Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Aggiornamenti di sicurezza per prodotti Microsoft (settembre 2019)

Azure  edge  Internet Explorer  microsoft  RDP  sharepoint   venerdì, 13 settembre 2019

Nella giornata del 10 settembre 2019 Microsoft ha emesso diversi aggiornamenti di sicurezza che risolvono vulnerabilità multiple in svariati prodotti. Se sfruttate con successo, le più gravi tra queste vulnerabilità possono causare l’esecuzione di codice arbitrario da remoto.

Gli aggiornamenti riguardano i seguenti prodotti:

  • Microsoft Windows
  • Internet Explorer
  • Microsoft Edge (EdgeHTML-based)
  • ChakraCore
  • Microsoft Office e Microsoft Office Services and Web Apps
  • Microsoft Lync
  • Visual Studio
  • Microsoft Exchange Server
  • .NET Framework
  • Microsoft Yammer
  • .NET Core
  • ASP.NET
  • Team Foundation Server
  • Project Rome

Gli aggiornamenti includono fix per le seguenti vulnerabilità critiche:

  • Vulnerabilità multiple critiche nel client Remote Desktop Services (RDP) di Microsoft Windows che possono consentire ad un attaccante di eseguire codice arbitrario sul sistema sottostante quando l’utente si connette ad un server malevolo (CVE-2019-0787, CVE-2019-0788, CVE-2019-1290, CVE-2019-1291).
  • Vulnerabilità multiple critiche in Microsoft Edge legate ad una gestione impropria degli oggetti in memoria da parte del motore di scripting Chakra che possono consentire ad un attaccante di eseguire codice da remoto nel contesto dell’utente corrente (CVE-2019-1138, CVE-2019-1217, CVE-2019-1237, CVE-2019-1300, CVE-2019-1298).
  • Vulnerabilità multiple critiche in Internet Explorer legate ad una gestione impropria degli oggetti in memoria da parte del motore di scripting VBScript che possono consentire ad un attaccante di eseguire codice da remoto nel contesto dell’utente corrente (CVE-2019-1208, CVE-2019-1236).
  • Una vulnerabilità critica di tipo esecuzione di codice da remoto in Microsoft Windows legata all’elaborazione di file .LNK (CVE-2019-1280).
  • Una vulnerabilità critica in Internet Explorer legata ad una gestione impropria degli oggetti in memoria da parte del motore di scripting che può consentire ad un attaccante di eseguire codice da remoto nel contesto dell’utente corrente (CVE-2019-1221).
  • Una vulnerabilità critica in Azure DevOps Server (ADO) e Team Foundation Server (TFS) legata ad una validazione impropria dell’input che può consentire ad un attaccante di eseguire codice arbitrario sul server nel contesto dell’account ddel servizio ADO o TFS (CVE-2019-1306).
  • Una vulnerabilità critica in Microsoft SharePoint legata ad una validazione impropria del codice di markup di un pacchetto applicazione che può consentire ad un attaccante di eseguire codice arbitrario nel contesto del pool di applicazioni SharePoint e dell’account della server farm SharePoint (CVE-2019-1257).
  • Una vulnerabilità critica in Microsoft SharePoint legata ad una protezione impropria delle API da input malevolo che può consentire ad un attaccante di eseguire codice arbitrario nel contesto del pool di applicazioni SharePoint e dell’account della server farm SharePoint (CVE-2019-1295).

Microsoft ha altresì risolto le seguenti due gravi vulnerabilità zero-day di tipo elevazione dei privilegi:

Si raccomanda ai gestori e agli utenti di sistemi e prodotti Microsoft di prendere visione dei bollettini di sicurezza Microsoft di settembre 2019 e di applicare al più presto gli aggiornamenti necessari.

I bollettini di sicurezza Microsoft più recenti sono reperibili sul portale Security Update Guide (per ora disponibile solo in Inglese).

Gli aggiornamenti di sicurezza possono essere scaricati dal sito Microsoft Download Center. Per i sistemi desktop gli aggiornamenti possono essere ottenuti automaticamente mediante Microsoft Update.

Notizie correlate

Aggiornamenti di sicurezza per prodotti Microsoft (ottobre 2019)

9 ottobre 2019

Nella giornata dell'8 ottobre 2019 Microsoft ha emesso diversi aggiornamenti di sicurezza che risolvono vulnerabilità multiple in svariati prodotti.Leggi tutto

Microsoft rilascia aggiornamento per falla critica 0-day in Internet Explorer

24 settembre 2019

Microsoft ha rilasciato una patch di emergenza per risolvere una vulnerabilità critica zero-day in Internet Explorer che può causare l’esecuzione di codice arbitrario da remoto.Leggi tutto

Aggiornamenti di sicurezza per prodotti Microsoft (agosto 2019)

27 agosto 2019

Nella giornata del 13 agosto 2019 Microsoft ha emesso diversi aggiornamenti di sicurezza che risolvono vulnerabilità multiple in svariati prodotti.Leggi tutto