Riepilogo dei bollettini Microsoft sulla sicurezza - maggio 2012
Data di pubblicazione: | Aggiornamento:
Versione: 2.1
Questo riepilogo elenca i bollettini sulla sicurezza rilasciati a maggio 2012.
Con il rilascio dei bollettini sulla sicurezza di maggio 2012, questo riepilogo dei bollettini sostituisce la notifica anticipata relativa al rilascio di bollettini pubblicata originariamente in data 3 maggio 2012. Per ulteriori informazioni su questo servizio, vedere la Notifica anticipata relativa al rilascio di bollettini Microsoft sulla sicurezza.
Per informazioni su come ricevere automaticamente una notifica ogni volta che viene rilasciato un bollettino Microsoft sulla sicurezza, vedere il servizio di notifica sulla sicurezza Microsoft.
Microsoft mette a disposizione un webcast per rispondere alle domande dei clienti su questi bollettini in data 9 maggio 2012 alle 11:00 ora del Pacifico (USA e Canada). Registrazione immediata per i Webcast dei bollettini sulla sicurezza di maggio. Dopo questa data, il webcast sarà disponibile su richiesta. Per ulteriori informazioni, vedere i riepiloghi e i webcast dei bollettini Microsoft sulla sicurezza.
Microsoft fornisce anche informazioni per aiutare i clienti a definire le priorità degli aggiornamenti mensili rispetto agli aggiornamenti non correlati alla protezione pubblicati lo stesso giorno degli aggiornamenti mensili. Vedere la sezione Altre informazioni.
Informazioni sui bollettini
Riepiloghi
La seguente tabella riassume i bollettini sulla sicurezza di questo mese in ordine di gravità.
Per ulteriori informazioni sul software interessato, vedere la sezione successiva, Software interessato e percorsi per il download.
| ID bollettino | Titolo del bollettino e riepilogo | Livello di gravità massimo e impatto della vulnerabilità | Necessità di riavvio | Software interessato |
|---|---|---|---|---|
| MS12-029 | Una vulnerabilità in Microsoft Word può consentire l'esecuzione di codice in modalità remota (2680352) Questo aggiornamento per la protezione risolve una vulnerabilità di Microsoft Office che è stata segnalata privatamente. La vulnerabilità può consentire l'esecuzione di codice in modalità remota se un utente apre un file RTF appositamente predisposto. Sfruttando tale vulnerabilità, un utente malintenzionato potrebbe acquisire gli stessi diritti utente dell'utente corrente. Pertanto, gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione. | Critico Esecuzione di codice in modalità remota | È necessario il riavvio | Microsoft Office |
| MS12-034 | Aggiornamento per la protezione combinato per Microsoft Office, Windows, .NET Framework e Silverlight (2681578) Questo aggiornamento per la protezione risolve tre vulnerabilità divulgate pubblicamente e sette vulnerabilità segnalate privatamente in Microsoft Office, Microsoft Windows, Microsoft .NET Framework e Microsoft Silverlight. La vulnerabilità potrebbe consentire l'esecuzione di codice in modalità remota se un utente apre un documento appositamente predisposto o visita una pagina Web dannosa che incorpora i file di caratteri TrueType. Non è in alcun modo possibile obbligare gli utenti a visitare un sito Web appositamente predisposto. L'utente malintenzionato deve invece convincere gli utenti a visitare il sito Web, in genere inducendoli a fare clic su un collegamento in un messaggio di posta elettronica o di Instant Messenger che li indirizzi al sito. | Critico Esecuzione di codice in modalità remota | È necessario il riavvio | Microsoft Windows, Microsoft .NET Framework, Microsoft Silverlight, Microsoft Office |
| MS12- 035 | Alcune vulnerabilità in .NET Framework possono consentire l'esecuzione di codice in modalità remota (2693777) Questo aggiornamento per la protezione risolve due vulnerabilità in .NET Framework che sono state segnalate privatamente. Le vulnerabilità possono consentire l'esecuzione di codice in modalità remota su un sistema client se un utente visualizza una pagina Web appositamente predisposta mediante un browser Web in grado di eseguire applicazioni browser XAML (XBAP). Pertanto, gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione. | Critico Esecuzione di codice in modalità remota | È necessario il riavvio | Microsoft Windows, Microsoft .NET Framework |
| MS12-030 | Alcune vulnerabilità in Microsoft Office possono consentire l'esecuzione di codice in modalità remota (2663830) Questo aggiornamento per la protezione risolve una vulnerabilità divulgata pubblicamente e cinque vulnerabilità segnalate privatamente di Microsoft Office. Queste vulnerabilità possono consentire l'esecuzione di codice in modalità remota se un utente apre un file di Office appositamente predisposto. Sfruttando una di queste vulnerabilità, un utente malintenzionato può ottenere gli stessi diritti utente dell'utente connesso. Pertanto, gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione. | Importante Esecuzione di codice in modalità remota | È necessario il riavvio | Microsoft Office |
| MS12-031 | Una vulnerabilità in Microsoft Visio Viewer 2010 può consentire l'esecuzione di codice in modalità remota (2597981) Questo aggiornamento per la protezione risolve una vulnerabilità di Microsoft Office che è stata segnalata privatamente. La vulnerabilità può consentire l'esecuzione di codice in modalità remota se un utente apre un file Visio appositamente predisposto. Sfruttando tale vulnerabilità, un utente malintenzionato potrebbe acquisire gli stessi diritti utente dell'utente corrente. Pertanto, gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione. | Importante Esecuzione di codice in modalità remota | È necessario il riavvio | Microsoft Office |
| MS12-032 | Una vulnerabilità in TCP/IP può consentire l'acquisizione di privilegi più elevati (2688338) Questo aggiornamento per la protezione risolve una vulnerabilità segnalata privatamente e una vulnerabilità divulgata pubblicamente relative a Microsoft Windows. La più grave di queste vulnerabilità può consentire l'acquisizione di privilegi più elevati se un utente malintenzionato accede a un sistema ed esegue un'applicazione appositamente predisposta. | Importante Acquisizione di privilegi più elevati | È necessario il riavvio | Microsoft Windows |
| MS12-033 | Una vulnerabilità legata al Gestore partizioni di Windows può consentire l'acquisizione di privilegi più elevati (2690533) Questo aggiornamento per la protezione risolve una vulnerabilità di Microsoft Windows che è stata segnalata privatamente. La vulnerabilità può consentire l'acquisizione di privilegi più elevati se un utente malintenzionato accede ad un sistema ed esegue un'applicazione appositamente predisposta. Per sfruttare la vulnerabilità, è necessario disporre di credenziali di accesso valide ed essere in grado di accedere al sistema in locale. | Importante Acquisizione di privilegi più elevati | È necessario il riavvio | Microsoft Windows |
Exploitability Index
La seguente tabella fornisce una valutazione di rischio per ciascuna delle vulnerabilità affrontate nei bollettini di questo mese. Le vulnerabilità vengono elencate in base ai codici identificativi dei bollettini e ai codici CVE. I bollettini includono solo le vulnerabilità che presentano un livello di gravità critico o importante.
Come utilizzare questa tabella
Utilizzare questa tabella per verificare le probabilità di esecuzione di codice e attacchi di tipo Denial of Service entro 30 giorni dalla pubblicazione del bollettino sulla sicurezza per ciascuno degli aggiornamenti per la protezione che è necessario installare. Si suggerisce di analizzare ciascuna delle voci riportate di seguito, confrontandole con la propria configurazione specifica, al fine di stabilire la corretta priorità di distribuzione degli aggiornamenti di questo mese. Per ulteriori informazioni sul significato dei livelli di gravità indicati e sul modo in cui vengono definiti, vedere Microsoft Exploitability Index.
Nelle colone seguenti, "Versione più recente del software" fa riferimento alla versione più recente del software in questione e "Versioni meno recenti del software" fa riferimento a tutte le versioni precedenti supportate del software in questione, come elencato nelle tabelle "Software interessato" o "Software non interessato" nel bollettino.
| ID bollettino | Titolo della vulnerabilità | ID CVE | Valutazione dell'Exploitability per la versione più recente del software | Valutazione dell'Exploitability per la versione meno recente del software | Valutazione dell'Exploitability relativa ad un attacco di tipo Denial of Service | Note fondamentali |
|---|---|---|---|---|---|---|
| MS12-029 | Vulnerabilità legata alla mancata corrispondenza di RTF | CVE-2012-0183 | Non interessato | 1 - Alta probabilità di sfruttamento della vulnerabilità | Non applicabile | (Nessuna) |
| MS12-030 | Vulnerabilità legata al danneggiamento della memoria del formato file Excel | CVE-2012-0141 | 3 - Scarsa probabilità di sfruttamento della vulnerabilità | 3 - Scarsa probabilità di sfruttamento della vulnerabilità | Non applicabile | (Nessuna) |
| MS12-030 | Vulnerabilità legata al danneggiamento della memoria del formato file Excel nel record OBJECTLINK | CVE-2012-0142 | 3 - Scarsa probabilità di sfruttamento della vulnerabilità | 3 - Scarsa probabilità di sfruttamento della vulnerabilità | Non applicabile | (Nessuna) |
| MS12-030 | Vulnerabilità legata al danneggiamento della memoria in Excel usando vari byte modificati | CVE-2012-0143 | Non interessato | 1 - Alta probabilità di sfruttamento della vulnerabilità | Non applicabile | Solo Microsoft Office 2003 è interessato. Le informazioni sulla vulnerabilità sono state divulgate pubblicamente. |
| MS12-030 | Vulnerabilità legata al danneggiamento della memoria del record SXLI in Excel | CVE-2012-0184 | 3 - Scarsa probabilità di sfruttamento della vulnerabilità | 1 - Alta probabilità di sfruttamento della vulnerabilità | Non applicabile | (Nessuna) |
| MS12-030 | Vulnerabilità legata all'overflow degli heap del record MergeCells in Excel | CVE-2012- 0185 | 2 - Difficile costruire il codice dannoso | 2 - Difficile costruire il codice dannoso | Non applicabile | (Nessuna) |
| MS12-030 | Vulnerabilità legata alla mancata corrispondenza dei tipi di analisi dei record di serie in Excel | CVE-2012-1847 | 1 - Alta probabilità di sfruttamento della vulnerabilità | 1 - Alta probabilità di sfruttamento della vulnerabilità | Non applicabile | (Nessuna) |
| MS12-031 | Vulnerabilità legata al danneggiamento della memoria del formato file VSD | CVE-2012-0018 | 1 - Alta probabilità di sfruttamento della vulnerabilità | Non interessato | Non applicabile | Questa vulnerabilità riguarda Visio Viewer 2010 e Visio Viewer 2010 Service Pack 1 (le uniche versioni supportate di Visio Viewer). |
| MS12-032 | Vulnerabilità legata all'elusione di Windows Firewall | CVE-2012-0174 | Non applicabile | Non applicabile | Non applicabile | Si tratta di una vulnerabilità legata all'elusione della funzione di protezione. |
| MS12-032 | Vulnerabilità legata alla condizione double free in TCP/IP | CVE-2012-0179 | 1 - Alta probabilità di sfruttamento della vulnerabilità | Non interessato | Permanente | Le informazioni sulla vulnerabilità sono state divulgate pubblicamente. |
| MS12-033 | Vulnerabilità legata alla Gestione configurazione di Plug and Play (PnP) | CVE-2012-0178 | 1 - Alta probabilità di sfruttamento della vulnerabilità | 1 - Alta probabilità di sfruttamento della vulnerabilità | Temporaneo | (Nessuna) |
| MS12-034 | Vulnerabilità legata all'analisi dei caratteri TrueType | CVE-2011-3402 | 1 - Alta probabilità di sfruttamento della vulnerabilità | 1 - Alta probabilità di sfruttamento della vulnerabilità | Permanente | Le informazioni sulla vulnerabilità sono state divulgate pubblicamente. |
| MS12-034 | Vulnerabilità legata all'analisi dei caratteri TrueType | CVE-2012-0159 | 1 - Alta probabilità di sfruttamento della vulnerabilità | 1 - Alta probabilità di sfruttamento della vulnerabilità | Permanente | (Nessuna) |
| MS12-034 | Vulnerabilità legata all'assegnazione del buffer in .NET Framework | CVE-2012-0162 | 1 - Alta probabilità di sfruttamento della vulnerabilità | Non interessato | Non applicabile | (Nessuna) |
| MS12-034 | Vulnerabilità legata al tipo di record GDI+ | CVE-2012- 0165 | 2 - Difficile costruire il codice dannoso | 1 - Alta probabilità di sfruttamento della vulnerabilità | Non applicabile | (Nessuna) |
| MS12-034 | Vulnerabilità legata all'overflow degli heap in GDI+ | CVE-2012-0167 | Non interessato | 1 - Alta probabilità di sfruttamento della vulnerabilità | Non applicabile | (Nessuna) |
| MS12-034 | Vulnerabilità legata alla condizione double free in Silverlight | CVE-2012-0176 | Non interessato | 1 - Alta probabilità di sfruttamento della vulnerabilità | Non applicabile | (Nessuna) |
| MS12-034 | Vulnerabilità legata alle finestre e ai messaggi | CVE-2012-0180 | 1 - Alta probabilità di sfruttamento della vulnerabilità | 1 - Alta probabilità di sfruttamento della vulnerabilità | Permanente | (Nessuna) |
| MS12-034 | Vulnerabilità legata al file di layout della tastiera | CVE-2012-0181 | 3 - Scarsa probabilità di sfruttamento della vulnerabilità | 1 - Alta probabilità di sfruttamento della vulnerabilità | Permanente | Le informazioni sulla vulnerabilità sono state divulgate pubblicamente. |
| MS12-034 | Vulnerabilità legata al calcolo della barra di scorrimento | CVE-2012-1848 | 1 - Alta probabilità di sfruttamento della vulnerabilità | 1 - Alta probabilità di sfruttamento della vulnerabilità | Permanente | (Nessuna) |
| MS12- 035 | Vulnerabilità legata alla deserializzazione in .NET Framework | CVE-2012-0160 | 1 - Alta probabilità di sfruttamento della vulnerabilità | 1 - Alta probabilità di sfruttamento della vulnerabilità | Non applicabile | (Nessuna) |
| MS12- 035 | Vulnerabilità legata alla deserializzazione in .NET Framework | CVE-2012-0161 | 1 - Alta probabilità di sfruttamento della vulnerabilità | 1 - Alta probabilità di sfruttamento della vulnerabilità | Non applicabile | (Nessuna) |
Software interessato e percorsi per il download
Le seguenti tabelle elencano i bollettini in base alla categoria del software e alla gravità del coinvolgimento.
Come utilizzare queste tabelle
Queste tabelle sono uno strumento per individuare gli aggiornamenti per la protezione che è necessario installare. Esaminare tutti i programmi e i componenti elencati per verificare se sono disponibili aggiornamenti per la protezione per la propria configurazione. Per ogni programma software o componente elencato, viene indicato il collegamento ipertestuale all'aggiornamento software disponibile e il livello di gravità dell'aggiornamento software.
Nota Può essere necessario installare più aggiornamenti per la protezione per ogni singola vulnerabilità. Per verificare quali aggiornamenti è necessario applicare, in base ai programmi o componenti installati nel sistema, esaminare attentamente la colonna relativa a ogni bollettino.
Sistema operativo Windows e suoi componenti
Note per MS12-034
[1].NET Framework 4 e .NET Framework 4 Client Profile interessati. Le versioni 4 dei redistributable package .NET Framework sono disponibili in due profili: .NET Framework 4 e .NET Framework 4 Client Profile. .NET Framework 4 Client Profile è un sottoinsieme di .NET Framework 4. La vulnerabilità risolta in questo aggiornamento interessa sia .NET Framework 4 sia .NET Framework 4 Client Profile. Per ulteriori informazioni, vedere l'articolo di MSDN, Installazione di .NET Framework.
[2]I livelli di gravità non si applicano a questo aggiornamento per il software interessato perché non esistono vettori d'attacco conosciuti per la vulnerabilità trattata in questo bollettino. Tuttavia, come misura di difesa in profondità, Microsoft consiglia ai clienti di questo software di applicare questo aggiornamento per la protezione.
[3]Questo aggiornamento si applica solo ai sistemi Windows Server 2008 se è stata installata e abilitata la funzionalità Esperienza desktop. Per ulteriori informazioni, vedere le Domande frequenti sull'aggiornamento MS12-034.
[4]Questo aggiornamento è applicabile solo ai sistemi Windows Server 2008 R2 se è stato installato e abilitato il componente Supporto per input penna della funzionalità Servizi di input penna e riconoscimento grafia opzionale. Per ulteriori informazioni, vedere le Domande frequenti sull'aggiornamento MS12-034.
Vedere ulteriori categorie software nella sezione Software interessato e percorsi per il download, per ulteriori file di aggiornamento sotto lo stesso identificativo del bollettino. Questo bollettino riguarda più di una categoria di software.
Note per MS12-035
[1].NET Framework 4 e .NET Framework 4 Client Profile interessati. Le versioni 4 dei redistributable package .NET Framework sono disponibili in due profili: .NET Framework 4 e .NET Framework 4 Client Profile. .NET Framework 4 Client Profile è un sottoinsieme di .NET Framework 4. La vulnerabilità risolta in questo aggiornamento interessa sia .NET Framework 4 sia .NET Framework 4 Client Profile. Per ulteriori informazioni, vedere l'articolo di MSDN, Installazione di .NET Framework.
Applicazioni e software Microsoft Office
| Applicazioni e componenti Microsoft Office | ||||
|---|---|---|---|---|
| Identificatore del bollettino | MS12-029 | MS12-034 | MS12-030 | MS12-031 |
| Livello di gravità aggregato | Critico | Importante | Importante | Nessuno |
| Microsoft Office 2003 Service Pack 3 | Microsoft Word 2003 Service Pack 3 (KB2598332) (Importante) | Microsoft Office 2003 Service Pack 3 (KB2598253) (Importante) | Microsoft Excel 2003 Service Pack 3 (KB2597086) (Importante) | Non applicabile |
| Microsoft Office 2007 Service Pack 2 | Microsoft Word 2007 Service Pack 2[1] (KB2596917) (Critico) | Microsoft Office 2007 Service Pack 2 (KB2596672) (Importante) Microsoft Office 2007 Service Pack 2 (KB2596792) (Importante) | Microsoft Excel 2007 Service Pack 2[1] (KB2597161) (Importante) Microsoft Office 2007 Service Pack 2 (KB2597969) (Importante) | Non applicabile |
| Microsoft Office 2007 Service Pack 3 | Microsoft Word 2007 Service Pack 3[1] (KB2596917) (Critico) | Microsoft Office 2007 Service Pack 3 (KB2596672) (Importante) Microsoft Office 2007 Service Pack 3 (KB2596792) (Importante) | Microsoft Excel 2007 Service Pack 3[1] (KB2597161) (Importante) Microsoft Office 2007 Service Pack 3 (KB2597969) (Importante) | Non applicabile |
| Microsoft Office 2010 (edizioni a 32 bit) | Non applicabile | Microsoft Office 2010 (edizioni a 32 bit) (KB2589337) (Importante) | Microsoft Excel 2010 (edizioni a 32 bit) (KB2597166) (Importante) Microsoft Office 2010 (edizioni a 32 bit) (KB2553371) (Importante) | Non applicabile |
| Microsoft Office 2010 Service Pack 1 (edizioni a 32 bit) | Non applicabile | Microsoft Office 2010 Service Pack 1 (edizioni a 32 bit) (KB2589337) (Importante) | Microsoft Excel 2010 Service Pack 1 (edizioni a 32 bit) (KB2597166) (Importante) Microsoft Office 2010 Service Pack 1 (edizioni a 32 bit) (KB2553371) (Importante) | Non applicabile |
| Microsoft Office 2010 (edizioni a 64 bit) | Non applicabile | Microsoft Office 2010 (edizioni a 64 bit) (KB2589337) (Importante) | Microsoft Excel 2010 (edizioni a 64 bit) (KB2597166) (Importante) Microsoft Office 2010 (edizioni a 64 bit) (KB2553371) (Importante) | Non applicabile |
| Microsoft Office 2010 Service Pack 1 (edizioni a 64 bit) | Non applicabile | Microsoft Office 2010 Service Pack 1 (edizioni a 64 bit) (KB2589337) (Importante) | Microsoft Excel 2010 Service Pack 1 (edizioni a 64 bit) (KB2597166) (Importante) Microsoft Office 2010 Service Pack 1 (edizioni a 64 bit) (KB2553371) (Importante) | Non applicabile |
| Microsoft Office per Mac | ||||
| Identificatore del bollettino | MS12-029 | MS12-034 | MS12-030 | MS12-031 |
| Livello di gravità aggregato | Importante | Nessuno | Importante | Nessuno |
| Microsoft Office 2008 per Mac | Microsoft Office 2008 per Mac (KB2665346) (Importante) | Non applicabile | Microsoft Office 2008 per Mac (KB2665346) (Importante) | Non applicabile |
| Microsoft Office per Mac 2011 | Microsoft Office per Mac 2011 (KB2665351) (Importante) | Non applicabile | Microsoft Office per Mac 2011 (KB2665351) (Importante) | Non applicabile |
| Altro software Microsoft Office | ||||
| Identificatore del bollettino | MS12-029 | MS12-034 | MS12-030 | MS12-031 |
| Livello di gravità aggregato | Importante | Nessuno | Importante | Importante |
| Microsoft Excel Viewer | Non applicabile | Non applicabile | Microsoft Excel Viewer[2] (KB2596842) (Importante) | Non applicabile |
| Microsoft Visio Viewer 2010 | Non applicabile | Non applicabile | Non applicabile | Microsoft Visio Viewer 2010 (edizione a 32 bit) (KB2597981) (Importante) Microsoft Visio Viewer 2010 Service Pack 1 (edizioni a 32 bit) (KB2597981) (Importante) Microsoft Visio Viewer 2010 (edizione a 64 bit) (KB2597981) (Importante) Microsoft Visio Viewer 2010 Service Pack 1 (edizione a 64-bit) (KB2597981) (Importante) |
| Pacchetto di compatibilità Microsoft Office Service Pack 2 | Pacchetto di compatibilità Microsoft Office Service Pack 2 (KB2596880) (Importante) | Non applicabile | Pacchetto di compatibilità Microsoft Office Service Pack 2 (KB2597162) (Importante) | Non applicabile |
| Pacchetto di compatibilità Microsoft Office Service Pack 3 | Pacchetto di compatibilità Microsoft Office Service Pack 3 (KB2596880) (Importante) | Non applicabile | Pacchetto di compatibilità Microsoft Office Service Pack 3 (KB2597162) (Importante) | Non applicabile |
Nota per MS12-029
[1]Per Microsoft Word 2007, oltre al pacchetto di aggiornamento per la protezione KB2596917, i clienti devono installare anche l'aggiornamento per la protezione per il pacchetto di compatibilità Microsoft Office (KB2596880) per essere protetti dalle vulnerabilità descritte in questo bollettino.
Note per MS12-030
[1]Per Microsoft Excel 2007, oltre al pacchetto di aggiornamento per la protezione KB2597161, i clienti devono installare anche l'aggiornamento per la protezione per il pacchetto di compatibilità Microsoft Office (KB2597162) per essere protetti dalle vulnerabilità descritte in questo bollettino.
[2]Microsoft Excel Viewer deve essere aggiornato a un livello di Service Pack supportato (Excel Viewer 2007 Service Pack 2 o Excel Viewer 2007 Service Pack 3) prima di installare questo aggiornamento. Per informazioni sui visualizzatori di Office supportati, vedere l'articolo della Microsoft Knowledge Base 979860.
Nota per MS12-034
Vedere ulteriori categorie software nella sezione Software interessato e percorsi per il download, per ulteriori file di aggiornamento sotto lo stesso identificativo del bollettino. Questo bollettino riguarda più di una categoria di software.
Strumenti e software Microsoft per gli sviluppatori
| Microsoft Silverlight 4 | |
|---|---|
| Identificatore del bollettino | MS12-034 |
| Livello di gravità aggregato | Critico |
| Microsoft Silverlight 4 | Microsoft Silverlight 4 installato in Mac (KB2690729) (Critico) Microsoft Silverlight 4 installato in tutte le versioni supportate dei client Microsoft Windows (KB2690729) (Critico) Microsoft Silverlight 4 installato in tutte le versioni supportate dei server Microsoft Windows (KB2690729) (Critico) |
| Microsoft Silverlight 5 | |
| Identificatore del bollettino | MS12-034 |
| Livello di gravità aggregato | Critico |
| Microsoft Silverlight 5 | Microsoft Silverlight 5 installato in Mac (KB2636927) (Critico) Microsoft Silverlight 5 installato in tutte le versioni supportate dei client Microsoft Windows (KB2636927) (Critico) Microsoft Silverlight 5 installato in tutte le versioni supportate dei server Microsoft Windows (KB2636927) (Critico) |
Nota per MS12-034
Vedere ulteriori categorie software nella sezione Software interessato e percorsi per il download, per ulteriori file di aggiornamento sotto lo stesso identificativo del bollettino. Questo bollettino riguarda più di una categoria di software.
Strumenti e informazioni sul rilevamento e sulla distribuzione
Security Central
Gestione del software e degli aggiornamenti per la protezione necessari per la distribuzione su server, desktop e computer portatili dell'organizzazione. Per ulteriori informazioni, vedere il sito Web TechNet Update Management Center. TechNet Security Center fornisce ulteriori informazioni sulla protezione dei prodotti Microsoft. Gli utenti di sistemi consumer possono visitare Sicurezza a casa, in cui queste informazioni sono disponibili anche facendo clic su "Latest Security Updates" (Ultimi aggiornamenti per la protezione).
Gli aggiornamenti per la protezione sono disponibili da Microsoft Update e Windows Update. Gli aggiornamenti per la protezione sono anche disponibili nell'Area download Microsoft. ed è possibile individuarli in modo semplice eseguendo una ricerca con la parola chiave "aggiornamento per la protezione".
Per i clienti che utilizzano Microsoft Office per Mac, Microsoft AutoUpdate per Mac può contribuire a mantenere aggiornato il proprio software Microsoft. Per ulteriori informazioni sull'utilizzo di Microsoft AutoUpdate per Mac, vedere Verifica automatica degli aggiornamenti software.
Infine, gli aggiornamenti per la protezione possono essere scaricati dal catalogo di Microsoft Update. Il catalogo di Microsoft Update è uno strumento che consente di eseguire ricerche, disponibile tramite Windows Update e Microsoft Update, che comprende aggiornamenti per la protezione, driver e service pack. Se si cerca in base al numero del bollettino sulla sicurezza (ad esempio, "MS07-036"), è possibile aggiungere tutti gli aggiornamenti applicabili al carrello (inclusi aggiornamenti in lingue diverse) e scaricarli nella cartella specificata. Per ulteriori informazioni sul catalogo di Microsoft Update, vedere le domande frequenti sul catalogo di Microsoft Update.
Informazioni sul rilevamento e sulla distribuzione
Microsoft fornisce informazioni sul rivelamento e la distribuzione degli aggiornamenti sulla protezione. Questa guida contiene raccomandazioni e informazioni che possono aiutare i professionisti IT a capire come utilizzare i vari strumenti per il rilevamento e la distribuzione di aggiornamenti per la protezione. Per ulteriori informazioni, vedere l'articolo della Microsoft Knowledge Base 961747.
Microsoft Baseline Security Analyzer
Microsoft Baseline Security Analyzer (MBSA) consente di eseguire la scansione di sistemi locali e remoti, al fine di rilevare eventuali aggiornamenti di protezione mancanti, nonché i più comuni errori di configurazione della protezione. Per ulteriori informazioni su MBSA, visitare il sito Microsoft Baseline Security Analyzer.
Windows Server Update Services
Utilizzando Windows Server Update Services (WSUS), gli amministratori possono eseguire la distribuzione dei più recenti aggiornamenti critici e per la protezione nei sistemi operativi Microsoft Windows 2000 e versioni successive, Office XP e versioni successive, Exchange Server 2003 ed SQL Server 2000 e in Microsoft Windows 2000 e versioni successive del sistema operativo.
Per ulteriori informazioni su come eseguire la distribuzione di questo aggiornamento per la protezione con Windows Server Update Services, visitare il sito Windows Server Update Services.
System Center Configuration Manager 2007
La Gestione aggiornamenti software di Configuration Manager 2007 semplifica la consegna e la gestione degli aggiornamenti dei sistemi IT in tutta l'azienda. Con Configuration Manager 2007, gli amministratori IT possono consegnare gli aggiornamenti dei prodotti Microsoft a diverse periferiche compresi desktop, portatili, server e dispositivi mobili.
La valutazione automatica della vulnerabilità disponibile in Configuration Manager 2007 rileva la necessità di effettuare gli aggiornamenti ed invia relazioni sulle azioni consigliate. La Gestione aggiornamenti software di Configuration Manager 2007 si basa su Microsoft Windows Software Update Services (WSUS), un'infrastruttura di aggiornamento tempestiva conosciuta agli amministratori IT in tutto il mondo. Per ulteriori informazioni sulle modalità con cui gli amministratori possono utilizzare Configuration Manager 2007 per implementare gli aggiornamenti, vedere Gestione aggiornamenti software. Per ulteriori informazioni su Configuration Manager, visitare System Center Configuration Manager.
Systems Management Server 2003
Microsoft Systems Management Server (SMS) offre una soluzione aziendale altamente configurabile per la gestione degli aggiornamenti. Tramite SMS gli amministratori possono identificare i sistemi Windows che richiedono gli aggiornamenti per la protezione ed eseguire la distribuzione controllata di tali aggiornamenti in tutta l'azienda, riducendo al minimo le eventuali interruzioni del lavoro degli utenti finali.
Nota System Management Server 2003 non è più incluso nel supporto "Mainstream" a partire dal 12 gennaio 2010. Per ulteriori informazioni sul ciclo di vita dei prodotti, visitare Ciclo di vita del supporto Microsoft. È disponibile la nuova versione di SMS, System Center Configuration Manager 2007; vedere anche System Center Configuration Manager 2007.
Per ulteriori informazioni sulle modalità con cui gli amministratori possono utilizzare SMS 2003 per implementare gli aggiornamenti per la protezione, vedere Scenari e procedure per Microsoft Systems Management Server 2003: Distribuzione software e gestione patch. Per informazioni su SMS, visitare il sito Microsoft Systems Management Server TechCenter.
Nota SMS utilizza Microsoft Baseline Security Analyzer per offrire il più ampio supporto possibile per il rilevamento e la distribuzione degli aggiornamenti inclusi nei bollettini sulla sicurezza. Alcuni aggiornamenti non possono essere tuttavia rilevati tramite questi strumenti. In questi casi, per applicare gli aggiornamenti a computer specifici è possibile utilizzare le funzionalità di inventario di SMS. Per ulteriori informazioni su questa procedura, vedere la sezione per la distribuzione degli aggiornamenti software utilizzando la funzione di distribuzione software SMS. Alcuni aggiornamenti per la protezione richiedono diritti di amministrazione dopo il riavvio del sistema. Per installare tali aggiornamenti è possibile utilizzare Elevated Rights Deployment Tool (disponibile nello SMS 2003 Administration Feature Pack).
Update Compatibility Evaluator e Application Compatibility Toolkit
Gli aggiornamenti vanno spesso a sovrascrivere gli stessi file e le stesse impostazioni del Registro di sistema che sono necessari per eseguire le applicazioni. Ciò può scatenare delle incompatibilità e aumentare il tempo necessario per installare gli aggiornamenti per la protezione. I componenti del programma Update Compatibility Evaluator, incluso nell'Application Compatibility Toolkit, consentono di semplificare il testing e la convalida degli aggiornamenti di Windows, verificandone la compatibilità con le applicazioni già installate.
L'Application Compatibility Toolkit (ACT) contiene gli strumenti e la documentazione necessari per valutare e attenuare i problemi di compatibilità tra le applicazioni prima di installare Windows Vista, un aggiornamento di Windows, un aggiornamento Microsoft per la protezione o una nuova versione di Windows Internet Explorer nell'ambiente in uso.
Altre informazioni
Strumento di rimozione software dannoso di Microsoft Windows
Microsoft ha rilasciato una versione aggiornata dello strumento di rimozione del software dannoso su Windows Update, Microsoft Update, i Windows Server Update Services nell'Area download.
Aggiornamenti non correlati alla protezione priorità su MU, WU e WSUS
Per informazioni sulle versioni non correlate alla protezione in Windows Update e Microsoft Update, vedere:
- Articolo della Microsoft Knowledge Base 894199: Descrizione delle modifiche nei contenuti relative a Software Update Services e Windows Server Update Services. Include tutti i contenuti Windows.
- Aggiornamenti precedenti per Windows Server Update Services. Visualizza tutti gli aggiornamenti nuovi, rivisti e rilasciati nuovamente per i prodotti Microsoft diversi da Microsoft Windows.
Microsoft Active Protections Program (MAPP)
Per migliorare il livello di protezione offerto ai clienti, Microsoft fornisce ai principali fornitori di software di protezione i dati relativi alle vulnerabilità in anticipo rispetto alla pubblicazione mensile dell'aggiornamento per la protezione. I fornitori di software di protezione possono servirsi di tali dati per fornire ai clienti delle protezioni aggiornate tramite software o dispositivi di protezione, quali antivirus, sistemi di rilevamento delle intrusioni di rete o sistemi di prevenzione delle intrusioni basati su host. Per verificare se tali protezioni attive sono state rese disponibili dai fornitori di software di protezione, visitare i siti Web relativi alle protezioni attive pubblicati dai partner del programma, che sono elencati in Microsoft Active Protections Program (MAPP) Partners.
Strategie di protezione e community
Strategie per la gestione degli aggiornamenti
Per ulteriori informazioni sulle procedure consigliate da Microsoft per l'applicazione degli aggiornamenti per la protezione, consultare le Informazioni sulla protezione per la gestione degli aggiornamenti.
Download di altri aggiornamenti per la protezione
Sono disponibili aggiornamenti per altri problemi di protezione nei seguenti siti:
- Gli aggiornamenti per la protezione sono disponibili nell'Area download Microsoft. ed è possibile individuarli in modo semplice eseguendo una ricerca con la parola chiave "aggiornamento per la protezione".
- Gli aggiornamenti per i sistemi consumer sono disponibili in Microsoft Update.
- Gli aggiornamenti per la protezione di questo mese presenti in Windows Update sono disponibili in Immagine CD ISO aggiornamenti della protezione e ad alta priorità nell'Area download. Per ulteriori informazioni, vedere l'articolo della Microsoft Knowledge Base 913086.
IT Pro Security Community
Imparare a migliorare la protezione e ottimizzare l'infrastruttura IT, collaborare con altri professionisti IT sugli argomenti di protezione in IT Pro Security Community.
Ringraziamenti
Microsoft ringrazia i seguenti utenti per aver collaborato alla protezione dei sistemi dei clienti:
- Un ricercatore anonimo che collabora con Zero Day Initiative di TippingPoint, per aver segnalato un problema descritto nel bollettino MS12-029
- Omair per aver segnalato due problemi descritti nel bollettino MS12-030
- Omair, che collabora con VeriSign iDefense Labs, per aver segnalato un problema descritto nel bollettino MS12-030
- Sean Larsson e Jun Mao, che collaborano con VeriSign iDefense Labs, per aver segnalato due problemi descritti nel bollettino MS12-030
- Un ricercatore anonimo che collabora con Zero Day Initiative di TippingPoint, per aver segnalato un problema descritto nel bollettino MS12-030
- Luigi Auriemma, che collabora con VeriSign iDefense Labs, per aver segnalato un problema descritto nel bollettino MS12-031
- Bojan Zdrnja di INFIGO IS per aver segnalato un problema descritto nel bollettino MS12-032
- Anatoliy Glagolev di Genesys Telecommunications per aver collaborato con noi su un problema descritto nel bollettino MS12-032
- Alin Rad Pop, che collabora con Zero Day Initiative di Tipping Point, per aver segnalato un problema descritto nel bollettino MS12-034
- Vitaliy Toropov, che collabora con Zero Day Initiative di Tipping Point, per aver segnalato un problema descritto nel bollettino MS12-034
- Omair per aver segnalato un problema descritto nel bollettino MS12-034
- Un ricercatore anonimo, che collabora con VeriSign iDefense Labs, per aver segnalato un problema descritto nel bollettino MS12-034
- Un ricercatore anonimo, che collabora con VeriSign iDefense Labs, per aver segnalato un problema descritto nel bollettino MS12-034
- Alex Plaskett di MWR InfoSecurity per aver segnalato un problema descritto nel bollettino MS12-034
- Tarjei Mandt di Azimuth Security per aver segnalato un problema descritto nel bollettino MS12-034
- Nicolas Economou di Core Security Technologies per aver segnalato un problema descritto nel bollettino MS12-034
- Geoff McDonald di Symantec per aver segnalato un problema descritto nel bollettino MS12-034
- h4ckmp per aver segnalato un problema descritto nel bollettino MS12-034
- James Forshaw di Context Information Security per aver segnalato due problemi descritti nel bollettino MS12-035
Supporto
- I prodotti software elencati sono stati sottoposti a test per determinare quali versioni sono interessate dalla vulnerabilità. Le altre versioni sono al termine del ciclo di vita del supporto. Per informazioni sulla disponibilità del supporto per la versione del software in uso, visitare il sito Web Ciclo di vita del supporto Microsoft.
- Soluzioni per la protezione per i professionisti IT: Risoluzione dei problemi e supporto per la protezione in TechNet
- Guida alla protezione contro virus e malware del computer che esegue Windows: Centro di supporto Virus a sicurezza
- Supporto locale in base al proprio paese: Supporto internazionale
Dichiarazione di non responsabilità
Le informazioni disponibili nella Microsoft Knowledge Base sono fornite "come sono" senza garanzie di alcun tipo. Microsoft non rilascia alcuna garanzia, esplicita o implicita, inclusa la garanzia di commerciabilità e di idoneità per uno scopo specifico. Microsoft Corporation o i suoi fornitori non saranno, in alcun caso, responsabili per danni di qualsiasi tipo, inclusi i danni diretti, indiretti, incidentali, consequenziali, la perdita di profitti e i danni speciali, anche qualora Microsoft Corporation o i suoi fornitori siano stati informati della possibilità del verificarsi di tali danni. Alcuni stati non consentono l'esclusione o la limitazione di responsabilità per danni diretti o indiretti e, dunque, la sopracitata limitazione potrebbe non essere applicabile.
Versioni
- V1.0 (08 maggio 2012): Pubblicazione del riepilogo dei bollettini.
- V1.1 (9 maggio 2012): È stato aggiornato il titolo della vulnerabilità CVE-2012-1847 nell'Exploitability Index.
- V2.0 (11 maggio 2012): Per MS12-035, è stato corretto il numero dell'aggiornamento per la protezione in KB2656353 per tutti i sistemi supportati che eseguono Microsoft .NET Framework 1.1 Service Pack 1, eccetto quando installato su Windows Server 2003 Service Pack 2. Non sono previsti aggiornamenti ai file sull'aggiornamento per la protezione. I clienti che hanno già installato questo aggiornamento non devono eseguire ulteriori operazioni.
- V2.1 (22 maggio 2012): Per MS12-034, sono state aggiunte delle note a piè di pagina per l'aggiornamento per la protezione KB2660649 per Windows Server 2008 e Windows Server 2008 R2. Non sono previste modifiche ai file di aggiornamento per la protezione. I clienti che hanno già installato questo aggiornamento non devono eseguire ulteriori operazioni.