Esporta (0) Stampa
Espandi tutto

Bollettino Microsoft sulla sicurezza MS14-014 - Importante

Una vulnerabilità in Silverlight può consentire l'elusione della funzione di protezione (2932677)

Data di pubblicazione: martedì 11 marzo 2014

Versione: 1.0

Informazioni generali

Riepilogo

Questo aggiornamento per la protezione risolve una vulnerabilità di Microsoft Silverlight che è stata segnalata privatamente. La vulnerabilità può consentire l'elusione della funzione di protezione se un utente malintenzionato ospita un sito Web che contiene un'applicazione Silverlight appositamente predisposta, progettata per sfruttare questa vulnerabilità, e convince un utente a visualizzare il sito Web. Tuttavia, non è in alcun modo possibile per un utente malintenzionato obbligare gli utenti a visitare tale sito Web. L'utente malintenzionato deve convincere le vittime a visitare un sito Web, in genere inducendole a fare clic su un collegamento in un messaggio di posta elettronica o di Instant Messenger che le indirizzi al sito. Può inoltre far visualizzare contenuti Web appositamente predisposti utilizzando banner pubblicitari o altre modalità di invio di contenuti Web ai sistemi interessati.

Questo aggiornamento per la protezione è considerato di livello importante per Microsoft Silverlight 5 e Microsoft Silverlight 5 Developer Runtime installati in Mac e in tutte le versioni supportate di Microsoft Windows. Per ulteriori informazioni, vedere la sottosezione Software interessato e Software non interessato in questa sezione.

Questo aggiornamento per la protezione aggiorna le versioni precedenti di Silverlight alla versione 5.1.30214.0, che è la prima versione di Silverlight 5 non interessata dalla vulnerabilità. L'aggiornamento risolve la vulnerabilità modificando la funzionalità in modo da mantenere l'integrità di DEP (Data Execution Prevention) e ASLR (Address Space Layout Randomization) in Silverlight. Per ulteriori informazioni su tale vulnerabilità, vedere la sottosezione Domande frequenti nella sezione successiva, Informazioni sulle vulnerabilità.

Raccomandazione. Se la funzionalità Aggiornamenti automatici è abilitata, gli utenti non devono intraprendere alcuna azione, poiché questo aggiornamento per la protezione viene scaricato e installato automaticamente. Gli utenti che non hanno attivato la funzionalità Aggiornamenti automatici devono verificare la disponibilità di aggiornamenti e installare questo aggiornamento manualmente. Per informazioni sulle opzioni di configurazione specifiche relative agli aggiornamenti automatici, vedere l'articolo della Microsoft Knowledge Base 294871.

Per gli amministratori e le installazioni delle organizzazioni o gli utenti finali che desiderano installare manualmente questo aggiornamento per la protezione, Microsoft consiglia di applicare l'aggiornamento quanto prima utilizzando il software di gestione degli aggiornamenti o verificando la disponibilità degli aggiornamenti tramite il servizio Microsoft Update.

Vedere anche la sezione, Strumenti e informazioni sul rilevamento e sulla distribuzione, riportata di seguito nel presente bollettino.

Articolo della Microsoft Knowledge Base

Articolo della Microsoft Knowledge Base 2932677
Informazioni sui fileNo
Hash SHA1/SHA2No
Problemi notiNessuno

Software interessato e Software non interessato

Il seguente software è stato sottoposto a test per determinare quali versioni o edizioni siano interessate. Le altre versioni o edizioni non sono interessate dalla vulnerabilità o sono al termine del ciclo di vita del supporto. Per informazioni sulla disponibilità del supporto per la versione o l'edizione del software in uso, visitare il sito Web Ciclo di vita del supporto Microsoft.

Software interessato

Sistema operativoLivello massimo di impatto sulla protezioneLivello di gravità aggregatoAggiornamenti sostituiti
Microsoft Silverlight 5
Microsoft Silverlight 5 installato in Mac
(2932677)
Elusione della funzione di protezioneImportante2890788 in MS13-087
Microsoft Silverlight 5 Developer Runtime installato in Mac
(2932677)
Elusione della funzione di protezioneImportante2890788 in MS13-087
Microsoft Silverlight 5 installato in tutte le versioni supportate dei client Microsoft Windows
(2932677)
Elusione della funzione di protezioneImportante2890788 in MS13-087
Microsoft Silverlight 5 Developer Runtime installato in tutte le versioni supportate dei client Microsoft Windows
(2932677)
Elusione della funzione di protezioneImportante2890788 in MS13-087
Microsoft Silverlight 5 installato in tutte le versioni supportate dei server Microsoft Windows
(2932677)
Elusione della funzione di protezioneImportante2890788 in MS13-087
Microsoft Silverlight 5 Developer Runtime installato in tutte le versioni supportate dei server Microsoft Windows
(2932677)
Elusione della funzione di protezioneImportante2890788 in MS13-087

Quali browser Web supportano le applicazioni Microsoft Silverlight?
Per poter eseguire le applicazioni Microsoft Silverlight, la maggior parte dei browser Web, compreso Microsoft Internet Explorer, richiede che sia installato Microsoft Silverlight e che sia attivato il plug-in corrispondente. Per ulteriori informazioni su Microsoft Silverlight, vedere il sito ufficiale di Microsoft Silverlight. Fare riferimento alla documentazione del proprio browser per ulteriori informazioni su come disattivare o rimuovere i plug-in.

Quali versioni di Microsoft Silverlight 5 sono interessate dalla vulnerabilità?
La build 5.1.30214.0 di Microsoft Silverlight, che era la build corrente di Microsoft Silverlight al momento della prima versione di questo bollettino, non è interessata poiché ha risolto la vulnerabilità. Le build precedenti alla versione 5.1.30214.0 di Microsoft Silverlight sono interessate dalla vulnerabilità.

Come è possibile conoscere quale versione e quale build di Microsoft Silverlight sono attualmente installate nel sistema in uso?
Se Microsoft Silverlight è già installato nel computer, è possibile visitare la pagina Get Microsoft Silverlight, che indica quale versione e quale build di Microsoft Silverlight sono attualmente installate nel sistema in uso. In alternativa, è possibile utilizzare la funzione Gestione componenti aggiuntivi delle versioni attuali di Microsoft Internet Explorer per determinare le informazioni relative alla versione e alla build attualmente installate.

Si può anche controllare manualmente il numero di versione del file sllauncher.exe che si trova nella directory "%ProgramFiles%\Microsoft Silverlight" (sui sistemi Microsoft Windows x86) o nella directory "%ProgramFiles(x86)%\Microsoft Silverlight" (sui sistemi Microsoft Windows x64).

Inoltre, in Microsoft Windows, le informazioni relative alla versione e alla build di Microsoft Silverlight attualmente installate sono disponibili nel Registro di sistema in [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Silverlight]:Version sui sistemi Microsoft Windows x86 o in [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Silverlight]:Version sui sistemi Microsoft Windows x64.

Nei sistemi operativi Apple Mac, le informazioni relative alla versione e alla build della versione di Microsoft Silverlight attualmente installate possono essere individuate come indicato di seguito:

  1. Aprire Finder
  2. Selezionare l'unità di sistema ed andare alla cartella Internet Plug-ins - Library
  3. Fare clic con il pulsante destro del mouse su Silverlight.Plugin (se il mouse in uso ha un solo pulsante, premere il tasto CTRL facendo clic sul file) per visualizzare il menu di scelta rapida, quindi fare clic su Mostra contenuti pacchetto
  4. Nella cartella dei contenuti, individuare il fle info.plist e aprirlo con un editor. Il file contiene una voce simile a quella seguente, che indica il numero di versione:

    SilverlightVersion
    5.1.30214.0

La versione installata con questo aggiornamento per la protezione per Microsoft Silverlight 5 è la 5.1.30214.0. Se il numero di versione di Microsoft Silverlight 5 in uso è superiore o uguale a questo numero di versione, il sistema in uso non è vulnerabile.

Come si effettua l'aggiornamento della versione di Microsoft Silverlight?
La funzionalità di aggiornamento automatico di Microsoft Silverlight consente di mantenere aggiornata la propria installazione di Microsoft Silverlight alla versione più recente di Silverlight, le relative funzionalità e le funzioni di protezione. Per ulteriori informazioni sulla funzionalità di aggiornamento automatico di Microsoft Silverlight, vedere Microsoft Silverlight Updater. Gli utenti Windows che hanno disattivato la funzionalità di aggiornamento automatico di Microsoft Silverlight possono iscriversi a Microsoft Update per ottenere la versione più recente di Microsoft Silverlight oppure scaricarla manualmente utilizzando il collegamento per il download nella tabella Software interessato, all'interno della sezione Software interessato e Software non interessato. Per informazioni sulla distribuzione di Microsoft Silverlight in un ambiente aziendale, vedere la Guida alla distribuzione aziendale di Silverlight.

Verrà aggiornata la versione di Silverlight in uso?
L'aggiornamento 2932677 consentirà il passaggio delle versioni precedenti di Silverlight alla versione 5.1.30214.0. Microsoft consiglia di effettuare l'aggiornamento per essere protetti contro la vulnerabilità descritta in questo bollettino.

Dove è possibile trovare ulteriori informazioni sul ciclo di vita di Silverlight?
Per informazioni specifiche sul ciclo di vita di Silverlight, vedere i criteri del ciclo di vita del supporto Microsoft Silverlight.

Se si utilizza una versione precedente del software discusso nel presente bollettino, come bisogna comportarsi?
I prodotti software elencati in questo bollettino sono stati sottoposti a test per determinare quali versioni sono interessate dalla vulnerabilità. Le altre versioni sono al termine del ciclo di vita del supporto. Per ulteriori informazioni sul ciclo di vita dei prodotti, visitare il sito Web Ciclo di vita del supporto Microsoft.

Per evitare di esporre i propri sistemi a potenziali vulnerabilità, si raccomanda ai clienti che utilizzano versioni precedenti del software di eseguire quanto prima la migrazione a versioni supportate. Per informazioni sulla disponibilità del supporto per la versione del software in uso, vedere Selezionare un prodotto per informazioni sul ciclo di vita. Per ulteriori informazioni sui service pack relativi a queste versioni del software, vedere Criteri relativi al ciclo di vita del supporto per i service pack.

I clienti che hanno ancora la necessità di servizi di supporto per versioni precedenti del software sono invitati a contattare il loro rappresentante del team Microsoft, il responsabile tecnico dei rapporti con i clienti oppure il rappresentante del partner Microsoft appropriato per informazioni sui servizi di supporto personalizzati. I clienti che non dispongono di un contratto Alliance, Premier o Authorized possono contattare le filiali Microsoft locali. Per informazioni sui contatti, visitare il sito Web Microsoft Worldwide Information, selezionare il Paese desiderato dall'elenco Informazioni sui contatti e fare clic su Go per visualizzare un elenco di numeri telefonici. Quando si effettua la chiamata, richiedere di parlare con il responsabile locale delle vendite per i servizi di supporto Premier. Per ulteriori informazioni, vedere le Domande frequenti sui criteri di ciclo di vita del supporto Microsoft.

Informazioni sulle vulnerabilità

I seguenti livelli di gravità presuppongono il livello massimo di impatto potenziale della vulnerabilità. Per informazioni relative al rischio, entro 30 giorni dalla pubblicazione del presente bollettino sulla sicurezza, di sfruttamento della vulnerabilità in relazione al livello di gravità e all'impatto sulla protezione, vedere l'Exploitability Index nel riepilogo dei bollettini di marzo. Per ulteriori informazioni, vedere Microsoft Exploitability Index.

Livelli di gravità delle vulnerabilità e livello massimo di impatto sulla protezione per il software interessato
Software interessatoVulnerabilità legata all'elusione di Silverlight DEP/ASLR - CVE-2014-0319Livello di gravità aggregato
Microsoft Silverlight 5
Microsoft Silverlight 5 installato in Mac Importante
Elusione della funzione di protezione
Importante
Microsoft Silverlight 5 Developer Runtime installato in Mac Importante
Elusione della funzione di protezione
Importante
Microsoft Silverlight 5 installato in tutte le versioni supportate dei client Microsoft Windows Importante
Elusione della funzione di protezione
Importante
Microsoft Silverlight 5 Developer Runtime installato in tutte le versioni supportate dei client Microsoft Windows Importante
Elusione della funzione di protezione
Importante
Microsoft Silverlight 5 installato in tutte le versioni supportate dei server Microsoft Windows Importante
Elusione della funzione di protezione
Importante
Microsoft Silverlight 5 Developer Runtime installato in tutte le versioni supportate dei server Microsoft Windows Importante
Elusione della funzione di protezione
Importante

Esiste una vulnerabilità legata all'elusione della funzione di protezione in Silverlight dovuta all'implementazione errata di DEP (Data Execution Protection) e ASLR (Address Space Layout Randomization). La vulnerabilità può consentire a un utente malintenzionato di eludere la funzione di protezione DEP/ASLR, con ogni probabilità durante lo sfruttamento di una vulnerabilità legata all'esecuzione di codice in modalità remota.

Per visualizzare questa vulnerabilità come voce standard nell'elenco CVE, vedere il codice CVE-2014-0319.

Fattori attenuanti

Per fattore attenuante si intende un'impostazione, una configurazione comune o una procedura consigliata generica esistente in uno stato predefinito in grado di ridurre la gravità nello sfruttamento di una vulnerabilità. I seguenti fattori attenuanti possono essere utili per l'utente:

  • In uno scenario di attacco dal Web, l'utente malintenzionato può pubblicare un sito Web contenente una pagina Web utilizzata per sfruttare tale vulnerabilità. Inoltre, i siti Web manomessi e quelli che accettano o ospitano contenuti o annunci pubblicitari forniti dagli utenti potrebbero presentare contenuti appositamente predisposti per sfruttare questa vulnerabilità. In tutti questi casi, comunque, non è in alcun modo possibile obbligare gli utenti a visitare questi siti Web. L'utente malintenzionato deve invece convincere le vittime a visitare il sito Web, in genere inducendole a fare clic su un collegamento in un messaggio di posta elettronica o di Instant Messenger che le indirizzi al sito.
  • Un utente malintenzionato in grado di sfruttare questa vulnerabilità insieme a un'altra vulnerabilità, come una vulnerabilità legata all'esecuzione di codice in modalità remota, può ottenere gli stessi diritti utente dell'utente corrente. Pertanto, gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.
  • Per impostazione predefinita, Internet Explorer in Windows Server 2003, Windows Server 2008, Windows Server 2008 R2 e Windows Server 2012 viene eseguito in una modalità limitata denominata Protezione avanzata. Questa modalità consente di ridurre i rischi correlati a questa vulnerabilità. Per ulteriori informazioni sulla Protezione avanzata di Internet Explorer, consultare la sezione Domande frequenti di questo aggiornamento per la protezione.

Soluzioni alternative

Per soluzione alternativa si intende un'impostazione o una modifica nella configurazione che non elimina la vulnerabilità sottostante, ma consente di bloccare gli attacchi noti prima di applicare l'aggiornamento. Microsoft ha verificato le seguenti soluzioni alternative e segnala nel corso della discussione se tali soluzioni riducono la funzionalità:

  • Impedire temporaneamente l'esecuzione di Microsoft Silverlight in Internet Explorer

    La disattivazione temporanea di Silverlight in Internet Explorer può contribuire alla protezione contro questa vulnerabilità. Per disattivare Silverlight in Internet Explorer, seguire questi passaggi:

    1. In Internet Explorer, fare clic sul menu Strumenti, quindi selezionare Opzioni Internet.
    2. Fare clic sulla scheda Programmi, quindi selezionare Gestione componenti aggiuntivi.
    3. Nell'elenco Barre degli strumenti ed estensioni, trovare "Microsoft Silverlight", quindi fare clic su Disattiva.
  • Impedire temporaneamente l'esecuzione di Microsoft Silverlight in Mozilla Firefox

    La disattivazione temporanea di Silverlight in Mozilla Firefox può contribuire alla protezione contro questa vulnerabilità. Per disattivare Silverlight in Firefox, seguire questi passaggi:

    1. In Firefox, fare clic sul menu Strumenti, quindi selezionare Componenti aggiuntivi.
    2. Nella finestra Componenti aggiuntivi, fare clic sulla scheda Plugin.
    3. Trovare il plugin Silverlight e fare clic su Disattiva.
  • Impedire temporaneamente l'esecuzione di Microsoft Silverlight in Google Chrome

    La disattivazione temporanea di Silverlight in Google Chrome può contribuire alla protezione contro questa vulnerabilità. Per disattivare Silverlight in Chrome, seguire questi passaggi:

    1. Nella barra degli indirizzi di Chrome, digitare about:plugins.
    2. Nella pagina visualizzata, individuare il plugin Silverlight e disattivarlo.

Domande frequenti

Qual è la portata o l'impatto di questa vulnerabilità?
Si tratta di una vulnerabilità legata all'elusione della funzione di protezione.

Quali sono le cause di questa vulnerabilità?
La vulnerabilità si presenta quando Microsoft Silverlight implementa in modo errato le funzionalità di protezione DEP/ASLR, consentendo a un utente malintenzionato di prevedere più facilmente gli offset di memoria delle istruzioni specifiche di un determinato stack di chiamate.

Che cos'è Microsoft Silverlight?
Microsoft Silverlight è un'implementazione multibrowser e multipiattaforma di Microsoft .NET Framework che consente di creare esperienze multimediali e applicazioni interattive complete per il Web. Per ulteriori informazioni, vedere il sito ufficiale di Microsoft Silverlight.

Che cos'è ASLR?
ASLR (Address Space Layout Randomization) sposta le immagini eseguibili in posizioni casuali quando si avvia un sistema, evitando che un utente malintenzionato possa accedere a dati in posizioni prevedibili. Perché un componente supporti ASLR, anche tutti i componenti caricati devono supportare ASLR. Ad esempio, se A.exe utilizza B.dll e C.dll, tutti e tre devono supportare ASLR. Per impostazione predefinita, Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8, Windows 8.1, Windows RT, Windows RT 8.1, Windows Server 2012 e Windows Server 2012 R2 posizionano in modo casuale i file DLL ed EXE del sistema, ma i file DLL ed EXE creati dai fornitori di software indipendenti (ISV) devono optare per il supporto di ASLR tramite l'opzione di collegamento /DYNAMICBASE.

ASLR posiziona in modo casuale anche la memoria degli heap e dello stack:

  • Quando un'applicazione crea un heap in Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8, Windows 8.1, Windows RT, Windows RT 8.1, Windows Server 2012 e Windows Server 2012 R2, il manager dell'heap crea tale heap in una posizione casuale per ridurre la probabilità che un tentativo di sfruttamento del sovraccarico del buffer basato sull'heap riesca. La posizione casuale degli heap è attivata per impostazione predefinita per tutte le applicazioni in esecuzione in Windows Vista e versioni successive.
  • Quando si avvia un thread in un processo collegato con /DYNAMICBASE, Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8, Windows 8.1, Windows RT, Windows RT 8.1, Windows Server 2012 e Windows Server 2012 R2 spostano lo stack del thread in una posizione casuale per ridurre la probabilità che lo sfruttamento di un sovraccarico del buffer legato allo stack riesca.

Che cos'è DEP?
DEP (Protezione esecuzione programmi, Data Execution Prevention) è una soluzione hardware e software che consente di impedire l'esecuzione di codice da pagine di memoria non contrassegnate esplicitamente come eseguibili. Windows XP SP2, Windows Server 2003 SP1 e i sistemi operativi successivi controllano se la CPU supporta l'imposizione del comando "no execute" o "execute disable bit" per una pagina di memoria.

  • Prima di Windows XP SP2, un exploit ("codice") potrebbe essere eseguito dalla memoria allocata senza la costante di protezione della memoria di esecuzione impostata. Se, ad esempio, una pagina di memoria è stata allocata utilizzando la funzione VirtualAlloc() con PAGE_READWRITE, è comunque possibile eseguire codice da questa pagina di memoria. A partire da Windows XP SP2 e Windows Server 2003 SP1, se la CPU supporta i bit "execute disable" (CPU XD - Intel) o "no execute" (CPU NX - AMD), tutti i tentativi di eseguire codice da una pagina di memoria con (ad esempio) una protezione di memoria PAGE_READWRITE genereranno un'eccezione di violazione di accesso STATUS_ACCESS_VIOLATION (0xC0000005). Per ulteriori informazioni su come funziona la Protezione esecuzione programmi (DEP) imposta dall'hardware, vedere Tecnologie di protezione della memoria.
  • La protezione DEP è sempre attiva per i processi a 64 bit sulle versioni a 64 bit di Windows e non può essere disattivata. I criteri DEP di Windows possono essere gestiti sia su una base per processo che in tutto il sistema, ed entrambi gli approcci sono descritti di seguito. Questo intervento sul blog si applica in modo specifico ai processi a 32 bit in esecuzione su una versione di Windows a 32 o a 64 bit.

A quali attacchi viene esposto il sistema a causa di questa vulnerabilità?
In uno scenario di attacco basato sull'esplorazione Web, un utente malintenzionato, sfruttando questa vulnerabilità, potrebbe eludere la funzione di protezione DEP/ASLR, che protegge gli utenti da un'ampia gamma di vulnerabilità. L'elusione della funzione di protezione non consente da sola l'esecuzione di codice arbitrario. Tuttavia, un utente malintenzionato potrebbe utilizzare questa vulnerabilità legata all'elusione di DEP/ASLR in combinazione con un'altra vulnerabilità, ad esempio l'esecuzione di codice in modalità remota, per trarre vantaggio dall'elusione della funzionalità DEP/ASLR ed eseguire codice arbitrario.

In che modo un utente malintenzionato può sfruttare questa vulnerabilità?
In uno scenario di attacco dal Web, un utente malintenzionato potrebbe pubblicare un sito Web con contenuto di Silverlight appositamente predisposto per tentare di sfruttare questa vulnerabilità. Inoltre, i siti Web manomessi e quelli che accettano o ospitano contenuti forniti dagli utenti possono presentare contenuti appositamente predisposti per sfruttare questa vulnerabilità. Non è in alcun modo possibile obbligare gli utenti a visitare un sito Web appositamente predisposto. Un utente malintenzionato dovrebbe convincere gli utenti a intraprendere un'azione. Ad esempio, un utente malintenzionato potrebbe indurre gli utenti a fare clic su un collegamento che li conduce al sito predisposto.

Quando un utente visita un sito Web con contenuto Silverlight dannoso utilizzando un browser Web, ad esempio Internet Explorer, può verificarsi l'elusione della funzionalità DEP/ASLR.

Un utente malintenzionato potrebbe combinare questa vulnerabilità legata all'elusione della funzione di protezione con un'altra vulnerabilità, con molta probabilità quella legata all'esecuzione di codice in modalità remota. La vulnerabilità aggiuntiva potrebbe sfruttare l'elusione della funzione di protezione per rendere effettive le modifiche. Ad esempio, una vulnerabilità legata all'esecuzione di codice in modalità remota che viene bloccata da DEP/ASLR può essere sfruttata dopo l'avvenuta elusione della funzione DEP/ASLR.

Si esegue Internet Explorer per Windows Server 2003, Windows Server 2008, Windows Server 2008 R2 o Windows Server 2012. Il problema ha una portata più limitata?
Sì. Per impostazione predefinita, Internet Explorer in Windows Server 2003, Windows Server 2008, Windows Server 2008 R2 e Windows Server 2012 viene eseguito in una modalità limitata denominata Protezione avanzata. La configurazione Protezione avanzata è costituita da un gruppo di impostazioni di Internet Explorer preconfigurate che riduce la probabilità che un utente o un amministratore scarichi ed esegua contenuto Web appositamente predisposto in un server. Questo è un fattore attenuante per i siti Web che non sono stati aggiunti all'area Siti attendibili di Internet Explorer.

EMET aiuta a contrastare gli attacchi che possono sfruttare questa vulnerabilit à ?
Sì. Enhanced Mitigation Experience Toolkit (EMET) consente agli utenti di gestire le tecnologie di riduzione dei rischi che impediscono a un utente malintenzionato di sfruttare le vulnerabilità in un componente software. Sui sistemi in cui è installato e configurato per funzionare con Internet Explorer, EMET aiuta a contrastare queste vulnerabilità in Silverlight.

Per ulteriori informazioni su EMET, vedere Enhanced Mitigation Experience Toolkit (EMET).

Quali sono i sistemi principalmente interessati da questa vulnerabilità?
I sistemi maggiormente a rischio sono workstation e server terminal. I server possono essere maggiormente a rischio se gli amministratori consentono agli utenti di accedere ai server ed eseguire programmi. Tuttavia, le procedure consigliate scoraggiano fortemente questa attribuzione di privilegi.

Quali sono gli scopi dell'aggiornamento?
L'aggiornamento risolve la vulnerabilità modificando la funzionalità in modo da mantenere l'integrità di DEP/ASLR in Silverlight.

Al momento del rilascio di questo bollettino, le informazioni sulla vulnerabilità erano disponibili pubblicamente?
No. Microsoft ha ricevuto informazioni sulla vulnerabilità grazie a un'indagine coordinata.

Al momento del rilascio di questo bollettino, erano già stati segnalati a Microsoft attacchi basati sullo sfruttamento di questa vulnerabilità?
No. Al momento della pubblicazione del presente bollettino, Microsoft non aveva ricevuto alcuna segnalazione in merito allo sfruttamento di questa vulnerabilità a scopo di attacco.

Informazioni sull'aggiornamento

Sono disponibili diverse risorse per aiutare gli amministratori a distribuire gli aggiornamenti per la protezione.

  • Microsoft Baseline Security Analyzer (MBSA) consente di eseguire la scansione di sistemi locali e remoti, al fine di rilevare eventuali aggiornamenti di protezione mancanti, nonché i più comuni errori di configurazione della protezione.
  • Windows Server Update Services (WSUS), Systems Management Server (SMS) e System Center Configuration Manager (SCCM) aiutano gli amministratori a distribuire gli aggiornamenti per la protezione.
  • I componenti del programma Update Compatibility Evaluator compresi nell'Application Compatibility Toolkit sono utili per semplificare la verifica e la convalida degli aggiornamenti di Windows per le applicazioni installate.

Per informazioni su questi e altri strumenti disponibili, vedere Strumenti per la sicurezza.

Nota Gli strumenti di rilevamento e distribuzione di Windows non si applicano ai sistemi Mac. Tuttavia, gli utenti Mac possono utilizzare la funzionalità di aggiornamento automatico di Microsoft Silverlight, che assicura che i sistemi siano aggiornati alla versione più recente di Microsoft Silverlight, le relative funzionalità e le funzioni di protezione. Per ulteriori informazioni sulla funzionalità di aggiornamento automatico di Microsoft Silverlight, vedere Microsoft Silverlight Updater.

Software interessato

Per informazioni sull'aggiornamento per la protezione specifico per il software interessato, fare clic sul collegamento corrispondente:

Silverlight 5 per Mac (tutte le edizioni)

Tabella di riferimento

La seguente tabella contiene le informazioni relative all'aggiornamento per la protezione per questo software.

Nomi dei file dell'aggiornamento per la protezione Per Microsoft Silverlight 5 installato in Mac:
Silverlight.dmg
Per Microsoft Silverlight 5 Developer Runtime installato in Mac:
silverlight_developer.dmg
Necessità di riavvio Per questo aggiornamento non è necessario riavviare il sistema.
Informazioni per la rimozione Aprire Finder, selezionare l'unità di sistema, andare alla cartella Internet Plug-ins - Library e cancellare il file Silverlight.Plugin. (Notare che l'aggiornamento non può essere rimosso senza eliminare il plug-in di Silverlight.)
Informazioni sui file Consultare l'articolo della Microsoft Knowledge Base 2932677
Verifica dell'installazione Vedere la sezione Domande frequenti sull'aggiornamento all'interno di questo bollettino, dove è presente la risposta alla domanda "Come è possibile conoscere quale versione e quale build di Microsoft Silverlight sono attualmente installate"?

Silverlight 5 per Windows (tutte le versioni supportate)

Tabella di riferimento

La seguente tabella contiene le informazioni relative all'aggiornamento per la protezione per questo software.

Nomi dei file dell'aggiornamento per la protezione Per Microsoft Silverlight 5 installato in tutte le versioni supportate a 32 bit di Microsoft Windows:
silverlight.exe
Per Microsoft Silverlight 5 Developer Runtime installato in tutte le versioni supportate a 32 bit di Microsoft Windows:
silverlight_developer.exe
Per Microsoft Silverlight 5 installato in tutte le versioni supportate a 64 bit di Microsoft Windows:
silverlight_x64.exe
Per Microsoft Silverlight 5 Developer Runtime installato in tutte le versioni supportate a 64 bit di Microsoft Windows:
silverlight_developer_x64.exe
Opzioni del programma di installazione Vedere la Guida alla distribuzione aziendale di Silverlight
Necessità di riavvio Per questo aggiornamento non è necessario riavviare il sistema.
Informazioni per la rimozione Utilizzare la voce Installazione applicazioni nel Pannello di controllo. (Notare che l'aggiornamento non può essere rimosso senza eliminare Silverlight).
Informazioni sui file Consultare l'articolo della Microsoft Knowledge Base 2932677
Controllo delle chiavi del Registro di sistema Per le installazioni a 32 bit di Microsoft Silverlight 5:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Silverlight "Version" = "5.1.30214.0"
Per le installazioni a 64 bit di Microsoft Silverlight 5:
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Silverlight "Version" = "5.1.30214.0"
e
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Silverlight "Version" = "5.1.30214.0"

Altre informazioni

Ringraziamenti

Microsoft ringrazia i seguenti utenti per aver collaborato alla protezione dei sistemi dei clienti:

Microsoft Active Protections Program (MAPP)

Per migliorare il livello di protezione offerto ai clienti, Microsoft fornisce ai principali fornitori di software di protezione i dati relativi alle vulnerabilità in anticipo rispetto alla pubblicazione mensile dell'aggiornamento per la protezione. I fornitori di software di protezione possono servirsi di tali dati per fornire ai clienti delle protezioni aggiornate tramite software o dispositivi di protezione, quali antivirus, sistemi di rilevamento delle intrusioni di rete o sistemi di prevenzione delle intrusioni basati su host. Per verificare se tali protezioni attive sono state rese disponibili dai fornitori di software di protezione, visitare i siti Web relativi alle protezioni attive pubblicati dai partner del programma, che sono elencati in Microsoft Active Protections Program (MAPP) Partners.

Supporto

Come ottenere il supporto per questo aggiornamento per la protezione

Dichiarazione di non responsabilità

Le informazioni disponibili nella Microsoft Knowledge Base sono fornite "come sono" senza garanzie di alcun tipo. Microsoft non rilascia alcuna garanzia, esplicita o implicita, inclusa la garanzia di commerciabilità e di idoneità per uno scopo specifico. Microsoft Corporation o i suoi fornitori non saranno, in alcun caso, responsabili per danni di qualsiasi tipo, inclusi i danni diretti, indiretti, incidentali, consequenziali, la perdita di profitti e i danni speciali, anche qualora Microsoft Corporation o i suoi fornitori siano stati informati della possibilità del verificarsi di tali danni. Alcuni stati non consentono l'esclusione o la limitazione di responsabilità per danni diretti o indiretti e, dunque, la sopracitata limitazione potrebbe non essere applicabile.

Versioni

  • V1.0 (11 marzo 2014): Pubblicazione del bollettino.

Built at 2014-04-18T01:50:00Z-07:00

Il documento è risultato utile?
(1500 caratteri rimanenti)
Grazie per i commenti inviati.
Mostra:
© 2015 Microsoft