Launch Printer Friendly Page Security TechCenter > Bollettini sulla sicurezza > Bollettino Microsoft sulla sicurezza MS12-080

Bollettino Microsoft sulla sicurezza MS12-080 - Critico

Alcune vulnerabilità in Microsoft Exchange Server possono consentire l'esecuzione di codice in modalità remota (2784126)

Data di pubblicazione:

Versione: 1.0

Informazioni generali

Riepilogo

Questo aggiornamento per la protezione risolve alcune vulnerabilità divulgate pubblicamente e una vulnerabilità segnalata privatamente in Microsoft Exchange Server. Le vulnerabilità con gli effetti più gravi sulla protezione sono in Microsoft Exchange Server WebReady Document Viewing e possono consentire l'esecuzione di codice in modalità remota nel contesto di protezione del servizio di transcodifica sul server Exchange, se un utente visualizza in anteprima un file appositamente predisposto utilizzando Outlook Web App (OWA). Il servizio di transcodifica in Exchange utilizzato per WebReady Document Viewing è in esecuzione nell'account LocalService. L'account LocalService dispone di privilegi minimi sul computer locale e presenta credenziali anonime sulla rete.

Questo aggiornamento per la protezione è considerato di livello critico per tutte le edizioni supportate di Microsoft Exchange Server 2007 e Microsoft Exchange Server 2010. Per ulteriori informazioni, vedere la sottosezione Software interessato e Software non interessato all'interno della presente sezione.

L'aggiornamento per la protezione risolve le vulnerabilità aggiornando le librerie Oracle Outside In a una versione non esposta a vulnerabilità. Per ulteriori informazioni sulle vulnerabilità, cercare la voce specifica nella sottosezione Domande frequenti della sezione Informazioni sulle vulnerabilità.

Raccomandazione. I clienti possono configurare l'aggiornamento automatico per controllare online gli aggiornamenti da Microsoft Update utilizzando il servizio di Microsoft Update. I clienti che hanno attivato l'aggiornamento automatico e configurato il controllo online degli aggiornamenti da Microsoft Update in genere non devono eseguire alcuna operazione perché questo aggiornamento per la protezione sarà scaricato e installato automaticamente. Gli utenti che non hanno attivato la funzionalità di aggiornamento automatico devono verificare la disponibilità di aggiornamenti da Microsoft Update e installare questo aggiornamento manualmente. Per informazioni su opzioni di configurazione specifiche nella funzione di aggiornamento automatico nelle edizioni supportate di Windows XP e Windows Server 2003, consultare l'articolo della Microsoft Knowledge Base 294871. Per informazioni sulla funzione di aggiornamento automatico nelle edizioni supportate di Windows Vista, Windows Server 2008, Windows 7 e Windows Server 2008 R2, vedere Informazioni sull'aggiornamento automatico di Windows.

Per gli amministratori e le installazioni delle organizzazioni o gli utenti finali che desiderano installare manualmente questo aggiornamento per la protezione, Microsoft consiglia di applicare immediatamente l'aggiornamento utilizzando il software di gestione degli aggiornamenti o verificando la disponibilità degli aggiornamenti tramite il servizio Microsoft Update.

Vedere anche la sezione, Strumenti e informazioni sul rilevamento e sulla distribuzione, riportata di seguito nel presente bollettino.

Problemi noti. Nessuno

Software interessato e Software non interessato

Il seguente software è stato sottoposto a test per determinare quali versioni o edizioni siano interessate. Le altre versioni o edizioni non sono interessate dalla vulnerabilità o sono al termine del ciclo di vita del supporto. Per informazioni sulla disponibilità del supporto per la versione o l'edizione del software in uso, visitare il sito Web Ciclo di vita del supporto Microsoft.

Software interessato

SoftwareLivello massimo di impatto sulla protezioneLivello di gravità aggregatoAggiornamenti sostituiti
Software dei server Microsoft
Microsoft Exchange Server 2007 Service Pack 3 
(KB2746157)
Esecuzione di codice in modalità remotaCriticoKB2756497 in MS12-058 è stato sostituito da KB2746157
Microsoft Exchange Server 2010 Service Pack 1 
(KB2787763)
Esecuzione di codice in modalità remotaCriticoKB2756496 in MS12-058 è stato sostituito da KB2787763
Microsoft Exchange Server 2010 Service Pack 2 
(KB2785908)
Esecuzione di codice in modalità remotaCriticoKB2756485 in MS12-058 è stato sostituito da KB2785908

Software non interessato 

Software dei server Microsoft
Microsoft Exchange Server 2003 Service Pack 2 

Domande frequenti sull'aggiornamento per la protezione

Informazioni sulle vulnerabilità

Livelli di gravità e identificatori della vulnerabilità

Oracle Outside In contiene più vulnerabilità sfruttabili

Vulnerabilità DoS in Exchange legata al feed RSS - CVE-2012-4791

Informazioni sull'aggiornamento

Strumenti e informazioni sul rilevamento e sulla distribuzione

Distribuzione dell'aggiornamento per la protezione

Altre informazioni

Microsoft Active Protections Program (MAPP)

Per migliorare il livello di protezione offerto ai clienti, Microsoft fornisce ai principali fornitori di software di protezione i dati relativi alle vulnerabilità in anticipo rispetto alla pubblicazione mensile dell'aggiornamento per la protezione. I fornitori di software di protezione possono servirsi di tali dati per fornire ai clienti delle protezioni aggiornate tramite software o dispositivi di protezione, quali antivirus, sistemi di rilevamento delle intrusioni di rete o sistemi di prevenzione delle intrusioni basati su host. Per verificare se tali protezioni attive sono state rese disponibili dai fornitori di software di protezione, visitare i siti Web relativi alle protezioni attive pubblicati dai partner del programma, che sono elencati in Microsoft Active Protections Program (MAPP) Partners.

Supporto

Come ottenere il supporto per questo aggiornamento per la protezione

Dichiarazione di non responsabilità

Le informazioni disponibili nella Microsoft Knowledge Base sono fornite "come sono" senza garanzie di alcun tipo. Microsoft non rilascia alcuna garanzia, esplicita o implicita, inclusa la garanzia di commerciabilità e di idoneità per uno scopo specifico. Microsoft Corporation o i suoi fornitori non saranno, in alcun caso, responsabili per danni di qualsiasi tipo, inclusi i danni diretti, indiretti, incidentali, consequenziali, la perdita di profitti e i danni speciali, anche qualora Microsoft Corporation o i suoi fornitori siano stati informati della possibilità del verificarsi di tali danni. Alcuni stati non consentono l'esclusione o la limitazione di responsabilità per danni diretti o indiretti e, dunque, la sopracitata limitazione potrebbe non essere applicabile.

Versioni

  • V1.0 (11 dicembre 2012): Pubblicazione del bollettino.