Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Aggiornamenti di sicurezza per prodotti Microsoft (luglio 2019)

.NET  Azure  DHCP  edge  Internet Explorer  microsoft   mercoledì, 10 luglio 2019

Nella giornata del 9 luglio 2019 Microsoft ha emesso diversi aggiornamenti di sicurezza che risolvono vulnerabilità multiple in svariati prodotti. Se sfruttate con successo, le più gravi tra queste vulnerabilità possono causare l’esecuzione di codice arbitrario da remoto.

Gli aggiornamenti riguardano i seguenti prodotti:

  • Microsoft Windows
  • Internet Explorer
  • Microsoft Edge
  • Microsoft Office e Microsoft Office Services and Web Apps
  • Azure DevOps
  • Open Source Software
  • .NET Framework
  • Azure
  • SQL Server
  • ASP.NET
  • Visual Studio
  • Microsoft Exchange Server

Gli aggiornamenti includono fix per le seguenti vulnerabilità critiche:

  • Una vulnerabilità critica in .NET legata ad errori nella verifica del codice sorgente di markup di un file (CVE-2019-1113).
  • Una vulnerabilità critica legata ad una gestione impropria dell’input dell’utente da parte di Azure DevOps Server and Team Foundation Server (TFS) che può consentire ad un attaccante di eseguire codice arbitrario sul server bersaglio nel contesto dell’account del servizio DevOps o TFS (CVE-2019-1072).
  • Una vulnerabilità critica in Internet Explorer legata ad una gestione impropria degli oggetti in memoria che può consentire ad un attaccante di eseguire codice da remoto nel contesto dell’utente corrente (CVE-2019-1063).
  • Una vulnerabilità critica legata ad una gestione impropria degli oggetti in memoria da parte di Internet Explorer e Microsoft Edge che può consentire ad un attaccante di eseguire codice da remoto nel contesto dell’utente corrente (CVE-2019-1104).
  • Una vulnerabilità critica in Microsoft Windows legata ad una gestione impropria degli oggetti in memoria da parte del componente Windows Graphics Device Interface (GDI) che può consentire ad un attaccante di ottenere il controllo del sistema affetto (CVE-2019-1102).
  • Vulnerabilità multiple critiche in Microsoft Edge legate ad una gestione impropria degli oggetti in memoria da parte del motore di scripting Chakra che possono consentire ad un attaccante di eseguire codice da remoto nel contesto dell’utente corrente (CVE-2019-1062, CVE-2019-1106, CVE-2019-1092, CVE-2019-1103, CVE-2019-1107).
  • Vulnerabilità multiple critiche in Internet Explorer legate ad una gestione impropria degli oggetti in memoria da parte del motore di scripting che possono consentire ad un attaccante di eseguire codice da remoto nel contesto dell’utente corrente (CVE-2019-1004, CVE-2019-1056).
  • Una vulnerabilità critica in Internet Explorer e Microsoft Edge legata ad una gestione impropria degli oggetti in memoria da parte del motore di scripting che può consentire ad un attaccante di eseguire codice da remoto nel contesto dell’utente corrente (CVE-2019-1001).
  • Una vulnerabilità critica nel servizio DHCP Server di Microsoft Windows che può consentire ad un attaccante di eseguire codice arbitrario da remoto su un server DHCP di failover mediante l’invio di pacchetti appositamente predisposti (CVE-2019-0785).

Microsoft ha altresì risolto le seguenti due gravi vulnerabilità zero-day di tipo elevazione dei privilegi:

Si raccomanda ai gestori e agli utenti di sistemi e prodotti Microsoft di prendere visione dei bollettini di sicurezza Microsoft di luglio 2019 e di applicare al più presto gli aggiornamenti necessari.

I bollettini di sicurezza Microsoft più recenti sono reperibili sul portale Security Update Guide (per ora disponibile solo in Inglese).

Gli aggiornamenti di sicurezza possono essere scaricati dal sito Microsoft Download Center. Per i sistemi desktop gli aggiornamenti possono essere ottenuti automaticamente mediante Microsoft Update.

Notizie correlate

Avviso di sicurezza di Microsoft per vulnerabilità in Windows Defender Application Control (WDAC)

18 luglio 2019

Microsoft ha pubblicato un avviso di sicurezza che riguarda una vulnerabilità di gravità elevata in Windows Defender Application Control (WDAC).Leggi tutto

Aggiornamenti di sicurezza per prodotti Microsoft (giugno 2019)

12 giugno 2019

Nella giornata dell'11 giugno 2019 Microsoft ha emesso diversi aggiornamenti di sicurezza che risolvono vulnerabilità multiple in svariati prodotti.Leggi tutto

Aggiornamenti di sicurezza per prodotti Microsoft (maggio 2019)

15 maggio 2019

Nella giornata del 14 maggio 2019 Microsoft ha emesso diversi aggiornamenti di sicurezza che risolvono vulnerabilità multiple in svariati prodotti.Leggi tutto