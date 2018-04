(FOTOGRAMMA)

Arrivano da Microsoft diversi aggiornamenti di sicurezza. E anche una serie di bollettini che gli esperti raccomandano di visionare, rivolgendosi a gestori e utenti di sistemi e prodotti della società di Redmond, in modo da applicare al più presto gli aggiornamenti necessari.

E' l'avvertimento lanciato del CERT - 'Computer Emergency Response Team' in riferimento a "vulnerabilità multiple in svariati prodotti" della Microsoft che, "se sfruttate con successo - si legge -, le più gravi tra queste vulnerabilità possono causare l'esecuzione di codice arbitrario da remoto".

QUALI PRODOTTI - Gli aggiornamenti riguardano i seguenti prodotti: Internet Explorer: 9, 10, 11; Microsoft Edge; Microsoft Windows: 7 SP1, 8.1, RT 8.1, 10; Microsoft Windows Server: 2008 R2 SP1, 2008 SP2, 2012, 2012 R2, 2016; Microsoft Windows Server Core Installations: version 1709, 2008 R2 SP1, 2008 SP2, 2012, 2012 R2, 2016; Microsoft Office: 2010 SP2, 2013 SP1, 2013 RT SP1, 2016, 2016 Click-to-Run (C2R), 2016 for Mac; Microsoft Office Compatibility Pack SP3; Microsoft Office Web Apps 2010 SP2; Microsoft Office Web Apps Server 2013 SP1; Microsoft Word: 2007 SP3, 2010 SP2, 2013 SP1, 2013 RT SP1, 2016; Word Automation Services; Microsoft Excel: 2007 SP3, 2010 SP, 2013 RT SP1, 2013 SP1, 2016, 2016 Click-to-Run (C2R); Microsoft Excel Viewer 2007 SP3; Excel Services; Microsoft SharePoint Server: 2010 SP2, 2013 SP1; Microsoft SharePoint Enterprise Server: 2013 SP1, 2016; Microsoft Visual Studio: 2010 SP1, 2012 Update 5, 2013 Update 5, 2015 Update 3, 2017; ChakraCore; Microsoft Wireless Keyboard 850.

QUALI VULNERABILITA' - Gli aggiornamenti includono fix per gravità elevata in Active Directory (CVE-2018-0890) che può consentire ad un attaccante di aggirare le politiche di sicurezza del firewall per le app 'Modern' di Windows mediante un’applicazione appositamente predisposta.

Vulnerabilità di gravità elevata nell’implementazione del protocollo HTTP 2.0 (HTTP.sys) (CVE-2018-0956) in Windows 10, Windows Server 1709 e Windows Server 2016 che può consentire ad un attaccante causare una condizione di denial of service.

FONT - Una vulnerabilità critica nel componente Microsoft Graphics di Windows (CVE-2018-1010) legata ad una gestione non corretta dei font incorporati che può consentire ad un attaccante di eseguire codice da remoto e prendere il controllo completo del sistema affetto.

Una vulnerabilità di gravità elevata nel componente Microsoft JET Database Engine di Windows (CVE-2018-1003) che può consentire ad un attaccante di eseguire codice da remoto mediante un file Excel appositamente predisposto e prendere il controllo completo del sistema affetto.

EXPLORER - Una vulnerabilità critica in Internet Explorer (CVE-2018-0988) legata alla gestione degli oggetti in memoria da parte dello Scripting Engine che può consentire ad un attaccante di eseguire codice da remoto nel contesto dell’utente corrente.

Una vulnerabilità di gravità elevata nel componente Office Graphics di Microsoft Office (CVE-2018-1028) legata ad una gestione non corretta dei font incorporati che può consentire ad un attaccante di eseguire codice da remoto e prendere il controllo completo del sistema affetto.

DOWNLOAD - I bollettini di sicurezza Microsoft più recenti, ricorda infine il CERT, "sono reperibili sul portale Security Update Guide", in inglese. Gli aggiornamenti "possono essere scaricati dal sito Microsoft Download Center". Per i sistemi desktop, "possono essere ottenuti automaticamente mediante Microsoft Update".