La vulnerabilità nel componente grafico Microsoft potrebbe consentire l'esecuzione di codice remoto (3046306)
Pubblicato: 14 aprile 2015 | Aggiornato: 29 aprile 2015
Versione: 1.1
Schema riepilogativo
Questo aggiornamento della sicurezza risolve una vulnerabilità in Microsoft Windows. La vulnerabilità potrebbe consentire l'esecuzione di codice remoto se un utente malintenzionato convince correttamente un utente a passare a un sito Web appositamente creato, aprire un file appositamente creato o passare a una directory di lavoro che contiene un file di immagine EMF (Enhanced Metafile) appositamente creato. In tutti i casi, tuttavia, un utente malintenzionato non avrebbe modo di forzare gli utenti a eseguire tali azioni; un utente malintenzionato dovrebbe convincere gli utenti a farlo, in genere tramite l'incitamento nei messaggi di posta elettronica o Instant Messenger.
Questo aggiornamento della sicurezza è valutato Critical per tutte le edizioni supportate di Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 e Windows Server 2008 R2. Per altre informazioni, vedere la sezione Software interessato.
L'aggiornamento della sicurezza risolve la vulnerabilità correggendo il modo in cui Windows elabora i file EMF. Per altre informazioni sulla vulnerabilità, vedere la sezione Informazioni sulla vulnerabilità.
Sono interessate le versioni o le edizioni software seguenti. Le versioni o le edizioni non elencate superano il ciclo di vita del supporto o non sono interessate. Per determinare il ciclo di vita del supporto per la versione o l'edizione del software, vedere supporto tecnico Microsoft Ciclo di vita.
Classificazioni di gravità e identificatori di vulnerabilità
Le classificazioni di gravità seguenti presuppongono il potenziale impatto massimo della vulnerabilità. Per informazioni sulla probabilità, entro 30 giorni dal rilascio di questo bollettino sulla sicurezza, della sfruttabilità della vulnerabilità in relazione alla classificazione di gravità e all'impatto sulla sicurezza, vedere l'indice di exploit nel riepilogo del bollettino di aprile.
Valutazione della gravità della vulnerabilità e Impatto massimo sulla sicurezza da parte del software interessato
Windows Server 2003 x64 Edition Service Pack 2 (3046306)
Esecuzione di codice remoto critico
Critico
Windows Server 2003 con SP2 per sistemi basati su Itanium (3046306)
Esecuzione di codice remoto critico
Critico
Windows Vista
Windows Vista Service Pack 2 (3046306)
Esecuzione di codice remoto critico
Critico
Windows Vista x64 Edition Service Pack 2 (3046306)
Esecuzione di codice remoto critico
Critico
Windows Server 2008
Windows Server 2008 per sistemi a 32 bit Service Pack 2 (3046306)
Esecuzione di codice remoto critico
Critico
Windows Server 2008 per sistemi basati su x64 Service Pack 2 (3046306)
Esecuzione di codice remoto critico
Critico
Windows Server 2008 per sistemi basati su Itanium Service Pack 2 (3046306)
Esecuzione di codice remoto critico
Critico
Windows 7
Windows 7 per sistemi a 32 bit Service Pack 1 (3046306)
Esecuzione di codice remoto critico
Critico
Windows 7 per sistemi basati su x64 Service Pack 1 (3046306)
Esecuzione di codice remoto critico
Critico
Windows Server 2008 R2
Windows Server 2008 R2 per sistemi basati su x64 Service Pack 1 (3046306)
Esecuzione di codice remoto critico
Critico
Windows Server 2008 R2 per sistemi basati su Itanium Service Pack 1 (3046306)
Esecuzione di codice remoto critico
Critico
Opzione di installazione dei componenti di base del server
Windows Server 2008 per sistemi a 32 bit Service Pack 2 (installazione Server Core) (3046306)
Esecuzione di codice remoto critico
Critico
Windows Server 2008 per sistemi basati su x64 Service Pack 2 (installazione server Core) (3046306)
Esecuzione di codice remoto critico
Critico
Windows Server 2008 R2 per sistemi basati su x64 Service Pack 1 (installazione server Core) (3046306)
Esecuzione di codice remoto critico
Critico
Informazioni sulla vulnerabilità
Vulnerabilità di esecuzione del codice remoto per l'elaborazione EMF - CVE-2015-1645
Esiste una vulnerabilità di esecuzione remota del codice nel modo in cui Microsoft Windows elabora in modo errato alcuni file di formato di immagine EMF (Enhanced Metafile). Un utente malintenzionato che ha sfruttato correttamente la vulnerabilità potrebbe eseguire codice arbitrario come utente connesso. L'utente malintenzionato potrebbe quindi installare programmi e visualizzare, modificare o eliminare dati, oppure creare nuovi account con diritti utente completi. Se un utente è connesso con diritti utente amministrativi, un utente malintenzionato potrebbe assumere il controllo completo del sistema interessato. Gli utenti con account che dispongono di diritti utente limitati per il sistema in uso risultano meno esposti degli utenti che operano con diritti amministrativi.
In uno scenario di attacco basato sul Web, un utente malintenzionato potrebbe ospitare un sito Web appositamente progettato per sfruttare la vulnerabilità tramite Internet Explorer e quindi convincere gli utenti a visualizzare il sito Web. Ciò può includere anche siti Web o siti Web compromessi che accettano o ospitano contenuti forniti dall'utente o annunci banner; tali siti Web possono contenere contenuti appositamente creati che sono progettati per sfruttare la vulnerabilità. In tutti i casi, tuttavia, un utente malintenzionato non avrebbe modo di forzare gli utenti a visitare tali siti Web. Un utente malintenzionato dovrà invece convincere gli utenti a farlo, in genere facendo clic su un collegamento in una richiesta di posta elettronica o Instant Messenger.
In uno scenario di attacco tramite posta elettronica, un utente malintenzionato potrebbe sfruttare la vulnerabilità inviando agli utenti di Outlook un messaggio di posta elettronica appositamente creato o inviando loro un documento di Office appositamente creato come allegato e convincendo l'utente a leggere il messaggio o aprire il file.
Un utente malintenzionato potrebbe anche sfruttare questa vulnerabilità ospitando un file di immagine dannoso in una condivisione di rete e convincendo gli utenti a passare alla cartella in Esplora risorse.
L'aggiornamento della sicurezza risolve la vulnerabilità correggendo il modo in cui Windows elabora i file EMF.
Microsoft ha ricevuto informazioni su questa vulnerabilità tramite la divulgazione coordinata delle vulnerabilità. Quando è stato rilasciato questo bollettino sulla sicurezza, Microsoft non aveva ricevuto informazioni per indicare che questa vulnerabilità era stata usata pubblicamente per attaccare i clienti.
Fattori di mitigazione
Microsoft non ha identificato alcun fattore di mitigazione per questa vulnerabilità.
Soluzioni alternative
Le soluzioni alternative seguenti possono essere utili nella situazione:
Disattivare l'elaborazione del metafile modificando il Registro di sistema
I clienti di Windows Server 2003 che hanno applicato l'aggiornamento 925902 o i clienti che usano Windows Vista, Windows Server 2008, Windows 7 o Windows Server 2008 R2 possono disabilitare l'elaborazione dei metafile modificando il Registro di sistema. Questa impostazione consente di proteggere il sistema interessato dai tentativi di sfruttare questa vulnerabilità.
Utilizzo del metodo Manual:
Avviso Se si usa l'editor del Registro di sistema in modo errato, è possibile che si verifichino gravi problemi che potrebbero richiedere di reinstallare il sistema operativo. Microsoft non può garantire che sia possibile risolvere i problemi derivanti dall'uso non corretto dell'editor del Registro di sistema. Utilizzare l'editor del Registro di sistema a proprio rischio.
Fare clic su Start, scegliere Esegui, digitare Regedit nella casella Apri e quindi fare clic su OK.
Individuare e fare clic sulla seguente sottochiave del Registro di sistema:
Scegliere Nuovo dal menu Modifica e quindi fare clic su DWORD.
Digitare DisableMetaFiles e quindi premere INVIO.
Scegliere Modifica dal menu Modifica per modificare la voce del Registro di sistema DisableMetaFiles.
Nella casella Dati valore digitare 1 e quindi fare clic su OK.
Chiudere l'editor del Registro di sistema.
Riavviare il computer.
Impatto della soluzione alternativa. La disattivazione dell'elaborazione dei metafile può causare la diminuzione della qualità dell'aspetto dei componenti software o di sistema. La disattivazione dell'elaborazione dei metafile può anche causare un errore completo dei componenti software o di sistema. È stato identificato per avere un potenziale impatto significativo sulle funzionalità e deve essere valutato e testato attentamente per determinarne l'applicabilità.
Di seguito sono illustrati alcuni esempi.
Non è possibile stampare sul computer.
Alcune applicazioni nel computer potrebbero non essere in grado di visualizzare Clipart.
Alcuni scenari che comportano il rendering OLE possono interrompersi. In particolare, si verifica quando il server oggetti non è attivo.
Salvare il codice seguente in un file con un oggetto . Estensione REG (ad esempio, Disable_MetaFiles.reg):
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\GRE_Initialize]
"DisableMetaFiles"=dword:00000001
Eseguire lo script del Registro di sistema precedente nel computer di destinazione con il comando seguente da un amministratore (in Vista, un amministratore con privilegi elevati):
Regedit.exe /s Disable_MetaFiles.reg
Riavviare il computer.
Come annullare la soluzione alternativa:
Fare clic su Start, scegliere Esegui, digitare Regedit nella casella Apri e quindi fare clic su OK.
Individuare e fare clic sulla seguente sottochiave del Registro di sistema:
Scegliere Modifica dal menu Modifica nella voce Del Registro di sistema DisableMetaFiles.
Nella casella Dati valore digitare 0 e quindi fare clic su OK.
Chiudere l'editor del Registro di sistema.
Riavviare il computer.
Distribuzione degli aggiornamenti della sicurezza
Per informazioni sulla distribuzione degli aggiornamenti della sicurezza, vedere l'articolo della Microsoft Knowledge Base a cui si fa riferimento nel riepilogo esecutivo.
Riconoscimenti
Microsoft riconosce gli sforzi di coloro che si trovano nella community di sicurezza che ci aiutano a proteggere i clienti attraverso la divulgazione coordinata delle vulnerabilità. Per altre informazioni, vedere Riconoscimenti .
Dichiarazione di non responsabilità
Le informazioni fornite nella Microsoft Knowledge Base vengono fornite "così com'è" senza garanzia di alcun tipo. Microsoft dichiara tutte le garanzie, espresse o implicite, incluse le garanzie di commerciabilità e idoneità per uno scopo specifico. In nessun caso, Microsoft Corporation o i suoi fornitori saranno responsabili di qualsiasi danno, incluso diretto, indiretto, accidentale, consequenziale, perdita di profitti aziendali o danni speciali, anche se Microsoft Corporation o i suoi fornitori sono stati informati della possibilità di tali danni. Alcuni stati non consentono l'esclusione o la limitazione della responsabilità per danni consequenziali o accidentali, pertanto la limitazione precedente potrebbe non essere applicata.
Revisioni
V1.0 (14 aprile 2015): Bollettino pubblicato.
V1.1 (29 aprile 2015): Bollettino modificato per correggere le voci di sostituzione degli aggiornamenti per tutti i software interessati. Si tratta solo di una modifica informativa.
Gli amministratori della sicurezza delle informazioni pianificano e implementano la sicurezza delle informazioni dei dati sensibili usando Microsoft Purview e i servizi correlati. L'utente è responsabile della mitigazione dei rischi proteggendo i dati all'interno di ambienti di collaborazione gestiti da Microsoft 365 da minacce interne ed esterne e proteggendo i dati usati dai servizi di intelligenza artificiale. Si implementa anche la protezione delle informazioni, la prevenzione della perdita dei dati, la