Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Aggiornamenti di sicurezza per prodotti Microsoft (giugno 2019)

edge  hyper-v  Internet Explorer  microsoft   mercoledì, 12 giugno 2019

Nella giornata dell’11 giugno 2019 Microsoft ha emesso diversi aggiornamenti di sicurezza che risolvono vulnerabilità multiple in svariati prodotti. Se sfruttate con successo, le più gravi tra queste vulnerabilità possono causare l’esecuzione di codice arbitrario da remoto.

Gli aggiornamenti riguardano i seguenti prodotti:

  • Microsoft Windows
  • Internet Explorer
  • Microsoft Edge
  • Microsoft Office e Microsoft Office Services and Web Apps
  • ChakraCore
  • Skype for Business e Microsoft Lync
  • Microsoft Exchange Server
  • Azure

Gli aggiornamenti includono fix per le seguenti vulnerabilità critiche:

  • Una vulnerabilità critica legata ad una gestione impropria degli oggetti in memoria da parte del componente ActiveX Data Objects (ADO) di Microsoft Windows che può consentire ad un attaccante di eseguire codice arbitrario nel contesto dell’utente corrente (CVE-2019-0888).
  • Vulnerabilità multiple critiche legate ad una validazione impropria dell’input da parte di Windows Hyper-V che possono consentire ad un attaccante autenticato di eseguire codice arbitrario su un server host mediante un’applicazione appositamente predisposta in esecuzione su un sistema guest (CVE-2019-0620, CVE-2019-0709, CVE-2019-0722).
  • Vulnerabilità multiple critiche in Microsoft Edge legate ad una gestione impropria degli oggetti in memoria da parte del motore di scripting che possono consentire ad un attaccante di ottenere informazioni sfruttabili per compromettere ulteriormente il sistema (CVE-2019-1023, CVE-2019-0990).
  • Vulnerabilità multiple critiche in Microsoft Edge legate ad una gestione impropria degli oggetti in memoria da parte del motore di scripting Chakra che possono consentire ad un attaccante di eseguire codice da remoto nel contesto dell’utente corrente (CVE-2019-1024, CVE-2019-1051, CVE-2019-1052, CVE-2019-0989, CVE-2019-0989, CVE-2019-0991, CVE-2019-0992, CVE-2019-0993, CVE-2019-1002, CVE-2019-1003).
  • Vulnerabilità multiple critiche in Internet Explorer legate ad una gestione impropria degli oggetti in memoria da parte del motore di scripting che possono consentire ad un attaccante di eseguire codice da remoto nel contesto dell’utente corrente (CVE-2019-0920, CVE-2019-0988, CVE-2019-1055, CVE-2019-1080).
  • Una vulnerabilità critica legata ad una gestione impropria degli oggetti in memoria da parte di Internet Explorer e Microsoft Edge che può consentire ad un attaccante di eseguire codice da remoto nel contesto dell’utente corrente (CVE-2019-1038).
  • Una vulnerabilità critica in Microsoft Windows 7 e Windows Server 2008 legata ad una gestione impropria dell’input text-to-speech (TTS) da parte delle Microsoft Speech API (SAPI) che può consentire ad un attaccante di eseguire codice da remoto nel contesto dell’utente corrente (CVE-2019-0985).

Microsoft ha altresì risolto quattro vulnerabilità zero-day di tipo elevazione dei privilegi considerate di gravità elevata, scoperte nelle scorse settimane dal ricercatore di sicurezza noto come SandboxEscaper:

Nessuna di queste vulnerabilità è stata finora sfruttata in attacchi reali.

Si raccomanda ai gestori e agli utenti di sistemi e prodotti Microsoft di prendere visione dei bollettini di sicurezza Microsoft di giugno 2019 e di applicare al più presto gli aggiornamenti necessari.

I bollettini di sicurezza Microsoft più recenti sono reperibili sul portale Security Update Guide (per ora disponibile solo in Inglese).

Gli aggiornamenti di sicurezza possono essere scaricati dal sito Microsoft Download Center. Per i sistemi desktop gli aggiornamenti possono essere ottenuti automaticamente mediante Microsoft Update.

Notizie correlate

Aggiornamenti di sicurezza per prodotti Microsoft (ottobre 2019)

9 ottobre 2019

Nella giornata dell'8 ottobre 2019 Microsoft ha emesso diversi aggiornamenti di sicurezza che risolvono vulnerabilità multiple in svariati prodotti.Leggi tutto

Microsoft rilascia aggiornamento per falla critica 0-day in Internet Explorer

24 settembre 2019

Microsoft ha rilasciato una patch di emergenza per risolvere una vulnerabilità critica zero-day in Internet Explorer che può causare l’esecuzione di codice arbitrario da remoto.Leggi tutto

Aggiornamenti di sicurezza per prodotti Microsoft (settembre 2019)

13 settembre 2019

Nella giornata del 10 settembre 2019 Microsoft ha emesso diversi aggiornamenti di sicurezza che risolvono vulnerabilità multiple in svariati prodotti.Leggi tutto