Come ogni mese, Microsoft ha rilasciato il bollettino con le patch di dicembre, ultimo bollettino per quest’anno.
Se tu che stai leggendo, sei iscritto alla newsletter Insicurezze Collaterali avrai ricevuto da poco una email che con un link per scaricare il foglio di calcolo contenente i CVE coperti dal bollettino assieme ad una valutazione del livello di priorità da dare ad ogni singola issue.
Se non sei ancora iscritto alla newsletter ti suggerisco caldamente di farlo.
L’analisi
Queste le CVE contenute nel bollettino di Dicembre.
| CVE | Vulnerabilità |
|---|---|
| CVE-2019-1489 | Remote Desktop Protocol Information Disclosure Vulnerability |
| CVE-2019-1465 | Windows GDI Information Disclosure Vulnerability |
| CVE-2019-1468 | Win32k Graphics Remote Code Execution Vulnerability |
| CVE-2019-1466 | Windows GDI Information Disclosure Vulnerability |
| CVE-2019-1467 | Windows GDI Information Disclosure Vulnerability |
| CVE-2019-1400 | Microsoft Access Information Disclosure Vulnerability |
| CVE-2019-1464 | Microsoft Excel Information Disclosure Vulnerability |
| CVE-2019-1461 | Microsoft Word Denial of Service Vulnerability |
| CVE-2019-1462 | Microsoft PowerPoint Remote Code Execution Vulnerability |
| CVE-2019-1463 | Microsoft Access Information Disclosure Vulnerability |
| CVE-2019-1485 | VBScript Remote Code Execution Vulnerability |
| CVE-2019-1453 | Windows Remote Desktop Protocol (RDP) Denial of Service Vulnerability |
| CVE-2019-1476 | Windows Elevation of Privilege Vulnerability |
| CVE-2019-1477 | Windows Printer Service Elevation of Privilege Vulnerability |
| CVE-2019-1474 | Windows Kernel Information Disclosure Vulnerability |
| CVE-2019-1478 | Windows COM Server Elevation of Privilege Vulnerability |
| CVE-2019-1483 | Windows Elevation of Privilege Vulnerability |
| CVE-2019-1488 | Microsoft Defender Security Feature Bypass Vulnerability |
| CVE-2019-1487 | Microsoft Authentication Library for Android Information Disclosure Vulnerability |
| CVE-2019-1490 | Skype for Business Server Spoofing Vulnerability |
| CVE-2019-1332 | Microsoft SQL Server Reporting Services XSS Vulnerability |
| CVE-2019-1350 | Git for Visual Studio Remote Code Execution Vulnerability |
| CVE-2019-1349 | Git for Visual Studio Remote Code Execution Vulnerability |
| CVE-2019-1486 | Visual Studio Live Share Spoofing Vulnerability |
| CVE-2019-1387 | Git for Visual Studio Remote Code Execution Vulnerability |
| CVE-2019-1354 | Git for Visual Studio Remote Code Execution Vulnerability |
| CVE-2019-1351 | Git for Visual Studio Tampering Vulnerability |
| CVE-2019-1352 | Git for Visual Studio Remote Code Execution Vulnerability |
| CVE-2019-1471 | Windows Hyper-V Remote Code Execution Vulnerability |
| CVE-2019-1470 | Windows Hyper-V Information Disclosure Vulnerability |
| CVE-2019-1472 | Windows Kernel Information Disclosure Vulnerability |
| CVE-2019-1458 | Win32k Elevation of Privilege Vulnerability |
| CVE-2019-1469 | Win32k Information Disclosure Vulnerability |
| CVE-2019-1480 | Windows Media Player Information Disclosure Vulnerability |
| CVE-2019-1481 | Windows Media Player Information Disclosure Vulnerability |
| CVE-2019-1484 | Windows OLE Remote Code Execution Vulnerability |
Ci sono 2 CVE che hanno una priorità alta e che quindi richiedono un patching abbastanza rapido:
- CVE-2019-1468
- CVE-2019-1458
In particolare per la CVE-2019-1458 sono state rilevate evidenze di utilizzo in the wild durante attacchi reali.
Se vedete il bollettino nel complesso la priorità è bassa, proprio perché ci sono 35 CVE che non sono particolarmente interessanti. Tuttavia, il fatto che esista un exploit noto per una delle issue che sono state corrette, deve far suonare un campanello di allarme e far spingere sull’acceleratore con una discreta energia.
Fossi in voi, vorrei passare una vigilia di Natale tranquilla mentre si sboccia del prosecco; che ne dite?
Off by one
E’ passato un bel po’ dall’ultimo post, non ho fatto più video su Instagram ed ho saltato il bollettino di novembre. La realtà dei fatti è che sono stato sottoposto ad un piccolo intervento al ginocchio, niente di preoccupante, ora sono in via di guarigione.
Nel 2020 mi metterò sotto seriamente e ci saranno un sacco di contenuti interessanti. Promesso.
Enjoy it!
Codice Insicuro, blog di Cyber Security, sviluppo sicuro, code review e altro.
Apple ha rilasciato aggiornamenti di sicurezza che risolvono diverse vulnerabilità in macOS, iOS, iPadOS, tvOS, watchOS e Safari.
News – CERT Nazionale Italia
Google ha rilasciato un aggiornamento di sicurezza per la versione 78 del suo browser Chrome. L’aggiornamento include due fix di sicurezza che risolvono altrettante vulnerabilità di gravità elevata.
News – CERT Nazionale Italia
L’azienda ha sostenuto l’evento di divulgazione e networking che promuove l’uso e la conoscenza del sistema operativo GNU/Linux e del software libero
Bit4id ha partecipato come sponsor all’edizione 2019 del Linux Day, l’evento annuale di scala nazionale dedicato ai temi dell’open source e del software e hardware libero. La manifestazione ha l’obiettivo di mostrare a studenti, professionisti e appassionati di tecnologia le soluzioni alternative al software e all’hardware proprietario. La tappa di Napoli viene organizzata ogni anno da Nalug – Napoli GNU/Linux Users Group.
L’edizione 2019 si è svolta il 25 e il 26 ottobre ed stata ospitata dall’Università Federico II di Napoli nei locali della Digita Academy. Due giornate intense fatte di condivisione, networking, tavoli tematici e interessanti interventi da parte dei relatori.
Sostenendo pienamente i principi che animavano l’iniziativa, Bit4id ha sponsorizzato il Linux Day e ha partecipato attivamente alla manifestazione. Durante l’evento Bit4id ha presentato le attività aziendali ma soprattutto le opportunità lavorative, la Python Academy e in generale tutte le iniziative rivolte sia ai giovani talenti che si apprestano a concludere il proprio percorso universitario, sia a quei giovani laureati che cercano di inserirsi nel mondo del lavoro.
