Launch Printer Friendly Page Security TechCenter > Bollettini sulla sicurezza > Bollettino Microsoft sulla sicurezza MS13-103

Bollettino Microsoft sulla sicurezza MS13-103 - Importante

Una vulnerabilità in ASP.NET SignalR può consentire l'acquisizione di privilegi più elevati (2905244)

Data di pubblicazione:

Versione: 1.0

Informazioni generali

Riepilogo

Questo aggiornamento per la protezione risolve una vulnerabilità segnalata privatamente in ASP.NET SignalR. La vulnerabilità può consentire l'acquisizione di privilegi più elevati se un utente malintenzionato visualizza codice JavaScript appositamente predisposto sul browser di un utente designato.

Questo aggiornamento per la protezione è considerato di livello importante per ASP.NET SignalR versioni 1.1.0, 1.1.1, 1.1.2, 1.1.3 e 2.0.0 e per tutte le edizioni supportate di Microsoft Visual Studio Team Foundation Server 2013. Per ulteriori informazioni, vedere la sottosezione Software interessato e Software non interessato in questa sezione.

L'aggiornamento per la protezione risolve la vulnerabilità garantendo che ASP.NET SignalR codifichi correttamente l'input dell'utente. Per ulteriori informazioni sulla vulnerabilità, vedere la sottosezione Domande frequenti per la specifica voce della vulnerabilità nella sezione Informazioni sulle vulnerabilità.

Raccomandazione. 

Per i clienti che sviluppano applicazioni Web che utilizzano ASP.NET SignalR:
Ai clienti che sviluppano applicazioni Web che utilizzano la funzionalità ASP.NET SignalR si raccomanda di seguire le istruzioni dell'aggiornamento nella sezione Distribuzione dell'aggiornamento per la protezione del presente bollettino per informazioni dettagliate su come aggiornare ASP.NET SignalR nei propri ambienti operativi.

Per i clienti che eseguono installazioni di Microsoft Visual Studio Team Foundation Server 2013:
Per i clienti che hanno attivato la funzione di aggiornamento automatico ed eseguono Microsoft Visual Studio Team Foundation Server 2013, l'aggiornamento verrà scaricato e installato automaticamente. Gli utenti che non hanno attivato la funzionalità Aggiornamenti automatici devono verificare la disponibilità di aggiornamenti e installare questo aggiornamento manualmente. Per informazioni sulle opzioni di configurazione specifiche relative agli aggiornamenti automatici, vedere l'articolo della Microsoft Knowledge Base 294871.

Per gli amministratori e le installazioni delle organizzazioni o gli utenti finali che desiderano installare manualmente questo aggiornamento per la protezione, Microsoft consiglia di applicare l'aggiornamento quanto prima utilizzando il software di gestione degli aggiornamenti o verificando la disponibilità degli aggiornamenti tramite il servizio Microsoft Update.

Vedere anche la sezione, Strumenti e informazioni sul rilevamento e sulla distribuzione, riportata di seguito nel presente bollettino.

Articolo della Microsoft Knowledge Base

Articolo della Microsoft Knowledge Base2905244
Informazioni sui fileNo
Hash SHA1/SHA2No
Problemi notiNessuno

Software interessato e Software non interessato

Il seguente software è stato sottoposto a test per determinare quali versioni o edizioni siano interessate. Le altre versioni o edizioni non sono interessate dalla vulnerabilità o sono al termine del ciclo di vita del supporto. Per informazioni sulla disponibilità del supporto per la versione o l'edizione del software in uso, visitare il sito Web Ciclo di vita del supporto Microsoft.

Software interessato 

Strumenti per gli sviluppatoriLivello massimo di impatto sulla protezioneLivello di gravità aggregatoAggiornamenti sostituiti
ASP.NET SignalR 1.1.x[1] 
(2903919)
Acquisizione di privilegi più elevatiImportanteNessuno
ASP.NET SignalR 2.0.x[1] 
(2903919)
Acquisizione di privilegi più elevatiImportanteNessuno
Microsoft Visual Studio Team Foundation Server 2013 
(2903566)
Acquisizione di privilegi più elevatiImportanteNessuno

[1]Si applica ai server Windows che ospitano applicazioni Web con la funzionalità ASP.NET SignalR. L'aggiornamento, disponibile solo per il download, aggiorna le versioni 1.1.0, 1.1.1, 1.1.2 e 1.1.3 e la versione 2.0.0 alle ultime versioni supportate (1.1.4 e 2.0.1 alla data di pubblicazione del presente bollettino). Per ulteriori informazioni, vedere la sezione Distribuzione dell'aggiornamento per la protezione in questo bollettino.
  

Software non interessato

Software e sistema operativo
ASP.NET SignalR 1.0.0
ASP.NET SignalR 1.0.1
Microsoft Visual Studio .NET 2003 Service Pack 1
Microsoft Visual Studio 2005 Service Pack 1
Microsoft Visual Studio Team Foundation Server 2005 Service Pack 1
Microsoft Visual Studio 2008 Service Pack 1
Microsoft Visual Studio Team Foundation Server 2008 Service Pack 1
Microsoft Visual Studio 2010 Service Pack 1
Microsoft Visual Studio Team Foundation Server 2010 Service Pack 1
Microsoft Visual Studio LightSwitch 2011
Microsoft Visual Studio 2012
Microsoft Visual Studio Team Foundation Server 2012

Domande frequenti sull'aggiornamento

Informazioni sulle vulnerabilità

Livelli di gravità e identificatori della vulnerabilità

Vulnerabilità di tipo XSS in SignalR – CVE-2013-5042

Informazioni sull'aggiornamento

Strumenti e informazioni sul rilevamento e sulla distribuzione

Distribuzione dell'aggiornamento per la protezione

Altre informazioni

Microsoft Active Protections Program (MAPP)

Per migliorare il livello di protezione offerto ai clienti, Microsoft fornisce ai principali fornitori di software di protezione i dati relativi alle vulnerabilità in anticipo rispetto alla pubblicazione mensile dell'aggiornamento per la protezione. I fornitori di software di protezione possono servirsi di tali dati per fornire ai clienti delle protezioni aggiornate tramite software o dispositivi di protezione, quali antivirus, sistemi di rilevamento delle intrusioni di rete o sistemi di prevenzione delle intrusioni basati su host. Per verificare se tali protezioni attive sono state rese disponibili dai fornitori di software di protezione, visitare i siti Web relativi alle protezioni attive pubblicati dai partner del programma, che sono elencati in Microsoft Active Protections Program (MAPP) Partners.

Supporto

Come ottenere il supporto per questo aggiornamento per la protezione

Dichiarazione di non responsabilità

Le informazioni disponibili nella Microsoft Knowledge Base sono fornite "come sono" senza garanzie di alcun tipo. Microsoft non rilascia alcuna garanzia, esplicita o implicita, inclusa la garanzia di commerciabilità e di idoneità per uno scopo specifico. Microsoft Corporation o i suoi fornitori non saranno, in alcun caso, responsabili per danni di qualsiasi tipo, inclusi i danni diretti, indiretti, incidentali, consequenziali, la perdita di profitti e i danni speciali, anche qualora Microsoft Corporation o i suoi fornitori siano stati informati della possibilità del verificarsi di tali danni. Alcuni stati non consentono l'esclusione o la limitazione di responsabilità per danni diretti o indiretti e, dunque, la sopracitata limitazione potrebbe non essere applicabile.

Versioni

  • V1.0 (10 dicembre 2013): Pubblicazione del bollettino.