Bollettino Microsoft sulla sicurezza MS13-038 - Critico

Aggiornamento per la protezione di Internet Explorer (2847204)

Data di pubblicazione: | Aggiornamento:

Versione: 1.1

Informazioni generali

Riepilogo

Questo aggiornamento per la protezione risolve una vulnerabilità divulgata pubblicamente di Internet Explorer. Tale vulnerabilità può consentire l'esecuzione di codice in modalità remota se un utente visualizza una pagina Web appositamente predisposta con Internet Explorer. Sfruttando questa vulnerabilità, un utente malintenzionato può ottenere gli stessi diritti utente dell'utente corrente. Pertanto, gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.

Questo aggiornamento per la protezione è considerato di livello critico per Internet Explorer 8 nei client Windows e di livello moderato per Internet Explorer 8 nei server Windows. Questo aggiornamento per la protezione non presenta alcun livello di gravità per Internet Explorer 9. Per ulteriori informazioni, vedere la sottosezione Software interessato e Software non interessato, in questa sezione.

L'aggiornamento per la protezione risolve la vulnerabilità modificando il modo in cui Internet Explorer gestisce gli oggetti nella memoria. Per ulteriori informazioni sulla vulnerabilità, vedere la sottosezione Domande frequenti per la specifica voce della vulnerabilità nella sezione Informazioni sulle vulnerabilità.

Questo aggiornamento per la protezione risolve anche la vulnerabilità descritta per la prima volta nell'Advisory Microsoft sulla sicurezza 2847140.

Raccomandazione. Se la funzionalità Aggiornamenti automatici è abilitata, gli utenti non devono intraprendere alcuna azione, poiché questo aggiornamento per la protezione viene scaricato e installato automaticamente. Gli utenti che non hanno attivato la funzionalità Aggiornamenti automatici devono verificare la disponibilità di aggiornamenti e installare questo aggiornamento manualmente. Per informazioni sulle opzioni di configurazione specifiche relative agli aggiornamenti automatici, vedere l'articolo della Microsoft Knowledge Base 294871.

Per gli amministratori e le installazioni delle organizzazioni o gli utenti finali che desiderano installare manualmente questo aggiornamento per la protezione, Microsoft consiglia di applicare immediatamente l'aggiornamento utilizzando il software di gestione degli aggiornamenti o verificando la disponibilità degli aggiornamenti tramite il servizio Microsoft Update.

Vedere anche la sezione, Strumenti e informazioni sul rilevamento e sulla distribuzione, riportata di seguito nel presente bollettino.

Articolo della Microsoft Knowledge Base

Articolo della Microsoft Knowledge Base2847204
Informazioni sui fileNo
Hash SHA1/SHA2No
Problemi notiNo

 

Software interessato e Software non interessato

Il seguente software è stato sottoposto a test per determinare quali versioni o edizioni siano interessate. Le altre versioni o edizioni non sono interessate dalla vulnerabilità o sono al termine del ciclo di vita del supporto. Per informazioni sulla disponibilità del supporto per la versione o l'edizione del software in uso, visitare il sito Web Ciclo di vita del supporto Microsoft.

Software interessato 

Sistema operativoComponenteLivello massimo di impatto sulla protezioneLivello di gravità aggregatoAggiornamenti sostituiti
Internet Explorer 8
Windows XP Service Pack 3Internet Explorer 8 
(2847204)
Esecuzione di codice in modalità remotaCriticoNessuno
Windows XP Professional x64 Edition Service Pack 2Internet Explorer 8 
(2847204)
Esecuzione di codice in modalità remotaCriticoNessuno
Windows Server 2003 Service Pack 2Internet Explorer 8 
(2847204)
Esecuzione di codice in modalità remotaModeratoNessuno
Windows Server 2003 x64 Edition Service Pack 2Internet Explorer 8 
(2847204)
Esecuzione di codice in modalità remotaModeratoNessuno
Windows Vista Service Pack 2Internet Explorer 8 
(2847204)
Esecuzione di codice in modalità remotaCriticoNessuno
Windows Vista x64 Edition Service Pack 2Internet Explorer 8 
(2847204)
Esecuzione di codice in modalità remotaCriticoNessuno
Windows Server 2008 per sistemi a 32 bit Service Pack 2Internet Explorer 8 
(2847204)
Esecuzione di codice in modalità remotaModeratoNessuno
Windows Server 2008 per sistemi x64 Service Pack 2Internet Explorer 8 
(2847204)
Esecuzione di codice in modalità remotaModeratoNessuno
Windows 7 per sistemi a 32 bit Service Pack 1Internet Explorer 8 
(2847204)
Esecuzione di codice in modalità remotaCriticoNessuno
Windows 7 per sistemi x64 Service Pack 1Internet Explorer 8 
(2847204)
Esecuzione di codice in modalità remotaCriticoNessuno
Windows Server 2008 R2 per sistemi x64 Service Pack 1Internet Explorer 8 
(2847204)
Esecuzione di codice in modalità remotaModeratoNessuno
Windows Server 2008 R2 per sistemi Itanium Service Pack 1Internet Explorer 8 
(2847204)
Esecuzione di codice in modalità remotaModeratoNessuno
Internet Explorer 9
Windows Vista Service Pack 2Internet Explorer 9 
(2847204)
NessunoNessun livello di gravità[1]Nessuno
Windows Vista x64 Edition Service Pack 2Internet Explorer 9 
(2847204)
NessunoNessun livello di gravità[1]Nessuno
Windows Server 2008 per sistemi a 32 bit Service Pack 2Internet Explorer 9 
(2847204)
NessunoNessun livello di gravità[1]Nessuno
Windows Server 2008 per sistemi x64 Service Pack 2Internet Explorer 9 
(2847204)
NessunoNessun livello di gravità[1]Nessuno
Windows 7 per sistemi a 32 bit Service Pack 1Internet Explorer 9 
(2847204)
NessunoNessun livello di gravità[1]Nessuno
Windows 7 per sistemi x64 Service Pack 1Internet Explorer 9 
(2847204)
NessunoNessun livello di gravità[1]Nessuno
Windows Server 2008 R2 per sistemi x64 Service Pack 1Internet Explorer 9 
(2847204)
NessunoNessun livello di gravità[1]Nessuno

[1]I livelli di gravità non sono applicabili a questo aggiornamento per il software specificato perché i vettori di attacco conosciuti per la vulnerabilità trattata in questo bollettino sono bloccati in una configurazione predefinita. Tuttavia, come misura di difesa in profondità, Microsoft consiglia ai clienti di questo software di applicare questo aggiornamento per la protezione.

 

Software non interessato

Sistema operativoComponente
Internet Explorer 6
Windows XP Service Pack 3Internet Explorer 6
Windows XP Professional x64 Edition Service Pack 2Internet Explorer 6
Windows Server 2003 Service Pack 2Internet Explorer 6
Windows Server 2003 x64 Edition Service Pack 2Internet Explorer 6
Windows Server 2003 con SP2 per sistemi ItaniumInternet Explorer 6
Internet Explorer 7
Windows XP Service Pack 3Internet Explorer 7
Windows XP Professional x64 Edition Service Pack 2Internet Explorer 7
Windows Server 2003 Service Pack 2Internet Explorer 7
Windows Server 2003 x64 Edition Service Pack 2Internet Explorer 7
Windows Server 2003 con SP2 per sistemi ItaniumInternet Explorer 7
Windows Vista Service Pack 2Internet Explorer 7
Windows Vista x64 Edition Service Pack 2Internet Explorer 7
Windows Server 2008 per sistemi a 32 bit Service Pack 2Internet Explorer 7
Windows Server 2008 per sistemi x64 Service Pack 2Internet Explorer 7
Windows Server 2008 per sistemi Itanium Service Pack 2Internet Explorer 7
Internet Explorer 10
Windows 7 per sistemi a 32 bit Service Pack 1Internet Explorer 10
Windows 7 per sistemi x64 Service Pack 1Internet Explorer 10
Windows Server 2008 R2 per sistemi x64 Service Pack 1Internet Explorer 10
Windows 8 per sistemi a 32 bitInternet Explorer 10
Windows 8 per sistemi a 64 bit Internet Explorer 10
Windows Server 2012Internet Explorer 10
Windows RTInternet Explorer 10
Installazione Server Core
Windows Server 2008 per sistemi a 32 bit Service Pack 2 (installazione Server Core)Non applicabile
Windows Server 2008 per sistemi x64 Service Pack 2 (installazione Server Core)Non applicabile
Windows Server 2008 R2 per sistemi x64 Service Pack 1 (installazione Server Core)Non applicabile
Windows Server 2012 (installazione Server Core)Non applicabile

  

Domande frequenti sull'aggiornamento

Informazioni sulle vulnerabilità

Livelli di gravità e identificatori della vulnerabilità

Vulnerabilità legata a un errore di tipo use-after-free in Internet Explorer - CVE-2013-1347

Informazioni sull'aggiornamento

Strumenti e informazioni sul rilevamento e sulla distribuzione

Distribuzione dell'aggiornamento per la protezione

Altre informazioni

Ringraziamenti

Microsoft ringrazia i seguenti utenti per aver collaborato alla protezione dei sistemi dei clienti:

  • Daniel Caselden di FireEye per aver segnalato la vulnerabilità legata a un errore di tipo use-after-free in Internet Explorer (CVE-2013-1347)
  • iSIGHT Partners per aver collaborato con Microsoft sulla vulnerabilità legata a un errore di tipo use-after-free in Internet Explorer (CVE-2013-1347)

Microsoft Active Protections Program (MAPP)

Per migliorare il livello di protezione offerto ai clienti, Microsoft fornisce ai principali fornitori di software di protezione i dati relativi alle vulnerabilità in anticipo rispetto alla pubblicazione mensile dell'aggiornamento per la protezione. I fornitori di software di protezione possono servirsi di tali dati per fornire ai clienti delle protezioni aggiornate tramite software o dispositivi di protezione, quali antivirus, sistemi di rilevamento delle intrusioni di rete o sistemi di prevenzione delle intrusioni basati su host. Per verificare se tali protezioni attive sono state rese disponibili dai fornitori di software di protezione, visitare i siti Web relativi alle protezioni attive pubblicati dai partner del programma, che sono elencati in Microsoft Active Protections Program (MAPP) Partners.

Supporto

Come ottenere il supporto per questo aggiornamento per la protezione

Dichiarazione di non responsabilità

Le informazioni disponibili nella Microsoft Knowledge Base sono fornite "come sono" senza garanzie di alcun tipo. Microsoft non rilascia alcuna garanzia, esplicita o implicita, inclusa la garanzia di commerciabilità e di idoneità per uno scopo specifico. Microsoft Corporation o i suoi fornitori non saranno, in alcun caso, responsabili per danni di qualsiasi tipo, inclusi i danni diretti, indiretti, incidentali, consequenziali, la perdita di profitti e i danni speciali, anche qualora Microsoft Corporation o i suoi fornitori siano stati informati della possibilità del verificarsi di tali danni. Alcuni stati non consentono l'esclusione o la limitazione di responsabilità per danni diretti o indiretti e, dunque, la sopracitata limitazione potrebbe non essere applicabile.

Versioni

  • V1.0 (14 maggio 2013): Pubblicazione del bollettino.
  • V1.1 (29 maggio 2013): È stata aggiornata la voce relativa ai problemi noti nell'articolo della Knowledge Base da "Nessuno" a "Sì".