Avviso di sicurezza
Microsoft Security Advisory 954157
Miglioramenti della sicurezza per il codec Indeo
Pubblicato: 8 dicembre 2009
Versione: 1.0
Informazioni generali
Schema riepilogativo
Microsoft annuncia la disponibilità di un aggiornamento che fornisce mitigazioni della sicurezza al codec Indeo nelle edizioni supportate di Microsoft Windows 2000, Windows XP e Windows Server 2003.
Il codec Indeo nei sistemi che eseguono Microsoft Windows 2000, Windows XP e Windows Server 2003 potrebbe consentire l'esecuzione di codice remoto durante l'apertura di contenuti multimediali appositamente creati. L'aggiornamento impedisce l'avvio del codec Indeo in Internet Explorer o in Windows Media Player. L'aggiornamento rimuove anche la possibilità di caricare questo codec durante l'esplorazione di Internet con qualsiasi altra applicazione. Consentendo alle applicazioni di usare il codec Indeo solo quando il contenuto multimediale proviene dal sistema locale o dall'area Intranet e impedendo a Internet Explorer e Lettore multimediale Windows di avviare il codec, questo aggiornamento rimuove i vettori di attacco remoti più comuni, ma consente comunque giochi o altre applicazioni che sfruttano il codec localmente per continuare a funzionare.
L'aggiornamento è disponibile tramite l'aggiornamento automatico e dall'Area download Microsoft. I clienti che hanno abilitato l'aggiornamento automatico non dovranno eseguire alcuna azione perché questo aggiornamento della sicurezza verrà scaricato e installato automaticamente. Per altre informazioni su questo problema, inclusi i collegamenti di download per questo aggiornamento non relativo alla sicurezza, vedere l'articolo della Microsoft Knowledge Base 954157.
Il codec Indeo può essere usato e può essere richiesto da determinate applicazioni in diversi modi. Il codec Indeo può essere necessario quando si visitano siti Web legittimi e nelle applicazioni line-of-business dell'ambiente aziendale. Questo è probabilmente uno scenario più comune per i clienti che eseguono sistemi operativi meno recenti. Pertanto, questo aggiornamento viene offerto automaticamente ai clienti con sistemi operativi meno recenti, ma consentirà comunque il funzionamento del codec in scenari di applicazioni line-of-business. D'altra parte, i clienti che non hanno un uso per il codec possono scegliere di eseguire un passaggio aggiuntivo e annullare la registrazione del codec completamente. La registrazione del codec rimuoverà tutti i vettori di attacco che sfruttano il codec Indeo. Vedere l'articolo della Microsoft Knowledge Base 954157 per istruzioni su come annullare la registrazione del codec.
Invitiamo i clienti che eseguono edizioni supportate di Microsoft Windows 2000, Windows XP e Windows 2003 per rivedere e installare questo aggiornamento o per annullare la registrazione del codec Indeo. Installando questo aggiornamento e deregistrando il codec in questi sistemi operativi meno recenti, i clienti avranno le stesse mitigazioni incluse in Windows Vista e Windows 7.
Dettagli avviso
Riferimenti ai problemi
Per altre informazioni su questo problema, vedere i riferimenti seguenti:
| Riferimenti | Identificazione |
|---|---|
| Articolo della Microsoft Knowledge Base | 954157 |
Software interessato e non interessato
Questo avviso illustra il software seguente.
| Software interessato |
|---|
| Microsoft Windows 2000 Service Pack 4 |
| Windows XP Service Pack 2 e Windows XP Service Pack 3 |
| Windows XP Professional x64 Edition Service Pack 2 |
| Windows Server 2003 Service Pack 2 |
| Windows Server 2003 x64 Edition Service Pack 2 |
| Windows Server 2003 con SP2 per sistemi basati su Itanium |
| Software non interessato |
|---|
| Windows Vista, Windows Vista Service Pack 1 e Windows Vista Service Pack 2 |
| Windows Vista x64 Edition, Windows Vista x64 Edition Service Pack 1 e Windows Vista x64 Edition Service Pack 2 |
| Windows Server 2008 per sistemi a 32 bit e Windows Server 2008 per sistemi a 32 bit Service Pack 2 |
| Windows Server 2008 per sistemi basati su x64 e Windows Server 2008 per sistemi basati su x64 Service Pack 2 |
| Windows Server 2008 per sistemi basati su Itanium e Windows Server 2008 per Sistemi basati su Itanium Service Pack 2 |
| Windows 7 per sistemi a 32 bit |
| Windows 7 per sistemi basati su x64 |
| Windows Server 2008 R2 per sistemi basati su x64 |
| Windows Server 2008 R2 per sistemi basati su Itanium |
Domande frequenti
Qual è l'ambito dell'avviso?
Questo avviso fornisce una notifica che informa che un aggiornamento approfondito descritto in questo avviso è disponibile tramite l'aggiornamento automatico ed è descritto anche nell'articolo della Microsoft Knowledge Base 954157. Questo aggiornamento influisce sul software elencato nella tabella Software interessato.
Che cos'è il codec Indeo?
Indeo Codec è un codec che decomprime i file multimediali digitali da usare in applicazioni come Lettore multimediale Windows. Per altre informazioni sui codec, vedere Uso di codec.
In che modo un utente malintenzionato potrebbe sfruttare la vulnerabilità?
Un utente malintenzionato potrebbe ospitare un sito Web appositamente creato progettato per sfruttare questa vulnerabilità tramite Internet Explorer e quindi convincere un utente a visualizzare il sito Web. Ciò può includere anche siti Web compromessi e siti Web che accettano o ospitano contenuti o annunci forniti dall'utente. Questi siti Web possono contenere contenuti appositamente creati che potrebbero sfruttare questa vulnerabilità. In tutti i casi, tuttavia, un utente malintenzionato non avrebbe modo di forzare gli utenti a visitare questi siti Web. Un utente malintenzionato dovrà invece convincere gli utenti a visitare il sito Web, in genere facendo clic su un collegamento in un messaggio di posta elettronica o in una richiesta di Instant Messenger che porta gli utenti al sito Web dell'utente malintenzionato.
Potrebbe anche essere possibile visualizzare contenuti Web appositamente creati usando annunci banner o utilizzando altri metodi per distribuire contenuti Web ai sistemi interessati.
Un altro modo in cui un utente malintenzionato potrebbe sfruttare questa vulnerabilità consiste nel ottenere contenuti multimediali appositamente creati nel sistema di un utente che sfrutta il codec Indeo.
Dopo l'installazione di questo aggiornamento è stata apportata una modifica all'esperienza utente?
Dopo l'installazione degli aggiornamenti descritti in questo articolo, gli utenti potrebbero notare che il contenuto multimediale dei siti Web potrebbe non essere più caricato in Internet Explorer o in Lettore multimediale Windows. Le applicazioni o i giochi che usano questo codec dal contenuto situato nel sistema locale continueranno a funzionare.
Ricerca per categorie disabilitare il codec Indeo?
È possibile disabilitare questo codec deregistrando il codec. La registrazione del codec impedirà a qualsiasi applicazione o contenuto multimediale di usare questo codec. Per istruzioni su come annullare la registrazione del codec, vedere l'articolo della Microsoft Knowledge Base 954157.
Ricerca per categorie riabilitare l'uso di questo codec dopo l'installazione di questo aggiornamento?
È possibile riabilitare la funzionalità del codec Indeo dopo l'installazione di questo aggiornamento. Riabilitare il codec espone gli utenti al rischio di un attacco di esecuzione del codice remoto e deve essere considerato solo se la necessità della funzionalità del codec supera il rischio di esposizione. Per altre informazioni su come riabilitare la funzionalità codec, vedere l'articolo della Microsoft Knowledge Base 954157.
Perché sono presenti due parti dell'aggiornamento associato a questo avviso?
Esistono due parti di questo aggiornamento che consentono di attenuare i rischi associati al codec Indeo. Uno è l'aggiornamento a Quartz.dll, ovvero il file binario primario usato da Lettore multimediale Windows. Il secondo è l'aggiornamento fornito dalla tecnologia Shim di compatibilità delle applicazioni. L'aggiornamento del lettore multimediale impedisce alle applicazioni di aprire contenuti multimediali che sfruttano il codec Indeo di riprodurre nell'area Internet, mentre l'aggiornamento della tecnologia Shim compatibilità applicazioni arresta Internet Explorer e Lettore multimediale Windows dal caricamento di contenuti multimediali che utilizza il codec Indeo.
Perché questo aggiornamento non è associato a un bollettino sulla sicurezza?
Questo aggiornamento non è associato a un bollettino sulla sicurezza perché non corregge vulnerabilità specifiche, ma offre invece misure di prevenzione aggiuntive per la difesa avanzata per avvicinare i sistemi operativi meno recenti allo stesso livello di protezione della sicurezza di Windows Vista e Windows 7. I clienti devono applicare questo aggiornamento per attenuare la minaccia in scenari comuni e valutare la registrazione del codec Indeo per rimuovere l'accesso al codec in qualsiasi scenario.
Perché Microsoft non corregge vulnerabilità specifiche in questo aggiornamento?
Il codec Indeo è un codec meno recente noto per avere diverse vulnerabilità di sicurezza. Invece di correggere vulnerabilità specifiche, Microsoft sta creando modifiche approfondite alla difesa che riducono la superficie di attacco insieme per vulnerabilità note e vulnerabilità simili future.
Fattori di mitigazione
Microsoft non ha identificato alcun fattore di mitigazione per questa vulnerabilità.
Soluzioni alternative
La soluzione alternativa si riferisce a un'impostazione o a una modifica della configurazione che non corregge le vulnerabilità sottostanti, ma consente di bloccare i vettori di attacco noti. Microsoft ha testato le soluzioni alternative e gli stati seguenti nella discussione se una soluzione alternativa riduce le funzionalità:
Annullare la registrazione del codec Indeo
È possibile disabilitare questo codec deregistrando il codec. Per istruzioni su come annullare la registrazione del codec, vedere l'articolo della Microsoft Knowledge Base 954157.
Impatto della soluzione alternativa. La registrazione del codec Indeo impedirà a qualsiasi applicazione o contenuto multimediale di usare questo codec.
Come annullare la soluzione alternativa. Per informazioni su come annullare questa soluzione alternativa, vedere l'articolo della Microsoft Knowledge Base 954157 .
Azioni aggiuntive suggerite
Esaminare l'articolo della Microsoft Knowledge Base associato a questo avviso
Per altre informazioni su questo problema, vedere l'articolo della Microsoft Knowledge Base 954157.Mantenere Aggiornato Windows
Tutti gli utenti di Windows devono applicare gli aggiornamenti della sicurezza Microsoft più recenti per assicurarsi che i computer siano protetti il più possibile. Se non si è certi che il software sia aggiornato, visitare Windows Update, analizzare il computer per individuare gli aggiornamenti disponibili e installare eventuali aggiornamenti ad alta priorità offerti all'utente. Se è abilitato il Aggiornamenti automatico, gli aggiornamenti vengono recapitati quando vengono rilasciati, ma è necessario assicurarsi di installarli. Per altre informazioni sugli aggiornamenti della sicurezza, visitare Microsoft Security Central.
Altre informazioni
Riconoscimenti
Microsoft ringrazia quanto segue per collaborare a proteggere i clienti:
- Paul Byrne of NGS Software per segnalare le vulnerabilità nel codec Indeo
- Ricercatore anonimo, che lavora con TippingPoint e l'iniziativa Zero Day, per segnalare diverse vulnerabilità nel codec Indeo
- Bing Liu dei FortiGuard Labs di Fortinet per segnalare le vulnerabilità nel codec Indeo
- VeriSign iDefense Labs per segnalare le vulnerabilità nel codec Indeo
- Dave Lenoe di Adobe per segnalare le vulnerabilità nel codec Indeo
- Dormann di Cert/CC per segnalare le vulnerabilità nel codec Indeo
Feedback
- È possibile fornire commenti e suggerimenti completando il modulo Microsoft Help and Support (Guida e supporto tecnico Microsoft), Customer Service Contact Us (Contatta Microsoft).
Supporto tecnico
- I clienti del Stati Uniti e del Canada possono ricevere supporto tecnico dal supporto tecnico. Per altre informazioni sulle opzioni di supporto disponibili, vedere Guida e supporto tecnico Microsoft.
- I clienti internazionali possono ricevere supporto dalle filiali Microsoft locali. Per altre informazioni su come contattare Microsoft per problemi di supporto internazionale, visitare il supporto internazionale.
- Microsoft TechNet Security fornisce informazioni aggiuntive sulla sicurezza nei prodotti Microsoft.
Dichiarazione di non responsabilità
Le informazioni fornite in questo avviso vengono fornite "così com'è" senza garanzia di alcun tipo. Microsoft dichiara tutte le garanzie, espresse o implicite, incluse le garanzie di commerciabilità e idoneità per uno scopo specifico. In nessun caso, Microsoft Corporation o i suoi fornitori saranno responsabili di qualsiasi danno, incluso diretto, indiretto, accidentale, consequenziale, perdita di profitti aziendali o danni speciali, anche se Microsoft Corporation o i suoi fornitori sono stati informati della possibilità di tali danni. Alcuni stati non consentono l'esclusione o la limitazione della responsabilità per danni consequenziali o accidentali, pertanto la limitazione precedente potrebbe non essere applicata.
Revisioni
- V1.0 (8 dicembre 2009): Pubblicato avviso.
Costruito al 2014-04-18T13:49:36Z-07:00