Soluzioni tecniche

Patch Microsoft di Novembre 2017: ecco il bollettino

20 Novembre 2017

Nel mese di Novembre sono state rilasciate le patch per 53 vulnerabilità di cui 19 considerate critiche.

Probabilmente le più delicate sono quelle che riguardano Internet Explorer e Edge.
Le vulnearbilià in questione (CVE-2017-8700,CVE-2017-11827,CVE-2017-11848 and CVE-2017-11883) sono pubbliche ma non ancora "exploitate".

Inoltre è venuta fuori una "vecchia" vulnerabilità nel protocollo DDE che presumibilmente Microsoft non sistemerà perché il protocollo è considerato obsoleto. Per mitigare il rischio è quindi necessario disabilitare un servizio.

L'attenzione alle patch è necessaria perché a questo giro potrebbero sorgere 4 piccoli problemini.
 

Microsoft Security Advisory 4053440 (November 8, 2017)
La nota di Microsft è relativa all'apertura di documenti che contengono campi Dynamic Data Exchange (DDE) che, a cusa di un vecchio codice, potrebbero rendere "attaccabili" le applicazioni Office.
La nota è disponibile sul sito web di Microsoft.

Il problema, in sintesi, si può verificare quando all'interno di un documento ci sono campi e link che scambiano dati con altri documenti.
In questi casi all'apertura del file compare la scritta "Questo documento contiene collegamenti ad altri file…"
Microsoft nel suo sito ha illustrato come tutelarsi da questo problema, ma una spiegazione più esaustiva la puoi trovare in questo post.

Per mitigare il problema legato al DDE, se usi Autotask Endpoint Management, c'è un componente scritto dall'ottimo Emilio Polenghi che lavora con Office 2010, 2013 e 2016 sui prodotti Excel, Word e Outlook ed è scaricabile gratuitamente.

Qualche problemino è stato rilevato con queste patch:

KB4048954, KB4048953, KB4048955, KB4048952, KB4048956, KB4048958, KB4048961, KB4048957, KB4048960.

I problemi possibili sono 4 e riguardano:

  1. Tutti i rollup/aggiornamenti cumulativi: chi usa Internet Explorer 11 e usa SQL Server Reporting Services (SSRS) potrebbe avere problemi di scrolling con i menu dropdown. Workaround: Il problema si verifica solo in alcune modalità di visualizzazione per cui in attesa di una fix di Microsoft basta cambiare modalità di visualizzazione.
  2. Windows 10: le applicazioni Universal Windows Platform (UWP) che usano JavaScript e asm.js potrebbero smettere di funzionare. Workaround: al momento l'unico modo di risolvere consiste nel disinstallare e reinstallare le applicazioni.
  3. Nuovamente tutti i rollup/aggiornamenti cumulativi (scarso impatto per l'Italia). Potrebbe cambiare la lingua in Microsoft Edge e altre applicazioni: da cecoslovacco/arabo a inglese. Workaround: non esiste un workaround e Microsoft è al lavoro per risolvere il problema.
  4. Windows 10:  alcune stampanti a matrice di punti prodotte da Epson potrebbero non essere più in grado di stampare su sistemi x86 e x64. Workaround: rimuovere l'update comulativo. Microsoft e Epson stanno lavorando a una soluzione del problema, il quale non è legato ai driver per cui rimuoverli e reinstallarli non è una soluzione.

I sistemi impattati dalle patch

Gli aggiornamenti di sicurezza di Novembre riguardano i seguenti software:

  • Internet Explorer
  • Microsoft Edge
  • Microsoft Windows
  • Microsoft Office, Microsoft Office Services e WebApps
  • ASP.NET Core e .NET Core
  • Chakra Core

Per ulteriori informazioni e approfondimenti puoi consultare le release notes delle patch di Novembre.

Autore
Claudio Panerai
Gli ultimi prodotti che vi ho portato, nel 2020: Vade Secure Il primo sistema antispam/antihishing/antimalware basato sull'intelligenza artificiale e appositamente progettato per Office 365. Naturalmente a misura di MSP. ID Agent Piaffaforma che consente agli MSP di monitorare le credenziali (proprie e dei clienti) che sono in vendita nel dark web.
Nato a Ivrea nel 1969, è sposato e padre di due figlie. Laureato in Scienze dell’Informazione nel 1993, ha dapprima svolto numerose consulenze e corsi di formazione per varie società per poi diventare responsabile IT per la filiale italiana del più grande editore mondiale di informatica, IDG Communications. Dal 2004 lavora in Achab dapprima come Responsabile del Supporto Tecnico per poi assumere dal 2008 la carica di Direttore Tecnico. Giornalista iscritto all’albo dei pubblicisti, dal 1992 pubblica regolarmente articoli su riviste di informatica e siti web di primo piano. E' stimato da colleghi e clienti per la schiettezza e onestà intellettuale. Passioni: viaggi, lettura, cinema, Formula 1, sviluppo personale, investimenti immobiliari, forex trading. Claudio è anche su LinkedIn e Facebook.
Commenti (0)

Lascia un commento

Il tuo indirizzo e-mail non verrà pubblicato, lo utilizzeremo solamente per inviarti la notifica della pubblicazione del tuo commento. Ti informiamo che tutti i commenti sono soggetti a moderazione da parte del nostro staff.