Microsoft ha risolto 59 vulnerabilit\u00e0 nel Patch Tuesday di ottobre<\/a>, tra cui diverse falle dell\u2019RCE (remote code execution).<\/p>\n Una delle pi\u00f9 significative \u00e8 stata la vulnerabilit\u00e0 (CVE-2019-1333) nel client desktop remoto<\/a> dell’azienda che consente a un server dannoso di ottenere il controllo di un computer Windows ad esso collegato. Microsoft ha avvertito che un utente malintenzionato potrebbe farlo utilizzando il social engineering, il poisoning del DNS, un attacco man-in-the-middle o compromettendo un server legittimo. Una volta compromesso il client, \u00e8 possibile eseguire codice arbitrario su di esso.<\/p>\n Un’altra vulnerabilit\u00e0 critica di RCE<\/a> ha interessato il parser MS XML in Windows 8.1, Windows 10, Windows Server 2012 fino al 2019 e RT 8.1. Un utente malintenzionato pu\u00f2 attivare il bug CVE-2019-1060 attraverso un sito Web dannoso che richiama il parser in un browser.<\/p>\n Un bug di corruzione della memoria<\/a> nel motore di scripting Chakra di Edge (CVE-2019-1366) consente inoltre a un sito Web dannoso di attivare l\u2019RCE, operando con i privilegi dell’account dell’utente, mentre una vulnerabilit\u00e0 RCE in Azure Stack<\/a>, l’estensione locale di Microsoft del suo servizio cloud di Azure , esce dalla sandbox eseguendo un codice arbitrario con l’account NT AUTHORITY system.<\/p>\n La societ\u00e0 ha anche corretto un bug RCE critico in VBScript<\/a> che consente a un utente malintenzionato di corrompere la memoria e assumere il controllo del sistema, in genere inviando un controllo ActiveX tramite un sito Web o un documento di Office. Si spera che i bug in VBScript diventino in futuro meno importanti ora che la societ\u00e0 ha disattivato il linguaggio<\/a>.<\/p>\n Altri bug considerati importanti che Microsoft ha corretto questa settimana includono una vulnerabilit\u00e0 di spoofing in Microsoft Edge<\/a> e una falla legata all’acquisizione di privilegi pi\u00f9 elevati nel server IIS<\/a> (CVE-2019-1365) che potrebbe consentire a un utente malintenzionato di sfuggire alla sandbox IIS con una richiesta Web.<\/p>\n C’era anche un difetto nella funzionalit\u00e0 di avvio sicuro di Windows<\/a> che avrebbe permesso di esporre la memoria del kernel protetta accedendo alla funzionalit\u00e0 di debug che dovrebbe essere protetta. Bisognerebbe avere accesso fisico alla macchina per trarre vantaggio da questo bug, etichettato CVE-2019-1368.<\/p>\n Gli utenti locali del sistema finanziario e operativo di Dynamics 365 dovrebbero correggere il bug di scripting cross-site<\/a> CVE-2019-1375 che consente a un utente malintenzionato di dirottare sessioni utente.<\/p>\n Tra le dozzine di altri bug che Redmond ha corretto questa settimana c’era un’elevazione della vulnerabilit\u00e0 dei privilegi nel client Windows Update<\/a>. Esso potrebbe consentire a un cyber criminale di assumere il controllo della funzione che aggiorna il sistema operativo Windows e di installare, modificare o eliminare i programmi a suo piacimento. Tuttavia, dovrebbe prima aver effettuato l’accesso al sistema.<\/p>\n Nella patch erano anche inclusi rollup mensili per il bug di corruzione della memoria critica CVE-2019-1367 in Internet Explorer che poteva eseguire il codice arbitrario di un criminale nel contesto di un utente autorizzato. Esso riguarda IE 9, 10 e 11. Lo stesso rollup mensile presenta un aggiornamento per il bug CVE-2019-1255. Abbiamo riportato entrambi in questi ultimi mesi<\/a> e le patch sono disponibili dal 23 settembre 2019. Tuttavia, la patch IE zero-day iniziale era confusa e ha causato problemi.<\/p>\n Per Adobe invece \u00e8 stato un mese tranquillo, senza patch o advisory.<\/p>\n<\/p><\/div>\n
![](\"https:\/\/sophos.files.wordpress.com\/2019\/04\/patch-tuesday.jpg\"\/)
<\/p>\n