Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Aggiornamenti di sicurezza per prodotti Microsoft (gennaio 2020)

.NET  Internet Explorer  microsoft  RDP   mercoledì, 15 gennaio 2020

Nella giornata del 14 gennaio 2020 Microsoft ha emesso diversi aggiornamenti di sicurezza che risolvono vulnerabilità multiple in svariati prodotti. Se sfruttate con successo, le più gravi tra queste vulnerabilità possono causare l’esecuzione di codice arbitrario da remoto.

Gli aggiornamenti riguardano i seguenti prodotti:

  • Microsoft Windows
  • Internet Explorer
  • Microsoft Office e Microsoft Office Services and Web Apps
  • ASP.NET Core
  • .NET Core
  • .NET Framework
  • OneDrive for Android
  • Microsoft Dynamics

Gli aggiornamenti includono fix per le seguenti vulnerabilità critiche o di gravità elevata:

  • Una vulnerabilità di gravità elevata nelle CryptoAPI di Microsoft Windows 10 e Windows Server 2016-2019 (32 e 64 bit), legata ad una validazione non corretta di certificati ECC (Elliptic Curve Cryptography), che può consentire ad un attaccante di firmare il codice di un eseguibile malevolo utilizzando un certificato non valido, facendo in modo che appaia provenire da una fonte affidabile (CVE-2020-0601).
  • Due vulnerabilità critiche nel componente Remote Desktop Gateway (RD Gateway) di Microsoft Windows che possono consentire ad un attaccante di eseguire codice arbitrario sul sistema bersaglio inviando richieste appositamente predisposte che non richiedono autenticazione o interazione d’utente (CVE-2020-0609, CVE-2020-0610).
  • Una vulnerabilità critica nel client Remote Desktop Services (RDP) di Microsoft Windows che può consentire ad un attaccante di eseguire codice arbitrario sul sistema sottostante quando l’utente si connette ad un server malevolo (CVE-2020-0611).
  • Una vulnerabilità critica in ASP.NET Core legata ad una gestione impropria delle richieste Web, che può consentire ad un attaccante di provocare condizioni di denial of service (CVE-2020-0602).
  • Una vulnerabilità critica in ASP.NET Core legata ad una gestione impropria degli oggetti in memoria, che può consentire ad un attaccante di eseguire codice arbitrario nel contesto dell’utente corrente (CVE-2020-0603).
  • Vulnerabilità multiple critiche in .NET Framework legate ad errori nella verifica del codice sorgente di markup di un file, che possono consentire ad un attaccante di eseguire codice arbitrario nel contesto dell’utente corrente (CVE-2020-0605, CVE-2020-0606).
  • Una vulnerabilità critica in .NET Framework legata ad una validazione impropria dell’input, che può consentire ad un attaccante di ottenere il controllo completo del sistema affetto (CVE-2020-0646).
  • Una vulnerabilità critica in Internet Explorer legata ad una gestione impropria degli oggetti in memoria che può consentire ad un attaccante di eseguire codice da remoto nel contesto dell’utente corrente (CVE-2020-0640).

Si raccomanda ai gestori e agli utenti di sistemi e prodotti Microsoft di prendere visione dei bollettini di sicurezza Microsoft di gennaio 2020 e di applicare al più presto gli aggiornamenti necessari.

I bollettini di sicurezza Microsoft più recenti sono reperibili sul portale Security Update Guide (per ora disponibile solo in Inglese).

Gli aggiornamenti di sicurezza possono essere scaricati dal sito Microsoft Download Center. Per i sistemi desktop gli aggiornamenti possono essere ottenuti automaticamente mediante Microsoft Update.

Notizie correlate

Avviso di sicurezza di Microsoft per falla critica 0-day in Internet Explorer

20 gennaio 2020

Microsoft ha rilasciato un avviso di sicurezza relativo ad una vulnerabilità critica zero-day in Internet Explorer che può causare l’esecuzione di codice arbitrario da remoto.Leggi tutto

Aggiornamenti di sicurezza per prodotti Microsoft (dicembre 2019)

11 dicembre 2019

Nella giornata del 10 dicembre 2019 Microsoft ha emesso diversi aggiornamenti di sicurezza che risolvono vulnerabilità multiple in svariati prodotti.Leggi tutto

Aggiornamenti di sicurezza per prodotti Microsoft (novembre 2019)

14 novembre 2019

Nella giornata del 12 novembre 2019 Microsoft ha emesso diversi aggiornamenti di sicurezza che risolvono vulnerabilità multiple in svariati prodotti.Leggi tutto