Le vulnerabilità nel driver in modalità kernel di Windows potrebbero consentire l'esecuzione di codice remoto (3036220)
Pubblicato: 10 febbraio 2015 | Aggiornamento: 18 febbraio 2015
Versione: 1.1
Schema riepilogativo
Questo aggiornamento della sicurezza risolve una vulnerabilità divulgata pubblicamente e cinque vulnerabilità segnalate privatamente in Microsoft Windows. La più grave delle vulnerabilità potrebbe consentire l'esecuzione remota del codice se un utente malintenzionato convince un utente ad aprire un documento appositamente creato o visitare un sito Web non attendibile che contiene tipi di carattere TrueType incorporati.
Questo aggiornamento della sicurezza è valutato Critical per tutte le edizioni supportate di Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012, Windows RT, Windows 8.1, Windows Server 2012 R2 e Windows RT 8.1; è valutato Importante per tutte le edizioni supportate di Windows Server 2003, Windows Vista e Windows Server 2008. Per altre informazioni, vedere la sezione Software interessato.
L'aggiornamento della sicurezza risolve le vulnerabilità correggendo il modo in cui il driver in modalità kernel di Windows convalida determinati parametri su oggetti registrati, convalida e applica livelli di rappresentazione, gestisce gli oggetti in memoria, convalida i dati restituiti dalle funzioni in modalità utente prima dell'esecuzione, gestisce il controllo degli errori del tipo di carattere TrueType e controlla la larghezza dei caratteri prima del caricamento dei tipi di carattere in memoria. Per altre informazioni sulla vulnerabilità, vedere la sezione Informazioni sulla vulnerabilità.
Sono interessate le versioni o le edizioni software seguenti. Le versioni o le edizioni non elencate superano il ciclo di vita del supporto o non sono interessate. Per determinare il ciclo di vita del supporto per la versione o l'edizione del software, vedere supporto tecnico Microsoft Ciclo di vita.
Nota L'aggiornamento 3013455 è disponibile per Windows Technical Preview e Windows Server Technical Preview. I clienti che eseguono questi sistemi operativi sono invitati a applicare l'aggiornamento tramite Windows Update.
[1]Questo aggiornamento è disponibile solo tramite Windows Update .
Domande frequenti su Aggiornamento
Per l'aggiornamento 3013455, perché sono presenti due pacchetti nelle pagine dell'Area download Microsoft per le edizioni interessate di Windows Server 2003, Windows Server 2008 e Windows Vista?
È stato implementato un aggiornamento aggiuntivo non della sicurezza per le edizioni interessate di Windows Server 2003, Windows Server 2008 e Windows Vista per risolvere i problemi di riduzione della qualità del testo riscontrati da alcuni clienti dopo l'installazione dell'aggiornamento 3013455. Si noti che il pacchetto aggiuntivo (3037639) non è necessario per essere protetto dalle vulnerabilità risolte dall'aggiornamento 3013455; corregge semplicemente il problema di qualità del testo. I clienti devono anche tenere presente che l'aggiornamento 3037639 richiede un riavvio del sistema dopo l'installazione.
Classificazioni di gravità e identificatori di vulnerabilità
Le classificazioni di gravità seguenti presuppongono il potenziale impatto massimo della vulnerabilità. Per informazioni sulla probabilità, entro 30 giorni dal rilascio del bollettino sulla sicurezza, della sfruttabilità della vulnerabilità in relazione alla classificazione di gravità e all'impatto sulla sicurezza, vedere l'indice di exploit nel riepilogo del bollettino di febbraio.
Valutazione della gravità della vulnerabilità e Impatto massimo sulla sicurezza da parte del software interessato
Importante\ Bypass delle funzionalità di sicurezza
Importante\ Elevazione dei privilegi
Non applicabile
Non applicabile
Moderate\ Denial of Service
Importante
Windows Server 2003 x64 Edition Service Pack 2
Moderate\ Denial of Service
Importante\ Bypass delle funzionalità di sicurezza
Importante\ Elevazione dei privilegi
Non applicabile
Non applicabile
Moderate\ Denial of Service
Importante
Windows Server 2003 con SP2 per sistemi basati su Itanium
Moderate\ Denial of Service
Importante \ Bypass delle funzionalità di sicurezza
Importante\ Elevazione dei privilegi
Non applicabile
Non applicabile
Moderate \ Denial of Service
Importante
Windows Vista
Windows Vista Service Pack 2
Importante\ Elevazione dei privilegi
Importante\ Bypass delle funzionalità di sicurezza
Importante\ Elevazione dei privilegi
Non applicabile
Non applicabile
Moderate\ Denial of Service
Importante
Windows Vista x64 Edition Service Pack 2
Moderate\ Denial of Service
Importante\ Bypass delle funzionalità di sicurezza
Importante\ Elevazione dei privilegi
Non applicabile
Non applicabile
Moderate\ Denial of Service
Importante
Windows Server 2008
Windows Server 2008 per sistemi a 32 bit Service Pack 2
Importante\ Elevazione dei privilegi
Importante\ Bypass delle funzionalità di sicurezza
Importante\ Elevazione dei privilegi
Non applicabile
Non applicabile
Moderate\ Denial of Service
Importante
Windows Server 2008 per sistemi basati su x64 Service Pack 2
Moderate\ Denial of Service
Importante\ Bypass delle funzionalità di sicurezza
Elevazione dei privilegi importante
Non applicabile
Non applicabile
Denial of Service moderato
Importante
Windows Server 2008 per sistemi basati su Itanium Service Pack 2
Denial of Service moderato
Importante bypass delle funzionalità di sicurezza
Elevazione dei privilegi importante
Non applicabile
Non applicabile
Denial of Service moderato
Importante
Windows 7
Windows 7 per sistemi a 32 bit Service Pack 1
Elevazione dei privilegi importante
Importante bypass delle funzionalità di sicurezza
Elevazione dei privilegi importante
Non applicabile
Esecuzione di codice remoto critico
Denial of Service moderato
Critico
Windows 7 per sistemi basati su x64 Service Pack 1
Denial of Service moderato
Importante bypass delle funzionalità di sicurezza
Elevazione dei privilegi importante
Non applicabile
Esecuzione di codice remoto critico
Denial of Service moderato
Critico
Windows Server 2008 R2
Windows Server 2008 R2 per sistemi basati su x64 Service Pack 1
Denial of Service moderato
Importante bypass delle funzionalità di sicurezza
Elevazione dei privilegi importante
Non applicabile
Esecuzione di codice remoto critico
Denial of Service moderato
Critico
Windows Server 2008 R2 per sistemi basati su Itanium Service Pack 1
Denial of Service moderato
Importante bypass delle funzionalità di sicurezza
Elevazione dei privilegi importante
Non applicabile
Esecuzione di codice remoto critico
Denial of Service moderato
Critico
Windows 8 e Windows 8.1
Windows 8 per sistemi a 32 bit
Denial of Service moderato
Importante bypass delle funzionalità di sicurezza
Elevazione dei privilegi importante
Non applicabile
Esecuzione di codice remoto critico
Denial of Service moderato
Critico
Windows 8 per sistemi basati su x64
Denial of Service moderato
Importante bypass delle funzionalità di sicurezza
Elevazione dei privilegi importante
Non applicabile
Esecuzione di codice remoto critico
Denial of Service moderato
Critico
Windows 8.1 per sistemi a 32 bit
Denial of Service moderato
Importante bypass delle funzionalità di sicurezza
Elevazione dei privilegi importante
Elevazione dei privilegi importante
Esecuzione di codice remoto critico
Denial of Service moderato
Critico
Windows 8.1 per sistemi basati su x64
Denial of Service moderato
Importante bypass delle funzionalità di sicurezza
Elevazione dei privilegi importante
Elevazione dei privilegi importante
Esecuzione di codice remoto critico
Denial of Service moderato
Critico
Windows Server 2012 e Windows Server 2012 R2
Windows Server 2012
Denial of Service moderato
Importante bypass delle funzionalità di sicurezza
Elevazione dei privilegi importante
Non applicabile
Esecuzione di codice remoto critico
Denial of Service moderato
Critico
Windows Server 2012 R2
Denial of Service moderato
Importante bypass delle funzionalità di sicurezza
Elevazione dei privilegi importante
Elevazione dei privilegi importante
Esecuzione di codice remoto critico
Denial of Service moderato
Critico
Windows RT e Windows RT 8.1
Windows RT[1]
Denial of Service moderato
Importante bypass delle funzionalità di sicurezza
Elevazione dei privilegi importante
Non applicabile
Esecuzione di codice remoto critico
Denial of Service moderato
Critico
Windows RT 8.1[1]
Denial of Service moderato
Importante bypass delle funzionalità di sicurezza
Elevazione dei privilegi importante
Elevazione dei privilegi importante
Esecuzione di codice remoto critico
Denial of Service moderato
Critico
Opzione di installazione dei componenti di base del server
Windows Server 2008 per sistemi a 32 bit Service Pack 2 (installazione server core)
Elevazione dei privilegi importante
Importante bypass delle funzionalità di sicurezza
Elevazione dei privilegi importante
Non applicabile
Non applicabile
Denial of Service moderato
Importante
Windows Server 2008 per sistemi basati su x64 Service Pack 2 (installazione server core)
Denial of Service moderato
Importante bypass delle funzionalità di sicurezza
Elevazione dei privilegi importante
Non applicabile
Non applicabile
Denial of Service moderato
Importante
Windows Server 2008 R2 per sistemi basati su x64 Service Pack 1 (installazione server core)
Denial of Service moderato
Importante bypass delle funzionalità di sicurezza
Elevazione dei privilegi importante
Non applicabile
Esecuzione di codice remoto critico
Denial of Service moderato
Critico
Windows Server 2012 (installazione server core)
Denial of Service moderato
Importante bypass delle funzionalità di sicurezza
Elevazione dei privilegi importante
Non applicabile
Esecuzione di codice remoto critico
Denial of Service moderato
Critico
Windows Server 2012 R2 (installazione di Server Core)
Denial of Service moderato
Importante bypass delle funzionalità di sicurezza
Elevazione dei privilegi importante
Importante esecuzione di codice remoto
Esecuzione di codice remoto critico
Denial of Service moderato
Critico
[1]Questo aggiornamento è disponibile solo tramite Windows Update .
Informazioni sulla vulnerabilità
Vulnerabilità di elevazione dei privilegi Win32k - CVE-2015-0003
Esiste una vulnerabilità di elevazione dei privilegi nel driver in modalità kernel di Windows (Win32k.sys) che si verifica quando gestisce in modo non corretto gli oggetti in memoria. Un utente malintenzionato che riesce a sfruttare questa vulnerabilità potrebbe ottenere privilegi elevati. Un utente malintenzionato potrebbe quindi installare programmi; visualizzare, modificare o eliminare i dati; o creare nuovi account con diritti amministrativi completi. L'aggiornamento risolve la vulnerabilità correggendo il modo in cui il driver in modalità kernel convalida determinati parametri rispetto agli oggetti registrati.
Microsoft ha ricevuto informazioni su questa vulnerabilità tramite la divulgazione coordinata delle vulnerabilità. Quando questo bollettino sulla sicurezza è stato originariamente rilasciato da Microsoft non aveva ricevuto informazioni per indicare che questa vulnerabilità era stata usata pubblicamente per attaccare i clienti.
Un utente malintenzionato deve avere credenziali di accesso valide e poter accedere localmente per sfruttare questa vulnerabilità.
Soluzioni alternative
Le soluzioni alternative seguenti possono essere utili nella situazione:
Configurare una voce del Registro di sistema per disabilitare il mapping di pagine NULL (solo Windows 7)
Nota L'uso non corretto dell'editor del Registro di sistema può causare gravi problemi che potrebbero richiedere la reinstallazione del sistema operativo. Microsoft non garantisce che i problemi dovuti all'utilizzo errato dell'Editor del Registro di sistema possano essere risolti. Utilizzare l'editor del Registro di sistema a proprio rischio. Per informazioni su come modificare il Registro di sistema, visualizzare l'argomento della Guida "Modifica chiavi e valori" nell'editor del Registro di sistema (Regedit.exe) o visualizzare gli argomenti della Guida "Aggiungi ed Elimina informazioni nel Registro di sistema" e "Modifica dati del Registro di sistema" in Regedt32.exe.
Aprire l'editor delRegistro di sistema.
Individuare e quindi fare clic sulla seguente sottochiave del Registro di sistema:
Vulnerabilità di bypass delle funzionalità di sicurezza CNG - CVE-2015-0010
Una vulnerabilità di bypass della funzionalità di sicurezza esiste nel driver in modalità kernel (CNG) cryptography next generation (cng.sys) quando non riesce a convalidare e applicare correttamente i livelli di rappresentazione. Un utente malintenzionato potrebbe sfruttare questa vulnerabilità convincendo un utente a eseguire un'applicazione appositamente creata che è progettata per consentire a CNG di convalidare in modo non corretto i livelli di rappresentazione, consentendo potenzialmente all'utente malintenzionato di ottenere l'accesso alle informazioni oltre il livello di accesso dell'utente locale. L'aggiornamento della sicurezza risolve la vulnerabilità correggendo il modo in cui il driver in modalità kernel convalida e applica i livelli di rappresentazione.
Questa vulnerabilità è stata divulgata pubblicamente. È stato assegnato il numero di vulnerabilità ed esposizione comuni CVE-2015-2010. Quando questo bollettino sulla sicurezza è stato originariamente rilasciato da Microsoft non aveva ricevuto informazioni per indicare che questa vulnerabilità era stata usata pubblicamente per attaccare i clienti.
Fattori di mitigazione
Microsoft non ha identificato alcun fattore di mitigazione per questa vulnerabilità.
Soluzioni alternative
Microsoft non ha identificato soluzioni alternative per questa vulnerabilità.
Vulnerabilità di elevazione dei privilegi Win32k - CVE-2015-0057
Esiste una vulnerabilità di elevazione dei privilegi nel driver in modalità kernel di Windows (Win32k.sys) che si verifica quando gestisce in modo non corretto gli oggetti in memoria. Un utente malintenzionato che ha sfruttato correttamente questa vulnerabilità potrebbe ottenere privilegi elevati e leggere quantità arbitrarie di memoria del kernel. Un utente malintenzionato potrebbe quindi installare programmi; visualizzare, modificare o eliminare i dati; o creare nuovi account con diritti amministrativi completi.
Per sfruttare la vulnerabilità, un utente malintenzionato dovrà prima accedere al sistema. Un utente malintenzionato potrebbe quindi eseguire un'applicazione appositamente progettata per elevare i privilegi. L'aggiornamento risolve la vulnerabilità correggendo il modo in cui il driver in modalità kernel gestisce gli oggetti in memoria.
Microsoft ha ricevuto informazioni su questa vulnerabilità tramite la divulgazione coordinata delle vulnerabilità. Quando questo bollettino sulla sicurezza è stato originariamente rilasciato da Microsoft non aveva ricevuto informazioni per indicare che questa vulnerabilità era stata usata pubblicamente per attaccare i clienti.
Fattori di mitigazione
Microsoft non ha identificato alcun fattore di mitigazione per questa vulnerabilità.
Soluzioni alternative
Microsoft non ha identificato soluzioni alternative per questa vulnerabilità.
Vulnerabilità double free dell'oggetto cursore di Windows - CVE-2015-0058
Esiste una vulnerabilità di elevazione dei privilegi nel driver in modalità kernel di Windows (win32k.sys) a causa di una condizione a doppia libertà. Un utente malintenzionato che ha sfruttato correttamente questa vulnerabilità potrebbe eseguire codice arbitrario in modalità kernel.
Un utente malintenzionato che ha sfruttato correttamente questa vulnerabilità potrebbe eseguire codice arbitrario in modalità kernel. Un utente malintenzionato potrebbe quindi installare programmi; visualizzare, modificare o eliminare i dati; o creare nuovi account con diritti amministrativi completi. Per sfruttare la vulnerabilità, un utente malintenzionato dovrà prima accedere al sistema. Un utente malintenzionato potrebbe quindi eseguire un'applicazione appositamente progettata per elevare i privilegi. L'aggiornamento risolve la vulnerabilità correggendo il modo in cui il driver in modalità kernel convalida i dati restituiti dalle funzioni in modalità utente prima dell'esecuzione.
Microsoft ha ricevuto informazioni su questa vulnerabilità tramite la divulgazione coordinata delle vulnerabilità. Quando questo bollettino sulla sicurezza è stato originariamente rilasciato da Microsoft non aveva ricevuto informazioni per indicare che questa vulnerabilità era stata usata pubblicamente per attaccare i clienti.
Fattori di mitigazione
Microsoft non ha identificato alcun fattore di mitigazione per questa vulnerabilità.
Soluzioni alternative
Microsoft non ha identificato soluzioni alternative per questa vulnerabilità.
Vulnerabilità di analisi remota del codice trueType - CVE-2015-0059
Esiste una vulnerabilità di esecuzione remota del codice nel driver in modalità kernel di Windows (Win32k.sys) che si verifica quando gestisce in modo non corretto i tipi di carattere TrueType.
Un utente malintenzionato che ha sfruttato correttamente questa vulnerabilità potrebbe eseguire codice arbitrario in modalità kernel. Un utente malintenzionato potrebbe quindi installare programmi; visualizzare, modificare o eliminare i dati; o creare nuovi account con diritti amministrativi completi. Per sfruttare la vulnerabilità, un utente malintenzionato deve convincere un utente ad aprire un documento appositamente creato o visitare un sito Web non attendibile che contiene tipi di carattere TrueType incorporati. L'aggiornamento risolve la vulnerabilità correggendo il modo in cui il driver in modalità kernel gestisce i tipi di carattere TrueType.
Microsoft ha ricevuto informazioni su questa vulnerabilità tramite la divulgazione coordinata delle vulnerabilità. Quando questo bollettino sulla sicurezza è stato originariamente rilasciato da Microsoft non aveva ricevuto informazioni per indicare che questa vulnerabilità era stata usata pubblicamente per attaccare i clienti.
Fattori di mitigazione
Microsoft non ha identificato alcun fattore di mitigazione per questa vulnerabilità.
Soluzioni alternative
Le soluzioni alternative seguenti possono essere utili nella situazione:
Negare l'accesso a T2EMBED.DLL
Per i sistemi a 32 bit, immettere i comandi seguenti al prompt dei comandi amministrativi:
Impatto della soluzione alternativa. Le applicazioni che si basano sulla tecnologia dei tipi di carattere incorporata non verranno visualizzate correttamente.
Come annullare la soluzione alternativa.
Per i sistemi a 32 bit, immettere il comando seguente al prompt dei comandi amministrativo:
Vulnerabilità Denial of Service del driver dei tipi di carattere di Windows - CVE-2015-0060
Esiste una vulnerabilità Denial of Service nel driver in modalità kernel di Windows (Win32k.sys) che si verifica quando il mapper dei tipi di carattere di Windows tenta di ridimensionare un tipo di carattere.
Un utente malintenzionato che ha sfruttato correttamente questa vulnerabilità potrebbe causare l'arresto della risposta del computer dell'utente. Un utente malintenzionato potrebbe tentare di sfruttare questa vulnerabilità convincendo un utente ad aprire un file dannoso o visitare un collegamento a un sito Web dannoso. L'aggiornamento risolve la vulnerabilità correggendo il modo in cui il driver in modalità kernel controlla la larghezza dei caratteri prima del caricamento dei tipi di carattere in memoria.
Microsoft ha ricevuto informazioni su questa vulnerabilità tramite la divulgazione coordinata delle vulnerabilità. Quando questo bollettino sulla sicurezza è stato originariamente rilasciato da Microsoft non aveva ricevuto informazioni per indicare che questa vulnerabilità era stata usata pubblicamente per attaccare i clienti.
Fattori di mitigazione
Microsoft non ha identificato alcun fattore di mitigazione per questa vulnerabilità.
Soluzioni alternative
Le soluzioni alternative seguenti possono essere utili nella situazione:
Negare l'accesso a T2EMBED.DLL
Per i sistemi a 32 bit, immettere i comandi seguenti al prompt dei comandi amministrativi:
Impatto della soluzione alternativa. Le applicazioni che si basano sulla tecnologia dei tipi di carattere incorporata non verranno visualizzate correttamente.
Come annullare la soluzione alternativa.
Per i sistemi a 32 bit, immettere il comando seguente al prompt dei comandi amministrativo:
Per i sistemi a 64 bit, immettere i comandi seguenti al prompt dei comandi amministrativi:
Icacls.exe %WINDIR%\system32\t2embed.DLL /remove:d everyone
IIcacls.exe %WINDIR%\syswow64\t2embed.DLL /remove:d everyone
```
Security Update Deployment
--------------------------
For Security Update Deployment information, see the Microsoft Knowledge Base article referenced in the Executive Summary.
Acknowledgments
---------------
Microsoft recognizes the efforts of those in the security community who help us protect customers through coordinated vulnerability disclosure. See [Acknowledgments](https://technet.microsoft.com/library/security/dn903755.aspx) for more information.
Disclaimer
----------
The information provided in the Microsoft Knowledge Base is provided "as is" without warranty of any kind. Microsoft disclaims all warranties, either express or implied, including the warranties of merchantability and fitness for a particular purpose. In no event shall Microsoft Corporation or its suppliers be liable for any damages whatsoever including direct, indirect, incidental, consequential, loss of business profits or special damages, even if Microsoft Corporation or its suppliers have been advised of the possibility of such damages. Some states do not allow the exclusion or limitation of liability for consequential or incidental damages so the foregoing limitation may not apply.
Revisions
---------
- V1.0 (February 10, 2015): Bulletin published.
- V1.1 (February 18, 2015): Bulletin revised to add an Update FAQ that explains why there are two packages on the Microsoft Download Center pages for affected editions of Windows Server 2003, Windows Server 2008, and Windows Vista. The additional package (3037639) is not needed to be protected from the vulnerabilities addressed by the 3013455 update; it simply corrects a text quality problem that some customers experienced after installing the 3013455 update on the indicated systems.
*Page generated 2015-02-18 15:39Z-08:00.*
Questo modulo illustra come proteggere il proprio ambiente Active Directory proteggendo gli account utente con il principio dei privilegi minimi e inserendoli nel gruppo Utenti protetti. Spiega come limitare l'ambito di autenticazione e correggere gli account potenzialmente non sicuri.