Microsoft Security Advisory 2974294
La vulnerabilità nel motore di protezione malware Microsoft potrebbe consentire la negazione del servizio
Pubblicato: 17 giugno 2014
Versione: 1.0
Informazioni generali
Schema riepilogativo
Microsoft sta rilasciando questo avviso di sicurezza per informare i clienti che un aggiornamento al motore di protezione malware Microsoft risolve una vulnerabilità di sicurezza segnalata a Microsoft. La vulnerabilità potrebbe consentire la negazione del servizio se microsoft Malware Protection Engine analizza un file appositamente creato. Un utente malintenzionato che ha sfruttato correttamente questa vulnerabilità potrebbe impedire a Microsoft Malware Protection Engine di monitorare i sistemi interessati fino a quando il file appositamente creato non viene rimosso manualmente e il servizio viene riavviato.
Microsoft Malware Protection Engine viene fornito con diversi prodotti Microsoft antimalware. Per un elenco dei prodotti interessati, vedere la sezione Software interessato. Aggiornamenti al motore di protezione malware Microsoft vengono installati insieme alle definizioni di malware aggiornate per i prodotti interessati. Amministrazione istrator di installazioni aziendali devono seguire i processi interni stabiliti per garantire che la definizione e gli aggiornamenti del motore siano approvati nel software di gestione degli aggiornamenti e che i client utilizzano di conseguenza gli aggiornamenti.
In genere, non è necessaria alcuna azione da parte degli amministratori aziendali o degli utenti finali per installare gli aggiornamenti per il motore di Protezione malware Microsoft, perché il meccanismo predefinito per il rilevamento automatico e la distribuzione degli aggiornamenti applicherà l'aggiornamento entro 48 ore dal rilascio. L'intervallo di tempo esatto dipende dal software usato, dalla connessione Internet e dalla configurazione dell'infrastruttura.
Dettagli avviso
Riferimenti ai problemi
Per altre informazioni su questo problema, vedere i riferimenti seguenti:
| Riferimenti | Identificazione |
|---|---|
| Riferimento CVE | CVE-2014-2779 |
| Ultima versione del motore di protezione malware Microsoft interessata da questa vulnerabilità | Versione 1.1.10600.0 |
| Prima versione del motore di protezione malware Microsoft con questa vulnerabilità risolta | Versione 1.1.10701.0* |
*Se la versione del motore di protezione malware Microsoft è uguale o maggiore di questa versione, non si è interessati da questa vulnerabilità e non è necessario eseguire ulteriori azioni. Per altre informazioni su come verificare il numero di versione del motore in uso, vedere la sezione "Verifica dell'installazione degli aggiornamenti" nell'articolo della Microsoft Knowledge Base 2510781.
Software interessato
Questo avviso illustra il software seguente.
Software interessato
| Valutazione della gravità della vulnerabilità e Impatto massimo sulla sicurezza da parte del software interessato | |
|---|---|
| Antimalware Software | Vulnerabilità Denial of Service nel motore di protezione malware Microsoft- CVE-2014-2779 |
| Microsoft Forefront Client Security | ImportanteDenial of Service |
| Microsoft Forefront Endpoint Protection 2010 | ImportanteDenial of Service |
| Microsoft Forefront Security per SharePoint Service Pack 3 | ImportanteDenial of Service |
| Microsoft System Center 2012 Endpoint Protection | ImportanteDenial of Service |
| Microsoft System Center 2012 Endpoint Protection Service Pack 1 | ImportanteDenial of Service |
| Strumento di rimozione di software dannoso Microsoft[1] | ImportanteDenial of Service |
| Microsoft Security Essentials | ImportanteDenial of Service |
| Versione preliminare di Microsoft Security Essentials | ImportanteDenial of Service |
| Windows Defender per Windows 8, Windows 8.1, Windows Server 2012 e Windows Server 2012 R2 | ImportanteDenial of Service |
| Windows Defender per Windows RT e Windows RT 8.1 | ImportanteDenial of Service |
| Windows Defender per Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 e Windows Server 2008 R2 | ImportanteDenial of Service |
| Windows Defender Offline | ImportanteDenial of Service |
| Windows Intune Endpoint Protection | ImportanteDenial of Service |
[1]Si applica solo a maggio 2014 o versioni precedenti dello strumento di rimozione di software dannoso Microsoft.
Software non interessato
| Antimalware Software |
|---|
| Non esegue il motore di protezione malware |
| Microsoft Forefront Server Security Management Console |
| Microsoft Internet Security and Acceleration (ISA) Server |
Indice di sfruttabilità
Nella tabella seguente viene fornita una valutazione dell'sfruttabilità della vulnerabilità risolta in questo avviso.
Ricerca per categorie usare questa tabella?
Usare questa tabella per informazioni sulla probabilità di rilascio del codice exploit funzionante entro 30 giorni da questa versione di avviso. È consigliabile esaminare la valutazione seguente, in base alla configurazione specifica, al fine di classificare in ordine di priorità la distribuzione. Per altre informazioni sul significato di queste classificazioni e su come vengono determinate, vedere Microsoft Exploitability Index.For more information about what these ratings mean, and how they are determined, please see Microsoft Exploitability Index.
| Titolo della vulnerabilità | CVE ID | Valutazione dell'exploitbilità per la versione più recente del software | Valutazione dell'exploitbilità per la versione precedente del software | Valutazione denial of service exploitability | Note chiave |
|---|---|---|---|---|---|
| Vulnerabilità Denial of Service nel motore di protezione malware Microsoft | CVE-2014-2779 | 3 - Codice di exploit improbabile | 3 - Codice di exploit improbabile | Permanente | Si tratta di una vulnerabilità Denial of Service.\ \ Sfruttamento di questa vulnerabilità può causare la mancata risposta del sistema operativo o di un'applicazione fino a quando non viene riavviato manualmente. Può anche causare la chiusura o la chiusura imprevista di un'applicazione senza eseguire automaticamente il ripristino. |
Domande frequenti sugli avvisi
Microsoft rilascia un bollettino sulla sicurezza per risolvere questa vulnerabilità?
No. Microsoft sta rilasciando questo avviso di sicurezza informativa per informare i clienti che un aggiornamento al motore di protezione malware Microsoft risolve una vulnerabilità di sicurezza segnalata a Microsoft.
In genere, non è necessaria alcuna azione da parte degli amministratori dell'organizzazione o degli utenti finali per installare questo aggiornamento.
Perché in genere non è necessaria alcuna azione per installare questo aggiornamento?
In risposta a un panorama delle minacce in continua evoluzione, Microsoft aggiorna frequentemente le definizioni di malware e microsoft Malware Protection Engine. Per essere efficaci per proteggere da minacce nuove e prevalenti, il software antimalware deve essere aggiornato con questi aggiornamenti in modo tempestivo.
Per le distribuzioni aziendali e gli utenti finali, la configurazione predefinita nel software antimalware Microsoft consente di garantire che le definizioni di malware e il motore di protezione malware Microsoft vengano mantenute aggiornate automaticamente. La documentazione del prodotto consiglia anche che i prodotti siano configurati per l'aggiornamento automatico.
Le procedure consigliate consigliano ai clienti di verificare regolarmente se la distribuzione software, ad esempio la distribuzione automatica degli aggiornamenti di Microsoft Malware Protection Engine e delle definizioni di malware, funziona come previsto nel proprio ambiente.
Con quale frequenza vengono aggiornate le definizioni di malware e del motore di protezione malware Microsoft?
Microsoft rilascia in genere un aggiornamento per microsoft Malware Protection Engine una volta al mese o in base alle esigenze per proteggersi da nuove minacce. Microsoft aggiorna anche le definizioni di malware tre volte al giorno e può aumentare la frequenza quando necessario.
A seconda del software antimalware Microsoft usato e di come è configurato, il software può cercare aggiornamenti del motore e delle definizioni ogni giorno quando si è connessi a Internet, fino a più volte al giorno. I clienti possono anche scegliere di controllare manualmente la disponibilità di aggiornamenti in qualsiasi momento.
Come è possibile installare l'aggiornamento?
Per informazioni dettagliate su come installare questo aggiornamento, vedere la sezione Azioni suggerite.
Che cos'è il motore di protezione malware Microsoft?
Microsoft Malware Protection Engine, mpengine.dll, fornisce le funzionalità di analisi, rilevamento e pulizia per il software antivirus Microsoft e antispyware.
Dove è possibile trovare altre informazioni sulla tecnologia antimalware Microsoft?
Per altre informazioni, visitare il sito Web di Microsoft Malware Protection Center .
Domande frequenti sulla vulnerabilità Denial of Service nel motore di protezione malware Microsoft- CVE-2014-2779
Qual è l'ambito della vulnerabilità?
Si tratta di una vulnerabilità Denial of Service.
Che cosa causa la vulnerabilità?
La vulnerabilità è causata quando microsoft Malware Protection Engine non analizza correttamente un file appositamente creato, causando un timeout di analisi.
Cosa può fare un utente malintenzionato che usa la vulnerabilità?
Un utente malintenzionato che ha sfruttato correttamente questa vulnerabilità potrebbe impedire a Microsoft Malware Protection Engine di monitorare i sistemi interessati fino a quando il file appositamente creato non viene rimosso manualmente e il servizio viene riavviato.
In che modo un utente malintenzionato potrebbe sfruttare la vulnerabilità?
Per sfruttare questa vulnerabilità, è necessario analizzare un file appositamente creato da una versione interessata del motore di protezione malware Microsoft. Esistono molti modi in cui un utente malintenzionato potrebbe inserire un file appositamente creato in una posizione analizzata dal motore di protezione malware Microsoft. Ad esempio, un utente malintenzionato potrebbe usare un sito Web per distribuire un file appositamente creato nel sistema della vittima che viene analizzato quando il sito Web viene visualizzato dall'utente. Un utente malintenzionato potrebbe anche recapitare un file appositamente creato tramite un messaggio di posta elettronica o in un messaggio di Instant Messenger analizzato quando il file viene aperto. Inoltre, un utente malintenzionato potrebbe sfruttare i vantaggi dei siti Web che accettano o ospitano contenuti forniti dall'utente, per caricare un file appositamente creato in un percorso condiviso analizzato dal motore di protezione malware in esecuzione nel server di hosting.
Se il software antimalware interessato ha una protezione in tempo reale attivata, il motore di protezione malware Microsoft analizzerà automaticamente i file, causando lo sfruttamento della vulnerabilità quando il file appositamente creato viene analizzato. Se l'analisi in tempo reale non è abilitata, l'utente malintenzionato dovrà attendere fino a quando non si verifica un'analisi pianificata affinché la vulnerabilità venga sfruttata.
Inoltre, lo sfruttamento della vulnerabilità può verificarsi quando il sistema viene analizzato usando una versione interessata dello strumento di rimozione software dannoso (MSRT).
Quali sistemi sono principalmente a rischio dalla vulnerabilità?
Tutti i sistemi che eseguono una versione interessata del software antimalware sono principalmente a rischio.
Cosa fa l'aggiornamento?
L'aggiornamento risolve la vulnerabilità correggendo il modo in cui microsoft Malware Protection Engine analizza i file appositamente creati.
Quando è stato rilasciato questo avviso di sicurezza, questa vulnerabilità è stata divulgata pubblicamente?
No. Microsoft ha ricevuto informazioni su questa vulnerabilità tramite la divulgazione coordinata delle vulnerabilità.
Quando è stato rilasciato questo avviso di sicurezza, Microsoft ha ricevuto eventuali segnalazioni che questa vulnerabilità è stata sfruttata?
No. Microsoft non ha ricevuto informazioni per indicare che questa vulnerabilità era stata usata pubblicamente per attaccare i clienti quando questo avviso di sicurezza è stato originariamente rilasciato.
Azioni suggerite
Verificare che l'aggiornamento sia installato
I clienti devono verificare che la versione più recente del motore di protezione malware Microsoft e gli aggiornamenti delle definizioni vengano scaricati e installati attivamente per i prodotti Microsoft antimalware.
Per altre informazioni su come verificare il numero di versione per il motore di Protezione malware Microsoft attualmente in uso, vedere la sezione "Verifica dell'installazione degli aggiornamenti" nell'articolo della Microsoft Knowledge Base 2510781.
Per il software interessato, verificare che la versione del motore di protezione malware Microsoft sia 1.1.10701.0 o successiva.
Se necessario, installare l'aggiornamento
Amministrazione istrator di distribuzioni antimalware aziendali devono assicurarsi che il software di gestione degli aggiornamenti sia configurato per approvare e distribuire automaticamente gli aggiornamenti del motore e le nuove definizioni di malware. Gli amministratori aziendali devono anche verificare che la versione più recente del motore di Protezione malware Microsoft e gli aggiornamenti delle definizioni vengano scaricati, approvati e distribuiti attivamente nel proprio ambiente.
Per gli utenti finali, il software interessato fornisce meccanismi predefiniti per il rilevamento automatico e la distribuzione di questo aggiornamento. Per questi clienti, l'aggiornamento verrà applicato entro 48 ore dalla disponibilità. L'intervallo di tempo esatto dipende dal software usato, dalla connessione Internet e dalla configurazione dell'infrastruttura. Gli utenti finali che non desiderano attendere possono aggiornare manualmente il software antimalware.
Per altre informazioni su come aggiornare manualmente le definizioni di Malware Protection Engine e malware, vedere l'articolo della Microsoft Knowledge Base 2510781.
Riconoscimenti
Microsoft ringrazia quanto segue per collaborare a proteggere i clienti:
- Tavis Ormandy di Google Project Zero per lavorare con Microsoft sulla vulnerabilità Denial of Service in Microsoft Malware Protection Engine (CVE-2014-2779)
Altre informazioni
Microsoft Active Protections Program (MAPP)
Per migliorare le protezioni di sicurezza per i clienti, Microsoft fornisce informazioni sulle vulnerabilità ai principali provider di software di sicurezza in anticipo di ogni versione mensile dell'aggiornamento della sicurezza. I provider di software di sicurezza possono quindi usare queste informazioni sulla vulnerabilità per fornire protezioni aggiornate ai clienti tramite il software o i dispositivi di sicurezza, ad esempio antivirus, sistemi di rilevamento delle intrusioni basati sulla rete o sistemi di prevenzione delle intrusioni basati su host. Per determinare se le protezioni attive sono disponibili dai provider di software di sicurezza, visitare i siti Web di protezione attivi forniti dai partner del programma, elencati in Microsoft Active Protections Program (MAPP).
Feedback
- È possibile fornire commenti e suggerimenti completando il modulo Microsoft Help and Support (Guida e supporto tecnico Microsoft), Customer Service Contact Us (Contatta Microsoft).
Supporto tecnico
- I clienti del Stati Uniti e del Canada possono ricevere supporto tecnico dal supporto tecnico. Per altre informazioni, vedere Guida e supporto tecnico Microsoft.
- I clienti internazionali possono ricevere supporto dalle filiali Microsoft locali. Per altre informazioni, vedere Supporto internazionale.
- Microsoft TechNet Security fornisce informazioni aggiuntive sulla sicurezza nei prodotti Microsoft.
Dichiarazione di non responsabilità
Le informazioni fornite in questo avviso vengono fornite "così com'è" senza garanzia di alcun tipo. Microsoft dichiara tutte le garanzie, espresse o implicite, incluse le garanzie di commerciabilità e idoneità per uno scopo specifico. In nessun caso, Microsoft Corporation o i suoi fornitori saranno responsabili di qualsiasi danno, incluso diretto, indiretto, accidentale, consequenziale, perdita di profitti aziendali o danni speciali, anche se Microsoft Corporation o i suoi fornitori sono stati informati della possibilità di tali danni. Alcuni stati non consentono l'esclusione o la limitazione della responsabilità per danni consequenziali o accidentali, pertanto la limitazione precedente potrebbe non essere applicata.
Revisioni
- V1.0 (17 giugno 2014): Avviso pubblicato.
Pagina generata 2014-07-07 10:25Z-07:00.