Avviso
Questo aggiornamento della sicurezza è stato rilasciato di nuovo il 12 settembre 2017 per risolvere i problemi noti dell'aggiornamento 3170455 per CVE-2016-3238. Microsoft ha reso disponibili gli aggiornamenti seguenti per le versioni attualmente supportate di Microsoft Windows. Per altre informazioni, vedere l'articolo seguente nella Microsoft Knowledge Base:
-
Aggiornamento ri rilasciato 3170455 per Windows Server 2008
-
Aggiornamento cumulativo mensile 4038777 e aggiornamento della sicurezza 4038779 per Windows 7 e Windows Server 2008 R2
-
Aggiornamento cumulativo mensile 4038799 e aggiornamento della sicurezza 4038786 per Windows Server 2012
-
Aggiornamento cumulativo mensile 4038792 e aggiornamento della sicurezza 4038793 per Windows 8.1 e Windows Server 2012 R2
-
Aggiornamento cumulativo 4038781 per Windows 10
-
Aggiornamento cumulativo 4038781 per Windows 10 versione 1511
-
Aggiornamento cumulativo 4038782 per Windows 10 versione 1607 e Windows Server 2016
Microsoft consiglia ai clienti che eseguono Windows Server 2008 di reinstallare l'aggiornamento 3170455. Microsoft consiglia ai clienti che eseguono altre versioni supportate Windows installare l'aggiornamento appropriato. Per altre informazioni, vedere l'articolo 3170455della Microsoft Knowledge Base.
Altre modifiche incluse nella rilasci ms16-087
-
Aggiunta della registrazione degli eventi per determinare la causa degli errori di installazione del driver della stampante
In precedenza, l'unico modo per un cliente di sapere perché un driver non ha superato i nuovi controlli di restrizione implementati nell'ambito di MS16-087 era raccogliere i log di stampa etw, quindi inviarli a Microsoft per l'analisi.
Sono state aggiunte funzionalità per registrare la causa degli errori nel logger di eventi in modo che i clienti possano esaminare la causa radice degli errori dei driver.
Informazioni che verranno registrate:
1. Se un driver non è in grado di riconoscere il pacchetto o non è firmato correttamente, viene registrato il messaggio seguente:
MSG_CSRSPL_UNTRUSTED_DRIVER: "Lo spooler di stampa non è riuscito a scaricare il pacchetto per il driver <driverName>. Codice di errore= <errorCodeFromListBelow>. Bloccando il driver in quanto potrebbe esserci la possibilità di potenziali manomissioni".
2. Se un driver non convalida una firma usando il catalogo fornito, viene registrato il messaggio seguente:
VALIDATEDRVINFO_FAILED: "In VALIDATINGDRVINFO, Aggiunta del driver della stampante <driverName> non riuscita, codice di errore <errorCodeFromListBelow>.
Codici di errore possibili:
Codice |
Significato |
0x800F0243L |
Publisher attendibile |
0x800F024BL |
Hash non in catalogo |
0x800F022FL |
Nessun catalogo per OEM INF |
0x800F023FL |
Nessun catalogo authenticode |
0x800F0240L |
Authenticode non consentito |
0x800F0249L |
Generic "Installazione driver bloccata" |
Riepilogo
Questo aggiornamento della sicurezza risolve le vulnerabilità in Microsoft Windows. La vulnerabilità più grave potrebbe consentire l'esecuzione di codice in modalità remota se un utente malintenzionato è in grado di eseguire un attacco man-in-the-middle (MiTM) su una workstation o un server di stampa o di configurare un server di stampa non autorizzato in una rete di destinazione.il Bollettino Microsoft sulla sicurezza MS16-087.
Per altre informazioni sulla vulnerabilità, vedereUlteriori informazioni
Importante
-
Dopo aver installato questo aggiornamento della sicurezza, per distribuire i driver di punti e di stampa dai server di stampa ai client, è necessario applicare l'aggiornamento cumulativo di Windows seguente nel server di stampa Windows 8.1 o Windows Server 2012 R2:
3000850 Aggiornamento cumulativo di novembre 2014 per Windows RT 8.1, Windows 8.1 e Windows Server 2012 R2
-
Tutti gli aggiornamenti futuri per la sicurezza e la non sicurezza per Windows RT 8.1, Windows 8.1 e Windows Server 2012 R2 richiedono l'installazione dell'aggiornamento 2919355. È consigliabile installare l'aggiornamento 2919355 nel computer basato su Windows RT 8.1, basato su Windows 8.1 o Windows Server 2012 R2 in modo da ricevere gli aggiornamenti futuri.
-
Se si installa un Language Pack dopo l'installazione di questo aggiornamento, è necessario reinstallare questo aggiornamento. È quindi consigliabile installare i Language Pack necessari prima di installare questo aggiornamento. Per altre informazioni, vedere Aggiungere Language Pack a Windows.
Altre informazioni su questo aggiornamento della sicurezza
Gli articoli seguenti contengono altre informazioni su questo aggiornamento della sicurezza in relazione alle singole versioni del prodotto. Gli articoli possono contenere informazioni sui problemi noti.
-
3170455 MS16-087: Descrizione dell'aggiornamento della sicurezza Windows componenti dello spooler di stampa: 12 luglio 2016
-
3163912 Aggiornamento cumulativo per Windows 10: 12 luglio 2016
-
3172985 Aggiornamento cumulativo per Windows 10 1511 e Windows Server 2016 Technical Preview 4: 12 luglio 2016
Problemi noti
Se si usa la stampa di rete nell'ambiente, è possibile che si verifichi uno dei problemi seguenti:
-
Potrebbe essere visualizzato un avviso relativo all'installazione di un driver della stampante oppure l'installazione del driver potrebbe non riuscire senza notifica dopo l'applicazione di MS16-087. I sintomi variano a seconda dello scenario specifico.
Scenario 1 Per i driver della stampante v3 non in grado di riconoscere i pacchetti, è possibile che venga visualizzato il messaggio di avviso seguente quando gli utenti provano a connettersi a stampanti point-and-print:
Scenario 2 I driver in grado di riconoscere i pacchetti devono essere firmati con un certificato attendibile. Il processo di verifica controlla se tutti i file inclusi nel driver hanno un hash nel catalogo. Se la verifica non riesce, il driver viene considerato non attendibile. In questo caso, l'installazione del driver viene bloccata e viene visualizzato il messaggio di avviso seguente:
Scenario 3 Per gli scenari non interattivi, ad esempio la stampante viene installata tramite uno script automatico, quando il driver della stampante soddisfa i criteri descritti nello Scenario 1 o nello Scenario 2, l'installazione della stampante non riesce e non viene visualizzato alcun messaggio di avviso.
In queste situazioni, contattare l'amministratore di rete per ottenere un driver aggiornato dal produttore della stampante. Indicazioni per gli amministratori di rete:-
Aggiornare il driver della stampante interessato. I driver della stampante V3 compatibili con i pacchetti sono stati introdotti in Windows Vista. L'installazione di un driver della stampante in grado di riconoscere i pacchetti risolve il problema.
-
Se per una stampante legacy specifica non è disponibile il driver della stampante appropriato, la preinstallazione del driver della stampante problematico nel sistema client risolverà il problema.
Per altre informazioni su questi scenari, vedere le risorse Microsoft seguenti:
-
-
Dopo aver applicato l'aggiornamento della sicurezza MS16-087 (KB 3170455)e aver provato a connettersi a una stampante attendibile in grado di riconoscere i pacchetti installata in un sistema che esegue Windows 8.1 o Windows Server 2012 R2, non è possibile connettersi alla stampante. Per risolvere il problema, applicare l'aggiornamento cumulativo Windows seguente nel server di stampa Windows 8.1 o Windows Server 2012 R2:
3000850 Aggiornamento cumulativo di novembre 2014 per Windows RT 8.1, Windows 8.1 e Windows Server 2012 R2
Aggiornamento di ottobre 2016: Attenuazione dei problemi noti
Microsoft ha rilasciato un aggiornamento per ottobre 2016 che consente agli amministratori di rete di configurare criteri che consentono l'installazione di driver di stampa che considerano sicuri. Questo aggiornamento consente anche agli amministratori di rete di distribuire le connessioni alle stampanti considerate sicure.
Gli aggiornamenti sono contenuti nei pacchetti di rollup seguenti.
Windows 10 RTM |
|
Windows 10 1511 |
|
Windows 10 1607 |
|
Windows 7 e Windows Server 2008 R2 |
|
Windows Server 2012 |
|
Windows 8.1 e Windows Server 2012 R2 |
Configurazione di Criteri di gruppo per l'aggiunta di server di stampa all'elenco di indirizzi consentiti
-
Fare clic su Start, quindi scegliere Esegui.
-
Digitare gpedit.msc e quindi fare clic su OK.
-
Espandere Configurazione computer e quindi Modelli amministrativi.
-
Fare clic su Stampanti.
-
Fare doppio clic su Restrizioni punti e stampa e quindi selezionare l'opzione Abilitato.
-
In Opzioni selezionare la casella di controllo Gli utenti possono puntare e stampare solo su questi server e quindi digitare i nomi dei server completi nella casella di testo, separati da punti e virgola.
-
In Richieste di sicurezza impostarle come segue:
-
"Quando si installano i driver per una nuova connessione": "Mostra avviso e richiesta di elevazione".
-
"Quando si aggiornano i driver per una connessione esistente": "Mostra avviso e richiesta di elevazione".
-
-
Fare clic su Applica e quindi su OK.
-
Nella pagina Criteri stampanti fare doppio clic su Punto di pacchetto e stampa - Server approvati.
-
Selezionare l'opzione Abilitato.
-
In Opzioni fare clic su Mostra.
-
Digitare un nome di server completo in ogni riga.
-
Scegliere OK.
-
Fare clic su Applica, quindi su OK.
-
Se si usa un client autonomo, riavviare il client e verificare che questi criteri siano in vigore.
-
Se si usano criteri di dominio, inviare i criteri ai client di dominio e quindi verificare che questi criteri siano attivi.
Nota Dopo aver abilitato questi criteri di gruppo, è necessario aggiungere tutti i server di stampa all'elenco Restrizioni punti e stampa e all'elenco Punto di pacchetto e server approvati. Questo vale indipendentemente dalla consapevolezza del pacchetto.
Domande frequenti sull'aggiornamento di ottobre 2016
-
D: È consigliabile disinstallare l'aggiornamento precedente?
A: No. L'aggiornamento precedente risolve la vulnerabilità. L'aggiornamento di ottobre 2016 fornisce un'attenuazione per offrire agli amministratori di rete la possibilità di installare driver che considerano sicuri. -
D: Anche con l'aggiornamento di ottobre 2016 installato e i criteri di gruppo configurati, il messaggio "Considerare attendibile questa stampante" viene ancora visualizzato quando si prova a installare una stampante locale. Perché? Indicazioni per gli amministratori di rete.
A: Questa soluzione è destinata alle stampanti di rete e non alle stampanti locali, quindi questo comportamento è previsto. Nota Se viene visualizzato il messaggio "Considera attendibile la stampante", sostituire il driver corrente usando un driver attendibile che ne tenga conto oppure installare i file del driver nell'archivio driver locale prima di installare la stampante locale. Per altre informazioni, vedere la sezione
Come ottenere e installare l'aggiornamento
Metodo 1: aggiornamento Windows
Questo aggiornamento è disponibile tramite Windows Update. Quando si attiva l'aggiornamento automatico, questo aggiornamento verrà scaricato e installato automaticamente. Per altre informazioni su come attivare l'aggiornamento automatico, vedere Ottenere automaticamente gli aggiornamenti della sicurezza. Nota Per Windows RT 8.1, questo aggiornamento è disponibile solo Windows aggiornamento.
È possibile ottenere il pacchetto di aggiornamento autonomo tramite l'Area download Microsoft. Seguire le istruzioni di installazione nella pagina di download per installare l'aggiornamento.MS16-087 che corrisponde alla versione di Windows in esecuzione.
Fare clic sul collegamento per il download nel Bollettino Microsoft sulla sicurezzaUlteriori informazioni
Windows Vista (tutte le edizioni) Tabella di riferimento
La tabella seguente contiene le informazioni sull'aggiornamento della sicurezza per questo software.
Nomi dei file degli aggiornamenti della sicurezza |
Per tutte le edizioni a 32 bit supportate di Windows Vista: Windows6.0-KB3170455-x86.msu |
Per tutte le edizioni supportate basate su x64 di Windows Vista: Windows6.0-KB3170455-x64.msu |
|
Opzioni di installazione |
|
Richiesta di riavvio |
In alcuni casi, questo aggiornamento non richiede il riavvio del sistema. Se vengono usati i file necessari, l'aggiornamento richiederà il riavvio del sistema. In questo caso, viene visualizzato un messaggio che consiglia di riavviare il sistema. |
Informazioni sulla rimozione |
WUSA.exe non supporta la disinstallazione degli aggiornamenti. Per disinstallare un aggiornamento installato da WUSA, fare clic su Pannello di controlloe quindi su Sicurezza. In Windows ,fare clic su Visualizza aggiornamenti installatie quindi selezionare dall'elenco degli aggiornamenti. |
Informazioni sui file |
Vedere l'articolo 3170455 della Microsoft Knowledge Base |
Verifica della chiave del Registro di sistema |
Nota Non esiste una chiave del Registro di sistema per convalidare la presenza di questo aggiornamento. |
Windows Tabella di riferimento di Server 2008 (tutte le edizioni)
La tabella seguente contiene le informazioni sull'aggiornamento della sicurezza per questo software.
Nomi dei file degli aggiornamenti della sicurezza |
Per tutte le edizioni a 32 bit supportate di Windows Server 2008: Windows6.0-KB3170455-x86.msu |
Per tutte le edizioni supportate basate su x64 di Windows Server 2008: Windows6.0-KB3170455-x64.msu |
|
Per tutte le edizioni supportate basate su Itanium di Windows Server 2008: Windows6.0-KB3170455-ia64.msu |
|
Opzioni di installazione |
|
Richiesta di riavvio |
In alcuni casi, questo aggiornamento non richiede il riavvio del sistema. Se vengono usati i file necessari, l'aggiornamento richiederà il riavvio del sistema. In questo caso, viene visualizzato un messaggio che consiglia di riavviare il sistema. |
Informazioni sulla rimozione |
WUSA.exe non supporta la disinstallazione degli aggiornamenti. Per disinstallare un aggiornamento installato da WUSA, fare clic su Pannello di controlloe quindi su Sicurezza. In Windows ,fare clic su Visualizza aggiornamenti installatie quindi selezionare dall'elenco degli aggiornamenti. |
Informazioni sui file |
Vedere l'articolo 3170455 della Microsoft Knowledge Base |
Verifica della chiave del Registro di sistema |
Nota Non esiste una chiave del Registro di sistema per convalidare la presenza di questo aggiornamento. |
Windows 7 (tutte le edizioni) Tabella di riferimento
La tabella seguente contiene le informazioni sull'aggiornamento della sicurezza per questo software.
Nome file dell'aggiornamento della sicurezza |
Per tutte le edizioni a 32 bit supportate di Windows 7: Windows6.1-KB3170455-x86.msu |
Per tutte le edizioni supportate basate su x64 di Windows 7: Windows6.1-KB3170455-x64.msu |
|
Opzioni di installazione |
|
Richiesta di riavvio |
In alcuni casi, questo aggiornamento non richiede il riavvio del sistema. Se vengono usati i file necessari, l'aggiornamento richiederà il riavvio del sistema. In questo caso, viene visualizzato un messaggio che consiglia di riavviare il sistema. |
Informazioni sulla rimozione |
Per disinstallare un aggiornamento installato da WUSA, usare l'opzione di installazione /Uninstall o fare clic su Pannello di controllo,fare clic su Sistema e sicurezza,fare clic su Windows Aggiorna,fare clic su Visualizza aggiornamenti installati equindi selezionare dall'elenco degli aggiornamenti. |
Informazioni sui file |
Vedere l'articolo 3170455 della Microsoft Knowledge Base |
Verifica della chiave del Registro di sistema |
Nota Non esiste una chiave del Registro di sistema per convalidare la presenza di questo aggiornamento. |
Windows Tabella di riferimento di Server 2008 R2 (tutte le edizioni)
La tabella seguente contiene le informazioni sull'aggiornamento della sicurezza per questo software.
Nome file dell'aggiornamento della sicurezza |
Per tutte le edizioni basate su x64 supportate di Windows Server 2008 R2: Windows6.1-KB3170455-x64.msu |
Per tutte le edizioni supportate basate su Itanium di Windows Server 2008 R2: Windows6.1-KB3170455-ia64.msu |
|
Opzioni di installazione |
|
Richiesta di riavvio |
In alcuni casi, questo aggiornamento non richiede il riavvio del sistema. Se vengono usati i file necessari, l'aggiornamento richiederà il riavvio del sistema. In questo caso, viene visualizzato un messaggio che consiglia di riavviare il sistema. |
Informazioni sulla rimozione |
Per disinstallare un aggiornamento installato da WUSA, usare l'opzione di installazione /Uninstall o fare clic su Pannello di controllo,fare clic su Sistema e sicurezza,fare clic su Windows Aggiorna,fare clic su Visualizza aggiornamenti installati equindi selezionare dall'elenco degli aggiornamenti. |
Informazioni sui file |
Vedere l'articolo 3170455 della Microsoft Knowledge Base |
Verifica della chiave del Registro di sistema |
Nota Non esiste una chiave del Registro di sistema per convalidare la presenza di questo aggiornamento. |
Windows 8.1 di riferimento (tutte le edizioni)
La tabella seguente contiene le informazioni sull'aggiornamento della sicurezza per questo software.
Nome file dell'aggiornamento della sicurezza |
Per tutte le edizioni a 32 bit supportate di Windows 8.1: Windows8.1-KB3170455-x86.msu |
Per tutte le edizioni supportate basate su x64 di Windows 8.1: Windows8.1-KB3170455-x64.msu |
|
Opzioni di installazione |
|
Richiesta di riavvio |
In alcuni casi, questo aggiornamento non richiede il riavvio del sistema. Se vengono usati i file necessari, l'aggiornamento richiederà il riavvio del sistema. In questo caso, viene visualizzato un messaggio che consiglia di riavviare il sistema. |
Informazioni sulla rimozione |
Per disinstallare un aggiornamento installato da WUSA, usare l'opzione di installazione /Uninstall o fare clic su Pannello di controllo,fare clic su Sistema e sicurezza,fare clic su Windows Aggiorna,fare clic su Aggiornamenti installati in Vedere anche equindi selezionare dall'elenco degli aggiornamenti. |
Informazioni sui file |
Vedere l'articolo 3170455 della Microsoft Knowledge Base |
Verifica della chiave del Registro di sistema |
Nota Non esiste una chiave del Registro di sistema per convalidare la presenza di questo aggiornamento. |
Windows Server 2012 e Windows Server 2012 R2 (tutte le edizioni) Tabella
di riferimento La tabella seguente contiene le informazioni sull'aggiornamento della sicurezza per questo software.
Nome file dell'aggiornamento della sicurezza |
Per tutte le edizioni supportate di Windows Server 2012: Windows8-RT-KB3170455-x64.msu |
Per tutte le edizioni supportate di Windows Server 2012 R2: Windows8.1-KB3170455-x64.msu |
|
Opzioni di installazione |
|
Richiesta di riavvio |
In alcuni casi, questo aggiornamento non richiede il riavvio del sistema. Se vengono usati i file necessari, l'aggiornamento richiederà il riavvio del sistema. In questo caso, viene visualizzato un messaggio che consiglia di riavviare il sistema. |
Informazioni sulla rimozione |
Per disinstallare un aggiornamento installato da WUSA, usare l'opzione di installazione /Uninstall o fare clic su Pannello di controllo,fare clic su Sistema e sicurezza,fare clic su Windows Aggiorna,fare clic su Aggiornamenti installati in Vedere anche equindi selezionare dall'elenco degli aggiornamenti. |
Informazioni sui file |
Vedere l'articolo 3170455 della Microsoft Knowledge Base |
Verifica della chiave del Registro di sistema |
Nota Non esiste una chiave del Registro di sistema per convalidare la presenza di questo aggiornamento. |
Windows RT 8.1 (tutte le edizioni) Tabella
di riferimento La tabella seguente contiene le informazioni sull'aggiornamento della sicurezza per questo software.
Distribuzione |
Questo aggiornamento è disponibile solo Windows aggiornamento. |
Requisito di riavvio |
In alcuni casi, questo aggiornamento non richiede il riavvio del sistema. Se vengono usati i file necessari, l'aggiornamento richiederà il riavvio del sistema. In questo caso, viene visualizzato un messaggio che consiglia di riavviare il sistema. |
Informazioni sulla rimozione |
Fare clic su Pannello di controllo, fare clic su Sistema e sicurezza, fare clic su Windows Aggiorna e quindi in Vedere anche fare clic su Aggiornamenti installati e selezionare un'opzione nell'elenco degli aggiornamenti. |
Informazioni sui file |
Vedere l'articolo 3170455 della Microsoft Knowledge Base |
Windows 10 di riferimento (tutte le edizioni)
La tabella seguente contiene le informazioni sull'aggiornamento della sicurezza per questo software.
Nome file dell'aggiornamento della sicurezza |
Per tutte le edizioni a 32 bit supportate di Windows 10: Windows10.0-KB3163912-x86.msu |
Per tutte le edizioni basate su x64 supportate di Windows 10: Windows10.0-KB3163912-x64.msu |
|
Per tutte le edizioni a 32 bit supportate Windows 10 versione 1511: Windows10.0-KB3172985-x86.msu |
|
Per tutte le edizioni basate su x64 supportate di Windows 10 versione 1511: Windows10.0-KB3172985-x64.msu |
|
Opzioni di installazione |
|
Richiesta di riavvio |
In alcuni casi, questo aggiornamento non richiede il riavvio del sistema. Se vengono usati i file necessari, l'aggiornamento richiederà il riavvio del sistema. In questo caso, viene visualizzato un messaggio che consiglia di riavviare il sistema. |
Informazioni sulla rimozione |
Per disinstallare un aggiornamento installato da WUSA, usare l'opzione di installazione /Uninstall o fare clic su Pannello di controllo,fare clic su Sistema e sicurezza,fare clic su Windows Aggiorna,fare clic su Aggiornamenti installati in Vedere anche equindi selezionare dall'elenco degli aggiornamenti. |
Informazioni sui file |
Vedere l'articolo 3163912 della Microsoft Knowledge Base Vedere l'articolo 3172985 della Microsoft Knowledge Base |
Verifica della chiave del Registro di sistema |
Nota Non esiste una chiave del Registro di sistema per convalidare la presenza di questo aggiornamento. |
Guida per l'installazione degli aggiornamenti: Supporto per Microsoft Update Soluzioni di sicurezza per professionisti IT: Risoluzione dei problemi e supporto per la sicurezza TechNet Guida alla protezione del computer Windows da virus e malware: Centro sicurezza e soluzioni antivirus Supporto locale in base al paese: Supporto internazionale