Bollettino sulla sicurezza Microsoft MS15-129 - Critico
Articolo
Aggiornamento della sicurezza per Silverlight per gestire l'esecuzione di codice remoto (3106614)
Pubblicato: 8 dicembre 2015
Versione: 1.0
Schema riepilogativo
Questo aggiornamento della sicurezza risolve le vulnerabilità in Microsoft Silverlight. La più grave delle vulnerabilità potrebbe consentire l'esecuzione remota del codice se Microsoft Silverlight gestisce erroneamente determinate richieste aperte e vicine che potrebbero causare violazioni di accesso in lettura e scrittura. Per sfruttare la vulnerabilità, un utente malintenzionato potrebbe ospitare un sito Web contenente un'applicazione Silverlight appositamente creata e quindi convincere un utente a visitare un sito Web compromesso. L'utente malintenzionato potrebbe anche sfruttare i vantaggi dei siti Web contenenti contenuti appositamente creati, inclusi quelli che accettano o ospitano contenuti o annunci forniti dall'utente.
Un utente malintenzionato non avrebbe modo di forzare gli utenti a visitare un sito Web compromesso. Un utente malintenzionato dovrà invece convincere un utente a intervenire, ad esempio facendo clic su un collegamento che porta l'utente al sito Web dell'utente malintenzionato.
Questo aggiornamento della sicurezza è valutato Critical per Microsoft Silverlight 5 e Microsoft Silverlight 5 Developer Runtime quando installato in Mac o tutte le versioni supportate di Microsoft Windows. Per altre informazioni, vedere la sezione Software interessato.
L'aggiornamento risolve le vulnerabilità correggendo il modo in cui Microsoft Silverlight gestisce determinate richieste Web aperte e vicine e correggendo il modo in cui viene gestita la memoria per mantenere l'integrità di Address Space Layout Randomization (ASLR) in Silverlight. Per altre informazioni sulle vulnerabilità, vedere la sezione Informazioni sulla vulnerabilità.
Sono interessate le versioni o le edizioni software seguenti. Le versioni o le edizioni non elencate superano il ciclo di vita del supporto o non sono interessate. Per determinare il ciclo di vita del supporto per la versione o l'edizione del software, vedere supporto tecnico Microsoft Ciclo di vita.
Classificazioni di gravità e identificatori di vulnerabilità
Le classificazioni di gravità seguenti presuppongono il potenziale impatto massimo della vulnerabilità. Per informazioni sulla probabilità, entro 30 giorni dal rilascio di questo bollettino sulla sicurezza, della sfruttabilità della vulnerabilità in relazione alla classificazione di gravità e all'impatto sulla sicurezza, vedere l'indice di exploit nel riepilogo del bollettino di dicembre.
Valutazione della gravità della vulnerabilità e Impatto massimo sulla sicurezza da parte del software interessato
Microsoft Silverlight 5 quando è installato in Mac (3106614)
Divulgazione di informazioni importanti
Divulgazione di informazioni importanti
Esecuzione di codice remoto critico
Critico
Microsoft Silverlight 5 Developer Runtime quando è installato in Mac (3106614)
Divulgazione di informazioni importanti
Divulgazione di informazioni importanti
Esecuzione di codice remoto critico
Critico
Microsoft Silverlight 5 quando installato in tutte le versioni supportate dei client Microsoft Windows (3106614)
Divulgazione di informazioni importanti
Divulgazione di informazioni importanti
Esecuzione di codice remoto critico
Critico
Microsoft Silverlight 5 Developer Runtime quando installato in tutte le versioni supportate dei client Microsoft Windows (3106614)
Divulgazione di informazioni importanti
Divulgazione di informazioni importanti
Esecuzione di codice remoto critico
Critico
Microsoft Silverlight 5 quando installato in tutte le versioni supportate dei server Microsoft Windows (3106614)
Divulgazione di informazioni importanti
Divulgazione di informazioni importanti
Esecuzione di codice remoto critico
Critico
Microsoft Silverlight 5 Developer Runtime quando installato in tutte le versioni supportate dei server Microsoft Windows (3106614)
Divulgazione di informazioni importanti
Divulgazione di informazioni importanti
Esecuzione di codice remoto critico
Critico
Domande frequenti su Aggiornamento
Perché l'aggiornamento elencato in questo bollettino è indicato anche in altri bollettini che rilasciano questo mese?
Poiché i bollettini sono suddivisi in base alle vulnerabilità di sicurezza affrontate, non dai pacchetti di aggiornamento rilasciati, è possibile che i bollettini separati facciano riferimento allo stesso aggiornamento se le correzioni per le rispettive vulnerabilità sono state consolidate in un unico pacchetto di aggiornamento. In tali situazioni è anche possibile che le vulnerabilità descritte in un bollettino abbiano gravità e valutazioni di impatto completamente diverse rispetto alle vulnerabilità descritte nell'altro bollettino. Questo è spesso il caso di aggiornamenti cumulativi per prodotti come Internet Explorer o Silverlight in cui gli aggiornamenti singolari contengono correzioni molto diverse vulnerabilità di sicurezza descritte in bollettini separati.
Si noti che non è necessario installare più bollettini con file di aggiornamento identici con più bollettini.
Quali Web browser supportano le applicazioni Microsoft Silverlight?
Per eseguire applicazioni Microsoft Silverlight, la maggior parte dei Web browser, incluso Microsoft Internet Explorer, richiede l'installazione di Microsoft Silverlight e il plug-in corrispondente per l'abilitazione. Per altre informazioni su Microsoft Silverlight, vedere il sito ufficiale Microsoft Silverlight. Per altre informazioni su come disabilitare o rimuovere plug-in, vedere la documentazione del browser.
Quali versioni di Microsoft Silverlight 5 sono interessate dalle vulnerabilità?
Microsoft Silverlight build 5.1.41105.00, che era la build corrente di Microsoft Silverlight a partire da quando questo bollettino è stato rilasciato per la prima volta, risolve le vulnerabilità e non è interessato. Le build di Microsoft Silverlight precedenti alla versione 5.1.41105.00 sono interessate.
Ricerca per categorie sapere quale versione e build di Microsoft Silverlight è attualmente installata nel sistema?
Se Microsoft Silverlight è già installato nel computer, è possibile visitare la pagina Ottieni Microsoft Silverlight , che indicherà quale versione e build di Microsoft Silverlight è attualmente installata nel sistema. In alternativa, è possibile usare la funzionalità Gestisci componenti aggiuntivi delle versioni correnti di Microsoft Internet Explorer per determinare la versione e le informazioni di compilazione attualmente installate nel sistema.
È anche possibile controllare manualmente il numero di versione di sllauncher.exe che si trova nella directory "%ProgramFiles%\Microsoft Silverlight" (nei sistemi Microsoft Windows x86) o nella directory "%ProgramFiles(x86)%\Microsoft Silverlight" (nei sistemi Microsoft Windows x64).
Inoltre, in Microsoft Windows, le informazioni sulla versione e sulla build della versione attualmente installata di Microsoft Silverlight sono disponibili nel Registro di sistema all'indirizzo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Silverlight]:Version on x86 Microsoft Windows systems, or [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Silverlight]:Version on x64 Microsoft Windows systems.
In Apple Mac OS, le informazioni sulla versione e sulla build della versione attualmente installata di Microsoft Silverlight sono disponibili nel modo seguente:
Aprire il Finder
Selezionare l'unità di sistema e passare alla cartella Plug-in Internet - Libreria
Fare clic con il pulsante destro del mouse sul file Silverlight.Plugin (se il mouse ha un solo pulsante, premere CTRL mentre si fa clic sul file) per visualizzare il menu di scelta rapida, quindi fare clic su Mostra contenuto pacchetto.
All'interno della cartella del contenuto individuare il file info.plist e aprirlo con un editor. Conterrà una voce simile alla seguente, che mostra il numero di versione: SilverlightVersion 5.1.41105.00
La versione installata con questo aggiornamento della sicurezza per Microsoft Silverlight 5 è 5.1.41105.00. Se il numero di versione di Microsoft Silverlight 5 è maggiore o uguale a questo numero di versione, il sistema non è vulnerabile.
Ricerca per categorie aggiornare la versione di Microsoft Silverlight?
La funzionalità di aggiornamento automatico di Microsoft Silverlight consente di assicurarsi che l'installazione di Microsoft Silverlight sia aggiornata con la versione più recente di Microsoft Silverlight, funzionalità di Microsoft Silverlight e funzionalità di sicurezza. Per altre informazioni sulla funzionalità di aggiornamento automatico di Microsoft Silverlight, vedere Microsoft Silverlight Updater. Gli utenti di Windows che hanno disabilitato la funzionalità di aggiornamento automatico di Microsoft Silverlight possono registrarsi in Microsoft Update per ottenere la versione più recente di Microsoft Silverlight oppure scaricare manualmente la versione più recente di Microsoft Silverlight usando il collegamento di download nella tabella Software interessato nella sezione precedente, Software interessato. Per informazioni sulla distribuzione di Microsoft Silverlight in un ambiente aziendale, vedere la Guida alla distribuzione di Silverlight Enterprise.
Questo aggiornamento aggiornerà la versione di Silverlight?
L'aggiornamento 3106614 aggiorna le versioni precedenti di Silverlight alla versione 5.1.41105.00 di Silverlight. Microsoft consiglia di eseguire l'aggiornamento per essere protetto dalla vulnerabilità descritta in questo bollettino.
Dove è possibile trovare informazioni aggiuntive sul ciclo di vita del prodotto Silverlight?
Per informazioni sul ciclo di vita specifiche di Silverlight, vedere i criteri relativi al ciclo di vita del supporto di Microsoft Silverlight.
Informazioni sulla vulnerabilità
Vulnerabilità microsoft Silverlight RCE - CVE-2015-6166
Esiste una vulnerabilità di esecuzione remota del codice quando Microsoft Silverlight gestisce erroneamente determinate richieste aperte e di chiusura che possono causare violazioni di accesso in lettura e scrittura.
Per sfruttare la vulnerabilità, un utente malintenzionato potrebbe ospitare un sito Web contenente un'applicazione Silverlight appositamente creata e quindi convincere un utente a visitare il sito Web compromesso. L'utente malintenzionato potrebbe anche sfruttare i vantaggi dei siti Web contenenti contenuti appositamente creati, inclusi quelli che accettano o ospitano contenuti o annunci forniti dall'utente. Ad esempio, un utente malintenzionato potrebbe visualizzare contenuti Web appositamente creati usando annunci banner o usando altri metodi per distribuire contenuto Web ai sistemi interessati. In tutti i casi, tuttavia, un utente malintenzionato non avrebbe modo di forzare gli utenti a visitare un sito Web compromesso. Un utente malintenzionato dovrà invece convincere un utente a visitare il sito Web, in genere invogliando l'utente a fare clic su un collegamento in un messaggio di posta elettronica o in un messaggio di Instant Messenger.
Nello scenario di esplorazione Web, un utente malintenzionato che ha sfruttato correttamente questa vulnerabilità potrebbe ottenere le stesse autorizzazioni dell'utente attualmente connesso. Se un utente è connesso con diritti utente amministrativi, un utente malintenzionato potrebbe assumere il controllo completo del sistema interessato. L'utente malintenzionato potrebbe quindi installare programmi e visualizzare, modificare o eliminare dati, oppure creare nuovi account con diritti utente completi. Gli utenti con account che dispongono di diritti utente limitati per il sistema in uso risultano meno esposti degli utenti che operano con diritti amministrativi. L'aggiornamento risolve la vulnerabilità correggendo il modo in cui Microsoft Silverlight gestisce determinate richieste Web aperte e vicine.
Microsoft ha ricevuto informazioni su questa vulnerabilità tramite la divulgazione coordinata delle vulnerabilità. Al momento dell'emissione di questo bollettino sulla sicurezza, Microsoft non era a conoscenza di eventuali attacchi che tentavano di sfruttare questa vulnerabilità.
Fattori di mitigazione
Microsoft non ha identificato alcun fattore di mitigazione per questa vulnerabilità.
Soluzioni alternative
Microsoft non ha identificato soluzioni alternative per questa vulnerabilità.
Più vulnerabilità di divulgazione delle informazioni di Microsoft Silverlight
Esistono più vulnerabilità di divulgazione di informazioni quando Silverlight non riesce a gestire correttamente gli oggetti in memoria, che potrebbero consentire a un utente malintenzionato di stimare in modo più affidabile i valori del puntatore e ridurre l'efficacia della funzionalità di sicurezza ASLR (Address Space Layout Randomization).
Per sfruttare le vulnerabilità, in uno scenario di attacco di esplorazione Web, un utente malintenzionato potrebbe potenzialmente ignorare la funzionalità di sicurezza ASLR, che protegge gli utenti da un'ampia classe di vulnerabilità. Il bypass ASLR da solo non consente l'esecuzione arbitraria del codice. Tuttavia, un utente malintenzionato potrebbe usare le vulnerabilità in combinazione con un bypass ASLR per compromettere un sistema di destinazione.
In uno scenario di attacco basato sul Web, un utente malintenzionato potrebbe ospitare un sito Web con contenuto Silverlight appositamente creato nel tentativo di sfruttare le vulnerabilità. Inoltre, siti Web compromessi e siti Web che accettano o ospitano contenuti forniti dall'utente contenenti contenuti appositamente creati potrebbero anche sfruttare le vulnerabilità. Un utente malintenzionato non avrebbe modo di forzare un utente a visitare un sito Web appositamente creato. Un utente malintenzionato dovrà invece convincere un utente a intervenire. Ad esempio, un utente malintenzionato potrebbe ingannare un utente a fare clic su un collegamento che porta l'utente al sito Web dell'utente malintenzionato. L'aggiornamento risolve le vulnerabilità correggendo la modalità di gestione della memoria per mantenere l'integrità di ASLR in Silverlight.
Microsoft ha ricevuto informazioni sulle vulnerabilità attraverso la divulgazione coordinata delle vulnerabilità. Al momento dell'emissione di questo bollettino sulla sicurezza, Microsoft non era a conoscenza di eventuali attacchi che tentavano di sfruttare le vulnerabilità.
La tabella seguente contiene collegamenti alla voce standard per ogni vulnerabilità nell'elenco Vulnerabilità ed esposizioni comuni:
Titolo della vulnerabilità
Numero CVE
Divulgato pubblicamente
Sfruttato
Vulnerabilità di divulgazione delle informazioni di Microsoft Silverlight
Microsoft non ha identificato alcun fattore di mitigazione per questa vulnerabilità.
Soluzioni alternative
Le soluzioni alternative seguenti possono essere utili nella situazione:
Impedire temporaneamente l'esecuzione di Microsoft Silverlight in Internet Explorer
In Internet Explorer passare al menu Strumenti e quindi fare clic su Opzioni Internet.
Nella finestra Opzioni Internet fare clic sulla scheda Programmi e quindi su Gestisci componenti aggiuntivi.
Nell'elenco Barre degli strumenti ed estensioni individuare e selezionare Microsoft Silverlight e quindi fare clic su Disabilita.
Impedire temporaneamente l'esecuzione di Microsoft Silverlight in Mozilla Firefox
In Mozilla Firefox passare al menu Strumenti e quindi fare clic su Aggiungi.
Nella finestra Componenti aggiuntivi fare clic sulla scheda Plug-in .
Individuare il plug-in Silverlight e quindi fare clic su Disabilita.
Rimuovere Silverlight.Configuration.exe da IE ElevationPolicy
Avviso Se si usa l'editor del Registro di sistema in modo errato, è possibile che si verifichino gravi problemi che potrebbero richiedere di reinstallare il sistema operativo. Microsoft non può garantire che sia possibile risolvere i problemi derivanti dall'uso non corretto dell'editor del Registro di sistema. Utilizzare l'editor del Registro di sistema a proprio rischio.
Nella finestra Esporta file del Registro di sistema digitare silverlight.configuration.exe_backup.reg e quindi fare clic su Salva.
Fare clic sul menu File , scegliere Elimina e quindi fare clic su Sì.
Chiudere l'Editor del Registro di sistema.
Disconnettersi e quindi eseguire di nuovo l'accesso o riavviare il computer.
Come annullare la soluzione alternativa.
Aprire l'editor delRegistro di sistema.
Fare clic sul menu File e quindi su Importa.
Nella finestra Importa file del Registro di sistema fare clic su silverlight.configuration.exe_backup.reg e quindi su Apri.
Chiudere l'Editor del Registro di sistema.
Disconnettersi e quindi eseguire di nuovo l'accesso o riavviare il computer.
Distribuzione degli aggiornamenti della sicurezza
Per informazioni sulla distribuzione degli aggiornamenti della sicurezza, vedere l'articolo della Microsoft Knowledge Base a cui si fa riferimento nel riepilogo esecutivo.
Riconoscimenti
Microsoft riconosce gli sforzi di coloro che si trovano nella community di sicurezza che ci aiutano a proteggere i clienti attraverso la divulgazione coordinata delle vulnerabilità. Per altre informazioni, vedere Riconoscimenti .
Dichiarazione di non responsabilità
Le informazioni fornite nella Microsoft Knowledge Base vengono fornite "così com'è" senza garanzia di alcun tipo. Microsoft dichiara tutte le garanzie, espresse o implicite, incluse le garanzie di commerciabilità e idoneità per uno scopo specifico. In nessun caso, Microsoft Corporation o i suoi fornitori saranno responsabili di qualsiasi danno, incluso diretto, indiretto, accidentale, consequenziale, perdita di profitti aziendali o danni speciali, anche se Microsoft Corporation o i suoi fornitori sono stati informati della possibilità di tali danni. Alcuni stati non consentono l'esclusione o la limitazione della responsabilità per danni consequenziali o accidentali, pertanto la limitazione precedente potrebbe non essere applicata.
Gli amministratori della sicurezza delle informazioni pianificano e implementano la sicurezza delle informazioni dei dati sensibili usando Microsoft Purview e i servizi correlati. L'utente è responsabile della mitigazione dei rischi proteggendo i dati all'interno di ambienti di collaborazione gestiti da Microsoft 365 da minacce interne ed esterne e proteggendo i dati usati dai servizi di intelligenza artificiale. Si implementa anche la protezione delle informazioni, la prevenzione della perdita dei dati, la