Microsoft Security Bulletin MS16-148 - Critico
Aggiornamento della sicurezza per Microsoft Office (3204068)
Pubblicato: 13 dicembre 2016 | Aggiornamento: 21 dicembre 2016
Versione: 1.1
Schema riepilogativo
Questo aggiornamento della sicurezza risolve le vulnerabilità in Microsoft Office. La più grave delle vulnerabilità potrebbe consentire l'esecuzione remota del codice se un utente apre un file di Microsoft Office appositamente creato. Un utente malintenzionato che ha sfruttato correttamente le vulnerabilità potrebbe eseguire codice arbitrario nel contesto dell'utente corrente. I clienti i cui account sono configurati per avere un minor numero di diritti utente nel sistema potrebbero essere meno interessati rispetto a quelli che operano con diritti utente amministrativi.
Per altre informazioni, vedere la sezione Valutazioni di gravità del software e della vulnerabilità interessate.
L'aggiornamento della sicurezza risolve le vulnerabilità correggendo come:
- Microsoft Office inizializza le variabili.
- Microsoft Office convalida l'input
- Microsoft Office controlla nuovamente i valori del Registro di sistema
- Microsoft Office analizza i formati di file
- Le versioni interessate dei componenti di Office e Office gestiscono gli oggetti in memoria
- Microsoft Office per Mac l'aggiornamento automatico convalida i pacchetti.
Per altre informazioni sulle vulnerabilità, vedere la sezione Informazioni sulla vulnerabilità.
Per altre informazioni su questo aggiornamento, vedere l'articolo della Microsoft Knowledge Base 3204068.
Classificazioni di gravità del software e della vulnerabilità interessate
Sono interessate le versioni o le edizioni software seguenti. Le versioni o le edizioni non elencate superano il ciclo di vita del supporto o non sono interessate. Per determinare il ciclo di vita del supporto per la versione o l'edizione del software, vedere supporto tecnico Microsoft Ciclo di vita.
Le classificazioni di gravità seguenti presuppongono il potenziale impatto massimo della vulnerabilità. Per informazioni sulla probabilità, entro 30 giorni dal rilascio di questo bollettino sulla sicurezza, della sfruttabilità della vulnerabilità in relazione alla classificazione di gravità e all'impatto sulla sicurezza, vedere l'indice di exploit nel riepilogo del bollettino di dicembre.
Nota Vedere la Guida all'aggiornamento della sicurezza per un nuovo approccio all'utilizzo delle informazioni sugli aggiornamenti della sicurezza. È possibile personalizzare le visualizzazioni e creare fogli di calcolo software interessati, nonché scaricare i dati tramite un'API restful. Per altre informazioni, vedere le domande frequenti sulla guida alla sicurezza Aggiornamenti. Come promemoria, la Guida alla sicurezza Aggiornamenti sostituirà i bollettini sulla sicurezza a febbraio 2017. Per altri dettagli, vedere il post di blog Ulteriori informazioni sull'impegno per gli aggiornamenti della sicurezza.
Microsoft Office Software (tabella 1 di 2)
| Software interessato | Vulnerabilità di bypass delle funzionalità di sicurezza di Microsoft Office - CVE-2016-7262 | Vulnerabilità di divulgazione delle informazioni di Microsoft Office - CVE-2016-7264 | Vulnerabilità di divulgazione delle informazioni di Microsoft Office - CVE-2016-7265 | Vulnerabilità di bypass delle funzionalità di sicurezza di Microsoft Office - CVE-2016-7266 | Vulnerabilità di bypass delle funzionalità di sicurezza di Microsoft Office - CVE-2016-7267 | Vulnerabilità di divulgazione delle informazioni di Microsoft Office - CVE-2016-7268 | Aggiornamenti sostituito* |
|---|---|---|---|---|---|---|---|
| Microsoft Office 2007 | |||||||
| Microsoft Excel 2007 Service Pack 3 (3128019) | Importanteesecuzione di codice remoto | Divulgazione di informazioni importanti | Importanteesecuzione di codice remoto | Importanteesecuzione di codice remoto | Non applicabile | Non applicabile | 3118395 in MS16-133 |
| Microsoft Word 2007 Service Pack 3 (3128025) | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Divulgazione di informazioni importanti | 3127949 in MS16-133 |
| Microsoft Office 2010 | |||||||
| Microsoft Office 2010 Service Pack 2 (edizioni a 32 bit) (3128032) | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Divulgazione di informazioni importanti | 3127951 in MS16-133 |
| Microsoft Office 2010 Service Pack 2 (edizioni a 64 bit) (3128032) | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Divulgazione di informazioni importanti | 3127951 in MS16-133 |
| Microsoft Excel 2010 Service Pack 2 (edizioni a 32 bit) (3128037) | Importanteesecuzione di codice remoto | Non applicabile | Importanteesecuzione di codice remoto | Importanteesecuzione di codice remoto | Moderareil bypass delle funzionalità di sicurezza | Non applicabile | 3118390 in MS16-133 |
| Microsoft Excel 2010 Service Pack 2 (edizioni a 64 bit) (3128037) | Importanteesecuzione di codice remoto | Non applicabile | Importanteesecuzione di codice remoto | Importanteesecuzione di codice remoto | Moderareil bypass delle funzionalità di sicurezza | Non applicabile | 3118390 in MS16-133 |
| Microsoft Word 2010 Service Pack 2 (edizioni a 32 bit) (3128034) | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Divulgazione di informazioni importanti | 3127953 in MS16-133 |
| Microsoft Word 2010 Service Pack 2 (edizioni a 64 bit) (3128034) | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Divulgazione di informazioni importanti | 3127953 in MS16-133 |
| Microsoft Office 2013 | |||||||
| Microsoft Excel 2013 Service Pack 1 (edizioni a 32 bit) (3128008) | Importanteesecuzione di codice remoto | Non applicabile | Importanteesecuzione di codice remoto | Importanteesecuzione di codice remoto | Moderareil bypass delle funzionalità di sicurezza | Non applicabile | 3127921 in MS16-133 |
| Microsoft Excel 2013 Service Pack 1 (edizioni a 64 bit) (3128008) | Importanteesecuzione di codice remoto | Non applicabile | Importanteesecuzione di codice remoto | Importanteesecuzione di codice remoto | Moderareil bypass delle funzionalità di sicurezza | Non applicabile | 3127921 in MS16-133 |
| Microsoft Office 2013 RT | |||||||
| Microsoft Excel 2013 RT Service Pack 1[1](3128008) | Importanteesecuzione di codice remoto | Non applicabile | Importanteesecuzione di codice remoto | Importanteesecuzione di codice remoto | Moderareil bypass delle funzionalità di sicurezza | Non applicabile | 3127921 in MS16-133 |
| Microsoft Office 2016 | |||||||
| Microsoft Excel 2016 (edizione a 32 bit) (3128016) | Importanteesecuzione di codice remoto | Non applicabile | Importanteesecuzione di codice remoto | Importanteesecuzione di codice remoto | Moderareil bypass delle funzionalità di sicurezza | Non applicabile | 3127904 in MS16-133 |
| Microsoft Excel 2016 (edizione a 64 bit) (3128016) | Importanteesecuzione di codice remoto | Non applicabile | Importanteesecuzione di codice remoto | Importanteesecuzione di codice remoto | Moderareil bypass delle funzionalità di sicurezza | Non applicabile | 3127904 in MS16-133 |
| Altro software di Office | |||||||
| Microsoft Office Compatibility Pack Service Pack 3 (3128022) | Importanteesecuzione di codice remoto | Divulgazione di informazioni importanti | Importanteesecuzione di codice remoto | Importanteesecuzione di codice remoto | Non applicabile | Non applicabile | 3127889 in MS16-133 |
| Microsoft Office Compatibility Pack Service Pack 3 (3128024) | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Divulgazione di informazioni importanti | 3127948 in MS16-133 |
| Visualizzatore Microsoft Excel (3128023) | Importanteesecuzione di codice remoto | Divulgazione di informazioni importanti | Importanteesecuzione di codice remoto | Importanteesecuzione di codice remoto | Non applicabile | Non applicabile | 3127893 in MS16-133 |
| Visualizzatore Microsoft Word (3128044) | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Divulgazione di informazioni importanti | 3127962 in MS16-133 |
[1]Questo aggiornamento è disponibile tramite Windows Update.
*La colonna Aggiornamenti Sostituito mostra solo l'aggiornamento più recente in una catena di aggiornamenti sostituiti. Per un elenco completo degli aggiornamenti sostituiti, passare a Microsoft Update Catalog, cercare il numero di aggiornamento e quindi visualizzare i dettagli degli aggiornamenti (gli aggiornamenti sostituiti sono disponibili nella scheda Dettagli pacchetto).
Microsoft Office Software (tabella 2 di 2)
| Software interessato | Vulnerabilità di annullamento dell'esecuzione del codice remoto CVE-2016-7274 | Vulnerabilità di sideload della DLL OLE di Microsoft Office - CVE-2016-7275 | Vulnerabilità di divulgazione delle informazioni di Microsoft Office - CVE-2016-7276 | Vulnerabilità di danneggiamento della memoria di Microsoft Office - CVE-2016-7277 | Vulnerabilità di danneggiamento della memoria di Microsoft Office - CVE-2016-7289 | Vulnerabilità di divulgazione delle informazioni di Microsoft Office - CVE-2016-7290 | Vulnerabilità di divulgazione delle informazioni di Microsoft Office - CVE-2016-7291 | Aggiornamenti sostituito* |
|---|---|---|---|---|---|---|---|---|
| Microsoft Office 2007 | ||||||||
| Microsoft Office 2007 Service Pack 3 (3128020) | Non applicabile | Non applicabile | Divulgazione di informazioni importanti | Non applicabile | Non applicabile | Non applicabile | Non applicabile | 3118396 in MS16-133 |
| Microsoft Office 2007 Service Pack 3 (2883033) | Esecuzione di codice remoto critico | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Non applicabile | 2878233 in MS14-036 |
| Microsoft Word 2007 Service Pack 3 (3128025) | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Divulgazione di informazioni importanti | Divulgazione di informazioni importanti | 3127949 in MS16-133 |
| Microsoft Office 2010 | ||||||||
| Microsoft Office 2010 Service Pack 2 (edizioni a 32 bit) (3118380) | Non applicabile | Importanteesecuzione di codice remoto | Divulgazione di informazioni importanti | Non applicabile | Non applicabile | Non applicabile | Non applicabile | 3118309 in MS16-107 |
| Microsoft Office 2010 Service Pack 2 (edizioni a 64 bit) (3118380) | Non applicabile | Importanteesecuzione di codice remoto | Divulgazione di informazioni importanti | Non applicabile | Non applicabile | Non applicabile | Non applicabile | 3118309 in MS16-107 |
| Microsoft Office 2010 Service Pack 2 (edizioni a 32 bit) (3128032) | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Divulgazione di informazioni importanti | Divulgazione di informazioni importanti | 3127951 in MS16-133 |
| Microsoft Office 2010 Service Pack 2 (edizioni a 64 bit) (3128032) | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Divulgazione di informazioni importanti | Divulgazione di informazioni importanti | 3127951 in MS16-133 |
| Microsoft Office 2010 Service Pack 2 (edizioni a 32 bit) (2889841) | Esecuzione di codice remoto critico | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Non applicabile | 2881071 in MS14-036 |
| Microsoft Office 2010 Service Pack 2 (edizioni a 64 bit) (2889841) | Esecuzione di codice remoto critico | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Non applicabile | 2881071 in MS14-036 |
| Microsoft Word 2010 Service Pack 2 (edizioni a 32 bit) (3128034) | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Divulgazione di informazioni importanti | Divulgazione di informazioni importanti | 3127953 in MS16-133 |
| Microsoft Word 2010 Service Pack 2 (edizioni a 64 bit) (3128034) | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Divulgazione di informazioni importanti | Divulgazione di informazioni importanti | 3127953 in MS16-133 |
| Microsoft Publisher 2010 Service Pack 2 (edizioni a 32 bit) (3114395) | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Importanteesecuzione di codice remoto | Non applicabile | Non applicabile | 2817478 in MS15-116 |
| Microsoft Publisher 2010 Service Pack 2 (edizioni a 64 bit) (3114395) | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Importanteesecuzione di codice remoto | Non applicabile | Non applicabile | 2817478 in MS15-116 |
| Microsoft Office 2013 | ||||||||
| Microsoft Office 2013 Service Pack 1 (edizioni a 32 bit) (3127968) | Non applicabile | Importanteesecuzione di codice remoto | Divulgazione di informazioni importanti | Non applicabile | Non applicabile | Non applicabile | Non applicabile | 3118284 in MS16-107 |
| Microsoft Office 2013 Service Pack 1 (edizioni a 64 bit) (3127968) | Non applicabile | Importanteesecuzione di codice remoto | Divulgazione di informazioni importanti | Non applicabile | Non applicabile | Non applicabile | Non applicabile | 3118284 in MS16-107 |
| Microsoft Office 2013 RT | ||||||||
| Microsoft Office 2013 RT Service Pack 1[1](3127968) | Non applicabile | Importanteesecuzione di codice remoto | Divulgazione di informazioni importanti | Non applicabile | Non applicabile | Non applicabile | Non applicabile | 3118284 in MS16-107 |
| Microsoft Office 2016 | ||||||||
| Microsoft Office 2016 (edizione a 32 bit) (3127986) | Non applicabile | Importanteesecuzione di codice remoto | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Non applicabile | 3118292 in MS16-107 |
| Microsoft Office 2016 (edizione a 64 bit) (3127986) | Non applicabile | Importanteesecuzione di codice remoto | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Non applicabile | 3118292 in MS16-107 |
| Microsoft Office 2016 (edizione a 32 bit) [2] | Non applicabile | Non applicabile | Non applicabile | Importanteesecuzione di codice remoto | Non applicabile | Non applicabile | Non applicabile | None |
| Microsoft Office 2016 (edizione a 64 bit) [2] | Non applicabile | Non applicabile | Non applicabile | Importanteesecuzione di codice remoto | Non applicabile | Non applicabile | Non applicabile | None |
| Altro software di Office | ||||||||
| Microsoft Office Compatibility Pack Service Pack 3 (3128024) | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Divulgazione di informazioni importanti | Divulgazione di informazioni importanti | 3127948 in MS16-133 |
| Visualizzatore Microsoft Word (3128043) | Non applicabile | Non applicabile | Divulgazione di informazioni importanti | Non applicabile | Non applicabile | Non applicabile | Non applicabile | 3118297 in MS16-107 |
| Visualizzatore Microsoft Word (3127995) | Esecuzione di codice remoto critico | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Non applicabile | None |
[1]Questo aggiornamento è disponibile tramite Windows Update.
[2]Questo riferimento è solo per la versione A portata di clic (C2R). Per altre informazioni e il numero di versione corrente a portata di clic, vedere Versioni del canale di aggiornamento client di Office 365.
*La colonna Aggiornamenti Sostituito mostra solo l'aggiornamento più recente in una catena di aggiornamenti sostituiti. Per un elenco completo degli aggiornamenti sostituiti, passare a Microsoft Update Catalog, cercare il numero di aggiornamento e quindi visualizzare i dettagli degli aggiornamenti (gli aggiornamenti sostituiti sono disponibili nella scheda Dettagli pacchetto).
Microsoft Office Software per Mac (tabella 1 di 2)
| Software interessato | Vulnerabilità di danneggiamento della memoria di Microsoft Office - CVE-2016-7263 | Vulnerabilità di divulgazione delle informazioni di Microsoft Office - CVE-2016-7264 | Vulnerabilità di bypass delle funzionalità di sicurezza di Microsoft Office - CVE-2016-7266 | Vulnerabilità di divulgazione delle informazioni di Microsoft Office - CVE-2016-7268 | Vulnerabilità di elevazione dei privilegi di Microsoft Office - CVE-2016-7300 | Aggiornamenti sostituito* |
|---|---|---|---|---|---|---|
| Microsoft Office per Mac 2011 | ||||||
| Microsoft Excel per Mac 2011 (3198808) | Importanteesecuzione di codice remoto | Divulgazione di informazioni importanti | Non applicabile | Non applicabile | Non applicabile | 3198807 in MS16-133 |
| Microsoft Word per Mac 2011 (3198808) | Non applicabile | Non applicabile | Non applicabile | Divulgazione di informazioni importanti | Non applicabile | 3198807 in MS16-133 |
| Microsoft Office 2016 per Mac | ||||||
| Microsoft Excel 2016 per Mac (3198800) | Importanteesecuzione di codice remoto | Divulgazione di informazioni importanti | Importanteesecuzione di codice remoto | Non applicabile | Non applicabile | 3198798in MS16-133 |
| Altro software Office per Mac | ||||||
| Microsoft Auto Updater per Mac[1] | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Elevazione dei privilegi importante | None |
[1]È disponibile una nuova versione di Mac AutoUpdate. Ai clienti verrà richiesto di eseguire l'aggiornamento necessario prima di installare qualsiasi altro aggiornamento Office per Mac.
*La colonna Aggiornamenti Sostituito mostra solo l'aggiornamento più recente in una catena di aggiornamenti sostituiti. Per un elenco completo degli aggiornamenti sostituiti, passare a Microsoft Update Catalog, cercare il numero di aggiornamento e quindi visualizzare i dettagli degli aggiornamenti (gli aggiornamenti sostituiti sono disponibili nella scheda Dettagli pacchetto).
Microsoft Office Software per Mac (tabella 2 di 2)
| Software interessato | Vulnerabilità di divulgazione di informazioni GDI - CVE-2016-7257 | Vulnerabilità di divulgazione delle informazioni di Microsoft Office - CVE-2016-7290 | Vulnerabilità di divulgazione delle informazioni di Microsoft Office - CVE-2016-7291 | Vulnerabilità di annullamento dell'esecuzione del codice remoto CVE-2016-7274 | Vulnerabilità di divulgazione delle informazioni di Microsoft Office - CVE-2016-7276 | Aggiornamenti sostituito* |
|---|---|---|---|---|---|---|
| Microsoft Office per Mac 2011 | ||||||
| Microsoft Office per Mac 2011 (3198808) | Divulgazione di informazioni importanti | Non applicabile | Non applicabile | Esecuzione di codice remoto critico | Divulgazione di informazioni importanti | 3198807 in MS16-133 |
| Microsoft Word per Mac 2011 (3198808) | Non applicabile | Divulgazione di informazioni importanti | Divulgazione di informazioni importanti | Non applicabile | Non applicabile | 3198807 in MS16-133 |
| Microsoft Office 2016 per Mac | ||||||
| Microsoft Office 2016 per Mac (3198800) | Divulgazione di informazioni importanti | Non applicabile | Non applicabile | Esecuzione di codice remoto critico | Divulgazione di informazioni importanti | 3198798 in MS16-133 |
| Microsoft Excel 2016 per Mac (3198800) | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Importanteesecuzione di codice remoto | 3198798 in MS16-133 |
*La colonna Aggiornamenti Sostituito mostra solo l'aggiornamento più recente in una catena di aggiornamenti sostituiti. Per un elenco completo degli aggiornamenti sostituiti, passare a Microsoft Update Catalog, cercare il numero di aggiornamento e quindi visualizzare i dettagli degli aggiornamenti (gli aggiornamenti sostituiti sono disponibili nella scheda Dettagli pacchetto).
Microsoft Office Services e App Web
| Software interessato | Vulnerabilità di divulgazione delle informazioni di Microsoft Office - CVE-2016-7265 | Vulnerabilità di divulgazione delle informazioni di Microsoft Office - CVE-2016-7268 | Vulnerabilità di divulgazione delle informazioni di Microsoft Office - CVE-2016-7290 | Vulnerabilità di divulgazione delle informazioni di Microsoft Office - CVE-2016-7291 | Aggiornamenti sostituito* |
|---|---|---|---|---|---|
| Microsoft SharePoint Server 2007 | |||||
| Excel Services in Microsoft SharePoint Server 2007 Service Pack 3 (edizione a 32 bit) (3127892) | Divulgazione di informazioni importanti | Non applicabile | Non applicabile | Non applicabile | 3115112 in MS16-107 |
| Excel Services in Microsoft SharePoint Server 2007 Service Pack 3 (edizione a 64 bit) (3127892) | Divulgazione di informazioni importanti | Non applicabile | Non applicabile | Non applicabile | 3115112 in MS16-107 |
| Microsoft SharePoint Server 2010 | |||||
| Excel Services in Microsoft SharePoint Server 2010 Service Pack 2 (3128029) | Divulgazione di informazioni importanti | Non applicabile | Non applicabile | Non applicabile | 3118381 in MS16-133 |
| Word Automation Services in Microsoft SharePoint Server 2010 Service Pack 2 (3128026) | Non applicabile | Divulgazione di informazioni importanti | Divulgazione di informazioni importanti | Divulgazione di informazioni importanti | 3127950 in MS16-133 |
| Microsoft Office App Web 2010 | |||||
| Microsoft Office App Web 2010 Service Pack 2 (3128035) | Non applicabile | Divulgazione di informazioni importanti | Divulgazione di informazioni importanti | Divulgazione di informazioni importanti | 3127954 in MS16-133 |
*La colonna Aggiornamenti Sostituito mostra solo l'aggiornamento più recente in una catena di aggiornamenti sostituiti. Per un elenco completo degli aggiornamenti sostituiti, passare a Microsoft Update Catalog, cercare il numero kb di aggiornamento e quindi visualizzare i dettagli degli aggiornamenti (gli aggiornamenti sostituiti sono disponibili nella scheda Dettagli pacchetto).
Domande frequenti su Aggiornamento
È installato Microsoft Word 2010. Perché non viene offerto l'aggiornamento 3128032?
L'aggiornamento 3128032 si applica solo ai sistemi che eseguono configurazioni specifiche di Microsoft Office 2010. Alcune configurazioni non verranno offerte per l'aggiornamento.
Viene offerto questo aggiornamento per il software che non è indicato specificamente come interessato nella tabella Valutazioni di gravità del software e della vulnerabilità interessate. Perché viene offerto questo aggiornamento?
Quando gli aggiornamenti rispondono a codice vulnerabile presente in un componente condiviso tra più prodotti Microsoft Office o condivisi tra più versioni dello stesso prodotto Microsoft Office, l'aggiornamento viene considerato applicabile a tutti i prodotti e le versioni supportati che contengono il componente vulnerabile.
Ad esempio, quando un aggiornamento si applica ai prodotti Microsoft Office 2007, solo Microsoft Office 2007 può essere elencato specificamente nella tabella Software interessato. Tuttavia, l'aggiornamento potrebbe essere applicato a Microsoft Word 2007, Microsoft Excel 2007, Microsoft Visio 2007, Microsoft Compatibility Pack, Microsoft Excel Viewer o qualsiasi altro prodotto di Microsoft Office 2007 non specificato nella tabella Software interessato. Inoltre, quando un aggiornamento si applica ai prodotti Microsoft Office 2010, solo Microsoft Office 2010 può essere elencato specificamente nella tabella Software interessato. Tuttavia, l'aggiornamento potrebbe essere applicato a Microsoft Word 2010, Microsoft Excel 2010, Microsoft Visio 2010, Visualizzatore di Microsoft Visio o qualsiasi altro prodotto di Microsoft Office 2010 non elencato in modo specifico nella tabella Software interessato.
Per altre informazioni su questo comportamento e sulle azioni consigliate, vedere l'articolo della Microsoft Knowledge Base 830335. Per un elenco dei prodotti Microsoft Office a cui può essere applicato un aggiornamento, vedere l'articolo della Microsoft Knowledge Base associato all'aggiornamento specifico.
Informazioni sulla vulnerabilità
Più vulnerabilità di danneggiamento della memoria di Microsoft Office
Nel software di Microsoft Office esistono più vulnerabilità di esecuzione del codice remoto quando il software di Office non riesce a gestire correttamente gli oggetti in memoria. Un utente malintenzionato che ha sfruttato correttamente le vulnerabilità potrebbe eseguire codice arbitrario nel contesto dell'utente corrente. Se l'utente corrente ha effettuato l'accesso con diritti amministrativi, un utente malintenzionato potrebbe assumere il controllo del sistema interessato. L'utente malintenzionato potrebbe quindi installare programmi e visualizzare, modificare o eliminare dati, oppure creare nuovi account con diritti utente completi. Gli utenti con account che dispongono di diritti utente limitati per il sistema in uso risultano meno esposti degli utenti che operano con diritti amministrativi.
Lo sfruttamento delle vulnerabilità richiede che un utente apra un file appositamente creato con una versione interessata del software di Microsoft Office. In uno scenario di attacco tramite posta elettronica un utente malintenzionato potrebbe sfruttare le vulnerabilità inviando il file appositamente creato all'utente e convincendo l'utente ad aprire il file. In uno scenario di attacco basato sul Web un utente malintenzionato potrebbe ospitare un sito Web (o sfruttare un sito Web compromesso che accetta o ospita contenuto fornito dall'utente) che contiene un file appositamente creato progettato per sfruttare le vulnerabilità. Un utente malintenzionato non avrebbe modo di forzare gli utenti a visitare il sito Web. Invece, un utente malintenzionato dovrebbe convincere gli utenti a fare clic su un collegamento, in genere tramite un incitamento in un messaggio di posta elettronica o Instant Messenger, e quindi convincerli ad aprire il file appositamente creato.
Si noti che dove la gravità è indicata come Critica nella tabella Valutazioni di gravità della vulnerabilità e software interessato, il riquadro di anteprima è un vettore di attacco per CVE-2016-7298.
L'aggiornamento della sicurezza risolve le vulnerabilità correggendo il modo in cui Office gestisce gli oggetti in memoria.
La tabella seguente contiene collegamenti alla voce standard per ogni vulnerabilità nell'elenco Vulnerabilità ed esposizioni comuni:
| Titolo della vulnerabilità | Numero CVE | Divulgato pubblicamente | Sfruttato |
|---|---|---|---|
| Vulnerabilità di danneggiamento della memoria di Microsoft Office | CVE-2016-7263 | No | No |
| Vulnerabilità di danneggiamento della memoria di Microsoft Office | CVE-2016-7277 | No | No |
| Vulnerabilità di danneggiamento della memoria di Microsoft Office | CVE-2016-7289 | No | No |
Fattori di mitigazione
Microsoft non ha identificato alcun fattore di mitigazione per queste vulnerabilità.
Soluzioni alternative
Microsoft non ha identificato soluzioni alternative per queste vulnerabilità.
Vulnerabilità di annullamento dell'esecuzione del codice remoto CVE-2016-7274
Esiste una vulnerabilità di esecuzione remota del codice in Windows a causa del modo in cui Windows Uniscribe gestisce gli oggetti nella memoria. Un utente malintenzionato che ha sfruttato correttamente questa vulnerabilità potrebbe assumere il controllo del sistema interessato. L'utente malintenzionato potrebbe quindi installare programmi e visualizzare, modificare o eliminare dati, oppure creare nuovi account con diritti utente completi. Gli utenti con account che dispongono di diritti utente limitati per il sistema in uso risultano meno esposti degli utenti che operano con diritti amministrativi.
Esistono diversi modi in cui un utente malintenzionato potrebbe sfruttare questa vulnerabilità.
- In uno scenario di attacco basato sul Web, un utente malintenzionato potrebbe ospitare un sito Web appositamente progettato per sfruttare questa vulnerabilità e quindi convincere un utente a visualizzare il sito Web. Un utente malintenzionato non avrebbe modo di forzare gli utenti a visualizzare il contenuto controllato dall'utente malintenzionato. Un utente malintenzionato dovrà invece convincere gli utenti a intervenire, in genere facendogli clic su un collegamento in un messaggio di posta elettronica o in un messaggio di Instant Messenger che porta gli utenti al sito Web dell'utente malintenzionato o aprendo un allegato inviato tramite posta elettronica.
- In uno scenario di attacco di condivisione file, un utente malintenzionato potrebbe fornire un file di documento appositamente progettato per sfruttare questa vulnerabilità e quindi convincere un utente ad aprire il file di documento.
L'aggiornamento della sicurezza risolve queste vulnerabilità correggendo il modo in cui Windows Uniscribe gestisce gli oggetti nella memoria.
La tabella seguente contiene collegamenti alla voce standard per ogni vulnerabilità nell'elenco Vulnerabilità ed esposizioni comuni:
| Titolo della vulnerabilità | Numero CVE | Divulgato pubblicamente | Sfruttato |
|---|---|---|---|
| Vulnerabilità di annullamento dell'esecuzione di codice remoto | CVE-2016-7274 | No | No |
Fattori di mitigazione
Microsoft non ha identificato alcun fattore di mitigazione per questa vulnerabilità.
Soluzioni alternative
Microsoft non ha identificato soluzioni alternative per questa vulnerabilità.
Vulnerabilità di sideload della DLL OLE di Microsoft Office - CVE-2016-7275
Esiste una vulnerabilità di esecuzione remota del codice quando Microsoft Office convalida in modo non corretto l'input prima del caricamento delle librerie. Un utente malintenzionato che ha sfruttato correttamente la vulnerabilità potrebbe assumere il controllo di un sistema interessato. L'utente malintenzionato potrebbe quindi installare programmi e visualizzare, modificare o eliminare dati, oppure creare nuovi account con diritti utente completi. Gli utenti con account che dispongono di diritti utente limitati per il sistema in uso risultano meno esposti degli utenti che operano con diritti amministrativi.
Per sfruttare la vulnerabilità, un utente malintenzionato deve accedere al sistema locale e la possibilità di eseguire un'applicazione appositamente creata nel sistema.
L'aggiornamento della sicurezza risolve la vulnerabilità correggendo il modo in cui Microsoft Office convalida l'input prima del caricamento delle librerie.
La tabella seguente contiene collegamenti alla voce standard per ogni vulnerabilità nell'elenco Vulnerabilità ed esposizioni comuni:
| Titolo della vulnerabilità | Numero CVE | Divulgato pubblicamente | Sfruttato |
|---|---|---|---|
| Vulnerabilità di sideload della DLL OLE di Microsoft Office | CVE-2016-7275 | No | No |
Fattori di mitigazione
Microsoft non ha identificato alcun fattore di mitigazione per questa vulnerabilità.
Soluzioni alternative
Microsoft non ha identificato soluzioni alternative per questa vulnerabilità.
Vulnerabilità di bypass delle funzionalità di sicurezza di Microsoft Office - CVE-2016-7267
Esiste una vulnerabilità di bypass delle funzionalità di sicurezza nel software di Microsoft Office quando il software office gestisce in modo errato l'analisi dei formati di file. Il bypass della funzionalità di sicurezza non consente l'esecuzione arbitraria del codice. Tuttavia, per sfruttare correttamente la vulnerabilità, un utente malintenzionato dovrà usarlo insieme a un'altra vulnerabilità, ad esempio una vulnerabilità di esecuzione remota del codice, per sfruttare la vulnerabilità di bypass della funzionalità di sicurezza ed eseguire codice arbitrario.
Per sfruttare la vulnerabilità sarebbe necessario che un utente malintenzionato convina un utente ad aprire un file appositamente creato con una versione interessata del software di Microsoft Office.
L'aggiornamento della sicurezza risolve la vulnerabilità correggendo il modo in cui il software di Office gestisce l'analisi dei formati di file.
La tabella seguente contiene collegamenti alla voce standard per ogni vulnerabilità nell'elenco Vulnerabilità ed esposizioni comuni:
| Titolo della vulnerabilità | Numero CVE | Divulgato pubblicamente | Sfruttato |
|---|---|---|---|
| Vulnerabilità di bypass delle funzionalità di sicurezza di Microsoft Office | CVE-2016-7267 | No | No |
Fattori di mitigazione
Microsoft non ha identificato alcun fattore di mitigazione per questa vulnerabilità.
Soluzioni alternative
Microsoft non ha identificato soluzioni alternative per questa vulnerabilità.
Vulnerabilità di bypass delle funzionalità di sicurezza di Microsoft Office - CVE-2016-7262
Esiste una vulnerabilità di bypass della funzionalità di sicurezza quando Microsoft Office gestisce in modo non corretto l'input. Un utente malintenzionato che ha sfruttato correttamente la vulnerabilità potrebbe eseguire comandi arbitrari.
In uno scenario di attacco di condivisione file, un utente malintenzionato potrebbe fornire un file di documento appositamente progettato per sfruttare la vulnerabilità e quindi convincere gli utenti ad aprire il file di documento e interagire con il documento facendo clic su una cella specifica.
L'aggiornamento risolve la vulnerabilità correggendo il modo in cui Microsoft Office gestisce l'input.
La tabella seguente contiene collegamenti alla voce standard per ogni vulnerabilità nell'elenco Vulnerabilità ed esposizioni comuni:
| Titolo della vulnerabilità | Numero CVE | Divulgato pubblicamente | Sfruttato |
|---|---|---|---|
| Vulnerabilità di bypass delle funzionalità di sicurezza di Microsoft Office | CVE-2016-7262 | No | No |
Fattori di mitigazione
Microsoft non ha identificato alcun fattore di mitigazione per questa vulnerabilità.
Soluzioni alternative
Microsoft non ha identificato soluzioni alternative per questa vulnerabilità.
Vulnerabilità di bypass delle funzionalità di sicurezza di Microsoft Office - CVE-2016-7266
Esiste una vulnerabilità di bypass della funzionalità di sicurezza quando Microsoft Office controlla erroneamente le impostazioni del Registro di sistema quando viene effettuato un tentativo di esecuzione del contenuto incorporato. Un utente malintenzionato che ha sfruttato correttamente la vulnerabilità potrebbe eseguire comandi arbitrari. In uno scenario di attacco di condivisione file, un utente malintenzionato potrebbe fornire un file di documento appositamente progettato per sfruttare la vulnerabilità e quindi convincere gli utenti a tentare di aprire il documento più volte.
L'aggiornamento risolve la vulnerabilità correggendo il modo in cui Microsoft Office controlla le impostazioni del Registro di sistema quando un utente tenta di aprire o eseguire contenuto incorporato.
La tabella seguente contiene collegamenti alla voce standard per ogni vulnerabilità nell'elenco Vulnerabilità ed esposizioni comuni:
| Titolo della vulnerabilità | Numero CVE | Divulgato pubblicamente | Sfruttato |
|---|---|---|---|
| Vulnerabilità di bypass delle funzionalità di sicurezza di Microsoft Office | CVE-2016-7266 | No | No |
Fattori di mitigazione
Microsoft non ha identificato alcun fattore di mitigazione per questa vulnerabilità.
Soluzioni alternative
Microsoft non ha identificato soluzioni alternative per questa vulnerabilità.
Vulnerabilità di divulgazione di informazioni GDI - CVE-2016-7257
Esiste una vulnerabilità di divulgazione di informazioni quando Microsoft Office non riesce a gestire correttamente gli oggetti in memoria, consentendo a un utente malintenzionato di recuperare informazioni che potrebbero causare un bypass ASLR (Address Space Layout Randomization). Un utente malintenzionato che ha sfruttato correttamente questa vulnerabilità potrebbe causare la divulgazione di informazioni per ignorare la funzionalità di sicurezza ASLR che protegge gli utenti da un'ampia classe di vulnerabilità.
Il bypass della funzionalità di sicurezza non consente l'esecuzione arbitraria del codice. Tuttavia, un utente malintenzionato potrebbe usare la vulnerabilità di bypass ASLR insieme a un'altra vulnerabilità, ad esempio una vulnerabilità di esecuzione remota del codice, che potrebbe sfruttare il bypass ASLR per eseguire codice arbitrario.
Per sfruttare questa vulnerabilità, un utente malintenzionato potrebbe convincere un uso per eseguire un'applicazione appositamente creata. L'aggiornamento della sicurezza risolve la vulnerabilità correggendo il modo in cui Microsoft Office gestisce gli indirizzi in memoria.
La tabella seguente contiene collegamenti alla voce standard per ogni vulnerabilità nell'elenco Vulnerabilità ed esposizioni comuni:
| Titolo della vulnerabilità | Numero CVE | Divulgato pubblicamente | Sfruttato |
|---|---|---|---|
| Vulnerabilità di divulgazione di informazioni GDI | CVE-2016-7257 | No | No |
Fattori di mitigazione
Microsoft non ha identificato alcun fattore di mitigazione per questa vulnerabilità.
Soluzioni alternative
Microsoft non ha identificato soluzioni alternative per questa vulnerabilità.
Più vulnerabilità di divulgazione delle informazioni di Microsoft Office
Esistono più vulnerabilità di divulgazione di informazioni quando il software di Microsoft Office legge fuori memoria associata, che potrebbe divulgare il contenuto della memoria. Un utente malintenzionato che ha sfruttato correttamente le vulnerabilità potrebbe visualizzare la memoria associata.
Lo sfruttamento delle vulnerabilità richiede che un utente apra un file appositamente creato con una versione interessata del software di Microsoft Office.
L'aggiornamento della sicurezza risolve le vulnerabilità inizializzando correttamente le variabili interessate.
La tabella seguente contiene collegamenti alla voce standard per ogni vulnerabilità nell'elenco Vulnerabilità ed esposizioni comuni:
| Titolo della vulnerabilità | Numero CVE | Divulgato pubblicamente | Sfruttato |
|---|---|---|---|
| Vulnerabilità di divulgazione delle informazioni di Microsoft Office | CVE-2016-7264 | No | No |
| Vulnerabilità di divulgazione delle informazioni di Microsoft Office | CVE-2016-7265 | No | No |
| Vulnerabilità di divulgazione delle informazioni di Microsoft Office | CVE-2016-7268 | No | No |
| Vulnerabilità di divulgazione delle informazioni di Microsoft Office | CVE-2016-7276 | No | No |
| Vulnerabilità di divulgazione delle informazioni di Microsoft Office | CVE-2016-7290 | No | No |
| Vulnerabilità di divulgazione delle informazioni di Microsoft Office | CVE-2016-7291 | No | No |
Fattori di mitigazione
Microsoft non ha identificato alcun fattore di mitigazione per queste vulnerabilità.
Soluzioni alternative
Microsoft non ha identificato soluzioni alternative per queste vulnerabilità.
Vulnerabilità di elevazione dei privilegi di Microsoft (MAU) - CVE-2016-7300
Esiste una vulnerabilità di elevazione dei privilegi quando l'applicazione Microsoft AutoUpdate (MAU) per Mac convalida erroneamente gli aggiornamenti prima di eseguirli. Un utente malintenzionato che ha sfruttato correttamente la vulnerabilità che ha già la possibilità di eseguire codice in un sistema potrebbe elevare i privilegi. Per sfruttare la vulnerabilità, l'utente malintenzionato potrebbe inserire un eseguibile creato in una posizione specifica usata dall'applicazione di aggiornamento per eseguire codice arbitrario in un contesto con privilegi.
Questo aggiornamento risolve la vulnerabilità assicurandosi che Microsoft AutoUpdate (MAU) per Mac convalide correttamente i pacchetti prima di installarli.
La tabella seguente contiene collegamenti alla voce standard per ogni vulnerabilità nell'elenco Vulnerabilità ed esposizioni comuni:
| Titolo della vulnerabilità | Numero CVE | Divulgato pubblicamente | Sfruttato |
|---|---|---|---|
| Vulnerabilità relativa all'elevazione dei privilegi di Office (MAU) | CVE-2016-7300 | No | No |
Fattori di mitigazione
Microsoft non ha identificato alcun fattore di mitigazione per questa vulnerabilità.
Soluzioni alternative
Microsoft non ha identificato soluzioni alternative per questa vulnerabilità.
Distribuzione degli aggiornamenti della sicurezza
Per informazioni sulla distribuzione degli aggiornamenti della sicurezza, vedere l'articolo della Microsoft Knowledge Base a cui si fa riferimento nel riepilogo esecutivo.
Riconoscimenti
Microsoft riconosce gli sforzi di coloro che si trovano nella community di sicurezza che ci aiutano a proteggere i clienti attraverso la divulgazione coordinata delle vulnerabilità. Per altre informazioni, vedere Riconoscimenti .
Dichiarazione di non responsabilità
Le informazioni fornite nella Microsoft Knowledge Base vengono fornite "così com'è" senza garanzia di alcun tipo. Microsoft dichiara tutte le garanzie, espresse o implicite, incluse le garanzie di commerciabilità e idoneità per uno scopo specifico. In nessun caso, Microsoft Corporation o i suoi fornitori saranno responsabili di qualsiasi danno, incluso diretto, indiretto, accidentale, consequenziale, perdita di profitti aziendali o danni speciali, anche se Microsoft Corporation o i suoi fornitori sono stati informati della possibilità di tali danni. Alcuni stati non consentono l'esclusione o la limitazione della responsabilità per danni consequenziali o accidentali, pertanto la limitazione precedente potrebbe non essere applicata.
Revisioni
- V1.0 (13 dicembre 2016): Bollettino pubblicato.
- V1.1 (21 dicembre 2016): bollettino modificato per correggere un ID CVE. CVE-2016-7298 è stato modificato in CVE-2016-7274 e le informazioni sulla vulnerabilità sono state aggiornate. Si tratta solo di una modifica informativa. I clienti che hanno installato correttamente gli aggiornamenti non devono eseguire altre azioni.
Pagina generata 2016-12-21 10:09-08:00.