Microsoft Security Bulletin MS16-065 - Importante
Aggiornamento della sicurezza per .NET Framework (3156757)
Pubblicato: 10 maggio 2016 | Aggiornamento: 12 maggio 2016
Versione: 1.1
Schema riepilogativo
Questo aggiornamento della sicurezza risolve una vulnerabilità in Microsoft .NET Framework. La vulnerabilità potrebbe causare la divulgazione di informazioni se un utente malintenzionato inserisce dati non crittografati nel canale protetto di destinazione e quindi esegue un attacco man-in-the-middle (MiTM) tra il client mirato e un server legittimo.
Questo aggiornamento della sicurezza è valutato importante per Microsoft .NET Framework 2.0 Service Pack 2, Microsoft .NET Framework 3.5, Microsoft .NET Framework 3.5.1, Microsoft .NET Framework 4.5.2, Microsoft .NET Framework 4.6 e Microsoft .NET Framework 4.6.1 nelle versioni interessate di Microsoft Windows. Per altre informazioni, vedere la sezione Software interessato.
L'aggiornamento della sicurezza risolve la vulnerabilità modificando il modo in cui il componente di crittografia .NET invia e riceve pacchetti di rete crittografati. Per altre informazioni sulla vulnerabilità, vedere la sezione Informazioni sulla vulnerabilità.
Per altre informazioni su questo aggiornamento, vedere l'articolo della Microsoft Knowledge Base 3156757.
Classificazioni di gravità del software e della vulnerabilità interessate
Sono interessate le versioni o le edizioni software seguenti. Le versioni o le edizioni non elencate superano il ciclo di vita del supporto o non sono interessate. Per determinare il ciclo di vita del supporto per la versione o l'edizione del software, vedere supporto tecnico Microsoft Ciclo di vita.
Le classificazioni di gravità indicate per ogni software interessato presuppongono il potenziale impatto massimo della vulnerabilità. Per informazioni sulla probabilità, entro 30 giorni dal rilascio di questo bollettino sulla sicurezza, della sfruttabilità della vulnerabilità in relazione alla classificazione di gravità e all'impatto sulla sicurezza, vedere l'indice di exploit nel riepilogo del bollettino di maggio.
| Sistema operativo | Componente | Vulnerabilità di divulgazione di informazioni TLS/SSL - CVE-2016-0149 | Aggiornamenti sostituito |
|---|---|---|---|
| Windows Vista | |||
| Windows Vista Service Pack 2 | Microsoft .NET Framework 2.0 Service Pack 2 (3142023) | Divulgazione di informazioni importanti | None |
| Windows Vista Service Pack 2 | Microsoft .NET Framework 4.5.2[1](3142033) | Divulgazione di informazioni importanti | 2972107 in MS14-057 |
| Windows Vista Service Pack 2 | Microsoft .NET Framework 4.6[1](3142037) | Divulgazione di informazioni importanti | None |
| Windows Vista x64 Edition Service Pack 2 | Microsoft .NET Framework 2.0 Service Pack 2 (3142023) | Divulgazione di informazioni importanti | None |
| Windows Vista x64 Edition Service Pack 2 | Microsoft .NET Framework 4.5.2[1](3142033) | Divulgazione di informazioni importanti | 2972107 in MS14-057 |
| Windows Vista x64 Edition Service Pack 2 | Microsoft .NET Framework 4.6[1](3142037) | Divulgazione di informazioni importanti | None |
| Windows Server 2008 | |||
| Windows Server 2008 per sistemi a 32 bit Service Pack 2 | Microsoft .NET Framework 2.0 Service Pack 2 (3142023) | Divulgazione di informazioni importanti | None |
| Windows Server 2008 per sistemi a 32 bit Service Pack 2 | Microsoft .NET Framework 4.5.2[1](3142033) | Divulgazione di informazioni importanti | 2972107 in MS14-057 |
| Windows Server 2008 per sistemi a 32 bit Service Pack 2 | Microsoft .NET Framework 4.6[1](3142037) | Divulgazione di informazioni importanti | None |
| Windows Server 2008 per sistemi basati su x64 Service Pack 2 | Microsoft .NET Framework 2.0 Service Pack 2 (3142023) | Divulgazione di informazioni importanti | None |
| Windows Server 2008 per sistemi basati su x64 Service Pack 2 | Microsoft .NET Framework 4.5.2[1](3142033) | Divulgazione di informazioni importanti | 2972107 in MS14-057 |
| Windows Server 2008 per sistemi basati su x64 Service Pack 2 | Microsoft .NET Framework 4.6[1](3142037) | Divulgazione di informazioni importanti | None |
| Windows Server 2008 per sistemi basati su Itanium Service Pack 2 | Microsoft .NET Framework 2.0 Service Pack 2 (3142023) | Divulgazione di informazioni importanti | None |
| Windows 7 | |||
| Windows 7 per sistemi a 32 bit Service Pack 1 | Microsoft .NET Framework 3.5.1 (3142024) | Divulgazione di informazioni importanti | None |
| Windows 7 per sistemi a 32 bit Service Pack 1 | Microsoft .NET Framework 4.5.2[1](3142033) | Divulgazione di informazioni importanti | 2972107 in MS14-057 |
| Windows 7 per sistemi a 32 bit Service Pack 1 | Microsoft .NET Framework 4.6/4.6.1[1](3142037) | Divulgazione di informazioni importanti | None |
| Windows 7 per sistemi basati su x64 Service Pack 1 | Microsoft .NET Framework 3.5.1 (3142024) | Divulgazione di informazioni importanti | None |
| Windows 7 per sistemi basati su x64 Service Pack 1 | Microsoft .NET Framework 4.5.2[1](3142033) | Divulgazione di informazioni importanti | 2972107 in MS14-057 |
| Windows 7 per sistemi basati su x64 Service Pack 1 | Microsoft .NET Framework 4.6/4.6.1[1](3142037) | Divulgazione di informazioni importanti | None |
| Windows Server 2008 R2 | |||
| Windows Server 2008 R2 per sistemi basati su x64 Service Pack 1 | Microsoft .NET Framework 3.5.1 (3142024) | Divulgazione di informazioni importanti | None |
| Windows Server 2008 R2 per sistemi basati su x64 Service Pack 1 | Microsoft .NET Framework 4.5.2[1](3142033) | Divulgazione di informazioni importanti | 2972107 in MS14-057 |
| Windows Server 2008 R2 per sistemi basati su x64 Service Pack 1 | Microsoft .NET Framework 4.6/4.6.1[1](3142037) | Divulgazione di informazioni importanti | None |
| Windows Server 2008 R2 per sistemi basati su Itanium Service Pack 1 | Microsoft .NET Framework 3.5.1 (3142024) | Divulgazione di informazioni importanti | None |
| Windows 8.1 | |||
| Windows 8.1 per sistemi a 32 bit | Microsoft .NET Framework 3.5 (3142026) | Divulgazione di informazioni importanti | None |
| Windows 8.1 per sistemi a 32 bit | Microsoft .NET Framework 4.5.2[1](3142030) | Divulgazione di informazioni importanti | 2978041 in MS14-057 |
| Windows 8.1 per sistemi a 32 bit | Microsoft .NET Framework 4.6/4.6.1[1](3142036) | Divulgazione di informazioni importanti | None |
| Windows 8.1 per sistemi basati su x64 | Microsoft .NET Framework 3.5 (3142026) | Divulgazione di informazioni importanti | None |
| Windows 8.1 per sistemi basati su x64 | Microsoft .NET Framework 4.5.2[1](3142030) | Divulgazione di informazioni importanti | 2978041 in MS14-057 |
| Windows 8.1 per sistemi basati su x64 | Microsoft .NET Framework 4.6/4.6.1[1](3142036) | Divulgazione di informazioni importanti | None |
| Windows Server 2012 e Windows Server 2012 R2 | |||
| Windows Server 2012 | Microsoft .NET Framework 3.5 (3142025) | Divulgazione di informazioni importanti | None |
| Windows Server 2012 | Microsoft .NET Framework 4.5.2[1](3142032) | Divulgazione di informazioni importanti | 2978042 in MS14-057 |
| Windows Server 2012 | Microsoft .NET Framework 4.6/4.6.1[1](3142035) | Divulgazione di informazioni importanti | None |
| Windows Server 2012 R2 | Microsoft .NET Framework 3.5 (3142026) | Divulgazione di informazioni importanti | None |
| Windows Server 2012 R2 | Microsoft .NET Framework 4.5.2[1](3142030) | Divulgazione di informazioni importanti | 2978041 in MS14-057 |
| Windows Server 2012 R2 | Microsoft .NET Framework 4.6/4.6.1[1](3142036) | Divulgazione di informazioni importanti | None |
| Windows RT 8.1 | |||
| Windows RT 8.1 | Microsoft .NET Framework 4.5.2[1][2](3142030) | Divulgazione di informazioni importanti | 2978041 in MS14-057 |
| Windows RT 8.1 | Microsoft .NET Framework 4.6/4.6.1[1][2](3142036) | Divulgazione di informazioni importanti | None |
| Windows 10 | |||
| Windows 10 per sistemi a 32 bit[3](3156387) | Microsoft .NET Framework 3.5 | Divulgazione di informazioni importanti | 3147458 |
| Windows 10 per sistemi a 32 bit[3](3156387) | Microsoft .NET Framework 4.6 | Divulgazione di informazioni importanti | 3147458 |
| Windows 10 per sistemi basati su x64[3](3156387) | Microsoft .NET Framework 3.5 | Divulgazione di informazioni importanti | 3147458 |
| Windows 10 per sistemi basati su x64[3](3156387) | Microsoft .NET Framework 4.6 | Divulgazione di informazioni importanti | 3147458 |
| Windows 10 versione 1511 per sistemi a 32 bit[2](3156421) | Microsoft .NET Framework 3.5 | Divulgazione di informazioni importanti | 3140768 |
| Windows 10 versione 1511 per sistemi a 32 bit[2](3156421) | Microsoft .NET Framework 4.6.1 | Divulgazione di informazioni importanti | 3140768 |
| Windows 10 versione 1511 per sistemi basati su x64[2](3156421) | Microsoft .NET Framework 3.5 | Divulgazione di informazioni importanti | 3140768 |
| Windows 10 versione 1511 per sistemi basati su x64[2](3156421) | Microsoft .NET Framework 4.6.1 | Divulgazione di informazioni importanti | 3140768 |
| Opzione di installazione dei componenti di base del server | |||
| Windows Server 2008 R2 per sistemi basati su x64 Service Pack 1 (installazione server core) | Microsoft .NET Framework 3.5.1 (3142024) | Divulgazione di informazioni importanti | None |
| Windows Server 2008 R2 per sistemi basati su x64 Service Pack 1 (installazione server core) | Microsoft .NET Framework 4.5.2[1](3142033) | Divulgazione di informazioni importanti | 2972107 in MS14-057 |
| Windows Server 2008 R2 per sistemi basati su x64 Service Pack 1 (installazione server core) | Microsoft .NET Framework 4.6/4.6.1[1](3142037) | Divulgazione di informazioni importanti | None |
| Windows Server 2012 (installazione server core) | Microsoft .NET Framework 3.5 (3142025) | Divulgazione di informazioni importanti | None |
| Windows Server 2012 (installazione server core) | Microsoft .NET Framework 4.5.2[1](3142032) | Divulgazione di informazioni importanti | 2978042 in MS14-057 |
| Windows Server 2012 (installazione server core) | Microsoft .NET Framework 4.6/4.6.1[1](3142035) | Divulgazione di informazioni importanti | None |
| Windows Server 2012 R2 (installazione di Server Core) | Microsoft .NET Framework 3.5 (3142026) | Divulgazione di informazioni importanti | None |
| Windows Server 2012 R2 (installazione di Server Core) | Microsoft .NET Framework 4.5.2[1](3142030) | Divulgazione di informazioni importanti | 2978041 in MS14-057 |
| Windows Server 2012 R2 (installazione di Server Core) | Microsoft .NET Framework 4.6/4.6.1[1](3142036) | Divulgazione di informazioni importanti | None |
[1]Per informazioni sulle modifiche apportate al supporto per .NET Framework 4.x, vedere Internet Explorer e .NET Framework 4.x Support Announcements (Annunci di supporto di .NET Framework 4.x).
[2]Gli aggiornamenti di Windows RT 8.1 sono disponibili solo tramite Windows Update.
[3]Gli aggiornamenti di Windows 10 sono cumulativi. La versione della sicurezza mensile include tutte le correzioni di sicurezza per le vulnerabilità che interessano Windows 10, oltre agli aggiornamenti non della sicurezza. Gli aggiornamenti sono disponibili tramite il Catalogo di Microsoft Update.
Nota: Windows Server 2016 Technical Preview 5 è interessato. I clienti che eseguono questo sistema operativo sono invitati a applicare l'aggiornamento, disponibile tramite Windows Update.
Informazioni sulla vulnerabilità
Vulnerabilità di divulgazione di informazioni TLS/SSL - CVE-2016-0149
Esiste una vulnerabilità di divulgazione di informazioni nel protocollo TLS/SSL, implementata nel componente di crittografia di Microsoft .NET Framework. Un utente malintenzionato che ha sfruttato correttamente questa vulnerabilità potrebbe decrittografare il traffico SSL/TLS crittografato.
Per sfruttare la vulnerabilità, un utente malintenzionato dovrà prima inserire dati non crittografati nel canale sicuro e quindi eseguire un attacco man-in-the-middle (MiTM) tra il client mirato e un server legittimo. L'aggiornamento risolve la vulnerabilità modificando il modo in cui il componente di crittografia .NET invia e riceve pacchetti di rete crittografati.
Importante Microsoft consiglia ai clienti di scaricare e testare l'aggiornamento applicabile in ambienti controllati/gestiti prima di distribuirlo negli ambienti di produzione.
In caso di problemi di compatibilità delle applicazioni, l'approccio consigliato consiste nel garantire che gli endpoint server e client implementino correttamente la RFC TLS e che possano interpretare due record di divisione contenenti rispettivamente 1, n-1 byte dopo questo aggiornamento. Per altre informazioni e indicazioni per gli sviluppatori, vedere l'articolo della Microsoft Knowledge Base 3155464.
La tabella seguente contiene collegamenti alla voce standard per ogni vulnerabilità nell'elenco Vulnerabilità ed esposizioni comuni:
| Titolo della vulnerabilità | Numero CVE | Divulgato pubblicamente | Sfruttato |
|---|---|---|---|
| Vulnerabilità di divulgazione di informazioni TLS/SSL | CVE-2016-0149 | Sì | No |
Fattori di mitigazione
I fattori di mitigazione seguenti possono essere utili nella situazione:
I clienti che hanno abilitato TLS1.2 non sono interessati. Per altre informazioni e indicazioni per gli sviluppatori, vedere l'articolo della Microsoft Knowledge Base 3155464.
Soluzioni alternative
Microsoft non ha identificato soluzioni alternative per questa vulnerabilità.
Distribuzione degli aggiornamenti della sicurezza
Per informazioni sulla distribuzione degli aggiornamenti della sicurezza, vedere l'articolo della Microsoft Knowledge Base a cui si fa riferimento nel riepilogo esecutivo.
Riconoscimenti
Microsoft riconosce gli sforzi di coloro che si trovano nella community di sicurezza che ci aiutano a proteggere i clienti attraverso la divulgazione coordinata delle vulnerabilità. Per altre informazioni, vedere Riconoscimenti .
Dichiarazione di non responsabilità
Le informazioni fornite nella Microsoft Knowledge Base vengono fornite "così com'è" senza garanzia di alcun tipo. Microsoft dichiara tutte le garanzie, espresse o implicite, incluse le garanzie di commerciabilità e idoneità per uno scopo specifico. In nessun caso, Microsoft Corporation o i suoi fornitori saranno responsabili di qualsiasi danno, incluso diretto, indiretto, accidentale, consequenziale, perdita di profitti aziendali o danni speciali, anche se Microsoft Corporation o i suoi fornitori sono stati informati della possibilità di tali danni. Alcuni stati non consentono l'esclusione o la limitazione della responsabilità per danni consequenziali o accidentali, pertanto la limitazione precedente potrebbe non essere applicata.
Revisioni
- V1.0 (10 maggio 2016): Bollettino pubblicato.
- V1.1 (12 maggio 2016): Bollettino rivisto per annunciare una modifica di rilevamento per l'aggiornamento 3142037 per .NET Framework 4.6/4.6.1. Si tratta solo di una modifica informativa. I clienti che hanno già aggiornato correttamente i propri sistemi non devono eseguire alcuna azione.
Pagina generata 2016-05-12 09:54-07:00.