Condividi tramite

Microsoft Security Bulletin MS16-036 - Critico

Aggiornamento della sicurezza per Adobe Flash Player (3144756)

Pubblicato: 10 marzo 2016

Versione: 1.0

Schema riepilogativo

Questo aggiornamento della sicurezza risolve le vulnerabilità in Adobe Flash Player quando installato in tutte le edizioni supportate di Windows 8.1, Windows Server 2012, Windows Server 2012 R2, Windows RT 8.1 e Windows 10.

Questo aggiornamento della sicurezza è valutato critical. L'aggiornamento risolve le vulnerabilità di Adobe Flash Player aggiornando le librerie Adobe Flash interessate contenute in Internet Explorer 10, Internet Explorer 11 e Microsoft Edge. Per altre informazioni, vedere la sezione Software interessato.

Per altre informazioni su questo aggiornamento, vedere l'articolo della Microsoft Knowledge Base 3144756.

Informazioni sulla vulnerabilità

Questo aggiornamento della sicurezza risolve le vulnerabilità seguenti, descritte in Adobe Security Bulletin piattaforma di strumenti analitici B16-08:

CVE-2015-8652, CVE-2015-8655, CVE-2015-8658, CVE-2016-0960, CVE-2016-0961, CVE-2016-0962, CVE-2016-0963, CVE-2016-0986, CVE-2016-0987, CVE-2016-0988, CVE-2016-0989, CVE-2016-0990, CVE-2016-0991, CVE-2016-0993, CVE-2016-0994, CVE-2016-0995, CVE-2016-0996, CVE-2016-1001, CVE-2016-1005, CVE-2016-1010

Software interessato

Sono interessate le versioni o le edizioni software seguenti. Le versioni o le edizioni non elencate superano il ciclo di vita del supporto o non sono interessate. Per determinare il ciclo di vita del supporto per la versione o l'edizione del software, vedere supporto tecnico Microsoft Ciclo di vita.

Sistema operativo Componente Gravità e impatto aggregati Aggiornamenti sostituito*
Windows 8.1
Windows 8.1 per sistemi a 32 bit Adobe Flash Player (3144756) Esecuzione di codice remoto critico 3135782 in MS16-022
Windows 8.1 per sistemi basati su x64 Adobe Flash Player (3144756) Esecuzione di codice remoto critico 3135782 in MS16-022
Windows Server 2012 e Windows Server 2012 R2
Windows Server 2012 Adobe Flash Player (3144756) Moderare l'esecuzione di codice remoto 3135782 in MS16-022
Windows Server 2012 R2 Adobe Flash Player (3144756) Moderare l'esecuzione di codice remoto 3135782 in MS16-022
Windows RT 8.1
Windows RT 8.1[1] Adobe Flash Player (3144756) Esecuzione di codice remoto critico 3135782 in MS16-022
Windows 10
Windows 10 per sistemi a 32 bit[2] Adobe Flash Player (3144756) Esecuzione di codice remoto critico 3135782 in MS16-022
Windows 10 per sistemi basati su x64[2] Adobe Flash Player (3144756) Esecuzione di codice remoto critico 3135782 in MS16-022
Windows 10 versione 1511 per sistemi a 32 bit[2] Adobe Flash Player (3144756) Esecuzione di codice remoto critico 3135782 in MS16-022
Windows 10 versione 1511 per sistemi basati su x64[2] Adobe Flash Player (3144756) Esecuzione di codice remoto critico 3135782 in MS16-022

[1]Questo aggiornamento è disponibile tramite Windows Update.

[2]Gli aggiornamenti di Adobe FlashPlayer per gli aggiornamenti di Windows 10 sono disponibili tramite Windows Update o tramite microsoft Update Catalog.

Nota: Windows Server Technical Preview 4 è interessato. La classificazione di gravità aggregata è Critica e l'impatto è Moderato, Esecuzione di codice remoto. I clienti che eseguono questi sistemi operativi sono invitati a applicare l'aggiornamento, disponibile tramite Windows Update.

*La colonna Aggiornamenti Sostituito mostra solo l'aggiornamento più recente in qualsiasi catena di aggiornamenti sostituiti. Per un elenco completo degli aggiornamenti sostituiti, passare a Microsoft Update Catalog, cercare il numero kb di aggiornamento e quindi visualizzare i dettagli degli aggiornamenti (le informazioni sostituite vengono fornite nella scheda Dettagli pacchetto).

Domande frequenti

In che modo un utente malintenzionato potrebbe sfruttare queste vulnerabilità?
In uno scenario di attacco basato sul Web in cui l'utente usa Internet Explorer per il desktop, un utente malintenzionato potrebbe ospitare un sito Web appositamente progettato per sfruttare una di queste vulnerabilità tramite Internet Explorer e quindi convincere un utente a visualizzare il sito Web. Un utente malintenzionato potrebbe anche incorporare un controllo ActiveX contrassegnato come "sicuro per l'inizializzazione" in un'applicazione o in un documento di Microsoft Office che ospita il motore di rendering di Internet Explorer. L'utente malintenzionato potrebbe anche sfruttare i siti Web compromessi e i siti Web che accettano o ospitano contenuti o annunci forniti dall'utente. Questi siti Web possono contenere contenuti appositamente creati che potrebbero sfruttare una di queste vulnerabilità. In tutti i casi, tuttavia, un utente malintenzionato non avrebbe modo di forzare gli utenti a visualizzare il contenuto controllato dall'utente malintenzionato. Un utente malintenzionato dovrebbe invece convincere gli utenti a intervenire, in genere facendo clic su un collegamento in un messaggio di posta elettronica o in un messaggio di Instant Messenger che porta gli utenti al sito Web dell'utente malintenzionato o aprendo un allegato inviato tramite posta elettronica.

In uno scenario di attacco basato sul Web in cui l'utente usa Internet Explorer nell'interfaccia utente in stile Windows 8, un utente malintenzionato dovrà prima compromettere un sito Web già elencato nell'elenco Visualizzazione compatibilità (CV). Un utente malintenzionato potrebbe quindi ospitare un sito Web che contiene contenuti Flash appositamente progettati per sfruttare una di queste vulnerabilità tramite Internet Explorer e quindi convincere un utente a visualizzare il sito Web. Un utente malintenzionato non avrebbe modo di forzare gli utenti a visualizzare il contenuto controllato dall'utente malintenzionato. Un utente malintenzionato dovrebbe invece convincere gli utenti a intervenire, in genere facendo clic su un collegamento in un messaggio di posta elettronica o in un messaggio di Instant Messenger che porta gli utenti al sito Web dell'utente malintenzionato o aprendo un allegato inviato tramite posta elettronica. Per altre informazioni su Internet Explorer e l'elenco CV, vedere l'articolo MSDN, Indicazioni per gli sviluppatori per i siti Web con contenuto per Adobe Flash Player in Windows 8.

Fattori di mitigazione

La mitigazione si riferisce a un'impostazione, a una configurazione comune o a una procedura consigliata generale, esistente in uno stato predefinito, che potrebbe ridurre la gravità dello sfruttamento di una vulnerabilità. I fattori di mitigazione seguenti possono essere utili nella situazione:

  • In uno scenario di attacco basato sul Web in cui l'utente usa Internet Explorer per il desktop, un utente malintenzionato potrebbe ospitare un sito Web contenente una pagina Web usata per sfruttare una di queste vulnerabilità. Inoltre, siti Web compromessi e siti Web che accettano o ospitano contenuti o annunci forniti dall'utente potrebbero contenere contenuti appositamente creati che potrebbero sfruttare una di queste vulnerabilità. In tutti i casi, tuttavia, un utente malintenzionato non avrebbe modo di forzare gli utenti a visitare questi siti Web. Un utente malintenzionato dovrà invece convincere gli utenti a visitare il sito Web, in genere facendogli clic su un collegamento in un messaggio di posta elettronica o in un messaggio di Instant Messenger che porta gli utenti al sito Web dell'utente malintenzionato.
  • Internet Explorer nell'interfaccia utente di Windows 8 riproduce solo contenuto Flash dai siti elencati nell'elenco Visualizzazione compatibilità (CV). Questa restrizione richiede a un utente malintenzionato di compromettere prima un sito Web già elencato nell'elenco cv. Un utente malintenzionato potrebbe quindi ospitare contenuti Flash appositamente progettati per sfruttare una di queste vulnerabilità tramite Internet Explorer e quindi convincere un utente a visualizzare il sito Web. Un utente malintenzionato non avrebbe modo di forzare gli utenti a visualizzare il contenuto controllato dall'utente malintenzionato. Un utente malintenzionato dovrebbe invece convincere gli utenti a intervenire, in genere facendo clic su un collegamento in un messaggio di posta elettronica o in un messaggio di Instant Messenger che porta gli utenti al sito Web dell'utente malintenzionato o aprendo un allegato inviato tramite posta elettronica.
  • Per impostazione predefinita, tutte le versioni supportate di Microsoft Outlook e Windows Live Mail aprono messaggi di posta elettronica HTML nell'area Siti con restrizioni. L'area Siti con restrizioni, che disabilita gli script e i controlli ActiveX, consente di ridurre il rischio che un utente malintenzionato possa usare una di queste vulnerabilità per eseguire codice dannoso. Se un utente fa clic su un collegamento in un messaggio di posta elettronica, l'utente potrebbe comunque essere vulnerabile allo sfruttamento di una di queste vulnerabilità tramite lo scenario di attacco basato sul Web.
  • Per impostazione predefinita, Internet Explorer in Windows Server 2012 e Windows Server 2012 R2 viene eseguito in una modalità con restrizioni nota come Configurazione sicurezza avanzata. Questa modalità consente di ridurre la probabilità di sfruttamento da queste vulnerabilità in Adobe Flash Player in Internet Explorer.

Soluzioni alternative

La soluzione alternativa si riferisce a un'impostazione o a una modifica della configurazione che consente di bloccare i vettori di attacco noti prima di applicare l'aggiornamento.

  • Impedire l'esecuzione di Adobe Flash Player
    È possibile disabilitare i tentativi di creare un'istanza di Adobe Flash Player in Internet Explorer e di altre applicazioni che rispettano la funzionalità kill bit, ad esempio Office 2007 e Office 2010, impostando il bit di terminazione per il controllo nel Registro di sistema.

    Avviso Se si usa l'editor del Registro di sistema in modo errato, è possibile che si verifichino gravi problemi che potrebbero richiedere di reinstallare il sistema operativo. Microsoft non può garantire che sia possibile risolvere i problemi derivanti dall'uso non corretto dell'editor del Registro di sistema. Utilizzare l'editor del Registro di sistema a proprio rischio.

    Per impostare il bit kill per il controllo nel Registro di sistema, seguire questa procedura:

    1. Incollare il codice seguente in un file di testo e salvarlo con l'estensione di file .reg.

      	Windows Registry Editor Version 5.00  
	[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{D27CDB6E-AE6D-11CF-96B8-444553540000}]
	"Compatibility Flags"=dword:00000400

	[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\ActiveX Compatibility\{D27CDB6E-AE6D-11CF-96B8-444553540000}]
	"Compatibility Flags"=dword:00000400

    2. Fare doppio clic sul file .reg per applicarlo a un singolo sistema. È anche possibile applicare questa soluzione alternativa tra domini usando Criteri di gruppo. Per altre informazioni su Criteri di gruppo, vedere l'articolo TechNet, Raccolta di Criteri di gruppo.

    Nota Per rendere effettive le modifiche, devi riavviare Internet Explorer.

    Impatto della soluzione alternativa. Non vi è alcun impatto finché l'oggetto non deve essere utilizzato in Internet Explorer.

    Come annullare la soluzione alternativa. Eliminare le chiavi del Registro di sistema aggiunte nell'implementazione di questa soluzione alternativa.

  • Impedire l'esecuzione di Adobe Flash Player in Internet Explorer tramite Criteri di gruppo
    Nota Lo snap-in MMC criteri di gruppo può essere usato per impostare i criteri per un computer, per un'unità organizzativa o per un intero dominio. Per altre informazioni su Criteri di gruppo, visitare i siti Web Microsoft seguenti:

    Panoramica di Criteri di gruppo

    Che cos'è Editor oggetti Criteri di gruppo?

    Impostazioni e strumenti di Criteri di gruppo di base

    Per disabilitare Adobe Flash Player in Internet Explorer tramite Criteri di gruppo, seguire questa procedura:

    Nota Questa soluzione alternativa non impedisce che Flash venga richiamato da altre applicazioni, ad esempio Microsoft Office 2007 o Microsoft Office 2010.

    1. Aprire la Console Gestione Criteri di gruppo e configurare la console in modo che funzioni con l'oggetto Criteri di gruppo appropriato, ad esempio computer locale, unità organizzativa o oggetto Criteri di gruppo di dominio.
    2. Passare al nodo seguente: modelli Amministrazione istrative - Componenti di Windows - Internet Explorer - Funzionalità di sicurezza - Gestione componenti aggiuntivi
    3. Fare doppio clic su Disattiva Adobe Flash in Internet Explorer e impedire alle applicazioni di usare la tecnologia Internet Explorer per creare istanze di oggetti Flash.
    4. Modificare l'impostazione su Abilitato.
    5. Fare clic su Applica e quindi su OK per tornare alla Console gestione Criteri di gruppo.
    6. Aggiorna Criteri di gruppo in tutti i sistemi o attendi il successivo intervallo di aggiornamento pianificato di Criteri di gruppo per rendere effettive le impostazioni.

  • Impedire l'esecuzione di Adobe Flash Player in Office 2010 nei sistemi interessati
    Nota Questa soluzione alternativa non impedisce l'esecuzione di Adobe Flash Player in Internet Explorer.

    Avviso Se si usa l'editor del Registro di sistema in modo errato, è possibile che si verifichino gravi problemi che potrebbero richiedere di reinstallare il sistema operativo. Microsoft non può garantire che sia possibile risolvere i problemi derivanti dall'uso non corretto dell'editor del Registro di sistema. Utilizzare l'editor del Registro di sistema a proprio rischio.

    Per i passaggi dettagliati che è possibile usare per impedire l'esecuzione di un controllo in Internet Explorer, vedere l'articolo della Microsoft Knowledge Base 240797. Seguire la procedura descritta nell'articolo per creare un valore di Flag di compatibilità nel Registro di sistema per impedire la creazione di un'istanza di un oggetto COM in Internet Explorer.

    Per disabilitare solo Adobe Flash Player in Office 2010, impostare il bit di terminazione per il controllo ActiveX per Adobe Flash Player nel Registro di sistema seguendo questa procedura:

    1. Creare un file di testo denominato Disable_Flash.reg con il contenuto seguente:

      	Windows Registry Editor Version 5.00

	[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM\Compatibility\{D27CDB6E-AE6D-11CF-96B8-444553540000}]
	"Compatibility Flags"=dword:00000400

    2. Fare doppio clic sul file .reg per applicarlo a un singolo sistema.

    3. Nota Per rendere effettive le modifiche, devi riavviare Internet Explorer.

      È anche possibile applicare questa soluzione alternativa tra domini usando Criteri di gruppo. Per altre informazioni su Criteri di gruppo, vedere l'articolo TechNet, Raccolta di Criteri di gruppo.

 

  • Impedire l'esecuzione dei controlli ActiveX in Office 2007 e Office 2010
    Per disabilitare tutti i controlli ActiveX in Microsoft Office 2007 e Microsoft Office 2010, incluso Adobe Flash Player in Internet Explorer, seguire questa procedura:

    1. Fare clic su File, su Opzioni, su Centro protezione e quindi su Centro protezione Impostazioni.
    2. Fare clic su ActiveX Impostazioni nel riquadro a sinistra e quindi selezionare Disabilita tutti i controlli senza notifiche.
    3. Per salvare le impostazioni, fare clic su OK.

    Impatto della soluzione alternativa. I documenti di Office che usano controlli ActiveX incorporati potrebbero non essere visualizzati come previsto.

    Come annullare la soluzione alternativa.

    Per riabilitare i controlli ActiveX in Microsoft Office 2007 e Microsoft Office 2010, seguire questa procedura:

    1. Fare clic su File, su Opzioni, su Centro protezione e quindi su Centro protezione Impostazioni.
    2. Fare clic su ActiveX Impostazioni nel riquadro a sinistra e quindi deselezionare Disabilita tutti i controlli senza notifiche.
    3. Per salvare le impostazioni, fare clic su OK.

 

  • Impostare le impostazioni dell'area di sicurezza Internet e Intranet locale su "Alto" per bloccare i controlli ActiveX e lo scripting attivo in queste zone
    È possibile proteggersi dallo sfruttamento di queste vulnerabilità modificando le impostazioni per l'area di sicurezza Internet per bloccare i controlli ActiveX e lo scripting attivo. A tale scopo, impostare la sicurezza del browser su Alto.

    Per aumentare il livello di sicurezza di esplorazione in Internet Explorer, seguire questa procedura:

    1. Scegliere Opzioni Internet dal menu Strumenti di Internet Explorer.
    2. Nella finestra di dialogo Opzioni Internet fare clic sulla scheda Sicurezza e quindi su Internet.
    3. In Livello di sicurezza per questa zona spostare il dispositivo di scorrimento su Alto. In questo modo viene impostato il livello di sicurezza per tutti i siti Web visitati su Alto.
    4. Fare clic su Intranet locale.
    5. In Livello di sicurezza per questa zona spostare il dispositivo di scorrimento su Alto. In questo modo viene impostato il livello di sicurezza per tutti i siti Web visitati su Alto.
    6. Fare clic su OK per accettare le modifiche e tornare a Internet Explorer.

    Nota Se non è visibile alcun dispositivo di scorrimento, fai clic su Livello predefinito e quindi sposta il dispositivo di scorrimento su Alto.

    Nota L'impostazione del livello su Alto può causare il funzionamento errato di alcuni siti Web. Se si ha difficoltà a usare un sito Web dopo aver modificato questa impostazione e si è certi che il sito sia sicuro da usare, è possibile aggiungere tale sito all'elenco di siti attendibili. In questo modo il sito funzionerà correttamente anche con l'impostazione di sicurezza impostata su Alto.

    Impatto della soluzione alternativa. Esistono effetti collaterali per bloccare i controlli ActiveX e lo scripting attivo. Molti siti Web che si trovano su Internet o in una intranet usano ActiveX o Scripting attivo per fornire funzionalità aggiuntive. Ad esempio, un sito di e-commerce online o un sito bancario può utilizzare i controlli ActiveX per fornire menu, moduli di ordinamento o persino estratti conto. Il blocco di controlli ActiveX o scripting attivo è un'impostazione globale che influisce su tutti i siti Internet e Intranet. Se non si desidera bloccare i controlli ActiveX o lo scripting attivo per tali siti, attenersi alla procedura descritta in "Aggiungere siti attendibili all'area Siti attendibili di Internet Explorer".

  • Configurare Internet Explorer per richiedere conferma prima di eseguire script attivi o disabilitare lo scripting attivo nell'area di sicurezza Internet e Intranet locale
    È possibile proteggersi dallo sfruttamento di queste vulnerabilità modificando le impostazioni in modo da richiedere prima di eseguire script attivi o disabilitare lo scripting attivo nell'area di sicurezza Internet e Intranet locale. Per farlo, effettuare i seguenti passaggi:

    1. In Internet Explorer fare clic su Opzioni Internet dal menu Strumenti .
    2. Fare clic sulla scheda Sicurezza.
    3. Fare clic su Internet e quindi su Livello personalizzato.
    4. In Impostazioni, nella sezione Scripting, in Scripting attivo fare clic su Prompt o Disabilita e quindi su OK.
    5. Fare clic su Intranet locale e quindi su Livello personalizzato.
    6. In Impostazioni, nella sezione Scripting, in Scripting attivo fare clic su Prompt o Disabilita e quindi su OK.
    7. Fare clic su OK due volte per tornare a Internet Explorer.

    Nota : la disabilitazione dello scripting attivo nelle aree di sicurezza Internet e Intranet locale può causare un funzionamento non corretto di alcuni siti Web. Se si ha difficoltà a usare un sito Web dopo aver modificato questa impostazione e si è certi che il sito sia sicuro da usare, è possibile aggiungere tale sito all'elenco di siti attendibili. In questo modo il sito funzionerà correttamente.

    Impatto della soluzione alternativa. Esistono effetti collaterali da richiedere prima di eseguire lo scripting attivo. Molti siti Web che si trovano su Internet o in una intranet usano Scripting attivo per fornire funzionalità aggiuntive. Ad esempio, un sito di e-commerce online o un sito bancario può utilizzare Scripting attivo per fornire menu, moduli di ordinamento o persino estratti conto. La richiesta prima di eseguire script attivi è un'impostazione globale che influisce su tutti i siti Internet e Intranet. Quando si abilita questa soluzione alternativa, viene richiesto di frequente. Per ogni richiesta, se si ritiene attendibile il sito che si sta visitando, fare clic su per eseguire script attivi. Se non si desidera richiedere tutti questi siti, attenersi alla procedura descritta in "Aggiungere siti attendibili all'area Siti attendibili di Internet Explorer".

  • Aggiungere siti attendibili all'area Siti attendibili di Internet Explorer
    Dopo aver impostato Internet Explorer per richiedere una richiesta prima di eseguire controlli ActiveX e Scripting attivo nell'area Internet e nell'area Intranet locale, è possibile aggiungere siti considerati attendibili all'area Siti attendibili di Internet Explorer. Ciò consentirà di continuare a usare siti Web attendibili esattamente come si fa oggi, contribuendo al contempo a proteggere l'utente da questo attacco su siti non attendibili. È consigliabile aggiungere solo i siti considerati attendibili all'area Siti attendibili.

    Per farlo, effettuare i seguenti passaggi:

    1. In Internet Explorer fare clic su Strumenti, fare clic su Opzioni Internet, quindi fare clic sulla scheda Sicurezza.
    2. Nella casella Selezionare un'area di contenuto Web per specificare le impostazioni di sicurezza correnti fare clic su Siti attendibili e quindi su Siti.
    3. Se si desidera aggiungere siti che non richiedono un canale crittografato, fare clic per deselezionare la casella di controllo Richiedi verifica server (https:) per tutti i siti dell'area .
    4. Nella casella Aggiungi questo sito Web alla zona digitare l'URL di un sito attendibile e quindi fare clic su Aggiungi.
    5. Ripetere questi passaggi per ogni sito da aggiungere alla zona.
    6. Fare clic su OK due volte per accettare le modifiche e tornare a Internet Explorer.

    Nota Aggiungere tutti i siti attendibili per non eseguire azioni dannose sul sistema. Due siti in particolare da aggiungere sono *.windowsupdate.microsoft.com e *.update.microsoft.com. Si tratta dei siti che ospiteranno l'aggiornamento e richiede un controllo ActiveX per installare l'aggiornamento.

Distribuzione degli aggiornamenti della sicurezza

Per informazioni sulla distribuzione degli aggiornamenti della sicurezza, vedere l'articolo della Microsoft Knowledge Base a cui si fa riferimento nel riepilogo esecutivo.

Riconoscimenti

Microsoft riconosce gli sforzi di coloro che si trovano nella community di sicurezza che ci aiutano a proteggere i clienti attraverso la divulgazione coordinata delle vulnerabilità. Per altre informazioni, vedere Riconoscimenti .

Dichiarazione di non responsabilità

Le informazioni fornite nella Microsoft Knowledge Base vengono fornite "così com'è" senza garanzia di alcun tipo. Microsoft dichiara tutte le garanzie, espresse o implicite, incluse le garanzie di commerciabilità e idoneità per uno scopo specifico. In nessun caso, Microsoft Corporation o i suoi fornitori saranno responsabili di qualsiasi danno, incluso diretto, indiretto, accidentale, consequenziale, perdita di profitti aziendali o danni speciali, anche se Microsoft Corporation o i suoi fornitori sono stati informati della possibilità di tali danni. Alcuni stati non consentono l'esclusione o la limitazione della responsabilità per danni consequenziali o accidentali, pertanto la limitazione precedente potrebbe non essere applicata.

Revisioni

  • V1.0 (10 marzo 2016): Bollettino pubblicato.

Pagina generata 2016-03-10 13:50-08:00.