Microsoft Security Bulletin MS17-002 - Importante
Aggiornamento della sicurezza per Microsoft Office (3214291)
Pubblicato: 10 gennaio 2017
Versione: 1.1
Schema riepilogativo
Questo aggiornamento della sicurezza risolve una vulnerabilità in Microsoft Office. La vulnerabilità potrebbe consentire l'esecuzione di codice remoto se un utente apre un file di Microsoft Office appositamente creato. Un utente malintenzionato può sfruttare efficacemente questa vulnerabilità ed eseguire codice arbitrario nel contesto dell'utente corrente. I clienti i cui account sono configurati per avere un minor numero di diritti utente nel sistema potrebbero essere meno interessati rispetto a quelli che operano con diritti utente amministrativi.
L'aggiornamento della sicurezza risolve la vulnerabilità correggendo il modo in cui le versioni interessate dei componenti di Office e Office gestiscono gli oggetti in memoria.
Per altre informazioni sulla vulnerabilità, vedere la sezione Informazioni sulla vulnerabilità.
Per altre informazioni su questo aggiornamento, vedere l'articolo della Microsoft Knowledge Base 3214291.
Classificazioni di gravità del software e della vulnerabilità interessate
Sono interessate le versioni o le edizioni software seguenti. Le versioni o le edizioni non elencate superano il ciclo di vita del supporto o non sono interessate. Per determinare il ciclo di vita del supporto per la versione o l'edizione del software, vedere supporto tecnico Microsoft Ciclo di vita.
Le classificazioni di gravità seguenti presuppongono il potenziale impatto massimo della vulnerabilità. Per informazioni sulla probabilità, entro 30 giorni dal rilascio di questo bollettino sulla sicurezza, della sfruttabilità della vulnerabilità in relazione alla classificazione di gravità e all'impatto sulla sicurezza, vedere l'indice di exploit nel riepilogo del bollettino di gennaio.
Nota Vedere la Guida all'aggiornamento della sicurezza per un nuovo approccio all'utilizzo delle informazioni sugli aggiornamenti della sicurezza. È possibile personalizzare le visualizzazioni e creare fogli di calcolo software interessati, nonché scaricare i dati tramite un'API restful. Per altre informazioni, vedere le domande frequenti sulla guida alla sicurezza Aggiornamenti. Come promemoria, la Guida alla sicurezza Aggiornamenti sostituirà i bollettini sulla sicurezza a febbraio 2017. Per altri dettagli, vedere il post di blog Ulteriori informazioni sull'impegno per gli aggiornamenti della sicurezza.
Microsoft Office Software
| Software interessato | Vulnerabilità di danneggiamento della memoria di Microsoft Office - CVE-2017-0003 | Aggiornamenti sostituito* |
|---|---|---|
| Microsoft Office 2016 | ||
| Microsoft Word 2016 (edizione a 32 bit) (3128057) | Importante esecuzione di codice remoto | 3118331 in MS16-121 |
| Microsoft Word 2016 (edizione a 64 bit) (3128057) | Importante esecuzione di codice remoto | 3118331 in MS16-121 |
Microsoft Server Software
| Software interessato | Vulnerabilità di danneggiamento della memoria di Microsoft Office - CVE-2017-0003 | Aggiornamenti sostituito* |
|---|---|---|
| Microsoft SharePoint Enterprise Server 2016 | ||
| Microsoft SharePoint Enterprise Server 2016 (3141486) | Importante esecuzione di codice remoto | None |
*La colonna Aggiornamenti Sostituito mostra solo l'aggiornamento più recente in una catena di aggiornamenti sostituiti. Per un elenco completo degli aggiornamenti sostituiti, passare a Microsoft Update Catalog, cercare il numero di aggiornamento e quindi visualizzare i dettagli degli aggiornamenti (gli aggiornamenti sostituiti sono disponibili nella scheda Dettagli pacchetto).
Domande frequenti su Aggiornamento
Viene offerto questo aggiornamento per il software che non è indicato specificamente come interessato nella tabella Valutazioni di gravità del software e della vulnerabilità interessate. Perché viene offerto questo aggiornamento?
Quando gli aggiornamenti rispondono a codice vulnerabile presente in un componente condiviso tra più prodotti Microsoft Office o condivisi tra più versioni dello stesso prodotto Microsoft Office, l'aggiornamento viene considerato applicabile a tutti i prodotti e le versioni supportati che contengono il componente vulnerabile.
Ad esempio, quando un aggiornamento si applica ai prodotti Microsoft Office 2007, solo Microsoft Office 2007 può essere elencato specificamente nella tabella Software interessato. Tuttavia, l'aggiornamento potrebbe essere applicato a Microsoft Word 2007, Microsoft Excel 2007, Microsoft Visio 2007, Microsoft Compatibility Pack, Microsoft Excel Viewer o qualsiasi altro prodotto di Microsoft Office 2007 non specificato nella tabella Software interessato. Inoltre, quando un aggiornamento si applica ai prodotti Microsoft Office 2010, solo Microsoft Office 2010 può essere elencato specificamente nella tabella Software interessato. Tuttavia, l'aggiornamento potrebbe essere applicato a Microsoft Word 2010, Microsoft Excel 2010, Microsoft Visio 2010, Visualizzatore di Microsoft Visio o qualsiasi altro prodotto di Microsoft Office 2010 non elencato in modo specifico nella tabella Software interessato.
Per altre informazioni su questo comportamento e sulle azioni consigliate, vedere l'articolo della Microsoft Knowledge Base 830335. Per un elenco dei prodotti Microsoft Office a cui può essere applicato un aggiornamento, vedere l'articolo della Microsoft Knowledge Base associato all'aggiornamento specifico.
Informazioni sulla vulnerabilità
Vulnerabilità di danneggiamento della memoria di Microsoft Office
Esiste una vulnerabilità di esecuzione remota del codice nel software di Microsoft Office quando il software di Office non riesce a gestire correttamente gli oggetti in memoria. Un utente malintenzionato può sfruttare efficacemente questa vulnerabilità ed eseguire codice arbitrario nel contesto dell'utente corrente. Se l'utente corrente ha effettuato l'accesso con diritti amministrativi, un utente malintenzionato potrebbe assumere il controllo del sistema interessato. L'utente malintenzionato potrebbe quindi installare programmi e visualizzare, modificare o eliminare dati, oppure creare nuovi account con diritti utente completi. Gli utenti con account che dispongono di diritti utente limitati per il sistema in uso risultano meno esposti degli utenti che operano con diritti amministrativi.
Lo sfruttamento della vulnerabilità richiede che un utente apra un file appositamente creato con una versione interessata del software di Microsoft Office. In uno scenario di attacco tramite posta elettronica un utente malintenzionato potrebbe sfruttare la vulnerabilità inviando il file appositamente creato all'utente e convincendo l'utente ad aprire il file. In uno scenario di attacco basato sul Web un utente malintenzionato potrebbe ospitare un sito Web (o sfruttare un sito Web compromesso che accetta o ospita contenuto fornito dall'utente) che contiene un file appositamente creato progettato per sfruttare la vulnerabilità. Un utente malintenzionato non avrebbe modo di forzare gli utenti a visitare il sito Web. Invece, un utente malintenzionato dovrebbe convincere gli utenti a fare clic su un collegamento, in genere tramite un incitamento in un messaggio di posta elettronica o Instant Messenger, e quindi convincerli ad aprire il file appositamente creato.
Si noti che il riquadro di anteprima non è un vettore di attacco per questa vulnerabilità. L'aggiornamento della sicurezza risolve la vulnerabilità correggendo il modo in cui Office gestisce gli oggetti in memoria.
| Titolo della vulnerabilità | Numero CVE | Divulgato pubblicamente | Sfruttato |
|---|---|---|---|
| Vulnerabilità di danneggiamento della memoria di Microsoft Office | CVE-2017-0003 | No | No |
Fattori di mitigazione
Microsoft non ha identificato alcun fattore di mitigazione per questa vulnerabilità.
Soluzioni alternative
Microsoft non ha identificato soluzioni alternative per questa vulnerabilità.
Distribuzione degli aggiornamenti della sicurezza
Per informazioni sulla distribuzione degli aggiornamenti della sicurezza, vedere l'articolo della Microsoft Knowledge Base a cui si fa riferimento nel riepilogo esecutivo.
Riconoscimenti
Microsoft riconosce gli sforzi di coloro che si trovano nella community di sicurezza che ci aiutano a proteggere i clienti attraverso la divulgazione coordinata delle vulnerabilità. Per altre informazioni, vedere Riconoscimenti .
Dichiarazione di non responsabilità
Le informazioni fornite nella Microsoft Knowledge Base vengono fornite "così com'è" senza garanzia di alcun tipo. Microsoft dichiara tutte le garanzie, espresse o implicite, incluse le garanzie di commerciabilità e idoneità per uno scopo specifico. In nessun caso, Microsoft Corporation o i suoi fornitori saranno responsabili di qualsiasi danno, incluso diretto, indiretto, accidentale, consequenziale, perdita di profitti aziendali o danni speciali, anche se Microsoft Corporation o i suoi fornitori sono stati informati della possibilità di tali danni. Alcuni stati non consentono l'esclusione o la limitazione della responsabilità per danni consequenziali o accidentali, pertanto la limitazione precedente potrebbe non essere applicata.
Revisioni
- V1.0 (10 gennaio 2017): Bollettino pubblicato.
- V1.1 (10 gennaio 2017): Modifica della gravità in Importante.
Pagina generata 2017-01-10 11:37-08:00.