Microsoft, gli aggiornamenti consigliati

webinfo@adnkronos.com

Nuovi aggiornamenti di sicurezza per Microsoft. La società di Redmond ne ha emessi diversi che "risolvono vulnerabilità multiple in svariati prodotti". Le più gravi tra queste "possono causare l’esecuzione di codice arbitrario da remoto". Gli aggiornamenti, fanno sapere gli esperti del CERT - Computer Emergency Response Team, riguardano Microsoft Windows, Internet Explorer, Microsoft Office e Microsoft Office Services and Web Apps, ASP.NET Core, .NET Core, .NET Framework, OneDrive for Android e Microsoft Dynamics. 

Gli aggiornamenti includono fix per "una vulnerabilità di gravità elevata nelle CryptoAPI di Microsoft Windows 10 e Windows Server 2016-2019 (32 e 64 bit), legata ad una validazione non corretta di certificati ECC (Elliptic Curve Cryptography), che può consentire ad un attaccante di firmare il codice di un eseguibile malevolo utilizzando un certificato non valido, facendo in modo che appaia provenire da una fonte affidabile (CVE-2020-0601)"; "due vulnerabilità critiche nel componente Remote Desktop Gateway (RD Gateway) di Microsoft Windows che possono consentire ad un attaccante di eseguire codice arbitrario sul sistema bersaglio inviando richieste appositamente predisposte che non richiedono autenticazione o interazione d’utente (CVE-2020-0609, CVE-2020-0610)"; "una vulnerabilità critica nel client Remote Desktop Services (RDP) di Microsoft Windows che può consentire ad un attaccante di eseguire codice arbitrario sul sistema sottostante quando l’utente si connette ad un server malevolo (CVE-2020-0611)". 

E ancora: "Una vulnerabilità critica in ASP.NET Core legata ad una gestione impropria delle richieste Web, che può consentire ad un attaccante di provocare condizioni di denial of service (CVE-2020-0602)"; "una vulnerabilità critica in ASP.NET Core legata ad una gestione impropria degli oggetti in memoria, che può consentire ad un attaccante di eseguire codice arbitrario nel contesto dell’utente corrente (CVE-2020-0603)"; "vulnerabilità multiple critiche in .NET Framework legate ad errori nella verifica del codice sorgente di markup di un file, che possono consentire ad un attaccante di eseguire codice arbitrario nel contesto dell’utente corrente (CVE-2020-0605, CVE-2020-0606)". 

Infine, "una vulnerabilità critica in .NET Framework legata ad una validazione impropria dell’input, che può consentire ad un attaccante di ottenere il controllo completo del sistema affetto (CVE-2020-0646)" e una critica "in Internet Explorer, legata ad una gestione impropria degli oggetti in memoria che può consentire ad un attaccante di eseguire codice da remoto nel contesto dell’utente corrente (CVE-2020-0640)". 

Viene quindi raccomandato a gestori e utenti di "prendere visione dei bollettini di sicurezza Microsoft di gennaio 2020 e di applicare al più presto gli aggiornamenti necessari". Gli upgrade possono essere scaricati dal sito Microsoft Download Center e, per i sistemi desktop, possono essere ottenuti automaticamente mediante Microsoft Update.