Articolo
03/19/2024

Bollettino sulla sicurezza

Microsoft Security Bulletin MS04-011 - Critico

Aggiornamento della sicurezza per Microsoft Windows (835732)

Pubblicato: 13 aprile 2004 | Aggiornato: 10 agosto 2004

Versione: 2.1

Rilasciato: 13 aprile 2004
Aggiornato: 10 agosto 2004
Versione: 2.1

Riepilogo

Chi deve leggere questo documento: Clienti che usano Microsoft® Windows®

Impatto della vulnerabilità: Esecuzione di codice remoto

Valutazione massima gravità: critico

Raccomandazione: i clienti devono applicare immediatamente l'aggiornamento.

Sostituzione degli aggiornamenti della sicurezza: questo bollettino sostituisce diversi aggiornamenti della sicurezza precedenti. Per l'elenco completo, vedere la sezione domande frequenti di questo bollettino.

Avvertenze: l'aggiornamento della sicurezza per Windows NT Server 4.0 Terminal Server Edition Service Pack 6 richiede, come prerequisito, il pacchetto di rollup sicurezza di Windows NT Server 4.0 Terminal Server Edition (SRP). Per scaricare il provider di servizi, visitare il sito Web seguente. È necessario installare il provider di servizi di sicurezza prima di installare l'aggiornamento della sicurezza fornito in questo bollettino sulla sicurezza. Se non si usa Windows NT Server 4.0 Terminal Server Edition Service Pack 6, non è necessario installare SRP.

L'articolo della Microsoft Knowledge Base 835732 documenta i problemi attualmente noti che i clienti potrebbero riscontrare durante l'installazione di questo aggiornamento della sicurezza. L'articolo illustra anche le soluzioni consigliate per questi problemi. Per altre informazioni, vedere l'articolo della Microsoft Knowledge Base 835732.

Percorsi di download degli aggiornamenti software e della sicurezza testati:

Software interessato:

Microsoft Windows NT® Workstation 4.0 Service Pack 6a - Scaricare l'aggiornamento
Microsoft Windows NT Server 4.0 Service Pack 6a - Scaricare l'aggiornamento
Microsoft Windows NT Server 4.0 Terminal Server Edition Service Pack 6 - Scaricare l'aggiornamento
Microsoft Windows 2000 Service Pack 2, Microsoft Windows 2000 Service Pack 3 e Microsoft Windows 2000 Service Pack 4 - Scaricare l'aggiornamento
Microsoft Windows XP e Microsoft Windows XP Service Pack 1 - Scaricare l'aggiornamento
Microsoft Windows XP 64 Bit Edition Service Pack 1 - Scaricare l'aggiornamento
Microsoft Windows XP 64 Bit Edition versione 2003 - Scaricare l'aggiornamento
Microsoft Windows Server™ 2003 - Scaricare l'aggiornamento
Microsoft Windows Server 2003 a 64 bit Edition - Scaricare l'aggiornamento
Microsoft NetMeeting
Microsoft Windows 98, Microsoft Windows 98 Second Edition (edizione Standard) e Microsoft Windows Millennium Edition (ME) - Consultare la sezione domande frequenti di questo bollettino per informazioni dettagliate su questi sistemi operativi.

Il software elencato sopra è stato testato per determinare se le versioni sono interessate. Altre versioni non includono più il supporto degli aggiornamenti della sicurezza o potrebbero non essere interessate. Per determinare il ciclo di vita del supporto per il prodotto e la versione, visitare il sito Web di supporto tecnico Microsoft ciclo di vita seguente.

Informazioni generali

Dettagli tecnici

Sintesi:

Microsoft ha rimesso questo bollettino il 15 giugno 2004 per consigliare la disponibilità di un aggiornamento aggiornato della workstation Di Windows NT 4.0 per la lingua cinese pan-cinese.

Questo aggiornamento modificato corregge un problema di installazione riscontrato da alcuni clienti con l'aggiornamento originale. Questo problema non è correlato alla vulnerabilità di sicurezza descritta in questo bollettino. Tuttavia, questo problema ha causato alcune difficoltà di installazione dell'aggiornamento da parte dei clienti. Se in precedenza è stato applicato questo aggiornamento della sicurezza, questo aggiornamento deve essere installato per evitare potenziali problemi durante l'installazione degli aggiornamenti della sicurezza futuri. Questo problema interessa solo la versione della lingua cinese pan-cinese dell'aggiornamento e solo le versioni dell'aggiornamento vengono rilasciate nuovamente. Le altre versioni della lingua di questo aggiornamento non sono interessate e non vengono rilasciate nuovamente.

Questo aggiornamento risolve diverse vulnerabilità appena individuate. Ogni vulnerabilità è documentata in questo bollettino nella relativa sezione.

Un utente malintenzionato che ha sfruttato correttamente le più gravi di queste vulnerabilità potrebbe assumere il controllo completo di un sistema interessato, inclusa l'installazione di programmi; visualizzazione, modifica o eliminazione di dati; o creazione di nuovi account con privilegi completi.

Microsoft consiglia ai clienti di applicare immediatamente l'aggiornamento.

Classificazioni di gravità e identificatori di vulnerabilità:

Identificatori di vulnerabilità	Impatto della vulnerabilità	Windows 98, 98 edizione Standard, ME	Windows NT 4.0	Windows 2000	Windows XP	Windows Server 2003
Vulnerabilità LSASS - CAN-2003-0533	Esecuzione di codice remoto	None	None	Critico	Critico	Basso
Vulnerabilità LDAP - CAN-2003-0663	Denial Of Service	None	None	Importante	None	None
Vulnerabilità PCT - CAN-2003-0719	Esecuzione di codice remoto	None	Critico	Critico	Importante	Basso
Vulnerabilità winlogon - CAN-2003-0806	Esecuzione di codice remoto	None	Moderato	Moderato	Moderato	None
Vulnerabilità metafile - CAN-2003-0906	Esecuzione di codice remoto	None	Critico	Critico	Critico	None
Vulnerabilità help and support center - CAN-2003-0907	Esecuzione di codice remoto	None	None	None	Critico	Critico
Vulnerabilità di Utility Manager - CAN-2003-0908	Elevazione dei privilegi	None	None	Importante	None	None
Vulnerabilità di gestione di Windows - CAN-2003-0909	Elevazione dei privilegi	None	None	None	Importante	None
Vulnerabilità della tabella dei descrittori locali - CAN-2003-0910	Elevazione dei privilegi	None	Importante	Importante	None	None
Vulnerabilità H.323* - CAN-2004-0117	Esecuzione di codice remoto	Non critico	None	Importante	Importante	Importante
Vulnerabilità della macchina DOS virtuale - CAN-2004-0118	Elevazione dei privilegi	None	Importante	Importante	None	None
Vulnerabilità Negotiate SSP - CAN-2004-0119	Esecuzione di codice remoto	None	None	Critico	Critico	Critico
Vulnerabilità SSL - CAN-2004-0120	Denial Of Service	None	None	Importante	Importante	Importante
Vulnerabilità ASN.1 "Double Free" - CAN-2004-0123	Esecuzione di codice remoto	Non critico	Critico	Critico	Critico	Critico
Gravità aggregata di tutte le vulnerabilità		Non critico	Critico	Critico	Critico	Critico

*Nota La classificazione di gravità della vulnerabilità H.323 - CAN-2004-0117 è importante per la versione autonoma di NetMeeting. Per scaricare una versione aggiornata di NetMeeting che risolve questa vulnerabilità, visitare il sito Web seguente. Questa versione di NetMeeting può essere installata in tutti i sistemi che eseguono Windows 98, Windows 98 Second Edition, Windows Millennium Edition e Windows NT 4.0. La versione aggiornata di NetMeeting che risolve questa vulnerabilità è la versione 3.01 (4.4.3399).

La valutazione precedente si basa sui tipi di sistemi interessati dalla vulnerabilità, sui modelli di distribuzione tipici e sull'effetto che l'exploit della vulnerabilità avrebbe su di essi.

Perché Microsoft ha rimesso questo bollettino?
Microsoft ha rimesso questo bollettino il 15 giugno 2004 per consigliare la disponibilità di un aggiornamento aggiornato della workstation Di Windows NT 4.0 per la lingua cinese pan-cinese.

Perché questo aggiornamento risolve diverse vulnerabilità di sicurezza segnalate?
Questo aggiornamento contiene il supporto per diverse vulnerabilità perché le modifiche necessarie per risolvere questi problemi si trovano nei file correlati. Invece di dover installare diversi aggiornamenti che contengono file quasi identici, i clienti possono installare solo questo aggiornamento.

Quali aggiornamenti sostituisce questa versione?
Questo aggiornamento della sicurezza sostituisce diversi bollettini sulla sicurezza precedenti. Gli ID del bollettino sulla sicurezza e i sistemi operativi interessati sono elencati nella tabella seguente.

ID bollettino	Windows NT 4.0	Windows 2000	Windows XP	Windows Server 2003
MS99-023	Replaced	Non applicabile	Non applicabile	Non applicabile
MS00-027	Non sostituito	Replaced	Non applicabile	Non applicabile
MS00-032	Non applicabile	Replaced	Non applicabile	Non applicabile
MS00-070	Non sostituito	Replaced	Non applicabile	Non applicabile
MS02-050	Replaced	Non sostituito	Non sostituito	Non applicabile
MS02-051	Non applicabile	Replaced	Non sostituito	Non applicabile
MS02-071	Replaced	Replaced	Non sostituito	Non applicabile
MS03-007	Non sostituito	Replaced	Non sostituito	Non applicabile
MS03-013	Replaced	Replaced	Non sostituito	Non applicabile
MS03-025	Non applicabile	Replaced	Non applicabile	Non applicabile
MS03-041	Replaced	Non sostituito	Non sostituito	Non sostituito
MS03-045	Replaced	Replaced	Non sostituito	Non sostituito
MS04-007	Replaced	Replaced	Replaced	Replaced

Questo aggiornamento è un aggiornamento cumulativo della sicurezza o un aggiornamento cumulativo degli aggiornamenti della sicurezza?
Nessuna. Un aggiornamento cumulativo della sicurezza include in genere il supporto per tutti gli aggiornamenti precedenti. Questo aggiornamento non include il supporto per tutti gli aggiornamenti precedenti in tutti i sistemi operativi.

Un aggiornamento cumulativo dell'aggiornamento della sicurezza viene in genere usato per combinare le versioni precedenti in un singolo aggiornamento per consentire un'installazione più semplice e un download più rapido. I rollup degli aggiornamenti della sicurezza in genere non includono modifiche per risolvere le nuove vulnerabilità; questo aggiornamento viene fatto.

In che modo il supporto esteso per Windows 98, Windows 98 Second Edition e Windows Millennium Edition influisce sul rilascio degli aggiornamenti della sicurezza per questi sistemi operativi?
Microsoft rilascia solo gli aggiornamenti della sicurezza per problemi di sicurezza critici. Durante questo periodo di supporto non vengono offerti problemi di sicurezza non critici. Per altre informazioni sui criteri relativi al ciclo di vita supporto tecnico Microsoft per questi sistemi operativi, visitare il sito Web seguente.

Per altre informazioni sulle classificazioni di gravità, visitare il sito Web seguente.

Windows 98, Windows 98 Second Edition o Windows Millennium Edition sono interessati in modo critico da una delle vulnerabilità risolte in questo bollettino sulla sicurezza?
No. Nessuna di queste vulnerabilità è fondamentale in gravità in Windows 98, in Windows 98 Second Edition o in Windows Millennium Edition.

Questo aggiornamento contiene altre modifiche alle funzionalità?
Sì. Oltre alle modifiche elencate in ognuna delle sezioni dettagliate della vulnerabilità di questo bollettino, questo aggiornamento include la modifica seguente nella funzionalità: i file che terminano con l'estensione ".folder" del nome file non sono più associati a una directory. I file con questa estensione sono ancora supportati dal sistema operativo interessato. Tuttavia, tali file non verranno più visualizzati come directory in Esplora risorse e in altri programmi.

È possibile usare Microsoft Baseline Security Analyzer (MBSA) per determinare se è necessario questo aggiornamento?
Sì. MBSA determinerà se questo aggiornamento è necessario. Tuttavia, MBSA non supporta attualmente la versione autonoma di NetMeeting per il rilevamento. MBSA non offrirà l'aggiornamento necessario alla versione autonoma di NetMeeting se è stata installata nei sistemi Windows NT 4.0. Per scaricare la versione autonoma aggiornata di NetMeeting che risolve la vulnerabilità H.323 (CAN-2004-0117), visitare il sito Web seguente. MBSA rileva se l'aggiornamento per la vulnerabilità H.323 (CAN-2004-0117) è necessario per la versione di NetMeeting fornita come parte di Windows 2000, Windows XP o Windows Server 2003.

Per altre informazioni sulla vulnerabilità H.323 (CAN-2004-0117), vedere la sezione dei dettagli della vulnerabilità di questo bollettino. Per altre informazioni su MBSA, visitare il sito Web MBSA. Per altre informazioni sulle limitazioni di rilevamento MBSA, vedere l'articolo 306460 della Microsoft Knowledge Base.

Come è cambiato questo cambiamento rispetto alla versione iniziale del bollettino?
Quando il bollettino è stato rilasciato il 13 aprile 2004, il rilevamento MBSA per questo aggiornamento della sicurezza è stato disabilitato per Windows NT 4.0 a causa della mancanza di supporto di rilevamento per la versione autonoma di NetMeeting descritta in precedenza in questo bollettino. Questa modifica è cambiata il 21 aprile 2004. MBSA rileverà ora se questo aggiornamento della sicurezza è necessario per Windows NT 4.0 anche se questa limitazione esiste.

È possibile usare Systems Management Server (SMS) per determinare se è necessario questo aggiornamento?
Sì. SMS consente di rilevare e distribuire questo aggiornamento della sicurezza. Per informazioni sugli SMS, visitare il sito Web SMS. SMS usa MBSA per il rilevamento; pertanto, SMS ha la stessa limitazione elencata in precedenza in questo bollettino relativo alla versione autonoma di NetMeeting.

È possibile usare Systems Management Server (SMS) per determinare se la versione autonoma di NetMeeting è stata installata nei sistemi Windows NT 4.0?
Sì. SMS può aiutare a rilevare se la versione autonoma aggiornata di NetMeeting è necessaria per i sistemi Windows NT 4.0. SMS può cercare la presenza del file "Conf.exe". Tutte le versioni precedenti alla versione 3.01 (4.4.3399) devono essere aggiornate.

Dettagli della vulnerabilità

Vulnerabilità LSASS - CAN-2003-0533:

Esiste una vulnerabilità di sovraccarico del buffer in LSASS che potrebbe consentire l'esecuzione remota del codice in un sistema interessato. Un utente malintenzionato che ha sfruttato correttamente questa vulnerabilità potrebbe assumere il controllo completo del sistema interessato.

Fattori di mitigazione della vulnerabilità LSASS - CAN-2003-0533:

Solo Windows 2000 e Windows XP possono essere attaccati in remoto da un utente anonimo. Mentre Windows Server 2003 e Windows XP versione 2003 a 64 bit versione 2003 contengono la vulnerabilità, solo un amministratore locale potrebbe sfruttarlo.
Windows NT 4.0 non è interessato da questa vulnerabilità.
Le procedure consigliate per il firewall e le configurazioni firewall predefinite standard consentono di proteggere le reti da attacchi che hanno origine all'esterno del perimetro aziendale. Le procedure consigliate consigliano che i sistemi connessi a Internet abbiano un numero minimo di porte esposte.

Soluzioni alternative per la vulnerabilità LSASS - CAN-2003-0533:

Microsoft ha testato le soluzioni alternative seguenti. Anche se queste soluzioni alternative non correggeranno la vulnerabilità sottostante, consentono di bloccare i vettori di attacco noti. Quando una soluzione alternativa riduce la funzionalità, viene identificata di seguito.

Creare un file denominato %systemroot%\debug\dcpromo.log e rendere il file di sola lettura. A tale scopo, digitare il comando seguente:

echo dcpromo >%systemroot%\debug\dcpromo.log & attrib +r %systemroot%\debug\dcpromo.log

Nota Questa è la tecnica di mitigazione più efficace perché riduce completamente questa vulnerabilità causando l'esecuzione del codice vulnerabile. Questa soluzione alternativa funzionerà per i pacchetti inviati a qualsiasi porta vulnerabile.
Usare un firewall personale, ad esempio InternetConnessione ion Firewall, incluso in Windows XP e Windows Server 2003.

Se si usa la funzionalità Internet Connessione ion Firewall in Windows XP o in Windows Server 2003 per proteggere la connessione Internet, blocca il traffico in ingresso non richiesto per impostazione predefinita. Microsoft consiglia di bloccare tutte le comunicazioni in ingresso non richieste da Internet.

Per abilitare la funzionalità Firewall di Connessione internet tramite l'Installazione guidata rete, seguire questa procedura:
1. Fare clic sul pulsante Start e quindi scegliere Pannello di controllo.
2. Nella visualizzazione categoria predefinita fare clic su Rete e Internet Connessione ions, quindi fare clic su Imposta o modificare la rete domestica o piccola dell'ufficio. La funzionalità Firewall di internet Connessione ion è abilitata quando si seleziona una configurazione nell'Installazione guidata rete che indica che il sistema è connesso direttamente a Internet.
Per configurare manualmente internet Connessione firewall per una connessione, seguire questa procedura:
1. Fare clic sul pulsante Start e quindi scegliere Pannello di controllo.
2. Nella visualizzazione categoria predefinita fare clic su Rete e Connessione Internet e quindi su Connessione di rete.
3. Fare clic con il pulsante destro del mouse sulla connessione in cui si desidera abilitare Internet Connessione ion Firewall, quindi scegliere Proprietà.
4. Fare clic sulla scheda Avanzate.
5. Fare clic per selezionare la casella di controllo Proteggi computer o rete limitando o impedendo l'accesso a questo computer da Internet , quindi fare clic su OK.
Nota Se si desidera abilitare l'uso di alcuni programmi e servizi tramite il firewall, fare clic Impostazioni nella scheda Avanzate e quindi selezionare i programmi, i protocolli e i servizi necessari.
Bloccare quanto segue nel firewall:
- Porte UDP 135, 137, 138 e 445 e porte TCP 135, 139, 445 e 593
- Tutto il traffico in ingresso non richiesto sulle porte maggiori di 1024
- Qualsiasi altra porta RPC configurata specificamente
Queste porte vengono usate per avviare una connessione con RPC. Bloccarli nel firewall consentirà di impedire ai sistemi protetti da tale firewall di tentare di sfruttare questa vulnerabilità. Assicurarsi inoltre di bloccare qualsiasi altra porta RPC configurata specificamente nel sistema remoto. Microsoft consiglia di bloccare tutte le comunicazioni in ingresso non richieste da Internet per evitare attacchi che potrebbero usare altre porte. Per altre informazioni sulle porte usate da RPC, visitare il sito Web seguente.
Abilitare il filtro TCP/IP avanzato nei sistemi che supportano questa funzionalità.

È possibile abilitare il filtro TCP/IP avanzato per bloccare tutto il traffico in ingresso non richiesto. Per altre informazioni su come configurare il filtro TCP/IP, vedere l'articolo della Microsoft Knowledge Base 309798.
Bloccare le porte interessate usando IPSec nei sistemi interessati.

Usare Internet Protocol Security (IPSec) per proteggere le comunicazioni di rete. Informazioni dettagliate su IPSec e su come applicare i filtri sono disponibili negli articoli della Microsoft Knowledge Base 313190 e 813878.

Domande frequenti sulla vulnerabilità LSASS - CAN-2003-0533:

Qual è l'ambito della vulnerabilità?
Si tratta di una vulnerabilità di sovraccarico del buffer. Un utente malintenzionato che ha sfruttato correttamente questa vulnerabilità potrebbe assumere in remoto il controllo completo di un sistema interessato, inclusa l'installazione di programmi; visualizzazione, modifica o eliminazione di dati; o creazione di nuovi account con privilegi completi.

Che cosa causa la vulnerabilità?
Buffer non selezionato nel servizio LSASS.

Che cos'è LSASS?
Il servizio LSASS (Local Security Authority Subsystem Service) offre un'interfaccia per la gestione della sicurezza locale, dell'autenticazione del dominio e dei processi di Active Directory. Gestisce l'autenticazione per il client e per il server. Contiene anche funzionalità usate per supportare le utilità di Active Directory.

Cosa può fare un utente malintenzionato che usa la vulnerabilità?
Un utente malintenzionato che ha sfruttato correttamente questa vulnerabilità potrebbe assumere il controllo completo del sistema interessato.

Chi potrebbe sfruttare la vulnerabilità?
In Windows 2000 e Windows XP, qualsiasi utente anonimo che potrebbe recapitare un messaggio appositamente creato al sistema interessato potrebbe tentare di sfruttare questa vulnerabilità.

In che modo un utente malintenzionato potrebbe sfruttare questa vulnerabilità?
Un utente malintenzionato potrebbe sfruttare la vulnerabilità creando un messaggio appositamente creato e inviando il messaggio a un sistema interessato, che potrebbe quindi causare l'esecuzione del codice da parte del sistema interessato.

Un utente malintenzionato potrebbe anche accedere al componente interessato tramite un altro vettore. Ad esempio, un utente malintenzionato potrebbe accedere al sistema in modo interattivo o usando un altro programma che passa parametri al componente vulnerabile (localmente o in remoto).

Quali sistemi sono principalmente a rischio dalla vulnerabilità?
Windows 2000 e Windows XP sono principalmente a rischio da questa vulnerabilità.

Windows Server 2003 e Windows XP 64 Bit Edition versione 2003 forniscono una protezione aggiuntiva che richiederebbe a un amministratore di accedere localmente a un sistema interessato per sfruttare questa vulnerabilità.

Cosa fa l'aggiornamento?
L'aggiornamento rimuove la vulnerabilità modificando il modo in cui LSASS convalida la lunghezza di un messaggio prima che passi il messaggio al buffer allocato.

Questo aggiornamento rimuove anche il codice vulnerabile da Windows 2000 Professional e da Windows XP perché questi sistemi operativi non richiedono l'interfaccia vulnerabile. Ciò consente di proteggersi da possibili vulnerabilità future in questo servizio.

Vulnerabilità LDAP - CAN-2003-0663:

Esiste una vulnerabilità Denial of Service che potrebbe consentire a un utente malintenzionato di inviare un messaggio LDAP appositamente creato a un controller di dominio Windows 2000. Un utente malintenzionato potrebbe causare l'arresto del servizio responsabile dell'autenticazione degli utenti in un dominio di Active Directory.

Fattori di mitigazione per la vulnerabilità LDAP - CAN-2003-0663:

Per sfruttare questa vulnerabilità, un utente malintenzionato dovrà inviare un messaggio LDAP appositamente creato al controller di dominio. Se le porte LDAP non sono bloccate da un firewall, un utente malintenzionato non richiederebbe privilegi aggiuntivi per sfruttare questa vulnerabilità.
Questa vulnerabilità interessa solo i controller di dominio di Windows 2000 Server; I controller di dominio di Windows Server 2003 non sono interessati.
Windows NT 4.0 e Windows XP non sono interessati da questa vulnerabilità.
Se un utente malintenzionato ha sfruttato correttamente questa vulnerabilità, il sistema interessato potrebbe visualizzare un avviso per il riavvio automatico dopo un conto alla rovescia di 60 secondi. Al termine di questo conto alla rovescia di 60 secondi, il sistema interessato verrà riavviato automaticamente. Dopo il riavvio, il sistema interessato verrà ripristinato alla normale funzionalità. Tuttavia, il sistema interessato potrebbe essere soggetto a un nuovo attacco Denial of Service, a meno che non venga applicato l'aggiornamento.
Le procedure consigliate per il firewall e le configurazioni firewall predefinite standard consentono di proteggere le reti da attacchi provenienti dall'esterno del perimetro aziendale. Le procedure consigliate consigliano che i sistemi connessi a Internet abbiano un numero minimo di porte esposte.

Soluzioni alternative per la vulnerabilità LDAP - CAN-2003-0663:

Bloccare le porte TCP LDAP 389, 636, 3268 e 3269 nel firewall.

Queste porte vengono usate per avviare una connessione LDAP con un controller di dominio Windows 2000. Bloccarli nel firewall consentirà di evitare che i sistemi protetti da tale firewall tentino di sfruttare questa vulnerabilità che ha origine all'esterno del perimetro aziendale. Anche se altre porte possono essere usate per sfruttare questa vulnerabilità, le porte elencate sono i vettori di attacco più comuni. Microsoft consiglia di bloccare tutte le comunicazioni in ingresso non richieste da Internet per evitare attacchi che potrebbero usare altre porte.

Impatto della soluzione alternativa: l'autenticazione del dominio di Active Directory non sarà possibile tramite una connessione di rete in cui queste porte sono bloccate.

Domande frequenti sulla vulnerabilità LDAP - CAN-2003-0663:

Qual è l'ambito della vulnerabilità?

Si tratta di una vulnerabilità Denial of Service . Un utente malintenzionato che ha sfruttato questa vulnerabilità potrebbe causare il riavvio automatico del server e, durante tale periodo, arrestare il server a rispondere alle richieste di autenticazione. Questa vulnerabilità esiste nei sistemi Windows 2000 Server che eseguono il ruolo di un controller di dominio. L'unico effetto su altri sistemi Windows 2000 è che i client potrebbero non essere in grado di accedere al dominio se il controller di dominio smette di rispondere.

Che cosa causa la vulnerabilità?

Elaborazione di messaggi LDAP appositamente creati dal servizio LSASS (Local Security Authority Subsystem Service).

Che cos'è LDAP?

Lightweight Directory Access Protocol (LDAP) è un protocollo standard del settore che consente agli utenti autorizzati di eseguire query o modificare i dati in una metadirectory. Ad esempio, in Windows 2000, LDAP è un protocollo usato per accedere ai dati in Active Directory.

Qual è il problema del modo in cui vengono gestiti i messaggi LDAP appositamente creati?

Un utente malintenzionato potrebbe inviare un messaggio LDAP appositamente creato al servizio LSASS e impedirne la risposta.

Che cos'è LSASS?

Il servizio LSASS (Local Security Authority Subsystem Service) offre un'interfaccia per la gestione della sicurezza locale, dell'autenticazione del dominio e dei processi di Active Directory. Gestisce l'autenticazione per il client e per il server. Contiene anche funzionalità usate per supportare le utilità di Active Directory.

Cosa può fare un utente malintenzionato che usa la vulnerabilità?

Un utente malintenzionato che ha sfruttato questa vulnerabilità potrebbe causare l'arresto di LSASS e il riavvio del sistema interessato. Il sistema interessato potrebbe visualizzare un avviso per il riavvio automatico dopo un conto alla rovescia di 60 secondi. Durante questo conto alla rovescia di 60 secondi, l'autenticazione locale nella console del sistema interessato e dell'autenticazione del dominio utente con il sistema interessato non sarebbe possibile. Al termine di questo conto alla rovescia di 60 secondi, il sistema interessato verrà riavviato automaticamente. Se gli utenti non possono eseguire l'autenticazione del dominio con il sistema interessato, potrebbero non essere in grado di accedere alle risorse del dominio. Dopo il riavvio, il sistema interessato verrà ripristinato alla normale funzionalità. Tuttavia, potrebbe essere soggetto a un nuovo attacco Denial of Service, a meno che non venga applicato l'aggiornamento.

Chi potrebbe sfruttare la vulnerabilità?

Qualsiasi utente anonimo che potrebbe recapitare il messaggio LDAP appositamente creato al sistema interessato potrebbe sfruttare questa vulnerabilità.

In che modo un utente malintenzionato potrebbe sfruttare la vulnerabilità?

Un utente malintenzionato potrebbe sfruttare questa vulnerabilità inviando un messaggio LDAP appositamente creato ai controller di dominio in una singola foresta o in più foreste, causando potenzialmente un attacco Denial of Service all'autenticazione del dominio in un'azienda. Ciò potrebbe causare l'arresto del sistema LSASS e il riavvio del sistema interessato. Un utente malintenzionato non deve avere un account utente valido nel dominio per inviare questo messaggio LDAP appositamente creato. Questo attacco può essere eseguito usando l'accesso anonimo.

Quali sistemi sono principalmente a rischio dalla vulnerabilità?

Solo i controller di dominio Windows 2000 sono vulnerabili.

Sto eseguendo Windows 2000. Quali sistemi è necessario aggiornare?

L'aggiornamento per risolvere questa vulnerabilità deve essere installato nei sistemi usati come controller di dominio Windows 2000. Tuttavia, l'aggiornamento può essere installato in modo sicuro nei server Windows 2000 in altri ruoli. Microsoft consiglia di installare questo aggiornamento nei sistemi che potrebbero essere promossi ai controller di dominio in futuro.

Cosa fa l'aggiornamento?

L'aggiornamento rimuove la vulnerabilità modificando il modo in cui LSASS elabora il messaggio LDAP appositamente creato.

Vulnerabilità PCT - CAN-2003-0719:

Esiste una vulnerabilità di sovraccarico del buffer nel protocollo PCT (Private Communications Transport), che fa parte della libreria Ssl (Microsoft Secure Sockets Layer). Solo i sistemi con SSL abilitato e, in alcuni casi, i controller di dominio Windows 2000 sono vulnerabili. Un utente malintenzionato che ha sfruttato correttamente questa vulnerabilità potrebbe assumere il controllo completo di un sistema interessato.

Fattori di mitigazione della vulnerabilità PCT - CAN-2003-0719:

Solo i sistemi che hanno abilitato SSL sono interessati, in genere solo i sistemi server. Il supporto SSL non è abilitato per impostazione predefinita in uno dei sistemi interessati. Tuttavia, SSL viene generalmente usato nei server Web per supportare programmi commerciali elettronici, online banking e altri programmi che richiedono comunicazioni sicure.
Windows Server 2003 è vulnerabile solo a questo problema se un amministratore ha abilitato manualmente PCT (anche se SSL è stato abilitato).
In alcune situazioni, le funzionalità di pubblicazione Web di ISA Server 2000 o Proxy Server 2.0 possono bloccare correttamente i tentativi di sfruttare questa vulnerabilità. Il test ha dimostrato che le funzionalità di pubblicazione Web di ISA Server 2000, con filtro pacchetti abilitato e tutte le opzioni di filtro pacchetti selezionate possono bloccare correttamente questo attacco senza effetti collaterali evidenti. Proxy Server 2.0 blocca anche questo attacco. Tuttavia, fino a quando non viene applicato l'aggiornamento della sicurezza nel sistema Proxy Server 2.0, questo attacco causa l'arresto dei servizi Web di Proxy Server 2.0 e il sistema deve essere riavviato.
Le procedure consigliate per il firewall e le configurazioni firewall predefinite standard consentono di proteggere le reti da attacchi che hanno origine all'esterno del perimetro aziendale. Le procedure consigliate consigliano che i sistemi connessi a Internet abbiano un numero minimo di porte esposte.

Soluzioni alternative per la vulnerabilità PCT - CAN-2003-0719:

Disabilitare il supporto PCT tramite il Registro di sistema

Questa soluzione alternativa è completamente documentata nell'articolo della Microsoft Knowledge Base 187498. Questo articolo è riepilogato di seguito.

I passaggi seguenti illustrano come disabilitare il protocollo PCT 1.0 che impedisce al sistema interessato di negoziarne l'uso.

Nota L'uso non corretto dell'editor del Registro di sistema può causare gravi problemi che potrebbero richiedere la reinstallazione del sistema operativo. Microsoft non garantisce che i problemi dovuti all'utilizzo errato dell'Editor del Registro di sistema possano essere risolti. Utilizzare l'editor del Registro di sistema a proprio rischio.

Per informazioni su come modificare il Registro di sistema, visualizzare l'argomento della Guida "Modifica chiavi e valori" nell'editor del Registro di sistema (Regedit.exe) o negli argomenti della Guida "Aggiungi ed elimina informazioni nel Registro di sistema" e "Modifica dati del Registro di sistema" in Regedt32.exe.

Nota È consigliabile eseguire il backup del Registro di sistema prima di modificarlo.
1. Fare clic su Start, fare clic su Esegui, digitare "regedt32" (senza virgolette) e quindi fare clic su OK.
2. Nell'editor del Registro di sistema trovare la chiave del Registro di sistema seguente:
  
  HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\PCT 1.0\Server
3. Nel menu Modifica fare clic su Aggiungi valore per creare un nuovo valore REG_DWORD denominato "Enabled" nella sottochiave Server.
4. Nell'elenco Tipo di dati fare clic su REG_DWORD.
5. Nella casella di testo Nome valore digitare "Enabled" (senza virgolette) e quindi fare clic su OK.
  
  Nota Se questo valore è già presente, fare doppio clic sul valore per modificarne il valore corrente e quindi andare al passaggio 6.
6. Nell'editor binario impostare il valore delle nuove chiavi su 0 digitando la stringa seguente: 00000000.
7. Fare clic su OK e quindi riavviare il sistema.
  
  Nota Per abilitare PCT, modificare il valore della chiave del Registro di sistema Abilitato in 00000001 e quindi riavviare il sistema.
  
  Nota Se usi Windows XP RTM, devi anche creare una seconda chiave del Registro di sistema per disabilitare completamente PCT. Questa operazione non è necessaria nelle versioni successive di Windows XP o in altri sistemi operativi interessati. Usare le istruzioni fornite in precedenza e creare un secondo valore REG_DWORD denominato "Client". Usare gli stessi valori documentati in precedenza.

Domande frequenti sulla vulnerabilità PCT - CAN-2003-0719:

Qual è l'ambito della vulnerabilità?

Tutti i programmi che usano SSL potrebbero essere interessati. Anche se SSL è in genere associato a Internet Information Services tramite HTTPS e la porta 443, è probabile che qualsiasi servizio che implementa SSL in una piattaforma interessata sia vulnerabile. Sono inclusi, ad esempio, Microsoft Internet Information Services 4.0, Microsoft Internet Information Services 5.0, Microsoft Internet Information Services 5.1, Microsoft Exchange Server 5.5, Microsoft Exchange Server 2000, Microsoft Exchange Server 2003, Microsoft Analysis Services 2000 (incluso con SQL Server 2000) e tutti i programmi di terze parti che usano PCT. SQL Server 2000 non è vulnerabile perché blocca in modo specifico le connessioni PCT.

Windows Server 2003 e Internet Information Services 6.0 sono vulnerabili solo a questo problema se un amministratore ha abilitato manualmente PCT (anche se SSL è stato abilitato).

Un utente malintenzionato che ha sfruttato correttamente questa vulnerabilità potrebbe assumere il controllo completo di un sistema interessato, inclusa l'installazione di programmi; visualizzazione, modifica o eliminazione di dati; o creazione di nuovi account con privilegi completi.

Che cosa causa la vulnerabilità?

Processo utilizzato dalla libreria SSL per controllare gli input dei messaggi.

Che cos'è la libreria SSL?

La libreria Microsoft Secure Sockets Layer (SSL) contiene il supporto per diversi protocolli di comunicazione sicuri. Questi includono Transport Layer Security 1.0 (TLS 1.0), Secure Sockets Layer 3.0 (SSL 3.0) e il protocollo Secure Sockets Layer 2.0 (SSL 2.0) e LA tecnologia di comunicazione privata 1.0 (PCT 1.0).

Questi protocolli forniscono una connessione crittografata tra un server e un sistema client. SSL consente di proteggere le informazioni durante la trasmissione tra reti pubbliche, ad esempio Internet. Il supporto SSL richiede un certificato SSL, che deve essere installato in un server. Per altre informazioni su SSL, vedere l'articolo della Microsoft Knowledge Base 245152.

Che cos'è PCT?

Private Communication Technology (PCT) è un protocollo sviluppato da Microsoft e Visa International per la comunicazione crittografata su Internet. È stato sviluppato come alternativa a SSL 2.0. È simile a SSL. I formati di messaggio sono abbastanza simili che un server può interagire con i client che supportano SSL e client che supportano PCT.

PCT è un protocollo precedente che è stato sostituito da SSL 3.0 e non viene più usato in genere. La libreria Microsoft Secure Sockets Layer (SSL) supporta PCT solo per la compatibilità con le versioni precedenti. La maggior parte dei programmi e dei server moderni usa SSL 3.0 e PCT non è più necessario. Per informazioni più dettagliate, visitare il sito Web MSDN Library.

Cosa può fare un utente malintenzionato che usa la vulnerabilità?

Chi potrebbe sfruttare la vulnerabilità?

Qualsiasi utente malintenzionato anonimo che potrebbe recapitare un messaggio TCP appositamente creato a un servizio abilitato SSL in un sistema interessato potrebbe tentare di sfruttare questa vulnerabilità.

In che modo un utente malintenzionato potrebbe sfruttare questa vulnerabilità?

Un utente malintenzionato potrebbe sfruttare questa vulnerabilità comunicando con un sistema interessato tramite un servizio abilitato ssl e inviando un messaggio TCP appositamente creato. La ricezione di un messaggio di questo tipo potrebbe causare l'esito negativo del servizio interessato nel sistema vulnerabile in modo che possa eseguire il codice.

Quali sistemi sono principalmente a rischio dalla vulnerabilità?

Tutti i programmi che usano SSL potrebbero essere interessati. Anche se SSL è in genere associato a Internet Information Services tramite HTTPS e la porta 443, è probabile che qualsiasi servizio che implementa SSL in una piattaforma interessata sia vulnerabile. Ciò include, ad esempio, Internet Information Services 4.0, Internet Information Services 5.0, Internet Information Services 5.1, Exchange Server 5.5, Exchange Server 2000, Exchange Server 2003, Analysis Services 2000 (incluso in SQL Server 2000) e tutti i programmi di terze parti che usano PCT. SQL Server 2000 non è vulnerabile perché blocca in modo specifico le connessioni PCT.

Windows Server 2003 e Internet Information Services 6.0 sono vulnerabili solo a questo problema se un amministratore ha abilitato manualmente PCT (anche se SSL è stato abilitato).

Anche i domini di Active Directory in cui è installata un'autorità di certificazione radice aziendale sono interessati da questa vulnerabilità perché i controller di dominio Di Windows 2000 saranno in ascolto automatico delle connessioni SSL.

In che modo è interessato Windows Server 2003?

Il modo in cui Windows Server 2003 implementa PCT contiene lo stesso sovraccarico del buffer presente in altre piattaforme. Tuttavia, PCT è disabilitato per impostazione predefinita. Se il protocollo PCT è stato abilitato tramite una chiave del Registro di sistema, Windows Server 2003 potrebbe essere vulnerabile a questo problema. Microsoft sta quindi rilasciando un aggiornamento della sicurezza per Windows Server 2003 che corregge il sovraccarico del buffer continuando a lasciare disabilitato PCT.

Cosa fa l'aggiornamento?

L'aggiornamento rimuove la vulnerabilità modificando il modo in cui l'implementazione PCT convalida le informazioni passate e disabilita anche il protocollo PCT.

Questo aggiornamento introduce modifiche comportamentali?

Sì. Anche se l'aggiornamento risolve la vulnerabilità in PCT, disabilita anche PCT perché questo protocollo non viene più usato ed è stato sostituito da SSL 3.0. Questo comportamento è coerente con le impostazioni predefinite di Windows Server 2003. Se gli amministratori richiedono l'uso di PCT, possono abilitarlo usando la chiave del Registro di sistema descritta nella sezione Soluzione alternativa di questo bollettino.

Vulnerabilità Winlogon - CAN-2003-0806:

Esiste una vulnerabilità di sovraccarico del buffer nel processo di accesso di Windows (Winlogon). Non controlla le dimensioni di un valore utilizzato durante il processo di accesso prima di inserirlo nel buffer allocato. L'overrun risultante potrebbe consentire a un utente malintenzionato di eseguire il codice in remoto in un sistema interessato. I sistemi che non sono membri di un dominio non sono interessati da questa vulnerabilità. Un utente malintenzionato che ha sfruttato correttamente questa vulnerabilità potrebbe assumere il controllo completo di un sistema interessato.

Fattori di mitigazione per la vulnerabilità Winlogon - CAN-2003-0806:

Solo i sistemi Windows NT 4.0, Windows 2000 e Windows XP che sono membri di un dominio sono interessati da questa vulnerabilità. Windows Server 2003 non è interessato da questa vulnerabilità.
Un utente malintenzionato richiede l'autorizzazione per modificare gli oggetti utente in un dominio per tentare di sfruttare questa vulnerabilità. In genere, solo i membri dei gruppi Amministrazione istrators o Account Operators dispongono di questa autorizzazione. Tuttavia, questa autorizzazione potrebbe essere stata delegata ad altri account utente nel dominio.
I domini supportano in genere il controllo delle modifiche apportate agli oggetti utente. Questi record di controllo possono essere esaminati per determinare quale account utente potrebbe aver modificato in modo dannoso altri account utente per tentare di sfruttare questa vulnerabilità.

Soluzioni alternative per la vulnerabilità Winlogon - CAN-2003-0806:

Ridurre il numero di utenti con autorizzazioni di modifica dell'account.

Per sfruttare questa vulnerabilità, un utente malintenzionato richiede la possibilità di modificare gli oggetti utente nel dominio. Alcune organizzazioni aggiungono account utente ai gruppi Amministrazione istrators o Account Operators inutilmente. Ad esempio, se un rappresentante del supporto tecnico richiede solo la possibilità di reimpostare le password utente, l'amministratore deve delegare direttamente tale autorizzazione senza aggiungere il rappresentante al gruppo Operatore account. La riduzione del numero di account utente nei gruppi amministrativi consente di bloccare i vettori di attacco noti. Solo i dipendenti attendibili devono essere membri di gruppi amministrativi. Per altre informazioni sulle procedure consigliate per il dominio, visitare il sito Web seguente.

Domande frequenti sulla vulnerabilità Winlogon - CAN-2003-0806:

Qual è l'ambito della vulnerabilità?

Si tratta di una vulnerabilità di sovraccarico del buffer. Un utente malintenzionato che ha sfruttato correttamente questa vulnerabilità potrebbe assumere il controllo completo di un sistema interessato, inclusa l'installazione di programmi; visualizzazione, modifica o eliminazione di dati; o creazione di nuovi account con privilegi completi.

Che cosa causa la vulnerabilità?

Winlogon legge un valore dal dominio, ma non controlla le dimensioni di questo valore prima di inserirlo nel buffer allocato.

Che cos'è winlogon?

Il processo di accesso di Windows (Winlogon) è il componente del sistema operativo Windows che fornisce supporto interattivo per l'accesso. Winlogon.exe è il processo che gestisce le interazioni utente correlate alla sicurezza in Windows. Gestisce le richieste di accesso e disconnessione, il blocco o lo sblocco del sistema, la modifica della password e altre richieste. Legge i dati dal dominio durante il processo di accesso e usa questi dati per configurare l'ambiente di un utente. Per altre informazioni su Winlogon, visitare il sito Web MSDN Library.

Che cos'è un dominio?

Un dominio può essere usato per archiviare informazioni su praticamente qualsiasi oggetto di rete, ad esempio stampanti, percorsi di condivisione file e informazioni personali. Per ulteriori informazioni sulla creazione di domini con Windows 2000 Server o Windows Server 2003, visitare il sito Web seguente.

Cosa potrebbe fare questa vulnerabilità per consentire a un utente malintenzionato di eseguire?

Chi potrebbe sfruttare la vulnerabilità?

Un utente malintenzionato richiede l'autorizzazione per modificare gli oggetti utente in un dominio per tentare di sfruttare questa vulnerabilità. In genere, solo i membri dei gruppi Amministrazione istrators o Account Operators dispongono di questa autorizzazione. Tuttavia, questa autorizzazione potrebbe essere stata delegata ad altri account utente nel dominio. Gli account utente che non dispongono di questa autorizzazione o utenti anonimi non possono sfruttare questa vulnerabilità.

In che modo un utente malintenzionato potrebbe sfruttare questa vulnerabilità?

Un utente malintenzionato potrebbe modificare in modo speciale un valore archiviato nel dominio per includere dati dannosi. Quando questo valore viene passato a un buffer non controllato in Winlogon durante il processo di accesso, Winlogon potrebbe consentire l'esecuzione di codice dannoso.

Quali sistemi sono principalmente a rischio dalla vulnerabilità?

Solo i sistemi Windows NT 4.0, Windows 2000 e Windows XP che sono membri di un dominio sono interessati da questa vulnerabilità.

Cosa fa l'aggiornamento?

Questo aggiornamento rimuove la vulnerabilità modificando il modo in cui il processo Winlogon convalida la lunghezza di un valore prima di passarla al buffer allocato.

Vulnerabilità metafile - CAN-2003-0906:

Esiste una vulnerabilità di sovraccarico del buffer nel rendering dei formati di immagine Metafile (WMF) e EMF (Enhanced Metafile) di Windows che potrebbero consentire l'esecuzione remota del codice in un sistema interessato. Qualsiasi programma che esegue il rendering di immagini WMF o EMF nei sistemi interessati potrebbe essere vulnerabile a questo attacco. Un utente malintenzionato che ha sfruttato correttamente questa vulnerabilità potrebbe assumere il controllo completo di un sistema interessato.

Fattori di mitigazione della vulnerabilità metafile - CAN-2003-0906:

La vulnerabilità potrebbe essere sfruttata solo da un utente malintenzionato che ha convinto un utente ad aprire un file appositamente creato o a visualizzare una directory che contiene l'immagine appositamente creata. Non esiste alcun modo per un utente malintenzionato di forzare un utente ad aprire un file dannoso.
In uno scenario di attacco basato sul Web, un utente malintenzionato dovrà ospitare un sito Web contenente una pagina Web usata per sfruttare questa vulnerabilità. Un utente malintenzionato non avrebbe modo di forzare gli utenti a visitare un sito Web dannoso. Un utente malintenzionato dovrà invece convincerli a visitare il sito Web, in genere facendogli clic su un collegamento che li porta al sito dell'utente malintenzionato.
Un utente malintenzionato che ha sfruttato correttamente questa vulnerabilità potrebbe ottenere gli stessi privilegi dell'utente. Gli utenti i cui account sono configurati per avere un minor numero di privilegi nel sistema sarebbero meno rischiosi rispetto agli utenti che operano con privilegi amministrativi.
Windows Server 2003 non è interessato da questa vulnerabilità.

Soluzioni alternative per la vulnerabilità metafile - CAN-2003-0906:

Leggere i messaggi di posta elettronica in formato testo normale se si utilizza Outlook 2002 o versione successiva o Outlook Express 6 SP1 o versione successiva, per proteggersi dal vettore di attacco di posta elettronica HTML.

Gli utenti di Microsoft Outlook 2002 che hanno applicato Office XP Service Pack 1 o versione successiva e gli utenti di Microsoft Outlook Express 6 che hanno applicato Internet Explorer 6 Service Pack 1 possono abilitare questa impostazione e visualizzare tutti i messaggi di posta elettronica non firmati digitalmente o i messaggi di posta elettronica non crittografati solo in testo normale.

I messaggi di posta elettronica firmati digitalmente o i messaggi di posta elettronica crittografati non sono interessati dall'impostazione e possono essere letti nei formati originali. Per altre informazioni sull'abilitazione di questa impostazione in Outlook 2002, vedere l'articolo della Microsoft Knowledge Base 307594.

Per informazioni su questa impostazione in Outlook Express 6, vedere l'articolo della Microsoft Knowledge Base 291387.

Impatto della soluzione alternativa: i messaggi di posta elettronica visualizzati in formato testo normale non conterranno immagini, tipi di carattere specializzati, animazioni o altri contenuti avanzati. In aggiunta:
- Le modifiche vengono applicate al riquadro di anteprima e aprono i messaggi.
- Le immagini diventano allegati in modo da non perdersi.
- Poiché il messaggio è ancora in formato RTF o HTML nell'archivio, il modello a oggetti (soluzioni di codice personalizzate) potrebbe comportarsi in modo imprevisto.

Domande frequenti sulla vulnerabilità metafile - CAN-2003-0906:

Qual è l'ambito della vulnerabilità?

Che cosa causa la vulnerabilità?

Buffer non selezionato nel rendering dei formati di immagine Metafile (WMF) e EMF (Enhanced Metafile).

Che cosa sono i formati di immagine Metafile (WMF) e Metafile avanzato (EMF) di Windows?

Un'immagine WMF è un formato metafile a 16 bit che può contenere informazioni sul vettore e informazioni bitmap. È ottimizzato per il sistema operativo Windows.

Un'immagine EMF è un formato a 32 bit che può contenere informazioni sul vettore e informazioni bitmap. Questo formato è un miglioramento rispetto al formato Metafile di Windows e contiene funzionalità estese.

Per altre informazioni sui tipi e i formati di immagine, vedere l'articolo della Microsoft Knowledge Base 320314. Altre informazioni su questi formati di file sono disponibili anche nel sito Web MSDN Library.

Cosa può fare un utente malintenzionato che usa la vulnerabilità?

In che modo un utente malintenzionato potrebbe sfruttare questa vulnerabilità?

Qualsiasi programma che esegue il rendering dei tipi di immagine interessati potrebbe essere vulnerabile a questo attacco. Di seguito sono riportati alcuni esempi.

Un utente malintenzionato potrebbe ospitare un sito Web dannoso progettato per sfruttare questa vulnerabilità tramite Internet Explorer 6 e quindi convincere un utente a visualizzare il sito Web.
Un utente malintenzionato potrebbe anche creare un messaggio di posta elettronica HTML con un'immagine appositamente creata allegata. L'immagine appositamente creata potrebbe essere progettata per sfruttare questa vulnerabilità tramite Outlook 2002 o Outlook Express 6. Un utente malintenzionato potrebbe convincere l'utente a visualizzare il messaggio di posta elettronica HTML.
Un utente malintenzionato potrebbe incorporare un'immagine appositamente creata in un documento di Office e quindi convincere l'utente a visualizzare il documento.
Un utente malintenzionato potrebbe aggiungere un'immagine appositamente creata al file system locale o a una condivisione di rete e quindi convincere l'utente a visualizzare in anteprima la directory usando Esplora risorse in Windows XP.

Quali sistemi sono principalmente a rischio dalla vulnerabilità?

La vulnerabilità potrebbe essere sfruttata solo nei sistemi interessati da un utente malintenzionato che ha convinto un utente ad aprire un file appositamente creato o visualizzare una directory contenente l'immagine appositamente creata. Non esiste alcun modo per un utente malintenzionato di forzare un utente ad aprire un file dannoso.

In uno scenario di attacco basato sul Web, un utente malintenzionato dovrà ospitare un sito Web contenente una pagina Web usata per sfruttare questa vulnerabilità. Un utente malintenzionato non avrebbe modo di forzare gli utenti a visitare un sito Web dannoso. Un utente malintenzionato dovrà invece convincerli a visitare il sito Web, in genere facendogli clic su un collegamento che li porta al sito dell'utente malintenzionato.

Cosa fa l'aggiornamento?

L'aggiornamento rimuove la vulnerabilità modificando il modo in cui Windows convalida i tipi di immagine interessati.

Vulnerabilità help and support center - CAN-2003-0907:

Esiste una vulnerabilità di esecuzione remota del codice nell'Help and Support Center a causa del modo in cui gestisce la convalida dell'URL HCP. Un utente malintenzionato potrebbe sfruttare la vulnerabilità creando un URL HCP dannoso che potrebbe consentire l'esecuzione di codice remoto se un utente ha visitato un sito Web dannoso o ha visualizzato un messaggio di posta elettronica dannoso. Un utente malintenzionato che ha sfruttato correttamente questa vulnerabilità potrebbe assumere il controllo completo di un sistema interessato.

Fattori di mitigazione della vulnerabilità help and support center - CAN-2003-0907:

In uno scenario di attacco basato sul Web, un utente malintenzionato dovrà ospitare un sito Web contenente una pagina Web usata per sfruttare questa vulnerabilità. Un utente malintenzionato non avrebbe modo di forzare gli utenti a visitare un sito Web dannoso. Un utente malintenzionato dovrà invece convincerli a visitare il sito Web, in genere facendogli clic su un collegamento che li porta al sito dell'utente malintenzionato.
Per impostazione predefinita, Outlook Express 6, Outlook 2002 e Outlook 2003 aprono messaggi di posta elettronica HTML nell'area Siti con restrizioni. Inoltre, i messaggi di posta elettronica HTML aperti in Outlook 98 e Outlook 2000 nell'area Siti con restrizioni se è stato installato l'aggiornamento della sicurezza della posta elettronica di Outlook. L'area Siti con restrizioni consente di ridurre gli attacchi che potrebbero tentare di sfruttare questa vulnerabilità.

Il rischio di attacco dal vettore di posta elettronica HTML può essere notevolmente ridotto se si soddisfano tutte le condizioni seguenti:
- Applicare l'aggiornamento incluso nel bollettino microsoft sulla sicurezza MS03-040 o in un aggiornamento cumulativo successivo della sicurezza per Internet Explorer.
- Usare Internet Explorer 6 o versione successiva.
- Utilizzare l'aggiornamento della sicurezza della posta elettronica di Microsoft Outlook, utilizzare Microsoft Outlook Express 6 o versione successiva oppure utilizzare Microsoft Outlook 2000 Service Pack 2 o versione successiva nella configurazione predefinita.
Un utente malintenzionato che ha sfruttato correttamente questa vulnerabilità potrebbe ottenere gli stessi privilegi dell'utente. Gli utenti i cui account sono configurati per avere un minor numero di privilegi nel sistema sarebbero meno rischiosi rispetto agli utenti che operano con privilegi amministrativi.
Windows NT 4.0 e Windows 2000 non sono interessati da questa vulnerabilità.

Soluzioni alternative per la vulnerabilità della Guida e del Supporto tecnico - CAN-2003-0907:

Annullare la registrazione del protocollo HCP.

Per evitare un attacco, annullare la registrazione del protocollo HCP eliminando la chiave seguente dal Registro di sistema: HKEY_CLAS edizione Standard S_ROOT\HCP. A tale scopo, effettuare i passaggi seguenti:
1. Fare clic sul pulsante Starte quindi scegliere Esegui.
2. Digitare regedit e quindi scegliere OK.
  
  Viene avviato il programma dell'editor del Registro di sistema.
3. Espandere HKEY_CLAS edizione Standard S_ROOT, quindi evidenziare il tasto HCP.
4. Fare clic con il pulsante destro del mouse sul tasto HCP e quindi scegliere Elimina.
Nota L'uso non corretto dell'editor del Registro di sistema può causare gravi problemi che potrebbero richiedere la reinstallazione di Windows. Microsoft non garantisce che i problemi dovuti all'utilizzo errato dell'Editor del Registro di sistema possano essere risolti. Utilizzare l'editor del Registro di sistema a proprio rischio.

Impatto della soluzione alternativa: l'annullamento della registrazione del protocollo HCP interromperà tutti i collegamenti della Guida locali e legittimi che usano hcp://. Ad esempio, i collegamenti in Pannello di controllo potrebbero non funzionare più.
Installarel'aggiornamentodella sicurezza della posta elettronica di Outlook se si utilizza Outlook 2000 SP1 o versioni precedenti.

Per impostazione predefinita, Outlook Express 6, Outlook 2002 e Outlook 2003 aprono messaggi di posta elettronica HTML nell'area Siti con restrizioni. Inoltre, i messaggi di posta elettronica HTML aperti in Outlook 98 e Outlook 2000 nell'area Siti con restrizioni se è stato installato l'aggiornamento della sicurezza della posta elettronica di Outlook.

I clienti che usano uno di questi prodotti potrebbero essere a un rischio ridotto da un attacco inviato tramite posta elettronica che tenta di sfruttare questa vulnerabilità, a meno che l'utente non faccia clic su un collegamento dannoso nel messaggio di posta elettronica.
Leggere i messaggi di posta elettronica in formato testo normale se si utilizza Outlook 2002 o versione successiva o Outlook Express 6 SP1 o versione successiva, per proteggersi dal vettore di attacco di posta elettronica HTML.

Gli utenti di Microsoft Outlook 2002 che hanno applicato Office XP Service Pack 1 o versione successiva e gli utenti di Microsoft Outlook Express 6 che hanno applicato Internet Explorer 6 Service Pack 1 possono abilitare questa impostazione e visualizzare tutti i messaggi di posta elettronica non firmati digitalmente o i messaggi di posta elettronica non crittografati solo in testo normale.

I messaggi di posta elettronica firmati digitalmente o i messaggi di posta elettronica crittografati non sono interessati dall'impostazione e possono essere letti nei formati originali. Per altre informazioni sull'abilitazione di questa impostazione in Outlook 2002, vedere l'articolo della Microsoft Knowledge Base 307594.

Per informazioni su questa impostazione in Outlook Express 6, vedere l'articolo della Microsoft Knowledge Base 291387.

Impatto della soluzione alternativa: i messaggi di posta elettronica visualizzati in formato testo normale non conterranno immagini, tipi di carattere specializzati, animazioni o altri contenuti avanzati. In aggiunta:
- Le modifiche vengono applicate al riquadro di anteprima e aprono i messaggi.
- Le immagini diventano allegati in modo da non perdersi.
- Poiché il messaggio è ancora in formato RTF o HTML nell'archivio, il modello a oggetti (soluzioni di codice personalizzate) potrebbe comportarsi in modo imprevisto.

Domande frequenti sulla vulnerabilità di Help and Support Center - CAN-2003-0907:

Qual è l'ambito della vulnerabilità?

Si tratta di una vulnerabilità di esecuzione remota del codice. Un utente malintenzionato che ha sfruttato correttamente questa vulnerabilità potrebbe ottenere il controllo completo su un sistema interessato. Un utente malintenzionato può eseguire qualsiasi azione sul sistema, tra cui l'installazione di programmi, la visualizzazione di dati, la modifica dei dati, l'eliminazione di dati o la creazione di nuovi account con privilegi completi.

Che cosa causa la vulnerabilità?

Processo usato dalla Guida e dal Supporto tecnico per convalidare gli input dei dati.

Che cos'èguidaesupporto tecnico?

Guida e supporto tecnico (HSC) è una funzionalità di Windows che fornisce assistenza su un'ampia gamma di argomenti. Ad esempio, HSC può insegnare agli utenti informazioni sulle funzionalità di Windows, su come scaricare e installare gli aggiornamenti software, su come determinare se un particolare dispositivo hardware è compatibile con Windows e su come ricevere assistenza da Microsoft. Gli utenti e i programmi possono usare i collegamenti URL alla Guida e al Supporto tecnico usando il prefisso "hcp://" in un collegamento URL anziché "https://".

Che cos'è il protocollo HCP?

Analogamente al modo in cui il protocollo HTTP può usare collegamenti URL di esecuzione per aprire un Web browser, il protocollo HCP può eseguire collegamenti URL per aprire la funzionalità Guida e Supporto tecnico.

Che cosa c'èdi sbagliatonellaGuidaenel Supporto tecnico?

Si verifica un errore nella convalida dell'input.

Cosa può fare un utente malintenzionato che usa la vulnerabilità?

In che modo un utente malintenzionato potrebbe sfruttare questa vulnerabilità?

Per sfruttare questa vulnerabilità, un utente malintenzionato dovrà ospitare un sito Web dannoso e quindi convincere un utente a visualizzare il sito Web. Un utente malintenzionato potrebbe anche creare un messaggio di posta elettronica HTML con un collegamento appositamente creato e quindi convincere un utente a visualizzare il messaggio di posta elettronica HTML e quindi fare clic sul collegamento dannoso. Se l'utente ha fatto clic su questo collegamento, è possibile aprire una finestra di Internet Explorer con un URL HCP di propria scelta, che potrebbe quindi consentire l'esecuzione arbitraria del codice.

Quali sistemi sono principalmente a rischio dalla vulnerabilità?

Windows XP e Windows Server 2003 contengono la versione interessata di Guida e Supporto tecnico. Windows NT 4.0 e Windows 2000 non sono interessati perché non contengono guida e supporto tecnico.

Internet Explorer è in esecuzione in Windows Server 2003. Windows Server 2003 riduce questa vulnerabilità?

No. Per impostazione predefinita, Internet Explorer in Windows Server 2003 viene eseguito in una modalità con restrizioni nota come Configurazione sicurezza avanzata di Internet Explorer. Tuttavia, il protocollo HCP è autorizzato ad accedere alla Guida e al Supporto tecnico per impostazione predefinita. Di conseguenza, Windows Server 2003 è vulnerabile. Per altre informazioni sulla configurazione della sicurezza avanzata di Internet Explorer, visitare il sito Web seguente.

Cosa fa l'aggiornamento?

Questo aggiornamento rimuove la vulnerabilità modificando la convalida dei dati passati alla Guida e al Supporto tecnico.

Vulnerabilità di Utility Manager - CAN-2003-0908:

Esiste una vulnerabilità di elevazione dei privilegi nel modo in cui Utility Manager avvia le applicazioni. Un utente connesso potrebbe imporre a Gestione utilità di avviare un'applicazione con privilegi di sistema e assumere il controllo completo del sistema.

Fattori di mitigazione della vulnerabilità di Utility Manager - CAN-2003-0908:

Un utente malintenzionato deve disporre di credenziali di accesso valide per sfruttare la vulnerabilità. Non è stato possibile sfruttare la vulnerabilità da parte di utenti anonimi.
Windows NT 4.0, Windows XP e Windows Server 2003 non sono interessati da questa vulnerabilità. Windows NT 4.0 non implementa Gestione utilità.
La Guida alla protezione avanzata di Windows 2000 consiglia di disabilitare il servizio Gestione utilità. Gli ambienti conformi a queste linee guida potrebbero essere a rischio ridotto da questa vulnerabilità.

Soluzioni alternative per la vulnerabilità di Utility Manager - CAN-2003-0908:

Usare Criteri di gruppo per disabilitare Gestione utilità in tutti i sistemi interessati che non richiedono questa funzionalità.

Poiché Utility Manager è un possibile vettore di attacco, disabilitarlo usando Criteri di gruppo. Il nome del processo di Gestione utilità è Utilman.exe. La guida seguente fornisce informazioni su come richiedere agli utenti di eseguire solo applicazioni approvate usando Criteri di gruppo.

Nota È anche possibile consultare la Guida alla protezione avanzata di Windows 2000. Questa guida include informazioni su come disabilitare Gestione utilità.

Impatto della soluzione alternativa:

Utility Manager consente di accedere facilmente a molte delle funzionalità di accessibilità del sistema operativo. Questo accesso non sarà disponibile fino a quando non vengono rimosse le restrizioni. Per trovare informazioni su come avviare manualmente molte delle funzionalità di accessibilità, visitare questo sito Web.

Domande frequenti sulla vulnerabilità di Utility Manager - CAN-2003-0908:

Qual è l'ambito della vulnerabilità?

Si tratta di una vulnerabilità di elevazione dei privilegi. Un utente malintenzionato che ha sfruttato correttamente questa vulnerabilità potrebbe assumere il controllo completo di un sistema interessato, inclusa l'installazione di programmi; visualizzazione, modifica o eliminazione di dati; o creazione di nuovi account con privilegi completi.

Che cosa causa la vulnerabilità?

Processo usato da Utility Manager per avviare le applicazioni. È possibile che Utility Manager possa avviare applicazioni con privilegi di sistema.

Che cos'è Utility Manager?

Utility Manager è un'utilità di accessibilità che consente agli utenti di controllare lo stato dei programmi di accessibilità, ad esempio Microsoft Magnifier, Assistente vocale o Tastiera su schermo e per avviarli o arrestarli.

Cosa può fare un utente malintenzionato che usa la vulnerabilità?

Chi potrebbe sfruttare la vulnerabilità?

Un utente malintenzionato deve essere in grado di accedere al sistema e quindi, dopo aver avviato Gestione utilità, eseguire un programma che invia un messaggio appositamente creato a Utility Manager per tentare di sfruttare la vulnerabilità.

In che modo un utente malintenzionato potrebbe sfruttare questa vulnerabilità?

Per sfruttare questa vulnerabilità, un utente malintenzionato dovrà prima avviare Gestione utilità in Windows 2000 e quindi eseguire un'applicazione appositamente progettata che potrebbe sfruttare la vulnerabilità. Nelle configurazioni predefinite di Window 2000, Utility Manager è installato ma non è in esecuzione. Questa vulnerabilità potrebbe consentire a un utente malintenzionato di ottenere il controllo completo su un sistema Windows 2000.

Quali sistemi sono principalmente a rischio dalla vulnerabilità?

Solo Windows 2000 è interessato da questa vulnerabilità. Le workstation e i server terminal basati su Windows 2000 sono principalmente a rischio. I server sono a rischio solo se gli utenti che non dispongono di credenziali amministrative sufficienti hanno la possibilità di accedere ai server e di eseguire programmi. Tuttavia, le procedure consigliate sconsigliano vivamente di consentire questo problema.

Uso Windows 2000, ma non uso Utility Manager o nessuna delle funzionalità di accessibilità. Sono ancora vulnerabile?

Sì. Per impostazione predefinita, Utility Manager è installato e abilitato. Tuttavia, Gestione utilità non è in esecuzione per impostazione predefinita.

La vulnerabilità potrebbe essere sfruttata tramite Internet?

No. Un utente malintenzionato deve essere in grado di accedere al sistema specifico destinato all'attacco. Un utente malintenzionato non può caricare ed eseguire un programma in modalità remota usando questa vulnerabilità.

Cosa fa l'aggiornamento?

Questo aggiornamento rimuove la vulnerabilità modificando il modo in cui Utility Manager avvia le applicazioni.

Vulnerabilità di gestione di Windows - CAN-2003-0909

Esiste una vulnerabilità di elevazione dei privilegi nel modo in cui Windows XP consente la creazione di attività. In condizioni speciali, un utente senza privilegi potrebbe creare un'attività che potrebbe essere eseguita con autorizzazioni di sistema e quindi assumere il controllo completo del sistema.

Fattori di mitigazione della vulnerabilità di gestione di Windows - CAN-2003-0909:

Un utente malintenzionato deve disporre di credenziali di accesso valide per sfruttare la vulnerabilità. Non è stato possibile sfruttare la vulnerabilità da un utente anonimo.
Windows NT 4.0, Windows 2000 e Windows Server 2003 non sono interessati da questa vulnerabilità.

Soluzioni alternative per la vulnerabilità di gestione di Windows - CAN-2003-0909:

Eliminare il provider dell'interfaccia di gestione windows interessato.

Un amministratore con autorizzazioni amministrative locali può eliminare il provider WMI (Windows Management Interface) interessato inserendo lo script seguente in un file di testo con estensione '.vbs' e quindi eseguendolo.

Per eliminare il provider WMI interessato:

set osvc = getobject("winmgmts:root\cimv2")set otrigger = osvc.get("__win32provider='cmdtriggerconsumer'")otrigger.delete_

L'installazione dell'aggiornamento registra automaticamente il provider WMI interessato a cui si fa riferimento in precedenza. Non è necessario eseguire altri passaggi per ripristinare la funzionalità tipica del sistema dopo l'applicazione dell'aggiornamento.

Impatto della soluzione alternativa: le attività create come trigger basati su eventi non funzioneranno mentre questo provider non è registrato. Per altre informazioni sui trigger basati su eventi, visitare il sito Web seguente.

Nota In rari casi, Windows XP potrebbe registrare nuovamente questo provider WMI. Ad esempio, se Windows XP rileva che il repository WMI è danneggiato, potrebbe provare a registrare nuovamente il provider WMI interessato.

Domande frequenti sulla vulnerabilità di gestione di Windows - CAN-2003-0909:

Qual è l'ambito della vulnerabilità?

Che cosa causa la vulnerabilità?

In condizioni speciali, un utente senza privilegi di Microsoft Windows XP potrebbe creare un'attività che potrebbe essere eseguita con autorizzazioni di sistema.

Cosa può fare un utente malintenzionato che usa la vulnerabilità?

In che modo un utente malintenzionato potrebbe sfruttare questa vulnerabilità?

Per sfruttare la vulnerabilità, un utente malintenzionato deve essere in grado di accedere al sistema e creare un'attività. Poiché un utente malintenzionato deve disporre di credenziali di accesso valide per sfruttare la vulnerabilità, i sistemi remoti non sono a rischio.

Quali sistemi sono principalmente a rischio dalla vulnerabilità?

Solo Windows XP è interessato da questa vulnerabilità.

Cosa fa l'aggiornamento?

L'aggiornamento rimuove la vulnerabilità impedendo agli utenti di creare attività a un livello di privilegio elevato.

Questo aggiornamento contiene altre modifiche comportamentali?

Sì. Questo aggiornamento include anche diverse modifiche alla funzionalità, documentate di seguito:

Prima di questo aggiornamento, un utente potrebbe talvolta creare trigger basati su eventi usando lo strumento da riga di comando Eventtriggers.exe senza dover specificare un nome utente e una password. Dopo l'installazione di questo aggiornamento, un utente potrebbe dover fornire un nome utente e una password validi per creare trigger basati su eventi usando Eventttrigers.exe. Per informazioni dettagliate sulle opzioni della riga di comando Eventtriggers.exe, visitare il sito Web seguente.
In precedenza, gli amministratori potevano creare trigger basati su eventi con il servizio Utilità di pianificazione arrestato o disabilitato. A questo momento, il servizio Utilità di pianificazione deve essere in esecuzione. Per altre informazioni sull'Utilità di pianificazione, visitare il sito Web seguente.
È stato stabilito anche un nuovo limite di 1.000 trigger come parte di questo aggiornamento. I trigger basati su eventi esistenti oltre questo limite continueranno a funzionare dopo l'installazione dell'aggiornamento. Non è tuttavia possibile creare trigger aggiuntivi basati su eventi.
Le autorizzazioni sono state rafforzate sui trigger basati su eventi creati dopo l'installazione dell'aggiornamento.

Vulnerabilità della tabella dei descrittori locali - CAN-2003-0910

Esiste una vulnerabilità di elevazione dei privilegi in un'interfaccia di programmazione usata per creare voci nella tabella LDT (Local Descriptor Table). Queste voci contengono informazioni sui segmenti di memoria. Un utente malintenzionato connesso in locale potrebbe creare una voce dannosa e quindi ottenere l'accesso alla memoria protetta, potrebbe assumere il controllo completo del sistema.

Fattori di mitigazione per la vulnerabilità della tabella dei descrittori locali - CAN-2003-0910:

Un utente malintenzionato deve avere credenziali di accesso valide e poter accedere localmente per sfruttare questa vulnerabilità. Non è stato possibile sfruttarlo in remoto.
Windows XP e Windows Server 2003 non sono interessati da questa vulnerabilità.

Soluzioni alternative per la vulnerabilità della tabella dei descrittori locali - CAN-2003-0910:

Nessuno.

Domande frequenti sulla vulnerabilità della tabella dei descrittori locali - CAN-2003-0910:

Qual è l'ambito della vulnerabilità?

Che cosa causa la vulnerabilità?

Interfaccia di programmazione utilizzata per creare voci in LDT. Queste voci contengono informazioni sui segmenti di memoria. Un utente malintenzionato potrebbe creare una voce dannosa per ottenere l'accesso alla memoria del kernel protetta.

Che cos'è la tabella del descrittore locale?

La tabella del descrittore locale (LDT) contiene voci denominate descrittori. Questi descrittori contengono informazioni che definiscono un particolare segmento di memoria.

Qual è il problema del modo in cui è possibile creare una voce descrittore in LDT?

L'interfaccia di programmazione non deve consentire ai programmi di creare voci del descrittore nell'LDT che puntano ad aree di memoria protetta.

Cosa può fare un utente malintenzionato che usa la vulnerabilità?

Un utente malintenzionato che ha sfruttato correttamente la vulnerabilità potrebbe assumere il controllo completo del sistema interessato. Un utente malintenzionato può eseguire qualsiasi azione sul sistema, tra cui l'installazione di programmi, la visualizzazione di dati, la modifica dei dati, l'eliminazione di dati o la creazione di nuovi account con privilegi completi.

Chi potrebbe sfruttare la vulnerabilità?

Un utente malintenzionato deve essere in grado di accedere localmente al sistema ed eseguire un programma per sfruttare questa vulnerabilità.

In che modo un utente malintenzionato potrebbe sfruttare questa vulnerabilità?

Per sfruttare questa vulnerabilità, un utente malintenzionato dovrà prima accedere al sistema. Un utente malintenzionato potrebbe quindi eseguire un programma appositamente progettato che potrebbe sfruttare la vulnerabilità e potenzialmente ottenere il controllo completo sul sistema interessato.

Quali sistemi sono principalmente a rischio dalla vulnerabilità?

Le workstation e i server terminal sono principalmente a rischio. I server sono a rischio solo se gli utenti che non dispongono di credenziali amministrative sufficienti hanno la possibilità di accedere e di eseguire programmi. Tuttavia, le procedure consigliate sconsigliano vivamente di consentire questo problema.

La vulnerabilità potrebbe essere sfruttata tramite Internet?

Cosa fa l'aggiornamento?

L'aggiornamento rimuove la vulnerabilità modificando il modo in cui i descrittori vengono creati nell'LDT.

Vulnerabilità H.323 - CAN-2004-0117

Esiste una vulnerabilità di esecuzione remota del codice nel modo in cui l'implementazione del protocollo Microsoft H.323 gestisce le richieste non valide. Un utente malintenzionato che ha sfruttato correttamente questa vulnerabilità potrebbe assumere il controllo completo di un sistema interessato.

Fattori di mitigazione per la vulnerabilità H.323 - CAN-2004-0117:

Negli scenari più comuni, NetMeeting (che usa H.323) deve essere in esecuzione per diventare vulnerabile.
Negli scenari più comuni, i sistemi che usano Internet Connessione ion Firewall (ICF) e che non eseguono applicazioni basate su H.323 non sono vulnerabili.
Windows NT 4.0 non è interessato da questa vulnerabilità, a meno che la versione autonoma di NetMeeting non sia stata installata manualmente da un amministratore.

Soluzioni alternative per la vulnerabilità H.323 - CAN-2004-0117:

Bloccare le porte TCP 1720 e TCP 1503 sia in ingresso che in uscita nel firewall.

Le procedure consigliate per il firewall e le configurazioni firewall predefinite standard consentono di proteggere le reti da attacchi che hanno origine all'esterno del perimetro aziendale. Le procedure consigliate consigliano che i sistemi connessi a Internet abbiano un numero minimo di porte esposte. Microsoft consiglia di bloccare tutte le comunicazioni in ingresso non richieste da Internet per evitare attacchi che potrebbero usare altre porte.

Impatto della soluzione alternativa:

Se le porte TCP in ingresso e in uscita 1503 e 1720 sono bloccate, gli utenti non potranno connettersi al servizio Localizzatore Internet (ILS) o ad altri client NetMeeting.

Domande frequenti sulla vulnerabilità H.323 - CAN-2004-0117:

Qual è l'ambito della vulnerabilità?

Che cosa causa la vulnerabilità?

Buffer deselezionati nell'implementazione H.323 di Microsoft.

Che cos'è H.323?

H.323 è uno standard ITU che specifica come PC, apparecchiature e servizi per la comunicazione multimediale su reti che non forniscono un livello di servizio garantito, ad esempio Internet. I terminali e le apparecchiature H.323 possono trasportare video in tempo reale, voce, dati o qualsiasi combinazione di questi elementi. I prodotti che usano H.323 per audio e video consentono agli utenti di connettersi e comunicare con altre persone su Internet, proprio come le persone che usano diversi prodotti e modelli di telefoni possono comunicare utilizzando il telefono.

Quali applicazioni interessate usano il protocollo H.323?

Il protocollo H.323 viene implementato in una serie di applicazioni e componenti del sistema operativo Microsoft. Questo problema può influire sui sistemi che dispongono di uno o più dei servizi o delle applicazioni seguenti in esecuzione:

Applicazioni basate su TAPI (Telephony Application Programming Interface)
Netmeeting
Internet Connessione ion Firewall (ICF)
Condivisione connessione Internet
Il servizio di routing e accesso remoto Microsoft

Che cos'è TAPI?

Windows Telephony Applications Programming Interface (TAPI) fa parte dell'architettura di Windows Open System. Usando TAPI, gli sviluppatori possono creare applicazioni di telefonia. TAPI è uno standard di settore aperto, definito con input significativo e continuativo dalla community di telefonia e computing in tutto il mondo. Poiché TAPI è indipendente dall'hardware, le applicazioni compatibili possono essere eseguite su un'ampia gamma di hardware pc e telefonia e possono supportare un'ampia gamma di servizi di rete. TAPI implementa il protocollo H.323. Le applicazioni che usano TAPI potrebbero essere vulnerabili al problema descritto in questo bollettino.

Le applicazioni H.323 basate su TAPI vengono installate per impostazione predefinita in uno dei sistemi interessati?

Telefono Microsoft Dialer è l'unica applicazione basata su TAPI H.323 installata per impostazione predefinita in Windows 2000 e Windows XP. Le applicazioni di terze parti possono abilitare e usare la funzionalità H.323 in TAPI.

Nota Telefono Microsoft Dialer non è incluso in Windows Server 2003.

Che cos'è NetMeeting?

NetMeeting offre una soluzione completa di conferenze Internet ed enterprise per tutti gli utenti di Windows, con conferenze dati multipoint, chat di testo, lavagna e trasferimento di file e audio e video da punto a punto. NetMeeting implementa il protocollo H.323 ed è installato per impostazione predefinita, ma non è in esecuzione per impostazione predefinita, in tutti i sistemi interessati.

Se si esegue NetMeeting ma non si esegue Internet Connessione ion Sharing, ICF o il servizio Routing e Accesso remoto. Sono vulnerabile?

Sì. Quando si esegue NetMeeting, si è vulnerabili a questo problema.

Se si esegue NetMeeting ma non si è connessi a un server ILS o in una sessione NetMeeting peer-to-peer, si è vulnerabili?

Sì, a meno che le porte TCP 1720 e 1503 non siano bloccate nel sistema.

Se non è mai stata installata la versione autonoma di NetMeeting, sono vulnerabili?

NetMeeting è stato incluso come parte di Windows 2000, Windows XP e Windows Server 2003. Questo aggiornamento risolve le versioni di NetMeeting incluse in questi sistemi operativi. NetMeeting è disponibile anche come download autonomo per altri sistemi operativi e come parte di altre applicazioni, che potrebbero anche essere vulnerabili a questo problema. Se è stata installata la versione autonoma di NetMeeting, installare una versione aggiornata che risolve questa vulnerabilità. Per scaricare la versione aggiornata, visitare il sito Web seguente. La versione aggiornata che risolve questa vulnerabilità è la versione 3.01 (4.4.3399).

Windows 98, Windows 98 Second Edition o Windows Millennium Edition sono interessati in modo critico da questa vulnerabilità?

No. Anche se questi sistemi operativi possono contenere NetMeeting, la vulnerabilità non è critica in questi sistemi operativi. Come metodo per risolvere questa vulnerabilità, è possibile scaricare e installare la versione autonoma di NetMeeting per questi sistemi operativi dal sito Web seguente. Per altre informazioni sulle classificazioni di gravità, visitare il sito Web seguente.

Che cos'è Internet Connessione ion Firewall?

Internet Connessione ion Firewall (ICF) offre funzionalità di prevenzione delle intrusioni di base per i sistemi che eseguono Windows XP o Windows Server 2003. È progettato per i sistemi connessi direttamente a una rete pubblica o a sistemi che fanno parte di una rete domestica quando vengono usati con internet Connessione ion Sharing.

Se si esegue solo Internet Connessione ion Firewall in Windows XP o in Windows Server 2003, è vulnerabile?

No, non automaticamente. Tuttavia, se si usa NetMeeting, anche con ICF in esecuzione, potrebbe essere vulnerabile a questo problema. NetMeeting apre le porte in ICF che potrebbero esporre questa vulnerabilità.

L'apertura manuale delle porte TCP 1720 e 1503 potrebbe anche esporre questa vulnerabilità. Le applicazioni di terze parti possono anche causare l'apertura delle porte ICF in risposta alla comunicazione H.323.

Che cos'è internet Connessione ion Sharing?

Utilizzando Internet Connessione gli utenti di condivisione possono connettere un sistema a Internet e condividere il servizio Internet con diversi altri sistemi in una rete domestica o di piccole dimensioni. L'Installazione guidata rete in Windows XP fornisce automaticamente tutte le impostazioni di rete necessarie per condividere una connessione Internet con tutti i sistemi in una rete. Ogni sistema può utilizzare programmi come Internet Explorer e Outlook Express come se il sistema fosse connesso direttamente a Internet.

Internet Connessione ion Sharing è una funzionalità di Windows 2000, Windows XP e Windows Server 2003, ma non è abilitata per impostazione predefinita in uno dei sistemi interessati.

Se è stata abilitata la condivisione di internet Connessione ion, ma non è stato abilitato Internet Connessione ion Firewall, è vulnerabile?

Sì, la condivisione di internet Connessione ion consente alle porte che potrebbero consentire a un sistema di diventare vulnerabili a questo problema.

Se ICF e Internet Connessione ion Sharing sono in esecuzione, questo attacco non può verificarsi a meno che l'utente non usasse anche NetMeeting o avesse aperto manualmente la porta 1503 o la porta 1720.

Che cos'è il servizio Routing Microsoft e Accesso remoto?

Il servizio Microsoft Routing e Accesso remoto consente a un sistema che esegue Windows 2000 Server o Windows Server 2003 di funzionare come router di rete. L'accesso remoto consente agli utenti che dispongono di sistemi remoti di creare una connessione logica alla rete di un'organizzazione o a Internet. Il servizio Routing Microsoft e Accesso remoto supporta le richieste H.323 instradate da o verso una rete.

Se si esegue il servizio Routing Microsoft e Accesso remoto in Windows 2000, si è vulnerabili?

Sì. Per impostazione predefinita, Windows 2000 usa il servizio Routing Microsoft e Accesso remoto con la funzionalità NAT (Network Address Translation), che espone la vulnerabilità. Tuttavia, un amministratore può disabilitare la funzionalità H.323 usando il comando netsh . I passaggi dettagliati sono descritti nell'articolo della Microsoft Knowledge Base 838834.

Nota Se un sistema è configurato per eseguire un altro servizio Di routing Microsoft e Accesso remoto senza NAT (ad esempio, Rete privata virtuale, OSPF o Routing Information Protocol), non sarà interessato da questa vulnerabilità.

Se si esegue il servizio Routing Microsoft e Accesso remoto in Windows Server 2003, si è vulnerabili?

No. Per impostazione predefinita, il servizio Routing e accesso remoto di Windows Server 2003 non abilita la funzionalità H.323. Tuttavia, un amministratore potrebbe abilitare la funzionalità H.323 e quindi esporre il sistema a questa vulnerabilità.

Cosa può fare un utente malintenzionato che usa la vulnerabilità?

Chi potrebbe sfruttare la vulnerabilità?

Qualsiasi utente anonimo che potrebbe inviare una richiesta H.323 appositamente creata a uno dei sistemi interessati sopra indicati.

In che modo un utente malintenzionato potrebbe sfruttare questa vulnerabilità?

Un utente malintenzionato potrebbe tentare di sfruttare la vulnerabilità individuando gli utenti che eseguono NetMeeting, un programma TAPI basato su H.323 o entrambi.

Un utente malintenzionato potrebbe anche tentare di sfruttare la vulnerabilità tramite Internet Connessione ion Sharing eseguendo in remoto il codice nei sistemi in cui è abilitata la condivisione di internet Connessione ion. Se la condivisione di ICF e Internet Connessione ion è in esecuzione, questo attacco non sarà possibile a meno che l'utente non usasse anche NetMeeting.

Quali sistemi sono principalmente a rischio dalla vulnerabilità?

Sistemi che eseguono NetMeeting o che eseguono un programma basato su H.323.

Cosa fa l'aggiornamento?

L'aggiornamento modifica il modo in cui i sistemi interessati elaborano le richieste H.323 appositamente create.

Vulnerabilità della macchina DOS virtuale - CAN-2004-0118:

Esiste una vulnerabilità di elevazione dei privilegi nel componente del sistema operativo che gestisce il sottosistema VDM (Virtual DOS Machine). Questa vulnerabilità potrebbe consentire a un utente connesso di assumere il controllo completo del sistema.

Fattori di mitigazione della vulnerabilità della macchina DOS virtuale - CAN-2004-0118:

Un utente malintenzionato deve avere credenziali di accesso valide e poter accedere localmente per sfruttare questa vulnerabilità. Non è stato possibile sfruttarlo in remoto.
Windows XP e Windows Server 2003 non sono interessati da questa vulnerabilità.

Soluzioni alternative per la vulnerabilità della macchina DOS virtuale - CAN-2004-0118:

Nessuno.

Domande frequenti sulla vulnerabilità della macchina DOS virtuale - CAN-2004-0118:

Qual è l'ambito della vulnerabilità?

Si tratta di una vulnerabilità di valutazione dei privilegi. Un utente malintenzionato che ha sfruttato correttamente questa vulnerabilità potrebbe assumere il controllo completo di un sistema interessato, inclusa l'installazione di programmi; visualizzazione, modifica o eliminazione di dati; o creazione di nuovi account con privilegi completi. Per sfruttare la vulnerabilità, un utente malintenzionato deve essere in grado di accedere localmente al sistema ed eseguire un programma.

Che cosa causa la vulnerabilità?

Il componente del sistema operativo che gestisce il sottosistema VDM può essere usato per ottenere l'accesso alla memoria kernel protetta. In determinate circostanze, alcune funzioni del sistema operativo con privilegi potrebbero non convalidare le strutture di sistema e consentire a un utente malintenzionato di eseguire codice dannoso con privilegi di sistema.

Che cos'è il sottosistema macchina DOS virtuale?

Una macchina DOS virtuale (VDM) è un ambiente che emula MS-DOS e Windows basato su DOS nei sistemi operativi basati su Windows NT. Un VDM viene creato ogni volta che un utente avvia un'applicazione MS-DOS in un sistema operativo basato su Windows NT.

Cosa può fare un utente malintenzionato che usa la vulnerabilità?

Chi potrebbe sfruttare la vulnerabilità?

Per sfruttare la vulnerabilità, un utente malintenzionato deve essere in grado di accedere localmente a un sistema ed eseguire un programma.

In che modo un utente malintenzionato potrebbe sfruttare questa vulnerabilità?

Per sfruttare questa vulnerabilità, un utente malintenzionato dovrà prima accedere al sistema. Un utente malintenzionato potrebbe quindi eseguire un'applicazione appositamente progettata che potrebbe sfruttare la vulnerabilità e quindi ottenere il controllo completo sul sistema interessato.

Quali sistemi sono principalmente a rischio dalla vulnerabilità?

Le workstation e i server terminal sono principalmente a rischio. I server sono a rischio solo se gli utenti che non dispongono di credenziali amministrative sufficienti hanno la possibilità di accedere ai server e di eseguire programmi. Tuttavia, le procedure consigliate sconsigliano vivamente di consentire questo problema.

La vulnerabilità potrebbe essere sfruttata tramite Internet?

Cosa fa l'aggiornamento?

Questo aggiornamento modifica il modo in cui Windows convalida i dati quando si fa riferimento a percorsi di memoria allocati a un VDM.

Vulnerabilità Negotiate SSP - CAN-2004-0119

Esiste una vulnerabilità di sovraccarico del buffer nell'interfaccia Negotiate Security Software Provider (SSP) che potrebbe consentire l'esecuzione di codice remoto. Questa vulnerabilità esiste a causa del modo in cui l'interfaccia Negotiate SSP convalida un valore usato durante la selezione del protocollo di autenticazione. Un utente malintenzionato che ha sfruttato correttamente questa vulnerabilità potrebbe assumere il controllo completo di un sistema interessato.

Fattori di mitigazione per negoziare la vulnerabilità SSP - CAN-2004-0119:

Negli scenari più comuni, questa vulnerabilità è una vulnerabilità Denial of Service .
L'interfaccia Negotiate SSP è abilitata anche per impostazione predefinita in Internet Information Services (IIS). Tuttavia, solo Windows 2000 (IIS 5.0) e Windows Server 2003 Web Server Edition (IIS 6.0) installano Internet Information Services (IIS) per impostazione predefinita.
Windows NT 4.0 non è interessato da questa vulnerabilità.

Soluzioni alternative per negoziare la vulnerabilità SSP - CAN-2004-0119:

Soluzioni alternative per il vettore di attacco di Internet Information Services
- Disabilitare l'autenticazione integrata di Windows
  
  Amministrazione istrator può contribuire a ridurre il rischio di attacchi tramite Internet Information Services disabilitando Autenticazione integrata di Windows. Le informazioni su come abilitare o disabilitare questa opzione sono disponibili nel sito Web seguente.
  
  Impatto della soluzione alternativa: tutte le applicazioni basate su IIS che richiedono l'autenticazione NT NT Challenge/Response authentication (NTLM) o Kerberos non funzioneranno più correttamente.
- Disabilitare il provider di servizi condivisi Negozia
  
  Amministrazione istrator può disabilitare solo il provider di servizi condivisi Negotiate (che mantiene NTLM abilitato) seguendo le istruzioni riportate nell'articolo della Microsoft Knowledge Base 215383, riepilogato di seguito:
  
  Per disabilitare Negotiate (e quindi impedire l'autenticazione Kerberos), usare il comando seguente. Si noti che "NTLM" deve essere maiuscolo per evitare eventuali effetti negativi):
  
  cscript adsutil.vbs set w3svc/NTAuthenticationProviders “NTLM”
  
  Impatto della soluzione alternativa: tutte le applicazioni basate su IIS che richiedono l'autenticazione Kerberos non funzioneranno più correttamente.

Domande frequenti sulla vulnerabilità negotiate SSP - CAN-2004-0119:

Qual è l'ambito della vulnerabilità?

Si tratta di una vulnerabilità di sovraccarico del buffer. Tuttavia, è molto probabile che si tratti di una vulnerabilità Denial of Service. Un utente malintenzionato che ha sfruttato correttamente questa vulnerabilità potrebbe assumere il controllo completo di un sistema interessato, inclusa l'installazione di programmi; visualizzazione, modifica o eliminazione di dati; o creazione di nuovi account con privilegi completi.

Che cosa causa la vulnerabilità?

Buffer non selezionato nell'interfaccia Negotiate SSP.

Che cos'è l'interfaccia fornita dal supporto per la sicurezza negoziata?

Poiché Windows supporta molti tipi diversi di autenticazione, è necessario negoziare il metodo di autenticazione utilizzato quando un client si connette a un server. Negotiate SSP Interface è il componente del sistema operativo che fornisce questa funzionalità. Si basa sul meccanismo di negoziazione GSS-API simple e protected (SPNEGO) definito in RFC 2478. Per altre informazioni sui metodi di autenticazione di Windows, visitare il sito Web seguente.

Perché Internet Information Services è interessato?

L'interfaccia Negotiate SSP è abilitata anche per impostazione predefinita in Internet Information Services (IIS) in modo che IIS possa usare protocolli di autenticazione come NTLM o Kerberos per fornire accesso sicuro alle risorse. Per altre informazioni sui metodi di autenticazione supportati da IIS, visitare il sito Web seguente.

Cosa può fare un utente malintenzionato che usa la vulnerabilità?

Anche se è molto probabile che solo un attacco Denial of Service possa risultare, un utente malintenzionato che ha sfruttato correttamente questa vulnerabilità potrebbe assumere il controllo completo di un sistema interessato, inclusa l'installazione di programmi; visualizzazione, modifica o eliminazione di dati; o creazione di nuovi account con privilegi completi. Se un utente malintenzionato ha causato la mancata risposta del sistema interessato, un amministratore potrebbe ripristinare la normale funzionalità riavviando il sistema interessato. Tuttavia, il sistema potrebbe rimanere soggetto a un nuovo attacco Denial of Service fino a quando non è stato applicato l'aggiornamento.

Chi potrebbe sfruttare la vulnerabilità?

Qualsiasi utente anonimo che potrebbe recapitare un messaggio appositamente creato a un sistema interessato potrebbe tentare di sfruttare questa vulnerabilità. Poiché questa funzionalità è abilitata per impostazione predefinita in tutti i sistemi interessati, qualsiasi utente che potrebbe stabilire una connessione con un sistema interessato potrebbe tentare di sfruttare questa vulnerabilità.

In che modo un utente malintenzionato potrebbe sfruttare questa vulnerabilità?

Un utente malintenzionato potrebbe sfruttare questa vulnerabilità creando un messaggio di rete appositamente creato e inviando il messaggio al sistema interessato.

Quali sistemi sono principalmente a rischio dalla vulnerabilità?

Per impostazione predefinita, tutti i sistemi interessati potrebbero essere vulnerabili a questo problema. Inoltre, per impostazione predefinita, anche i sistemi che eseguono Internet Information Services 5.0, Internet Information Services 5.1 e Internet Information Services 6.0 sono vulnerabili a questo problema tramite qualsiasi porta di ascolto.

Cosa fa l'aggiornamento?

L'aggiornamento rimuove la vulnerabilità modificando il modo in cui l'interfaccia Negotiate SSP convalida la lunghezza di un messaggio prima di passare il messaggio al buffer allocato.

Vulnerabilità SSL - CAN-2004-0120:

Esiste una vulnerabilità Denial of Service nella libreria Microsoft Secure Sockets Layer (SSL). La vulnerabilità deriva dal modo in cui la libreria SSL Microsoft gestisce i messaggi SSL in formato non valido. Questa vulnerabilità potrebbe causare l'interruzione dell'accettazione delle connessioni SSL da parte del sistema interessato in Windows 2000 e Windows XP. In Windows Server 2003, la vulnerabilità potrebbe causare il riavvio automatico del sistema interessato.

Fattori di mitigazione della vulnerabilità SSL - CAN-2004-0120:

Solo i sistemi che hanno abilitato SSL sono interessati, in genere solo i sistemi server. Il supporto SSL non è abilitato per impostazione predefinita in uno dei sistemi interessati. Tuttavia, SSL viene generalmente usato nei server Web per supportare programmi commerciali elettronici, online banking e altri programmi che richiedono comunicazioni sicure.
Le procedure consigliate per il firewall e le configurazioni firewall predefinite standard consentono di proteggere le reti da attacchi che hanno origine all'esterno del perimetro aziendale. Le procedure consigliate consigliano che i sistemi connessi a Internet abbiano un numero minimo di porte esposte.
Windows NT 4.0 non è interessato da questa vulnerabilità.

Soluzioni alternative per la vulnerabilità SSL - CAN-2004-0120:

Bloccare le porte 443 e 636 nel firewall

La porta 443 viene usata per ricevere il traffico SSL. La porta 636 viene usata per le connessioni SSL LDAP (LD piattaforma di strumenti analitici). Bloccarli nel firewall consentirà di impedire ai sistemi protetti da tale firewall di tentare di sfruttare questa vulnerabilità. È possibile trovare altre porte che potrebbero essere usate per sfruttare questa vulnerabilità. Tuttavia, le porte elencate di seguito sono i vettori di attacco più comuni. Microsoft consiglia di bloccare tutte le comunicazioni in ingresso non richieste da Internet per evitare attacchi che potrebbero usare altre porte.

Impatto della soluzione alternativa: se le porte 443 o 636 sono bloccate, i sistemi interessati non possono più accettare connessioni esterne tramite SSL o LD piattaforma di strumenti analitici.

Domande frequenti sulla vulnerabilità SSL - CAN-2004-0120:

Qual è l'ambito della vulnerabilità?

Una vulnerabilità Denial of Service nella libreria Ssl (Microsoft Secure Sockets Layer) influisce sulla modalità di gestione dei messaggi SSL appositamente creati. Questa vulnerabilità potrebbe causare l'interruzione dell'accettazione delle connessioni SSL da parte del sistema interessato in Windows 2000 e in Windows XP. La vulnerabilità in Windows Server 2003 potrebbe causare il riavvio automatico del sistema interessato.

Si noti che la vulnerabilità Denial of Service non consente agli utenti malintenzionati di eseguire codice o elevare i propri privilegi, ma potrebbe causare l'arresto dell'accettazione delle richieste da parte del sistema interessato.

Che cosa causa la vulnerabilità?

Processo utilizzato dalla libreria SSL per controllare gli input dei messaggi.

Che cos'è la libreria Microsoft Secure Sockets Layer?

La libreria Microsoft Secure Sockets Layer contiene il supporto per diversi protocolli di comunicazione sicuri. Questi includono Transport Layer Security 1.0 (TLS 1.0), Secure Sockets Layer 3.0 (SSL 3.0), il protocollo Secure Sockets Layer 2.0 (SSL 2.0) e LA TECNOLOGIA di comunicazione privata 1.0 (PCT 1.0).

Questi protocolli forniscono una connessione crittografata tra un server e un sistema client. SSL consente di proteggere le informazioni quando gli utenti si connettono tra reti pubbliche, ad esempio Internet. Il supporto SSL richiede un certificato SSL, che deve essere installato in un server. Per altre informazioni su SSL, vedere l'articolo della Microsoft Knowledge Base 245152.

Cosa può fare un utente malintenzionato che usa la vulnerabilità?

In Windows 2000 e Windows XP, un utente malintenzionato che ha sfruttato correttamente questa vulnerabilità potrebbe causare l'interruzione dell'accettazione delle connessioni SSL da parte di un sistema interessato. In Windows Server 2003, un utente malintenzionato potrebbe causare il riavvio automatico del sistema interessato. Durante tale periodo, il sistema interessato non sarebbe in grado di rispondere alle richieste di autenticazione. Dopo il riavvio, il sistema interessato verrà ripristinato in funzionalità tipiche. Tuttavia, sarebbe comunque soggetto a un nuovo attacco Denial of Service, a meno che non venga applicato l'aggiornamento.

Se un utente malintenzionato sfrutta questa vulnerabilità, è possibile registrare un evento di errore di sistema. L'ID evento 5000 può essere registrato nel registro eventi di sistema, con il valore SymbolicName "SPMEVENT_PACKAGE_FAULT" e la descrizione seguente:

"Il nome del pacchetto di sicurezza ha generato un'eccezione", dove NAME contiene il valore "Schannel" o "Microsoft Unified Security Protocol Provider".

Chi potrebbe sfruttare la vulnerabilità?

Qualsiasi utente anonimo che potrebbe recapitare un messaggio SSL appositamente creato a un sistema interessato potrebbe tentare di sfruttare questa vulnerabilità.

In che modo un utente malintenzionato potrebbe sfruttare questa vulnerabilità?

Un utente malintenzionato potrebbe sfruttare questa vulnerabilità creando un programma che potrebbe comunicare con un server vulnerabile tramite un servizio abilitato per SSL per inviare un tipo specifico di messaggio TCP appositamente creato. La ricezione di un messaggio di questo tipo potrebbe causare un errore del sistema vulnerabile in modo che possa causare un denial of service.

Quali sistemi sono principalmente a rischio dalla vulnerabilità?

Tutti i sistemi con SSL abilitato sono vulnerabili. Anche se SSL è in genere associato a Internet Information Services tramite HTTPS e la porta 443, è probabile che qualsiasi servizio che implementa SSL in una piattaforma interessata sia vulnerabile. Ciò include, ad esempio, Internet Information Services 4.0, Internet Information Services 5.0, Internet Information Services 5.1, Exchange Server 5.5, Exchange Server 2000, Exchange Server 2003, Analysis Services 2000 (incluso in SQL Server 2000) e tutti i programmi di terze parti che usano SSL.

I controller di dominio Windows 2000 installati in un dominio di Active Directory in cui è installata anche un'autorità di certificazione radice aziendale sono interessati da questa vulnerabilità perché sono in ascolto automatico delle connessioni SSL sicure.

Cosa fa l'aggiornamento?

L'aggiornamento rimuove la vulnerabilità modificando la gestione di messaggi SSL appositamente creati.

Vulnerabilità ASN.1 "Double Free" - CAN-2004-0123

Esiste una vulnerabilità di esecuzione remota del codice nella libreria Microsoft ASN.1. La vulnerabilità è causata da una possibile condizione "senza doppio" nella libreria Microsoft ASN.1 che potrebbe causare il danneggiamento della memoria in un sistema interessato. Un utente malintenzionato che ha sfruttato correttamente questa vulnerabilità potrebbe assumere il controllo completo di un sistema interessato. Tuttavia, nello scenario di attacco più probabile questo problema è una vulnerabilità Denial of Service .

Fattori di mitigazione per la vulnerabilità ASN.1 "Double Free" - CAN-2004-0123:

A causa del layout univoco delle strutture di memoria in ogni sistema interessato, l'exploit di questa vulnerabilità su una scala di massa potrebbe essere potenzialmente difficile.

Soluzioni alternative per la vulnerabilità "Double Free" di ASN.1 - CAN-2004-0123:

Nessuno.

Domande frequenti sulla vulnerabilità "Double Free" di ASN.1 - CAN-2004-0123:

Qual è l'ambito della vulnerabilità?

Anche se potenzialmente una vulnerabilità di esecuzione remota del codice, si tratta probabilmente di una vulnerabilità Denial of Service . Tuttavia, un utente malintenzionato che ha sfruttato correttamente questa vulnerabilità per consentire l'esecuzione del codice potrebbe ottenere il controllo completo su un sistema interessato, inclusa l'installazione di programmi; visualizzazione, modifica o eliminazione di dati; o creazione di nuovi account con privilegi completi.

Che cosa causa la vulnerabilità?

Esiste una potenziale condizione "senza doppio" che potrebbe causare il danneggiamento della memoria nella libreria Microsoft ASN.1.

Che cos'è una condizione "double free"?

Un utente malintenzionato potrebbe causare un sistema interessato, durante l'elaborazione di un messaggio appositamente creato, per tentare di rilasciare o "liberare" memoria che potrebbe essere stata messa da parte per l'uso più volte. Il rilascio della memoria già liberata potrebbe causare un danneggiamento della memoria. Un utente malintenzionato potrebbe aggiungere codice arbitrario alla memoria che viene quindi eseguito quando si verifica il danneggiamento. Questo codice può quindi essere eseguito a livello di sistema di privilegi.

In genere, questa vulnerabilità causerà un attacco Denial of Service. Tuttavia, su base limitata, l'esecuzione del codice potrebbe verificarsi. A causa del layout univoco della memoria in ogni sistema interessato, l'exploit di questa vulnerabilità su una scala di massa potrebbe essere potenzialmente difficile.

Che cos'è ASN.1?

La notazione astratta della sintassi 1 (ASN.1) è un linguaggio usato per definire gli standard. Viene usato da molte applicazioni e dispositivi nel settore tecnologico per consentire lo scambio di dati tra diverse piattaforme. ASN.1 non ha alcuna relazione diretta con uno specifico metodo di codifica, metodo di codifica, linguaggio di programmazione o piattaforma hardware. Per altre informazioni su ASN.1, vedere l'articolo della Microsoft Knowledge Base 252648.

Cosa può fare un utente malintenzionato che usa la vulnerabilità?

Un utente malintenzionato che ha sfruttato correttamente questa vulnerabilità per consentire l'esecuzione del codice potrebbe assumere il controllo completo di un sistema interessato, inclusa l'installazione di programmi; visualizzazione, modifica o eliminazione di dati; o creazione di nuovi account con privilegi completi.

Nello scenario più probabile, un utente malintenzionato potrebbe causare una condizione Denial of Service . Un amministratore potrebbe riavviare il sistema interessato per ripristinare le funzionalità tipiche.

In che modo un utente malintenzionato potrebbe sfruttare questa vulnerabilità?

Poiché ASN.1 è uno standard per molte applicazioni e dispositivi, esistono molti potenziali vettori di attacco. Per sfruttare correttamente questa vulnerabilità, un utente malintenzionato deve forzare un sistema a decodificare i dati ASN.1 appositamente creati. Ad esempio, usando protocolli di autenticazione basati su ASN.1, un utente malintenzionato potrebbe costruire una richiesta di autenticazione appositamente creata che potrebbe esporre questa vulnerabilità.

Quali sistemi sono principalmente a rischio da questa vulnerabilità?

I sistemi server hanno un rischio maggiore rispetto ai sistemi client perché è più probabile che un processo server esegua la decodifica dei dati ASN.1.

Windows 98, Windows 98 Second Edition o Windows Millennium Edition sono interessati in modo critico da questa vulnerabilità?

No. Anche se Windows Millennium Edition contiene il componente interessato, la vulnerabilità non è critica. Per altre informazioni sulle classificazioni di gravità, visitare il sito Web seguente.

Cosa fa l'aggiornamento?

L'aggiornamento rimuove la vulnerabilità modificando la gestione dei dati appositamente creati dalla libreria ASN.1.

In che modo questa vulnerabilità è correlata alla vulnerabilità corretta da MS04-007?

Entrambe le vulnerabilità si trovavano nel componente ASN.1. Tuttavia, questo aggiornamento corregge una nuova vulnerabilità segnalata che non è stata risolta come parte di MS04-007. MS04-007 protegge completamente dalle vulnerabilità descritte in tale bollettino, ma questo aggiornamento include tutti gli aggiornamenti forniti in MS04-007 e lo sostituisce. Se si installa questo aggiornamento, non è necessario installare MS04-007.

Informazioni sull'aggiornamento della sicurezza

Piattaforme di installazione e prerequisiti:

Per informazioni sull'aggiornamento della sicurezza specifico per la piattaforma, fare clic sul collegamento appropriato:

Windows Server 2003 (tutte le versioni)

Prerequisiti Questo aggiornamento della sicurezza richiede una versione rilasciata di Windows Server 2003.

Inclusione nei Service Pack futuri: l'aggiornamento per questo problema verrà incluso in Windows Server 2003 Service Pack 1.

Informazioni sull'installazione

Questo aggiornamento della sicurezza supporta le opzioni di installazione seguenti:

/help Visualizza le opzioni della riga di comando

Modalità di installazione

/quiet Usare la modalità non interattiva (nessuna interazione o visualizzazione dell'utente)

/passive Modalità automatica (solo indicatore di stato)

/uninstall disinstalla il pacchetto

Opzioni di riavvio

/norestart Non riavviare al termine dell'installazione

/forcerestart Riavvia dopo l'installazione

Opzioni speciali

/l Elenca gli hotfix di Windows installati o i pacchetti di aggiornamento

/o Sovrascrivi i file OEM senza richiedere

/n Non eseguire il backup dei file necessari per la disinstallazione

/f Forzare la chiusura di altri programmi quando il computer si arresta

Nota È possibile combinare queste opzioni in un unico comando. Per la compatibilità con le versioni precedenti, l'aggiornamento della sicurezza supporta anche le opzioni di installazione usate dalla versione precedente dell'utilità di installazione. Per altre informazioni sulle opzioni di installazione supportate, vedere l'articolo della Microsoft Knowledge Base 262841.

Informazioni sulla distribuzione

Per installare l'aggiornamento della sicurezza senza alcun intervento dell'utente, usare il comando seguente al prompt dei comandi per Windows Server 2003:

Windowsserver2003-kb835732-x86-enu /passive /quiet

Per installare l'aggiornamento della sicurezza senza forzare il riavvio del sistema, usare il comando seguente al prompt dei comandi per Windows Server 2003:

Windowsserver2003-kb835732-x86-enu /norestart

Per informazioni su come distribuire questo aggiornamento della sicurezza con Software Update Services, visitare il sito Web di Software Update Services.

Requisito di riavvio

È necessario riavviare il sistema dopo aver applicato questo aggiornamento della sicurezza.

Informazioni sulla rimozione

Per rimuovere questo aggiornamento, utilizzare lo strumento Installazione applicazioni in Pannello di controllo.

Gli amministratori di sistema possono anche usare l'utilità Spuninst.exe per rimuovere questo aggiornamento della sicurezza. L'utilità Spuninst.exe si trova nella cartella %Windir%\$NTUninstallKB 835732$\Spuninst. L'utilità Spuninst.exe supporta le opzioni di installazione seguenti:

/?: visualizzare l'elenco delle opzioni di installazione.

/u: usare la modalità automatica.

/f: forzare l'arresto di altri programmi quando il computer viene arrestato.

/z: Non riavviare al termine dell'installazione.

/q: usa la modalità non interattiva (nessuna interazione dell'utente).

Informazioni sui file

La versione inglese di questo aggiornamento include gli attributi del file (o versioni successive) elencati nella tabella seguente. Le date e le ore per questi file sono elencate nell'ora UTC (Coordinated Universal Time). Quando si visualizzano le informazioni sul file, le informazioni vengono convertite nell'ora locale. Per trovare la differenza tra l'ora UTC e l'ora locale, usare la scheda Fuso orario nello strumento Data e ora in Pannello di controllo.

Windows Server 2003 edizione Enterprise, Windows Server 2003 edizione Standard, Windows Server 2003 Web Edition e Windows Server 2003 Datacenter Edition:

Date Time Version Size File name Platform Folder
-----------------------------------------------------------------------------
16-Mar-2004 02:00 5.2.3790.132 364,544 Callcont.dll X86 RTMGDR
16-Mar-2004 02:00 5.2.3790.121 61,440 Eventlog.dll X86 RTMGDR
16-Mar-2004 02:00 5.2.3790.132 256,000 H323.tsp X86 RTMGDR
16-Mar-2004 02:00 5.2.3790.132 601,600 H323msp.dll X86 RTMGDR
16-Mar-2004 02:00 5.2.3790.125 783,360 Helpctr.exe X86 RTMGDR
16-Mar-2004 02:00 5.2.3790.142 448,512 Ipnathlp.dll X86 RTMGDR
16-Mar-2004 02:00 5.2.3790.134 799,232 Lsasrv.dll X86 RTMGDR
16-Mar-2004 02:00 5.2.3790.139 60,928 Msasn1.dll X86 RTMGDR
16-Mar-2004 02:00 5.2.3790.132 253,952 Mst120.dll X86 RTMGDR
16-Mar-2004 02:00 5.2.3790.132 73,728 Nmcom.dll X86 RTMGDR
16-Mar-2004 02:00 5.2.3790.121 565,760 Rtcdll.dll X86 RTMGDR
16-Mar-2004 02:00 5.2.3790.132 153,088 Schannel.dll X86 RTMGDR
16-Mar-2004 02:09 5.2.3790.132 364,544 Callcont.dll X86 RTMQFE
16-Mar-2004 02:09 5.2.3790.121 64,000 Eventlog.dll X86 RTMQFE
16-Mar-2004 02:09 5.2.3790.132 256,000 H323.tsp X86 RTMQFE
16-Mar-2004 02:09 5.2.3790.132 601,600 H323msp.dll X86 RTMQFE
16-Mar-2004 02:09 5.2.3790.125 783,360 Helpctr.exe X86 RTMQFE
16-Mar-2004 02:09 5.2.3790.142 448,512 Ipnathlp.dll X86 RTMQFE
16-Mar-2004 02:09 5.2.3790.134 801,280 Lsasrv.dll X86 RTMQFE
16-Mar-2004 02:09 5.2.3790.139 60,928 Msasn1.dll X86 RTMQFE
16-Mar-2004 02:09 5.2.3790.132 253,952 Mst120.dll X86 RTMQFE
16-Mar-2004 02:09 5.2.3790.132 73,728 Nmcom.dll X86 RTMQFE
16-Mar-2004 02:09 5.2.3790.121 565,760 Rtcdll.dll X86 RTMQFE
16-Mar-2004 02:09 5.2.3790.132 153,088 Schannel.dll X86 RTMQFE

Windows Server 2003 a 64 bit edizione Enterprise e Windows Server 2003 a 64 bit Datacenter Edition:

Date Time Version Size File name Platform Folder
-----------------------------------------------------------------------------
16-Mar-2004 01:54 5.2.3790.121 160,768 Eventlog.dll IA64 RTMGDR
16-Mar-2004 01:54 5.2.3790.132 816,128 H323.tsp IA64 RTMGDR
16-Mar-2004 01:54 5.2.3790.132 1,874,432 H323msp.dll IA64 RTMGDR
05-Feb-2004 00:43 5.2.3790.125 2,063,360 Helpctr.exe IA64 RTMGDR
16-Mar-2004 01:54 5.2.3790.142 1,421,312 Ipnathlp.dll IA64 RTMGDR
16-Mar-2004 01:54 5.2.3790.134 2,034,176 Lsasrv.dll IA64 RTMGDR
16-Mar-2004 01:54 5.2.3790.139 160,256 Msasn1.dll IA64 RTMGDR
16-Mar-2004 01:54 5.2.3790.132 479,744 Schannel.dll IA64 RTMGDR
16-Mar-2004 02:00 5.2.3790.132 256,000 Wh323.tsp X86 RTMGDR\WOW
16-Mar-2004 02:00 5.2.3790.132 601,600 Wh323msp.dll X86 RTMGDR\WOW
16-Mar-2004 02:00 5.2.3790.142 448,512 Wipnathlp.dll X86 RTMGDR\WOW
16-Mar-2004 02:00 5.2.3790.139 60,928 Wmsasn1.dll X86 RTMGDR\WOW
16-Mar-2004 02:00 5.2.3790.132 153,088 Wschannel.dll X86 RTMGDR\WOW
16-Mar-2004 02:12 5.2.3790.121 167,424 Eventlog.dll IA64 RTMQFE
16-Mar-2004 02:12 5.2.3790.132 816,128 H323.tsp IA64 RTMQFE
16-Mar-2004 02:12 5.2.3790.132 1,874,432 H323msp.dll IA64 RTMQFE
05-Feb-2004 00:42 5.2.3790.125 2,063,360 Helpctr.exe IA64 RTMQFE
16-Mar-2004 02:12 5.2.3790.142 1,421,312 Ipnathlp.dll IA64 RTMQFE
16-Mar-2004 02:12 5.2.3790.134 2,038,272 Lsasrv.dll IA64 RTMQFE
16-Mar-2004 02:12 5.2.3790.139 160,256 Msasn1.dll IA64 RTMQFE
16-Mar-2004 02:12 5.2.3790.132 479,744 Schannel.dll IA64 RTMQFE
16-Mar-2004 02:09 5.2.3790.132 256,000 Wh323.tsp X86 RTMQFE\WOW
16-Mar-2004 02:09 5.2.3790.132 601,600 Wh323msp.dll X86 RTMQFE\WOW
16-Mar-2004 02:09 5.2.3790.142 448,512 Wipnathlp.dll X86 RTMQFE\WOW
16-Mar-2004 02:09 5.2.3790.139 60,928 Wmsasn1.dll X86 RTMQFE\WOW
16-Mar-2004 02:09 5.2.3790.132 153,088 Wschannel.dll X86 RTMQFE\WOW

Nota Quando si installa questo aggiornamento della sicurezza in Windows Server 2003 o in Windows XP 64 Bit Edition versione 2003, il programma di installazione verifica se uno dei file aggiornati nel sistema è stato precedentemente aggiornato da un hotfix Microsoft. Se in precedenza è stato installato un hotfix per aggiornare uno di questi file, il programma di installazione copia i file RTMQFE nel sistema. In caso contrario, il programma di installazione copia i file RTMGDR nel sistema. Per altre informazioni, vedere l'articolo della Microsoft Knowledge Base 824994.

Verifica dell'installazione dell'aggiornamento

Per verificare che un aggiornamento della sicurezza sia installato in un sistema interessato, è possibile usare lo strumento Microsoft Baseline Security Analyzer (MBSA), che consente agli amministratori di analizzare i sistemi locali e remoti per individuare gli aggiornamenti della sicurezza mancanti e per errori di configurazione comuni della sicurezza. Per altre informazioni su MBSA, visitare il sito Web Microsoft Baseline Security Analyzer.

È anche possibile verificare i file installati dall'aggiornamento della sicurezza esaminando la chiave del Registro di sistema seguente:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Aggiornamenti\Windows Server 2003\SP1\KB835732\Filelist

Nota Questa chiave del Registro di sistema potrebbe non essere creata correttamente se un amministratore o un OEM si integra o esegue lo slipstream dell'aggiornamento della sicurezza 835732 nei file di origine dell'installazione di Windows.

Windows XP (tutte le versioni)

Nota Per Windows XP versione 2003 a 64 bit, questo aggiornamento della sicurezza è uguale all'aggiornamento della sicurezza di Windows Server 2003 a 64 bit.

Prerequisiti Questo aggiornamento della sicurezza richiede la versione rilasciata di Windows XP o Windows XP Service Pack 1 (SP1). Per altre informazioni, vedere l'articolo della Microsoft Knowledge Base 322389.

Gli aggiornamenti per questi problemi verranno inclusi in Windows XP Service Pack 2.

Informazioni sull'installazione

Questo aggiornamento della sicurezza supporta le opzioni di installazione seguenti:

/help Visualizza le opzioni della riga di comando

Modalità di installazione

/quiet Usare la modalità non interattiva (nessuna interazione o visualizzazione dell'utente)

/passive Modalità automatica (solo indicatore di stato)

/uninstall disinstalla il pacchetto

Opzioni di riavvio

/norestart Non riavviare al termine dell'installazione

/forcerestart Riavvia dopo l'installazione

Opzioni speciali

/l Elenca gli hotfix di Windows installati o i pacchetti di aggiornamento

/o Sovrascrivi i file OEM senza richiedere

/n Non eseguire il backup dei file necessari per la disinstallazione

/f Forzare la chiusura di altri programmi quando il computer si arresta

Informazioni sulla distribuzione

Per installare l'aggiornamento della sicurezza senza alcun intervento dell'utente, usare il comando seguente al prompt dei comandi per Windows XP:

Windowsxp-kb835732-x86-enu /passive /quiet

Per installare l'aggiornamento della sicurezza senza forzare il riavvio del sistema, usare il comando seguente al prompt dei comandi per Windows XP:

Windowsxp-kb835732-x86-enu /norestart

Per informazioni su come distribuire questo aggiornamento della sicurezza con Software Update Services, visitare il sito Web di Software Update Services.

Requisito di riavvio

È necessario riavviare il sistema dopo aver applicato questo aggiornamento della sicurezza.

Informazioni sulla rimozione

Per rimuovere questo aggiornamento, utilizzare lo strumento Installazione applicazioni in Pannello di controllo.

/?: visualizzare l'elenco delle opzioni di installazione.

/u: usare la modalità automatica.

/f: forzare l'arresto di altri programmi quando il computer viene arrestato.

/z: Non riavviare al termine dell'installazione.

/q: usa la modalità non interattiva (nessuna interazione dell'utente).

Informazioni sui file

Windows XP Home Edition, Windows XP Professional, Windows XP Home Edition Service Pack 1, Windows XP Professional Service Pack 1, Windows XP Tablet PC Edition e Windows XP Media Center Edition:

Date Time Version Size File name Folder
-----------------------------------------------------------------------
27-Mar-2004 01:01 5.1.2600.105 48,640 Browser.dll (pre-sp1)
27-Mar-2004 01:01 5.1.2600.133 364,544 Callcont.dll (pre-sp1)
27-Mar-2004 01:01 5.1.2600.136 40,960 Evtgprov.dll (pre-sp1)
27-Mar-2004 01:01 5.1.2600.132 241,664 Gdi32.dll (pre-sp1)
27-Mar-2004 01:01 5.1.2600.134 253,440 H323.tsp (pre-sp1)
27-Mar-2004 01:01 5.1.2600.134 593,408 H323msp.dll (pre-sp1)
05-Feb-2004 22:14 5.1.2600.128 727,040 Helpctr.exe (pre-sp1)
27-Mar-2004 01:01 5.1.2600.137 454,656 Ipnathlp.dll (pre-sp1)
27-Mar-2004 01:01 5.1.2600.134 648,192 Lsasrv.dll (pre-sp1)
27-Mar-2004 01:01 5.1.2600.132 36,864 Mf3216.dll (pre-sp1)
27-Mar-2004 01:01 5.1.2600.137 51,712 Msasn1.dll (pre-sp1)
27-Mar-2004 01:01 5.1.2600.128 969,216 Msgina.dll (pre-sp1)
27-Mar-2004 01:01 5.1.2600.133 253,952 Mst120.dll (pre-sp1)
27-Mar-2004 01:01 5.1.2600.122 301,568 Netapi32.dll (pre-sp1)
27-Mar-2004 01:01 5.1.2600.133 73,728 Nmcom.dll (pre-sp1)
27-Mar-2004 01:01 5.1.2600.134 550,400 Rtcdll.dll (pre-sp1)
27-Mar-2004 01:01 5.1.2600.136 136,704 Schannel.dll (pre-sp1)
26-Mar-2004 19:43 5.1.2600.1348 364,544 Callcont.dll (with sp1)
26-Mar-2004 19:43 5.1.2600.1363 40,960 Evtgprov.dll (with sp1)
26-Mar-2004 19:43 5.1.2600.1346 257,536 Gdi32.dll (with sp1)
26-Mar-2004 19:43 5.1.2600.1348 253,440 H323.tsp (with sp1)
26-Mar-2004 19:43 5.1.2600.1348 593,408 H323msp.dll (with sp1)
26-Mar-2004 19:30 5.1.2600.1340 741,376 Helpctr.exe (with sp1)
26-Mar-2004 19:43 5.1.2600.1364 439,808 Ipnathlp.dll (with sp1)
26-Mar-2004 19:43 5.1.2600.1361 667,648 Lsasrv.dll (with sp1)
26-Mar-2004 19:43 5.1.2600.1331 36,864 Mf3216.dll (with sp1)
26-Mar-2004 19:43 5.1.2600.1362 51,712 Msasn1.dll (with sp1)
26-Mar-2004 19:43 5.1.2600.1343 971,264 Msgina.dll (with sp1)
26-Mar-2004 19:43 5.1.2600.1348 253,952 Mst120.dll (with sp1)
26-Mar-2004 19:43 5.1.2600.1343 306,176 Netapi32.dll (with sp1)
26-Mar-2004 19:43 5.1.2600.1348 73,728 Nmcom.dll (with sp1)
26-Mar-2004 19:43 5.1.2600.1351 548,352 Rtcdll.dll (with sp1)
26-Mar-2004 19:43 5.1.2600.1347 136,704 Schannel.dll (with sp1)
10-Mar-2004 17:59 5.1.2600.1363 593,408 Xpsp2res.dll (with sp1)

Windows XP 64 Bit Edition Service Pack 1:

Date Time Version Size File name Platform
--------------------------------------------------------------------------
26-Mar-2004 19:40 5.1.2600.1363 134,656 Evtgprov.dll IA64
26-Mar-2004 19:40 5.1.2600.1346 884,736 Gdi32.dll IA64
26-Mar-2004 19:40 5.1.2600.1348 1,035,264 H323.tsp IA64
26-Mar-2004 19:40 5.1.2600.1348 2,230,272 H323msp.dll IA64
05-Feb-2004 21:40 5.1.2600.1340 2,426,368 Helpctr.exe IA64
26-Mar-2004 19:40 5.1.2600.1364 1,782,784 Ipnathlp.dll IA64
26-Mar-2004 19:40 5.1.2600.1361 2,069,504 Lsasrv.dll IA64
26-Mar-2004 19:40 5.1.2600.1331 128,512 Mf3216.dll IA64
26-Mar-2004 19:40 5.1.2600.1362 179,200 Msasn1.dll IA64
26-Mar-2004 19:40 5.1.2600.1343 1,272,320 Msgina.dll IA64
26-Mar-2004 19:40 5.1.2600.1343 903,168 Netapi32.dll IA64
26-Mar-2004 19:40 5.1.2600.1347 508,416 Schannel.dll IA64
26-Mar-2004 19:43 5.1.2600.1346 237,568 Wgdi32.dll X86
26-Mar-2004 19:43 5.1.2600.1348 253,440 Wh323.tsp X86
26-Mar-2004 19:43 5.1.2600.1348 593,408 Wh323msp.dll X86
26-Mar-2004 19:43 5.1.2600.1364 439,808 Wipnathlp.dll X86
26-Mar-2004 19:43 5.1.2600.1331 36,864 Wmf3216.dll X86
26-Mar-2004 19:43 5.1.2600.1362 51,712 Wmsasn1.dll X86
26-Mar-2004 19:43 5.1.2600.1343 971,264 Wmsgina.dll X86
26-Mar-2004 19:43 5.1.2600.1343 306,176 Wnetapi32.dll X86
26-Mar-2004 19:43 5.1.2600.1347 136,704 Wschannel.dll X86
10-Mar-2004 17:59 5.1.2600.1363 593,408 Wxpsp2res.dll X86
10-Mar-2004 17:59 5.1.2600.1363 592,896 Xpsp2res.dll IA64

Windows XP 64 Bit Edition versione 2003:

Date Time Version Size File name Platform Folder
-----------------------------------------------------------------------------
16-Mar-2004 01:54 5.2.3790.121 160,768 Eventlog.dll IA64 RTMGDR
16-Mar-2004 01:54 5.2.3790.132 816,128 H323.tsp IA64 RTMGDR
16-Mar-2004 01:54 5.2.3790.132 1,874,432 H323msp.dll IA64 RTMGDR
05-Feb-2004 00:43 5.2.3790.125 2,063,360 Helpctr.exe IA64 RTMGDR
16-Mar-2004 01:54 5.2.3790.142 1,421,312 Ipnathlp.dll IA64 RTMGDR
16-Mar-2004 01:54 5.2.3790.134 2,034,176 Lsasrv.dll IA64 RTMGDR
16-Mar-2004 01:54 5.2.3790.139 160,256 Msasn1.dll IA64 RTMGDR
16-Mar-2004 01:54 5.2.3790.132 479,744 Schannel.dll IA64 RTMGDR
16-Mar-2004 02:00 5.2.3790.132 256,000 Wh323.tsp X86 RTMGDR\WOW
16-Mar-2004 02:00 5.2.3790.132 601,600 Wh323msp.dll X86 RTMGDR\WOW
16-Mar-2004 02:00 5.2.3790.142 448,512 Wipnathlp.dll X86 RTMGDR\WOW
16-Mar-2004 02:00 5.2.3790.139 60,928 Wmsasn1.dll X86 RTMGDR\WOW
16-Mar-2004 02:00 5.2.3790.132 153,088 Wschannel.dll X86 RTMGDR\WOW
16-Mar-2004 02:12 5.2.3790.121 167,424 Eventlog.dll IA64 RTMQFE
16-Mar-2004 02:12 5.2.3790.132 816,128 H323.tsp IA64 RTMQFE
16-Mar-2004 02:12 5.2.3790.132 1,874,432 H323msp.dll IA64 RTMQFE
05-Feb-2004 00:42 5.2.3790.125 2,063,360 Helpctr.exe IA64 RTMQFE
16-Mar-2004 02:12 5.2.3790.142 1,421,312 Ipnathlp.dll IA64 RTMQFE
16-Mar-2004 02:12 5.2.3790.134 2,038,272 Lsasrv.dll IA64 RTMQFE
16-Mar-2004 02:12 5.2.3790.139 160,256 Msasn1.dll IA64 RTMQFE
16-Mar-2004 02:12 5.2.3790.132 479,744 Schannel.dll IA64 RTMQFE
16-Mar-2004 02:09 5.2.3790.132 256,000 Wh323.tsp X86 RTMQFE\WOW
16-Mar-2004 02:09 5.2.3790.132 601,600 Wh323msp.dll X86 RTMQFE\WOW
16-Mar-2004 02:09 5.2.3790.142 448,512 Wipnathlp.dll X86 RTMQFE\WOW
16-Mar-2004 02:09 5.2.3790.139 60,928 Wmsasn1.dll X86 RTMQFE\WOW
16-Mar-2004 02:09 5.2.3790.132 153,088 Wschannel.dll X86 RTMQFE\WOW

Nota Le versioni di Windows XP e Windows XP 64 Bit Edition versione 2003 di questo aggiornamento della sicurezza sono in pacchetto come pacchetti in modalità doppia, che contengono file per la versione originale di Windows XP e Windows XP Service Pack 1 (SP1). Per altre informazioni sui pacchetti in modalità doppia, vedere l'articolo della Microsoft Knowledge Base 328848.

Quando si installa l'aggiornamento della sicurezza di Windows XP 64 Bit Edition versione 2003, il programma di installazione verifica se uno dei file che vengono aggiornati nel sistema in precedenza è stato aggiornato da un hotfix Microsoft. Se in precedenza è stato installato un hotfix per aggiornare uno di questi file, il programma di installazione copia i file RTMQFE nel sistema. In caso contrario, il programma di installazione copia i file RTMGDR nel sistema. Per altre informazioni, vedere l'articolo della Microsoft Knowledge Base 824994.

Verifica dell'installazione dell'aggiornamento

È anche possibile verificare i file installati dall'aggiornamento della sicurezza esaminando le chiavi del Registro di sistema seguenti:

Per Windows XP Home Edition, Windows XP Professional, Windows XP Home Edition Service Pack 1, Windows XP Professional Service Pack 1, Windows XP 64 Bit Edition Service Pack 1, Windows XP Tablet PC Edition e Windows XP Media Center Edition:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Aggiornamenti\Windows XP\SP2\KB835732\Filelist

Per Windows XP 64 Bit Edition versione 2003:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Aggiornamenti\Windows Server 2003\SP1\KB835732\Filelist

Windows 2000 (tutte le versioni)

Prerequisiti per Windows 2000, questo aggiornamento della sicurezza richiede Service Pack 2 (SP2), Service Pack 3 (SP3) o Service Pack 4 (SP4).

Per altre informazioni su come ottenere il Service Pack più recente, vedere l'articolo 260910 della Microsoft Knowledge Base.

Inclusione nei Service Pack futuri: l'aggiornamento per questo problema verrà incluso in Windows 2000 Service Pack 5.

Informazioni sull'installazione

Questo aggiornamento della sicurezza supporta le opzioni di installazione seguenti:

/help Visualizza le opzioni della riga di comando

Modalità di installazione

/quiet Usare la modalità non interattiva (nessuna interazione o visualizzazione dell'utente)

/passive Modalità automatica (solo indicatore di stato)

/uninstall disinstalla il pacchetto

Opzioni di riavvio

/norestart Non riavviare al termine dell'installazione

/forcerestart Riavvia dopo l'installazione

Opzioni speciali

/l Elenca gli hotfix di Windows installati o i pacchetti di aggiornamento

/o Sovrascrivi i file OEM senza richiedere

/n Non eseguire il backup dei file necessari per la disinstallazione

/f Forzare la chiusura di altri programmi quando il computer si arresta

Informazioni sulla distribuzione

Per installare l'aggiornamento della sicurezza senza alcun intervento dell'utente, usare il comando seguente al prompt dei comandi per Windows 2000 Service Pack 2, Windows 2000 Service Pack 3 e Windows 2000 Service Pack 4:

Windows2000-kb835732-x86-enu /passive /quiet

Per installare l'aggiornamento della sicurezza senza forzare il riavvio del sistema, usare il comando seguente al prompt dei comandi per Windows 2000 Service Pack 2, Windows 2000 Service Pack 3 e Windows 2000 Service Pack 4:

Windows2000-kb835732-x86-enu /norestart

Per informazioni su come distribuire questo aggiornamento della sicurezza con Software Update Services, visitare il sito Web di Software Update Services.

Requisito di riavvio

È necessario riavviare il sistema dopo aver applicato questo aggiornamento della sicurezza.

Informazioni sulla rimozione

Per rimuovere questo aggiornamento, utilizzare lo strumento Installazione applicazioni in Pannello di controllo.

/?: visualizzare l'elenco delle opzioni di installazione.

/u: usare la modalità automatica.

/f: forzare l'arresto di altri programmi quando il computer viene arrestato.

/z: Non riavviare al termine dell'installazione.

/q: usa la modalità non interattiva (nessuna interazione dell'utente).

Informazioni sui file

Nota Le informazioni su data e ora potrebbero cambiare durante l'installazione. Per determinare la correttezza dei file, è necessario usare le informazioni sulla versione, le dimensioni e il nome del file.

Windows 2000 Service Pack 2, Windows 2000 Service Pack 3 e Windows 2000 Service Pack 4:

Date Time Version Size File name Folder
-----------------------------------------------------------------------
24-Mar-2004 02:17 5.0.2195.6876 388,368 Advapi32.dll
24-Mar-2004 02:17 5.0.2195.6824 42,256 Basesrv.dll
24-Mar-2004 02:17 5.0.2195.6866 69,904 Browser.dll
24-Mar-2004 02:17 5.0.2195.6901 394,512 Callcont.dll
21-Sep-2003 00:45 5.0.2195.6824 236,304 Cmd.exe
24-Mar-2004 02:17 5.131.2195.6824 543,504 Crypt32.dll
24-Mar-2004 02:17 5.131.2195.6824 61,200 Cryptnet.dll
24-Mar-2004 02:17 5.0.2195.6868 76,048 Cryptsvc.dll
24-Mar-2004 02:17 5.0.2195.6824 134,928 Dnsapi.dll
24-Mar-2004 02:17 5.0.2195.6876 92,432 Dnsrslvr.dll
24-Mar-2004 02:17 5.0.2195.6883 47,888 Eventlog.dll
24-Mar-2004 02:17 5.0.2195.6898 242,448 Gdi32.dll
24-Mar-2004 02:17 5.0.2195.6901 255,248 H323.tsp
24-Mar-2004 00:46 502 Hfsecper.inf
17-Mar-2004 21:50 502 Hfsecupd.inf
24-Mar-2004 02:17 5.0.2195.6902 442,640 Ipnathlp.dll
24-Mar-2004 02:17 5.0.2195.6890 143,632 Kdcsvc.dll
11-Mar-2004 02:37 5.0.2195.6903 210,192 Kerberos.dll
24-Mar-2004 02:17 5.0.2195.6897 742,160 Kernel32.dll
21-Sep-2003 00:32 5.0.2195.6824 71,888 Ksecdd.sys
11-Mar-2004 02:37 5.0.2195.6902 520,976 Lsasrv.dll
25-Feb-2004 23:59 5.0.2195.6902 33,552 Lsass.exe
24-Mar-2004 02:17 5.0.2195.6898 37,136 Mf3216.dll
10-Feb-2004 19:47 5.0.2195.6897 30,160 Mountmgr.sys
24-Mar-2004 02:17 5.0.2195.6824 54,544 Mpr.dll
24-Mar-2004 02:17 5.0.2195.6905 53,520 Msasn1.dll
24-Mar-2004 02:17 5.0.2195.6895 335,120 Msgina.dll
24-Mar-2004 02:17 5.0.2195.6901 249,616 Mst120.dll
11-Mar-2004 02:37 5.0.2195.6897 123,152 Msv1_0.dll
24-Mar-2004 02:17 5.0.2195.6897 312,592 Netapi32.dll
24-Mar-2004 02:17 5.0.2195.6891 371,472 Netlogon.dll
24-Mar-2004 02:17 5.0.2195.6901 62,224 Nmcom.dll
24-Mar-2004 02:17 5.0.2195.6899 497,936 Ntdll.dll
24-Mar-2004 02:17 5.0.2195.6896 1,028,880 Ntdsa.dll
25-Feb-2004 23:55 5.0.2195.6902 1,699,904 Ntkrnlmp.exe
25-Feb-2004 23:55 5.0.2195.6902 1,699,264 Ntkrnlpa.exe
25-Feb-2004 23:55 5.0.2195.6902 1,720,064 Ntkrpamp.exe
11-Mar-2004 02:37 5.0.2195.6902 1,726,032 Ntoskrnl.exe
24-Mar-2004 02:17 5.0.2195.6824 115,984 Psbase.dll
24-Mar-2004 02:17 5.0.2195.6892 90,264 Rdpwd.sys
24-Mar-2004 02:17 5.0.2195.6897 49,936 Samlib.dll
24-Mar-2004 02:17 5.0.2195.6897 388,368 Samsrv.dll
24-Mar-2004 02:17 5.0.2195.6893 111,376 Scecli.dll
24-Mar-2004 02:17 5.0.2195.6903 253,200 Scesrv.dll
11-Mar-2004 02:37 5.1.2195.6899 143,120 Schannel.dll
19-Jun-2003 20:05 5.0.2195.6707 17,168 Seclogon.dll
24-Mar-2004 02:17 5.0.2195.6894 971,536 Sfcfiles.dll
05-Feb-2004 20:18 5.0.2195.6896 5,869,056 Sp3res.dll
24-Mar-2004 02:17 1.0.0.4 27,920 Umandlg.dll
24-Mar-2004 02:17 5.0.2195.6897 403,216 User32.dll
05-Aug-2003 22:14 5.0.2195.6794 385,808 Userenv.dll
24-Mar-2004 02:17 5.0.2195.6824 50,960 W32time.dll
21-Sep-2003 00:32 5.0.2195.6824 57,104 W32tm.exe
11-Mar-2004 02:37 5.0.2195.6897 1,720,368 Win32k.sys
12-Dec-2003 21:38 5.1.2600.1327 311,296 Winhttp.dll
11-Mar-2004 02:37 5.0.2195.6898 181,520 Winlogon.exe
25-Sep-2003 18:08 5.0.2195.6826 243,984 Winsrv.dll
24-Mar-2004 02:17 5.131.2195.6824 167,184 Wintrust.dll
24-Mar-2004 02:17 5.0.2195.6897 742,160 Kernel32.dll Uniproc
24-Mar-2004 02:17 5.0.2195.6899 497,936 Ntdll.dll Uniproc
11-Mar-2004 02:37 5.0.2195.6897 1,720,368 Win32k.sys Uniproc
25-Sep-2003 18:08 5.0.2195.6826 243,984 Winsrv.dll Uniproc

Verifica dell'installazione dell'aggiornamento

È anche possibile verificare i file installati dall'aggiornamento della sicurezza esaminando la chiave del Registro di sistema seguente:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Aggiornamenti\Windows 2000\SP5\KB835732\Filelist

Windows NT 4.0 (tutte le versioni)

Prerequisiti Questo aggiornamento della sicurezza richiede Windows NT Workstation 4.0 Service Pack 6a (SP6a), Windows NT Server 4.0 Service Pack 6a (SP6a) o Windows NT Server 4.0 Terminal Server Edition Service Pack 6 (SP6).

Nota L'aggiornamento della sicurezza per Windows NT Server 4.0 Terminal Server Edition Service Pack 6 richiede, come prerequisito, il pacchetto di rollup sicurezza di Windows NT Server 4.0 Terminal Server Edition (SRP). Per scaricare il provider di servizi, visitare il sito Web seguente. È necessario installare il provider di servizi di sicurezza prima di installare l'aggiornamento della sicurezza fornito in questo bollettino sulla sicurezza. Se non si usa Windows NT Server 4.0 Terminal Server Edition Service Pack 6, non è necessario installare SRP.

Per altre informazioni su come ottenere il Service Pack più recente, vedere l'articolo della Microsoft Knowledge Base 152734.

Informazioni sull'installazione

Questo aggiornamento della sicurezza supporta le opzioni di installazione seguenti:

/y: Eseguire la rimozione (solo con /m o /q )

/f: Forzare la chiusura dei programmi durante il processo di arresto

/n: Non creare una cartella Uninstall

/z: Non riavviare al termine dell'aggiornamento

/q: Usare la modalità non interattiva o automatica senza interfaccia utente (questa opzione è un superset di /m )

/m: Usare la modalità automatica con un'interfaccia utente

/l: Elencare gli hotfix installati

/x: Estrarre i file senza eseguire il programma di installazione

Nota È possibile combinare queste opzioni in un unico comando. Per altre informazioni sulle opzioni di installazione supportate, vedere l'articolo della Microsoft Knowledge Base 262841.

Informazioni sulla distribuzione

Per installare l'aggiornamento della sicurezza senza alcun intervento dell'utente, usare il comando seguente al prompt dei comandi per Windows NT 4.0:

Windowsnt4server-kb835732-x86-enu /q

Per Windows NT Server 4.0 Terminal Server Edition:

Windowsnt4terminalserver-kb835732-x86-enu /q

Per Windows NT Workstation 4.0:

Windowsnt4workstation-kb835732-x86-enu /q

Per installare l'aggiornamento della sicurezza senza forzare il riavvio del sistema, usare il comando seguente al prompt dei comandi per Windows NT Server 4.0:

Windowsnt4server-kb835732-x86-enu /z

Per Windows NT Server 4.0 Terminal Server Edition:

Windowsnt4terminalserver-kb835732-x86-enu /z

Per Windows NT Workstation 4.0:

Windowsnt4workstation-kb835732-x86-enu /z

Per altre informazioni su come distribuire questo aggiornamento della sicurezza con Software Update Services, visitare il sito Web di Software Update Services.

Requisito di riavvio

È necessario riavviare il sistema dopo aver applicato questo aggiornamento della sicurezza.

Informazioni sulla rimozione

Per rimuovere questo aggiornamento della sicurezza, usare lo strumento Installazione applicazioni in Pannello di controllo.

Gli amministratori di sistema possono usare l'utilità Hotfix.exe per rimuovere questo aggiornamento della sicurezza. L'utilità Hotfix.exe si trova nella cartella %Windir%\$NTUninstallKB 835732$. L'utilità Hotfix.exe supporta le opzioni di installazione seguenti:

/y: Eseguire la rimozione (solo con l'opzione /m o /q )

/f: Forzare la chiusura dei programmi durante il processo di arresto

/n: Non creare una cartella Uninstall

/z: Non riavviare al termine dell'installazione

/q: Usare la modalità non interattiva o automatica senza interfaccia utente (questa opzione è un superset dell'opzione /m )

/m: Usare la modalità automatica con un'interfaccia utente

/l: Elencare gli hotfix installati

Informazioni sui file

Workstation Windows NT 4.0

Date Time Version Size File name Folder
--------------------------------------------------------------------
24-Jan-2004 00:12 5.131.1880.14 465,680 Crypt32.dll
25-Sep-2002 21:36 5.0.1558.6072 90,384 Cryptdlg.dll
12-Dec-2003 00:10 5.131.1878.14 440,080 Cryptui.dll
27-Feb-2004 16:43 4.0.1381.7263 205,584 Gdi32.dll
23-Feb-2004 15:13 4.0.1381.7263 40,720 Mf3216.dll
05-Mar-2004 23:59 5.0.2195.6905 53,520 Msasn1.dll
28-Feb-2004 01:31 5.131.1880.14 37,136 Mscat32.dll
09-Jan-2004 15:40 4.0.1381.7255 125,200 Msgina.dll
07-Jan-2003 02:22 5.131.1878.13 28,432 Mssip32.dll
18-Mar-2004 10:20 4.0.1381.7265 958,336 Ntkrnlmp.exe
18-Mar-2004 10:20 4.0.1381.7265 937,984 Ntoskrnl.exe
25-Oct-2003 01:13 4.86.1964.1880 143,632 Schannel.dll
12-Dec-2003 22:24 5.131.1880.14 6,928 Softpub.dll
27-Feb-2004 16:43 4.0.1381.7255 326,928 User32.dll
07-Jan-2004 10:47 4.0.1381.7255 1,255,152 Win32k.sys
27-Feb-2004 16:43 4.0.1381.7260 174,864 Winsrv.dll
19-Feb-2004 17:50 5.131.1880.14 165,648 Wintrust.dll
25-Oct-2003 01:13 4.87.1964.1880 112,912 Schannel.dll 128bit

Windows NT Server 4.0:

Date Time Version Size File name Folder
-----------------------------------------------------------------------
24-Jan-2004 00:12 5.131.1880.14 465,680 Crypt32.dll
25-Sep-2002 21:36 5.0.1558.6072 90,384 Cryptdlg.dll
12-Dec-2003 00:10 5.131.1878.14 440,080 Cryptui.dll
27-Feb-2004 16:43 4.0.1381.7263 205,584 Gdi32.dll
23-Feb-2004 15:13 4.0.1381.7263 40,720 Mf3216.dll
05-Mar-2004 23:59 5.0.2195.6905 53,520 Msasn1.dll
28-Feb-2004 01:31 5.131.1880.14 37,136 Mscat32.dll
09-Jan-2004 15:40 4.0.1381.7255 125,200 Msgina.dll
07-Jan-2003 02:22 5.131.1878.13 28,432 Mssip32.dll
18-Mar-2004 10:20 4.0.1381.7265 958,336 Ntkrnlmp.exe
18-Mar-2004 10:20 4.0.1381.7265 937,984 Ntoskrnl.exe
25-Oct-2003 01:13 4.86.1964.1880 143,632 Schannel.dll
12-Dec-2003 22:24 5.131.1880.14 6,928 Softpub.dll
27-Feb-2004 16:43 4.0.1381.7255 326,928 User32.dll
07-Jan-2004 10:47 4.0.1381.7255 1,255,152 Win32k.sys
27-Feb-2004 16:43 4.0.1381.7260 174,864 Winsrv.dll
19-Feb-2004 17:50 5.131.1880.14 165,648 Wintrust.dll
25-Oct-2003 01:13 4.87.1964.1880 112,912 Schannel.dll 128 Bit

Windows NT Server 4.0 Terminal Server Edition:

Date Time Version Size File name Folder
-----------------------------------------------------------------------
24-Jan-2004 00:12 5.131.1880.14 465,680 Crypt32.dll
25-Sep-2002 21:36 5.0.1558.6072 90,384 Cryptdlg.dll
12-Dec-2003 00:10 5.131.1878.14 440,080 Cryptui.dll
24-Feb-2004 18:25 4.0.1381.33562 206,096 Gdi32.dll
24-Feb-2004 18:25 4.0.1381.33562 40,208 Mf3216.dll
05-Mar-2004 23:59 5.0.2195.6905 53,520 Msasn1.dll
28-Feb-2004 01:31 5.131.1880.14 37,136 Mscat32.dll
09-Jan-2004 15:41 4.0.1381.33559 208,656 Msgina.dll
07-Jan-2003 02:22 5.131.1878.13 28,432 Mssip32.dll
18-Mar-2004 11:44 4.0.1381.33563 1,004,160 Ntkrnlmp.exe
18-Mar-2004 11:44 4.0.1381.33563 983,104 Ntoskrnl.exe
25-Oct-2003 01:13 4.86.1964.1880 143,632 Schannel.dll
12-Dec-2003 22:24 5.131.1880.14 6,928 Softpub.dll
19-Aug-2003 13:58 4.0.1381.33552 332,048 User32.dll
26-Jan-2004 16:59 4.0.1381.33559 1,280,816 Win32k.sys
16-Dec-2003 17:56 4.0.1381.33559 196,368 Winsrv.dll
19-Feb-2004 17:50 5.131.1880.14 165,648 Wintrust.dll
25-Oct-2003 01:13 4.87.1964.1880 112,912 Schannel.dll 128bit

Verifica dell'installazione dell'aggiornamento

È anche possibile verificare i file installati dall'aggiornamento della sicurezza esaminando la chiave del Registro di sistema seguente:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Hotfix\KB835732\File 1

Altre informazioni

Riconoscimenti

Microsoft ringrazia quanto segue per collaborare a proteggere i clienti:

Carlos Sarraute of Core Security Technologies per la segnalazione della vulnerabilità LDAP (CAN-2003-0663).
Sistemi di sicurezza Internet per la segnalazione della vulnerabilità PCT (CAN-2003-0719).
Ondrej Sevecek per segnalare la vulnerabilità winlogon (CAN-2003-0806).
iDefense e Jouko Pynnönen per la segnalazione della vulnerabilità della Guida e del supporto (CAN-2003-0907).
Brett Moore di Security-Assessment.com, Cerrudo e Ben Pryor per la segnalazione della vulnerabilità di Utility Manager (CAN-2003-0908).
Erik Kamp windows di LogicaCMG lavora per conto dell'Ufficio fiscale olandese per segnalare la vulnerabilità di gestione di Windows (CAN-2003-0909).
Team di sicurezza NSFOCUS per la segnalazione della vulnerabilità negotiate SSP (CAN-2004-0119).
John Lampe of Tenable Network Security for reporting the SSL Vulnerability (CAN-2004-0120)
Foundstone Labs e Qualys per segnalare la vulnerabilità ASN.1 "Double Free" (CAN-2004-0123).
eEye Digital Security per la segnalazione della vulnerabilità LSASS (CAN-2003-0533), vulnerabilità metafile (CAN-2003-0906), vulnerabilità della tabella dei descrittori locali (CAN-2003-0910) e vulnerabilità della macchina DOS virtuale (CAN-2004-0118)

Recupero di altri aggiornamenti della sicurezza:

Aggiornamenti per altri problemi di sicurezza sono disponibili nelle posizioni seguenti:

Gli aggiornamenti della sicurezza sono disponibili nell'Area download Microsoft: è possibile trovarli più facilmente eseguendo una ricerca di parole chiave "security_patch".
Aggiornamenti per le piattaforme consumer sono disponibili da Sito Web di Windows Update.

Supporto:

I clienti negli Stati Uniti e in Canada possono ottenere supporto tecnico dai servizi di supporto tecnico Microsoft presso 1-866-PCSAFETY. Non sono previsti addebiti per le chiamate di supporto associate agli aggiornamenti della sicurezza.
I clienti internazionali possono ottenere supporto dalle filiali Microsoft locali. Non è previsto alcun addebito per il supporto associato agli aggiornamenti della sicurezza. Per altre informazioni su come contattare Microsoft per problemi di supporto, visitare il sito Web del supporto internazionale.

Risorse di sicurezza:

Il sito Web Microsoft TechNet Security fornisce informazioni aggiuntive sulla sicurezza nei prodotti Microsoft.
Microsoft Software Update Services
Microsoft Baseline Security Analyzer (MBSA)
Windows Update
Catalogo di Windows Update: per altre informazioni sul catalogo di Windows Update, vedere l'articolo della Microsoft Knowledge Base 323166.
Office Update

Software Update Services (SUS):

Microsoft Software Update Services (SUS) consente agli amministratori di distribuire rapidamente e in modo affidabile gli aggiornamenti critici e gli aggiornamenti della sicurezza più recenti ai server basati su Windows® 2000 e Windows Server™ 2003, nonché ai sistemi desktop che eseguono Windows 2000 Professional o Windows XP Professional.

Per informazioni su come distribuire questo aggiornamento della sicurezza con Software Update Services, visitare il sito Web di Software Update Services .

Systems Management Server (SMS):

Systems Management Server può fornire assistenza per la distribuzione di questo aggiornamento della sicurezza. Per informazioni su Systems Management Server, visitare il sito Web SMS. Per informazioni dettagliate sui numerosi miglioramenti apportati al processo di distribuzione degli aggiornamenti della sicurezza fornito da SMS 2003, visitare il sito Web di gestione delle patch di sicurezza SMS 2003. Per gli utenti di SMS 2.0, offre anche diversi strumenti aggiuntivi per aiutare gli amministratori nella distribuzione degli aggiornamenti della sicurezza, ad esempio SMS 2.0 Software Update Services Feature Pack e SMS 2.0 Amministrazione istration Feature Pack. Sms 2.0 Software Update Services Feature Pack utilizza Microsoft Baseline Security Analyzer e Microsoft Office Detection Tool per fornire un ampio supporto per la correzione del bollettino sulla sicurezza. Alcuni aggiornamenti software potrebbero richiedere diritti amministrativi dopo un riavvio del computer

Nota Le funzionalità di inventario del Feature Pack di SMS 2.0 Software Update Services possono essere usate per la destinazione degli aggiornamenti a computer specifici e lo strumento di distribuzione dei diritti elevati del Feature Pack di Amministrazione 2.0 SMS 2.0 può essere usato per l'installazione. Ciò garantisce una distribuzione ottimale per gli aggiornamenti che richiedono la destinazione esplicita usando Systems Management Server e i diritti amministrativi dopo il riavvio del computer.

Declinazione di responsabilità:

Le informazioni fornite nella Microsoft Knowledge Base vengono fornite "così com'è" senza garanzia di alcun tipo. Microsoft dichiara tutte le garanzie, espresse o implicite, incluse le garanzie di commerciabilità e idoneità per uno scopo specifico. In nessun caso, Microsoft Corporation o i suoi fornitori saranno responsabili di qualsiasi danno, incluso diretto, indiretto, accidentale, consequenziale, perdita di profitti aziendali o danni speciali, anche se Microsoft Corporation o i suoi fornitori sono stati informati della possibilità di tali danni. Alcuni stati non consentono l'esclusione o la limitazione della responsabilità per danni consequenziali o accidentali, pertanto la limitazione precedente potrebbe non essere applicata.

Revisioni:

V1.0 Aprile 13, 2004: Bollettino pubblicato
V1.1 Aprile 21, 2004: Bollettino aggiornato per riflettere le informazioni aggiornate nella sezione Sostituzione aggiornamenti. Il bollettino è stato aggiornato anche per riflettere la modifica del comportamento di rilevamento MBSA, come descritto nella sezione delle domande frequenti aggiornate. Il bollettino contiene anche revisioni alla sezione relativa alla soluzione alternativa per la vulnerabilità di Utility Manager (CAN-2003-0908).
V1.2 Aprile 28, 2004: sezione Avvisi aggiornati per riflettere la disponibilità di un articolo della Microsoft Knowledge Base modificato 835732. Documenta i problemi attualmente noti che i clienti potrebbero riscontrare durante l'installazione di questo aggiornamento della sicurezza. L'articolo illustra anche le soluzioni consigliate per questi problemi.
V1.3 May 4, 2004: Aggiunta di nuove informazioni nella sezione Soluzioni alternative per la vulnerabilità LSASS.
V2.0 15 giugno 2004: Bollettino aggiornato per consigliare la disponibilità di un aggiornamento aggiornato della workstation Di Windows NT 4.0 per la lingua cinese pan-cinese. Questo aggiornamento deve essere installato dai clienti anche se l'aggiornamento originale è stato installato.
V2.1 Agosto 10, 2004: Bollettino aggiornato per modificare la sezione relativa alla soluzione alternativa per la vulnerabilità PCT quando si usa Windows XP RTM.

Costruito al 2014-04-18T13:49:36Z-07:00

Microsoft Security Bulletin MS04-011 - Critico

Aggiornamento della sicurezza per Microsoft Windows (835732)

Riepilogo

Informazioni generali

Dettagli tecnici

Domande frequenti relative a questo aggiornamento della sicurezza

Dettagli della vulnerabilità

Vulnerabilità LSASS - CAN-2003-0533:

Fattori di mitigazione della vulnerabilità LSASS - CAN-2003-0533:

Soluzioni alternative per la vulnerabilità LSASS - CAN-2003-0533:

Domande frequenti sulla vulnerabilità LSASS - CAN-2003-0533:

Vulnerabilità LDAP - CAN-2003-0663:

Fattori di mitigazione per la vulnerabilità LDAP - CAN-2003-0663:

Soluzioni alternative per la vulnerabilità LDAP - CAN-2003-0663:

Domande frequenti sulla vulnerabilità LDAP - CAN-2003-0663:

Vulnerabilità PCT - CAN-2003-0719:

Fattori di mitigazione della vulnerabilità PCT - CAN-2003-0719:

Soluzioni alternative per la vulnerabilità PCT - CAN-2003-0719:

Domande frequenti sulla vulnerabilità PCT - CAN-2003-0719:

Vulnerabilità Winlogon - CAN-2003-0806:

Fattori di mitigazione per la vulnerabilità Winlogon - CAN-2003-0806:

Soluzioni alternative per la vulnerabilità Winlogon - CAN-2003-0806:

Domande frequenti sulla vulnerabilità Winlogon - CAN-2003-0806:

Vulnerabilità metafile - CAN-2003-0906:

Fattori di mitigazione della vulnerabilità metafile - CAN-2003-0906:

Soluzioni alternative per la vulnerabilità metafile - CAN-2003-0906:

Domande frequenti sulla vulnerabilità metafile - CAN-2003-0906:

Vulnerabilità help and support center - CAN-2003-0907:

Fattori di mitigazione della vulnerabilità help and support center - CAN-2003-0907:

Soluzioni alternative per la vulnerabilità della Guida e del Supporto tecnico - CAN-2003-0907:

Domande frequenti sulla vulnerabilità di Help and Support Center - CAN-2003-0907:

Vulnerabilità di Utility Manager - CAN-2003-0908:

Fattori di mitigazione della vulnerabilità di Utility Manager - CAN-2003-0908:

Soluzioni alternative per la vulnerabilità di Utility Manager - CAN-2003-0908:

Domande frequenti sulla vulnerabilità di Utility Manager - CAN-2003-0908:

Vulnerabilità di gestione di Windows - CAN-2003-0909

Fattori di mitigazione della vulnerabilità di gestione di Windows - CAN-2003-0909:

Soluzioni alternative per la vulnerabilità di gestione di Windows - CAN-2003-0909:

Domande frequenti sulla vulnerabilità di gestione di Windows - CAN-2003-0909:

Vulnerabilità della tabella dei descrittori locali - CAN-2003-0910

Fattori di mitigazione per la vulnerabilità della tabella dei descrittori locali - CAN-2003-0910:

Soluzioni alternative per la vulnerabilità della tabella dei descrittori locali - CAN-2003-0910:

Domande frequenti sulla vulnerabilità della tabella dei descrittori locali - CAN-2003-0910:

Vulnerabilità H.323 - CAN-2004-0117

Fattori di mitigazione per la vulnerabilità H.323 - CAN-2004-0117:

Soluzioni alternative per la vulnerabilità H.323 - CAN-2004-0117:

Domande frequenti sulla vulnerabilità H.323 - CAN-2004-0117:

Vulnerabilità della macchina DOS virtuale - CAN-2004-0118:

Fattori di mitigazione della vulnerabilità della macchina DOS virtuale - CAN-2004-0118:

Soluzioni alternative per la vulnerabilità della macchina DOS virtuale - CAN-2004-0118:

Domande frequenti sulla vulnerabilità della macchina DOS virtuale - CAN-2004-0118:

Vulnerabilità Negotiate SSP - CAN-2004-0119

Fattori di mitigazione per negoziare la vulnerabilità SSP - CAN-2004-0119:

Soluzioni alternative per negoziare la vulnerabilità SSP - CAN-2004-0119:

Domande frequenti sulla vulnerabilità negotiate SSP - CAN-2004-0119:

Vulnerabilità SSL - CAN-2004-0120:

Fattori di mitigazione della vulnerabilità SSL - CAN-2004-0120:

Soluzioni alternative per la vulnerabilità SSL - CAN-2004-0120:

Domande frequenti sulla vulnerabilità SSL - CAN-2004-0120:

Vulnerabilità ASN.1 "Double Free" - CAN-2004-0123

Fattori di mitigazione per la vulnerabilità ASN.1 "Double Free" - CAN-2004-0123:

Soluzioni alternative per la vulnerabilità "Double Free" di ASN.1 - CAN-2004-0123:

Domande frequenti sulla vulnerabilità "Double Free" di ASN.1 - CAN-2004-0123:

Informazioni sull'aggiornamento della sicurezza

Windows Server 2003 (tutte le versioni)

Windows XP (tutte le versioni)

Windows 2000 (tutte le versioni)

Windows NT 4.0 (tutte le versioni)

Altre informazioni

Risorse aggiuntive