Bollettino Microsoft sulla sicurezza MS13-054 - Critico

Una vulnerabilità in GDI+ può consentire l'esecuzione di codice in modalità remota (2848295)

Data di pubblicazione: | Aggiornamento:

Versione: 1.3

Informazioni generali

Riepilogo

Questo aggiornamento per la protezione risolve una vulnerabilità segnalata privatamente in Microsoft Windows, Microsoft Office, Microsoft Lync e Microsoft Visual Studio. La vulnerabilità può consentire l'esecuzione di codice in modalità remota se un utente visualizza contenuto condiviso che include file di caratteri TrueType.

Questo aggiornamento per la protezione è considerato di livello critico per tutte le versioni supportate di Microsoft Windows e le edizioni interessate di Microsoft Lync 2010 e Microsoft Lync 2013. L'aggiornamento per la protezione è considerato di livello importante per le versioni interessate di Microsoft Office e le edizioni supportate di Microsoft Visual Studio .NET 2003. Per ulteriori informazioni, vedere la sottosezione, Software interessato e Software non interessato, in questa sezione.

L'aggiornamento per la protezione risolve la vulnerabilità correggendo il modo in cui Microsoft Windows e il software interessato gestiscono i file di caratteri TrueType (TTF) appositamente predisposti. Per ulteriori informazioni sulla vulnerabilità, vedere la sottosezione Domande frequenti per la specifica voce della vulnerabilità nella sezione Informazioni sulle vulnerabilità.

Raccomandazione. Se la funzionalità Aggiornamenti automatici è abilitata, gli utenti non devono intraprendere alcuna azione, poiché questo aggiornamento per la protezione viene scaricato e installato automaticamente. Gli utenti che non hanno attivato la funzionalità Aggiornamenti automatici devono verificare la disponibilità di aggiornamenti e installare questo aggiornamento manualmente. Per informazioni sulle opzioni di configurazione specifiche relative agli aggiornamenti automatici, vedere l'articolo della Microsoft Knowledge Base 294871.

Per gli amministratori e le installazioni delle organizzazioni o gli utenti finali che desiderano installare manualmente questo aggiornamento per la protezione, Microsoft consiglia di applicare immediatamente l'aggiornamento utilizzando il software di gestione degli aggiornamenti o verificando la disponibilità degli aggiornamenti tramite il servizio Microsoft Update.

Vedere anche la sezione, Strumenti e informazioni sul rilevamento e sulla distribuzione, riportata di seguito nel presente bollettino.

Articolo della Microsoft Knowledge Base

Articolo della Microsoft Knowledge Base2848295
Informazioni sui fileNo
Hash SHA1/SHA2No
Problemi notiNo

Software interessato e Software non interessato

Il seguente software è stato sottoposto a test per determinare quali versioni o edizioni siano interessate. Le altre versioni o edizioni non sono interessate dalla vulnerabilità o sono al termine del ciclo di vita del supporto. Per informazioni sulla disponibilità del supporto per la versione o l'edizione del software in uso, visitare il sito Web Ciclo di vita del supporto Microsoft.

Software interessato 

Sistema operativoLivello massimo di impatto sulla protezioneLivello di gravità aggregatoAggiornamenti sostituiti
Windows XP
Windows XP Service Pack 3
(Windows GDI+)
(2834886)
Esecuzione di codice in modalità remotaCriticoNessuno
Windows XP Service Pack 3
(Solo Windows XP Tablet PC Edition 2005)
(Journal)
(2835364)
Esecuzione di codice in modalità remotaCriticoNessuno
Windows XP Professional x64 Edition Service Pack 2
(Windows GDI+)
(2834886)
Esecuzione di codice in modalità remotaCriticoNessuno
Windows Server 2003
Windows Server 2003 Service Pack 2
(Windows GDI+)
(2834886)
Esecuzione di codice in modalità remotaCriticoNessuno
Windows Server 2003 x64 Edition Service Pack 2
(Windows GDI+)
(2834886)
Esecuzione di codice in modalità remotaCriticoNessuno
Windows Server 2003 con SP2 per sistemi Itanium
(Windows GDI+)
(2834886)
Esecuzione di codice in modalità remotaCriticoNessuno
Windows Vista
Windows Vista Service Pack 2
(DirectWrite)
(2835361)
Esecuzione di codice in modalità remotaCritico2658846 in MS12-034
Windows Vista Service Pack 2
(Windows GDI+)
(2834886)
Esecuzione di codice in modalità remotaCritico2659262 in MS12-034
Windows Vista Service Pack 2
(Journal)
(2835364)
Esecuzione di codice in modalità remotaCritico2660649 in MS12-034
Windows Vista x64 Edition Service Pack 2
(DirectWrite)
(2835361)
Esecuzione di codice in modalità remotaCritico2658846 in MS12-034
Windows Vista x64 Edition Service Pack 2
(Windows GDI+)
(2834886)
Esecuzione di codice in modalità remotaCritico2659262 in MS12-034
Windows Vista x64 Edition Service Pack 2
(Journal)
(2835364)
Esecuzione di codice in modalità remotaCritico2660649 in MS12-034
Windows Server 2008
Windows Server 2008 per sistemi a 32 bit Service Pack 2
(DirectWrite)
(2835361)
Esecuzione di codice in modalità remotaCritico2658846 in MS12-034
Windows Server 2008 per sistemi a 32 bit Service Pack 2
(Windows GDI+)
(2834886)
Esecuzione di codice in modalità remotaCritico2659262 in MS12-034
Windows Server 2008 per sistemi a 32 bit Service Pack 2
(Journal)
(2835364)
Esecuzione di codice in modalità remotaCritico2660649 in MS12-034
Windows Server 2008 per sistemi x64 Service Pack 2
(DirectWrite)
(2835361)
Esecuzione di codice in modalità remotaCritico2658846 in MS12-034
Windows Server 2008 per sistemi x64 Service Pack 2
(Windows GDI+)
(2834886)
Esecuzione di codice in modalità remotaCritico2659262 in MS12-034
Windows Server 2008 per sistemi x64 Service Pack 2
(Journal)
(2835364)
Esecuzione di codice in modalità remotaCritico2660649 in MS12-034
Windows Server 2008 per sistemi Itanium Service Pack 2
(Windows GDI+)
(2834886)
Esecuzione di codice in modalità remotaCritico2659262 in MS12-034
Windows 7
Windows 7 per sistemi a 32 bit Service Pack 1
(DirectWrite)
(2835361)
Esecuzione di codice in modalità remotaCritico2658846 in MS12-034
Windows 7 per sistemi a 32 bit Service Pack 1
(Windows GDI+)
(2834886)
Esecuzione di codice in modalità remotaCritico2659262 in MS12-034
Windows 7 per sistemi a 32 bit Service Pack 1
(Journal)
(2835364)
Esecuzione di codice in modalità remotaCritico2660649 in MS12-034
Windows 7 per sistemi x64 Service Pack 1
(DirectWrite)
(2835361)
Esecuzione di codice in modalità remotaCritico2658846 in MS12-034
Windows 7 per sistemi x64 Service Pack 1
(Windows GDI+)
(2834886)
Esecuzione di codice in modalità remotaCritico2659262 in MS12-034
Windows 7 per sistemi x64 Service Pack 1
(Journal)
(2835364)
Esecuzione di codice in modalità remotaCritico2660649 in MS12-034
Windows Server 2008 R2
Windows Server 2008 R2 per sistemi x64 Service Pack 1
(DirectWrite)
(2835361)
Esecuzione di codice in modalità remotaCritico2658846 in MS12-034
Windows Server 2008 R2 per sistemi x64 Service Pack 1
(Windows GDI+)
(2834886)
Esecuzione di codice in modalità remotaCritico2659262 in MS12-034
Windows Server 2008 R2 per sistemi x64 Service Pack 1
(Journal)
(2835364)
Esecuzione di codice in modalità remotaCritico2660649 in MS12-034
Windows Server 2008 R2 per sistemi Itanium Service Pack 1
(DirectWrite)
(2835361)
Esecuzione di codice in modalità remotaCritico2658846 in MS12-034
Windows Server 2008 R2 per sistemi Itanium Service Pack 1
(Windows GDI+)
(2834886)
Esecuzione di codice in modalità remotaCritico2659262 in MS12-034
Windows 8
Windows 8 per sistemi a 32 bit
(DirectWrite)
(2835361)
Esecuzione di codice in modalità remotaCriticoNessuno
Windows 8 per sistemi a 32 bit
(Journal)
(2835364)
Esecuzione di codice in modalità remotaCriticoNessuno
Windows 8 per sistemi a 64 bit
(DirectWrite)
(2835361)
Esecuzione di codice in modalità remotaCriticoNessuno
Windows 8 per sistemi a 64 bit
(Journal)
(2835364)
Esecuzione di codice in modalità remotaCriticoNessuno
Windows Server 2012
Windows Server 2012
(DirectWrite)
(2835361)
Esecuzione di codice in modalità remotaCriticoNessuno
Windows Server 2012
(Journal)
(2835364)
Esecuzione di codice in modalità remotaCriticoNessuno
Windows RT
Windows RT[1]
(DirectWrite)
(2835361)
Esecuzione di codice in modalità remotaCriticoNessuno
Windows RT[1]
(Journal)
(2835364)
Esecuzione di codice in modalità remotaCriticoNessuno
Opzione di installazione Server Core
Windows Server 2008 per sistemi a 32 bit Service Pack 2 (installazione Server Core)
(Windows GDI+)
(2834886)
Esecuzione di codice in modalità remotaCritico2659262 in MS12-034
Windows Server 2008 per sistemi x64 Service Pack 2 (installazione Server Core)
(Windows GDI+)
(2834886)
Esecuzione di codice in modalità remotaCritico2659262 in MS12-034
Windows Server 2008 R2 per sistemi x64 Service Pack 1 (installazione Server Core)
(Windows GDI+)
(2834886)
Esecuzione di codice in modalità remotaCritico2659262 in MS12-034
Windows Server 2012 (installazione Server Core)
(DirectWrite)
(2835361)
Esecuzione di codice in modalità remotaCriticoNessuno

[1]Gli aggiornamenti per la protezione di Windows RT sono forniti tramite Windows Update.

Microsoft Office

Software OfficeLivello massimo di impatto sulla protezioneLivello di gravità aggregatoAggiornamenti sostituiti
Microsoft Office 2003 Service Pack 3
(2817480)
Esecuzione di codice in modalità remotaImportante2598253 in MS12-034
Microsoft Office 2007 Service Pack 3
(2687309)
Esecuzione di codice in modalità remotaImportante2596672 in MS12-034
Microsoft Office 2010 Service Pack 1
(Edizioni a 32 bit)
(2687276)
Esecuzione di codice in modalità remotaImportante2589337 in MS12-034
Microsoft Office 2010 Service Pack 1
(Edizioni a 64 bit) (2687276)
Esecuzione di codice in modalità remotaImportante2589337 in MS12-034

Strumenti e software Microsoft per gli sviluppatori

SoftwareLivello massimo di impatto sulla protezioneLivello di gravità aggregatoAggiornamenti sostituiti
Microsoft Visual Studio .NET 2003 Service Pack 1[1]
(2856545)
Esecuzione di codice in modalità remotaImportante971022 in MS09-062

[1]Questo aggiornamento è disponibile soltanto nell'Area download Microsoft.

Piattaforme e servizi delle comunicazioni Microsoft

SoftwareLivello massimo di impatto sulla protezioneLivello di gravità aggregatoAggiornamenti sostituiti
Microsoft Lync 2010 (32 bit)
(2843160)
Esecuzione di codice in modalità remotaCritico2827750 in MS13-041
Microsoft Lync 2010 (64 bit)
(2843160)
Esecuzione di codice in modalità remotaCritico2827750 in MS13-041
Microsoft Lync 2010 Attendee[1]
(installazione a livello utente)
(2843162)
Esecuzione di codice in modalità remotaCritico2827751 in MS13-041
Microsoft Lync 2010 Attendee
(installazione a livello amministratore)
(2843163)
Esecuzione di codice in modalità remotaCritico2827752 in MS13-041
Microsoft Lync 2013 (32 bit)
(2817465)
Esecuzione di codice in modalità remotaCriticoNessuno
Microsoft Lync Basic 2013 (32 bit)
(2817465)
Esecuzione di codice in modalità remotaCriticoNessuno
Microsoft Lync 2013 (64 bit)
(2817465)
Esecuzione di codice in modalità remotaCriticoNessuno
Microsoft Lync Basic 2013
(64 bit)
(2817465)
Esecuzione di codice in modalità remotaCriticoNessuno

[1]Questo aggiornamento è disponibile soltanto nell'Area download Microsoft. Per ulteriori informazioni, vedere la sezione Domande frequenti relativa all'aggiornamento.

Software non interessato

Microsoft Office
Microsoft Office 2013 (edizioni a 32 bit)
Microsoft Office 2013 (edizioni a 64 bit)
Microsoft Office 2013 RT
Strumenti e software Microsoft per gli sviluppatori
Microsoft Visual Studio 2005 Service Pack 1
Microsoft Visual Studio 2008 Service Pack 1
Microsoft Visual Studio 2010 Service Pack 1
Microsoft Visual Studio LightSwitch 2011
Microsoft Visual Studio 2012
Microsoft Visual Studio Team Foundation Server 2012
Piattaforme e servizi delle comunicazioni Microsoft
Microsoft Speech Server 2004
Microsoft Speech Server 2004 R2
Console Microsoft Live Meeting 2007
Microsoft Live Communications Server 2003
Microsoft Live Communications Server 2005 Service Pack 1
Microsoft Communicator 2005
Microsoft Communicator 2005 Web Access
Microsoft Communicator 2007
Microsoft Communicator 2007 R2
Microsoft Communicator 2007 Web Access
Microsoft Communications Server 2007
Microsoft Communications Server 2007 Speech Server
Microsoft Communications Server 2007 R2
Microsoft Communicator 2007 R2 Attendant
Amministratore Microsoft Communicator 2007 R2 Group Chat
Client Microsoft Communicator 2007 R2 Group Chat
Microsoft Communicator per Mac 2011
Microsoft Lync per Mac 2011
Microsoft Lync 2010 Attendant (32-bit)
Microsoft Lync 2010 Attendant (64-bit)
Microsoft Lync Server 2010
Microsoft Lync Web Access 2013

Domande frequenti sull'aggiornamento

Informazioni sulle vulnerabilità

Livelli di gravità e identificatori della vulnerabilità

Vulnerabilità legata all'analisi dei caratteri TrueType - CVE-2013-3129

Informazioni sull'aggiornamento

Strumenti e informazioni sul rilevamento e sulla distribuzione

Distribuzione dell'aggiornamento per la protezione

Altre informazioni

Ringraziamenti

Microsoft ringrazia i seguenti utenti per aver collaborato alla protezione dei sistemi dei clienti:

  • Ling Chuan Lee e Lee Yee Chan di F13 Laboratory per aver segnalato la vulnerabilità legata all'analisi dei caratteri TrueType (CVE-2013-3129)

Microsoft Active Protections Program (MAPP)

Per migliorare il livello di protezione offerto ai clienti, Microsoft fornisce ai principali fornitori di software di protezione i dati relativi alle vulnerabilità in anticipo rispetto alla pubblicazione mensile dell'aggiornamento per la protezione. I fornitori di software di protezione possono servirsi di tali dati per fornire ai clienti delle protezioni aggiornate tramite software o dispositivi di protezione, quali antivirus, sistemi di rilevamento delle intrusioni di rete o sistemi di prevenzione delle intrusioni basati su host. Per verificare se tali protezioni attive sono state rese disponibili dai fornitori di software di protezione, visitare i siti Web relativi alle protezioni attive pubblicati dai partner del programma, che sono elencati in Microsoft Active Protections Program (MAPP) Partners.

Supporto

Come ottenere il supporto per questo aggiornamento per la protezione

Dichiarazione di non responsabilità

Le informazioni disponibili nella Microsoft Knowledge Base sono fornite "come sono" senza garanzie di alcun tipo. Microsoft non rilascia alcuna garanzia, esplicita o implicita, inclusa la garanzia di commerciabilità e di idoneità per uno scopo specifico. Microsoft Corporation o i suoi fornitori non saranno, in alcun caso, responsabili per danni di qualsiasi tipo, inclusi i danni diretti, indiretti, incidentali, consequenziali, la perdita di profitti e i danni speciali, anche qualora Microsoft Corporation o i suoi fornitori siano stati informati della possibilità del verificarsi di tali danni. Alcuni stati non consentono l'esclusione o la limitazione di responsabilità per danni diretti o indiretti e, dunque, la sopracitata limitazione potrebbe non essere applicabile.

Versioni

  • V1.0 (9 luglio 2013): Pubblicazione del bollettino.
  • V1.1 (1 agosto 2013): Bollettino rivisto per comunicare una modifica di rilevamento nell'aggiornamento 2687276 per Microsoft Office 2010. Non sono state apportate modifiche ai file sull'aggiornamento per la protezione. I clienti che hanno già aggiornato i propri sistemi non devono eseguire ulteriori operazioni. Inoltre, il bollettino è stato rivisto per aggiungere domande frequenti sull'aggiornamento che aiutano a chiarire le configurazioni a cui gli aggiornamenti per Microsoft Office sono applicabili.
  • V1.2 (13 agosto 2013): Bollettino rivisto per comunicare una modifica di rilevamento per l'aggiornamento 2687276 per Microsoft Office 2010. Questa modifica di rilevamento interessa solo le distribuzioni in lingua non inglese. Non sono previsti aggiornamenti ai file sull'aggiornamento per la protezione. I clienti che hanno già aggiornato i propri sistemi non devono eseguire ulteriori operazioni.
  • V1.3 (16 dicembre 2013): Il bollettino è stato rivisto per comunicare una modifica al rilevamento e correggere un problema di offerta per Windows RT (2835361) e Windows RT (2835364). Si tratta di una modifica solo al rilevamento. Non sono previste modifiche ai file di aggiornamento. I clienti che hanno già installato questo aggiornamento non devono eseguire ulteriori operazioni.