Microsoft Security Bulletin MS16-039 - Critico
Aggiornamento della sicurezza per il componente grafica Microsoft (3148522)
Pubblicato: 12 aprile 2016 | Aggiornamento: 10 aprile 2018
Versione: 5.0
Schema riepilogativo
Questo aggiornamento della sicurezza risolve le vulnerabilità in Microsoft Windows, Microsoft .NET Framework, Microsoft Office, Skype for Business e Microsoft Lync. La più grave delle vulnerabilità potrebbe consentire l'esecuzione remota del codice se un utente apre un documento appositamente creato o visita una pagina Web che contiene tipi di carattere incorporati appositamente creati.
Questo aggiornamento della sicurezza è valutato critical per:
- Tutte le versioni supportate di Microsoft Windows
- Versioni interessate di Microsoft .NET Framework in tutte le versioni supportate di Microsoft Windows
- Edizioni interessate di Skype for Business 2016, Microsoft Lync 2013 e Microsoft Lync 2010
Questo aggiornamento della sicurezza è valutato Importante per tutte le edizioni interessate di Microsoft Office 2007 e Microsoft Office 2010.
Per altre informazioni, vedere la sezione Software interessato.
L'aggiornamento della sicurezza risolve le vulnerabilità correggendo il modo in cui la libreria dei tipi di carattere di Windows gestisce i tipi di carattere incorporati. Per altre informazioni sulle vulnerabilità, vedere la sezione Informazioni sulla vulnerabilità.
Per altre informazioni su questo aggiornamento, vedere l'articolo della Microsoft Knowledge Base 3148522.
Classificazioni di gravità del software e della vulnerabilità interessate
Sono interessate le versioni o le edizioni software seguenti. Le versioni o le edizioni non elencate superano il ciclo di vita del supporto o non sono interessate. Per determinare il ciclo di vita del supporto per la versione o l'edizione del software, vedere supporto tecnico Microsoft Ciclo di vita.
Le classificazioni di gravità indicate per ogni software interessato presuppongono il potenziale impatto massimo della vulnerabilità. Per informazioni sulla probabilità, entro 30 giorni dal rilascio di questo bollettino sulla sicurezza, della sfruttabilità della vulnerabilità in relazione alla classificazione di gravità e all'impatto sulla sicurezza, vedere l'indice di exploit nel riepilogo del bollettino di aprile.
Microsoft Windows
| Sistema operativo | Vulnerabilità di elevazione dei privilegi Win32k - CVE-2016-0143 | Vulnerabilità di danneggiamento della memoria grafica - CVE-2016-0145 | Vulnerabilità di elevazione dei privilegi Win32k - CVE-2016-0165 | Vulnerabilità di elevazione dei privilegi Win32k - CVE-2016-0167 | Aggiornamenti sostituito* |
|---|---|---|---|---|---|
| Windows Vista | |||||
| Windows Vista Service Pack 2 (3145739) | Elevazione dei privilegi importante | Esecuzione di codice remoto critico | Elevazione dei privilegi importante | Elevazione dei privilegi importante | 3139852 in MS16-034 |
| Windows Vista x64 Edition Service Pack 2 (3145739) | Elevazione dei privilegi importante | Esecuzione di codice remoto critico | Elevazione dei privilegi importante | Elevazione dei privilegi importante | 3139852 in MS16-034 |
| Windows Server 2008 | |||||
| Windows Server 2008 per sistemi a 32 bit Service Pack 2 (3145739) | Elevazione dei privilegi importante | Esecuzione di codice remoto critico | Elevazione dei privilegi importante | Elevazione dei privilegi importante | 3139852 in MS16-034 |
| Windows Server 2008 per sistemi basati su x64 Service Pack 2 (3145739) | Elevazione dei privilegi importante | Esecuzione di codice remoto critico | Elevazione dei privilegi importante | Elevazione dei privilegi importante | 3139852 in MS16-034 |
| Windows Server 2008 per sistemi basati su Itanium Service Pack 2 (3145739) | Elevazione dei privilegi importante | Esecuzione di codice remoto critico | Elevazione dei privilegi importante | Elevazione dei privilegi importante | 3139852 in MS16-034 |
| Windows 7 | |||||
| Windows 7 per sistemi a 32 bit Service Pack 1 (3145739) | Elevazione dei privilegi importante | Esecuzione di codice remoto critico | Elevazione dei privilegi importante | Elevazione dei privilegi importante | 3139852 in MS16-034 |
| Windows 7 per sistemi basati su x64 Service Pack 1 (3145739) | Elevazione dei privilegi importante | Esecuzione di codice remoto critico | Elevazione dei privilegi importante | Elevazione dei privilegi importante | 3139852 in MS16-034 |
| Windows Server 2008 R2 | |||||
| Windows Server 2008 R2 per sistemi basati su x64 Service Pack 1 (3145739) | Elevazione dei privilegi importante | Esecuzione di codice remoto critico | Elevazione dei privilegi importante | Elevazione dei privilegi importante | 3139852 in MS16-034 |
| Windows Server 2008 R2 per sistemi basati su Itanium Service Pack 1 (3145739) | Elevazione dei privilegi importante | Esecuzione di codice remoto critico | Elevazione dei privilegi importante | Elevazione dei privilegi importante | 3139852 in MS16-034 |
| Windows 8.1 | |||||
| Windows 8.1 per sistemi a 32 bit (3145739) | Elevazione dei privilegi importante | Esecuzione di codice remoto critico | Elevazione dei privilegi importante | Elevazione dei privilegi importante | 3139852 in MS16-034 |
| Windows 8.1 per sistemi basati su x64 (3145739) | Elevazione dei privilegi importante | Esecuzione di codice remoto critico | Elevazione dei privilegi importante | Elevazione dei privilegi importante | 3139852 in MS16-034 |
| Windows Server 2012 e Windows Server 2012 R2 | |||||
| Windows Server 2012 (3145739) | Elevazione dei privilegi importante | Esecuzione di codice remoto critico | Elevazione dei privilegi importante | Elevazione dei privilegi importante | 3139852 in MS16-034 |
| Windows Server 2012 R2 (3145739) | Elevazione dei privilegi importante | Esecuzione di codice remoto critico | Elevazione dei privilegi importante | Elevazione dei privilegi importante | 3139852 in MS16-034 |
| Windows RT 8.1 | |||||
| Windows RT 8.1[1](3145739) | Elevazione dei privilegi importante | Esecuzione di codice remoto critico | Elevazione dei privilegi importante | Elevazione dei privilegi importante | 3139852 in MS16-034 |
| Windows 10 | |||||
| Windows 10 per sistemi a 32 bit[2](3147461) | Elevazione dei privilegi importante | Esecuzione di codice remoto critico | Elevazione dei privilegi importante | Elevazione dei privilegi importante | 3140745 |
| Windows 10 per sistemi basati su x64[2](3147461) | Elevazione dei privilegi importante | Esecuzione di codice remoto critico | Elevazione dei privilegi importante | Elevazione dei privilegi importante | 3140745 |
| Windows 10 versione 1511 per sistemi a 32 bit[2](3147458) | Elevazione dei privilegi importante | Esecuzione di codice remoto critico | Elevazione dei privilegi importante | Elevazione dei privilegi importante | 3140768 |
| Windows 10 versione 1511 per sistemi basati su x64[2](3147458) | Elevazione dei privilegi importante | Esecuzione di codice remoto critico | Elevazione dei privilegi importante | Elevazione dei privilegi importante | 3140768 |
| Windows 10 versione 1703 per sistemi a 32 bit[2](4038788) | Non applicabile | Non applicabile | Elevazione dei privilegi importante | Non applicabile | 4034674 |
| Windows 10 versione 1703 per sistemi basati su x64[2](4038788) | Non applicabile | Non applicabile | Elevazione dei privilegi importante | Non applicabile | 4034674 |
| Windows 10 versione 1709 per sistemi a 32 bit[2](4093112) | Elevazione dei privilegi importante | Non applicabile | Non applicabile | Non applicabile | 4088776 |
| Windows 10 versione 1709 per sistemi basati su x64[2](4093112) | Elevazione dei privilegi importante | Non applicabile | Non applicabile | Non applicabile | 4088776 |
| Opzione di installazione dei componenti di base del server | |||||
| Windows Server 2008 per sistemi a 32 bit Service Pack 2 (installazione server core) (3145739) | Elevazione dei privilegi importante | Esecuzione di codice remoto critico | Elevazione dei privilegi importante | Elevazione dei privilegi importante | 3139852 in MS16-034 |
| Windows Server 2008 per sistemi basati su x64 Service Pack 2 (installazione Server Core) (3145739) | Elevazione dei privilegi importante | Esecuzione di codice remoto critico | Elevazione dei privilegi importante | Elevazione dei privilegi importante | 3139852 in MS16-034 |
| Windows Server 2008 R2 per sistemi basati su x64 Service Pack 1 (installazione server Core) (3145739) | Elevazione dei privilegi importante | Esecuzione di codice remoto critico | Elevazione dei privilegi importante | Elevazione dei privilegi importante | 3139852 in MS16-034 |
| Windows Server 2012 (installazione server Core) (3145739) | Elevazione dei privilegi importante | Esecuzione di codice remoto critico | Elevazione dei privilegi importante | Elevazione dei privilegi importante | 3139852 in MS16-034 |
| Windows Server 2012 R2 (installazione server Core) (3145739) | Elevazione dei privilegi importante | Esecuzione di codice remoto critico | Elevazione dei privilegi importante | Elevazione dei privilegi importante | 3139852 in MS16-034 |
[1]Questo aggiornamento è disponibile solo tramite Windows Update.
[2]Gli aggiornamenti di Windows 10 sono cumulativi. La versione della sicurezza mensile include tutte le correzioni di sicurezza per le vulnerabilità che interessano Windows 10, oltre agli aggiornamenti non della sicurezza. Gli aggiornamenti sono disponibili tramite il Catalogo di Microsoft Update.
Nota: Windows Server 2016 Technical Preview 4 e Windows Server 2016 Technical Preview 5 sono interessati. I clienti che eseguono questi sistemi operativi sono invitati a applicare l'aggiornamento, disponibile tramite Windows Update.
*La colonna Aggiornamenti Sostituito mostra solo l'aggiornamento più recente in qualsiasi catena di aggiornamenti sostituiti. Per un elenco completo degli aggiornamenti sostituiti, passare a Microsoft Update Catalog, cercare il numero kb di aggiornamento e quindi visualizzare i dettagli degli aggiornamenti (le informazioni sostituite vengono fornite nella scheda Dettagli pacchetto).
Microsoft Office
| Sistema operativo | Vulnerabilità di danneggiamento della memoria grafica - CVE-2016-0145 | Aggiornamenti sostituito* |
|---|---|---|
| Microsoft Office 2007 | ||
| Microsoft Office 2007 Service Pack 3 (3114542) | Importante esecuzione di codice remoto | 3085616 in MS15-128 |
| Microsoft Office 2010 | ||
| Microsoft Office 2010 Service Pack 2 (edizioni a 32 bit) (3114566) | Importante esecuzione di codice remoto | 3085612 in MS15-128 |
| Microsoft Office 2010 Service Pack 2 (edizioni a 64 bit) (3114566) | Importante esecuzione di codice remoto | 3085612 in MS15-128 |
| Altro software di Office | ||
| Visualizzatore Microsoft Word (3114985) | Importante esecuzione di codice remoto | 3114478 in MS15-128 |
*La colonna Aggiornamenti Sostituito mostra solo l'aggiornamento più recente in qualsiasi catena di aggiornamenti sostituiti. Per un elenco completo degli aggiornamenti sostituiti, passare a Microsoft Update Catalog, cercare il numero kb di aggiornamento e quindi visualizzare i dettagli degli aggiornamenti (le informazioni sostituite vengono fornite nella scheda Dettagli pacchetto).
Errore di formattazione non specificato.
Microsoft .NET Framework
| Sistema operativo | Componente | Vulnerabilità di danneggiamento della memoria grafica - CVE-2016-0145 | Aggiornamenti sostituito |
|---|---|---|---|
| Windows Vista | |||
| Windows Vista Service Pack 2 | Microsoft .NET Framework 3.0 Service Pack 2 (3142041) | Esecuzione di codice remoto critico | 3135987 in MS16-035 |
| Windows Vista x64 Edition Service Pack 2 | Microsoft .NET Framework 3.0 Service Pack 2 (3142041) | Esecuzione di codice remoto critico | 3135987 in MS16-035 |
| Windows Server 2008 | |||
| Windows Server 2008 per sistemi a 32 bit Service Pack 2 | Microsoft .NET Framework 3.0 Service Pack 2 (3142041) | Esecuzione di codice remoto critico | 3135987 in MS16-035 |
| Windows Server 2008 per sistemi basati su x64 Service Pack 2 | Microsoft .NET Framework 3.0 Service Pack 2 (3142041) | Esecuzione di codice remoto critico | 3135987 in MS16-035 |
| Windows 7 | |||
| Windows 7 per sistemi a 32 bit Service Pack 1 | Microsoft .NET Framework 3.5.1 (3142042) | Esecuzione di codice remoto critico | 3135988 in MS16-035 |
| Windows 7 per sistemi basati su x64 Service Pack 1 | Microsoft .NET Framework 3.5.1 (3142042) | Esecuzione di codice remoto critico | 3135988 in MS16-035 |
| Windows Server 2008 R2 | |||
| Windows Server 2008 R2 per sistemi basati su x64 Service Pack 1 | Microsoft .NET Framework 3.5.1 (3142042) | Esecuzione di codice remoto critico | 3135988 in MS16-035 |
| Windows 8.1 | |||
| Windows 8.1 per sistemi a 32 bit | Microsoft .NET Framework 3.5 (3142045) | Esecuzione di codice remoto critico | 3135991 in MS16-035 |
| Windows 8.1 per sistemi basati su x64 | Microsoft .NET Framework 3.5 (3142045) | Esecuzione di codice remoto critico | 3135991 in MS16-035 |
| Windows Server 2012 e Windows Server 2012 R2 | |||
| Windows Server 2012 | Microsoft .NET Framework 3.5 (3142043) | Esecuzione di codice remoto critico | 3135989 in MS16-035 |
| Windows Server 2012 R2 | Microsoft .NET Framework 3.5 (3142045) | Esecuzione di codice remoto critico | 3135991 in MS16-035 |
| Windows 10 | |||
| Windows 10 per sistemi a 32 bit[1](3147461) | Microsoft .NET Framework 3.5 | Esecuzione di codice remoto critico | 3140745 |
| Windows 10 per sistemi a 64 bit[1](3147461) | Microsoft .NET Framework 3.5 | Esecuzione di codice remoto critico | 3140745 |
| Windows 10 versione 1511 per sistemi a 32 bit[1](3147458) | Microsoft .NET Framework 3.5 | Esecuzione di codice remoto critico | 3140768 |
| Windows 10 versione 1511 per sistemi basati su x64[2](3147458) | Microsoft .NET Framework 3.5 | Esecuzione di codice remoto critico | 3140768 |
| Opzione di installazione dei componenti di base del server | |||
| Windows Server 2008 R2 per sistemi basati su x64 Service Pack 1 (installazione server core) | Microsoft .NET Framework 3.5.1 (3142042) | Esecuzione di codice remoto critico | 3135988 in MS16-035 |
| Windows Server 2012 (installazione server core) | Microsoft .NET Framework 3.5 (3142043) | Esecuzione di codice remoto critico | 3135989 in MS16-035 |
| Windows Server 2012 R2 (installazione di Server Core) | Microsoft .NET Framework 3.5 (3142045) | Esecuzione di codice remoto critico | 3135991 in MS16-035 |
[1]Gli aggiornamenti di Windows 10 sono cumulativi. La versione della sicurezza mensile include tutte le correzioni di sicurezza per le vulnerabilità che interessano Windows 10, oltre agli aggiornamenti non della sicurezza. Gli aggiornamenti sono disponibili tramite il Catalogo di Microsoft Update.
Nota: Windows Server 2016 Technical Preview 4 e Windows Server 2016 Technical Preview 5 sono interessati. I clienti che eseguono questi sistemi operativi sono invitati a applicare l'aggiornamento, disponibile tramite Windows Update.
Piattaforme di comunicazione Microsoft e software
| Sistema operativo | Vulnerabilità di danneggiamento della memoria grafica - CVE-2016-0145 | Aggiornamenti sostituito* |
|---|---|---|
| Skype for Business 2016 | ||
| Skype for Business 2016 (edizioni a 32 bit) (3114960) | Esecuzione di codice remoto critico | 3114372 in MS15-128 |
| Skype for Business Basic 2016 (edizioni a 32 bit) (3114960) | Esecuzione di codice remoto critico | 3114372 in MS15-128 |
| Skype for Business 2016 (edizioni a 64 bit) (3114960) | Esecuzione di codice remoto critico | 3114372 in MS15-128 |
| Skype for Business Basic 2016 (edizioni a 64 bit) (3114960) | Esecuzione di codice remoto critico | 3114372 in MS15-128 |
| Microsoft Lync 2013 | ||
| Microsoft Lync 2013 Service Pack 1 (32 bit)[1](Skype for Business) (3114944) | Esecuzione di codice remoto critico | 3114351 in MS15-128 |
| Microsoft Lync Basic 2013 Service Pack 1 (32 bit)[1](Skype for Business Basic) (3114944) | Esecuzione di codice remoto critico | 3114351 in MS15-128 |
| Microsoft Lync 2013 Service Pack 1 (64 bit)[1](Skype for Business) (3114944) | Esecuzione di codice remoto critico | 3114351 in MS15-128 |
| Microsoft Lync Basic 2013 Service Pack 1 (64 bit)[1](Skype for Business Basic) (3114944) | Esecuzione di codice remoto critico | 3114351 in MS15-128 |
| Microsoft Lync 2010 | ||
| Microsoft Lync 2010 (32 bit) (3144427) | Esecuzione di codice remoto critico | 3115871 in MS15-128 |
| Microsoft Lync 2010 (64 bit) (3144427) | Esecuzione di codice remoto critico | 3115871 in MS15-128 |
| Microsoft Lync 2010 Partecipante[2](installazione a livello di utente) (3144428) | Esecuzione di codice remoto critico | 3115872 in MS15-128 |
| Microsoft Lync 2010 Partecipante (installazione a livello di amministratore) (3144429) | Esecuzione di codice remoto critico | 3115873 in MS15-128 |
| Microsoft Live Meeting 2007 Console | ||
| Console di Microsoft Live Meeting 2007[3](3144432) | Esecuzione di codice remoto critico | 3115875 in MS15-128 |
[1]Prima di installare questo aggiornamento, è necessario che sia installato 2965218 aggiornamento e 3039779 aggiornamento della sicurezza. Per altre informazioni, vedere Le domande frequenti sull'aggiornamento.
[2]Questo aggiornamento è disponibile solo nell'Area download Microsoft.
[3]È disponibile anche un aggiornamento per il componente aggiuntivo Conferenza per Microsoft Office Outlook. Per altre informazioni e collegamenti per il download, vedere Scaricare il componente aggiuntivo Conferenza per Microsoft Office Outlook.
*La colonna Aggiornamenti Sostituito mostra solo l'aggiornamento più recente in una catena di aggiornamenti sostituiti. Per un elenco completo degli aggiornamenti sostituiti, passare a Microsoft Update Catalog, cercare il numero kb di aggiornamento e quindi visualizzare i dettagli degli aggiornamenti (gli aggiornamenti sostituiti sono disponibili nella scheda Dettagli pacchetto).
Domande frequenti su Aggiornamento
Questo aggiornamento contiene eventuali modifiche aggiuntive relative alla sicurezza alle funzionalità? Oltre alle modifiche elencate per le vulnerabilità descritte in questo bollettino, questo aggiornamento include aggiornamenti approfonditi della difesa per migliorare le funzionalità correlate alla sicurezza.
Sono in esecuzione Office 2010, che è elencato come software interessato. Perché non viene offerto l'aggiornamento?
L'aggiornamento non è applicabile a Office 2010 in Windows Vista e versioni successive di Windows perché il codice vulnerabile non è presente.
Viene offerto questo aggiornamento per il software che non è indicato specificamente come interessato nella tabella Valutazioni di gravità del software e della vulnerabilità interessate. Perché viene offerto questo aggiornamento?
Quando gli aggiornamenti rispondono a codice vulnerabile presente in un componente condiviso tra più prodotti Microsoft Office o condivisi tra più versioni dello stesso prodotto Microsoft Office, l'aggiornamento viene considerato applicabile a tutti i prodotti e le versioni supportati che contengono il componente vulnerabile.
Ad esempio, quando un aggiornamento si applica ai prodotti Microsoft Office 2007, solo Microsoft Office 2007 può essere elencato specificamente nella tabella Software interessato. Tuttavia, l'aggiornamento potrebbe essere applicato a Microsoft Word 2007, Microsoft Excel 2007, Microsoft Visio 2007, Microsoft Compatibility Pack, Microsoft Excel Viewer o qualsiasi altro prodotto di Microsoft Office 2007 non specificato nella tabella Software interessato. Inoltre, quando un aggiornamento si applica ai prodotti Microsoft Office 2010, solo Microsoft Office 2010 può essere elencato specificamente nella tabella Software interessato. Tuttavia, l'aggiornamento potrebbe essere applicato a Microsoft Word 2010, Microsoft Excel 2010, Microsoft Visio 2010, Visualizzatore di Microsoft Visio o qualsiasi altro prodotto di Microsoft Office 2010 non elencato in modo specifico nella tabella Software interessato.
Per altre informazioni su questo comportamento e sulle azioni consigliate, vedere l'articolo della Microsoft Knowledge Base 830335. Per un elenco dei prodotti Microsoft Office a cui può essere applicato un aggiornamento, vedere l'articolo della Microsoft Knowledge Base associato all'aggiornamento specifico.
Esistono prerequisiti per uno degli aggiornamenti offerti in questo bollettino per le edizioni interessate di Microsoft Lync 2013 (Skype for Business)?
Sì. I clienti che eseguono edizioni interessate di Microsoft Lync 2013 (Skype for Business) devono prima installare l'aggiornamento 2965218 per Office 2013 rilasciato ad aprile 2015 e quindi l'aggiornamento della sicurezza 3039779 rilasciato a maggio 2015. Per altre informazioni su questi due aggiornamenti dei prerequisiti, vedere:
Sono presenti aggiornamenti non relativi alla sicurezza che i clienti devono installare insieme all'aggiornamento della sicurezza di Microsoft Live Meeting Console?
Sì, oltre a rilasciare un aggiornamento della sicurezza per Microsoft Live Meeting Console, Microsoft ha rilasciato i seguenti aggiornamenti non relativi alla sicurezza per il componente aggiuntivo per servizi di conferenza OCS per Outlook. Se applicabile, Microsoft consiglia ai clienti di installare questi aggiornamenti per mantenere aggiornati i sistemi:
- Componente aggiuntivo per le conferenze OCS per Outlook (32 bit) (3144431)
- Componente aggiuntivo per le conferenze OCS per Outlook (64 bit) (3144431)
Per altre informazioni, vedere l'articolo della Microsoft Knowledge Base 3144431 .
Perché l'aggiornamento di Lync 2010 Partecipante (installazione a livello di utente) è disponibile solo dall'Area download Microsoft?
Microsoft rilascia l'aggiornamento per Lync 2010 Attendee (installazione a livello di utente) solo nell'Area download Microsoft. Poiché l'installazione a livello utente di Lync 2010 Attendee viene gestita tramite una sessione lync, i metodi di distribuzione come l'aggiornamento automatico non sono appropriati per questo tipo di scenario di installazione.
Informazioni sulla vulnerabilità
Vulnerabilità multiple di elevazione dei privilegi Win32k
Esistono vulnerabilità di elevazione dei privilegi quando il driver in modalità kernel di Windows non riesce a gestire correttamente gli oggetti in memoria. Un utente malintenzionato che ha sfruttato correttamente le vulnerabilità potrebbe eseguire codice arbitrario in modalità kernel. L'utente malintenzionato potrebbe quindi installare programmi e visualizzare, modificare o eliminare dati, oppure creare nuovi account con diritti utente completi.
Per sfruttare le vulnerabilità, un utente malintenzionato dovrà prima accedere al sistema. Un utente malintenzionato potrebbe quindi eseguire un'applicazione appositamente creata che potrebbe sfruttare le vulnerabilità e assumere il controllo di un sistema interessato. L'aggiornamento risolve le vulnerabilità correggendo il modo in cui il driver in modalità kernel di Windows gestisce gli oggetti in memoria.
Le tabelle seguenti contengono collegamenti alla voce standard per ogni vulnerabilità nell'elenco Vulnerabilità ed esposizioni comuni:
| Titolo della vulnerabilità | Numero CVE | Divulgato pubblicamente | Sfruttato |
|---|---|---|---|
| Vulnerabilità di elevazione dei privilegi Win32k | CVE-2016-0143 | No | No |
| Vulnerabilità di elevazione dei privilegi Win32k | CVE-2016-0165 | No | Sì |
| Vulnerabilità di elevazione dei privilegi Win32k | CVE-2016-0167 | No | Sì |
Fattori di mitigazione
Microsoft non ha identificato alcun fattore di mitigazione per queste vulnerabilità.
Soluzioni alternative
Microsoft non ha identificato soluzioni alternative per queste vulnerabilità.
Vulnerabilità di danneggiamento della memoria grafica - CVE-2016-0145
Esiste una vulnerabilità di esecuzione remota del codice quando la libreria dei tipi di carattere di Windows gestisce in modo non corretto i tipi di carattere incorporati appositamente creati. Un utente malintenzionato che ha sfruttato correttamente la vulnerabilità potrebbe installare programmi; visualizzare, modificare o eliminare i dati; o creare nuovi account con diritti utente completi.
Esistono diversi modi in cui un utente malintenzionato potrebbe sfruttare la vulnerabilità, ad esempio convincendo un utente ad aprire un documento appositamente creato o convincendo un utente a visitare una pagina Web non attendibile che contiene tipi di carattere incorporati. L'aggiornamento della sicurezza risolve la vulnerabilità correggendo il modo in cui la libreria dei tipi di carattere di Windows gestisce i tipi di carattere incorporati.
Le tabelle seguenti contengono collegamenti alla voce standard per ogni vulnerabilità nell'elenco Vulnerabilità ed esposizioni comuni:
| Titolo della vulnerabilità | Numero CVE | Divulgato pubblicamente | Sfruttato |
|---|---|---|---|
| Vulnerabilità di danneggiamento della memoria grafica | CVE-2016-0145 | No | No |
Fattori di mitigazione
Microsoft non ha identificato alcun fattore di mitigazione per questa vulnerabilità.
Soluzioni alternative
Microsoft non ha identificato soluzioni alternative per questa vulnerabilità.
Distribuzione degli aggiornamenti della sicurezza
Per informazioni sulla distribuzione degli aggiornamenti della sicurezza, vedere l'articolo della Microsoft Knowledge Base a cui si fa riferimento nel riepilogo esecutivo.
Riconoscimenti
Microsoft riconosce gli sforzi di coloro che si trovano nella community di sicurezza che ci aiutano a proteggere i clienti attraverso la divulgazione coordinata delle vulnerabilità. Per altre informazioni, vedere Riconoscimenti .
Dichiarazione di non responsabilità
Le informazioni fornite nella Microsoft Knowledge Base vengono fornite "così com'è" senza garanzia di alcun tipo. Microsoft dichiara tutte le garanzie, espresse o implicite, incluse le garanzie di commerciabilità e idoneità per uno scopo specifico. In nessun caso, Microsoft Corporation o i suoi fornitori saranno responsabili di qualsiasi danno, incluso diretto, indiretto, accidentale, consequenziale, perdita di profitti aziendali o danni speciali, anche se Microsoft Corporation o i suoi fornitori sono stati informati della possibilità di tali danni. Alcuni stati non consentono l'esclusione o la limitazione della responsabilità per danni consequenziali o accidentali, pertanto la limitazione precedente potrebbe non essere applicata.
Revisioni
- V1.0 (12 aprile 2016): Bollettino pubblicato.
- V2.0 (19 aprile 2016): per risolvere in modo completo CVE-2016-0145, Microsoft ha rilasciato nuovamente l'aggiornamento della sicurezza 3144432 per le edizioni interessate di Microsoft Live Meeting 2007 Console. I clienti che eseguono La console di Microsoft Live Meeting 2007 devono installare l'aggiornamento per essere completamente protetti dalla vulnerabilità. Per altre informazioni, vedere l'articolo della Microsoft Knowledge Base 3144432 .
- V3.0 (14 giugno 2016): Microsoft ha rilasciato nuovamente l'aggiornamento della sicurezza 3144427 per le edizioni interessate di Microsoft Lync 2010 e Microsoft Lync 2010 Attendee. La ri-release risolve i problemi che i clienti potrebbero aver riscontrato durante il download degli aggiornamenti della sicurezza 3144427. I clienti che eseguono Microsoft Lync 2010 devono installare l'aggiornamento per essere completamente protetti dalla vulnerabilità. Per altre informazioni, vedere l'articolo della Microsoft Knowledge Base 3144427 .
- V4.0 (12 settembre 2017): revisione della tabella software interessata da Microsoft Windows per includere Windows 10 versione 1703 per sistemi a 32 bit e Windows 10 versione 1703 per sistemi basati su x64 perché sono interessati da CVE-2016-0165. I consumer che eseguono Windows 10 vengono protetti automaticamente. Microsoft consiglia ai clienti aziendali che eseguono Windows 10 versione 1703 di assicurarsi di avere installato l'aggiornamento 4038788 per essere protetti da questa vulnerabilità.
- V5.0 (10 aprile 2018): revisione della tabella software interessata da Microsoft Windows per includere Windows 10 versione 1709 per sistemi a 32 bit e Windows 10 versione 1709 per sistemi basati su x64 perché sono interessati da CVE-2016-0143. Microsoft consiglia vivamente ai clienti di installare gli aggiornamenti per essere completamente protetti dalla vulnerabilità. I clienti i cui sistemi sono configurati per ricevere gli aggiornamenti automatici non devono eseguire ulteriori azioni.
Pagina generata 2016-06-13 16:43-07:00. </https:>