Bollettino sulla sicurezza
Microsoft Security Bulletin MS03-032 - Critico
Patch cumulativa per Internet Explorer (822925)
Pubblicato: 20 agosto 2003 | Aggiornamento: 03 ottobre 2003
Versione: 1.4
Pubblicato originariamente: 20 agosto 2003 modificato: 3 ottobre 2003
Riepilogo
Chi deve leggere questo bollettino: Clienti che usano Microsoft® Internet Explorer.
Impatto della vulnerabilità: due nuove vulnerabilità, il più grave dei quali potrebbe consentire a un utente malintenzionato di eseguire codice arbitrario nel sistema di un utente se l'utente ha esplorato un sito Web ostile o ha aperto un messaggio di posta elettronica basato su HTML appositamente creato.
Valutazione massima gravità: critico
Raccomandazione: gli amministratori di sistema devono installare immediatamente la patch.
Software interessato:
- Microsoft Internet Explorer 5.01
- Microsoft Internet Explorer 5.5
- Microsoft Internet Explorer 6.0
- Microsoft Internet Explorer 6.0 per Windows Server 2003
Una versione end user del bollettino è disponibile all'indirizzo:
Informazioni generali
Dettagli tecnici
Descrizione tecnica:
Microsoft ha originariamente pubblicato questo bollettino il 20 agosto 2003. Dopo l'emissione del bollettino sulla sicurezza, Microsoft ha ricevuto segnalazioni che la patch fornita con questo bollettino non corregge correttamente la vulnerabilità del tipo di oggetto (CAN-2003-0532).
Microsoft ha inoltre rilevato un problema che interessa in modo specifico i sistemi Windows XP configurati come server Web che servono ASP.NET pagine Web e fa sì che i client che si connettono al server Web ricevano un errore quando tentano di visualizzare le pagine nel sito. Questo problema riguarda solo i computer Windows XP che hanno installato Internet Information Services (IIS) 5.1 (che non è installato per impostazione predefinita) e configurati con .NET Framework versione 1.0 per gestire le pagine Web basate su ASP.NET, non influisce su altre versioni di Windows. Microsoft ha pubblicato un articolo della Knowledge Base 827641 che illustra i passaggi per risolvere questo problema mantenendo il livello di protezione fornito dalla patch di sicurezza.
Microsoft ha esaminato questi report ed ha pubblicato un nuovo bollettino con una patch aggiornata che corregge questi problemi. Microsoft ha rilasciato il bollettino sulla sicurezza MS03-040 che sostituisce questo bollettino.
Si tratta di una patch cumulativa che include la funzionalità di tutte le patch rilasciate in precedenza per Internet Explorer 5.01, 5.5 e 6.0. Inoltre, elimina le vulnerabilità appena individuate seguenti:
- Vulnerabilità che interessa il modello di sicurezza tra domini di Internet Explorer, che impedisce alle finestre di domini diversi di condividere informazioni. Questo difetto potrebbe causare l'esecuzione dello script nell'area Computer personale. Per sfruttare questo difetto, un utente malintenzionato dovrà ospitare un sito Web dannoso che conteneva una pagina Web progettata per sfruttare questa particolare vulnerabilità e quindi convincere un utente a visitare tale sito. Dopo che l'utente ha visitato il sito Web dannoso, è possibile che l'utente malintenzionato esegua script dannosi usando il metodo usato da Internet Explorer per recuperare i file dalla cache del browser e fare in modo che lo script acceda alle informazioni in un dominio diverso. Nel peggiore dei casi, questo potrebbe consentire all'operatore del sito Web di caricare codice script dannoso nel sistema di un utente nel contesto di sicurezza dell'area Computer personale. Inoltre, questo difetto potrebbe anche consentire a un utente malintenzionato di eseguire un file eseguibile già presente nel sistema locale o visualizzare i file nel computer. Il difetto esiste perché un file da Internet o Intranet con un URL costruito in modo dannoso può essere visualizzato nella cache del browser in esecuzione nell'area Computer.
- Vulnerabilità che si verifica perché Internet Explorer non determina correttamente un tipo di oggetto restituito da un server Web. Potrebbe essere possibile che un utente malintenzionato abbia sfruttato questa vulnerabilità per eseguire codice arbitrario nel sistema di un utente. Se un utente ha visitato il sito Web di un utente malintenzionato, è possibile che l'utente malintenzionato sfrutti questa vulnerabilità senza altre azioni dell'utente. Un utente malintenzionato potrebbe anche creare un messaggio di posta elettronica basato su HTML che tenterebbe di sfruttare questa vulnerabilità.
Questa patch imposta anche kill bit sul controllo ActiveX BR549.DLL. Questo controllo ha implementato il supporto per Windows Reporting Tool, che non è più supportato da Internet Explorer. È stato rilevato che il controllo contiene una vulnerabilità di sicurezza. Per proteggere i clienti che dispongono di questo controllo installato, la patch impedisce l'esecuzione o la reintroduzione del controllo nei sistemi degli utenti impostando Kill Bit per questo controllo. Questo problema viene illustrato più avanti nell'articolo della Microsoft Knowledge Base 822925.
Oltre a queste vulnerabilità, è stata apportata una modifica al modo in cui Internet Explorer esegue il rendering dei file HTML. Questa modifica risolve un difetto nel modo in cui Internet Explorer esegue il rendering delle pagine Web che potrebbero causare l'esito negativo del browser o di Outlook Express. Internet Explorer non esegue correttamente il rendering di un tag di tipo di input. Un utente che visita il sito Web di un utente malintenzionato potrebbe consentire all'utente malintenzionato di sfruttare la vulnerabilità visualizzando il sito. Inoltre, un utente malintenzionato potrebbe creare un messaggio di posta elettronica basato su HTML appositamente formato che potrebbe causare un errore di Outlook Express quando il messaggio di posta elettronica è stato aperto o visualizzato in anteprima.
Questa patch contiene anche una modifica alla correzione per la vulnerabilità del tipo di oggetto (CAN-2003-0344) corretta nel bollettino microsoft sulla sicurezza MS03-020. La modifica corregge il comportamento della correzione per impedire l'attacco a lingue specifiche.
Per sfruttare questi difetti, l'utente malintenzionato dovrà creare un messaggio di posta elettronica basato su HTML appositamente formato e inviarlo all'utente. In alternativa, un utente malintenzionato deve ospitare un sito Web dannoso che contiene una pagina Web progettata per sfruttare queste vulnerabilità. L'utente malintenzionato dovrà quindi convincere un utente a visitare il sito.
Come per le patch cumulative precedenti di Internet Explorer rilasciate con bollettini MS03-004, MS03-015 e MS03-020 questa patch cumulativa causerà la sospensione di window.showHelp( ) se non è stato applicato l'aggiornamento della Guida HTML. Se è stato installato il controllo della Guida HTML aggiornato dall'articolo 811630 della Knowledge Base, sarà comunque possibile usare la funzionalità della Guida HTML dopo aver applicato questa patch.
Fattori di mitigazione:
- Per impostazione predefinita, Internet Explorer in Windows Server 2003 viene eseguito in Configurazione sicurezza avanzata. Questa configurazione predefinita di Internet Explorer blocca questi attacchi. Se Internet Explorer Enhanced Security Configuration è stato disabilitato, verranno rimosse le protezioni che impediscono l'exploit di queste vulnerabilità.
- Nello scenario di attacco basato sul Web, l'utente malintenzionato dovrà ospitare un sito Web contenente una pagina Web usata per sfruttare queste vulnerabilità. Un utente malintenzionato non avrebbe modo di forzare gli utenti a visitare un sito Web dannoso all'esterno del vettore di posta elettronica basato su HTML. L'utente malintenzionato dovrà invece attirarli lì, in genere facendogli clic su un collegamento che li porterebbe al sito dell'utente malintenzionato.
- Il codice eseguito nel sistema verrebbe eseguito solo con i privilegi dell'utente connesso.
Valutazione gravità:
| Internet Explorer 5.01 SP3 | Internet Explorer 5.5 SP2 | Internet Explorer 6.0 Gold | Internet Explorer 6.0 SP1 | Internet Explorer 6.0 per Windows Server 2003 | |
|---|---|---|---|---|---|
| sovraccarico del buffer BR549.DLL | Critico | Critico | Critico | Critico | Moderato |
| Esecuzione di script nella cache del browser nell'area Computer personale | Importante | Importante | Importante | Importante | Moderato |
| Vulnerabilità tag oggetto | Critico | Critico | Critico | Critico | Moderato |
| Gravità aggregata di tutti i problemi inclusi in questa patch | Critico | Critico | Critico | Critico | Moderato |
La valutazione precedente si basa sui tipi di sistemi interessati dalla vulnerabilità, sui modelli di distribuzione tipici e sull'effetto che l'exploit della vulnerabilità avrebbe su di essi.
Identificatore di vulnerabilità:
- BR549.DLL buffer overrun:CAN-2003-0530
- Esecuzione di script della cache del browser nell'area Computer personale:CAN-2003-0531
- Vulnerabilità del tipo di oggetto:CAN-2003-0532
Versioni testate:
Internet Explorer versioni 5.01 Service Pack 3, Internet Explorer 5.01 Service Pack 4, Internet Explorer 5.5 Service Pack 2, Internet Explorer 6.0 e Internet Explorer 6.0 Service Pack 1 sono stati testati per queste vulnerabilità. Le versioni precedenti non sono più supportate e potrebbero non essere interessate da queste vulnerabilità. Altre informazioni sui cicli di vita dei componenti del sistema operativo Windows sono disponibili in:
Domande frequenti
Perché Microsoft ha rivisto questo bollettino?
Dopo aver emesso questo bollettino sulla sicurezza, Microsoft ha ricevuto segnalazioni che la patch fornita con questo bollettino non corregge correttamente la vulnerabilità del tipo di oggetto (CAN-2003-0532).
Microsoft ha inoltre rilevato un problema che interessa in modo specifico i sistemi Windows XP configurati come server Web che servono ASP.NET pagine Web e fa sì che i client che si connettono al server Web ricevano un errore quando tentano di visualizzare le pagine nel sito. Questo problema riguarda solo i computer Windows XP che hanno installato Internet Information Services (IIS) 5.1 (che non è installato per impostazione predefinita) e configurati con .NET Framework versione 1.0 per gestire le pagine Web basate su ASP.NET, non influisce su altre versioni di Windows. Microsoft ha pubblicato un articolo della Knowledge Base 827641 che illustra i passaggi per risolvere questo problema mantenendo il livello di protezione fornito dalla patch di sicurezza.
Microsoft ha esaminato questi report ed ha pubblicato un nuovo bollettino con una patch aggiornata che corregge questi problemi. Microsoft ha rilasciato il bollettino sulla sicurezza MS03-040 che sostituisce questo bollettino.
Quali vulnerabilità vengono eliminate da questa patch?
Si tratta di una patch cumulativa che incorpora la funzionalità di tutte le patch rilasciate in precedenza per Internet Explorer. Inoltre, la patch elimina le vulnerabilità appena segnalate seguenti:
- Vulnerabilità che potrebbe consentire a un utente malintenzionato di causare l'esecuzione di codice arbitrario nel sistema dell'utente.
- Vulnerabilità che potrebbe consentire a un utente malintenzionato di causare l'esecuzione del codice script nel sistema dell'utente.
La patch contiene altre modifiche alla sicurezza?
Sì. Questa patch imposta kill bit sul controllo ActiveX BR549.DLL. Questo controllo ha implementato il supporto per Windows Reporting Tool, che non è più supportato da Internet Explorer. È stato rilevato che il controllo contiene una vulnerabilità di sicurezza. Per proteggere i clienti che dispongono di questo controllo installato, la patch impedisce l'esecuzione o la reintroduzione del controllo nei sistemi degli utenti impostando Kill Bit per questo controllo. Questo problema è illustrato più avanti nell'articolo della Microsoft Knowledge Base 822925. Inoltre, questa patch contiene anche una modifica alla correzione per la vulnerabilità del tipo di oggetto (CAN-2003-0344) corretta nel bollettino microsoft sulla sicurezza MS03-020. La modifica corregge il comportamento della correzione per impedire l'attacco a lingue specifiche.
Internet Explorer è in esecuzione in Windows Server 2003. In questo modo si attenuano queste vulnerabilità?
Sì. Per impostazione predefinita, Internet Explorer in Windows Server 2003 viene eseguito in una modalità con restrizioni nota come Configurazione sicurezza avanzata.
Che cos'è La configurazione di sicurezza avanzata di Internet Explorer?
Internet Explorer Enhanced Security Configuration è un gruppo di impostazioni preconfigurate di Internet Explorer che riducono la probabilità che un utente o un amministratore scarichi e esegua contenuto Web dannoso in un server. Internet Explorer Enhanced Security Configuration riduce questo rischio modificando numerose impostazioni relative alla sicurezza, incluse le impostazioni della scheda Sicurezza e avanzate in Opzioni Internet. Alcune delle modifiche principali includono:
- Il livello di sicurezza per l'area Internet è impostato su Alto. Questa impostazione disabilita gli script, i controlli ActiveX, la macchina virtuale Microsoft (Microsoft VM), il contenuto HTML e i download di file.
- Il rilevamento automatico dei siti Intranet è disabilitato. Questa impostazione assegna tutti i siti Web Intranet e tutti i percorsi UNC (Universal Naming Convention) non elencati in modo esplicito nell'area Intranet locale all'area Internet.
- L'installazione su richiesta e le estensioni del browser non Microsoft sono disabilitate. Questa impostazione impedisce l'installazione automatica dei componenti delle pagine Web e impedisce l'esecuzione delle estensioni non Microsoft.
- Il contenuto multimediale è disabilitato. Questa impostazione impedisce l'esecuzione di musica, animazioni e clip video.
La disabilitazione della configurazione sicurezza avanzata di Internet Explorer comporta la rimozione delle protezioni che consentono di evitare che questa vulnerabilità venga sfruttata. Per altre informazioni sulla configurazione della sicurezza avanzata di Internet Explorer, vedere la Guida alla gestione della configurazione della sicurezza avanzata di Internet Explorer. A tale scopo, visitare il seguente sito Web Microsoft:
Esiste una configurazione di Windows Server 2003 che probabilmente ha la configurazione della sicurezza avanzata di Internet Explorer disabilitata?
Sì. I sistemi Amministrazione istrators che hanno distribuito Windows Server 2003 come Terminal Server probabilmente disabiliterebbero la configurazione sicurezza avanzata di Internet Explorer per consentire agli utenti del Server Terminal di usare Internet Explorer in modalità senza restrizioni.
CAN-2003-0531: Esecuzione di script della cache del browser nell'area Computer personale
Qual è l'ambito di questa vulnerabilità?
Un difetto in Internet Explorer potrebbe consentire a un operatore del sito Web dannoso di accedere alle informazioni in un altro dominio Internet o nel sistema locale dell'utente inserendo codice appositamente creato quando il browser verifica l'esistenza di file nella cache del browser. Nel peggiore dei casi, questo potrebbe consentire all'operatore del sito Web di caricare codice script dannoso nel sistema di un utente nel contesto di sicurezza dell'area Computer personale. Inoltre, questo difetto potrebbe anche consentire a un utente malintenzionato di eseguire un file eseguibile già presente nel sistema locale o visualizzare i file nel computer. L'utente malintenzionato non sarebbe in grado di passare parametri all'eseguibile, tuttavia.
Che cosa causa la vulnerabilità?
La vulnerabilità risulta perché è possibile quando il browser verifica l'esistenza di file locali nella cache del browser per ignorare il modello di sicurezza tra domini implementato da Internet Explorer.
Cosa significa "modello di sicurezza tra domini" di Internet Explorer?
Una delle principali funzioni di sicurezza di un browser consiste nel garantire che le finestre del browser sotto il controllo di siti Web diversi non possano interferire tra loro o accedere tra loro i dati, pur consentendo alle finestre dello stesso sito di interagire tra loro. Per distinguere le finestre del browser cooperativo e non cooperativo, è stato creato il concetto di "dominio". Un dominio è un limite di sicurezza. Le finestre aperte all'interno dello stesso dominio possono interagire tra loro, ma le finestre di domini diversi non possono interagire tra loro. Il "modello di sicurezza tra domini" è la parte dell'architettura di sicurezza che impedisce alle finestre da domini diversi di interferire tra loro.
L'esempio più semplice di un dominio è associato ai siti Web. Se si visita www.microsoft.com e si apre una finestra per www.microsoft.com/security, le due finestre possono interagire con ognuna perché entrambe appartengono allo stesso dominio, www.microsoft.com. Tuttavia, se è stato visitato www.microsoft.com e ha aperto una finestra in un sito Web diverso, il modello di sicurezza tra domini proteggerà le due finestre l'una dall'altra. Il concetto va ancora oltre. Il file system nel computer locale, ad esempio, è anche un dominio. Ad esempio, www.microsoft.com potrebbe aprire una finestra e mostrare un file sul disco rigido. Tuttavia, poiché il file system locale si trova in un dominio diverso dal sito Web, il modello di sicurezza tra domini deve impedire al sito Web di leggere il file visualizzato.
I criteri di sicurezza di Internet Explorer possono essere configurati usando le impostazioni delle aree di sicurezza Internet in Internet Explorer o tramite Criteri di gruppo.
Che cosa sono le aree di sicurezza di Internet Explorer?
Le aree di sicurezza di Internet Explorer sono un sistema che divide il contenuto online in categorie o zone, in base alla sua attendibilità. È possibile assegnare domini Web specifici a una zona, a seconda della quantità di attendibilità inserita nel contenuto di ogni dominio. L'area limita quindi le funzionalità del contenuto Web, in base ai criteri dell'area. Per impostazione predefinita, la maggior parte dei domini Internet viene considerata come parte dell'area Internet, con criteri predefiniti che impediscono agli script e ad altro codice attivo di accedere alle risorse nel sistema locale. Per impostazione predefinita, i file archiviati nel computer locale vengono eseguiti nell'area Computer locale.
Qual è il problema del modo in cui Internet Explorer calcola la sicurezza tra domini?
Internet Explorer valuta la sicurezza quando una pagina Web richiede l'accesso alle risorse in un'altra area di sicurezza. Esiste un difetto nel modo in cui Internet Explorer controlla il dominio di origine quando si verifica l'esistenza di file locali nella cache del browser.
Cosa potrebbe fare questa vulnerabilità per consentire a un utente malintenzionato di eseguire?
Un utente malintenzionato potrebbe usare questa vulnerabilità per creare una pagina Web che consenta all'utente malintenzionato di accedere ai dati tra domini. Ciò potrebbe includere la lettura dei file di sistema locali non usati dall'utente o dal sistema operativo, a condizione che l'utente malintenzionato conoscesse il percorso completo e il nome del file. Può includere anche l'accesso a tutti i dati che un utente ha scelto di condividere con un altro sito Web. Un utente malintenzionato potrebbe anche eseguire file eseguibili nel file system locale dell'utente senza parametri.
In che modo un utente malintenzionato potrebbe sfruttare questa vulnerabilità?
Un utente malintenzionato potrebbe cercare di sfruttare questa vulnerabilità creando una pagina Web dannosa e quindi invogliando l'utente a visitare questa pagina. Quando l'utente ha visitato la pagina, l'utente malintenzionato potrebbe causare l'esecuzione dello script nel contesto di sicurezza dell'area Computer personale. L'utente malintenzionato potrebbe anche creare una pagina Web che, quando visualizzata dall'utente, eseguirebbe un file eseguibile già presente nel sistema locale dell'utente. L'autore dell'attacco non è tuttavia in grado di passare parametri all'eseguibile.
Che cosa fa la patch?
La patch corregge la vulnerabilità assicurandosi che Internet Explorer convalide correttamente la richiesta di nome file durante il controllo per verificare se esiste un file nella cache locale.
CAN-2003-0532: vulnerabilità tag oggetto
Qual è l'ambito di questa vulnerabilità?
Un difetto nel modo in cui Internet Explorer gestisce una richiesta HTTP specifica potrebbe consentire l'esecuzione di codice arbitrario nel contesto dell'utente connesso, se l'utente visita un sito sotto il controllo dell'utente malintenzionato.
Che cosa causa la vulnerabilità?
Il risultato della vulnerabilità è dovuto al fatto che Internet Explorer non controlla correttamente una risposta HTTP appositamente creata che può essere rilevata quando Internet Explorer gestisce un tag oggetto in una pagina Web.
Qual è il problema con il modo in cui Internet Explorer gestisce i tag degli oggetti?
Esiste un difetto nel modo in cui Internet Explorer determina un tipo di oggetto. Internet Explorer non esegue un controllo dei parametri appropriato su una risposta HTTP. La risposta può puntare a un particolare tipo di file che causerà quindi lo script di un oggetto, quindi eseguirlo. Ciò potrebbe consentire a un utente malintenzionato di eseguire codice arbitrario nel computer di un utente.
Cosa potrebbe fare questa vulnerabilità per consentire a un utente malintenzionato di eseguire?
Questa vulnerabilità potrebbe consentire a un utente malintenzionato di eseguire il codice scelto da Internet Explorer. In questo modo un utente malintenzionato può eseguire qualsiasi azione sul sistema di un utente nel contesto di sicurezza dell'utente attualmente connesso.
In che modo un utente malintenzionato potrebbe sfruttare questa vulnerabilità?
Un utente malintenzionato potrebbe cercare di sfruttare questa vulnerabilità ospitando una pagina Web appositamente costruita. Se l'utente ha visitato questa pagina Web, Internet Explorer potrebbe non riuscire e consentire l'esecuzione di codice arbitrario nel contesto dell'utente. In alternativa, un utente malintenzionato potrebbe anche creare un messaggio di posta elettronica basato su HTML che tenta di sfruttare questa vulnerabilità.
Che cosa fa la patch?
La patch risolve le vulnerabilità assicurandosi che Internet Explorer esegua controlli appropriati quando riceve una risposta HTTP
Soluzioni alternative
Esistono soluzioni alternative che possono essere usate per bloccare lo sfruttamento di questa vulnerabilità fino a quando non viene nuovamente rilasciata una patch?
Sì. Si noti che queste soluzioni alternative devono essere considerate misure temporanee in quanto consentono semplicemente di bloccare i percorsi di attacco anziché correggere la vulnerabilità sottostante. Microsoft incoraggia l'installazione della patch alla prima opportunità quando diventa disponibile.
Le sezioni seguenti sono destinate a fornire informazioni per proteggere il computer dagli attacchi.
Richiedi conferma prima dell'esecuzione dei controlli ActiveX nelle aree Internet e Intranet: puoi contribuire alla protezione da questa vulnerabilità modificando le impostazioni per l'area di sicurezza Internet in modo da richiedere prima di eseguire i componenti ActiveX. Per farlo, effettuare i seguenti passaggi:
- In Internet Explorer selezionare Strumenti, Opzioni Internet
- Fare clic sulla scheda Sicurezza
- Evidenziare l'icona Internet e fare clic sul pulsante Livello personalizzato
- Scorrere l'elenco fino alla sezione Controlli e plug-in Active X
- In Esegui controlli ActiveX e plug-in fare clic su Prompt
- Fare clic su OK.
- Evidenziare l'icona Intranet locale e fare clic sul pulsante Livello personalizzato
- Scorrere l'elenco fino alla sezione Controlli e plug-in Active X
- In Esegui controlli ActiveX e plug-in fare clic su Prompt
- Fare clic su OK, quindi fare di nuovo clic su OK per tornare a Internet Explorer
Limitare i siti Web solo ai siti Web attendibili
Dopo aver richiesto un prompt prima di eseguire ActiveX nell'area Internet e Intranet, è possibile aggiungere siti attendibili nei siti attendibili di Internet Explorer. Ciò consentirà di continuare a usare siti Web attendibili esattamente come si fa oggi, proteggendo al tempo stesso l'utente da questo attacco su siti non attendibili.
Per farlo, effettuare i seguenti passaggi:
- In Internet Explorer selezionare Strumenti, quindi Opzioni Internet. Fare clic sulla scheda Sicurezza.
- Nella casella selezionare un'area di contenuto Web per specificare le impostazioni di sicurezza correnti, fare clic su Siti attendibili, quindi su Siti
- Se si desidera aggiungere siti che non richiedono un canale crittografato, fare clic per deselezionare la casella di controllo Richiedi verifica server (https:) per tutti i siti dell'area .
- Nella casella Aggiungi sito Web all'area digitare l'URL di un sito attendibile e quindi fare clic sul pulsante Aggiungi . Ripetere per ogni sito da aggiungere alla zona.
- Fare clic su OK due volte per accettare le modifiche e tornare a Internet Explorer. Aggiungere eventuali siti attendibili per non eseguire azioni dannose sul computer. Uno in particolare che si potrebbe voler aggiungere è https://windowsupdate.microsoft.com. Si tratta del sito che ospiterà la patch e richiede l'uso di un controllo ActiveX per installare la patch.
Esistono effetti collaterali da richiedere prima dell'esecuzione dei componenti ActiveX?
Sì. Molti siti Web su Internet usano ActiveX per fornire funzionalità aggiuntive. Ad esempio, un sito di e-commerce online o un sito bancario può utilizzare controlli ActiveX per fornire menu, moduli di ordinamento o persino estratti conto.
La richiesta prima di eseguire controlli ActiveX è un'impostazione globale per tutti i siti Internet e Intranet. Quando si abilita questa soluzione, verrà richiesto di frequente. Per ogni richiesta, se si ritiene attendibile il sito che si visita, fare clic su Sì per eseguire i componenti ActiveX. Se non si desidera richiedere tutti questi siti, è invece possibile usare la soluzione alternativa "Limita i siti Web solo ai siti Web attendibili".
Disponibilità delle patch
Percorsi di download per questa patch
- Tutte le versioni tranne Microsoft Internet Explorer 6.0 per Windows Server 2003
- Microsoft Internet Explorer 6.0 per Windows Server 2003
Informazioni aggiuntive su questa patch
Piattaforme di installazione:
Questa patch può essere installata nei sistemi che eseguono:
- Internet Explorer 5.01 in esecuzione nei sistemi Windows 2000 con Service Pack 3 o Service Pack 4 installato.
- La patch di Internet Explorer 5.5 può essere installata nei sistemi che eseguono Internet Explorer 5.5 Service Pack 2.
- La patch di Internet Explorer 6.0 può essere installata nei sistemi che eseguono Internet Explorer 6.0 Gold o Internet Explorer 6.0 Service Pack 1.
Inclusione nei Service Pack futuri:
La correzione di questi problemi verrà inclusa in Windows XP Service Pack 2 e Windows Server 2003 Service Pack 1
Riavvio necessario: Sì - Dopo il riavvio, è necessario un accesso amministratore per:
- Internet Explorer 5.01 in Microsoft Windows 2000 e Microsoft Windows NT 4.0
- Internet Explorer 5.5 in Microsoft Windows 2000
È possibile disinstallare patch: Sì
Patch sostituite: questa patch sostituisce quella fornita nel bollettino sulla sicurezza Microsoft MS03-020, che è una patch cumulativa.
Verifica dell'installazione delle patch:
Per verificare che la patch sia stata installata nel computer, aprire Internet Explorer, selezionare Guida, quindi selezionare Informazioni su Internet Explorer e verificare che Q822925 sia elencato nel campo Versioni di aggiornamento.
Si noti che non è possibile utilizzare questo metodo in Windows Server 2003 o Windows XP versione 2003 a 64 bit, perché il campo Versioni di aggiornamento non viene aggiornato dal pacchetto per questi sistemi operativi.
Per verificare i singoli file, usare il manifesto della patch fornito nell'articolo della Knowledge Base 822925.
Avvertenze:
Se non è stato installato il controllo della Guida HTML aggiornato dall'articolo 811630 della Knowledge Base, non sarà possibile usare alcune funzionalità della Guida HTML dopo l'applicazione di questo aggiornamento. Per ripristinare tale funzionalità, gli utenti devono scaricare il controllo della Guida HTML aggiornato (811630). Gli utenti devono anche notare che quando viene installata la versione più recente della Guida HTML, si verificheranno le limitazioni seguenti quando un file della Guida viene aperto con il metodo showHelp:
- È possibile usare solo i protocolli supportati con showHelp per aprire una pagina Web o un file della Guida (con estensione chm).
- La funzione di scelta rapida supportata dalla Guida HTML verrà disabilitata quando il file della Guida viene aperto con showHelp Questo non influirà sulla funzionalità di scelta rapida se lo stesso file CHM viene aperto manualmente dall'utente facendo doppio clic sul file della Guida o tramite un'applicazione nel sistema locale usando l'API HTMLHELP( ).
Localizzazione:
Le versioni localizzate di questa patch sono disponibili nelle posizioni descritte in "Disponibilità patch".
Recupero di altre patch di sicurezza:
Le patch per altri problemi di sicurezza sono disponibili nelle posizioni seguenti:
- Le patch di sicurezza sono disponibili nell'Area download Microsoft e possono essere trovate più facilmente eseguendo una ricerca di parole chiave "security_patch".
- Le patch per le piattaforme consumer sono disponibili nel sito Web di Windows Update
Altre informazioni:
Riconoscimenti
Microsoft ringrazia quanto segue per collaborare per proteggere i clienti:
- Yu-Arai di LAC per segnalare la variante specifica del linguaggio della vulnerabilità tipo di oggetto MS03-020 (CAN-2003-0344), nonché l'esecuzione dello script della cache del browser in Area computer personale problema.
- eEye Digital Security per segnalare a Microsoft la vulnerabilità tipo di oggetto.
- Greg Jones di KPMG UK per segnalare il problema di sovraccarico del buffer BR549.DLL.
Supporto:
- L'articolo della Microsoft Knowledge Base 822925, illustra questo problema e sarà disponibile circa 24 ore dopo il rilascio di questo bollettino. Gli articoli della Knowledge Base sono disponibili nel sito Web del supporto online Microsoft.
- Il supporto tecnico è disponibile in Servizi supporto tecnico Microsoft. Non sono previsti addebiti per le chiamate di supporto associate alle patch di sicurezza.
Risorse di sicurezza: il sito Web Microsoft TechNet Security fornisce informazioni aggiuntive sulla sicurezza nei prodotti Microsoft.
Declinazione di responsabilità:
Le informazioni fornite nella Microsoft Knowledge Base vengono fornite "così com'è" senza garanzia di alcun tipo. Microsoft dichiara tutte le garanzie, espresse o implicite, incluse le garanzie di commerciabilità e idoneità per uno scopo specifico. In nessun caso, Microsoft Corporation o i suoi fornitori saranno responsabili di qualsiasi danno, incluso diretto, indiretto, accidentale, consequenziale, perdita di profitti aziendali o danni speciali, anche se Microsoft Corporation o i suoi fornitori sono stati informati della possibilità di tali danni. Alcuni stati non consentono l'esclusione o la limitazione della responsabilità per danni consequenziali o accidentali, pertanto la limitazione precedente potrebbe non essere applicata.
Revisioni:
- V1.0 (20 agosto 2003): Bollettino creato.
- V1.1 (25 agosto 2003): aggiunta di informazioni relative ASP.NET problemi correlati alla patch di Windows XP.
- V1.2 (28 agosto 2003): aggiunta dei dettagli per il riavvio delle informazioni nella sezione Informazioni aggiuntive.
- V1.3 (8 settembre 2003): aggiunta di informazioni relative ai report che la patch fornita non corregge correttamente la vulnerabilità del tipo di oggetto (CAN-2003-0532)
- V1.4 (3 ottobre 2003): aggiornato per includere informazioni sulla versione di MS03-040 supercedence.
Costruito al 2014-04-18T13:49:36Z-07:00</https:>