Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Aggiornamenti di sicurezza per prodotti Microsoft (dicembre 2019)

hyper-v  microsoft  visual studio   mercoledì, 11 dicembre 2019

Nella giornata del 10 dicembre 2019 Microsoft ha emesso diversi aggiornamenti di sicurezza che risolvono vulnerabilità multiple in svariati prodotti. Se sfruttate con successo, le più gravi tra queste vulnerabilità possono causare l’esecuzione di codice arbitrario da remoto.

Gli aggiornamenti riguardano i seguenti prodotti:

  • Microsoft Windows
  • Internet Explorer
  • Microsoft Office e Microsoft Office Services and Web Apps
  • SQL Server
  • Visual Studio
  • Skype for Business

Gli aggiornamenti includono fix per le seguenti vulnerabilità critiche o di gravità elevata:

  • Una vulnerabilità critica in Windows Hyper-V in esecuzione su un server host, legata ad una validazione impropria dell’input di un utente autenticato su un sistema operativo guest, che può consentire ad un attaccante di eseguire codice da remoto sul sistema operativo host mediante un’applicazione appositamente predisposta (CVE-2019-1471).
  • Una vulnerabilità critica di tipo esecuzione di codice da remoto nella libreria font di Microsoft Windows legata ad una gestione impropria di font incorporati appositamente predisposti che può consentire ad un attaccante di ottenete ottenere il controllo completo del sistema affetto (CVE-2019-1468).
  • Vulnerabilità multiple critiche in Git per Visual Studio legate ad una validazione impropria dell’input che possono consentire ad un attaccante di ottenere il controllo completo del sistema affetto (CVE-2019-1354, CVE-2019-1350, CVE-2019-1352, CVE-2019-1387, CVE-2019-1349, CVE-2019-1349).
  • Una vulnerabilità zero-day di gravità elevata legate ad una gestione impropria degli oggetti in memoria da parte del componente Win32k di Microsoft Windows che può consentire ad un attaccante di eseguire codice arbitrario in modalità kernel (CVE-2019-1458).

Si raccomanda ai gestori e agli utenti di sistemi e prodotti Microsoft di prendere visione dei bollettini di sicurezza Microsoft di dicembre 2019 e di applicare al più presto gli aggiornamenti necessari.

I bollettini di sicurezza Microsoft più recenti sono reperibili sul portale Security Update Guide (per ora disponibile solo in Inglese).

Gli aggiornamenti di sicurezza possono essere scaricati dal sito Microsoft Download Center. Per i sistemi desktop gli aggiornamenti possono essere ottenuti automaticamente mediante Microsoft Update.

Notizie correlate

Aggiornamenti di sicurezza per prodotti Microsoft (febbraio 2020)

12 febbraio 2020

Nella giornata dell'11 febbraio 2020 Microsoft ha emesso diversi aggiornamenti di sicurezza che risolvono vulnerabilità multiple in svariati prodotti.Leggi tutto

Avviso di sicurezza di Microsoft per falla critica 0-day in Internet Explorer

20 gennaio 2020

Microsoft ha rilasciato un avviso di sicurezza relativo ad una vulnerabilità critica zero-day in Internet Explorer che può causare l’esecuzione di codice arbitrario da remoto.Leggi tutto

Aggiornamenti di sicurezza per prodotti Microsoft (gennaio 2020)

15 gennaio 2020

Nella giornata del 14 gennaio 2020 Microsoft ha emesso diversi aggiornamenti di sicurezza che risolvono vulnerabilità multiple in svariati prodotti.Leggi tutto