Questo browser non è più supportato.
Esegui l'aggiornamento a Microsoft Edge per sfruttare i vantaggi di funzionalità più recenti, aggiornamenti della sicurezza e supporto tecnico.
Pubblicato: 11 agosto 2015 | Aggiornamento: 13 ottobre 2015
Versione: 3.0
Questo aggiornamento della sicurezza risolve le vulnerabilità in Microsoft Office. La più grave delle vulnerabilità potrebbe consentire l'esecuzione remota del codice se un utente apre un file di Microsoft Office appositamente creato. Un utente malintenzionato che ha sfruttato correttamente le vulnerabilità potrebbe eseguire codice arbitrario nel contesto dell'utente corrente. I clienti i cui account sono configurati per avere un minor numero di diritti utente nel sistema potrebbero essere meno interessati rispetto a quelli che operano con diritti utente amministrativi.
Per altre informazioni, vedere la sezione Valutazioni di gravità del software e della vulnerabilità interessate.
L'aggiornamento della sicurezza risolve le vulnerabilità in base a:
Per altre informazioni sulle vulnerabilità, vedere la sezione Informazioni sulla vulnerabilità.
Per altre informazioni su questo aggiornamento, vedere l'articolo della Microsoft Knowledge Base 3080790.
Sono interessate le versioni o le edizioni software seguenti. Le versioni o le edizioni non elencate superano il ciclo di vita del supporto o non sono interessate. Per determinare il ciclo di vita del supporto per la versione o l'edizione del software, vedere supporto tecnico Microsoft Ciclo di vita.
Le classificazioni di gravità seguenti presuppongono il potenziale impatto massimo della vulnerabilità. Per informazioni sulla probabilità, entro 30 giorni dal rilascio del bollettino sulla sicurezza, della sfruttabilità della vulnerabilità in relazione alla valutazione della gravità e all'impatto sulla sicurezza, vedere l'indice di exploit nel riepilogo del bollettino di agosto.
| Valutazione della gravità della vulnerabilità e Impatto massimo sulla sicurezza da parte del software interessato | |||||||||
|---|---|---|---|---|---|---|---|---|---|
| Software interessato | Vulnerabilità di danneggiamento della memoria di Microsoft Office - CVE-2015-1642 | Vulnerabilità del passaggio del parametro della riga di comando unsafe - CVE-2015-2423 | Vulnerabilità di esecuzione di codice remoto di Microsoft Office - CVE-2015-2466 | Vulnerabilità di danneggiamento della memoria di Microsoft Office - CVE-2015-2467 | Vulnerabilità di danneggiamento della memoria di Microsoft Office - CVE-2015-2468 | Vulnerabilità di danneggiamento della memoria di Microsoft Office - CVE-2015-2469 | Vulnerabilità underflow integer di Microsoft Office - CVE-2015-2470 | Vulnerabilità di danneggiamento della memoria di Microsoft Office - CVE-2015-2477 | Aggiornamenti sostituito |
| Microsoft Office 2007 | |||||||||
| Microsoft Office 2007 Service Pack 3 (2687409) | Importanteesecuzione di codice remoto | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Non applicabile | 2596744 in MS12-046 |
| Microsoft Office 2007 Service Pack 3 (3054888) | Non applicabile | Non applicabile | Esecuzione di codice remoto critico | Importanteesecuzione di codice remoto | Non applicabile | Non applicabile | Non applicabile | Non applicabile | 2965282 in MS15-046 |
| Microsoft Office 2007 Service Pack 3 (2596650) | Non applicabile | Non applicabile | Esecuzione di codice remoto critico | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Non applicabile | None |
| Microsoft Office 2007 Service Pack 3 (2837610) | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Importanteesecuzione di codice remoto | Importanteesecuzione di codice remoto | 2597973 in MS13-072 |
| Microsoft Excel 2007 Service Pack 3 (3054992) | Non applicabile | Divulgazione di informazioni importanti | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Non applicabile | 2965281 in MS15-070 |
| Microsoft PowerPoint 2007 Service Pack 3 (3055051) | Non applicabile | Divulgazione di informazioni importanti | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Non applicabile | 2965283 in MS15-070 |
| Microsoft Visio 2007 Service Pack 3 (2965280) | Non applicabile | Divulgazione di informazioni importanti | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Non applicabile | 2596595 in MS13-044 |
| Microsoft Word 2007 Service Pack 3 (3055052) | Non applicabile | Divulgazione di informazioni importanti | Non applicabile | Non applicabile | Importanteesecuzione di codice remoto | Importanteesecuzione di codice remoto | Non applicabile | Non applicabile | 3054996 in MS15-070 |
| Microsoft Office 2010 | |||||||||
| Microsoft Office 2010 Service Pack 2 (edizioni a 32 bit) (2965310) | Importanteesecuzione di codice remoto | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Non applicabile | 2598243 in MS12-046 |
| Microsoft Office 2010 Service Pack 2 (edizioni a 64 bit) (2965310) | Importanteesecuzione di codice remoto | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Non applicabile | 2598243 in MS12-046 |
| Microsoft Office 2010 Service Pack 2 (edizioni a 32 bit) (3055037) | Non applicabile | Divulgazione di informazioni importanti | Non applicabile | Non applicabile | Importanteesecuzione di codice remoto | Importanteesecuzione di codice remoto | Non applicabile | Non applicabile | 3054971 in MS15-070 |
| Microsoft Office 2010 Service Pack 2 (edizioni a 64 bit) (3055037) | Non applicabile | Divulgazione di informazioni importanti | Non applicabile | Non applicabile | Importanteesecuzione di codice remoto | Importanteesecuzione di codice remoto | Non applicabile | Non applicabile | 3054971 in MS15-070 |
| Microsoft Office 2010 Service Pack 2 (edizioni a 32 bit) (2553313) | Non applicabile | Non applicabile | Esecuzione di codice remoto critico | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Non applicabile | None |
| Microsoft Office 2010 Service Pack 2 (edizioni a 64 bit) (2553313) | Non applicabile | Non applicabile | Esecuzione di codice remoto critico | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Non applicabile | None |
| Microsoft Office 2010 Service Pack 2 (edizioni a 32 bit) (2598244) | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Importanteesecuzione di codice remoto | Non applicabile | 2589320 in MS11-089 |
| Microsoft Office 2010 Service Pack 2 (edizioni a 64 bit) (2598244) | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Importanteesecuzione di codice remoto | Non applicabile | 2589320 in MS11-089 |
| Microsoft Excel 2010 Service Pack 2 (edizioni a 32 bit) (3055044) | Non applicabile | Divulgazione di informazioni importanti | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Non applicabile | 3054981 in MS15-070 |
| Microsoft Excel 2010 Service Pack 2 (edizioni a 64 bit) (3055044) | Non applicabile | Divulgazione di informazioni importanti | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Non applicabile | 3054981 in MS15-070 |
| Microsoft PowerPoint 2010 Service Pack 2 (edizioni a 32 bit) (3055033) | Non applicabile | Divulgazione di informazioni importanti | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Non applicabile | 3054963 in MS15-070 |
| Microsoft PowerPoint 2010 Service Pack 2 (edizioni a 64 bit) (3055033) | Non applicabile | Divulgazione di informazioni importanti | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Non applicabile | 3054963 in MS15-070 |
| Microsoft Visio 2010 Service Pack 2 (edizioni a 32 bit) (3054876) | Non applicabile | Divulgazione di informazioni importanti | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Non applicabile | 2810068 in MS13-044 |
| Microsoft Visio 2010 Service Pack 2 (edizioni a 64 bit) (3054876) | Non applicabile | Divulgazione di informazioni importanti | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Non applicabile | 2810068 in MS13-044 |
| Microsoft Word 2010 Service Pack 2 (edizioni a 32 bit) (3055039) | Non applicabile | Divulgazione di informazioni importanti | Non applicabile | Non applicabile | Importanteesecuzione di codice remoto | Importanteesecuzione di codice remoto | Non applicabile | Non applicabile | 3054973 in MS15-070 |
| Microsoft Word 2010 Service Pack 2 (edizioni a 64 bit) (3055039) | Non applicabile | Divulgazione di informazioni importanti | Non applicabile | Non applicabile | Importanteesecuzione di codice remoto | Importanteesecuzione di codice remoto | Non applicabile | Non applicabile | 3054973 in MS15-070 |
| Microsoft Office 2013 | |||||||||
| Microsoft Office 2013 Service Pack 1 (edizioni a 32 bit) (3039734) | Importanteesecuzione di codice remoto | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Non applicabile | None |
| Microsoft Office 2013 Service Pack 1 (edizioni a 64 bit) (3039734) | Importanteesecuzione di codice remoto | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Non applicabile | None |
| Microsoft Office 2013 Service Pack 1 (edizioni a 32 bit) (3039798) | Non applicabile | Non applicabile | Esecuzione di codice remoto critico | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Non applicabile | None |
| Microsoft Office 2013 Service Pack 1 (edizioni a 64 bit) (3039798) | Non applicabile | Non applicabile | Esecuzione di codice remoto critico | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Non applicabile | None |
| Microsoft Office 2013 Service Pack 1 (edizioni a 32 bit) (3054816) | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Importanteesecuzione di codice remoto | Non applicabile | None |
| Microsoft Office 2013 Service Pack 1 (edizioni a 64 bit) (3054816) | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Importanteesecuzione di codice remoto | Non applicabile | None |
| Microsoft Excel 2013 Service Pack 1 (edizioni a 32 bit) (3054991) | Non applicabile | Divulgazione di informazioni importanti | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Non applicabile | 3054949 in MS15-070 |
| Microsoft Excel 2013 Service Pack 1 (edizioni a 64 bit) (3054991) | Non applicabile | Divulgazione di informazioni importanti | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Non applicabile | 3054949 in MS15-070 |
| Microsoft PowerPoint 2013 Service Pack 1 (edizioni a 32 bit) (3055029) | Non applicabile | Divulgazione di informazioni importanti | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Non applicabile | 3054999 in MS15-070 |
| Microsoft PowerPoint 2013 Service Pack 1 (edizioni a 64 bit) (3055029) | Non applicabile | Divulgazione di informazioni importanti | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Non applicabile | 3054999 in MS15-070 |
| Microsoft Visio 2013 Service Pack 1 (edizioni a 32 bit) (3054929) | Non applicabile | Divulgazione di informazioni importanti | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Non applicabile | None |
| Microsoft Visio 2013 Service Pack 1 (edizioni a 64 bit) (3054929) | Non applicabile | Divulgazione di informazioni importanti | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Non applicabile | None |
| Microsoft Word 2013 Service Pack 1 (edizioni a 32 bit) (3055030) | Non applicabile | Divulgazione di informazioni importanti | Non applicabile | Non applicabile | Importanteesecuzione di codice remoto | Non applicabile | Non applicabile | Non applicabile | 3054990 in MS15-070 |
| Microsoft Word 2013 Service Pack 1 (edizioni a 64 bit) (3055030) | Non applicabile | Divulgazione di informazioni importanti | Non applicabile | Non applicabile | Importanteesecuzione di codice remoto | Non applicabile | Non applicabile | Non applicabile | 3054990 in MS15-070 |
| Microsoft Office 2013 RT | |||||||||
| Microsoft Office 2013 RT Service Pack 1 (3039798)[1] | Non applicabile | Non applicabile | Esecuzione di codice remoto critico | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Non applicabile | None |
| Microsoft Office 2013 RT Service Pack 1 (3054816)[2] | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Importanteesecuzione di codice remoto | Non applicabile | None |
| Microsoft Excel 2013 RT Service Pack 1 (3054991)[2] | Non applicabile | Divulgazione di informazioni importanti | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Non applicabile | 3054949 in MS15-070 |
| Microsoft PowerPoint 2013 RT Service Pack 1 (3055029)[2] | Non applicabile | Divulgazione di informazioni importanti | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Non applicabile | None |
| Microsoft Visio 2013 RT Service Pack 1 (edizioni a 64 bit) (3054929)[2] | Non applicabile | Divulgazione di informazioni importanti | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Non applicabile | None |
| Microsoft Word 2013 RT Service Pack 1 (3055030)[2] | Non applicabile | Divulgazione di informazioni importanti | Non applicabile | Non applicabile | Importanteesecuzione di codice remoto | Non applicabile | Non applicabile | Non applicabile | 3054990 in MS15-070 |
| Microsoft Office 2016 | |||||||||
| Microsoft Office 2016 (edizioni a 32 bit) (3085538) | Non applicabile | Non applicabile | Esecuzione di codice remoto critico | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Non applicabile | None |
| Microsoft Office 2016 (edizioni a 64 bit) (3085538) | Non applicabile | Non applicabile | Esecuzione di codice remoto critico | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Non applicabile | None |
| Microsoft Visio 2016 (edizioni a 32 bit) (2920708) | Non applicabile | Divulgazione di informazioni importanti | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Non applicabile | None |
| Microsoft Visio 2016 (edizioni a 64 bit) (2920708) | Non applicabile | Divulgazione di informazioni importanti | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Non applicabile | None |
| Microsoft Word 2016 (edizioni a 32 bit) (2920691) | Non applicabile | Divulgazione di informazioni importanti | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Non applicabile | None |
| Microsoft Word 2016 (edizioni a 64 bit) (2920691) | Non applicabile | Divulgazione di informazioni importanti | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Non applicabile | None |
| Microsoft Office per Mac 2011 | |||||||||
| Microsoft Office per Mac 2011 (3081349) | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Importanteesecuzione di codice remoto | Importanteesecuzione di codice remoto | Importanteesecuzione di codice remoto | Importanteesecuzione di codice remoto | 3073865 in MS15-070 |
| Microsoft Office per Mac 2016 | |||||||||
| Microsoft Office per Mac 2016 (3082420) | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Importanteesecuzione di codice remoto | Non applicabile | Non applicabile | Importanteesecuzione di codice remoto | None |
| Altro software di Office | |||||||||
| Microsoft Office Compatibility Pack Service Pack 3 (2986254) | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Importanteesecuzione di codice remoto | Non applicabile | Non applicabile | Non applicabile | 2965210 in MS15-033 |
| Visualizzatore Microsoft Word (3055053) | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Importanteesecuzione di codice remoto | Non applicabile | Non applicabile | Non applicabile | 3054958 in MS15-070 |
| Visualizzatore Microsoft Word (3055054) | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Importanteesecuzione di codice remoto | Importanteesecuzione di codice remoto | None |
[1]A partire dal 2 settembre 2015, questo aggiornamento è disponibile tramite Windows Update.
[2]Questo aggiornamento è disponibile tramite Windows Update.
*La colonna Aggiornamenti Sostituito mostra solo l'aggiornamento più recente in una catena di aggiornamenti sostituiti. Per un elenco completo degli aggiornamenti sostituiti, passare a Microsoft Update Catalog, cercare il numero kb di aggiornamento e quindi visualizzare i dettagli degli aggiornamenti (gli aggiornamenti sostituiti sono disponibili nella scheda Dettagli pacchetto).
| Valutazione della gravità della vulnerabilità e Impatto massimo sulla sicurezza da parte del software interessato | |||||||||
|---|---|---|---|---|---|---|---|---|---|
| Software interessato | Vulnerabilità di danneggiamento della memoria di Microsoft Office - CVE-2015-1642 | Vulnerabilità del passaggio del parametro della riga di comando unsafe - CVE-2015-2423 | Vulnerabilità di esecuzione di codice remoto di Microsoft Office - CVE-2015-2466 | Vulnerabilità di danneggiamento della memoria di Microsoft Office - CVE-2015-2467 | Vulnerabilità di danneggiamento della memoria di Microsoft Office - CVE-2015-2468 | Vulnerabilità di danneggiamento della memoria di Microsoft Office - CVE-2015-2469 | Vulnerabilità underflow integer di Microsoft Office - CVE-2015-2470 | Vulnerabilità di danneggiamento della memoria di Microsoft Office - CVE-2015-2477 | Aggiornamenti sostituito |
| Microsoft SharePoint Server 2010 | |||||||||
| Word Automation Services in Microsoft SharePoint Server 2010 Service Pack 2 (3054960) | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Importanteesecuzione di codice remoto | Non applicabile | Non applicabile | Non applicabile | 3054833 in MS15-046 |
| Microsoft SharePoint Server 2013 | |||||||||
| Word Automation Services in Microsoft SharePoint Server 2013 Service Pack 1 (3054858) | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Importanteesecuzione di codice remoto | Non applicabile | Non applicabile | Non applicabile | 3023055 in MS15-046 |
| Microsoft Office App Web 2010 | |||||||||
| Microsoft Word App Web 2010 Service Pack 2 (3054974) | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Importanteesecuzione di codice remoto | Non applicabile | Non applicabile | Non applicabile | 3054843 in MS15-046 |
| Microsoft Office App Web 2013 | |||||||||
| Microsoft Office App Web Server 2013 Service Pack 1 (3055003) | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Importanteesecuzione di codice remoto | Non applicabile | Non applicabile | Non applicabile | 3039748 in MS15-046 |
*La colonna Aggiornamenti Sostituito mostra solo l'aggiornamento più recente in una catena di aggiornamenti sostituiti. Per un elenco completo degli aggiornamenti sostituiti, passare a Microsoft Update Catalog, cercare il numero kb di aggiornamento e quindi visualizzare i dettagli degli aggiornamenti (gli aggiornamenti sostituiti sono disponibili nella scheda Dettagli pacchetto).
CVE-2015-2423 discusso in questo bollettino è anche discusso in altri bollettini rilasciati in agosto. È necessario installare più aggiornamenti per essere protetti da questa vulnerabilità?
Sì. Per essere protetti da CVE-2015-2423, i clienti devono applicare tutti gli aggiornamenti forniti in questo bollettino per il software interessato, nonché l'aggiornamento per Internet Explorer fornito in MS15-079. Analogamente, i clienti che eseguono una versione interessata di Microsoft Windows devono installare anche gli aggiornamenti applicabili forniti in MS15-088. I clienti che non installano tutti gli aggiornamenti disponibili per il software interessato non saranno completamente protetti dalla vulnerabilità.
MS15-080, MS15-081 e MS15-084 tutti gli indirizzino vulnerabilità in Microsoft Office. Gli aggiornamenti della sicurezza nei tre bollettini sono correlati?
No. Gli aggiornamenti della sicurezza in MS15-080, MS15-081 e MS15-084 non sono correlati. I clienti devono installare gli aggiornamenti in entrambi i bollettini per il software installato nei propri sistemi.
Questo aggiornamento contiene eventuali modifiche aggiuntive relative alla sicurezza alle funzionalità?
Sì. Oltre alle modifiche elencate per le vulnerabilità descritte in questo bollettino, questo aggiornamento include aggiornamenti approfonditi per proteggere Microsoft Office.
È installato Microsoft Word 2010. Perché non viene offerto l'aggiornamento 3055037?
L'aggiornamento 3055037 si applica solo ai sistemi che eseguono configurazioni specifiche di Microsoft Office 2010. Alcune configurazioni non verranno offerte per l'aggiornamento.
Sono disponibili più pacchetti di aggiornamento per alcuni dei software interessati. È necessario installare tutti gli aggiornamenti elencati nella tabella Software interessato per il software?
Sì. I clienti devono applicare tutti gli aggiornamenti offerti per il software installato nei propri sistemi.
Viene offerto questo aggiornamento per il software che non è indicato specificamente come interessato nella tabella Valutazioni di gravità del software e della vulnerabilità interessate. Perché viene offerto questo aggiornamento?
Quando gli aggiornamenti rispondono a codice vulnerabile presente in un componente condiviso tra più prodotti Microsoft Office o condivisi tra più versioni dello stesso prodotto Microsoft Office, l'aggiornamento viene considerato applicabile a tutti i prodotti e le versioni supportati che contengono il componente vulnerabile.
Ad esempio, quando un aggiornamento si applica ai prodotti Microsoft Office 2007, solo Microsoft Office 2007 può essere elencato specificamente nella tabella Software interessato. Tuttavia, l'aggiornamento potrebbe essere applicato a Microsoft Word 2007, Microsoft Excel 2007, Microsoft Visio 2007, Microsoft Compatibility Pack, Microsoft Excel Viewer o qualsiasi altro prodotto di Microsoft Office 2007 non specificato nella tabella Software interessato.
Ad esempio, quando un aggiornamento si applica ai prodotti Microsoft Office 2010, solo Microsoft Office 2010 può essere elencato specificamente nella tabella Software interessato. Tuttavia, l'aggiornamento potrebbe essere applicato a Microsoft Word 2010, Microsoft Excel 2010, Microsoft Visio 2010, Visualizzatore di Microsoft Visio o qualsiasi altro prodotto di Microsoft Office 2010 non elencato in modo specifico nella tabella Software interessato.
Ad esempio, quando un aggiornamento si applica ai prodotti Microsoft Office 2013, solo Microsoft Office 2013 può essere elencato specificamente nella tabella Software interessato. Tuttavia, l'aggiornamento potrebbe essere applicato a Microsoft Word 2013, Microsoft Excel 2013, Microsoft Visio 2013 o qualsiasi altro prodotto di Microsoft Office 2013 non elencato in modo specifico nella tabella Software interessato.
Le vulnerabilità di esecuzione remota del codice sono presenti nel software di Microsoft Office quando il software di Office non riesce a gestire correttamente gli oggetti in memoria. Un utente malintenzionato che ha sfruttato correttamente la vulnerabilità potrebbe usare un file appositamente creato per eseguire azioni nel contesto di sicurezza dell'utente corrente. Il file potrebbe quindi eseguire azioni per conto dell'utente connesso con le stesse autorizzazioni dell'utente corrente. Lo sfruttamento di questa vulnerabilità richiede che un utente apra un file appositamente creato con una versione interessata del software di Microsoft Office.
In uno scenario di attacco tramite posta elettronica un utente malintenzionato potrebbe sfruttare le vulnerabilità inviando il file appositamente creato all'utente e convincendo l'utente ad aprire il file. In uno scenario di attacco basato sul Web un utente malintenzionato potrebbe ospitare un sito Web (o sfruttare un sito Web compromesso che accetta o ospita contenuto fornito dall'utente) che contiene un file appositamente creato progettato per sfruttare le vulnerabilità. Un utente malintenzionato non avrebbe modo di forzare gli utenti a visitare il sito Web. Invece, un utente malintenzionato dovrebbe convincere gli utenti a fare clic su un collegamento, in genere tramite un incitamento in un messaggio di posta elettronica o Instant Messenger, e quindi convincerli ad aprire il file appositamente creato.
L'aggiornamento della sicurezza risolve le vulnerabilità correggendo il modo in cui Microsoft Office gestisce i file in memoria.
Le tabelle seguenti contengono collegamenti alla voce standard per ogni vulnerabilità nell'elenco Vulnerabilità ed esposizioni comuni:
| Titolo della vulnerabilità | Numero CVE | Divulgato pubblicamente | Sfruttato |
|---|---|---|---|
| Vulnerabilità di danneggiamento della memoria di Microsoft Office | CVE-2015-1642 | No | Sì |
| Vulnerabilità di danneggiamento della memoria di Microsoft Office | CVE-2015-2467 | No | No |
| Vulnerabilità di danneggiamento della memoria di Microsoft Office | CVE-2015-2468 | No | No |
| Vulnerabilità di danneggiamento della memoria di Microsoft Office | CVE-2015-2469 | No | No |
| Vulnerabilità di danneggiamento della memoria di Microsoft Office | CVE-2015-2477 | No | No |
Microsoft non ha identificato alcun fattore di mitigazione per queste vulnerabilità.
Microsoft non ha identificato soluzioni alternative per queste vulnerabilità.
Esiste una vulnerabilità di divulgazione di informazioni in Microsoft Windows, Internet Explorer e Microsoft Office quando i file a un livello di integrità medio diventano accessibili a Internet Explorer in esecuzione in modalità protezione avanzata (EPM).
Per sfruttare questa vulnerabilità, un utente malintenzionato deve prima sfruttare un'altra vulnerabilità ed eseguire codice in Internet Explorer con EPM, quindi eseguire Excel, Blocco note, PowerPoint, Visio o Word usando un parametro della riga di comando non sicuro. L'aggiornamento risolve la vulnerabilità migliorando il modo in cui vengono eseguiti Blocco note e i programmi di Microsoft Office da Internet Explorer.
Importante Per essere protetti da questa vulnerabilità, i clienti devono applicare gli aggiornamenti forniti in questo bollettino, nonché l'aggiornamento per Internet Explorer fornito in MS15-079. Analogamente, i clienti che eseguono una versione interessata di Microsoft Windows devono installare anche gli aggiornamenti applicabili forniti in MS15-088.
Questa vulnerabilità è stata divulgata pubblicamente. È stato assegnato il numero di vulnerabilità ed esposizione comuni CVE-2015-2423. Quando questo bollettino è stato originariamente rilasciato, Microsoft non aveva ricevuto alcuna informazione per indicare che questo problema era stato usato pubblicamente per attaccare i clienti.
Microsoft non ha identificato alcun fattore di mitigazione per questa vulnerabilità.
La soluzione alternativa seguente può essere utile nella situazione:
Rimuovere i criteri di elevazione dei privilegi di Internet Explorer per Word, Excel, PowerPoint e Visio
Avviso Se si usa l'editor del Registro di sistema in modo errato, è possibile che si verifichino gravi problemi che potrebbero richiedere di reinstallare il sistema operativo. Microsoft non può garantire che sia possibile risolvere i problemi derivanti dall'uso non corretto dell'editor del Registro di sistema. Utilizzare l'editor del Registro di sistema a proprio rischio.
Fare clic su Start, scegliere Esegui, digitare Regedit nella casella Apri e quindi fare clic su OK.
Passare al percorso del Registro di sistema seguente:
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy
Per ognuna delle sottochiavi seguenti, seguire questa procedura:
{000209FF-0000-0000-C000-000000000046}
{2BBE903C-2776-4574-9855-EC1597ABE3D6}
{63F463ED-322A-4DE8-8E6F-65DD293F7461}
{FC88B53C-9B2A-1A25-5867-C8612E79DBF6}
Selezionare la sottochiave.
Fare clic sul menu File e quindi su Esporta.
Nella finestra di dialogo Esporta file del Registro di sistema digitare <un nome> file univoco e quindi fare clic su Salva.
Nota : per impostazione predefinita verrà creato un backup di questa chiave del Registro di sistema nella cartella Documenti personali.
Fare clic sul menu File e quindi selezionare Elimina.
Fare clic su Sì.
Disconnettere e riattivare tutti gli utenti oppure riavviare il computer.
Come annullare la soluzione alternativa
Fare clic su Start, scegliere Esegui, digitare Regedit nella casella Apri e quindi fare clic su OK.
Passare al percorso del Registro di sistema seguente:
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy
Per ognuno dei quattro file .reg, seguire questa procedura:
Esiste una vulnerabilità di esecuzione remota del codice nel software Microsoft Office quando il software di Office non riesce a convalidare correttamente i modelli. Un utente malintenzionato che ha sfruttato correttamente questa vulnerabilità potrebbe eseguire codice arbitrario nel contesto dell'utente corrente. Lo sfruttamento di questa vulnerabilità richiede che un utente apra un file modello appositamente creato con una versione interessata del software di Microsoft Office.
Un utente malintenzionato che ha sfruttato correttamente questa vulnerabilità potrebbe ottenere gli stessi diritti utente dell'utente corrente. Se l'utente corrente è connesso con diritti utente amministrativi, un utente malintenzionato potrebbe assumere il controllo completo del sistema interessato. L'utente malintenzionato potrebbe quindi installare programmi e visualizzare, modificare o eliminare dati, oppure creare nuovi account con diritti utente completi. Gli utenti con account che dispongono di diritti utente limitati per il sistema in uso risultano meno esposti degli utenti che operano con diritti amministrativi.
In uno scenario di attacco tramite posta elettronica un utente malintenzionato potrebbe sfruttare la vulnerabilità inviando il file appositamente creato all'utente e convincendo l'utente ad aprire il file.
In uno scenario di attacco basato sul Web un utente malintenzionato potrebbe ospitare un sito Web o una condivisione file (o sfruttare un sito Web compromesso che accetta o ospita contenuto fornito dall'utente) che contiene un file appositamente creato progettato per sfruttare la vulnerabilità. Un utente malintenzionato non avrebbe modo di forzare gli utenti a visitare il sito Web o la condivisione file. Invece, un utente malintenzionato dovrebbe convincere gli utenti a fare clic su un collegamento, in genere tramite un incitamento in un messaggio di posta elettronica o Instant Messenger, e quindi convincerli ad aprire il file appositamente creato.
In alternativa, un utente malintenzionato potrebbe lanciare un attacco "Man-in-the-middle" (intercettare il traffico tra origine e destinazione) e modificare il contenuto del modello in modo da includere codice dannoso.
L'aggiornamento della sicurezza risolve la vulnerabilità correggendo il modo in cui Office convalida i modelli di Office prima dell'uso.
Microsoft ha ricevuto informazioni sulla vulnerabilità tramite la divulgazione coordinata delle vulnerabilità. Quando è stato rilasciato questo bollettino sulla sicurezza, Microsoft non aveva ricevuto informazioni per indicare che questa vulnerabilità era stata usata pubblicamente per attaccare i clienti.
Microsoft non ha identificato alcun fattore di mitigazione per questa vulnerabilità.
Microsoft non ha identificato soluzioni alternative per questa vulnerabilità.
Esiste una vulnerabilità di esecuzione remota del codice quando Office riduce un valore intero oltre il valore minimo previsto. Lo sfruttamento di questa vulnerabilità richiede che un utente apra un file office appositamente creato con una versione interessata del software di Microsoft Office.
Un utente malintenzionato che ha sfruttato correttamente questa vulnerabilità potrebbe ottenere gli stessi diritti utente dell'utente corrente. Se l'utente corrente è connesso con diritti utente amministrativi, un utente malintenzionato potrebbe assumere il controllo completo del sistema interessato. L'utente malintenzionato potrebbe quindi installare programmi e visualizzare, modificare o eliminare dati, oppure creare nuovi account con diritti utente completi. Gli utenti con account che dispongono di diritti utente limitati per il sistema in uso risultano meno esposti degli utenti che operano con diritti amministrativi.
In uno scenario di attacco tramite posta elettronica un utente malintenzionato potrebbe sfruttare la vulnerabilità inviando il file appositamente creato all'utente e convincendo l'utente ad aprire il file.
In uno scenario di attacco basato sul Web un utente malintenzionato potrebbe ospitare un sito Web (o sfruttare un sito Web compromesso che accetta o ospita contenuto fornito dall'utente) che contiene un file appositamente creato progettato per sfruttare la vulnerabilità. Un utente malintenzionato non avrebbe modo di forzare gli utenti a visitare il sito Web. Invece, un utente malintenzionato dovrebbe convincere gli utenti a fare clic su un collegamento, in genere tramite un incitamento in un messaggio di posta elettronica o Instant Messenger, e quindi convincerli ad aprire il file appositamente creato.
L'aggiornamento della sicurezza risolve la vulnerabilità correggendo il modo in cui Office gestisce il controllo dei limiti integer.
Microsoft ha ricevuto informazioni sulla vulnerabilità tramite la divulgazione coordinata delle vulnerabilità. Quando è stato rilasciato questo bollettino sulla sicurezza, Microsoft non aveva ricevuto informazioni per indicare che questa vulnerabilità era stata usata pubblicamente per attaccare i clienti.
Microsoft non ha identificato alcun fattore di mitigazione per questa vulnerabilità.
Microsoft non ha identificato soluzioni alternative per questa vulnerabilità.
Per informazioni sulla distribuzione degli aggiornamenti della sicurezza, vedere l'articolo della Microsoft Knowledge Base a cui si fa riferimento nel riepilogo esecutivo.
Microsoft riconosce gli sforzi di coloro che si trovano nella community di sicurezza che ci aiutano a proteggere i clienti attraverso la divulgazione coordinata delle vulnerabilità. Per altre informazioni, vedere Riconoscimenti .
Le informazioni fornite nella Microsoft Knowledge Base vengono fornite "così com'è" senza garanzia di alcun tipo. Microsoft dichiara tutte le garanzie, espresse o implicite, incluse le garanzie di commerciabilità e idoneità per uno scopo specifico. In nessun caso, Microsoft Corporation o i suoi fornitori saranno responsabili di qualsiasi danno, incluso diretto, indiretto, accidentale, consequenziale, perdita di profitti aziendali o danni speciali, anche se Microsoft Corporation o i suoi fornitori sono stati informati della possibilità di tali danni. Alcuni stati non consentono l'esclusione o la limitazione della responsabilità per danni consequenziali o accidentali, pertanto la limitazione precedente potrebbe non essere applicata.
Pagina generata 2015-10-07 11:03-07:00.
Formazione
Modulo
Enhance your email protection using Microsoft Defender for Office 365 - Training
This module examines how Microsoft Defender for Office 365 extends EOP protection through various tools, including Safe Attachments, Safe Links, spoofed intelligence, spam filtering policies, and the Tenant Allow/Block List.
Certificazione
Microsoft Office Specialist: 2016 Master - Certifications
Microsoft Office Specialist: 2016 Master