Advisory Microsoft sulla sicurezza (2755801)

Per fattore attenuante si intende un'impostazione, una configurazione comune o una procedura consigliata generica esistente in uno stato predefinito in grado di ridurre la gravità nello sfruttamento di una vulnerabilità. I seguenti fattori attenuanti possono essere utili per l'utente:

• In uno scenario di attacco dal Web dove l'utente utilizza Internet Explorer 10 per desktop, un utente malintenzionato potrebbe ospitare un sito Web contenente una pagina utilizzata per sfruttare una di queste vulnerabilità. Inoltre, i siti Web manomessi e quelli che accettano oppure ospitano contenuti o annunci pubblicitari forniti dagli utenti potrebbero presentare contenuti appositamente predisposti per sfruttare una di queste vulnerabilità. In tutti questi casi, comunque, non è in alcun modo possibile obbligare gli utenti a visitare questi siti Web. L'utente malintenzionato deve invece convincere le vittime a visitare il sito Web, in genere inducendole a fare clic su un collegamento in un messaggio di posta elettronica o di Instant Messenger che le indirizzi al sito.
• Internet Explorer 10, in un'interfaccia utente in stile Windows 8, sarà in grado di riprodurre solo i contenuti Flash dai siti presenti nell'elenco Visualizzazione Compatibilità (CV). Questa restrizione obbliga un utente malintenzionato a manomettere prima un sito Web già presente nell'elenco CV. Tale utente potrebbe quindi ospitare contenuti Flash appositamente predisposti e progettati per sfruttare una di queste vulnerabilità attraverso Internet Explorer e convincere un utente a visualizzare il sito Web. Un utente malintenzionato non può obbligare gli utenti a visualizzare il contenuto controllato dall'utente malintenzionato. L'utente malintenzionato deve invece convincere gli utenti a compiere un'azione, in genere facendo clic su un collegamento contenuto in un messaggio di posta elettronica o in un messaggio di Instant Messenger, che porta degli utenti al sito Web dell'utente malintenzionato oppure aprendo un allegato inviato mediante un messaggio di posta elettronica.
• Per impostazione predefinita, tutte le versioni supportate di Microsoft Outlook e Windows Live Mail aprono i messaggi di posta elettronica in formato HTML nell'area Siti con restrizioni. L'area Siti con restrizioni, che disattiva lo script e i controlli ActiveX, aiuta a ridurre il rischio di sfruttamento di una di queste vulnerabilità da parte di un utente malintenzionato per eseguire il codice dannoso. Se si fa clic su un collegamento presente in un messaggio di posta elettronica, una di queste vulnerabilità può ancora sussistere con le modalità descritte nello scenario di attacco dal Web.
• Per impostazione predefinita, in Windows Server 2012, Internet Explorer viene eseguito in una modalità limitata denominata Protezione avanzata. Questa modalità aiuta a ridurre la probabilità di sfruttamento di una di queste vulnerabilità in Adobe Flash Player su Internet Explorer 10.

Per soluzione alternativa si intende un'impostazione o una modifica nella configurazione che consente di bloccare i vettori di attacco noti prima di applicare l'aggiornamento.

• Impedire l'esecuzione di Adobe Flash Player

  È possibile disattivare i tentativi di creare un'istanza di Adobe Flash Player in Internet Explorer e in altre applicazioni che supportano la funzionalità di kill bit, come Office 2007 e Office 2010, impostando il kill bit per il controllo nel Registro di sistema.

  Avvertenza L'utilizzo non corretto dell'Editor del Registro di sistema potrebbe causare problemi tali da rendere necessaria la reinstallazione del sistema operativo. Microsoft non garantisce la risoluzione di problemi dovuti a un utilizzo non corretto dell'Editor del Registro di sistema. È quindi necessario utilizzare questo strumento con grande attenzione.

  Per impostare il kill bit ed effettuare il controllo nel Registro di sistema, attenersi alla procedura seguente:

  1. Incollare quanto riportato di seguito in un file di testo e salvarlo su un file con estensione .reg.

     Editor del Registro di sistema di Windows versione 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{D27CDB6E-AE6D-11CF-96B8-444553540000}]
"Compatibility Flags"=dword:00000400

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\ActiveX Compatibility\{D27CDB6E-AE6D-11CF-96B8-444553540000}]
"Compatibility Flags"=dword:00000400


  2. Fare doppio clic sul file .reg per applicarlo a un sistema individuale.
     
     Inoltre, può essere applicato in domini diversi utilizzando i Criteri di gruppo. Per ulteriori informazioni sui Criteri di gruppo, consultare l'articolo di TechNet Insieme di Criteri di gruppo.

     Nota È necessario riavviare Internet Explorer per rendere operative queste modifiche.

  Impatto della soluzione alternativa. Non esiste alcun effetto se non si prevede l'uso dell'oggetto in Internet Explorer.

  Per annullare il risultato della soluzione alternativa. Eliminare le chiavi del Registro di sistema aggiunte per implementare questa soluzione alternativa.

• Impedire l'esecuzione di Adobe Flash Player su Internet Explorer 10 attraverso i Criteri di gruppo su Windows 8 e Windows Server 2012

  Nota È possibile utilizzare lo snap-in di MMC Criteri di gruppo per impostare i criteri per un sistema, un'unità organizzativa o un intero domino. Per ulteriori informazioni sui Criteri di gruppo, visitare il seguente sito Web Microsoft:

  Panoramica sui criteri di gruppo

  Che cos'è un Editor oggetti Criteri di gruppo?

  Strumenti e impostazioni principali di Criteri di gruppo

  Per disattivare Adobe Flash Player in Internet Explorer 10 attraverso i Criteri di gruppo su Windows 8 e Windows Server 2012, attenersi alla procedura seguente:

  Nota Questa soluzione alternativa non impedisce ad altre applicazioni, come Microsoft Office 2007 o Microsoft Office 2010, di richiamare Flash.

  1. Aprire il sistema di gestione dei criteri di gruppo e configurarlo per il funzionamento con l'oggetto criteri di gruppo appropriato, ad esempio, computer locale, OU o GPO dominio.
  2. Passare al nodo seguente:
     
     Modelli amministrativi - Componenti di Windows - Internet Explorer - Funzionalità di protezione - Gestione componenti aggiuntivi
  3. Fare doppio clic sull'opzione che consente di disattivare Adobe Flash in Internet Explorer e impedire alle applicazioni di utilizzare la tecnologia di Internet Explorer per creare istanze degli oggetti Flash.
  4. Modificare l'impostazione su Attivato.
  5. Fare clic su Applica, quindi su OK per tornare alla Console Gestione Criteri di Gruppo.
  6. Aggiornare i Criteri di gruppo su tutti i sistemi o attendere il successivo intervallo di aggiornamento pianificato per i Criteri di gruppo in modo da rendere effettive le impostazioni.

    

• Impedire l'esecuzione di Adobe Flash Player in Office 2010 su Windows 8 e Windows Server 2012

  Nota Questa soluzione alternativa non impedisce l'esecuzione di Adobe Flash Player in Internet Explorer.

  Avvertenza L'utilizzo non corretto dell'Editor del Registro di sistema potrebbe causare problemi tali da rendere necessaria la reinstallazione del sistema operativo. Microsoft non garantisce la risoluzione di problemi dovuti a un utilizzo non corretto dell'Editor del Registro di sistema. È quindi necessario utilizzare questo strumento con grande attenzione.

  Per ulteriori informazioni su come impedire l'esecuzione di un controllo in Internet Explorer, vedere l'articolo della Microsoft Knowledge Base 240797. Seguire la procedura descritta e creare un valore Compatibility Flags nel Registro di sistema in modo da impedire la creazione di un'istanza dell'oggetto COM in Internet Explorer.

  Per disattivare Adobe Flash Player solo in Office 2010, impostare il kill bit per il controllo ActiveX per Adobe Flash Player nel Registro di sistema effettuando la procedura indicata di seguito:

  1. Creare un file di testo denominato Disable_Flash.reg con i contenuti seguenti:

     Editor del Registro di sistema di Windows versione 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM\Compatibility\{D27CDB6E-AE6D-11CF-96B8-444553540000}]
"Compatibility Flags"=dword:00000400


  2. Fare doppio clic sul file .reg per applicarlo a un sistema individuale.
     Nota È necessario riavviare Internet Explorer per rendere operative queste modifiche.

     Inoltre, può essere applicato in domini diversi utilizzando i Criteri di gruppo. Per ulteriori informazioni sui Criteri di gruppo, consultare l'articolo di TechNet Insieme di Criteri di gruppo.

   

• Evitare l'esecuzione di controlli ActiveX in Office 2007 e Office 2010

  Per disattivare tutti i controlli ActiveX in Microsoft Office 2007 e Microsoft Office 2010, incluso Adobe Flash Player in Internet Explorer 10, attenersi alla procedura seguente:

  1. Fare clic su File, Opzioni, Centro protezione e poi fare clic su Impostazioni Centro protezione.
  2. Fare clic su Impostazioni ActiveX nel riquadro sinistro e poi selezionare Disattiva tutti i controlli senza notifica.
  3. Fare clic su OK per salvare le impostazioni.

  Impatto della soluzione alternativa. I documenti Office che utilizzano controlli ActiveX incorporati potrebbero non essere visualizzati correttamente.

  Per annullare il risultato della soluzione alternativa.

  Per riattivare i controlli ActiveX in Microsoft Office 2007 e Microsoft Office 2010, eseguire i passaggi seguenti:

  1. Fare clic su File, Opzioni, Centro protezione e poi fare clic su Impostazioni Centro protezione.
  2. Fare clic su Impostazioni ActiveX nel riquadro sinistro e poi deselezionare Disattiva tutti i controlli senza notifica.
  3. Fare clic su OK per salvare le impostazioni.

   

• Impostare il livello dell'area di protezione Internet e Intranet locale su "Alta" per bloccare i controlli ActiveX e script attivo in queste aree

  È possibile realizzare una protezione più efficace del sistema dai rischi connessi a queste vulnerabilità modificando le impostazioni relative all'area di protezione Internet in modo che i controlli ActiveX e lo script attivo vengano bloccati. Tale operazione può essere eseguita impostando la protezione del browser su Alta.

  Per alzare il livello di protezione del brower in Internet Explorer, attenersi alla seguente procedura:

  1. Dal menu Strumenti di Internet Explorer, scegliere Opzioni Internet.
  2. Nella finestra di dialogo Opzioni Internet, fare clic sulla scheda Protezione, quindi su Internet.
  3. In Livello di protezione per l'area, spostare il dispositivo di scorrimento su Alta. Il livello di protezione per tutti i siti Web visitati viene così impostato su Alta.
  4. Fare clic su Intranet locale.
  5. In Livello di protezione per l'area, spostare il dispositivo di scorrimento su Alta. Il livello di protezione per tutti i siti Web visitati viene così impostato su Alta.
  6. Fare clic su OK per confermare le modifiche e tornare a Internet Explorer.

  Nota Se il dispositivo di scorrimento non è visibile, fare clic su Livello predefinito, quindi spostare il dispositivo di scorrimento su Alta.

  Nota Con l'impostazione della protezione su Alta, alcuni siti Web potrebbero non funzionare nel modo corretto. Se si riscontrano difficoltà nell'utilizzo di un sito Web dopo aver effettuato questa modifica e si è certi che il sito è sicuro, è possibile aggiungere il sito all'elenco Siti attendibili. In questo modo il sito funzionerà correttamente anche quando la protezione è impostata su Alta.

  Impatto della soluzione alternativa. Il blocco dei controlli ActiveX e di script attivo può avere effetti collaterali. Numerosi siti Web su Internet o su una rete Intranet utilizzano ActiveX o Script attivo per offrire funzionalità aggiuntive. Un sito di e-commerce o di online banking, ad esempio, può utilizzare controlli ActiveX per la visualizzazione dei menu, dei moduli d'ordine o degli estratti conto. Il blocco dei controlli ActiveX o script attivo è un'impostazione globale per tutti i siti Internet e Intranet. Se non si desidera che i controlli ActiveX o script attivo vengano bloccati in tali siti, utilizzare la procedura descritta in "Aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer".

  Aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer.

  Dopo l'impostazione della richiesta di blocco dei controlli ActiveX e dello script attivo nelle aree Internet e Intranet locale, è possibile aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer. In questo modo è possibile continuare a utilizzare i siti Web attendibili nel modo abituale, proteggendo al tempo stesso il sistema da eventuali attacchi da siti non attendibili. Si raccomanda di aggiungere all'area Siti attendibili solo i siti effettivamente ritenuti attendibili.

  A tale scopo, utilizzare la seguente procedura:

  1. In Internet Explorer, scegliere Opzioni Internet dal menu Strumenti e fare clic sulla scheda Protezione.
  2. Nella sezione Selezionare un'area di contenuto Web per specificare le relative impostazioni di protezione, fare clic su Siti attendibili, quindi su Siti.
  3. Se si desidera aggiungere siti che non richiedono un canale crittografato, deselezionare la check box Richiedi verifica server (https:) per tutti i siti dell'area.
  4. Nella casella Aggiungi il sito Web all'area, aggiungere l'URL del sito desiderato, quindi fare clic sul pulsante Aggiungi.
  5. Ripetere la procedura per ogni sito da aggiungere all'area.
  6. Fare due volte clic su OK per confermare le modifiche e tornare a Internet Explorer.

  Nota È possibile aggiungere qualsiasi sito che si ritiene non effettuerà operazioni dannose sul sistema. In particolare è utile aggiungere i due siti *.windowsupdate.microsoft.com e *.update.microsoft.com, ovvero i siti che ospiteranno l'aggiornamento per cui è richiesto l'utilizzo di un controllo ActiveX per l'installazione.

   

• Configurare Internet Explorer in modo che venga richiesta conferma prima dell'esecuzione di script attivo oppure disattivare tali script nell'area di protezione Internet e Intranet locale

  È possibile realizzare una protezione più efficace del sistema dai rischi connessi a queste vulnerabilità modificando le impostazioni in modo che venga richiesta conferma prima di eseguire lo script attivo o per disattivare tale script nell'area di protezione Internet e Intranet locale. A tale scopo, utilizzare la seguente procedura:

  1. In Internet Explorer, scegliere Opzioni Internet dal menu Strumenti.
  2. Selezionare la scheda Protezione.
  3. Selezionare Internet e fare clic sul pulsante Livello personalizzato.
  4. Nella sezione Esecuzione script dell'elenco Impostazioni, selezionare Esecuzione script attivo, quindi fare clic su Chiedi conferma  o Disattiva e su OK.
  5. Selezionare Intranet locale, quindi fare clic sul pulsante Livello personalizzato.
  6. Nella sezione Esecuzione script dell'elenco Impostazioni, selezionare Esecuzione script attivo, quindi fare clic su Chiedi conferma  o Disattiva e su OK.
  7. Fare due volte clic su OK per tornare a Internet Explorer.

  Nota Se si disattiva Esecuzione script attivo nelle aree di protezione Internet e Intranet locale, alcuni siti Web potrebbero non funzionare nel modo corretto. Se si riscontrano difficoltà nell'utilizzo di un sito Web dopo aver effettuato questa modifica e si è certi che il sito è sicuro, è possibile aggiungere il sito all'elenco Siti attendibili. In questo modo il sito funzionerà correttamente.

  Impatto della soluzione alternativa. La visualizzazione di una richiesta di conferma prima dell'esecuzione di script attivo può avere effetti collaterali. Numerosi siti Web su Internet o su una rete Intranet utilizzano l'opzione Script attivo per offrire funzionalità aggiuntive. Un sito di e-commerce o di online banking, ad esempio, può utilizzare script attivo per la visualizzazione dei menu, dei moduli d'ordine o degli estratti conto. La richiesta di conferma prima dell'esecuzione di script attivo è un'impostazione globale per tutti i siti Internet e Intranet. Se si utilizza questa soluzione alternativa, le richieste di conferma verranno visualizzate di frequente. A ogni richiesta di conferma, se si ritiene che il sito da visitare sia attendibile, fare clic su Sì per consentire l'esecuzione di script attivo. Se non si desidera che venga richiesta conferma per tutti i siti, utilizzare la procedura descritta in "Aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer".

  Aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer.

  Dopo l'impostazione della richiesta di conferma prima dell'esecuzione di controlli ActiveX e script attivo nelle aree Internet e Intranet locale, è possibile aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer. In questo modo è possibile continuare a utilizzare i siti Web attendibili nel modo abituale, proteggendo al tempo stesso il sistema da eventuali attacchi da siti non attendibili. Si raccomanda di aggiungere all'area Siti attendibili solo i siti effettivamente ritenuti attendibili.

  A tale scopo, utilizzare la seguente procedura:

  1. In Internet Explorer, scegliere Opzioni Internet dal menu Strumenti e fare clic sulla scheda Protezione.
  2. Nella sezione Selezionare un'area di contenuto Web per specificare le relative impostazioni di protezione, fare clic su Siti attendibili, quindi su Siti.
  3. Se si desidera aggiungere siti che non richiedono un canale crittografato, deselezionare la check box Richiedi verifica server (https:) per tutti i siti dell'area.
  4. Nella casella Aggiungi il sito Web all'area, aggiungere l'URL del sito desiderato, quindi fare clic sul pulsante Aggiungi.
  5. Ripetere la procedura per ogni sito da aggiungere all'area.
  6. Fare due volte clic su OK per confermare le modifiche e tornare a Internet Explorer.

  Nota È possibile aggiungere qualsiasi sito che si ritiene non eseguirà operazioni dannose sul sistema. In particolare è utile aggiungere i due siti *.windowsupdate.microsoft.com e *.update.microsoft.com, ovvero i siti che ospiteranno l'aggiornamento per cui è richiesto l'utilizzo di un controllo ActiveX per l'installazione.

   

Qual è lo scopo di questo advisory? 
Lo scopo di questo advisory è di comunicare la disponibilità di un aggiornamento per Adobe Flash Player in Internet Explorer 10 su tutte le edizioni supportate di Windows 8, Windows Server 2012 e Windows RT.

In quale modo un utente malintenzionato può sfruttare queste vulnerabilità? 
In uno scenario di attacco dal Web dove un utente utilizza Internet Explorer 10 per desktop, un utente malintenzionato potrebbe ospitare un sito Web appositamente predisposto e progettato per sfruttare una di queste vulnerabilità attraverso Internet Explorer e convincere l'utente a visualizzare questo sito Web. Inoltre, un utente malintenzionato può incorporare un controllo ActiveX contrassegnato come "sicuro per l'inizializzazione" in un'applicazione o in un documento Microsoft Office che ospita il motore di rendering di Internet Explorer. L'utente malintenzionato può inoltre servirsi di siti Web manomessi e di siti Web che accettano o pubblicano contenuti o annunci pubblicitari inviati da altri utenti. Questi siti Web possono includere contenuti appositamente predisposti in grado di sfruttare una di queste vulnerabilità. Tuttavia, in nessuno di questi casi un utente malintenzionato può obbligare gli utenti a visualizzare il contenuto controllato dall'utente malintenzionato. L'utente malintenzionato deve invece convincere gli utenti a compiere un'azione, in genere facendo clic su un collegamento contenuto in un messaggio di posta elettronica o in un messaggio di Instant Messenger, che porta degli utenti al sito Web dell'utente malintenzionato oppure aprendo un allegato inviato mediante un messaggio di posta elettronica.

In uno scenario di attacco dal Web dove l'utente utilizza Internet Explorer 10 in un'interfaccia utente in stile Windows 8, un utente malintenzionato deve prima compromettere un sito Web già presente nell'elenco Visualizzazione Compatibilità (CV). Un utente malintenzionato potrebbe ospitare un sito Web con contenuti Flash appositamente predisposti e progettati per sfruttare una di queste vulnerabilità attraverso Internet Explorer e convincere un utente a visualizzare il sito Web. Un utente malintenzionato non può obbligare gli utenti a visualizzare il contenuto controllato dall'utente malintenzionato. L'utente malintenzionato deve invece convincere gli utenti a compiere un'azione, in genere facendo clic su un collegamento contenuto in un messaggio di posta elettronica o in un messaggio di Instant Messenger, che porta degli utenti al sito Web dell'utente malintenzionato oppure aprendo un allegato inviato mediante un messaggio di posta elettronica. Per ulteriori informazioni su Internet Explorer 10 e l'elenco CV, vedere l'articolo MSDN, Indicazioni per sviluppatori sui siti Web con contenuto per Adobe Flash Player in Windows 8.

Se non si utilizza Internet Explorer, è comunque necessario applicare questo aggiornamento?  
Sì, le altre applicazioni, come Microsoft Office 2007 e Microsoft Office 2010, possono richiamare Adobe Flash Player in Internet Explorer. Microsoft consiglia di applicare l'aggiornamento immediatamente.

Windows 8 Release Preview e Windows Server 2012 Release Candidate sono interessati dalle vulnerabilità risolte in questo advisory?
Sì. L'aggiornamento è disponibile per Windows 8 Release Preview e Windows Server 2012 Release Candidate. Ai clienti che utilizzano Windows 8 Release Preview e Windows Server 2012 Release Candidate si consiglia di applicare l'aggiornamento ai propri sistemi. L'aggiornamento è disponibile solo tramite Windows Update.

Quali sono gli scopi dell'aggiornamento?  
L'aggiornamento risolve le vulnerabilità aggiornando le librerie Adobe Flash contenute in Internet Explorer 10. L'aggiornamento è cumulativo; i clienti devono solo installare l'aggiornamento corrente.