Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Aggiornamento cumulativo della sicurezza per Microsoft Edge (3183043)
Pubblicato: 13 settembre 2016
Versione: 1.0
Schema riepilogativo
Questo aggiornamento della sicurezza risolve le vulnerabilità in Microsoft Edge. La più grave delle vulnerabilità potrebbe consentire l'esecuzione remota del codice se un utente visualizza una pagina Web appositamente creata usando Microsoft Edge. Un utente malintenzionato che ha sfruttato correttamente le vulnerabilità potrebbe ottenere gli stessi diritti utente dell'utente corrente. I clienti i cui account sono configurati per avere un minor numero di diritti utente nel sistema potrebbero essere meno interessati rispetto agli utenti con diritti utente amministrativi.
Questo aggiornamento della sicurezza è valutato Critical per Microsoft Edge in Windows 10. Per altre informazioni, vedere la sezione Software interessato.
L'aggiornamento risolve le vulnerabilità in base a:
- modifica del modo in cui Microsoft Edge e alcune funzioni gestiscono gli oggetti in memoria.
- modifica del modo in cui il motore di scripting JavaScript di Python gestisce gli oggetti in memoria.
- correzione del modo in cui Microsoft Edge gestisce le richieste tra le origini.
- garantire che Microsoft Edge implementi correttamente la funzionalità di sicurezza ASLR (Address Space Layout Randomization).
- per garantire che Microsoft Edge convalide correttamente il contenuto della pagina.
Per altre informazioni sulle vulnerabilità, vedere la sezione Informazioni sulla vulnerabilità.
Per altre informazioni su questo aggiornamento, vedere l'articolo della Microsoft Knowledge Base 3183043.
Software interessato
Sono interessate le versioni o le edizioni software seguenti. Le versioni o le edizioni non elencate superano il ciclo di vita del supporto o non sono interessate. Per determinare il ciclo di vita del supporto per la versione o l'edizione del software, vedere supporto tecnico Microsoft Ciclo di vita.
| Sistema operativo | Componente | Impatto massimo sulla sicurezza | Valutazione della gravità aggregata | Aggiornamenti sostituito |
|---|---|---|---|---|
| Microsoft Edge | ||||
| Windows 10 per sistemi a 32 bit[1](3185611) | Microsoft Edge | Esecuzione di codice remoto | Critico | 3176492 |
| Windows 10 per sistemi basati su x64[1](3185611) | Microsoft Edge | Esecuzione di codice remoto | Critico | 3176492 |
| Windows 10 versione 1511 per sistemi a 32 bit[1](3185614) | Microsoft Edge | Esecuzione di codice remoto | Critico | 3176493 |
| Windows 10 versione 1511 per sistemi basati su x64[1](3185614) | Microsoft Edge | Esecuzione di codice remoto | Critico | 3176493 |
| Windows 10 versione 1607 per sistemi a 32 bit[1](3189866) | Microsoft Edge | Esecuzione di codice remoto | Critico | 3176495 |
| Windows 10 versione 1607 per sistemi basati su x64[1](3189866) | Microsoft Edge | Esecuzione di codice remoto | Critico | 3176495 |
[1]Gli aggiornamenti di Windows 10 sono cumulativi. La versione della sicurezza mensile include tutte le correzioni di sicurezza per le vulnerabilità che interessano Windows 10, oltre agli aggiornamenti non della sicurezza. Gli aggiornamenti sono disponibili tramite il Catalogo di Microsoft Update.
Nota Le vulnerabilità descritte in questo bollettino influiscono su Windows Server 2016 Technical Preview 5. Per essere protetti dalle vulnerabilità, Microsoft consiglia ai clienti che eseguono questo sistema operativo di applicare l'aggiornamento corrente, disponibile esclusivamente da Windows Update.
Classificazioni di gravità e identificatori di vulnerabilità
Le classificazioni di gravità seguenti presuppongono il potenziale impatto massimo della vulnerabilità. Per informazioni sulla probabilità, entro 30 giorni dal rilascio di questo bollettino sulla sicurezza, della sfruttabilità della vulnerabilità in relazione alla classificazione di gravità e all'impatto sulla sicurezza, vedere l'indice di exploit nel riepilogo del bollettino di settembre.
Se specificato nella tabella Ratings and Impact della gravità, i valori Critical, Important e Moderate indicano le classificazioni di gravità. Per altre informazioni, vedere Security Bulletin Severity Rating System. Fare riferimento alla chiave seguente per le abbreviazioni usate nella tabella per indicare l'impatto massimo:
| Abbreviazione | Impatto massimo |
|---|---|
| RCE | Esecuzione di codice remoto |
| Eop | Elevazione dei privilegi |
| ID | Diffusione di informazioni |
| SFB | Bypass delle funzionalità di sicurezza |
| Valutazioni e impatto della gravità della vulnerabilità | ||
|---|---|---|
| Numero CVE | Titolo della vulnerabilità | Microsoft Edge |
| CVE-2016-3247 | Vulnerabilità di danneggiamento della memoria di Microsoft Browser | Client Windows: Server Windows importanti/RCE : Basso/RCE |
| CVE-2016-3291 | Vulnerabilità di divulgazione delle informazioni di Microsoft Browser | Client Windows: Moderate/ID Windows Servers Low/ID |
| CVE-2016-3294 | Vulnerabilità di danneggiamento della memoria di Microsoft Edge | Client Windows: Server Windows critici/RCE : moderate/RCE |
| CVE-2016-3295 | Vulnerabilità di danneggiamento della memoria di Microsoft Browser | Client Windows: Critical/RCE ** Server Windows: Moderate/RCE |
| CVE-2016-3297 | Vulnerabilità di danneggiamento della memoria di Microsoft Browser | Client Windows: Server Windows importanti/RCE a basso/RCE |
| CVE-2016-3325 | Vulnerabilità di divulgazione delle informazioni di Microsoft Browser | Client Windows: Server Windows importanti/ID basso/ID |
| CVE-2016-3330 | Vulnerabilità di danneggiamento della memoria di Microsoft Edge | Client Windows: Server Windows importanti/RCE a basso/RCE |
| CVE-2016-3350 | Vulnerabilità di danneggiamento della memoria del motore di scripting | Client Windows: Server Windows critici/RCE : moderate/RCE |
| CVE-2016-3351 | Vulnerabilità di divulgazione delle informazioni di Microsoft Browser | Client Windows: Server Windows importanti/ID basso/ID |
| CVE-2016-3370 | Vulnerabilità di divulgazione delle informazioni della libreria PDF | Client Windows: Server Windows importanti/ID basso/ID |
| CVE-2016-3374 | Vulnerabilità di divulgazione delle informazioni della libreria PDF | Client Windows: Server Windows importanti/ID basso/ID |
| CVE-2016-3377 | Vulnerabilità di danneggiamento della memoria del motore di scripting | Client Windows: Server Windows critici/RCE : moderate/RCE |
Informazioni sulla vulnerabilità
Più vulnerabilità di danneggiamento della memoria di Microsoft Edge
Esistono più vulnerabilità di esecuzione del codice remoto nel modo in cui Microsoft Edge gestisce gli oggetti in memoria. Le vulnerabilità potrebbero danneggiare la memoria in modo da consentire a un utente malintenzionato di eseguire codice arbitrario nel contesto dell'utente corrente. Un utente malintenzionato che ha sfruttato correttamente la vulnerabilità potrebbe ottenere gli stessi diritti utente dell'utente corrente. Se l'utente corrente è connesso con diritti utente amministrativi, un utente malintenzionato che ha sfruttato correttamente le vulnerabilità potrebbe assumere il controllo di un sistema interessato. L'utente malintenzionato potrebbe quindi installare programmi e visualizzare, modificare o eliminare dati, oppure creare nuovi account con diritti utente completi.
In uno scenario di attacco basato sul Web, un utente malintenzionato potrebbe ospitare un sito Web appositamente progettato per sfruttare le vulnerabilità tramite Microsoft Edge e quindi convincere un utente a visualizzare il sito Web. Un utente malintenzionato può anche incorporare un controllo ActiveX contrassegnato come "sicuro per l'inizializzazione" in un'applicazione o in un documento di Microsoft Office che ospita il motore di rendering Edge. L'utente malintenzionato potrebbe anche sfruttare i siti Web compromessi e i siti Web che accettano o ospitano contenuti o annunci forniti dall'utente. Questi siti Web potrebbero contenere contenuti appositamente creati che potrebbero sfruttare le vulnerabilità.
L'aggiornamento della sicurezza risolve le vulnerabilità modificando il modo in cui Microsoft Edge gestisce gli oggetti in memoria.
La tabella seguente contiene collegamenti alla voce standard per la vulnerabilità nell'elenco Vulnerabilità ed esposizioni comuni:
| **Titolo della vulnerabilità ** | **NUMERO CVE ** | Divulgato pubblicamente | Sfruttato |
|---|---|---|---|
| Vulnerabilità di danneggiamento della memoria di Microsoft Browser | CVE-2016-3247 | No | No |
| Vulnerabilità di danneggiamento della memoria di Microsoft Edge | CVE-2016-3294 | No | No |
| Vulnerabilità di danneggiamento della memoria di Microsoft Browser | CVE-2016-3295 | No | No |
| Vulnerabilità di danneggiamento della memoria di Microsoft Browser | CVE-2016-3297 | No | No |
| Vulnerabilità di danneggiamento della memoria di Microsoft Edge | CVE-2016-3330 | No | No |
Fattori di mitigazione
Microsoft non ha identificato alcun fattore di mitigazione per queste vulnerabilità.
Soluzioni alternative
Microsoft non ha identificato soluzioni alternative per queste vulnerabilità.
Vulnerabilità di danneggiamento della memoria del motore di scripting multiplo
Esistono più vulnerabilità di esecuzione del codice remoto nel modo in cui viene eseguito il rendering del motore JavaScript Di Word durante la gestione degli oggetti in memoria in Microsoft Edge. Le vulnerabilità potrebbero danneggiare la memoria in modo che un utente malintenzionato possa eseguire codice arbitrario nel contesto dell'utente corrente. Un utente malintenzionato che ha sfruttato correttamente le vulnerabilità potrebbe ottenere gli stessi diritti utente dell'utente corrente. Se l'utente corrente è connesso con diritti utente amministrativi, un utente malintenzionato che ha sfruttato correttamente le vulnerabilità potrebbe assumere il controllo di un sistema interessato. L'utente malintenzionato potrebbe quindi installare programmi e visualizzare, modificare o eliminare dati, oppure creare nuovi account con diritti utente completi.
In uno scenario di attacco basato sul Web, un utente malintenzionato potrebbe ospitare un sito Web appositamente progettato per sfruttare le vulnerabilità tramite Microsoft Edge e quindi convincere un utente a visualizzare il sito Web. Un utente malintenzionato può anche incorporare un controllo ActiveX contrassegnato come "sicuro per l'inizializzazione" in un'applicazione o in un documento di Microsoft Office che ospita il motore di rendering Edge. L'utente malintenzionato potrebbe anche sfruttare i siti Web compromessi e i siti Web che accettano o ospitano contenuti o annunci forniti dall'utente. Questi siti Web potrebbero contenere contenuti appositamente creati che potrebbero sfruttare le vulnerabilità.
L'aggiornamento della sicurezza risolve le vulnerabilità modificando la modalità di gestione degli oggetti in memoria da parte del motore di scriptIng JavaScript DiBase.
La tabella seguente contiene collegamenti alla voce standard per ogni vulnerabilità nell'elenco Vulnerabilità ed esposizioni comuni:
| **Titolo della vulnerabilità ** | **NUMERO CVE ** | Divulgato pubblicamente | Sfruttato |
|---|---|---|---|
| Vulnerabilità di danneggiamento della memoria del motore di scripting | CVE-2016-3350 | No | No |
| Vulnerabilità di danneggiamento della memoria del motore di scripting | CVE-2016-3377 | No | No |
Fattori di mitigazione
Microsoft non ha identificato alcun fattore di mitigazione per queste vulnerabilità.
Soluzioni alternative
Microsoft non ha identificato soluzioni alternative per queste vulnerabilità.
Vulnerabilità di divulgazione delle informazioni di Microsoft Browser CVE-2016-3291
Esiste una vulnerabilità di divulgazione di informazioni nel modo in cui Microsoft Edge gestisce le richieste tra le origini. Un utente malintenzionato che ha sfruttato correttamente questa vulnerabilità potrebbe determinare l'origine di tutte le pagine Web nel browser interessato.
In uno scenario di attacco basato sul Web, un utente malintenzionato potrebbe ospitare un sito Web usato per tentare di sfruttare la vulnerabilità. Inoltre, siti Web compromessi e siti Web che accettano o ospitano contenuti forniti dall'utente potrebbero contenere contenuti appositamente creati che potrebbero essere usati per sfruttare le vulnerabilità. Tuttavia, in tutti i casi un utente malintenzionato non avrebbe modo di forzare gli utenti a visualizzare il contenuto controllato dall'utente malintenzionato. Un utente malintenzionato dovrà invece convincere gli utenti a intervenire. Ad esempio, un utente malintenzionato potrebbe ingannare gli utenti a fare clic su un collegamento che li porta al sito dell'utente malintenzionato.
L'aggiornamento della sicurezza risolve la vulnerabilità correggendo il modo in cui Microsoft Edge gestisce le risorse tra le origini.
La tabella seguente contiene collegamenti alla voce standard per ogni vulnerabilità nell'elenco Vulnerabilità ed esposizioni comuni:
| **Titolo della vulnerabilità ** | **NUMERO CVE ** | Divulgato pubblicamente | Sfruttato |
|---|---|---|---|
| Vulnerabilità di divulgazione delle informazioni di Microsoft Browser | CVE-2016-3291 | No | No |
Fattori di mitigazione
Microsoft non ha identificato alcun fattore di mitigazione per questa vulnerabilità.
Soluzioni alternative
Microsoft non ha identificato soluzioni alternative per questa vulnerabilità.
Vulnerabilità di divulgazione delle informazioni di Microsoft Browser CVE-2016-3351
Esiste una vulnerabilità di divulgazione di informazioni nel modo in cui determinate funzioni gestiscono oggetti in memoria. La vulnerabilità potrebbe consentire a un utente malintenzionato di rilevare file specifici nel computer dell'utente.
In uno scenario di attacco basato sul Web un utente malintenzionato potrebbe ospitare un sito Web usato per tentare di sfruttare le vulnerabilità. Inoltre, siti Web compromessi e siti Web che accettano o ospitano contenuti forniti dall'utente potrebbero contenere contenuti appositamente creati che potrebbero essere usati per sfruttare le vulnerabilità. Tuttavia, in tutti i casi un utente malintenzionato non avrebbe modo di forzare gli utenti a visualizzare il contenuto controllato dall'utente malintenzionato. Un utente malintenzionato dovrà invece convincere gli utenti a intervenire. Ad esempio, un utente malintenzionato potrebbe ingannare gli utenti a fare clic su un collegamento che li porta al sito dell'utente malintenzionato.
L'aggiornamento della sicurezza risolve la vulnerabilità correggendo il modo in cui determinate funzioni gestiscono gli oggetti in memoria.
La tabella seguente contiene collegamenti alla voce standard per ogni vulnerabilità nell'elenco Vulnerabilità ed esposizioni comuni:
| **Titolo della vulnerabilità ** | **NUMERO CVE ** | Divulgato pubblicamente | Sfruttato |
|---|---|---|---|
| Vulnerabilità di divulgazione delle informazioni di Microsoft Browser | CVE-2016-3351 | No | Sì |
Fattori di mitigazione
Microsoft non ha identificato alcun fattore di mitigazione per questa vulnerabilità.
Soluzioni alternative
Microsoft non ha identificato soluzioni alternative per questa vulnerabilità.
Vulnerabilità di divulgazione di più informazioni
Esistono più vulnerabilità di divulgazione di informazioni nel modo in cui i componenti interessati gestiscono gli oggetti in memoria. Un utente malintenzionato che ha sfruttato correttamente le vulnerabilità potrebbe ottenere informazioni per compromettere ulteriormente un sistema di destinazione.
In uno scenario di attacco basato sul Web un utente malintenzionato potrebbe ospitare un sito Web usato per tentare di sfruttare le vulnerabilità. Inoltre, siti Web compromessi e siti Web che accettano o ospitano contenuti forniti dall'utente potrebbero contenere contenuti appositamente creati che potrebbero essere usati per sfruttare le vulnerabilità. Tuttavia, in tutti i casi un utente malintenzionato non avrebbe modo di forzare gli utenti a visualizzare il contenuto controllato dall'utente malintenzionato. Un utente malintenzionato dovrà invece convincere gli utenti a intervenire. Ad esempio, un utente malintenzionato potrebbe ingannare gli utenti a fare clic su un collegamento che li porta al sito dell'utente malintenzionato.
L'aggiornamento risolve le vulnerabilità correggendo il modo in cui i componenti interessati gestiscono gli oggetti in memoria.
La tabella seguente contiene collegamenti alla voce standard per ogni vulnerabilità nell'elenco Vulnerabilità ed esposizioni comuni:
| **Titolo della vulnerabilità ** | **NUMERO CVE ** | Divulgato pubblicamente | Sfruttato |
|---|---|---|---|
| Vulnerabilità di divulgazione delle informazioni di Microsoft Browser | CVE-2016-3325 | No | No |
| Vulnerabilità di divulgazione delle informazioni della libreria PDF | CVE-2016-3370 | No | No |
| Vulnerabilità di divulgazione delle informazioni della libreria PDF | CVE-2016-3374 | No | No |
Fattori di mitigazione
Microsoft non ha identificato alcun fattore di mitigazione per queste vulnerabilità.
Soluzioni alternative
Microsoft non ha identificato soluzioni alternative per queste vulnerabilità.
Distribuzione degli aggiornamenti della sicurezza
Per informazioni sulla distribuzione degli aggiornamenti della sicurezza, vedere l'articolo della Microsoft Knowledge Base a cui si fa riferimento nel riepilogo esecutivo.
Riconoscimenti
Microsoft riconosce gli sforzi di coloro che si trovano nella community di sicurezza che ci aiutano a proteggere i clienti attraverso la divulgazione coordinata delle vulnerabilità. Per altre informazioni, vedere Riconoscimenti .
Dichiarazione di non responsabilità
Le informazioni fornite nella Microsoft Knowledge Base vengono fornite "così com'è" senza garanzia di alcun tipo. Microsoft dichiara tutte le garanzie, espresse o implicite, incluse le garanzie di commerciabilità e idoneità per uno scopo specifico. In nessun caso, Microsoft Corporation o i suoi fornitori saranno responsabili di qualsiasi danno, incluso diretto, indiretto, accidentale, consequenziale, perdita di profitti aziendali o danni speciali, anche se Microsoft Corporation o i suoi fornitori sono stati informati della possibilità di tali danni. Alcuni stati non consentono l'esclusione o la limitazione della responsabilità per danni consequenziali o accidentali, pertanto la limitazione precedente potrebbe non essere applicata.
Revisioni
- V1.0 (13 settembre 2016) Bollettino pubblicato.
Pagina generata 2016-09-14 17:44-07:00.