuzione di codice arbitrario da remoto.Leggi tutto

Aggiornamenti di sicurezza per prodotti Microsoft (dicembre 2018)

12 dicembre 2018

Nella giornata dell'11 dicembre 2018 Microsoft ha emesso diversi aggiornamenti di sicurezza che risolvono vulnerabilità multiple in svariati prodotti tra cui Windows, .NET Framework, Edge e Internet Explorer.Leggi tutto

Avviso di sicurezza di Microsoft per certificati digitali compromessi

28 novembre 2018

Microsoft ha emesso un avviso di sicurezza relativo a due certificati digitali CA root, installati in Windows da applicazioni di terze parti, le cui corrispondenti chiavi private sono state rese per errore pubbliche dagli sviluppatori.Leggi tutto