Launch Printer Friendly Page Security TechCenter > Bollettini sulla sicurezza > Bollettino Microsoft sulla sicurezza MS13-073

Bollettino Microsoft sulla sicurezza MS13-073 - Importante

Alcune vulnerabilità in Microsoft Excel possono consentire l'esecuzione di codice in modalità remota (2858300)

Data di pubblicazione: | Aggiornamento:

Versione: 1.1

Informazioni generali

Riepilogo

Questo aggiornamento per la protezione risolve tre vulnerabilità segnalate privatamente in Microsoft Office. Le vulnerabilità più gravi possono consentire l'esecuzione di codice in modalità remota se un utente apre un file di Office appositamente predisposto con una versione interessata di Microsoft Excel o con altro software di Microsoft Office interessato. Sfruttando le vulnerabilità più gravi, un utente malintenzionato potrebbe acquisire gli stessi diritti utente dell'utente corrente. Pertanto, gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.

Questo aggiornamento per la protezione è considerato di livello importante per tutte le edizioni supportate di Microsoft Excel 2003, Microsoft Excel 2007, Microsoft Excel 2010, Microsoft Excel 2013, Microsoft Excel 2013 RT e Microsoft Office per Mac 2011; è anche considerato di livello importante per le versioni supportate di Microsoft Excel Viewer e per il pacchetto di compatibilità Microsoft Office. Per ulteriori informazioni, vedere la sottosezione Software interessato e Software non interessato in questa sezione.

L'aggiornamento per la protezione risolve le vulnerabilità correggendo il modo in cui Microsoft Excel e altro software di Microsoft interessato convalidano i dati quando analizzano i file di Office appositamente predisposti e correggendo il modo in cui il parser XML utilizzato da Excel risolve le entità esterne in un file appositamente predisposto. Per ulteriori informazioni sulle vulnerabilità, cercare la voce specifica nella sottosezione Domande frequenti della sezione Informazioni sulle vulnerabilità.

Raccomandazione. I clienti possono configurare l'aggiornamento automatico per controllare online gli aggiornamenti da Microsoft Update utilizzando il servizio di Microsoft Update. I clienti che hanno attivato l'aggiornamento automatico e configurato il controllo online degli aggiornamenti da Microsoft Update in genere non devono eseguire alcuna operazione perché questo aggiornamento per la protezione sarà scaricato e installato automaticamente. Gli utenti che non hanno attivato la funzionalità di aggiornamento automatico devono verificare la disponibilità di aggiornamenti da Microsoft Update e installare questo aggiornamento manualmente. Per informazioni sulle opzioni di configurazione specifiche relative agli aggiornamenti automatici, vedere l'articolo della Microsoft Knowledge Base 294871.

Per gli amministratori e le installazioni delle organizzazioni o gli utenti finali che desiderano installare manualmente questo aggiornamento per la protezione, Microsoft consiglia di applicare l'aggiornamento quanto prima utilizzando il software di gestione degli aggiornamenti o verificando la disponibilità degli aggiornamenti tramite il servizio Microsoft Update.

Per i clienti che utilizzano Microsoft Office per Mac, Microsoft AutoUpdate per Mac può essere configurato per consegnare gli aggiornamenti per il software di Microsoft direttamente al suo sistema. Per ulteriori informazioni, vedere Controllo automatico degli aggiornamenti software.

Vedere anche la sezione, Strumenti e informazioni sul rilevamento e sulla distribuzione, riportata di seguito nel presente bollettino.

Articolo della Microsoft Knowledge Base

Articolo della Microsoft Knowledge Base2858300
Informazioni sui fileNo
Hash SHA1/SHA2No
Problemi notiNessuno

Software interessato e Software non interessato

Il seguente software è stato sottoposto a test per determinare quali versioni o edizioni siano interessate. Le altre versioni o edizioni non sono interessate dalla vulnerabilità o sono al termine del ciclo di vita del supporto. Per informazioni sulla disponibilità del supporto per la versione o l'edizione del software in uso, visitare il sito Web Ciclo di vita del supporto Microsoft.

Software interessato

Applicazioni e altro software Microsoft OfficeComponenteLivello massimo di impatto sulla protezioneLivello di gravità aggregatoAggiornamenti sostituiti
Applicazioni e componenti Microsoft Office
Microsoft Office 2003 Service Pack 3Microsoft Excel 2003 Service Pack 3
(2810048)
Esecuzione di codice in modalità remotaImportante2687481 in MS12-076
Microsoft Office 2007 Service Pack 3Microsoft Excel 2007 Service Pack 3[1]
(2760583)
Esecuzione di codice in modalità remotaImportante2687307 in MS12-076
Microsoft Office 2010 Service Pack 1 (edizioni a 32 bit)Microsoft Excel 2010 Service Pack 1 (edizioni a 32 bit)
(2760597)
Esecuzione di codice in modalità remotaImportante2597126 in MS12-076
Microsoft Office 2010 Service Pack 2 (edizioni a 32 bit)Microsoft Excel 2010 Service Pack 2 (edizioni a 32 bit)
(2760597)
Esecuzione di codice in modalità remotaImportanteNessuno
Microsoft Office 2010 Service Pack 1 (edizioni a 64 bit)Microsoft Excel 2010 Service Pack 1 (edizioni a 64 bit)
(2760597)
Esecuzione di codice in modalità remotaImportante2597126 in MS12-076
Microsoft Office 2010 Service Pack 2 (edizioni a 64 bit)Microsoft Excel 2010 Service Pack 2 (edizioni a 64 bit)
(2760597)
Esecuzione di codice in modalità remotaImportanteNessuno
Microsoft Office 2013 (edizioni a 32 bit)Microsoft Excel 2013 (edizioni a 32 bit)
(2768017)
Esecuzione di codice in modalità remotaImportanteNessuno
Microsoft Office 2013 (edizioni a 64 bit)Microsoft Excel 2013 (edizioni a 64 bit)
(2768017)
Esecuzione di codice in modalità remotaImportanteNessuno
Microsoft Office 2013 RTMicrosoft Excel 2013 RT[2]
(2768017)
Esecuzione di codice in modalità remotaImportanteNessuno
Microsoft Office per Mac
Microsoft Office per Mac 2011
(2877813)
Non applicabileEsecuzione di codice in modalità remotaImportante2848689 in MS13-051
Altro software Microsoft Office
Microsoft Excel Viewer[3]
(2760590)
Non applicabileEsecuzione di codice in modalità remotaImportante2687313 in MS12-076
Pacchetto di compatibilità Microsoft Office Service Pack 3
(2760588)
Non applicabileEsecuzione di codice in modalità remotaImportante2687311 in MS12-076

[1]Per Microsoft Office Excel 2007, oltre al pacchetto di aggiornamento per la protezione 2760583, i clienti devono installare anche l'aggiornamento per la protezione per il pacchetto di compatibilità Microsoft Office (2760588) per essere protetti dalle vulnerabilità descritte in questo bollettino.

[2]Questo aggiornamento è disponibile tramite Windows Update.

[3]Microsoft Excel Viewer deve essere aggiornato a un livello di service pack supportato (Excel Viewer 2007 Service Pack 3) prima di installare questo aggiornamento. Per informazioni sui visualizzatori di Office supportati, vedere l'articolo della Microsoft Knowledge Base 979860.

 

Domande frequenti sull'aggiornamento

Informazioni sulle vulnerabilità

Livelli di gravità e identificatori della vulnerabilità

Vulnerabilità legata al danneggiamento della memoria in Microsoft Office - CVE-2013-1315

Vulnerabilità legata al danneggiamento della memoria in Microsoft Office - CVE-2013-3158

Vulnerabilità legata alla risoluzione di entità XML esterne - CVE-2013-3159

Informazioni sull'aggiornamento

Strumenti e informazioni sul rilevamento e sulla distribuzione

Distribuzione dell'aggiornamento per la protezione

Altre informazioni

Ringraziamenti

Microsoft ringrazia i seguenti utenti per aver collaborato alla protezione dei sistemi dei clienti:

  • Will Dormann di CERT/CC per aver segnalato la vulnerabilità legata al danneggiamento della memoria in Microsoft Office (CVE-2013-1315)
  • Will Dormann di CERT/CC per aver segnalato la vulnerabilità legata al danneggiamento della memoria in Microsoft Office (CVE-2013-3158)
  • Timur Yunusov, Alexey Osipov e Ilya Karpov di Positive Technologies per aver segnalato la vulnerabilità legata alla risoluzione di entità XML esterne (CVE-2013-3159)

Microsoft Active Protections Program (MAPP)

Per migliorare il livello di protezione offerto ai clienti, Microsoft fornisce ai principali fornitori di software di protezione i dati relativi alle vulnerabilità in anticipo rispetto alla pubblicazione mensile dell'aggiornamento per la protezione. I fornitori di software di protezione possono servirsi di tali dati per fornire ai clienti delle protezioni aggiornate tramite software o dispositivi di protezione, quali antivirus, sistemi di rilevamento delle intrusioni di rete o sistemi di prevenzione delle intrusioni basati su host. Per verificare se tali protezioni attive sono state rese disponibili dai fornitori di software di protezione, visitare i siti Web relativi alle protezioni attive pubblicati dai partner del programma, che sono elencati in Microsoft Active Protections Program (MAPP) Partners.

Supporto

Come ottenere il supporto per questo aggiornamento per la protezione

Dichiarazione di non responsabilità

Le informazioni disponibili nella Microsoft Knowledge Base sono fornite "come sono" senza garanzie di alcun tipo. Microsoft non rilascia alcuna garanzia, esplicita o implicita, inclusa la garanzia di commerciabilità e di idoneità per uno scopo specifico. Microsoft Corporation o i suoi fornitori non saranno, in alcun caso, responsabili per danni di qualsiasi tipo, inclusi i danni diretti, indiretti, incidentali, consequenziali, la perdita di profitti e i danni speciali, anche qualora Microsoft Corporation o i suoi fornitori siano stati informati della possibilità del verificarsi di tali danni. Alcuni stati non consentono l'esclusione o la limitazione di responsabilità per danni diretti o indiretti e, dunque, la sopracitata limitazione potrebbe non essere applicabile.

Versioni

  • V1.0 (10 settembre 2013): Pubblicazione del bollettino.
  • V1.1 (11 settembre 2013): Il bollettino rivisto di comunicare i modifichi di rilevamento per il Microsoft Excel 2003 aggiornamento (2810048), Microsoft Excel 2007 aggiornamento (2760583), l'aggiornamento di Microsoft Excel Viewer (2760590) e l'aggiornamento di pacchetto di compatibilità Microsoft Office (2760588). Si tratta di modifiche che riguardano solo il bollettino. Non sono previste modifiche ai file di aggiornamento. I clienti che hanno già installato questo aggiornamento non devono eseguire ulteriori operazioni. È stata aggiornata la voce relativa ai problemi noti nell'articolo della Knowledge Base da "Nessuno" a "Sì".