Bollettino Microsoft sulla sicurezza MS11-078 - Critico

Una vulnerabilità in .NET Framework e Microsoft Silverlight può consentire l'esecuzione codice in modalità remota (2604930)

Data di pubblicazione: | Aggiornamento:

Versione: 1.3

Informazioni generali

Riepilogo

Questo aggiornamento per la protezione risolve una vulnerabilità segnalata privatamente in Microsoft .NET Framework e Microsoft Silverlight. La vulnerabilità può consentire l'esecuzione codice in modalità remota in un sistema client se un utente visualizza una pagina Web appositamente predisposta mediante un browser Web in grado di eseguire applicazioni browser XAML (XBAP) le applicazioni Silverlight. Pertanto, gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione. La vulnerabilità può consentire anche l'esecuzione di codice in modalità remota su un sistema server che esegue IIS, se tale server consente l'elaborazione delle pagine ASP.NET e se un utente malintenzionato riesce a caricare ed eseguire una pagina ASP.NET appositamente predisposta in tale server, come può accadere nel caso di uno scenario di hosting Web. Questa vulnerabilità potrebbe essere anche utilizzata dalle applicazioni Windows .NET per ignorare le restrizioni della protezione dall'accesso di codice (CAS).

Questo aggiornamento per la protezione è considerato critico per Microsoft .NET Framework 1.0 Service Pack 3, Microsoft .NET Framework 1.1 Service Pack 1, Microsoft .NET Framework 2.0 Service Pack 2, Microsoft .NET Framework 3.5.1, e Microsoft .NET Framework 4 in tutte le edizioni supportate di Microsoft Windows; e Microsoft Silverlight 4. Per ulteriori informazioni, vedere la sottosezione, Software interessato e Software non interessato in questa sezione.

L'aggiornamento per la protezione risolve la vulnerabilità correggendo il modo in cui .NET Framework limita l'ereditarietà all'interno delle classi. Per ulteriori informazioni sulla vulnerabilità, vedere la sottosezione Domande frequenti per la specifica voce della vulnerabilità nella sezione Informazioni sulle vulnerabilità.

Raccomandazione. Se la funzionalità Aggiornamenti automatici è abilitata, gli utenti non devono intraprendere alcuna azione, poiché questo aggiornamento per la protezione viene scaricato e installato automaticamente. Gli utenti che non hanno attivato la funzionalità Aggiornamenti automatici devono verificare la disponibilità di aggiornamenti e installare questo aggiornamento manualmente. Per informazioni sulle opzioni di configurazione specifiche relative agli aggiornamenti automatici, vedere l'articolo della Microsoft Knowledge Base 294871.

Per gli amministratori e le installazioni delle organizzazioni o gli utenti finali che desiderano installare manualmente questo aggiornamento per la protezione, Microsoft consiglia di applicare immediatamente l'aggiornamento utilizzando il software di gestione degli aggiornamenti o verificando la disponibilità degli aggiornamenti tramite il servizio Microsoft Update.

Vedere anche la sezione, Strumenti e informazioni sul rilevamento e sulla distribuzione, riportata di seguito nel presente bollettino.

Problemi noti. L'articolo della Microsoft Knowledge Base 2604930 descrive i problemi attualmente conosciuti che gli utenti potrebbero riscontrare installando questo aggiornamento per la protezione. L'articolo illustra inoltre le soluzioni consigliate in grado di risolvere questi problemi.

Software interessato e Software non interessato

Il seguente software è stato sottoposto a test per determinare quali versioni o edizioni siano interessate. Le altre versioni o edizioni non sono interessate dalla vulnerabilità o sono al termine del ciclo di vita del supporto. Per informazioni sulla disponibilità del supporto per la versione o l'edizione del software in uso, visitare il sito Web Ciclo di vita del supporto Microsoft.

Software interessato

Sistema operativo Windows e suoi componenti

Sistema operativoComponenteLivello massimo di impatto sulla protezioneLivello di gravità aggregatoBollettini sostituiti da questo aggiornamento
Windows XP
Windows XP Service Pack 3Microsoft .NET Framework 1.0 Service Pack 3
(KB2572066)
(solo Media Center Edition 2005 e Tablet PC Edition 2005)

Microsoft .NET Framework 1.1 Service Pack 1
(KB2572067)

Microsoft .NET Framework 2.0 Service Pack 2
(KB2572073)

Microsoft .NET Framework 4[1]
(KB2572078)
Esecuzione di codice in modalità remotaCriticoKB953295 in MS09-061 sostituito da KB2572066





KB2416447 in MS10-070 sostituito da KB2572067

KB983583 in MS10-060 sostituito da KB2572073


Nessun bollettino sostituito da KB2572078
Windows XP Professional x64 Edition Service Pack 2Microsoft .NET Framework 1.1 Service Pack 1
(KB2572067)

Microsoft .NET Framework 2.0 Service Pack 2
(KB2572073)

Microsoft .NET Framework 4[1]
(KB2572078)
Esecuzione di codice in modalità remotaCriticoKB2416447 in MS10-070 sostituito da KB2572067

KB983583 in MS10-060 sostituito da KB2572073


Nessun bollettino sostituito da KB2572078
Windows Server 2003
Windows Server 2003 Service Pack 2Microsoft .NET Framework 1.1 Service Pack 1
(KB2572069)

Microsoft .NET Framework 2.0 Service Pack 2
(KB2572073)

Microsoft .NET Framework 4[1]
(KB2572078)
Esecuzione di codice in modalità remotaCriticoKB953298 in MS09-061 sostituito da KB2572069


KB983583 in MS10-060 sostituito da KB2572073


Nessun bollettino sostituito da KB2572078
Windows Server 2003 x64 Edition Service Pack 2Microsoft .NET Framework 1.1 Service Pack 1
(KB2572067)

Microsoft .NET Framework 2.0 Service Pack 2
(KB2572073)

Microsoft .NET Framework 4[1]
(KB2572078)
Esecuzione di codice in modalità remotaCriticoKB2416447 in MS10-070 sostituito da KB2572067

KB983583 in MS10-060 sostituito da KB2572073


Nessun bollettino sostituito da KB2572078
Windows Server 2003 con SP2 per sistemi ItaniumMicrosoft .NET Framework 1.1 Service Pack 1
(KB2572067)

Microsoft .NET Framework 2.0 Service Pack 2
(KB2572073)

Microsoft .NET Framework 4[1]
(KB2572078)
Esecuzione di codice in modalità remotaCriticoKB2416447 in MS10-070 sostituito da KB2572067

KB983583 in MS10-060 sostituito da KB2572073


Nessun bollettino sostituito da KB2572078
Windows Vista
Windows Vista Service Pack 2Microsoft .NET Framework 1.1 Service Pack 1
(KB2572067)

Microsoft .NET Framework 2.0 Service Pack 2
(KB2572075)

Microsoft .NET Framework 4[1]
(KB2572078)
Esecuzione di codice in modalità remotaCriticoKB2416447 in MS10-070 sostituito da KB2572067

KB983589 in MS10-060 sostituito da KB2572075


Nessun bollettino sostituito da KB2572078
Windows Vista x64 Edition Service Pack 2Microsoft .NET Framework 1.1 Service Pack 1
(KB2572067)

Microsoft .NET Framework 2.0 Service Pack 2
(KB2572075)

Microsoft .NET Framework 4[1]
(KB2572078)
Esecuzione di codice in modalità remotaCriticoKB2416447 in MS10-070 sostituito da KB2572067

KB983589 in MS10-060 sostituito da KB2572075


Nessun bollettino sostituito da KB2572078
Windows Server 2008
Windows Server 2008 per sistemi a 32 bit Service Pack 2Microsoft .NET Framework 1.1 Service Pack 1**
(KB2572067)

Microsoft .NET Framework 2.0 Service Pack 2**
(KB2572075)

Microsoft .NET Framework 4**[1]
(KB2572078)
Esecuzione di codice in modalità remotaCriticoKB2416447 in MS10-070 sostituito da KB2572067

KB983589 in MS10-060 sostituito da KB2572075


Nessun bollettino sostituito da KB2572078
Windows Server 2008 per sistemi x64 Service Pack 2Microsoft .NET Framework 1.1 Service Pack 1**
(KB2572067)

Microsoft .NET Framework 2.0 Service Pack 2**
(KB2572075)

Microsoft .NET Framework 4**[1]
(KB2572078)
Esecuzione di codice in modalità remotaCriticoKB2416447 in MS10-070 sostituito da KB2572067

KB983589 in MS10-060 sostituito da KB2572075


Nessun bollettino sostituito da KB2572078
Windows Server 2008 per sistemi Itanium Service Pack 2Microsoft .NET Framework 1.1 Service Pack 1
(KB2572067)

Microsoft .NET Framework 2.0 Service Pack 2
(KB2572075)

Microsoft .NET Framework 4[1]
(KB2572078)
Esecuzione di codice in modalità remotaCriticoKB2416447 in MS10-070 sostituito da KB2572067

KB983589 in MS10-060 sostituito da KB2572075


Nessun bollettino sostituito da KB2572078
Windows 7
Windows 7 per sistemi 32-bitMicrosoft .NET Framework 3.5.1
(KB2572076)

Microsoft .NET Framework 4[1]
(KB2572078)
Esecuzione di codice in modalità remotaCriticoNessun bollettino sostituito da KB2572076


Nessun bollettino sostituito da KB2572078
Windows 7 per sistemi a 32 bit Service Pack 1Microsoft .NET Framework 3.5.1
(KB2572077)

Microsoft .NET Framework 4[1]
(KB2572078)
Esecuzione di codice in modalità remotaCriticoNessun bollettino sostituito da KB2572077


Nessun bollettino sostituito da KB2572078
Windows 7 per sistemi x64Microsoft .NET Framework 3.5.1
(KB2572076)

Microsoft .NET Framework 4[1]
(KB2572078)
Esecuzione di codice in modalità remotaCriticoNessun bollettino sostituito da KB2572076


Nessun bollettino sostituito da KB2572078
Windows 7 per sistemi x64 Service Pack 1Microsoft .NET Framework 3.5.1
(KB2572077)

Microsoft .NET Framework 4[1]
(KB2572078)
Esecuzione di codice in modalità remotaCriticoNessun bollettino sostituito da KB2572077


Nessun bollettino sostituito da KB2572078
Windows Server 2008 R2
Windows Server 2008 R2 per sistemi x64Microsoft .NET Framework 3.5.1*
(KB2572076)

Microsoft .NET Framework 4[1]
(KB2572078)
Esecuzione di codice in modalità remotaCriticoNessun bollettino sostituito da KB2572076


Nessun bollettino sostituito da KB2572078
Windows Server 2008 R2 per sistemi x64 Service Pack 1Microsoft .NET Framework 3.5.1*
(KB2572077)

Microsoft .NET Framework 4*[1]
(KB2572078)
Esecuzione di codice in modalità remotaCriticoNessun bollettino sostituito da KB2572077


Nessun bollettino sostituito da KB2572078
Windows Server 2008 R2 per sistemi ItaniumMicrosoft .NET Framework 3.5.1
(KB2572076)

Microsoft .NET Framework 4[1]
(KB2572078)
Esecuzione di codice in modalità remotaCriticoNessun bollettino sostituito da KB2572076


Nessun bollettino sostituito da KB2572078
Windows Server 2008 R2 per sistemi Itanium Service Pack 1Microsoft .NET Framework 3.5.1
(KB2572077)

Microsoft .NET Framework 4[1]
(KB2572078)
Esecuzione di codice in modalità remotaCriticoNessun bollettino sostituito da KB2572077


Nessun bollettino sostituito da KB2572078

*L'installazione Server Core è interessata da questo aggiornamento. Per le edizioni supportate di Windows Server 2008 o Windows Server 2008 R2, a questo aggiornamento si applica il medesimo livello di gravità indipendentemente dal fatto che l'installazione sia stata effettuata usando l'opzione Server Core o meno. Per ulteriori informazioni su questa modalità di installazione, vedere gli articoli di TechNet, Gestione di un'installazione Server Core e Manutenzione di un'installazione Server Core. Si noti che l'opzione di installazione di Server Core non è disponibile per alcune edizioni di Windows Server 2008 e Windows Server 2008 R2; vedere Opzioni di installazione Server Core a confronto.

**Le installazioni di Server Core non sono interessate. Le vulnerabilità affrontate da questo aggiornamento non interessano le edizioni supportate di Windows Server 2008 o Windows Server 2008 R2 come indicato, se sono state installate mediante l'opzione di installazione Server Core. Per ulteriori informazioni su questa modalità di installazione, vedere gli articoli di TechNet, Gestione di un'installazione Server Core e Manutenzione di un'installazione Server Core. Si noti che l'opzione di installazione di Server Core non è disponibile per alcune edizioni di Windows Server 2008 e Windows Server 2008 R2; vedere Opzioni di installazione Server Core a confronto.

[1].NET Framework 4 e .NET Framework 4 Client Profile interessati. Le versioni 4 dei redistributable package .NET Framework sono disponibili in due profili: .NET Framework 4 e .NET Framework 4 Client Profile. .NET Framework 4 Client Profile è un sottoinsieme di .NET Framework 4. La vulnerabilità risolta in questo aggiornamento interessa sia .NET Framework 4 sia .NET Framework 4 Client Profile. Per ulteriori informazioni, vedere l'articolo di MSDN, Installazione di .NET Framework.

Strumenti e software Microsoft per gli sviluppatori

Sistema operativoLivello massimo di impatto sulla protezioneLivello di gravità aggregatoBollettini sostituiti da questo aggiornamento
Microsoft Silverlight 4
Microsoft Silverlight 4 installato in Mac
(KB2617986)
Esecuzione di codice in modalità remotaCriticoNessuno
Microsoft Silverlight 4 installato in tutte le versioni supportate dei client Microsoft Windows
(KB2617986)
Esecuzione di codice in modalità remotaCriticoNessuno
Microsoft Silverlight 4 installato in tutte le versioni supportate dei server Microsoft Windows**
(KB2617986)
Esecuzione di codice in modalità remotaCriticoNessuno

**Le installazioni di Server Core non sono interessate. Le vulnerabilità affrontate da questo aggiornamento non interessano le edizioni supportate di Windows Server 2008 o Windows Server 2008 R2 come indicato, se sono state installate mediante l'opzione di installazione Server Core. Per ulteriori informazioni su questa modalità di installazione, vedere gli articoli di TechNet, Gestione di un'installazione Server Core e Manutenzione di un'installazione Server Core. Si noti che l'opzione di installazione di Server Core non è disponibile per alcune edizioni di Windows Server 2008 e Windows Server 2008 R2; vedere Opzioni di installazione Server Core a confronto.

Software non interessato

Sistema operativo
Microsoft .NET Framework 3.5 Service Pack 1

Domande frequenti sull'aggiornamento per la protezione

Informazioni sulle vulnerabilità

Livelli di gravità e identificatori della vulnerabilità

Vulnerabilità legata all'ereditarietà delle classi in .NET Framework - CVE-2011-1253

Informazioni sull'aggiornamento

Strumenti e informazioni sul rilevamento e sulla distribuzione

Distribuzione dell'aggiornamento per la protezione

Altre informazioni

Ringraziamenti

Microsoft ringrazia i seguenti utenti per aver collaborato alla protezione dei sistemi dei clienti:

Microsoft Active Protections Program (MAPP)

Per migliorare il livello di protezione offerto ai clienti, Microsoft fornisce ai principali fornitori di software di protezione i dati relativi alle vulnerabilità in anticipo rispetto alla pubblicazione mensile dell'aggiornamento per la protezione. I fornitori di software di protezione possono servirsi di tali dati per fornire ai clienti delle protezioni aggiornate tramite software o dispositivi di protezione, quali antivirus, sistemi di rilevamento delle intrusioni di rete o sistemi di prevenzione delle intrusioni basati su host. Per verificare se tali protezioni attive sono state rese disponibili dai fornitori di software di protezione, visitare i siti Web relativi alle protezioni attive pubblicati dai partner del programma, che sono elencati in Microsoft Active Protections Program (MAPP) Partners.

Supporto

  • Per usufruire dei servizi del supporto tecnico, visitare il sito Web del Security Support o contattare 1-866-PCSAFETY. Le chiamate al supporto tecnico relative agli aggiornamenti per la protezione sono gratuite. Per ulteriori informazioni sulle opzioni di supporto disponibili, visitare il sito Microsoft Aiuto & Supporto.
  • I clienti internazionali possono ottenere assistenza tecnica presso le filiali Microsoft locali. Il supporto relativo agli aggiornamenti di protezione è gratuito. Per ulteriori informazioni su come contattare Microsoft per ottenere supporto, visitare il sito Web del supporto internazionale.

Dichiarazione di non responsabilità

Le informazioni disponibili nella Microsoft Knowledge Base sono fornite "come sono" senza garanzie di alcun tipo. Microsoft non rilascia alcuna garanzia, esplicita o implicita, inclusa la garanzia di commerciabilità e di idoneità per uno scopo specifico. Microsoft Corporation o i suoi fornitori non saranno, in alcun caso, responsabili per danni di qualsiasi tipo, inclusi i danni diretti, indiretti, incidentali, consequenziali, la perdita di profitti e i danni speciali, anche qualora Microsoft Corporation o i suoi fornitori siano stati informati della possibilità del verificarsi di tali danni. Alcuni stati non consentono l'esclusione o la limitazione di responsabilità per danni diretti o indiretti e, dunque, la sopracitata limitazione potrebbe non essere applicabile.

Versioni

  • V1.0 (11 ottobre 2011): Pubblicazione del bollettino.
  • V1.1 (19 ottobre 2011): Sono state corrette le informazioni sull'opzione Installazione senza riavvio per Microsoft .NET Framework 1.1 Service Pack 1. La modifica è esclusivamente informativa. Non sono previste modifiche ai file di aggiornamento per la protezione o per la logica di rilevamento.
  • V1.2 (26 ottobre 2011): è stata corretta l'applicabilità dell'installazione Server Core per .NET Framework 4 in Windows Server 2008 R2 per i sistemi x64.
  • V1.3 (10 luglio 2012): Microsoft ha rivisto questo bollettino per comunicare una modifica minore relativa al rilevamento per KB2572073 per consentire a Microsoft .NET Framework 2.0 Service Pack 2 di correggere un problema di installazione. Non sono previsti aggiornamenti ai file sull'aggiornamento per la protezione. I clienti che hanno già aggiornato i propri sistemi non devono eseguire ulteriori operazioni.