Microsoft Security Bulletin MS15-034 - Critico
La vulnerabilità in HTTP.sys potrebbe consentire l'esecuzione di codice remoto (3042553)
Pubblicato: 14 aprile 2015 | Aggiornamento: 22 aprile 2015
Versione: 1.1
Schema riepilogativo
Questo aggiornamento della sicurezza risolve una vulnerabilità in Microsoft Windows. La vulnerabilità potrebbe consentire l'esecuzione di codice remoto se un utente malintenzionato invia una richiesta HTTP appositamente creata a un sistema Windows interessato.
Questo aggiornamento della sicurezza è valutato Critical per tutte le edizioni supportate di Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012, Windows 8.1 e Windows Server 2012 R2. Per altre informazioni, vedere la sezione Software interessato.
L'aggiornamento della sicurezza risolve la vulnerabilità modificando il modo in cui lo stack HTTP di Windows gestisce le richieste. Per altre informazioni sulla vulnerabilità, vedere la sezione VulnerabilityInformation .
Per altre informazioni su questo documento, vedere l'articolo della Microsoft Knowledge Base 3042553.
Software interessato
Sono interessate le versioni o le edizioni software seguenti. Le versioni o le edizioni non elencate superano il ciclo di vita del supporto o non sono interessate. Per determinare il ciclo di vita del supporto per la versione o l'edizione del software, vedere supporto tecnico Microsoft Ciclo di vita.
| Sistema operativo | Impatto massimo sulla sicurezza | Valutazione della gravità aggregata | Aggiornamenti sostituito |
|---|---|---|---|
| Windows 7 | |||
| Windows 7 per sistemi a 32 bit Service Pack 1 (3042553) | Esecuzione di codice remoto | Critico | None |
| Windows 7 per sistemi basati su x64 Service Pack 1 (3042553) | Esecuzione di codice remoto | Critico | None |
| Windows Server 2008 R2 | |||
| Windows Server 2008 R2 per sistemi basati su x64 Service Pack 1 (3042553) | Esecuzione di codice remoto | Critico | None |
| Windows Server 2008 R2 per sistemi basati su Itanium Service Pack 1 (3042553) | Esecuzione di codice remoto | Critico | None |
| Windows 8 e Windows 8.1 | |||
| Windows 8 per sistemi a 32 bit (3042553) | Esecuzione di codice remoto | Critico | 2829254 in MS13-039 |
| Windows 8 per sistemi basati su x64 (3042553) | Esecuzione di codice remoto | Critico | 2829254 in MS13-039 |
| Windows 8.1 per sistemi a 32 bit (3042553) | Esecuzione di codice remoto | Critico | None |
| Windows 8.1 per sistemi basati su x64 (3042553) | Esecuzione di codice remoto | Critico | None |
| Windows Server 2012 e Windows Server 2012 R2 | |||
| Windows Server 2012 (3042553) | Esecuzione di codice remoto | Critico | 2829254 in MS13-039 |
| Windows Server 2012 R2 (3042553) | Esecuzione di codice remoto | Critico | None |
| Opzione di installazione dei componenti di base del server | |||
| Windows Server 2008 R2 per sistemi basati su x64 Service Pack 1 (installazione server Core) (3042553) | Esecuzione di codice remoto | Critico | None |
| Windows Server 2012 (installazione server Core) (3042553) | Esecuzione di codice remoto | Critico | 2829254 in MS13-039 |
| Windows Server 2012 R2 (installazione server Core) (3042553) | Esecuzione di codice remoto | Critico | None |
Nota L'aggiornamento è disponibile per Windows Technical Preview e Windows Server Technical Preview. I clienti che eseguono questi sistemi operativi sono invitati a applicare l'aggiornamento, disponibile tramite Windows Update.
Classificazioni di gravità e identificatori di vulnerabilità
Le classificazioni di gravità seguenti presuppongono il potenziale impatto massimo della vulnerabilità. Per informazioni sulla probabilità, entro 30 giorni dal rilascio di questo bollettino sulla sicurezza, della sfruttabilità della vulnerabilità in relazione alla classificazione di gravità e all'impatto sulla sicurezza, vedere l'indice di exploit nel riepilogo del bollettino di aprile.
| Valutazione della gravità della vulnerabilità e Impatto massimo sulla sicurezza da parte del software interessato | ||
|---|---|---|
| Software interessato | vulnerabilità di esecuzione di codice remoto HTTP.sys - CVE-2015-1635 | Valutazione della gravità aggregata |
| Windows 7 | ||
| Windows 7 per sistemi a 32 bit Service Pack 1 (3042553) | Esecuzione di codice remoto critico | Critico |
| Windows 7 per sistemi basati su x64 Service Pack 1 3042553 | Esecuzione di codice remoto critico | Critico |
| Windows Server 2008 R2 | ||
| Windows Server 2008 R2 per sistemi basati su Itanium Service Pack 1 (3042553) | Esecuzione di codice remoto critico | Critico |
| Windows Server 2008 R2 per sistemi basati su x64 Service Pack 1 (3042553) | Esecuzione di codice remoto critico | Critico |
| Windows 8 e Windows 8.1 | ||
| Windows 8 per sistemi a 32 bit (3042553) | Esecuzione di codice remoto critico | Critico |
| Windows 8 per sistemi basati su x64 (3042553) | Esecuzione di codice remoto critico | Critico |
| Windows Server 2012 e Windows Server 2012 R2 | ||
| Windows Server 2012 (3042553) | Esecuzione di codice remoto critico | Critico |
| Windows Server 2012 R2 (3042553) | Esecuzione di codice remoto critico | Critico |
| Opzione di installazione dei componenti di base del server | ||
| Windows Server 2012 (installazione server Core) (3042553) | Esecuzione di codice remoto critico | Critico |
| Windows Server 2012 R2 (installazione server Core) (3042553) | Esecuzione di codice remoto critico | Critico |
Informazioni sulla vulnerabilità
vulnerabilità di esecuzione di codice remoto HTTP.sys - CVE-2015-1635
Esiste una vulnerabilità di esecuzione remota del codice nello stack di protocolli HTTP (HTTP.sys) che si verifica quando HTTP.sys analizza in modo non corretto le richieste HTTP appositamente create. Un utente malintenzionato che ha sfruttato correttamente questa vulnerabilità potrebbe eseguire codice arbitrario nel contesto dell'account di sistema.
Per sfruttare questa vulnerabilità, un utente malintenzionato dovrà inviare una richiesta HTTP appositamente creata al sistema interessato. L'aggiornamento risolve la vulnerabilità modificando il modo in cui lo stack HTTP di Windows gestisce le richieste.
Microsoft ha ricevuto informazioni su questa vulnerabilità tramite la divulgazione coordinata delle vulnerabilità. Quando questo bollettino sulla sicurezza è stato originariamente emesso, Microsoft non aveva ricevuto informazioni per indicare che questa vulnerabilità era stata usata pubblicamente per attaccare i clienti.
Fattori di mitigazione
Microsoft non ha identificato alcun fattore di mitigazione per questa vulnerabilità.
Soluzioni alternative
La soluzione alternativa seguente può essere utile nella situazione:
Disabilitare la memorizzazione nella cache del kernel IIS
Questa soluzione alternativa è specifica di IIS e può causare problemi di prestazioni. Per altre informazioni, vedere Abilitare la memorizzazione nella cache del kernel (IIS 7).
Distribuzione degli aggiornamenti della sicurezza
Per informazioni sulla distribuzione degli aggiornamenti della sicurezza, vedere l'articolo della Microsoft Knowledge Base a cui si fa riferimento nel riepilogo esecutivo.
Riconoscimenti
Microsoft riconosce gli sforzi di coloro che si trovano nella community di sicurezza che ci aiutano a proteggere i clienti attraverso la divulgazione coordinata delle vulnerabilità. Per altre informazioni, vedere Riconoscimenti .
Dichiarazione di non responsabilità
Le informazioni fornite nella Microsoft Knowledge Base vengono fornite "così com'è" senza garanzia di alcun tipo. Microsoft dichiara tutte le garanzie, espresse o implicite, incluse le garanzie di commerciabilità e idoneità per uno scopo specifico. In nessun caso, Microsoft Corporation o i suoi fornitori saranno responsabili di qualsiasi danno, incluso diretto, indiretto, accidentale, consequenziale, perdita di profitti aziendali o danni speciali, anche se Microsoft Corporation o i suoi fornitori sono stati informati della possibilità di tali danni. Alcuni stati non consentono l'esclusione o la limitazione della responsabilità per danni consequenziali o accidentali, pertanto la limitazione precedente potrebbe non essere applicata.
Revisioni
- V1.0 (14 aprile 2015): Bollettino pubblicato.
- V1.1 (22 aprile 2015): Bollettino modificato per correggere le voci di sostituzione degli aggiornamenti per Windows 8 e Windows Server 2012 nella tabella Software interessato. Si tratta solo di una modifica informativa. Non sono state apportate modifiche ai file di aggiornamento. I clienti che hanno già aggiornato correttamente i propri sistemi non devono eseguire alcuna azione.
Pagina generata 2015-04-22 11:30Z-07:00.