Bollettino sulla sicurezza Microsoft MS14-065 - Critico
Articolo
Aggiornamento cumulativo della sicurezza per Internet Explorer (3003057)
Pubblicato: 11 novembre 2014 | Aggiornato: 9 dicembre 2014
Versione: 2.0
Schema riepilogativo
Questo aggiornamento della sicurezza risolve diciassette vulnerabilità segnalate privatamente in Internet Explorer. La più grave di queste vulnerabilità potrebbe consentire l'esecuzione remota del codice se un utente visualizza una pagina Web appositamente creata usando Internet Explorer. Un utente malintenzionato che ha sfruttato correttamente queste vulnerabilità potrebbe ottenere gli stessi diritti utente dell'utente corrente. I clienti i cui account sono configurati per avere un minor numero di diritti utente nel sistema potrebbero essere meno interessati rispetto a quelli che operano con diritti utente amministrativi.
Questo aggiornamento della sicurezza è valutato Critical per Internet Explorer 6 (IE 6), Internet Explorer 7 (IE 7), Internet Explorer 8 (IE 8), Internet Explorer 9 (IE 9), Internet Explorer 10 (IE 10) e Internet Explorer 11 (Internet Explorer 11) nei client Windows interessati, e Moderate per Internet Explorer 6 (IE 6), Internet Explorer 7 (IE 7), Internet Explorer 8 (IE 8), Internet Explorer 9 (Internet Explorer 9), Internet Explorer 10 (Internet Explorer 10) e Internet Explorer 11 (Internet Explorer 11) nei server Windows interessati. Per altre informazioni, vedere la sezione Software interessato.
L'aggiornamento della sicurezza risolve le vulnerabilità modificando il modo in cui Internet Explorer gestisce gli oggetti in memoria, aggiungendo ulteriori convalide delle autorizzazioni a Internet Explorer e assicurandosi che le versioni interessate di Internet Explorer implementino correttamente la funzionalità di sicurezza ASLR. Per altre informazioni sulle vulnerabilità, vedere la sottosezione Domande frequenti per la vulnerabilità specifica.
Sono interessate le versioni o le edizioni software seguenti. Le versioni o le edizioni non elencate superano il ciclo di vita del supporto o non sono interessate. Per determinare il ciclo di vita del supporto per la versione o l'edizione del software, vedere supporto tecnico Microsoft Ciclo di vita.
[1]Questo aggiornamento è disponibile solo tramite Windows Update .
Nota: Windows Technical Preview e Windows Server Technical Preview sono interessati. I clienti che eseguono questi sistemi operativi sono invitati a applicare l'aggiornamento, disponibile tramite Windows Update.
Classificazioni di gravità e identificatori di vulnerabilità
Le classificazioni di gravità seguenti presuppongono il potenziale impatto massimo della vulnerabilità. Per informazioni sulla probabilità, entro 30 giorni dal rilascio di questo bollettino sulla sicurezza, della sfruttabilità della vulnerabilità in relazione alla classificazione di gravità e all'impatto sulla sicurezza, vedere l'indice di exploit nel riepilogo del bollettino di novembre.
Se specificato nella tabella seguente, i valori Critical, Important e Moderate indicano le classificazioni di gravità. Per altre informazioni, vedere Security Bulletin Severity Rating System. Se specificato, le abbreviazioni come illustrato nella chiave seguente indicano l'impatto massimo:
Vulnerabilità di danneggiamento della memoria di Internet Explorer
Client Windows:\ Critical/ RCE\ \ Windows Servers:\ Moderate /RCE
Client Windows:\ Critical/ RCE\ \ Windows Servers:\ Moderate /RCE
Client Windows:\ Critical/ RCE\ \ Windows Servers:\ Moderate /RCE
Client Windows:\ Critical/ RCE\ \ Windows Servers:\ Moderate /RCE
Client Windows:\ Critical/ RCE\ \ Windows Servers:\ Moderate /RCE
Non applicabile
Vulnerabilità di danneggiamento della memoria multipla in Internet Explorer
Esistono vulnerabilità di esecuzione remota del codice quando Internet Explorer accede in modo non corretto agli oggetti in memoria. Queste vulnerabilità potrebbero danneggiare la memoria in modo che un utente malintenzionato possa eseguire codice arbitrario nel contesto dell'utente corrente. L'aggiornamento risolve le vulnerabilità modificando il modo in cui Internet Explorer gestisce gli oggetti in memoria.
La tabella seguente contiene collegamenti alla voce standard per ogni vulnerabilità nell'elenco Vulnerabilità ed esposizioni comuni:
Titolo della vulnerabilità
Numero CVE
Divulgata pubblicamente
Sfruttato
Vulnerabilità di danneggiamento della memoria di Internet Explorer
Microsoft non ha identificato alcun fattore di mitigazione per questa vulnerabilità.
Soluzioni alternative
Microsoft non ha identificato soluzioni alternative per queste vulnerabilità.
Domande frequenti
Cosa può fare un utente malintenzionato?
Un utente malintenzionato che ha sfruttato correttamente queste vulnerabilità potrebbe ottenere gli stessi diritti utente dell'utente corrente. Se l'utente corrente è connesso con diritti utente amministrativi, un utente malintenzionato che ha sfruttato correttamente queste vulnerabilità potrebbe assumere il controllo completo di un sistema interessato. L'utente malintenzionato potrebbe quindi installare programmi e visualizzare, modificare o eliminare dati, oppure creare nuovi account con diritti utente completi.
In che modo un utente malintenzionato potrebbe sfruttare le vulnerabilità?
Un utente malintenzionato potrebbe ospitare un sito Web appositamente creato progettato per sfruttare queste vulnerabilità tramite Internet Explorer e quindi convincere un utente a visualizzare il sito Web. L'utente malintenzionato potrebbe anche sfruttare i siti Web compromessi e i siti Web che accettano o ospitano contenuti o annunci forniti dall'utente. Questi siti Web possono contenere contenuti appositamente creati che potrebbero sfruttare queste vulnerabilità. In tutti i casi, tuttavia, un utente malintenzionato non avrebbe modo di forzare gli utenti a visualizzare il contenuto controllato dall'utente malintenzionato. Un utente malintenzionato dovrà invece convincere gli utenti a intervenire, in genere facendogli clic su un collegamento in un messaggio di posta elettronica o in un messaggio di Instant Messenger che porta gli utenti al sito Web dell'utente malintenzionato o ottenendogli di aprire un allegato inviato tramite posta elettronica.
Quali sistemi sono principalmente a rischio dalle vulnerabilità?
I sistemi in cui Internet Explorer viene usato di frequente, ad esempio workstation o server terminal, rappresentano il rischio maggiore da queste vulnerabilità.
Internet Explorer viene eseguito in Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 o Windows Server 2012 R2. In questo modo si attenuano queste vulnerabilità?
Sì. Per impostazione predefinita, Internet Explorer in Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 e Windows Server 2012 R2 viene eseguito in una modalità con restrizioni nota come Configurazione sicurezza avanzata. La configurazione della sicurezza avanzata è un gruppo di impostazioni preconfigurate in Internet Explorer che possono ridurre la probabilità che un utente o un amministratore scarichi e esegua contenuto Web appositamente creato in un server. Si tratta di un fattore di mitigazione per i siti Web che non sono stati aggiunti all'area Siti attendibili di Internet Explorer.
EMET aiuta a mitigare gli attacchi che potrebbero tentare di sfruttare queste vulnerabilità?
Sì. Enhanced Mitigation Experience Toolkit (EMET) consente agli utenti di gestire tecnologie di mitigazione della sicurezza che rendono più difficile per gli utenti malintenzionati sfruttare le vulnerabilità in un determinato software. EMET consente di attenuare queste vulnerabilità in Internet Explorer nei sistemi in cui EMET è installato e configurato per l'uso con Internet Explorer.
Vulnerabilità di elevazione multipla dei privilegi in Internet Explorer
Esistono vulnerabilità di elevazione dei privilegi quando Internet Explorer non convalida correttamente le autorizzazioni in condizioni specifiche, consentendo potenzialmente l'esecuzione dello script con privilegi elevati. L'aggiornamento risolve le vulnerabilità aggiungendo altre convalide delle autorizzazioni a Internet Explorer.
La tabella seguente contiene collegamenti alla voce standard per ogni vulnerabilità nell'elenco Vulnerabilità ed esposizioni comuni:
Titolo della vulnerabilità
Numero CVE
Divulgata pubblicamente
Sfruttato
Vulnerabilità di elevazione dei privilegi di Internet Explorer
Queste vulnerabilità da soli non consentono l'esecuzione di codice arbitrario. Le vulnerabilità devono essere usate insieme a un'altra vulnerabilità che ha consentito l'esecuzione di codice remoto. Ad esempio, un utente malintenzionato potrebbe sfruttare un'altra vulnerabilità per eseguire codice arbitrario tramite Internet Explorer, ma a causa del contesto in cui i processi vengono avviati da Internet Explorer, il codice potrebbe essere limitato all'esecuzione a un livello di integrità basso (autorizzazioni molto limitate). Tuttavia, un utente malintenzionato potrebbe, a sua volta, sfruttare una di queste vulnerabilità per causare l'esecuzione del codice arbitrario a un livello di integrità medio (autorizzazioni dell'utente corrente).
Soluzioni alternative
Microsoft non ha identificato soluzioni alternative per queste vulnerabilità.
Domande frequenti
Cosa può fare un utente malintenzionato che usa queste vulnerabilità?
Un utente malintenzionato che ha sfruttato correttamente queste vulnerabilità potrebbe elevare i privilegi nelle versioni interessate di Internet Explorer.
Queste vulnerabilità da soli non consentono l'esecuzione di codice arbitrario. Tuttavia, queste vulnerabilità potrebbero essere usate insieme a un'altra vulnerabilità (ad esempio, una vulnerabilità di esecuzione remota del codice) che potrebbe sfruttare i privilegi elevati durante l'esecuzione di codice arbitrario.
Ad esempio, un utente malintenzionato potrebbe sfruttare un'altra vulnerabilità per eseguire codice arbitrario tramite Internet Explorer, ma a causa del contesto in cui i processi vengono avviati da Internet Explorer, il codice potrebbe essere limitato all'esecuzione a un livello di integrità basso (autorizzazioni molto limitate). Tuttavia, un utente malintenzionato potrebbe, a sua volta, sfruttare queste vulnerabilità per causare l'esecuzione del codice arbitrario a un livello di integrità medio (autorizzazioni dell'utente corrente).
In che modo un utente malintenzionato potrebbe sfruttare queste vulnerabilità?
In uno scenario di attacco basato sul Web, un utente malintenzionato potrebbe ospitare un sito Web usato per tentare di sfruttare queste vulnerabilità. Inoltre, siti Web compromessi e siti Web che accettano o ospitano contenuti forniti dall'utente potrebbero contenere contenuti appositamente creati che potrebbero sfruttare queste vulnerabilità. In tutti i casi, tuttavia, un utente malintenzionato non avrebbe modo di forzare gli utenti a visualizzare il contenuto controllato dall'utente malintenzionato. Un utente malintenzionato dovrà invece convincere gli utenti a intervenire. Ad esempio, un utente malintenzionato potrebbe ingannare gli utenti a fare clic su un collegamento che li porta al sito dell'utente malintenzionato.
Quali sistemi sono principalmente a rischio da questa vulnerabilità?
I sistemi in cui Internet Explorer viene usato di frequente, ad esempio workstation o server terminal, rappresentano il rischio maggiore da queste vulnerabilità.
Vulnerabilità di divulgazione di informazioni tra domini multipli di Internet Explorer
Esistono vulnerabilità di divulgazione di informazioni quando Internet Explorer non applica correttamente i criteri tra domini, che potrebbero consentire a un utente malintenzionato di accedere alle informazioni in un altro dominio o area di Internet Explorer. L'aggiornamento risolve le vulnerabilità aiutando a garantire che i criteri tra domini vengano applicati correttamente in Internet Explorer.
La tabella seguente contiene collegamenti alla voce standard per ogni vulnerabilità nell'elenco Vulnerabilità ed esposizioni comuni:
Titolo della vulnerabilità
Numero CVE
Divulgata pubblicamente
Sfruttato
Vulnerabilità di divulgazione di informazioni tra domini in Internet Explorer
Microsoft non ha identificato alcun fattore di mitigazione per questa vulnerabilità.
Soluzioni alternative
Microsoft non ha identificato soluzioni alternative per queste vulnerabilità.** **
Domande frequenti
Cosa può fare un utente malintenzionato che usa queste vulnerabilità?
Un utente malintenzionato che ha sfruttato correttamente queste vulnerabilità potrebbe visualizzare il contenuto da un altro dominio o da un'altra zona di Internet Explorer.
In che modo un utente malintenzionato potrebbe sfruttare queste vulnerabilità?
In uno scenario di attacco basato sul Web, un utente malintenzionato potrebbe ospitare un sito Web usato per tentare di sfruttare queste vulnerabilità. Inoltre, siti Web compromessi e siti Web che accettano o ospitano contenuti forniti dall'utente potrebbero contenere contenuti appositamente creati che potrebbero sfruttare queste vulnerabilità. In tutti i casi, tuttavia, un utente malintenzionato non avrebbe modo di forzare gli utenti a visualizzare il contenuto controllato dall'utente malintenzionato. Un utente malintenzionato dovrà invece convincere gli utenti a intervenire. Ad esempio, un utente malintenzionato potrebbe ingannare gli utenti a fare clic su un collegamento che li porta al sito dell'utente malintenzionato.
Quali sistemi sono principalmente a rischio da questa vulnerabilità?
I sistemi in cui Internet Explorer viene usato di frequente, ad esempio workstation o server terminal, rappresentano il rischio maggiore da queste vulnerabilità.
Sono in esecuzione Internet Explorer per Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 o Windows Server 2012 R2. In questo modo si riduce questa vulnerabilità?
Sì. Per impostazione predefinita, Internet Explorer in Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 e Windows Server 2012 R2 viene eseguito in una modalità con restrizioni nota come Configurazione sicurezza avanzata. La configurazione della sicurezza avanzata è un gruppo di impostazioni preconfigurate in Internet Explorer che possono ridurre la probabilità che un utente o un amministratore scarichi e esegua contenuto Web appositamente creato in un server. Si tratta di un fattore di mitigazione per i siti Web che non sono stati aggiunti all'area Siti attendibili di Internet Explorer.
Vulnerabilità di divulgazione delle informazioni degli Appunti di Internet Explorer - CVE-2014-6323
Esiste una vulnerabilità di divulgazione di informazioni quando Internet Explorer non limita correttamente l'accesso agli Appunti di un utente che visita un sito Web. La vulnerabilità potrebbe consentire l'accesso ai dati archiviati negli Appunti di Windows da un sito dannoso. Un utente malintenzionato potrebbe raccogliere informazioni dagli Appunti di un utente se l'utente visita il sito dannoso. L'aggiornamento risolve la vulnerabilità consentendo di impedire l'accesso alle informazioni archiviate negli Appunti di un utente da un sito dannoso.
La tabella seguente contiene collegamenti alla voce standard per ogni vulnerabilità nell'elenco Vulnerabilità ed esposizioni comuni:
Titolo della vulnerabilità
Numero CVE
Divulgata pubblicamente
Sfruttato
Vulnerabilità di divulgazione delle informazioni negli Appunti di Internet Explorer
Microsoft non ha identificato alcun fattore di mitigazione per questa vulnerabilità.
Soluzioni alternative
Microsoft non ha identificato soluzioni alternative per questa vulnerabilità.
Domande frequenti
Cosa può fare un utente malintenzionato che usa queste vulnerabilità?
Un utente malintenzionato che ha sfruttato correttamente questa vulnerabilità potrebbe raccogliere informazioni dagli Appunti di un utente che visita il sito dell'utente malintenzionato.
In che modo un utente malintenzionato potrebbe sfruttare queste vulnerabilità?
In uno scenario di attacco basato sul Web, un utente malintenzionato potrebbe ospitare un sito Web usato per tentare di sfruttare questa vulnerabilità. Inoltre, siti Web compromessi e siti Web che accettano o ospitano contenuti forniti dall'utente potrebbero contenere contenuti appositamente creati che potrebbero sfruttare questa vulnerabilità. In tutti i casi, tuttavia, un utente malintenzionato non avrebbe modo di forzare gli utenti a visualizzare il contenuto controllato dall'utente malintenzionato. Un utente malintenzionato dovrà invece convincere gli utenti a intervenire. Ad esempio, un utente malintenzionato potrebbe ingannare gli utenti a fare clic su un collegamento che li porta al sito dell'utente malintenzionato.
Quali sistemi sono principalmente a rischio da questa vulnerabilità?
I sistemi in cui Internet Explorer viene usato di frequente, ad esempio workstation o server terminal, rappresentano il rischio maggiore da queste vulnerabilità.
Sono in esecuzione Internet Explorer per Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 o Windows Server 2012 R2. In questo modo si riduce questa vulnerabilità?
Sì. Per impostazione predefinita, Internet Explorer in Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 e Windows Server 2012 R2 viene eseguito in una modalità con restrizioni nota come Configurazione sicurezza avanzata. La configurazione della sicurezza avanzata è un gruppo di impostazioni preconfigurate in Internet Explorer che possono ridurre la probabilità che un utente o un amministratore scarichi e esegua contenuto Web appositamente creato in un server. Si tratta di un fattore di mitigazione per i siti Web che non sono stati aggiunti all'area Siti attendibili di Internet Explorer.
Vulnerabilità bypass ASLR di Internet Explorer - CVE-2014-6339
Esiste una vulnerabilità di bypass della funzionalità di sicurezza quando Internet Explorer non usa la funzionalità di sicurezza ASLR (Address Space Layout Randomization), che potrebbe consentire a un utente malintenzionato di stimare in modo più affidabile gli offset di memoria di istruzioni specifiche in un determinato stack di chiamate. L'aggiornamento risolve la vulnerabilità, assicurandosi che le versioni interessate di Internet Explorer implementino correttamente la funzionalità di sicurezza ASLR.
La tabella seguente contiene collegamenti alla voce standard per ogni vulnerabilità nell'elenco Vulnerabilità ed esposizioni comuni:
Microsoft non ha identificato alcun fattore di mitigazione per questa vulnerabilità.
Soluzioni alternative
Microsoft non ha identificato soluzioni alternative per questa vulnerabilità.
Domande frequenti
Cosa può fare un utente malintenzionato che usa la vulnerabilità?
Un utente malintenzionato che ha sfruttato correttamente questa vulnerabilità potrebbe ignorare la funzionalità di sicurezza ASLR, che consente di proteggere gli utenti da un'ampia classe di vulnerabilità. Il bypass della funzionalità di sicurezza non consente l'esecuzione arbitraria del codice. Tuttavia, un utente malintenzionato potrebbe usare questa vulnerabilità di bypass ASLR insieme a un'altra vulnerabilità, ad esempio una vulnerabilità di esecuzione remota del codice che potrebbe sfruttare il bypass ASLR per eseguire codice arbitrario.
In che modo un utente malintenzionato potrebbe sfruttare la vulnerabilità?
Un utente malintenzionato potrebbe associare questa funzionalità di sicurezza a una vulnerabilità aggiuntiva, in genere una vulnerabilità di esecuzione remota del codice. La vulnerabilità aggiuntiva sfrutta il bypass della funzionalità di sicurezza per lo sfruttamento. Ad esempio, una vulnerabilità di esecuzione remota del codice bloccata da ASLR potrebbe essere sfruttata dopo un bypass ASLR riuscito.
Quali sistemi sono principalmente a rischio dalla vulnerabilità?
Nello scenario di esplorazione Web, lo sfruttamento corretto di questa vulnerabilità richiede che un utente sia connesso ed esegua una versione interessata di Internet Explorer. Di conseguenza, tutti i sistemi in cui un Web browser viene usato di frequente, ad esempio workstation o server terminal, rappresentano il rischio maggiore da questa vulnerabilità. I server potrebbero essere più a rischio se gli amministratori consentono agli utenti di esplorare e leggere la posta elettronica nei server. Tuttavia, le procedure consigliate sconsigliano vivamente di consentire questo problema.
Distribuzione degli aggiornamenti della sicurezza
Per informazioni sulla distribuzione degli aggiornamenti della sicurezza, vedere l'articolo della Microsoft Knowledge Base a cui si fa riferimento nel riepilogo esecutivo.
Riconoscimenti
Microsoft riconosce gli sforzi di coloro che si trovano nella community di sicurezza che ci aiutano a proteggere i clienti attraverso la divulgazione coordinata delle vulnerabilità. Per altre informazioni, vedere Riconoscimenti .
Dichiarazione di non responsabilità
Le informazioni fornite nella Microsoft Knowledge Base vengono fornite "così com'è" senza garanzia di alcun tipo. Microsoft dichiara tutte le garanzie, espresse o implicite, incluse le garanzie di commerciabilità e idoneità per uno scopo specifico. In nessun caso, Microsoft Corporation o i suoi fornitori saranno responsabili di qualsiasi danno, incluso diretto, indiretto, accidentale, consequenziale, perdita di profitti aziendali o danni speciali, anche se Microsoft Corporation o i suoi fornitori sono stati informati della possibilità di tali danni. Alcuni stati non consentono l'esclusione o la limitazione della responsabilità per danni consequenziali o accidentali, pertanto la limitazione precedente potrebbe non essere applicata.
Revisioni
V1.0 (11 novembre 2014): Bollettino pubblicato.
V2.0 (9 dicembre 2014): per risolvere i problemi relativi all'aggiornamento della sicurezza 3003057, Microsoft ha rilasciato nuovamente MS14-065 per risolvere in modo completo CVE-2014-6353. I clienti che eseguono Internet Explorer 8 in Windows 7 o Windows Server 2008 R2 o Internet Explorer 10 devono installare l'aggiornamento cumulativo di dicembre o installare l'aggiornamento cumulativo di dicembre (3008923). Per altre informazioni, vedere l'articolo della Microsoft Knowledge Base 3003057 .
As an Information Security Administrator, you plan and implement information security of sensitive data by using Microsoft Purview and related services. You’re responsible for mitigating risks by protecting data inside collaboration environments that are managed by Microsoft 365 from internal and external threats and protecting data used by AI services. You also implement information protection, data loss prevention, retention, insider risk management, and manage information security alerts and activities.