Microsoft Security Bulletin MS17-014 - Importante
Aggiornamento della sicurezza per Microsoft Office (4013241)
Pubblicato: 14 marzo 2017 | Aggiornato: 11 aprile 2017
Versione: 2.0
Schema riepilogativo
Questo aggiornamento della sicurezza risolve le vulnerabilità in Microsoft Office. La più grave delle vulnerabilità potrebbe consentire l'esecuzione remota del codice se un utente apre un file di Microsoft Office appositamente creato. Un utente malintenzionato che ha sfruttato correttamente le vulnerabilità potrebbe eseguire codice arbitrario nel contesto dell'utente corrente. I clienti i cui account sono configurati per avere un minor numero di diritti utente nel sistema potrebbero essere meno interessati rispetto a quelli che operano con diritti utente amministrativi.
Per altre informazioni sulle vulnerabilità, vedere la sezione Valutazioni di gravità del software e della vulnerabilità interessate.
L'aggiornamento della sicurezza risolve le vulnerabilità in base a:
- Correzione del modo in cui Office gestisce gli oggetti in memoria
- Modifica del modo in cui determinate funzioni gestiscono gli oggetti in memoria
- Inizializzazione corretta della variabile interessata
- Contribuire a garantire che SharePoint Server sanifica correttamente le richieste Web
- Correzione del modo in cui il client Lync per Mac 2011 convalida i certificati
Per altre informazioni sulle vulnerabilità, vedere la sezione Informazioni sulla vulnerabilità.
Per altre informazioni su questo aggiornamento, vedere l'articolo della Microsoft Knowledge Base 4013241.
Classificazioni di gravità del software e della vulnerabilità interessate
Sono interessate le versioni o le edizioni software seguenti. Le versioni o le edizioni non elencate superano il ciclo di vita del supporto o non sono interessate. Per determinare il ciclo di vita del supporto per la versione o l'edizione del software, vedere supporto tecnico Microsoft Ciclo di vita.
Le classificazioni di gravità seguenti presuppongono il potenziale impatto massimo della vulnerabilità. Per informazioni sulla probabilità, entro 30 giorni dal rilascio di questo bollettino sulla sicurezza, della sfruttabilità della vulnerabilità in relazione alla classificazione di gravità e all'impatto sulla sicurezza, vedere l'indice di exploit nel riepilogo del bollettino di marzo.
Nota Vedere la Guida all'aggiornamento della sicurezza per un nuovo approccio all'utilizzo delle informazioni sugli aggiornamenti della sicurezza. È possibile personalizzare le visualizzazioni e creare fogli di calcolo software interessati, nonché scaricare i dati tramite un'API restful. Per altre informazioni, vedere le domande frequenti sulla guida alla sicurezza Aggiornamenti. Come promemoria, la Guida alla sicurezza Aggiornamenti sostituirà i bollettini sulla sicurezza. Per altri dettagli, vedere il post di blog Ulteriori informazioni sull'impegno per gli aggiornamenti della sicurezza.
Microsoft Office Software (tabella 1 di 2)
| Software interessato | Vulnerabilità di danneggiamento della memoria di Microsoft Office - CVE-2017-0006 | Vulnerabilità di danneggiamento della memoria di Microsoft Office - CVE-2017-0019 | Vulnerabilità di danneggiamento della memoria di Microsoft Office - CVE-2017-0020 | Vulnerabilità di divulgazione delle informazioni di Microsoft Office - CVE-2017-0027 | Vulnerabilità Denial of Service di Microsoft Office - CVE-2017-0029 | Aggiornamenti sostituito* |
|---|---|---|---|---|---|---|
| Microsoft Office 2007 | ||||||
| Microsoft Excel 2007 Service Pack 3 (3178676) | Importante esecuzione di codice remoto | Non applicabile | Non applicabile | Divulgazione di informazioni importanti | Non applicabile | 3128019 in MS16-148 |
| Microsoft Word 2007 Service Pack 3 (3178683) | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Non applicabile | 3128025 in MS16-148 |
| Microsoft Office 2010 | ||||||
| Microsoft Office 2010 Service Pack 2 (edizioni a 32 bit) (3178686) | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Importante Denial of Service | 3128032 in MS16-148 |
| Microsoft Office 2010 Service Pack 2 (edizioni a 64 bit) (3178686) | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Importante Denial of Service | 3128032 in MS16-148 |
| Microsoft Excel 2010 Service Pack 2 (edizioni a 32 bit) (3178690) | Non applicabile | Non applicabile | Importante esecuzione di codice remoto | Divulgazione di informazioni importanti | Non applicabile | 3128037 in MS16-148 |
| Microsoft Excel 2010 Service Pack 2 (edizioni a 64 bit) (3178690) | Non applicabile | Non applicabile | Importante esecuzione di codice remoto | Divulgazione di informazioni importanti | Non applicabile | 3128037 in MS16-148 |
| Microsoft Word 2010 Service Pack 2 (edizioni a 32 bit) (3178687) | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Importante Denial of Service | 3128034 in MS16-148 |
| Microsoft Word 2010 Service Pack 2 (edizioni a 64 bit) (3178687) | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Importante Denial of Service | 3128034 in MS16-148 |
| Microsoft Office 2013 | ||||||
| Microsoft Excel 2013 Service Pack 1 (edizioni a 32 bit) (3172542) | Non applicabile | Non applicabile | Importante esecuzione di codice remoto | Divulgazione di informazioni importanti | Non applicabile | 3128008 in MS16-148 |
| Microsoft Excel 2013 Service Pack 1 (edizioni a 64 bit) (3172542) | Non applicabile | Non applicabile | Importante esecuzione di codice remoto | Divulgazione di informazioni importanti | Non applicabile | 3128008 in MS16-148 |
| Microsoft Word 2013 Service Pack 1 (edizioni a 32 bit) (3172464) | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Importante Denial of Service | 3127932 in MS16-133 |
| Microsoft Word 2013 Service Pack 1 (edizioni a 64 bit) (3172464) | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Importante Denial of Service | 3127932 in MS16-133 |
| Microsoft Office 2013 RT | ||||||
| Microsoft Excel 2013 RT Service Pack 1[1](3172542) | Non applicabile | Non applicabile | Importante esecuzione di codice remoto | Divulgazione di informazioni importanti | Non applicabile | 3128008 in MS16-148 |
| Microsoft Word 2013 RT Service Pack 1[1](3172464) | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Importante Denial of Service | 3127932 in MS16-133 |
| Microsoft Office 2016 | ||||||
| Microsoft Excel 2016 (edizione a 32 bit) (3178673) | Non applicabile | Non applicabile | Importante esecuzione di codice remoto | Divulgazione di informazioni importanti | Non applicabile | 3128016 in MS16-148 |
| Microsoft Excel 2016 (edizione a 64 bit) (3178673) | Non applicabile | Non applicabile | Importante esecuzione di codice remoto | Divulgazione di informazioni importanti | Non applicabile | 3128016 in MS16-148 |
| Microsoft Word 2016 (edizione a 32 bit) (3178674) | Non applicabile | Importante esecuzione di codice remoto | Non applicabile | Non applicabile | Importante Denial of Service | 3128057 in MS17-002 |
| Microsoft Word 2016 (edizione a 64 bit) (3178674) | Non applicabile | Importante esecuzione di codice remoto | Non applicabile | Non applicabile | Importante Denial of Service | 3128057 in MS17-002 |
| Microsoft Office per Mac 2011 | ||||||
| Microsoft Excel per Mac 2011 | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Non applicabile | 3198808 in MS16-015 |
| Microsoft Excel per Mac 2011 | Non applicabile | Non applicabile | Non applicabile | Divulgazione di informazioni importanti | Non applicabile | 3198809 in MS17-014 |
| Microsoft Word per Mac 2011 | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Non applicabile | 3198808 in MS16-015 |
| Microsoft Word per Mac 2011 | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Non applicabile | 3198808 in MS16-015 |
| Microsoft Office 2016 per Mac | ||||||
| Microsoft Office 2016 per Mac | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Importante Denial of Service | None |
| Microsoft Excel 2016 per Mac | Non applicabile | Non applicabile | Importante esecuzione di codice remoto | Divulgazione di informazioni importanti | Non applicabile | None |
| Altro software di Office | ||||||
| Microsoft Office Compatibility Pack Service Pack 3 (3178677) | Importante esecuzione di codice remoto | Non applicabile | Non applicabile | Divulgazione di informazioni importanti | Non applicabile | 3128022 in MS16-148 |
| Microsoft Office Compatibility Pack Service Pack 3 (3178682) | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Non applicabile | 3128024 in MS16-148 |
| Visualizzatore Microsoft Excel (3178680) | Importante esecuzione di codice remoto | Non applicabile | Non applicabile | Non applicabile | Non applicabile | 3128023 in MS16-148 |
| Visualizzatore Microsoft Word (3178694) | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Non applicabile | 3128044 in MS16-148 |
[1]Questo aggiornamento è disponibile tramite Windows Update.
*La colonna Aggiornamenti Sostituito mostra solo l'aggiornamento più recente in una catena di aggiornamenti sostituiti. Per un elenco completo degli aggiornamenti sostituiti, passare a Microsoft Update Catalog, cercare il numero kb di aggiornamento e quindi visualizzare i dettagli degli aggiornamenti (gli aggiornamenti sostituiti sono disponibili nella scheda Dettagli pacchetto).
Microsoft Office Software (tabella 2 di 2)
| Software interessato | Vulnerabilità di danneggiamento della memoria di Microsoft Office - CVE-2017-0030 | Vulnerabilità di danneggiamento della memoria di Microsoft Office - CVE-2017-0031 | Vulnerabilità di danneggiamento della memoria di Microsoft Office - CVE-2017-0052 | Vulnerabilità di danneggiamento della memoria di Microsoft Office - CVE-2017-0053 | Vulnerabilità di divulgazione delle informazioni di Microsoft Office - CVE-2017-0105 | Aggiornamenti sostituito* |
|---|---|---|---|---|---|---|
| Microsoft Office 2007 | ||||||
| Microsoft Excel 2007 Service Pack 3 (3178676) | Non applicabile | Non applicabile | Importante esecuzione di codice remoto | Non applicabile | Non applicabile | 3128019 in MS16-148 |
| Microsoft Word 2007 Service Pack 3 (3178683) | Importante esecuzione di codice remoto | Importante esecuzione di codice remoto | Non applicabile | Importante esecuzione di codice remoto | Divulgazione di informazioni importanti | 3128025 in MS16-148 |
| Microsoft Office 2010 | ||||||
| Microsoft Office 2010 Service Pack 2 (edizioni a 32 bit) (3178686) | Importante esecuzione di codice remoto | Importante esecuzione di codice remoto | Non applicabile | Importante esecuzione di codice remoto | Divulgazione di informazioni importanti | 3128032 in MS16-148 |
| Microsoft Office 2010 Service Pack 2 (edizioni a 64 bit) (3178686) | Importante esecuzione di codice remoto | Importante esecuzione di codice remoto | Non applicabile | Importante esecuzione di codice remoto | Divulgazione di informazioni importanti | 3128032 in MS16-148 |
| Microsoft Excel 2010 Service Pack 2 (edizioni a 32 bit) (3178690) | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Non applicabile | 3128037 in MS16-148 |
| Microsoft Excel 2010 Service Pack 2 (edizioni a 64 bit) (3178690) | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Non applicabile | 3128037 in MS16-148 |
| Microsoft Word 2010 Service Pack 2 (edizioni a 32 bit) (3178687) | Importante esecuzione di codice remoto | Importante esecuzione di codice remoto | Non applicabile | Importante esecuzione di codice remoto | Divulgazione di informazioni importanti | 3141542 in MS16-148 |
| Microsoft Word 2010 Service Pack 2 (edizioni a 64 bit) (3178687) | Importante esecuzione di codice remoto | Importante esecuzione di codice remoto | Non applicabile | Importante esecuzione di codice remoto | Divulgazione di informazioni importanti | 3141542 in MS16-148 |
| Microsoft Office 2013 | ||||||
| Microsoft Excel 2013 Service Pack 1 (edizioni a 32 bit) (3172542) | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Non applicabile | 3128008 in MS16-148 |
| Microsoft Excel 2013 Service Pack 1 (edizioni a 64 bit) (3172542) | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Non applicabile | 3128008 in MS16-148 |
| Microsoft Word 2013 Service Pack 1 (edizioni a 32 bit) (3172464) | Non applicabile | Non applicabile | Non applicabile | Importante esecuzione di codice remoto | Non applicabile | 3127932 in MS16-133 |
| Microsoft Word 2013 Service Pack 1 (edizioni a 64 bit) (3172464) | Non applicabile | Non applicabile | Non applicabile | Importante esecuzione di codice remoto | Non applicabile | 3127932 in MS16-133 |
| Microsoft Office 2013 RT | ||||||
| Microsoft Excel 2013 RT Service Pack 1[1](3172542) | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Non applicabile | 3128008 in MS16-148 |
| Microsoft Word 2013 RT Service Pack 1[1](3172464) | Non applicabile | Non applicabile | Non applicabile | Importante esecuzione di codice remoto | Non applicabile | 3127932 in MS16-133 |
| Microsoft Office 2016 | ||||||
| Microsoft Excel 2016 (edizione a 32 bit) (3178673) | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Non applicabile | 3128016 in MS16-148 |
| Microsoft Excel 2016 (edizione a 64 bit) (3178673) | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Non applicabile | 3128016 in MS16-148 |
| Microsoft Word 2016 (edizione a 32 bit) (3178674) | Non applicabile | Non applicabile | Non applicabile | Importante esecuzione di codice remoto | Non applicabile | 3128057 in MS17-002 |
| Microsoft Word 2016 (edizione a 64 bit) (3178674) | Non applicabile | Non applicabile | Non applicabile | Importante esecuzione di codice remoto | Non applicabile | 3128057 in MS17-002 |
| Microsoft Office per Mac 2011 | ||||||
| Microsoft Excel per Mac 2011 | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Non applicabile | 3198808 in MS16-015 |
| Microsoft Excel per Mac 2011 | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Non applicabile | 3198809 in MS17-014 |
| Microsoft Word per Mac 2011 | Importante esecuzione di codice remoto | Importante esecuzione di codice remoto | Non applicabile | Non applicabile | Divulgazione di informazioni importanti | 3198808 in MS16-015 |
| Microsoft Word per Mac 2011 | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Non applicabile | 3198809 in MS17-014 |
| Microsoft Office 2016 per Mac | ||||||
| Microsoft Office 2016 per Mac | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Non applicabile | None |
| Microsoft Excel 2016 per Mac | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Non applicabile | None |
| Altro software di Office | ||||||
| Microsoft Office Compatibility Pack Service Pack 3 (3178677) | Non applicabile | Non applicabile | Importante esecuzione di codice remoto | Non applicabile | Non applicabile | 3128022 in MS16-148 |
| Microsoft Office Compatibility Pack Service Pack 3 (3178682) | Importante esecuzione di codice remoto | Importante esecuzione di codice remoto | Non applicabile | Importante esecuzione di codice remoto | Divulgazione di informazioni importanti | 3128024 in MS16-148 |
| Visualizzatore Microsoft Excel (3178680) | Non applicabile | Non applicabile | Importante esecuzione di codice remoto | Non applicabile | Non applicabile | 3128023 in MS16-148 |
| Visualizzatore Microsoft Word (3178694) | Non applicabile | Non applicabile | Non applicabile | Importante esecuzione di codice remoto | Non applicabile | 3128044 in MS16-148 |
[1]Questo aggiornamento è disponibile tramite Windows Update.
*La colonna Aggiornamenti Sostituito mostra solo l'aggiornamento più recente in una catena di aggiornamenti sostituiti. Per un elenco completo degli aggiornamenti sostituiti, passare a Microsoft Update Catalog, cercare il numero kb di aggiornamento e quindi visualizzare i dettagli degli aggiornamenti (gli aggiornamenti sostituiti sono disponibili nella scheda Dettagli pacchetto).
Microsoft Office Services e App Web
| Software interessato | Vulnerabilità di danneggiamento della memoria di Microsoft Office - CVE-2017-0006 | Vulnerabilità di danneggiamento della memoria di Microsoft Office - CVE-2017-0020 | Vulnerabilità di divulgazione delle informazioni di Microsoft Office - CVE-2017-0027 | Vulnerabilità di danneggiamento della memoria di Microsoft Office - CVE-2017-0030 | Vulnerabilità di danneggiamento della memoria di Microsoft Office - CVE-2017-0052 | Vulnerabilità di divulgazione delle informazioni di Microsoft Office - CVE-2017-0105 | Aggiornamenti sostituito* |
|---|---|---|---|---|---|---|---|
| Microsoft SharePoint Server 2007 | |||||||
| Excel Services in Microsoft SharePoint Server 2007 Service Pack 3 (edizione a 32 bit) (3178678) | Importante esecuzione di codice remoto | Non applicabile | Non applicabile | Non applicabile | Importante esecuzione di codice remoto | Non applicabile | 3127892 in MS16-148 |
| Excel Services in Microsoft SharePoint Server 2007 Service Pack 3 (edizione a 64 bit) (3178678) | Importante esecuzione di codice remoto | Non applicabile | Non applicabile | Non applicabile | Importante esecuzione di codice remoto | Non applicabile | 3127892 in MS16-148 |
| Microsoft SharePoint Server 2010 | |||||||
| Excel Services in Microsoft SharePoint Server 2010 Service Pack 2 (3178685) | Non applicabile | Non applicabile | Divulgazione di informazioni importanti | Non applicabile | Non applicabile | Non applicabile | 3128029 in MS16-148 |
| Word Automation Services in Microsoft SharePoint Server 2010 Service Pack 2 (3178684) | Non applicabile | Non applicabile | Non applicabile | Importante esecuzione di codice remoto | Non applicabile | Divulgazione di informazioni importanti | 3128026 in MS16-070 |
| Microsoft SharePoint Server 2013 | |||||||
| Excel Services in Microsoft SharePoint Server 2013 Service Pack 1 (3172431) | Non applicabile | Non applicabile | Divulgazione di informazioni importanti | Non applicabile | Non applicabile | Non applicabile | 3115169 in MS16-107 |
| Microsoft Office App Web 2010 | |||||||
| Microsoft Office App Web 2010 Service Pack 2 (3178689) | Non applicabile | Non applicabile | Non applicabile | Divulgazione di informazioni importanti | Non applicabile | Divulgazione di informazioni importanti | 3128035 in MS16-148 |
| Microsoft Office App Web 2013 | |||||||
| Microsoft Office App Web Server 2013 Service Pack 1 (3172457) | Non applicabile | Importante esecuzione di codice remoto | Non applicabile | Non applicabile | Non applicabile | Non applicabile | 3127929 in MS16-133 |
*La colonna Aggiornamenti Sostituito mostra solo l'aggiornamento più recente in una catena di aggiornamenti sostituiti. Per un elenco completo degli aggiornamenti sostituiti, passare a Microsoft Update Catalog, cercare il numero kb di aggiornamento e quindi visualizzare i dettagli degli aggiornamenti (gli aggiornamenti sostituiti sono disponibili nella scheda Dettagli pacchetto).
Microsoft Server Software
| Software interessato | Vulnerabilità XSS di Microsoft SharePoint - CVE-2017-0107 | Aggiornamenti sostituito* |
|---|---|---|
| Microsoft SharePoint Server 2013 | ||
| Microsoft SharePoint Foundation 2013 Service Pack 1 (3172540) | Elevazione dei privilegi importante | 3115294 in MS16-088 |
*La colonna Aggiornamenti Sostituito mostra solo l'aggiornamento più recente in una catena di aggiornamenti sostituiti. Per un elenco completo degli aggiornamenti sostituiti, passare a Microsoft Update Catalog, cercare il numero kb di aggiornamento e quindi visualizzare i dettagli degli aggiornamenti (gli aggiornamenti sostituiti sono disponibili nella scheda Dettagli pacchetto).
Piattaforme di comunicazione Microsoft e software
| Software interessato | Vulnerabilità di convalida del certificato Microsoft Lync per Mac - CVE-2017-0129 | Aggiornamenti sostituito* |
|---|---|---|
| Microsoft Lync per Mac | ||
| Microsoft Lync per Mac 2011 (4012487) | Importante bypass delle funzionalità di sicurezza | None |
*La colonna Aggiornamenti Sostituito mostra solo l'aggiornamento più recente in una catena di aggiornamenti sostituiti. Per un elenco completo degli aggiornamenti sostituiti, passare a Microsoft Update Catalog, cercare il numero kb di aggiornamento e quindi visualizzare i dettagli degli aggiornamenti (gli aggiornamenti sostituiti sono disponibili nella scheda Dettagli pacchetto).
Domande frequenti su Aggiornamento
Questi aggiornamenti contengono modifiche aggiuntive relative alla sicurezza?
Sì. Oltre alle modifiche elencate per le vulnerabilità descritte in questo bollettino, questo aggiornamento include aggiornamenti approfonditi della difesa per migliorare le funzionalità correlate alla sicurezza.
È installato Microsoft Word 2010. Perché non viene offerto l'aggiornamento 3178686?
L'aggiornamento 3178686 si applica solo ai sistemi che eseguono configurazioni specifiche di Microsoft Office 2010. Alcune configurazioni non verranno offerte per l'aggiornamento.
Viene offerto questo aggiornamento per il software che non è indicato specificamente come interessato nella tabella Valutazioni di gravità del software e della vulnerabilità interessate. Perché viene offerto questo aggiornamento?
Quando gli aggiornamenti rispondono a codice vulnerabile presente in un componente condiviso tra più prodotti Microsoft Office o condivisi tra più versioni dello stesso prodotto Microsoft Office, l'aggiornamento viene considerato applicabile a tutti i prodotti e le versioni supportati che contengono il componente vulnerabile.
Ad esempio, quando un aggiornamento si applica ai prodotti Microsoft Office 2007, solo Microsoft Office 2007 può essere elencato specificamente nella tabella Software interessato. Tuttavia, l'aggiornamento potrebbe essere applicato a Microsoft Word 2007, Microsoft Excel 2007, Microsoft Visio 2007, Microsoft Compatibility Pack, Microsoft Excel Viewer o qualsiasi altro prodotto di Microsoft Office 2007 non specificato nella tabella Software interessato. Inoltre, quando un aggiornamento si applica ai prodotti Microsoft Office 2010, solo Microsoft Office 2010 può essere elencato specificamente nella tabella Software interessato. Tuttavia, l'aggiornamento potrebbe essere applicato a Microsoft Word 2010, Microsoft Excel 2010, Microsoft Visio 2010, Visualizzatore di Microsoft Visio o qualsiasi altro prodotto di Microsoft Office 2010 non elencato in modo specifico nella tabella Software interessato.
Per altre informazioni su questo comportamento e sulle azioni consigliate, vedere l'articolo della Microsoft Knowledge Base 830335. Per un elenco dei prodotti Microsoft Office a cui può essere applicato un aggiornamento, vedere l'articolo della Microsoft Knowledge Base associato all'aggiornamento specifico.
Informazioni sulla vulnerabilità
Più vulnerabilità di danneggiamento della memoria di Microsoft Office
Nel software di Microsoft Office esistono più vulnerabilità di esecuzione del codice remoto quando il software di Office non riesce a gestire correttamente gli oggetti in memoria. Un utente malintenzionato che ha sfruttato correttamente le vulnerabilità potrebbe eseguire codice arbitrario nel contesto dell'utente corrente. Se l'utente corrente ha effettuato l'accesso con diritti amministrativi, un utente malintenzionato potrebbe assumere il controllo del sistema interessato. L'utente malintenzionato potrebbe quindi installare programmi e visualizzare, modificare o eliminare dati, oppure creare nuovi account con diritti utente completi. Gli utenti con account che dispongono di diritti utente limitati per il sistema in uso risultano meno esposti degli utenti che operano con diritti amministrativi.
Lo sfruttamento delle vulnerabilità richiede che un utente apra un file appositamente creato con una versione interessata del software di Microsoft Office. In uno scenario di attacco tramite posta elettronica un utente malintenzionato potrebbe sfruttare le vulnerabilità inviando il file appositamente creato all'utente e convincendo l'utente ad aprire il file. In uno scenario di attacco basato sul Web un utente malintenzionato potrebbe ospitare un sito Web (o sfruttare un sito Web compromesso che accetta o ospita contenuto fornito dall'utente) che contiene un file appositamente creato progettato per sfruttare le vulnerabilità. Un utente malintenzionato non avrebbe modo di forzare gli utenti a visitare il sito Web. Invece, un utente malintenzionato dovrebbe convincere gli utenti a fare clic su un collegamento, in genere tramite un incitamento in un messaggio di posta elettronica o Instant Messenger, e quindi convincerli ad aprire il file appositamente creato.
Si noti che il riquadro di anteprima non è un vettore di attacco per queste vulnerabilità. L'aggiornamento della sicurezza risolve le vulnerabilità correggendo il modo in cui Office gestisce gli oggetti in memoria.
La tabella seguente contiene collegamenti alla voce standard per ogni vulnerabilità nell'elenco Vulnerabilità ed esposizioni comuni:
| Titolo della vulnerabilità | Numero CVE | Divulgato pubblicamente | Sfruttato |
|---|---|---|---|
| Vulnerabilità di danneggiamento della memoria di Microsoft Office | CVE-2017-0006 | No | No |
| Vulnerabilità di danneggiamento della memoria di Microsoft Office | CVE-2017-0019 | No | No |
| Vulnerabilità di danneggiamento della memoria di Microsoft Office | CVE-2017-0020 | No | No |
| Vulnerabilità di danneggiamento della memoria di Microsoft Office | CVE-2017-0030 | No | No |
| Vulnerabilità di danneggiamento della memoria di Microsoft Office | CVE-2017-0031 | No | No |
| Vulnerabilità di danneggiamento della memoria di Microsoft Office | CVE-2017-0052 | No | No |
| Vulnerabilità di danneggiamento della memoria di Microsoft Office | CVE-2017-0053 | No | No |
Fattori di mitigazione
Microsoft non ha identificato alcun fattore di mitigazione per queste vulnerabilità.
Soluzioni alternative
La soluzione alternativa seguente può essere utile nella situazione:
Soluzione alternativa per CVE-2017-0019
Utilizzare i criteri di blocco file di Microsoft Office per impedire a Office di aprire documenti RTF da origini sconosciute o non attendibili
Avviso Se si usa l'editor del Registro di sistema in modo errato, è possibile che si verifichino gravi problemi che potrebbero richiedere di reinstallare il sistema operativo. Microsoft non può garantire che sia possibile risolvere i problemi derivanti dall'uso non corretto dell'editor del Registro di sistema. Utilizzare l'editor del Registro di sistema a proprio rischio.
Per Office 2016
- Eseguire regedit.exe come Amministrazione istrator e passare alla sottochiave seguente:
[HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Word\Security\FileBlock]- Impostare il valore DWORD RtfFiles su 2.
- Impostare il valore DWORD OpenInProtectedView su 0.
Impatto della soluzione alternativa. Gli utenti che hanno configurato i criteri di blocco file e non hanno configurato una speciale "directory esentata" come descritto nell'articolo della Microsoft Knowledge Base 922849 non potranno aprire i documenti salvati nel formato RTF.
Come annullare la soluzione alternativa
Per Office 2016
- Eseguire regedit.exe come Amministrazione istrator e passare alla sottochiave seguente:
[HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Word\Security\FileBlock]- Impostare il valore DWORD RtfFiles su 0.
- Impostare il valore DWORD OpenInProtectedView su 0.
Vulnerabilità di divulgazione delle informazioni di Microsoft Office - CVE-2017-0027
Esiste una vulnerabilità di divulgazione di informazioni quando Microsoft Office divulga erroneamente il contenuto della memoria. Un utente malintenzionato che ha sfruttato la vulnerabilità potrebbe usare le informazioni per compromettere il computer o i dati dell'utente.
Per sfruttare la vulnerabilità, un utente malintenzionato potrebbe creare un file di documento speciale e quindi convincere l'utente ad aprirlo. Un utente malintenzionato deve conoscere la posizione dell'indirizzo di memoria in cui è stato creato l'oggetto.
L'aggiornamento risolve la vulnerabilità modificando il modo in cui determinate funzioni gestiscono gli oggetti in memoria.
La tabella seguente contiene collegamenti alla voce standard per ogni vulnerabilità nell'elenco Vulnerabilità ed esposizioni comuni:
| Titolo della vulnerabilità | Numero CVE | Divulgato pubblicamente | Sfruttato |
|---|---|---|---|
| Vulnerabilità di divulgazione delle informazioni di Microsoft Office | CVE-2017-0027 | No | No |
Fattori di mitigazione
Microsoft non ha identificato alcun fattore di mitigazione per questa vulnerabilità.
Soluzioni alternative
Microsoft non ha identificato soluzioni alternative per questa vulnerabilità.
Vulnerabilità Denial of Service di Microsoft Office - CVE-2017-0029
Esiste una vulnerabilità Denial of Service quando viene aperto un file appositamente creato in Microsoft Office. Un utente malintenzionato che ha sfruttato correttamente la vulnerabilità potrebbe impedire a Office di rispondere. Si noti che il denial of service non consente a un utente malintenzionato di eseguire codice o di elevare i diritti utente dell'utente malintenzionato.
Affinché un attacco riesca, questa vulnerabilità richiede che un utente apra un file appositamente creato con una versione interessata di Microsoft Office. In uno scenario di attacco tramite posta elettronica, un utente malintenzionato potrebbe sfruttare la vulnerabilità inviando un file appositamente creato all'utente e convincendo l'utente ad aprire il file.
L'aggiornamento della sicurezza risolve la vulnerabilità correggendo il modo in cui Microsoft Office gestisce gli oggetti in memoria.
La tabella seguente contiene collegamenti alla voce standard per ogni vulnerabilità nell'elenco Vulnerabilità ed esposizioni comuni:
| Titolo della vulnerabilità | Numero CVE | Divulgato pubblicamente | Sfruttato |
|---|---|---|---|
| Vulnerabilità Denial of Service di Microsoft Office | CVE-2017-0029 | Sì | No |
Fattori di mitigazione
Microsoft non ha identificato alcun fattore di mitigazione per questa vulnerabilità.
Soluzioni alternative
Microsoft non ha identificato soluzioni alternative per questa vulnerabilità.
Vulnerabilità di divulgazione delle informazioni di Microsoft Office - CVE-2017-0105
Esiste una vulnerabilità di divulgazione di informazioni quando il software di Microsoft Office legge memoria insufficiente a causa di una variabile non inizializzata, che potrebbe divulgare il contenuto della memoria. Un utente malintenzionato che ha sfruttato correttamente la vulnerabilità potrebbe visualizzare la memoria associata.
Lo sfruttamento della vulnerabilità richiede che un utente apra un file appositamente creato con una versione interessata del software di Microsoft Office.
L'aggiornamento della sicurezza risolve la vulnerabilità inizializzando correttamente la variabile interessata.
La tabella seguente contiene collegamenti alla voce standard per ogni vulnerabilità nell'elenco Vulnerabilità ed esposizioni comuni:
| Titolo della vulnerabilità | Numero CVE | Divulgato pubblicamente | Sfruttato |
|---|---|---|---|
| Vulnerabilità di divulgazione delle informazioni di Microsoft Office | CVE-2017-0105 | No | No |
Fattori di mitigazione
Microsoft non ha identificato alcun fattore di mitigazione per questa vulnerabilità.
Soluzioni alternative
Microsoft non ha identificato soluzioni alternative per questa vulnerabilità.
Vulnerabilità XSS di Microsoft SharePoint - CVE-2017-0107
Esiste una vulnerabilità di elevazione dei privilegi quando Microsoft SharePoint Server non sanifica correttamente una richiesta Web creata appositamente a un server sharePoint interessato. Un utente malintenzionato autenticato potrebbe sfruttare la vulnerabilità inviando una richiesta appositamente creata a un server SharePoint interessato.
Un utente malintenzionato che ha sfruttato correttamente la vulnerabilità potrebbe quindi eseguire attacchi di scripting intersito sui sistemi interessati ed eseguire script nel contesto di sicurezza dell'utente corrente. Questi attacchi potrebbero consentire all'utente malintenzionato di leggere il contenuto che l'autore dell'attacco non è autorizzato a leggere, usare l'identità della vittima per eseguire azioni sul sito di SharePoint per conto della vittima, ad esempio modificare le autorizzazioni ed eliminare il contenuto e inserire contenuto dannoso nel browser della vittima.
L'aggiornamento della sicurezza risolve la vulnerabilità, assicurandosi che SharePoint Server sanifica correttamente le richieste Web.
La tabella seguente contiene collegamenti alla voce standard per ogni vulnerabilità nell'elenco Vulnerabilità ed esposizioni comuni:
| Titolo della vulnerabilità | Numero CVE | Divulgato pubblicamente | Sfruttato |
|---|---|---|---|
| Vulnerabilità XSS di Microsoft SharePoint | CVE-2017-0107 | No | No |
Fattori di mitigazione
Microsoft non ha identificato alcun fattore di mitigazione per questa vulnerabilità.
Soluzioni alternative
Microsoft non ha identificato soluzioni alternative per questa vulnerabilità.
Vulnerabilità di convalida del certificato Microsoft Lync per Mac - CVE-2017-0129
Esiste un bypass della funzionalità di sicurezza quando il client Lync per Mac 2011 non riesce a convalidare correttamente i certificati. Un utente malintenzionato che ha sfruttato correttamente questa vulnerabilità potrebbe manomettere le comunicazioni attendibili tra il server e il client di destinazione.
Per sfruttare la vulnerabilità, un utente malintenzionato deve intercettare e manomettere il traffico di rete.
L'aggiornamento della sicurezza risolve la vulnerabilità correggendo il modo in cui il client Lync per Mac 2011 convalida i certificati.
La tabella seguente contiene collegamenti alla voce standard per ogni vulnerabilità nell'elenco Vulnerabilità ed esposizioni comuni:
| Titolo della vulnerabilità | Numero CVE | Divulgato pubblicamente | Sfruttato |
|---|---|---|---|
| Vulnerabilità di convalida del certificato Microsoft Lync per Mac | CVE-2017-0129 | No | No |
Fattori di mitigazione
Microsoft non ha identificato alcun fattore di mitigazione per questa vulnerabilità.
Soluzioni alternative
Microsoft non ha identificato soluzioni alternative per questa vulnerabilità.
Distribuzione degli aggiornamenti della sicurezza
Per informazioni sulla distribuzione degli aggiornamenti della sicurezza, vedere l'articolo della Microsoft Knowledge Base a cui si fa riferimento nel riepilogo esecutivo.
Riconoscimenti
Microsoft riconosce gli sforzi di coloro che si trovano nella community di sicurezza che ci aiutano a proteggere i clienti attraverso la divulgazione coordinata delle vulnerabilità. Per altre informazioni, vedere Riconoscimenti .
Dichiarazione di non responsabilità
Le informazioni fornite nella Microsoft Knowledge Base vengono fornite "così com'è" senza garanzia di alcun tipo. Microsoft dichiara tutte le garanzie, espresse o implicite, incluse le garanzie di commerciabilità e idoneità per uno scopo specifico. In nessun caso, Microsoft Corporation o i suoi fornitori saranno responsabili di qualsiasi danno, incluso diretto, indiretto, accidentale, consequenziale, perdita di profitti aziendali o danni speciali, anche se Microsoft Corporation o i suoi fornitori sono stati informati della possibilità di tali danni. Alcuni stati non consentono l'esclusione o la limitazione della responsabilità per danni consequenziali o accidentali, pertanto la limitazione precedente potrebbe non essere applicata.
Revisioni
- V1.0 (14 marzo 2017): Bollettino pubblicato.
- V2.0 (11 aprile 2017): per risolvere in modo completo CVE-2017-0027 solo per Office per Mac 2011, Microsoft sta rilasciando l'aggiornamento della sicurezza 3212218. Microsoft consiglia ai clienti che eseguono Office per Mac 2011 di installare l'aggiornamento 3212218 per essere completamente protetti da questa vulnerabilità. Per altre informazioni, vedere l'articolo della Microsoft Knowledge Base 3212218 .
Pagina generata 2017-04-10 14:50-07:00.