Aggiornamenti di sicurezza Windows dicembre 2018: correggere 38 vulnerabilità del sistema operativo

Puntuale come ogni secondo martedì del mese (negli Stati Uniti, mentre nel resto del mondo vengono rilasciati il mercoledì successivo), Microsoft ha rilasciato il solito pacchetto di aggiornamenti di sicurezza Windows dicembre 2018 con gli avvisi di sicurezza e i dettagli delle vulnerabilità identificate sia nel sistema operativo sia in alcune importanti applicazioni. Contestualmente ai bollettini di sicurezza, sono state rilasciate ovviamente anche le patch correttive.

L’aggiornamento di dicembre corregge 38 nuove vulnerabilità: di queste, 9 sono segnalate come critiche ed è quindi opportuno correggerle al più presto per non essere esposti a possibili attacchi informatici. Le altre 29 sono invece segnalate come importanti.

Il rilascio include, in particolare, aggiornamenti per i seguenti prodotti:

• Microsoft Windows
• Internet Explorer
• Microsoft Edge
• Microsoft Office
• Microsoft Office Services e Web Apps
• NET Framework
• Microsoft Dynamics NAV
• Microsoft Exchange Server
• Microsoft Visual Studio
• Windows Azure Pack (WAP)
• ChakraCore
• Adobe Flash Player

Aggiornamenti di sicurezza Windows: ecco come installarli

Windows 10 è già configurato per controllare periodicamente la disponibilità di aggiornamenti critici e importanti, quindi non c’è bisogno di effettuare manualmente il controllo. Quando un aggiornamento è disponibile, viene scaricato e installato automaticamente, mantenendo il dispositivo aggiornato con le funzionalità e i miglioramenti di sicurezza più recenti.

Per verificare subito la disponibilità di aggiornamenti, è sufficiente cliccare sul pulsante Start, quindi spostarsi nella sezione Impostazioni/Aggiornamento e sicurezza/Windows Update e selezionare Controlla aggiornamenti.

In tutte le altre versioni recenti di Windows è invece opportuno abilitare il servizio Windows Update dal Pannello di controllo e configurarlo affinché scarichi e installi automaticamente gli aggiornamenti rilasciati da Microsoft sia per il sistema operativo sia per le singole applicazioni.

Analizziamo le vulnerabilità critiche nel dettaglio

Analizzando nel dettaglio i bollettini di sicurezza possiamo osservare che 5 dei 9 aggiornamenti critici correggono vulnerabilità di Chakra, lo scripting engine di Microsoft Edge e in particolare il modulo che gestisce gli oggetti nella memoria del browser. Le vulnerabilità potrebbero portare ad un danneggiamento della memoria permettendo ad un utente malintenzionato di eseguire codice arbitrario da remoto. L’attacco può essere messo in piedi predisponendo una pagina web artefatta e convincendo la vittima a visualizzare tale pagina:

• CVE-2018-8583: Chakra Scripting Engine Memory Corruption Vulnerability
• CVE-2018-8617: Chakra Scripting Engine Memory Corruption Vulnerability
• CVE-2018-8618: Chakra Scripting Engine Memory Corruption Vulnerability
• CVE-2018-8624: Chakra Scripting Engine Memory Corruption Vulnerability
• CVE-2018-8629: Chakra Scripting Engine Memory Corruption Vulnerability

Nel pacchetto dei bollettini di sicurezza segnati come critici c’è, inoltre, un aggiornamento che serve a correggere una vulnerabilità legata all’errata gestione dell’input nel framework Microsoft .NET che potrebbe permette all’attaccante di iniettare codice in modalità remota e assumere il controllo del sistema interessato. Un utente malintenzionato potrebbe sfruttare tale vulnerabilità passando un input specifico ad un’applicazione che utilizza metodi .NET vulnerabili:

• CVE-2018-8540 | .NET Framework Remote Code Injection Vulnerability;

un altro che corregge una vulnerabilità legata all’errata gestione delle richieste DNS su Windows Server che permette l’esecuzione di codice in modalità remota. Un utente malintenzionato non autenticato potrebbe eseguire codice arbitrario sul sistema interessato, inviando richieste malformate a un server DNS Windows:

• CVE-2018-8626 | Windows DNS Server Heap Overflow Vulnerability;

un altro ancora che corregge una vulnerabilità legata all’esecuzione di codice in modalità remota, dovuta al modo in cui Internet Explorer gestisce gli oggetti in memoria. In uno scenario web, l’attaccante dovrebbe indurre la vittima a visitare un sito appositamente predisposto per sfruttare la vulnerabilità di Internet Explorer:

• CVE-2018-8631 | Internet Explorer Memory Corruption Vulnerability;

ed infine un aggiornamento che corregge una vulnerabilità di esecuzione del codice remoto in Windows che si presenta quando il motore di text-to-speech di Microsoft non riesce a gestire correttamente gli oggetti in memoria. In particolare, la vulnerabilità è dovuta alla corruzione della memoria in Microsoft Edge. In uno scenario Web, l’attaccante dovrebbe indurre la vittima a visitare un sito appositamente predisposto per sfruttare la vulnerabilità di Edge ed eseguire quindi codice arbitrario sulla macchina nel contesto dell’utente corrente:

• CVE-2018-8634 | Microsoft Text-To-Speech Remote Code Execution Vulnerability.

Tutti le vulnerabilità importanti di dicembre 2018

Come dicevamo, Microsoft ha rilasciato aggiornamenti per le seguenti 29 vulnerabilità segnalate come importanti:

• CVE-2018-8597: Microsoft Excel Remote Code Execution Vulnerability
• CVE-2018-8636: Microsoft Excel Remote Code Execution Vulnerability
• CVE-2018-8587: Microsoft Outlook Remote Code Execution Vulnerability
• CVE-2018-8619: Internet Explorer Remote Code Execution Vulnerability
• CVE-2018-8590: Microsoft Word Remote Code Execution Vulnerability
• CVE-2018-8625: Windows VBScript Engine Remote Code Execution Vulnerability
• CVE-2018-8628: Microsoft PowerPoint Remote Code Execution Vulnerability
• CVE-2018-8643: Scripting Engine Memory Corruption Vulnerability
• CVE-2018-8477: Windows Kernel Information Disclosure Vulnerability
• CVE-2018-8514: Remote Procedure Call runtime Information Disclosure Vulnerability
• CVE-2018-8517: .NET Framework Denial Of Service Vulnerability
• CVE-2018-8580: Microsoft SharePoint Information Disclosure Vulnerability
• CVE-2018-8595: Windows GDI Information Disclosure Vulnerability
• CVE-2018-8596: Windows GDI Information Disclosure Vulnerability
• CVE-2018-8598: Microsoft Excel Information Disclosure Vulnerability
• CVE-2018-8599: Diagnostics Hub Standard Collector Service Elevation of Privilege Vulnerability
• CVE-2018-8604: Microsoft Exchange Server Tampering Vulnerability
• CVE-2018-8611: Windows Kernel Elevation of Privilege Vulnerability
• CVE-2018-8612: Connected User Experiences and Telemetry Service Denial of Service Vulnerability
• CVE-2018-8621: Windows Kernel Information Disclosure Vulnerability
• CVE-2018-8622: Windows Kernel Information Disclosure Vulnerability
• CVE-2018-8627: Microsoft Excel Information Disclosure Vulnerability
• CVE-2018-8635: Microsoft SharePoint Server Elevation of Privilege Vulnerability
• CVE-2018-8637: Win32k Information Disclosure Vulnerability
• CVE-2018-8638: DirectX Information Disclosure Vulnerability
• CVE-2018-8639: Win32k Elevation of Privilege Vulnerability
• CVE-2018-8641: Win32k Elevation of Privilege Vulnerability
• CVE-2018-8649: Windows Denial of Service Vulnerability
• CVE-2018-8651: Microsoft Dynamics NAV Cross Site Scripting Vulnerability.