Microsoft Security Bulletin MS16-097 - Critico

Aggiornamento della sicurezza per il componente grafica Microsoft (3177393)

Pubblicato: 9 agosto 2016

Versione: 1.0

Schema riepilogativo

Questo aggiornamento della sicurezza risolve le vulnerabilità in Microsoft Windows, Microsoft Office, Skype for Business e Microsoft Lync. Le vulnerabilità potrebbero consentire l'esecuzione di codice remoto se un utente visita un sito Web appositamente creato o apre un documento appositamente creato. Gli utenti con account che dispongono di diritti utente limitati per il sistema in uso risultano meno esposti degli utenti che operano con diritti amministrativi.

Questo aggiornamento della sicurezza è valutato critical per:

  • Tutte le versioni supportate di Microsoft Windows
  • Edizioni interessate di Microsoft Office 2007 e Microsoft Office 2010
  • Edizioni interessate di Skype for Business 2016, Microsoft Lync 2013 e Microsoft Lync 2010

L'aggiornamento della sicurezza risolve le vulnerabilità correggendo il modo in cui la libreria dei tipi di carattere di Windows gestisce i tipi di carattere incorporati. Per altre informazioni sulle vulnerabilità, vedere la sezione Informazioni sulla vulnerabilità.

Per altre informazioni, vedere la sezione Valutazioni di gravità del software e della vulnerabilità interessate.

Per altre informazioni sulle vulnerabilità, vedere la sezione Informazioni sulla vulnerabilità.

Per altre informazioni su questo aggiornamento, vedere l'articolo della Microsoft Knowledge Base 3177393.

Classificazioni di gravità del software e della vulnerabilità interessate

Sono interessate le versioni o le edizioni software seguenti. Le versioni o le edizioni non elencate superano il ciclo di vita del supporto o non sono interessate. Per determinare il ciclo di vita del supporto per la versione o l'edizione del software, vedere supporto tecnico Microsoft Ciclo di vita.

Le classificazioni di gravità indicate per ogni software interessato presuppongono il potenziale impatto massimo della vulnerabilità. Per informazioni sulla probabilità, entro 30 giorni dal rilascio del bollettino sulla sicurezza, della sfruttabilità della vulnerabilità in relazione alla valutazione della gravità e all'impatto sulla sicurezza, vedere l'indice di exploit nel riepilogo del bollettino di agosto.

Microsoft Windows

Sistema operativo Vulnerabilità RCE del componente grafico windows - CVE-2016-3301 Vulnerabilità RCE del componente grafico windows - CVE-2016-3303 Vulnerabilità RCE del componente grafico windows - CVE-2016-3304 Aggiornamenti sostituito*
Windows Vista
Windows Vista Service Pack 2 (3178034) Esecuzione di codice remoto critico Esecuzione di codice remoto critico Esecuzione di codice remoto critico 3087135 in MS15-097
Windows Vista x64 Edition Service Pack 2 (3178034) Esecuzione di codice remoto critico Esecuzione di codice remoto critico Esecuzione di codice remoto critico 3087135 in MS15-097
Windows Server 2008
Windows Server 2008 per sistemi a 32 bit Service Pack 2 (3178034) Esecuzione di codice remoto critico Esecuzione di codice remoto critico Esecuzione di codice remoto critico 3087135 in MS15-097
Windows Server 2008 per sistemi basati su x64 Service Pack 2 (3178034) Esecuzione di codice remoto critico Esecuzione di codice remoto critico Esecuzione di codice remoto critico 3087135 in MS15-097
Windows Server 2008 per sistemi basati su Itanium Service Pack 2 (3178034) Esecuzione di codice remoto critico Esecuzione di codice remoto critico Esecuzione di codice remoto critico 3087135 in MS15-097
Windows 7
Windows 7 per sistemi a 32 bit Service Pack 1 (3178034) Esecuzione di codice remoto critico Esecuzione di codice remoto critico Esecuzione di codice remoto critico 2957503 in MS14-036
Windows 7 per sistemi basati su x64 Service Pack 1 (3178034) Esecuzione di codice remoto critico Esecuzione di codice remoto critico Esecuzione di codice remoto critico 2957503 in MS14-036
Windows Server 2008 R2
Windows Server 2008 R2 per sistemi basati su x64 Service Pack 1 (3178034) Esecuzione di codice remoto critico Esecuzione di codice remoto critico Esecuzione di codice remoto critico 2957503 in MS14-036
Windows Server 2008 R2 per sistemi basati su Itanium Service Pack 1 (3178034) Esecuzione di codice remoto critico Esecuzione di codice remoto critico Esecuzione di codice remoto critico 2957503 in MS14-036
Windows 8.1
Windows 8.1 per sistemi a 32 bit (3178034) Esecuzione di codice remoto critico Non applicabile Non applicabile None
Windows 8.1 per sistemi basati su x64 (3178034) Esecuzione di codice remoto critico Non applicabile Non applicabile None
Windows Server 2012 e Windows Server 2012 R2
Windows Server 2012 (3178034) Esecuzione di codice remoto critico Non applicabile Non applicabile None
Windows Server 2012 R2 (3178034) Esecuzione di codice remoto critico Non applicabile Non applicabile None
Windows RT 8.1
Windows RT 8.1[1](3178034) Esecuzione di codice remoto critico Non applicabile Non applicabile None
Windows 10
Windows 10 per sistemi a 32 bit[2](3176492) Esecuzione di codice remoto critico Non applicabile Non applicabile 3163912
Windows 10 per sistemi basati su x64[2](3176492) Esecuzione di codice remoto critico Non applicabile Non applicabile 3163912
Windows 10 versione 1511 per sistemi a 32 bit[2](3176493) Esecuzione di codice remoto critico Non applicabile Non applicabile 3172985
Windows 10 versione 1511 per sistemi basati su x64[2](3176493) Esecuzione di codice remoto critico Non applicabile Non applicabile 3172985
Windows 10 versione 1607 per sistemi a 32 bit[2](3176495) Esecuzione di codice remoto critico Non applicabile Non applicabile None
Windows 10 versione 1607 per sistemi basati su x64[2](3176495) Esecuzione di codice remoto critico Non applicabile Non applicabile None
Opzione di installazione dei componenti di base del server
Windows Server 2008 per sistemi a 32 bit Service Pack 2 (installazione server core) (3178034) Esecuzione di codice remoto critico Esecuzione di codice remoto critico Esecuzione di codice remoto critico 3087135 in MS15-097
Windows Server 2008 per sistemi basati su x64 Service Pack 2 (installazione server Core) (3178034) Esecuzione di codice remoto critico Esecuzione di codice remoto critico Esecuzione di codice remoto critico 3087135 in MS15-097
Windows Server 2008 R2 per sistemi basati su x64 Service Pack 1 (installazione server Core) (3178034) Esecuzione di codice remoto critico Esecuzione di codice remoto critico Esecuzione di codice remoto critico 3087135 in MS15-097
Windows Server 2012 (installazione server Core) (3178034) Esecuzione di codice remoto critico Non applicabile Non applicabile None
Windows Server 2012 R2 (installazione server Core) (3178034) Esecuzione di codice remoto critico Non applicabile Non applicabile None

[1]Questo aggiornamento è disponibile solo tramite Windows Update.

[2]Gli aggiornamenti di Windows 10 sono cumulativi. La versione della sicurezza mensile include tutte le correzioni di sicurezza per le vulnerabilità che interessano Windows 10, oltre agli aggiornamenti non della sicurezza. Gli aggiornamenti sono disponibili tramite il Catalogo di Microsoft Update.

Nota Le vulnerabilità descritte in questo bollettino influiscono su Windows Server 2016 Technical Preview 5. Per essere protetti dalle vulnerabilità, Microsoft consiglia ai clienti che eseguono questo sistema operativo di applicare l'aggiornamento corrente, disponibile in Windows Update.

*La colonna Aggiornamenti Sostituito mostra solo l'aggiornamento più recente in qualsiasi catena di aggiornamenti sostituiti. Per un elenco completo degli aggiornamenti sostituiti, passare a Microsoft Update Catalog, cercare il numero kb di aggiornamento e quindi visualizzare i dettagli degli aggiornamenti (le informazioni sostituite vengono fornite nella scheda PackageDetails ).

Microsoft Office

Sistema operativo Vulnerabilità RCE del componente grafico windows - CVE-2016-3301 Vulnerabilità RCE del componente grafico windows - CVE-2016-3303 Vulnerabilità RCE del componente grafico windows - CVE-2016-3304 Aggiornamenti sostituito*
Microsoft Office 2007
Microsoft Office 2007 Service Pack 3 (3115109) Esecuzione di codice remoto critico Esecuzione di codice remoto critico Esecuzione di codice remoto critico 3114542 in MS16-039
Microsoft Office 2010
Microsoft Office 2010 Service Pack 2 (edizioni a 32 bit) (3115131) Esecuzione di codice remoto critico Esecuzione di codice remoto critico Esecuzione di codice remoto critico 3114566 in MS16-039
Microsoft Office 2010 Service Pack 2 (edizioni a 64 bit) (3115131) Esecuzione di codice remoto critico Esecuzione di codice remoto critico Esecuzione di codice remoto critico 3114566 in MS16-039
Altro software di Office
Visualizzatore Microsoft Word (3115481) Esecuzione di codice remoto critico Esecuzione di codice remoto critico Esecuzione di codice remoto critico 3114985 in MS16-039

*La colonna Aggiornamenti Sostituito mostra solo l'aggiornamento più recente in qualsiasi catena di aggiornamenti sostituiti. Per un elenco completo degli aggiornamenti sostituiti, passare a Microsoft Update Catalog, cercare il numero kb di aggiornamento e quindi visualizzare i dettagli degli aggiornamenti (le informazioni sostituite vengono fornite nella scheda Dettagli pacchetto).

Piattaforme di comunicazione Microsoft e software

Sistema operativo Vulnerabilità RCE del componente grafico windows - CVE-2016-3301 Vulnerabilità RCE del componente grafico windows - CVE-2016-3303 Vulnerabilità RCE del componente grafico windows - CVE-2016-3304 Aggiornamenti sostituito*
Skype for Business 2016
Skype for Business 2016 (edizioni a 32 bit) (3115408) Esecuzione di codice remoto critico Esecuzione di codice remoto critico Esecuzione di codice remoto critico 3114960 in MS16-039
Skype for Business Basic 2016 (edizioni a 32 bit) (3115408) Esecuzione di codice remoto critico Esecuzione di codice remoto critico Esecuzione di codice remoto critico 3114960 in MS16-039
Skype for Business 2016 (edizioni a 64 bit) (3115408) Esecuzione di codice remoto critico Esecuzione di codice remoto critico Esecuzione di codice remoto critico 3114960 in MS16-039
Skype for Business Basic 2016 (edizioni a 64 bit) (3115408) Esecuzione di codice remoto critico Esecuzione di codice remoto critico Esecuzione di codice remoto critico 3114960 in MS16-039
Microsoft Lync 2013
Microsoft Lync 2013 Service Pack 1 (32 bit)[1](Skype for Business) (3115431) Esecuzione di codice remoto critico Esecuzione di codice remoto critico Esecuzione di codice remoto critico 3114944 in MS16-039
Microsoft Lync Basic 2013 Service Pack 1 (32 bit)[1](Skype for Business Basic) (3115431) Esecuzione di codice remoto critico Esecuzione di codice remoto critico Esecuzione di codice remoto critico 3114944 in MS16-039
Microsoft Lync 2013 Service Pack 1 (64 bit)[1](Skype for Business) (3115431) Esecuzione di codice remoto critico Esecuzione di codice remoto critico Esecuzione di codice remoto critico 3114944 in MS16-039
Microsoft Lync Basic 2013 Service Pack 1 (64 bit)[1](Skype for Business Basic) (3115431) Esecuzione di codice remoto critico Esecuzione di codice remoto critico Esecuzione di codice remoto critico 3114944 in MS16-039
Microsoft Lync 2010
Microsoft Lync 2010 (32 bit) (3174301) Esecuzione di codice remoto critico Esecuzione di codice remoto critico Esecuzione di codice remoto critico 3144427 in MS16-039
Microsoft Lync 2010 (64 bit) (3174301) Esecuzione di codice remoto critico Esecuzione di codice remoto critico Esecuzione di codice remoto critico 3144427 in MS16-039
Microsoft Lync 2010 Partecipante[2](installazione a livello di utente) (3174302) Esecuzione di codice remoto critico Esecuzione di codice remoto critico Esecuzione di codice remoto critico 3144428 in MS16-039
Microsoft Lync 2010 Partecipante (installazione a livello di amministratore) (3174304) Esecuzione di codice remoto critico Esecuzione di codice remoto critico Esecuzione di codice remoto critico 3144429 in MS16-039
Microsoft Live Meeting 2007 Console
Console di Microsoft Live Meeting 2007[3](3174305) Esecuzione di codice remoto critico Esecuzione di codice remoto critico Esecuzione di codice remoto critico 3144431 in MS16-039

[1]Prima di installare questo aggiornamento, è necessario che sia installato 2965218 aggiornamento e 3039779 aggiornamento della sicurezza. Per altre informazioni, vedere Le domande frequenti sull'aggiornamento.

[2]Questo aggiornamento è disponibile nell'Area download Microsoft.

[3]È disponibile anche un aggiornamento per il componente aggiuntivo Conferenza per Microsoft Office Outlook. Per altre informazioni e collegamenti per il download, vedere Scaricare il componente aggiuntivo Conferenza per Microsoft Office Outlook.

*La colonna Aggiornamenti Sostituito mostra solo l'aggiornamento più recente in una catena di aggiornamenti sostituiti. Per un elenco completo degli aggiornamenti sostituiti, passare a Microsoft Update Catalog, cercare il numero kb di aggiornamento e quindi visualizzare i dettagli degli aggiornamenti (gli aggiornamenti sostituiti sono disponibili nella scheda Dettagli pacchetto).

Domande frequenti su Aggiornamento

Sono disponibili più pacchetti di aggiornamento per alcuni dei software interessati. È necessario installare tutti gli aggiornamenti elencati nella tabella Software interessato per il software?
Sì. I clienti devono applicare tutti gli aggiornamenti offerti per il software installato nei propri sistemi. Se si applicano più aggiornamenti, possono essere installati in qualsiasi ordine.

È necessario installare questi aggiornamenti della sicurezza in una sequenza specifica?
No. È possibile applicare più aggiornamenti per un determinato sistema in qualsiasi sequenza.

Sono in esecuzione Office 2010, che è elencato come software interessato. Perché non viene offerto l'aggiornamento?
L'aggiornamento non è applicabile a Office 2010 in Windows Vista e versioni successive di Windows perché il codice vulnerabile non è presente.

Viene offerto questo aggiornamento per il software che non è indicato specificamente come interessato nella tabella Valutazioni di gravità del software e della vulnerabilità interessate. Perché viene offerto questo aggiornamento?
Quando gli aggiornamenti rispondono a codice vulnerabile presente in un componente condiviso tra più prodotti Microsoft Office o condivisi tra più versioni dello stesso prodotto Microsoft Office, l'aggiornamento viene considerato applicabile a tutti i prodotti e le versioni supportati che contengono il componente vulnerabile.

Ad esempio, quando un aggiornamento si applica ai prodotti Microsoft Office 2007, solo Microsoft Office 2007 può essere elencato specificamente nella tabella Software interessato. Tuttavia, l'aggiornamento potrebbe essere applicato a Microsoft Word 2007, Microsoft Excel 2007, Microsoft Visio 2007, Microsoft Compatibility Pack, Microsoft Excel Viewer o qualsiasi altro prodotto di Microsoft Office 2007 non specificato nella tabella Software interessato. Inoltre, quando un aggiornamento si applica ai prodotti Microsoft Office 2010, solo Microsoft Office 2010 può essere elencato specificamente nella tabella Software interessato. Tuttavia, l'aggiornamento potrebbe essere applicato a Microsoft Word 2010, Microsoft Excel 2010, Microsoft Visio 2010, Visualizzatore di Microsoft Visio o qualsiasi altro prodotto di Microsoft Office 2010 non elencato in modo specifico nella tabella Software interessato.

Per altre informazioni su questo comportamento e sulle azioni consigliate, vedere l'articolo della Microsoft Knowledge Base 830335. Per un elenco dei prodotti Microsoft Office a cui può essere applicato un aggiornamento, vedere l'articolo della Microsoft Knowledge Base associato all'aggiornamento specifico.

Esistono prerequisiti per uno degli aggiornamenti offerti in questo bollettino per le edizioni interessate di Microsoft Lync 2013 (Skype for Business)?  Sì. I clienti che eseguono edizioni interessate di Microsoft Lync 2013 (Skype for Business) devono prima installare l'aggiornamento 2965218 per Office 2013 rilasciato ad aprile 2015 e quindi l'aggiornamento della sicurezza 3039779 rilasciato a maggio 2015. Per altre informazioni su questi due aggiornamenti dei prerequisiti, vedere:

Sono presenti aggiornamenti non relativi alla sicurezza che i clienti devono installare insieme all'aggiornamento della sicurezza di Microsoft Live Meeting Console?
Sì, oltre a rilasciare un aggiornamento della sicurezza per Microsoft Live Meeting Console, Microsoft ha rilasciato i seguenti aggiornamenti non relativi alla sicurezza per il componente aggiuntivo per servizi di conferenza OCS per Outlook. Se applicabile, Microsoft consiglia ai clienti di installare questi aggiornamenti per mantenere aggiornati i sistemi:

  • Componente aggiuntivo per le conferenze OCS per Outlook (32 bit) (3115870)
  • Componente aggiuntivo per le conferenze OCS per Outlook (64 bit) (3115870)

Per altre informazioni, vedere l'articolo della Microsoft Knowledge Base 3115870 .

Perché l'aggiornamento di Lync 2010 Partecipante (installazione a livello di utente) è disponibile solo dall'Area download Microsoft?
Microsoft rilascia l'aggiornamento per Lync 2010 Attendee (installazione a livello di utente) solo nell'Area download Microsoft. Poiché l'installazione a livello utente di Lync 2010 Attendee viene gestita tramite una sessione lync, i metodi di distribuzione come l'aggiornamento automatico non sono appropriati per questo tipo di scenario di installazione.

Informazioni sulla vulnerabilità

Vulnerabilità RCE di più componenti grafici di Windows

Esistono più vulnerabilità di esecuzione del codice remoto quando la libreria dei tipi di carattere di Windows gestisce in modo non corretto i tipi di carattere incorporati appositamente creati. Un utente malintenzionato che ha sfruttato correttamente le vulnerabilità potrebbe assumere il controllo del sistema interessato. L'utente malintenzionato potrebbe quindi installare programmi e visualizzare, modificare o eliminare dati, oppure creare nuovi account con diritti utente completi. Gli utenti con account che dispongono di diritti utente limitati per il sistema in uso risultano meno esposti degli utenti che operano con diritti amministrativi.

Esistono diversi modi in cui un utente malintenzionato potrebbe sfruttare le vulnerabilità:

  • In uno scenario di attacco basato sul Web, un utente malintenzionato potrebbe ospitare un sito Web appositamente progettato per sfruttare le vulnerabilità e quindi convincere gli utenti a visualizzare il sito Web. Un utente malintenzionato non avrebbe modo di forzare gli utenti a visualizzare il contenuto controllato dall'utente malintenzionato. Un utente malintenzionato dovrà invece convincere gli utenti a intervenire, in genere facendo clic su un collegamento in un messaggio di posta elettronica o Instant Messenger che porta gli utenti al sito Web dell'utente malintenzionato o aprendo un allegato inviato tramite posta elettronica.
  • In uno scenario di attacco di condivisione file, un utente malintenzionato potrebbe fornire un file di documento appositamente progettato per sfruttare le vulnerabilità e quindi convincere gli utenti ad aprire il file di documento. L'aggiornamento della sicurezza risolve le vulnerabilità correggendo il modo in cui la libreria dei tipi di carattere di Windows gestisce i tipi di carattere incorporati.

Nella tabella Valutazioni di gravità del software e della vulnerabilità interessate per Microsoft Office, il riquadro di anteprima è un vettore di attacco per CVE-2016-3301, CVE-2016-3303 e CVE-2016-3304. L'aggiornamento della sicurezza risolve le vulnerabilità correggendo il modo in cui la libreria dei tipi di carattere di Windows gestisce i tipi di carattere incorporati.

La tabella seguente contiene collegamenti alla voce standard per ogni vulnerabilità nell'elenco Vulnerabilità ed esposizioni comuni:

Titolo della vulnerabilità Numero CVE Divulgato pubblicamente Sfruttato
Vulnerabilità RCE del componente grafica Windows CVE-2016-3301 No No
Vulnerabilità RCE del componente grafica Windows CVE-2016-3303 No No
Vulnerabilità RCE del componente grafica Windows CVE-2016-3304 No No

Fattori di mitigazione

Microsoft non ha identificato alcun fattore di mitigazione per queste vulnerabilità.

Soluzioni alternative

Microsoft non ha identificato soluzioni alternative per questa vulnerabilità.

Distribuzione degli aggiornamenti della sicurezza

Per informazioni sulla distribuzione degli aggiornamenti della sicurezza, vedere l'articolo della Microsoft Knowledge Base a cui si fa riferimento nel riepilogo esecutivo.

Riconoscimenti

Microsoft riconosce gli sforzi di coloro che si trovano nella community di sicurezza che ci aiutano a proteggere i clienti attraverso la divulgazione coordinata delle vulnerabilità. Per altre informazioni, vedere Riconoscimenti .

Dichiarazione di non responsabilità

Le informazioni fornite nella Microsoft Knowledge Base vengono fornite "così com'è" senza garanzia di alcun tipo. Microsoft dichiara tutte le garanzie, espresse o implicite, incluse le garanzie di commerciabilità e idoneità per uno scopo specifico. In nessun caso, Microsoft Corporation o i suoi fornitori saranno responsabili di qualsiasi danno, incluso diretto, indiretto, accidentale, consequenziale, perdita di profitti aziendali o danni speciali, anche se Microsoft Corporation o i suoi fornitori sono stati informati della possibilità di tali danni. Alcuni stati non consentono l'esclusione o la limitazione della responsabilità per danni consequenziali o accidentali, pertanto la limitazione precedente potrebbe non essere applicata.

Revisioni

  • V1.0 (9 agosto 2016): Bollettino pubblicato.

Pagina generata 2016-08-09 09:18-07:00. </https:>