Microsoft Security Bulletin MS16-011 - Critico
Aggiornamento cumulativo della sicurezza per Microsoft Edge (3134225)
Pubblicato: 9 febbraio 2016
Versione: 1.0
Schema riepilogativo
Questo aggiornamento della sicurezza risolve le vulnerabilità in Microsoft Edge. La più grave delle vulnerabilità potrebbe consentire l'esecuzione remota del codice se un utente visualizza una pagina Web appositamente creata usando Microsoft Edge. Un utente malintenzionato che ha sfruttato correttamente le vulnerabilità potrebbe ottenere gli stessi diritti utente dell'utente corrente. I clienti i cui account sono configurati per avere un minor numero di diritti utente nel sistema potrebbero essere meno interessati rispetto a quelli che operano con diritti utente amministrativi.
Questo aggiornamento della sicurezza è valutato Critical per Microsoft Edge in Windows 10. Per altre informazioni, vedere la sezione Software interessato.
L'aggiornamento risolve la vulnerabilità in base a:
- Correzione del modo in cui Microsoft Edge analizza le risposte HTTP
- Modifica del modo in cui Microsoft Edge gestisce gli oggetti in memoria
- Contribuire a garantire che le versioni interessate di Microsoft Edge implementino correttamente la funzionalità di sicurezza ASLR
Per altre informazioni sulla vulnerabilità, vedere la sezione Informazioni sulla vulnerabilità.
Per altre informazioni su questo aggiornamento, vedere l'articolo della Microsoft Knowledge Base 3134225.
Software interessato
Sono interessate le versioni o le edizioni software seguenti. Le versioni o le edizioni non elencate superano il ciclo di vita del supporto o non sono interessate. Per determinare il ciclo di vita del supporto per la versione o l'edizione del software, vedere supporto tecnico Microsoft Ciclo di vita.
Software interessato
| Sistema operativo | Componente | Impatto massimo sulla sicurezza | Valutazione della gravità aggregata | Aggiornamenti sostituito |
|---|---|---|---|---|
| Microsoft Edge | ||||
| Windows 10 per sistemi a 32 bit[1](3135174) | Microsoft Edge | Esecuzione di codice remoto | Critico | 3124266 |
| Windows 10 per sistemi basati su x64[1](3135174) | Microsoft Edge | Esecuzione di codice remoto | Critico | 3124266 |
| Windows 10 versione 1511 per sistemi a 32 bit[1](3135173) | Microsoft Edge | Esecuzione di codice remoto | Critico | 3124263 |
| Windows 10 versione 1511 per sistemi basati su x64[1](3135173) | Microsoft Edge | Esecuzione di codice remoto | Critico | 3124263 |
[1]Gli aggiornamenti di Windows 10 sono cumulativi. Oltre a contenere aggiornamenti non relativi alla sicurezza, contengono anche tutte le correzioni di sicurezza per tutte le vulnerabilità interessate da Windows 10 con la versione di sicurezza mensile. Gli aggiornamenti sono disponibili tramite il Catalogo di Microsoft Update.
Nota: Windows Server Technical Preview 4 è interessato. I clienti che eseguono questi sistemi operativi sono invitati a applicare l'aggiornamento, disponibile tramite Windows Update.
Classificazioni di gravità e identificatori di vulnerabilità
Le classificazioni di gravità seguenti presuppongono il potenziale impatto massimo della vulnerabilità. Per informazioni sulla probabilità, entro 30 giorni dal rilascio del bollettino sulla sicurezza, della sfruttabilità della vulnerabilità in relazione alla classificazione di gravità e all'impatto sulla sicurezza, vedere l'indice di exploit nel riepilogo del bollettino di febbraio.
Se specificato nella tabella Ratings and Impact della gravità, i valori Critical, Important e Moderate indicano le classificazioni di gravità. Per altre informazioni, vedere Security Bulletin Severity Rating System. Fare riferimento alla chiave seguente per le abbreviazioni usate nella tabella per indicare l'impatto massimo:
| Abbreviazione | Impatto massimo |
|---|---|
| RCE | Esecuzione di codice remoto |
| Eop | Elevazione dei privilegi |
| ID | Diffusione di informazioni |
| SFB | Bypass delle funzionalità di sicurezza |
| Valutazioni e impatto della gravità della vulnerabilità | ||
|---|---|---|
| Numero CVE | Titolo della vulnerabilità | Microsoft Edge |
| CVE-2016-0060 | Vulnerabilità di danneggiamento della memoria di Microsoft Browser | Client Windows critici/RCE Server Windows: moderate/RCE |
| CVE-2016-0061 | Vulnerabilità di danneggiamento della memoria di Microsoft Browser | Client Windows critici/RCE Server Windows: moderate/RCE |
| CVE-2016-0062 | Vulnerabilità di danneggiamento della memoria di Microsoft Browser | Client Windows critici/RCE Server Windows: moderate/RCE |
| CVE-2016-0077 | Vulnerabilità spoofing di Microsoft Browser | Client Windows: moderate/spoofing di server Windows: basso/spoofing |
| CVE-2016-0080 | Microsoft Edge ASLR Bypass | Client Windows: Server Windows importanti/SFB : Basso/SFB |
| CVE-2016-0084 | Vulnerabilità di danneggiamento della memoria di Microsoft Edge | Client Windows critici/RCE Server Windows: moderate/RCE |
Informazioni sulla vulnerabilità
Vulnerabilità spoofing di Microsoft Browser - CVE-2016-0077
Esiste una vulnerabilità di spoofing quando un browser Microsoft non analizza correttamente le risposte HTTP. Un utente malintenzionato che ha sfruttato correttamente questa vulnerabilità potrebbe ingannare un utente reindirizzandoli a un sito Web appositamente creato. Il sito Web appositamente creato potrebbe spoofare il contenuto o essere usato come pivot per concatenare un attacco con altre vulnerabilità nei servizi Web.
Per sfruttare la vulnerabilità, l'utente deve fare clic su un URL appositamente creato. In uno scenario di attacco tramite posta elettronica, un utente malintenzionato potrebbe inviare un messaggio di posta elettronica contenente l'URL appositamente creato all'utente nel tentativo di convincere l'utente a fare clic su di esso.
In uno scenario di attacco basato sul Web, un utente malintenzionato potrebbe ospitare un sito Web appositamente progettato per apparire come un sito Web legittimo per l'utente. Tuttavia, l'utente malintenzionato non avrebbe modo di forzare l'utente a visitare il sito Web appositamente creato. L'utente malintenzionato dovrà convincere l'utente a visitare il sito Web appositamente creato, in genere tramite l'incitamento in un messaggio di posta elettronica o Instant Messenger, e quindi convincere l'utente a interagire con il contenuto sul sito Web. L'aggiornamento risolve la vulnerabilità correggendo il modo in cui Microsoft Edge analizza le risposte HTTP.
La tabella seguente contiene collegamenti alla voce standard per ogni vulnerabilità nell'elenco Vulnerabilità ed esposizioni comuni:
| Titolo della vulnerabilità | Numero CVE | Divulgato pubblicamente | Sfruttato |
|---|---|---|---|
| Vulnerabilità spoofing di Microsoft Browser | CVE-2016-0077 | No | No |
Fattori di mitigazione
Microsoft non ha identificato alcun fattore di mitigazione per questa vulnerabilità.
Soluzioni alternative
Microsoft non ha identificato soluzioni alternative per questa vulnerabilità.
Vulnerabilità bypass ASLR di Microsoft Edge - CVE-2016-0080
Esiste una vulnerabilità di bypass della funzionalità di sicurezza per Microsoft Edge in seguito alla gestione delle eccezioni durante l'invio di determinati messaggi di finestra, consentendo a un utente malintenzionato di eseguire il probe del layout dello spazio degli indirizzi e ignorando così la randomizzazione del layout dello spazio degli indirizzi (ASLR). Di per sé, la vulnerabilità di bypass ASLR non consente l'esecuzione arbitraria del codice. Tuttavia, un utente malintenzionato potrebbe usare la vulnerabilità di bypass ASLR insieme a un'altra vulnerabilità, ad esempio una vulnerabilità di esecuzione remota del codice, per eseguire codice arbitrario in un sistema di destinazione.
Il corretto sfruttamento della vulnerabilità di bypass ASLR richiede che un utente sia connesso ed esegua una versione interessata di Microsoft Edge. L'utente dovrà quindi passare a un sito dannoso. L'aggiornamento risolve la vulnerabilità di bypass ASLR, assicurandosi che Microsoft Edge gestisca correttamente le eccezioni durante l'invio di determinati messaggi di finestra.
La tabella seguente contiene collegamenti alla voce standard per ogni vulnerabilità nell'elenco Vulnerabilità ed esposizioni comuni:
| Titolo della vulnerabilità | Numero CVE | Divulgato pubblicamente | Sfruttato |
|---|---|---|---|
| Microsoft Edge ASLR Bypass | CVE-2016-0080 | No | No |
Fattori di mitigazione
Microsoft non ha identificato alcun fattore di mitigazione per questa vulnerabilità.
Soluzioni alternative
Microsoft non ha identificato soluzioni alternative per questa vulnerabilità.
Più vulnerabilità di danneggiamento della memoria di Microsoft Edge
Esistono più vulnerabilità di esecuzione del codice remoto quando Microsoft Edge accede in modo non corretto agli oggetti in memoria. Le vulnerabilità potrebbero danneggiare la memoria in modo che un utente malintenzionato possa eseguire codice arbitrario nel contesto dell'utente corrente.
Un utente malintenzionato potrebbe ospitare un sito Web appositamente creato progettato per sfruttare le vulnerabilità tramite Microsoft Edge e quindi convincere un utente a visualizzare il sito Web. L'utente malintenzionato potrebbe anche sfruttare i siti Web compromessi e i siti Web che accettano o ospitano contenuti o annunci forniti dall'utente aggiungendo contenuti appositamente creati che potrebbero sfruttare la vulnerabilità. In tutti i casi, tuttavia, un utente malintenzionato non avrebbe modo di forzare gli utenti a visualizzare il contenuto controllato dall'utente malintenzionato. Invece, un utente malintenzionato dovrà convincere gli utenti a intervenire, in genere tramite un'incitazione a un messaggio di posta elettronica o Instant Messenger, o ottenendogli di aprire un allegato inviato tramite posta elettronica.
Un utente malintenzionato che ha sfruttato correttamente le vulnerabilità potrebbe ottenere gli stessi diritti utente dell'utente corrente. Se l'utente corrente è connesso con diritti utente amministrativi, un utente malintenzionato che ha sfruttato correttamente le vulnerabilità potrebbe assumere il controllo di un sistema interessato. L'utente malintenzionato potrebbe quindi installare programmi e visualizzare, modificare o eliminare dati, oppure creare nuovi account con diritti utente completi. L'aggiornamento risolve la vulnerabilità modificando il modo in cui Microsoft Edge gestisce gli oggetti in memoria.
La tabella seguente contiene collegamenti alla voce standard per ogni vulnerabilità nell'elenco Vulnerabilità ed esposizioni comuni:
| Titolo della vulnerabilità | Numero CVE | Divulgato pubblicamente | Sfruttato |
|---|---|---|---|
| Vulnerabilità di danneggiamento della memoria di Microsoft Browser | CVE-2016-0060 | No | No |
| Vulnerabilità di danneggiamento della memoria di Microsoft Browser | CVE-2016-0061 | No | No |
| Vulnerabilità di danneggiamento della memoria di Microsoft Browser | CVE-2016-0062 | No | No |
| Vulnerabilità di danneggiamento della memoria di Microsoft Edge | CVE-2016-0084 | No | No |
Fattori di mitigazione
Microsoft non ha identificato alcun fattore di mitigazione per queste vulnerabilità.
Soluzioni alternative
Microsoft non ha identificato soluzioni alternative per queste vulnerabilità.
Distribuzione degli aggiornamenti della sicurezza
Per informazioni sulla distribuzione degli aggiornamenti della sicurezza, vedere l'articolo della Microsoft Knowledge Base a cui si fa riferimento nel riepilogo esecutivo.
Riconoscimenti
Microsoft riconosce gli sforzi di coloro che si trovano nella community di sicurezza che ci aiutano a proteggere i clienti attraverso la divulgazione coordinata delle vulnerabilità. Per altre informazioni, vedere Riconoscimenti .
Dichiarazione di non responsabilità
Le informazioni fornite nella Microsoft Knowledge Base vengono fornite "così com'è" senza garanzia di alcun tipo. Microsoft dichiara tutte le garanzie, espresse o implicite, incluse le garanzie di commerciabilità e idoneità per uno scopo specifico. In nessun caso, Microsoft Corporation o i suoi fornitori saranno responsabili di qualsiasi danno, incluso diretto, indiretto, accidentale, consequenziale, perdita di profitti aziendali o danni speciali, anche se Microsoft Corporation o i suoi fornitori sono stati informati della possibilità di tali danni. Alcuni stati non consentono l'esclusione o la limitazione della responsabilità per danni consequenziali o accidentali, pertanto la limitazione precedente potrebbe non essere applicata.
Revisioni
- V1.0 (9 febbraio 2016): Bollettino pubblicato.
Pagina generata 2016-02-03 12:00-08:00.