Bollettino Microsoft sulla sicurezza MS08-070 - Critico

Per fattore attenuante si intende un'impostazione, una configurazione comune o una procedura consigliata generica esistente in uno stato predefinito in grado di ridurre la gravità nello sfruttamento di una vulnerabilità. I seguenti fattori attenuanti possono essere utili per l'utente:

• In uno scenario di attacco basato sul Web l'utente malintenzionato può pubblicare un sito Web contenente una pagina utilizzata per sfruttare la vulnerabilità. Inoltre, i siti Web manomessi e quelli che accettano o ospitano contenuti o annunci pubblicitari forniti dagli utenti potrebbero presentare contenuti appositamente predisposti per sfruttare questa vulnerabilità. In tutti questi casi, comunque, non è in alcun modo possibile obbligare gli utenti a visitare questi siti Web. L'utente malintenzionato dovrebbe invece convincere le vittime a visitare il sito Web, in genere inducendole a fare clic su un collegamento in un messaggio di posta elettronica o di messaggistica immediata che le indirizzi al sito.
• Per impostazione predefinita, Internet Explorer in Windows Server 2003 e Windows Server 2008 viene eseguito in una modalità limitata denominata Protezione avanzata. Il livello di protezione per l'area Internet viene così impostato su Alto. Questo è un fattore attenuante per i siti Web che non sono stati aggiunti all'area Siti attendibili di Internet Explorer. Vedere la sottosezione Domande frequenti nella sezione dedicata a questa vulnerabilità per ulteriori informazioni sulla Protezione avanzata di Internet Explorer.
• Sfruttando questa vulnerabilità, un utente malintenzionato può ottenere gli stessi diritti utente dell'utente locale. Gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.
• Per impostazione predefinita, tutte le versioni supportate di Microsoft Outlook e Microsoft Outlook Express aprono i messaggi di posta elettronica in formato HTML nell'area Siti con restrizioni. L'area Siti con restrizioni consente di ridurre gli attacchi volti a sfruttare questa vulnerabilità impedendo l'esecuzione di script attivi e l'utilizzo di controlli ActiveX durante la lettura di messaggi di posta elettronica in formato HTML. Se tuttavia si fa clic su un collegamento presente in un messaggio di posta elettronica, tale vulnerabilità potrebbe ancora sussistere con le modalità descritte nello scenario di attacco dal Web.

Per soluzione alternativa si intende un'impostazione o una modifica nella configurazione che non elimina la vulnerabilità sottostante, ma consente di bloccare gli attacchi noti prima di applicare l'aggiornamento. Microsoft ha verificato le seguenti soluzioni alternative e segnala nel corso della discussione se tali soluzioni riducono la funzionalità:

• Non consentire l'esecuzione del controllo ActiveX DataGrid in Internet Explorer

  È possibile disattivare i tentativi di creare un'istanza di un oggetto COM in Internet Explorer impostando il kill bit per il controllo nel Registro di sistema.

  Avvertenza L'utilizzo non corretto dell'Editor del Registro di sistema potrebbe causare problemi tali da rendere necessaria la reinstallazione del sistema operativo. Microsoft non garantisce la risoluzione di problemi dovuti a un utilizzo non corretto dell'Editor del Registro di sistema. È quindi necessario utilizzare questo strumento con grande attenzione.

  Per ulteriori informazioni su come impedire l'esecuzione di un controllo ActiveX in Internet Explorer, vedere l'articolo della Microsoft Knowledge Base 240797.

  Seguire la procedura descritta e creare un valore Compatibility Flags nel Registro di sistema in modo da impedire la creazione di un'istanza dell'oggetto COM in Internet Explorer.

  1. Sostituire {cde57a43-8b86-11d0-b3c6-00a0c90aea82} riportato di seguito con gli identificatori di classe reperibili in questa sezione.
  2. Per impostare il kill bit per il controllo CLSID con il valore {cde57a43-8b86-11d0-b3c6-00a0c90aea82}, incollare il seguente testo in un editor di testo come Blocco note. Successivamente, salvare il file utilizzando l'estensione di nome file reg.
     
     Editor del Registro di sistema di Windows versione 5.00
     [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{cde57a43-8b86-11d0-b3c6-00a0c90aea82}]
     "Compatibility Flags"=dword:00000400
  3. Questo file .reg può essere applicato a singoli sistemi facendo doppio clic su di esso. Inoltre, può essere applicato in domini diversi utilizzando i Criteri di gruppo.

  Per ulteriori informazioni sui Criteri di gruppo, visitare i seguenti siti Web Microsoft:

  • Insieme di Criteri di gruppo
  • Che cos'è un Editor oggetti Criteri di gruppo?
  • Strumenti e impostazioni principali di Criteri di gruppo

  Nota È necessario riavviare Internet Explorer per rendere operative queste modifiche.

  Effetto della soluzione alternativa. I siti Web che richiedono il controllo ActiveX DataGrid potrebbero non funzionare più correttamente.

  Per annullare il risultato della soluzione alternativa.

  incollare il seguente testo in un editor di testo come Blocco note. Successivamente, salvare il file utilizzando l'estensione di nome file reg.

  Editor del Registro di sistema di Windows versione 5.00
  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{cde57a43-8b86-11d0-b3c6-00a0c90aea82}]
  "Compatibility Flags"=-

  Questo file .reg può essere applicato a singoli sistemi facendo doppio clic su di esso. Inoltre, può essere applicato in domini diversi utilizzando i Criteri di gruppo. Per ulteriori informazioni sui Criteri di gruppo, visitare i seguenti siti Web Microsoft:

  • Insieme di Criteri di gruppo
  • Che cos'è un Editor oggetti Criteri di gruppo?
  • Strumenti e impostazioni principali di Criteri di gruppo

  Nota È necessario riavviare Internet Explorer per rendere operative queste modifiche.

Qual è la portata o l'impatto di questa vulnerabilità?  
Si tratta di una vulnerabilità legata all'esecuzione di codice in modalità remota. Sfruttando questa vulnerabilità, un utente malintenzionato potrebbe assumere il pieno controllo del sistema interessato. Potrebbe quindi installare programmi e visualizzare, modificare o eliminare dati oppure creare nuovi account con diritti utente completi. Gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.

Quali sono le cause di questa vulnerabilità?  
Quando il controllo ActiveX viene utilizzato in Internet Explorer, può danneggiare lo stato del sistema in modo tale da consentire a un utente malintenzionato di eseguire codice non autorizzato.

A quali attacchi viene esposto il sistema a causa di questa vulnerabilità?  
Se un utente è connesso con privilegi di amministrazione, un utente malintenzionato può assumere il controllo completo del sistema interessato. Potrebbe quindi installare programmi e visualizzare, modificare o eliminare dati oppure creare nuovi account con diritti utente completi. Gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.

In quale modo un utente malintenzionato può sfruttare questa vulnerabilità?  
Un utente malintenzionato può sfruttare la vulnerabilità pubblicando un sito Web appositamente progettato per richiamare il controllo ActiveX tramite Internet Explorer. Ciò può comprendere anche siti Web manomessi e siti Web che accettano o ospitano contenuti o pubblicità forniti dagli utenti. Questi siti Web possono includere contenuti appositamente predisposti in grado di sfruttare questa vulnerabilità. In tutti questi casi, comunque, non è in alcun modo possibile obbligare gli utenti a visitare questi siti Web. L'utente malintenzionato dovrebbe invece convincere le vittime a visitare il sito Web, in genere inducendole a fare clic su un collegamento in un messaggio di posta elettronica o di Instant Messenger che le indirizzi al sito. Potrebbe inoltre far visualizzare contenuti Web appositamente predisposti utilizzando banner pubblicitari o altre modalità di invio di contenuti Web ai sistemi interessati.

Quali sono i sistemi principalmente interessati da questa vulnerabilità?  
Questa vulnerabilità può essere sfruttata per l'esecuzione di azioni dannose solo se un utente è connesso al sistema e visita un sito Web. Pertanto, i sistemi maggiormente a rischio sono quelli in cui Internet Explorer viene utilizzato frequentemente, come le workstation o i server terminal. I server potrebbero essere maggiormente a rischio se gli amministratori consentono agli utenti di accedere ai server ed eseguire programmi. Tuttavia, le procedure consigliate scoraggiano fortemente questa attribuzione di privilegi.

Se si utilizza Internet Explorer per Windows Server 2003 o per Windows Server 2008, il problema ha una portata più limitata?
Sì. Per impostazione predefinita, Internet Explorer in Windows Server 2003 e Windows Server 2008 viene eseguito in una modalità limitata denominata Protezione avanzata. La configurazione Protezione avanzata è costituita da un gruppo di impostazioni di Internet Explorer preconfigurate che riduce la probabilità che un utente o un amministratore scarichi ed esegua contenuto Web appositamente predisposto in un server. Questo è un fattore attenuante per i siti Web che non sono stati aggiunti all'area Siti attendibili di Internet Explorer. Consultare anche il documento relativo alla gestione della Protezione avanzata di Internet Explorer.

Che cos'è la funzione ActiveX con consenso esplicito in Windows Internet Explorer 7?  
Windows Internet Explorer 7 comprende una funzione ActiveX con consenso esplicito in base alla quale quasi tutti i controlli ActiveX preinstallati sono disattivati per impostazione predefinita. Nella Barra informazioni viene richiesta la conferma agli utenti prima che questi possano creare un'istanza di un controllo ActiveX precedentemente installato e non ancora utilizzato in Internet. In questo modo, l'utente può consentire o negare l'accesso valutando singolarmente i controlli. Per ulteriori informazioni relative a questa e ad altre nuove funzioni, vedere la pagina delle funzioni di Windows Internet Explorer 7.

Quali sono gli scopi dell'aggiornamento?  
L'aggiornamento risolve la vulnerabilità gestendo gli errori causati da una errata inizializzazione degli oggetti all'interno del controllo ActiveX.

Al momento del rilascio di questo bollettino le informazioni sulla vulnerabilità erano disponibili pubblicamente?  
No. Microsoft ha ricevuto informazioni sulla vulnerabilità da fonti private. Secondo le informazioni in possesso di Microsoft, al momento della pubblicazione del presente bollettino l'esistenza di questa vulnerabilità non era stata ancora divulgata pubblicamente.

Al momento del rilascio di questo bollettino erano già stati segnalati attacchi basati sullo sfruttamento di questa vulnerabilità?  
No. Al momento della pubblicazione del presente bollettino, Microsoft non aveva ricevuto alcuna segnalazione in merito allo sfruttamento di questa vulnerabilità a scopo di attacco, né dell'esistenza di un codice di prova pubblicato.

Per fattore attenuante si intende un'impostazione, una configurazione comune o una procedura consigliata generica esistente in uno stato predefinito in grado di ridurre la gravità nello sfruttamento di una vulnerabilità. I seguenti fattori attenuanti possono essere utili per l'utente:

• In uno scenario di attacco basato sul Web l'utente malintenzionato può pubblicare un sito Web contenente una pagina utilizzata per sfruttare la vulnerabilità. Inoltre, i siti Web manomessi e quelli che accettano o ospitano contenuti o annunci pubblicitari forniti dagli utenti potrebbero presentare contenuti appositamente predisposti per sfruttare questa vulnerabilità. In tutti questi casi, comunque, non è in alcun modo possibile obbligare gli utenti a visitare questi siti Web. L'utente malintenzionato dovrebbe invece convincere le vittime a visitare il sito Web, in genere inducendole a fare clic su un collegamento in un messaggio di posta elettronica o di messaggistica immediata che le indirizzi al sito.
• Per impostazione predefinita, Internet Explorer in Windows Server 2003 e Windows Server 2008 viene eseguito in una modalità limitata denominata Protezione avanzata. Il livello di protezione per l'area Internet viene così impostato su Alto. Questo è un fattore attenuante per i siti Web che non sono stati aggiunti all'area Siti attendibili di Internet Explorer. Vedere la sottosezione Domande frequenti nella sezione dedicata a questa vulnerabilità per ulteriori informazioni sulla Protezione avanzata di Internet Explorer.
• Sfruttando questa vulnerabilità, un utente malintenzionato può ottenere gli stessi diritti utente dell'utente locale. Gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.
• Per impostazione predefinita, tutte le versioni supportate di Microsoft Outlook e Microsoft Outlook Express aprono i messaggi di posta elettronica in formato HTML nell'area Siti con restrizioni. L'area Siti con restrizioni consente di ridurre gli attacchi volti a sfruttare questa vulnerabilità impedendo l'esecuzione di script attivi e l'utilizzo di controlli ActiveX durante la lettura di messaggi di posta elettronica in formato HTML. Se tuttavia si fa clic su un collegamento presente in un messaggio di posta elettronica, tale vulnerabilità potrebbe ancora sussistere con le modalità descritte nello scenario di attacco dal Web.

Per soluzione alternativa si intende un'impostazione o una modifica nella configurazione che non elimina la vulnerabilità sottostante, ma consente di bloccare gli attacchi noti prima di applicare l'aggiornamento. Microsoft ha verificato le seguenti soluzioni alternative e segnala nel corso della discussione se tali soluzioni riducono la funzionalità:

• Non consentire l'esecuzione del controllo ActiveX FlexGrid in Internet Explorer

  È possibile disattivare i tentativi di creare un'istanza di un oggetto COM in Internet Explorer impostando il kill bit per il controllo nel Registro di sistema.

  Avvertenza L'utilizzo non corretto dell'Editor del Registro di sistema potrebbe causare problemi tali da rendere necessaria la reinstallazione del sistema operativo. Microsoft non garantisce la risoluzione di problemi dovuti a un utilizzo non corretto dell'Editor del Registro di sistema. È quindi necessario utilizzare questo strumento con grande attenzione.

  Per ulteriori informazioni su come impedire l'esecuzione di un controllo ActiveX in Internet Explorer, vedere l'articolo della Microsoft Knowledge Base 240797.

  Seguire la procedura descritta e creare un valore Compatibility Flags nel Registro di sistema in modo da impedire la creazione di un'istanza dell'oggetto COM in Internet Explorer.

  1. Sostituire {6262d3a0-531b-11cf-91f6-c2863c385e30} riportato di seguito con gli identificatori di classe reperibili in questa sezione.
  2. Per impostare il kill bit per il controllo CLSID con il valore {6262d3a0-531b-11cf-91f6-c2863c385e30}, incollare il seguente testo in un editor di testo come Blocco note. Successivamente, salvare il file utilizzando l'estensione di nome file reg.
     
     Editor del Registro di sistema di Windows versione 5.00
     [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{6262d3a0-531b-11cf-91f6-c2863c385e30}]
     "Compatibility Flags"=dword:00000400
  3. Questo file .reg può essere applicato a singoli sistemi facendo doppio clic su di esso. Inoltre, può essere applicato in domini diversi utilizzando i Criteri di gruppo.

  Per ulteriori informazioni sui Criteri di gruppo, visitare i seguenti siti Web Microsoft:

  • Insieme di Criteri di gruppo
  • Che cos'è un Editor oggetti Criteri di gruppo?
  • Strumenti e impostazioni principali di Criteri di gruppo

  Nota È necessario riavviare Internet Explorer per rendere operative queste modifiche.

  Effetto della soluzione alternativa. I siti Web che richiedono il controllo ActiveX FlexGrid potrebbero non funzionare più correttamente.

  Per annullare il risultato della soluzione alternativa.

  incollare il seguente testo in un editor di testo come Blocco note. Successivamente, salvare il file utilizzando l'estensione di nome file reg.

  Editor del Registro di sistema di Windows versione 5.00
  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{6262d3a0-531b-11cf-91f6-c2863c385e30}]
  "Compatibility Flags"=-

  Questo file .reg può essere applicato a singoli sistemi facendo doppio clic su di esso. Inoltre, può essere applicato in domini diversi utilizzando i Criteri di gruppo. Per ulteriori informazioni sui Criteri di gruppo, visitare i seguenti siti Web Microsoft:

  • Insieme di Criteri di gruppo
  • Che cos'è un Editor oggetti Criteri di gruppo?
  • Strumenti e impostazioni principali di Criteri di gruppo

  Nota È necessario riavviare Internet Explorer per rendere operative queste modifiche.

Qual è la portata o l'impatto di questa vulnerabilità?  
Si tratta di una vulnerabilità legata all'esecuzione di codice in modalità remota. Sfruttando questa vulnerabilità, un utente malintenzionato potrebbe assumere il pieno controllo del sistema interessato. Potrebbe quindi installare programmi e visualizzare, modificare o eliminare dati oppure creare nuovi account con diritti utente completi. Gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.

Quali sono le cause di questa vulnerabilità?  
Quando il controllo ActiveX viene utilizzato in Internet Explorer, può danneggiare lo stato del sistema in modo tale da consentire a un utente malintenzionato di eseguire codice non autorizzato.

A quali attacchi viene esposto il sistema a causa di questa vulnerabilità?  
Se un utente è connesso con privilegi di amministrazione, un utente malintenzionato può assumere il controllo completo del sistema interessato. Potrebbe quindi installare programmi e visualizzare, modificare o eliminare dati oppure creare nuovi account con diritti utente completi. Gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.

In quale modo un utente malintenzionato può sfruttare questa vulnerabilità?  
Un utente malintenzionato può sfruttare la vulnerabilità pubblicando un sito Web appositamente progettato per richiamare il controllo ActiveX tramite Internet Explorer. Ciò può comprendere anche siti Web manomessi e siti Web che accettano o ospitano contenuti o pubblicità forniti dagli utenti. Questi siti Web possono includere contenuti appositamente predisposti in grado di sfruttare questa vulnerabilità. In tutti questi casi, comunque, non è in alcun modo possibile obbligare gli utenti a visitare questi siti Web. L'utente malintenzionato dovrebbe invece convincere le vittime a visitare il sito Web, in genere inducendole a fare clic su un collegamento in un messaggio di posta elettronica o di Instant Messenger che le indirizzi al sito. Potrebbe inoltre far visualizzare contenuti Web appositamente predisposti utilizzando banner pubblicitari o altre modalità di invio di contenuti Web ai sistemi interessati.

Quali sono i sistemi principalmente interessati da questa vulnerabilità?  
Questa vulnerabilità può essere sfruttata per l'esecuzione di azioni dannose solo se un utente è connesso al sistema e visita un sito Web. Pertanto, i sistemi maggiormente a rischio sono quelli in cui Internet Explorer viene utilizzato frequentemente, come le workstation o i server terminal. I server potrebbero essere maggiormente a rischio se gli amministratori consentono agli utenti di accedere ai server ed eseguire programmi. Tuttavia, le procedure consigliate scoraggiano fortemente questa attribuzione di privilegi.

Se si utilizza Internet Explorer per Windows Server 2003 o per Windows Server 2008, il problema ha una portata più limitata?
Sì. Per impostazione predefinita, Internet Explorer in Windows Server 2003 e Windows Server 2008 viene eseguito in una modalità limitata denominata Protezione avanzata. La configurazione Protezione avanzata è costituita da un gruppo di impostazioni di Internet Explorer preconfigurate che riduce la probabilità che un utente o un amministratore scarichi ed esegua contenuto Web appositamente predisposto in un server. Questo è un fattore attenuante per i siti Web che non sono stati aggiunti all'area Siti attendibili di Internet Explorer. Consultare anche il documento relativo alla gestione della Protezione avanzata di Internet Explorer.

Che cos'è la funzione ActiveX con consenso esplicito in Windows Internet Explorer 7?  
Windows Internet Explorer 7 comprende una funzione ActiveX con consenso esplicito in base alla quale quasi tutti i controlli ActiveX preinstallati sono disattivati per impostazione predefinita. Nella Barra informazioni viene richiesta la conferma agli utenti prima che questi possano creare un'istanza di un controllo ActiveX precedentemente installato e non ancora utilizzato in Internet. In questo modo, l'utente può consentire o negare l'accesso valutando singolarmente i controlli. Per ulteriori informazioni relative a questa e ad altre nuove funzioni, vedere la pagina delle funzioni di Windows Internet Explorer 7.

Quali sono gli scopi dell'aggiornamento?  
L'aggiornamento risolve la vulnerabilità gestendo gli errori causati da una errata inizializzazione degli oggetti all'interno del controllo ActiveX.

Al momento del rilascio di questo bollettino le informazioni sulla vulnerabilità erano disponibili pubblicamente?  
No. Microsoft ha ricevuto informazioni sulla vulnerabilità da fonti private. Secondo le informazioni in possesso di Microsoft, al momento della pubblicazione del presente bollettino l'esistenza di questa vulnerabilità non era stata ancora divulgata pubblicamente.

Al momento del rilascio di questo bollettino erano già stati segnalati attacchi basati sullo sfruttamento di questa vulnerabilità?  
No. Al momento della pubblicazione del presente bollettino, Microsoft non aveva ricevuto alcuna segnalazione in merito allo sfruttamento di questa vulnerabilità a scopo di attacco, né dell'esistenza di un codice di prova pubblicato.

Per fattore attenuante si intende un'impostazione, una configurazione comune o una procedura consigliata generica esistente in uno stato predefinito in grado di ridurre la gravità nello sfruttamento di una vulnerabilità. I seguenti fattori attenuanti possono essere utili per l'utente:

• In uno scenario di attacco basato sul Web l'utente malintenzionato può pubblicare un sito Web contenente una pagina utilizzata per sfruttare la vulnerabilità. Inoltre, i siti Web manomessi e quelli che accettano o ospitano contenuti o annunci pubblicitari forniti dagli utenti potrebbero presentare contenuti appositamente predisposti per sfruttare questa vulnerabilità. In tutti questi casi, comunque, non è in alcun modo possibile obbligare gli utenti a visitare questi siti Web. L'utente malintenzionato dovrebbe invece convincere le vittime a visitare il sito Web, in genere inducendole a fare clic su un collegamento in un messaggio di posta elettronica o di messaggistica immediata che le indirizzi al sito.
• Per impostazione predefinita, Internet Explorer in Windows Server 2003 e Windows Server 2008 viene eseguito in una modalità limitata denominata Protezione avanzata. Il livello di protezione per l'area Internet viene così impostato su Alto. Questo è un fattore attenuante per i siti Web che non sono stati aggiunti all'area Siti attendibili di Internet Explorer. Vedere la sottosezione Domande frequenti nella sezione dedicata a questa vulnerabilità per ulteriori informazioni sulla Protezione avanzata di Internet Explorer.
• Sfruttando questa vulnerabilità, un utente malintenzionato può ottenere gli stessi diritti utente dell'utente locale. Gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.
• Per impostazione predefinita, tutte le versioni supportate di Microsoft Outlook e Microsoft Outlook Express aprono i messaggi di posta elettronica in formato HTML nell'area Siti con restrizioni. L'area Siti con restrizioni consente di ridurre gli attacchi volti a sfruttare questa vulnerabilità impedendo l'esecuzione di script attivi e l'utilizzo di controlli ActiveX durante la lettura di messaggi di posta elettronica in formato HTML. Se tuttavia si fa clic su un collegamento presente in un messaggio di posta elettronica, tale vulnerabilità potrebbe ancora sussistere con le modalità descritte nello scenario di attacco dal Web.

Per soluzione alternativa si intende un'impostazione o una modifica nella configurazione che non elimina la vulnerabilità sottostante, ma consente di bloccare gli attacchi noti prima di applicare l'aggiornamento. Microsoft ha verificato le seguenti soluzioni alternative e segnala nel corso della discussione se tali soluzioni riducono la funzionalità:

• Non consentire l'esecuzione del controllo ActiveX FlexGrid gerarchico in Internet Explorer

  È possibile disattivare i tentativi di creare un'istanza di un oggetto COM in Internet Explorer impostando il kill bit per il controllo nel Registro di sistema.

  Avvertenza L'utilizzo non corretto dell'Editor del Registro di sistema potrebbe causare problemi tali da rendere necessaria la reinstallazione del sistema operativo. Microsoft non garantisce la risoluzione di problemi dovuti a un utilizzo non corretto dell'Editor del Registro di sistema. È quindi necessario utilizzare questo strumento con grande attenzione.

  Per ulteriori informazioni su come impedire l'esecuzione di un controllo ActiveX in Internet Explorer, vedere l'articolo della Microsoft Knowledge Base 240797.

  Seguire la procedura descritta e creare un valore Compatibility Flags nel Registro di sistema in modo da impedire la creazione di un'istanza dell'oggetto COM in Internet Explorer.

  1. Sostituire {0ECD9B64-23AA-11d0-B351-00A0C9055D8E} riportato di seguito con gli identificatori di classe reperibili in questa sezione.
  2. Per impostare il kill bit per il controllo CLSID con il valore {0ECD9B64-23AA-11d0-B351-00A0C9055D8E}, incollare il seguente testo in un editor di testo come Blocco note. Successivamente, salvare il file utilizzando l'estensione di nome file reg.
     
     Editor del Registro di sistema di Windows versione 5.00
     [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{0ECD9B64-23AA-11d0-B351-00A0C9055D8E}]
     "Compatibility Flags"=dword:00000400
  3. Questo file .reg può essere applicato a singoli sistemi facendo doppio clic su di esso. Inoltre, può essere applicato in domini diversi utilizzando i Criteri di gruppo.

  Per ulteriori informazioni sui Criteri di gruppo, visitare i seguenti siti Web Microsoft:

  • Insieme di Criteri di gruppo
  • Che cos'è un Editor oggetti Criteri di gruppo?
  • Strumenti e impostazioni principali di Criteri di gruppo

  Nota È necessario riavviare Internet Explorer per rendere operative queste modifiche.

  Effetto della soluzione alternativa. I siti Web che richiedono il controllo ActiveX FlexGrid gerarchico potrebbero non funzionare più correttamente.

  Per annullare il risultato della soluzione alternativa.

  incollare il seguente testo in un editor di testo come Blocco note. Successivamente, salvare il file utilizzando l'estensione di nome file reg.

  Editor del Registro di sistema di Windows versione 5.00
  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{0ECD9B64-23AA-11d0-B351-00A0C9055D8E}]
  "Compatibility Flags"=-

  Questo file .reg può essere applicato a singoli sistemi facendo doppio clic su di esso. Inoltre, può essere applicato in domini diversi utilizzando i Criteri di gruppo. Per ulteriori informazioni sui Criteri di gruppo, visitare i seguenti siti Web Microsoft:

  • Insieme di Criteri di gruppo
  • Che cos'è un Editor oggetti Criteri di gruppo?
  • Strumenti e impostazioni principali di Criteri di gruppo

    Nota È necessario riavviare Internet Explorer per rendere operative queste modifiche.

Qual è la portata o l'impatto di questa vulnerabilità?  
Si tratta di una vulnerabilità legata all'esecuzione di codice in modalità remota. Sfruttando questa vulnerabilità, un utente malintenzionato potrebbe assumere il pieno controllo del sistema interessato. Potrebbe quindi installare programmi e visualizzare, modificare o eliminare dati oppure creare nuovi account con diritti utente completi. Gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.

Quali sono le cause di questa vulnerabilità?  
Quando il controllo ActiveX viene utilizzato in Internet Explorer, può danneggiare lo stato del sistema in modo tale da consentire a un utente malintenzionato di eseguire codice non autorizzato.

A quali attacchi viene esposto il sistema a causa di questa vulnerabilità?  
Se un utente è connesso con privilegi di amministrazione, un utente malintenzionato può assumere il controllo completo del sistema interessato. Potrebbe quindi installare programmi e visualizzare, modificare o eliminare dati oppure creare nuovi account con diritti utente completi. Gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.

In quale modo un utente malintenzionato può sfruttare questa vulnerabilità?  
Un utente malintenzionato può sfruttare la vulnerabilità pubblicando un sito Web appositamente progettato per richiamare il controllo ActiveX tramite Internet Explorer. Ciò può comprendere anche siti Web manomessi e siti Web che accettano o ospitano contenuti o pubblicità forniti dagli utenti. Questi siti Web possono includere contenuti appositamente predisposti in grado di sfruttare questa vulnerabilità. In tutti questi casi, comunque, non è in alcun modo possibile obbligare gli utenti a visitare questi siti Web. L'utente malintenzionato dovrebbe invece convincere le vittime a visitare il sito Web, in genere inducendole a fare clic su un collegamento in un messaggio di posta elettronica o di Instant Messenger che le indirizzi al sito. Potrebbe inoltre far visualizzare contenuti Web appositamente predisposti utilizzando banner pubblicitari o altre modalità di invio di contenuti Web ai sistemi interessati.

Quali sono i sistemi principalmente interessati da questa vulnerabilità?  
Questa vulnerabilità può essere sfruttata per l'esecuzione di azioni dannose solo se un utente è connesso al sistema e visita un sito Web. Pertanto, i sistemi maggiormente a rischio sono quelli in cui Internet Explorer viene utilizzato frequentemente, come le workstation o i server terminal. I server potrebbero essere maggiormente a rischio se gli amministratori consentono agli utenti di accedere ai server ed eseguire programmi. Tuttavia, le procedure consigliate scoraggiano fortemente questa attribuzione di privilegi.

Se si utilizza Internet Explorer per Windows Server 2003 o per Windows Server 2008, il problema ha una portata più limitata?
Sì. Per impostazione predefinita, Internet Explorer in Windows Server 2003 e Windows Server 2008 viene eseguito in una modalità limitata denominata Protezione avanzata. La configurazione Protezione avanzata è costituita da un gruppo di impostazioni di Internet Explorer preconfigurate che riduce la probabilità che un utente o un amministratore scarichi ed esegua contenuto Web appositamente predisposto in un server. Questo è un fattore attenuante per i siti Web che non sono stati aggiunti all'area Siti attendibili di Internet Explorer. Consultare anche il documento relativo alla gestione della Protezione avanzata di Internet Explorer.

Che cos'è la funzione ActiveX con consenso esplicito in Windows Internet Explorer 7?  
Windows Internet Explorer 7 comprende una funzione ActiveX con consenso esplicito in base alla quale quasi tutti i controlli ActiveX preinstallati sono disattivati per impostazione predefinita. Nella Barra informazioni viene richiesta la conferma agli utenti prima che questi possano creare un'istanza di un controllo ActiveX precedentemente installato e non ancora utilizzato in Internet. In questo modo, l'utente può consentire o negare l'accesso valutando singolarmente i controlli. Per ulteriori informazioni relative a questa e ad altre nuove funzioni, vedere la pagina delle funzioni di Windows Internet Explorer 7.

Quali sono gli scopi dell'aggiornamento?  
L'aggiornamento risolve la vulnerabilità gestendo gli errori causati da una errata inizializzazione degli oggetti all'interno del controllo ActiveX.

Al momento del rilascio di questo bollettino le informazioni sulla vulnerabilità erano disponibili pubblicamente?  
No. Microsoft ha ricevuto informazioni sulla vulnerabilità da fonti private. Secondo le informazioni in possesso di Microsoft, al momento della pubblicazione del presente bollettino l'esistenza di questa vulnerabilità non era stata ancora divulgata pubblicamente.

Al momento del rilascio di questo bollettino erano già stati segnalati attacchi basati sullo sfruttamento di questa vulnerabilità?  
No. Al momento della pubblicazione del presente bollettino, Microsoft non aveva ricevuto alcuna segnalazione in merito allo sfruttamento di questa vulnerabilità a scopo di attacco, né dell'esistenza di un codice di prova pubblicato.

Per fattore attenuante si intende un'impostazione, una configurazione comune o una procedura consigliata generica esistente in uno stato predefinito in grado di ridurre la gravità nello sfruttamento di una vulnerabilità. I seguenti fattori attenuanti possono essere utili per l'utente:

• In uno scenario di attacco basato sul Web l'utente malintenzionato può pubblicare un sito Web contenente una pagina utilizzata per sfruttare la vulnerabilità. Inoltre, i siti Web manomessi e quelli che accettano o ospitano contenuti o annunci pubblicitari forniti dagli utenti potrebbero presentare contenuti appositamente predisposti per sfruttare questa vulnerabilità. In tutti questi casi, comunque, non è in alcun modo possibile obbligare gli utenti a visitare questi siti Web. L'utente malintenzionato dovrebbe invece convincere le vittime a visitare il sito Web, in genere inducendole a fare clic su un collegamento in un messaggio di posta elettronica o di messaggistica immediata che le indirizzi al sito.
• Per impostazione predefinita, Internet Explorer in Windows Server 2003 e Windows Server 2008 viene eseguito in una modalità limitata denominata Protezione avanzata. Il livello di protezione per l'area Internet viene così impostato su Alto. Questo è un fattore attenuante per i siti Web che non sono stati aggiunti all'area Siti attendibili di Internet Explorer. Vedere la sottosezione Domande frequenti nella sezione dedicata a questa vulnerabilità per ulteriori informazioni sulla Protezione avanzata di Internet Explorer.
• Sfruttando questa vulnerabilità, un utente malintenzionato può ottenere gli stessi diritti utente dell'utente locale. Gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.
• Per impostazione predefinita, tutte le versioni supportate di Microsoft Outlook e Microsoft Outlook Express aprono i messaggi di posta elettronica in formato HTML nell'area Siti con restrizioni. L'area Siti con restrizioni consente di ridurre gli attacchi volti a sfruttare questa vulnerabilità impedendo l'esecuzione di script attivi e l'utilizzo di controlli ActiveX durante la lettura di messaggi di posta elettronica in formato HTML. Se tuttavia si fa clic su un collegamento presente in un messaggio di posta elettronica, tale vulnerabilità potrebbe ancora sussistere con le modalità descritte nello scenario di attacco dal Web.

Per soluzione alternativa si intende un'impostazione o una modifica nella configurazione che non elimina la vulnerabilità sottostante, ma consente di bloccare gli attacchi noti prima di applicare l'aggiornamento. Microsoft ha verificato le seguenti soluzioni alternative e segnala nel corso della discussione se tali soluzioni riducono la funzionalità:

• Non consentire l'esecuzione del controllo ActiveX AVI comune di Windows in Internet Explorer

  È possibile disattivare i tentativi di creare un'istanza di un oggetto COM in Internet Explorer impostando il kill bit per il controllo nel Registro di sistema. Per ulteriori informazioni su come evitare l'esecuzione di un controllo in Internet Explorer, vedere l'articolo della Microsoft Knowledge Base 240797. In questo articolo viene anche illustrato come creare un valore Compatibility Flags nel Registro di sistema in modo da impedire la creazione di un'istanza dell'oggetto COM in Internet Explorer.

  Avvertenza L'utilizzo non corretto dell'Editor del Registro di sistema potrebbe causare problemi tali da rendere necessaria la reinstallazione del sistema operativo. Microsoft non garantisce la risoluzione di problemi dovuti a un utilizzo non corretto dell'Editor del Registro di sistema. È quindi necessario utilizzare questo strumento con grande attenzione.

  Per non consentire l'esecuzione del controllo ActiveX AVI comune di Windows in Internet Explorer, attenersi alla seguente procedura per impostare i kill bit per il controllo nel Registro di sistema:

  incollare il seguente testo in un editor di testo come Blocco note. Successivamente, salvare il file utilizzando l'estensione di nome file reg.

  Editor del Registro di sistema di Windows versione 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{B09DE715-87C1-11d1-8BE3-0000F8754DA1}]
"Compatibility Flags"=dword:00000400

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{1E216240-1B7D-11CF-9D53-00AA003C9CB6}]
"Compatibility Flags"=dword:00000400

  Applicare questo file .reg ai singoli sistemi facendo doppio clic su di esso.

  Inoltre, può essere applicato in domini diversi utilizzando i Criteri di gruppo. Per ulteriori informazioni sui Criteri di gruppo, visitare i seguenti siti Web Microsoft:

  • Insieme di Criteri di gruppo
  • Che cos'è un Editor oggetti Criteri di gruppo?
  • Strumenti e impostazioni principali di Criteri di gruppo

  Nota È necessario riavviare Internet Explorer per rendere operative queste modifiche.

  Effetto della soluzione alternativa. I siti Web che richiedono il controllo ActiveX AVI comune di Windows potrebbero non funzionare più correttamente.

  Per annullare il risultato della soluzione alternativa.

  incollare il seguente testo in un editor di testo come Blocco note. Successivamente, salvare il file utilizzando l'estensione di nome file reg.

  Editor del Registro di sistema di Windows versione 5.00
  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{B09DE715-87C1-11d1-8BE3-0000F8754DA1}]
  "Compatibility Flags"=-
  
  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{1E216240-1B7D-11CF-9D53-00AA003C9CB6}]
  "Compatibility Flags"=-

  Questo file .reg può essere applicato a singoli sistemi facendo doppio clic su di esso. Inoltre, può essere applicato in domini diversi utilizzando i Criteri di gruppo. Per ulteriori informazioni sui Criteri di gruppo, visitare i seguenti siti Web Microsoft:

  • Insieme di Criteri di gruppo
  • Che cos'è un Editor oggetti Criteri di gruppo?
  • Strumenti e impostazioni principali di Criteri di gruppo

    Nota È necessario riavviare Internet Explorer per rendere operative queste modifiche.

Qual è la portata o l'impatto di questa vulnerabilità?  
Si tratta di una vulnerabilità legata all'esecuzione di codice in modalità remota. Sfruttando questa vulnerabilità, un utente malintenzionato potrebbe assumere il pieno controllo del sistema interessato. Potrebbe quindi installare programmi e visualizzare, modificare o eliminare dati oppure creare nuovi account con diritti utente completi. Gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.

Quali sono le cause di questa vulnerabilità?  
La vulnerabilità è causata da un errore di assegnazione che si verifica durante l'analisi di un file AVI appositamente predisposto. L'errore potrebbe danneggiare la memoria di sistema consentendo a un utente malintenzionato di eseguire codice non autorizzato.

A quali attacchi viene esposto il sistema a causa di questa vulnerabilità?  
Se un utente è connesso con privilegi di amministrazione, un utente malintenzionato può assumere il controllo completo del sistema interessato. Potrebbe quindi installare programmi e visualizzare, modificare o eliminare dati oppure creare nuovi account con diritti utente completi. Gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.

In quale modo un utente malintenzionato può sfruttare questa vulnerabilità?  
Un utente malintenzionato può sfruttare la vulnerabilità pubblicando un sito Web appositamente progettato per richiamare il controllo ActiveX tramite Internet Explorer. Ciò può comprendere anche siti Web manomessi e siti Web che accettano o ospitano contenuti o pubblicità forniti dagli utenti. Questi siti Web possono includere contenuti appositamente predisposti in grado di sfruttare questa vulnerabilità. In tutti questi casi, comunque, non è in alcun modo possibile obbligare gli utenti a visitare questi siti Web. L'utente malintenzionato dovrebbe invece convincere le vittime a visitare il sito Web, in genere inducendole a fare clic su un collegamento in un messaggio di posta elettronica o di Instant Messenger che le indirizzi al sito. Potrebbe inoltre far visualizzare contenuti Web appositamente predisposti utilizzando banner pubblicitari o altre modalità di invio di contenuti Web ai sistemi interessati.

Quali sono i sistemi principalmente interessati da questa vulnerabilità?  
Questa vulnerabilità può essere sfruttata per l'esecuzione di azioni dannose solo se un utente è connesso al sistema e visita un sito Web. Pertanto, i sistemi maggiormente a rischio sono quelli in cui Internet Explorer viene utilizzato frequentemente, come le workstation o i server terminal. I server potrebbero essere maggiormente a rischio se gli amministratori consentono agli utenti di accedere ai server ed eseguire programmi. Tuttavia, le procedure consigliate scoraggiano fortemente questa attribuzione di privilegi.

Se si utilizza Internet Explorer per Windows Server 2003 o per Windows Server 2008, il problema ha una portata più limitata?
Sì. Per impostazione predefinita, Internet Explorer in Windows Server 2003 e Windows Server 2008 viene eseguito in una modalità limitata denominata Protezione avanzata. La configurazione Protezione avanzata è costituita da un gruppo di impostazioni di Internet Explorer preconfigurate che riduce la probabilità che un utente o un amministratore scarichi ed esegua contenuto Web appositamente predisposto in un server. Questo è un fattore attenuante per i siti Web che non sono stati aggiunti all'area Siti attendibili di Internet Explorer. Consultare anche il documento relativo alla gestione della Protezione avanzata di Internet Explorer.

Che cos'è la funzione ActiveX con consenso esplicito in Windows Internet Explorer 7?  
Windows Internet Explorer 7 comprende una funzione ActiveX con consenso esplicito in base alla quale quasi tutti i controlli ActiveX preinstallati sono disattivati per impostazione predefinita. Nella Barra informazioni viene richiesta la conferma agli utenti prima che questi possano creare un'istanza di un controllo ActiveX precedentemente installato e non ancora utilizzato in Internet. In questo modo, l'utente può consentire o negare l'accesso valutando singolarmente i controlli. Per ulteriori informazioni relative a questa e ad altre nuove funzioni, vedere la pagina delle funzioni di Windows Internet Explorer 7.

Quali sono gli scopi dell'aggiornamento?  
L'aggiornamento risolve la vulnerabilità convalidando le lunghezze di flusso dei file AVI analizzati dal controllo ActiveX.

Al momento del rilascio di questo bollettino le informazioni sulla vulnerabilità erano disponibili pubblicamente?  
No. Microsoft ha ricevuto informazioni sulla vulnerabilità da fonti private. Secondo le informazioni in possesso di Microsoft, al momento della pubblicazione del presente bollettino l'esistenza di questa vulnerabilità non era stata ancora divulgata pubblicamente.

Al momento del rilascio di questo bollettino erano già stati segnalati attacchi basati sullo sfruttamento di questa vulnerabilità?  
No. Al momento della pubblicazione del presente bollettino, Microsoft non aveva ricevuto alcuna segnalazione in merito allo sfruttamento di questa vulnerabilità a scopo di attacco, né dell'esistenza di un codice di prova pubblicato.

Per fattore attenuante si intende un'impostazione, una configurazione comune o una procedura consigliata generica esistente in uno stato predefinito in grado di ridurre la gravità nello sfruttamento di una vulnerabilità. I seguenti fattori attenuanti possono essere utili per l'utente:

• In uno scenario di attacco basato sul Web l'utente malintenzionato può pubblicare un sito Web contenente una pagina utilizzata per sfruttare la vulnerabilità. Inoltre, i siti Web manomessi e quelli che accettano o ospitano contenuti o annunci pubblicitari forniti dagli utenti potrebbero presentare contenuti appositamente predisposti per sfruttare questa vulnerabilità. In tutti questi casi, comunque, non è in alcun modo possibile obbligare gli utenti a visitare questi siti Web. L'utente malintenzionato dovrebbe invece convincere le vittime a visitare il sito Web, in genere inducendole a fare clic su un collegamento in un messaggio di posta elettronica o di messaggistica immediata che le indirizzi al sito.
• Per impostazione predefinita, Internet Explorer in Windows Server 2003 e Windows Server 2008 viene eseguito in una modalità limitata denominata Protezione avanzata. Il livello di protezione per l'area Internet viene così impostato su Alto. Questo è un fattore attenuante per i siti Web che non sono stati aggiunti all'area Siti attendibili di Internet Explorer. Vedere la sottosezione Domande frequenti nella sezione dedicata a questa vulnerabilità per ulteriori informazioni sulla Protezione avanzata di Internet Explorer.
• Sfruttando questa vulnerabilità, un utente malintenzionato può ottenere gli stessi diritti utente dell'utente locale. Gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.
• Per impostazione predefinita, tutte le versioni supportate di Microsoft Outlook e Microsoft Outlook Express aprono i messaggi di posta elettronica in formato HTML nell'area Siti con restrizioni. L'area Siti con restrizioni consente di ridurre gli attacchi volti a sfruttare questa vulnerabilità impedendo l'esecuzione di script attivi e l'utilizzo di controlli ActiveX durante la lettura di messaggi di posta elettronica in formato HTML. Se tuttavia si fa clic su un collegamento presente in un messaggio di posta elettronica, tale vulnerabilità potrebbe ancora sussistere con le modalità descritte nello scenario di attacco dal Web.

Per soluzione alternativa si intende un'impostazione o una modifica nella configurazione che non elimina la vulnerabilità sottostante, ma consente di bloccare gli attacchi noti prima di applicare l'aggiornamento. Microsoft ha verificato le seguenti soluzioni alternative e segnalerà nel corso della discussione se tali soluzioni riducono la funzionalità del sistema.

• Non consentire l'esecuzione del controllo ActiveX dei grafici in Internet Explorer

  È possibile disattivare i tentativi di creare un'istanza di un oggetto COM in Internet Explorer impostando il kill bit per il controllo nel Registro di sistema.

  Avvertenza L'utilizzo non corretto dell'Editor del Registro di sistema potrebbe causare problemi tali da rendere necessaria la reinstallazione del sistema operativo. Microsoft non garantisce la risoluzione di problemi dovuti a un utilizzo non corretto dell'Editor del Registro di sistema. È quindi necessario utilizzare questo strumento con grande attenzione.

  Per ulteriori informazioni su come impedire l'esecuzione di un controllo ActiveX in Internet Explorer, vedere l'articolo della Microsoft Knowledge Base 240797.

  Seguire la procedura descritta e creare un valore Compatibility Flags nel Registro di sistema in modo da impedire la creazione di un'istanza dell'oggetto COM in Internet Explorer.

  1. Sostituire {3A2B370C-BA0A-11d1-B137-0000F8753F5D} riportato di seguito con gli identificatori di classe reperibili in questa sezione.
  2. Per impostare il kill bit per il controllo CLSID con il valore {3A2B370C-BA0A-11d1-B137-0000F8753F5D}, incollare il seguente testo in un editor di testo come Blocco note. Successivamente, salvare il file utilizzando l'estensione di nome file reg.
     
     Editor del Registro di sistema di Windows versione 5.00
     [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{3A2B370C-BA0A-11d1-B137-0000F8753F5D}]
     "Compatibility Flags"=dword:00000400
  3. Questo file .reg può essere applicato a singoli sistemi facendo doppio clic su di esso. Inoltre, può essere applicato in domini diversi utilizzando i Criteri di gruppo.

  Per ulteriori informazioni sui Criteri di gruppo, visitare i seguenti siti Web Microsoft:

  • Insieme di Criteri di gruppo
  • Che cos'è un Editor oggetti Criteri di gruppo?
  • Strumenti e impostazioni principali di Criteri di gruppo

  Nota È necessario riavviare Internet Explorer per rendere operative queste modifiche.

  Effetto della soluzione alternativa. I siti Web che richiedono il controllo ActiveX dei grafici potrebbero non funzionare più correttamente.

  Per annullare il risultato della soluzione alternativa.

  incollare il seguente testo in un editor di testo come Blocco note. Successivamente, salvare il file utilizzando l'estensione di nome file reg.

  Editor del Registro di sistema di Windows versione 5.00
  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{3A2B370C-BA0A-11d1-B137-0000F8753F5D}]
  "Compatibility Flags"=-

  Questo file .reg può essere applicato a singoli sistemi facendo doppio clic su di esso. Inoltre, può essere applicato in domini diversi utilizzando i Criteri di gruppo. Per ulteriori informazioni sui Criteri di gruppo, visitare i seguenti siti Web Microsoft:

  • Insieme di Criteri di gruppo
  • Che cos'è un Editor oggetti Criteri di gruppo?
  • Strumenti e impostazioni principali di Criteri di gruppo

    Nota È necessario riavviare Internet Explorer per rendere operative queste modifiche.

Qual è la portata o l'impatto di questa vulnerabilità?  
Si tratta di una vulnerabilità legata all'esecuzione di codice in modalità remota. Sfruttando questa vulnerabilità, un utente malintenzionato potrebbe assumere il pieno controllo del sistema interessato. Potrebbe quindi installare programmi e visualizzare, modificare o eliminare dati oppure creare nuovi account con diritti utente completi. Gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.

Quali sono le cause di questa vulnerabilità?  
Quando il controllo ActiveX viene utilizzato in Internet Explorer, può danneggiare lo stato del sistema in modo tale da consentire a un utente malintenzionato di eseguire codice non autorizzato.

A quali attacchi viene esposto il sistema a causa di questa vulnerabilità?  
Se un utente è connesso con privilegi di amministrazione, un utente malintenzionato può assumere il controllo completo del sistema interessato. Potrebbe quindi installare programmi e visualizzare, modificare o eliminare dati oppure creare nuovi account con diritti utente completi. Gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.

In quale modo un utente malintenzionato può sfruttare questa vulnerabilità?  
Un utente malintenzionato può sfruttare la vulnerabilità pubblicando un sito Web appositamente progettato per richiamare il controllo ActiveX tramite Internet Explorer. Ciò può comprendere anche siti Web manomessi e siti Web che accettano o ospitano contenuti o pubblicità forniti dagli utenti. Questi siti Web possono includere contenuti appositamente predisposti in grado di sfruttare questa vulnerabilità. In tutti questi casi, comunque, non è in alcun modo possibile obbligare gli utenti a visitare questi siti Web. L'utente malintenzionato dovrebbe invece convincere le vittime a visitare il sito Web, in genere inducendole a fare clic su un collegamento in un messaggio di posta elettronica o di Instant Messenger che le indirizzi al sito. Potrebbe inoltre far visualizzare contenuti Web appositamente predisposti utilizzando banner pubblicitari o altre modalità di invio di contenuti Web ai sistemi interessati.

Quali sono i sistemi principalmente interessati da questa vulnerabilità?  
Questa vulnerabilità può essere sfruttata per l'esecuzione di azioni dannose solo se un utente è connesso al sistema e visita un sito Web. Pertanto, i sistemi maggiormente a rischio sono quelli in cui Internet Explorer viene utilizzato frequentemente, come le workstation o i server terminal. I server potrebbero essere maggiormente a rischio se gli amministratori consentono agli utenti di accedere ai server ed eseguire programmi. Tuttavia, le procedure consigliate scoraggiano fortemente questa attribuzione di privilegi.

Se si utilizza Internet Explorer per Windows Server 2003 o per Windows Server 2008, il problema ha una portata più limitata?
Sì. Per impostazione predefinita, Internet Explorer in Windows Server 2003 e Windows Server 2008 viene eseguito in una modalità limitata denominata Protezione avanzata. La configurazione Protezione avanzata è costituita da un gruppo di impostazioni di Internet Explorer preconfigurate che riduce la probabilità che un utente o un amministratore scarichi ed esegua contenuto Web appositamente predisposto in un server. Questo è un fattore attenuante per i siti Web che non sono stati aggiunti all'area Siti attendibili di Internet Explorer. Consultare anche il documento relativo alla gestione della Protezione avanzata di Internet Explorer.

Che cos'è la funzione ActiveX con consenso esplicito in Windows Internet Explorer 7?  
Windows Internet Explorer 7 comprende una funzione ActiveX con consenso esplicito in base alla quale quasi tutti i controlli ActiveX preinstallati sono disattivati per impostazione predefinita. Nella Barra informazioni viene richiesta la conferma agli utenti prima che questi possano creare un'istanza di un controllo ActiveX precedentemente installato e non ancora utilizzato in Internet. In questo modo, l'utente può consentire o negare l'accesso valutando singolarmente i controlli. Per ulteriori informazioni relative a questa e ad altre nuove funzioni, vedere la pagina delle funzioni di Windows Internet Explorer 7.

Quali sono gli scopi dell'aggiornamento?  
L'aggiornamento risolve la vulnerabilità gestendo gli errori causati da una errata inizializzazione degli oggetti all'interno del controllo ActiveX.

Al momento del rilascio di questo bollettino le informazioni sulla vulnerabilità erano disponibili pubblicamente?  
No. Microsoft ha ricevuto informazioni sulla vulnerabilità da fonti private. Secondo le informazioni in possesso di Microsoft, al momento della pubblicazione del presente bollettino l'esistenza di questa vulnerabilità non era stata ancora divulgata pubblicamente.

Al momento del rilascio di questo bollettino erano già stati segnalati attacchi basati sullo sfruttamento di questa vulnerabilità?  
No. Al momento della pubblicazione del presente bollettino, Microsoft non aveva ricevuto alcuna segnalazione in merito allo sfruttamento di questa vulnerabilità a scopo di attacco, né dell'esistenza di un codice di prova pubblicato.

Per fattore attenuante si intende un'impostazione, una configurazione comune o una procedura consigliata generica esistente in uno stato predefinito in grado di ridurre la gravità nello sfruttamento di una vulnerabilità. I seguenti fattori attenuanti possono essere utili per l'utente:

• In uno scenario di attacco basato sul Web l'utente malintenzionato può pubblicare un sito Web contenente una pagina utilizzata per sfruttare la vulnerabilità. Inoltre, i siti Web manomessi e quelli che accettano o ospitano contenuti o annunci pubblicitari forniti dagli utenti potrebbero presentare contenuti appositamente predisposti per sfruttare questa vulnerabilità. In tutti questi casi, comunque, non è in alcun modo possibile obbligare gli utenti a visitare questi siti Web. L'utente malintenzionato dovrebbe invece convincere le vittime a visitare il sito Web, in genere inducendole a fare clic su un collegamento in un messaggio di posta elettronica o di messaggistica immediata che le indirizzi al sito.
• Per impostazione predefinita, Internet Explorer in Windows Server 2003 e Windows Server 2008 viene eseguito in una modalità limitata denominata Protezione avanzata. Il livello di protezione per l'area Internet viene così impostato su Alto. Questo è un fattore attenuante per i siti Web che non sono stati aggiunti all'area Siti attendibili di Internet Explorer. Vedere la sottosezione Domande frequenti nella sezione dedicata a questa vulnerabilità per ulteriori informazioni sulla Protezione avanzata di Internet Explorer.
• Sfruttando questa vulnerabilità, un utente malintenzionato può ottenere gli stessi diritti utente dell'utente locale. Gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.
• Per impostazione predefinita, tutte le versioni supportate di Microsoft Outlook e Microsoft Outlook Express aprono i messaggi di posta elettronica in formato HTML nell'area Siti con restrizioni. L'area Siti con restrizioni consente di ridurre gli attacchi volti a sfruttare questa vulnerabilità impedendo l'esecuzione di script attivi e l'utilizzo di controlli ActiveX durante la lettura di messaggi di posta elettronica in formato HTML. Se tuttavia si fa clic su un collegamento presente in un messaggio di posta elettronica, tale vulnerabilità potrebbe ancora sussistere con le modalità descritte nello scenario di attacco dal Web.

Per soluzione alternativa si intende un'impostazione o una modifica nella configurazione che non elimina la vulnerabilità sottostante, ma consente di bloccare gli attacchi noti prima di applicare l'aggiornamento. Microsoft ha verificato le seguenti soluzioni alternative e segnala nel corso della discussione se tali soluzioni riducono la funzionalità:

• Non consentire l'esecuzione del controllo ActiveX Masked Edit in Internet Explorer

  È possibile disattivare i tentativi di creare un'istanza di un oggetto COM in Internet Explorer impostando il kill bit per il controllo nel Registro di sistema.

  Avvertenza L'utilizzo non corretto dell'Editor del Registro di sistema potrebbe causare problemi tali da rendere necessaria la reinstallazione del sistema operativo. Microsoft non garantisce la risoluzione di problemi dovuti a un utilizzo non corretto dell'Editor del Registro di sistema. È quindi necessario utilizzare questo strumento con grande attenzione.

  Per ulteriori informazioni su come impedire l'esecuzione di un controllo ActiveX in Internet Explorer, vedere l'articolo della Microsoft Knowledge Base 240797.

  Seguire la procedura descritta e creare un valore Compatibility Flags nel Registro di sistema in modo da impedire la creazione di un'istanza dell'oggetto COM in Internet Explorer.

  1. Sostituire {C932BA85-4374-101B-A56C-00AA003668DC} riportato di seguito con gli identificatori di classe reperibili in questa sezione.
  2. Per impostare il kill bit per il controllo CLSID con il valore {C932BA85-4374-101B-A56C-00AA003668DC}, incollare il seguente testo in un editor di testo come Blocco note. Successivamente, salvare il file utilizzando l'estensione di nome file reg.
     
     Editor del Registro di sistema di Windows versione 5.00
     [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{C932BA85-4374-101B-A56C-00AA003668DC}]
     "Compatibility Flags"=dword:00000400
  3. Questo file .reg può essere applicato a singoli sistemi facendo doppio clic su di esso. Inoltre, può essere applicato in domini diversi utilizzando i Criteri di gruppo.

  Per ulteriori informazioni sui Criteri di gruppo, visitare i seguenti siti Web Microsoft:

  • Insieme di Criteri di gruppo
  • Che cos'è un Editor oggetti Criteri di gruppo?
  • Strumenti e impostazioni principali di Criteri di gruppo

  Nota È necessario riavviare Internet Explorer per rendere operative queste modifiche.

  Effetto della soluzione alternativa. I siti Web che richiedono il controllo ActiveX dei grafici potrebbero non funzionare più correttamente.

  Per annullare il risultato della soluzione alternativa.

  incollare il seguente testo in un editor di testo come Blocco note. Successivamente, salvare il file utilizzando l'estensione di nome file reg.

  Editor del Registro di sistema di Windows versione 5.00
  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{C932BA85-4374-101B-A56C-00AA003668DC}]
  "Compatibility Flags"=-

  Questo file .reg può essere applicato a singoli sistemi facendo doppio clic su di esso. Inoltre, può essere applicato in domini diversi utilizzando i Criteri di gruppo. Per ulteriori informazioni sui Criteri di gruppo, visitare i seguenti siti Web Microsoft:

  • Insieme di Criteri di gruppo
  • Che cos'è un Editor oggetti Criteri di gruppo?
  • Strumenti e impostazioni principali di Criteri di gruppo

    Nota È necessario riavviare Internet Explorer per rendere operative queste modifiche.

Qual è la portata o l'impatto di questa vulnerabilità?  
Si tratta di una vulnerabilità legata all'esecuzione di codice in modalità remota. Sfruttando questa vulnerabilità, un utente malintenzionato potrebbe assumere il pieno controllo del sistema interessato. Potrebbe quindi installare programmi e visualizzare, modificare o eliminare dati oppure creare nuovi account con diritti utente completi. Gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.

Quali sono le cause di questa vulnerabilità?  
Il controllo ActiveX non gestisce correttamente i valori della proprietà in Internet Explorer, causando un sovraccarico del buffer che può consentire a un utente malintenzionato di eseguire codice arbitrario.

A quali attacchi viene esposto il sistema a causa di questa vulnerabilità?  
Se un utente è connesso con privilegi di amministrazione, un utente malintenzionato può assumere il controllo completo del sistema interessato. Potrebbe quindi installare programmi e visualizzare, modificare o eliminare dati oppure creare nuovi account con diritti utente completi. Gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.

In quale modo un utente malintenzionato può sfruttare questa vulnerabilità?  
Un utente malintenzionato può sfruttare la vulnerabilità pubblicando un sito Web appositamente progettato per richiamare il controllo ActiveX tramite Internet Explorer. Ciò può comprendere anche siti Web manomessi e siti Web che accettano o ospitano contenuti o pubblicità forniti dagli utenti. Questi siti Web possono includere contenuti appositamente predisposti in grado di sfruttare questa vulnerabilità. In tutti questi casi, comunque, non è in alcun modo possibile obbligare gli utenti a visitare questi siti Web. L'utente malintenzionato dovrebbe invece convincere le vittime a visitare il sito Web, in genere inducendole a fare clic su un collegamento in un messaggio di posta elettronica o di Instant Messenger che le indirizzi al sito. Potrebbe inoltre far visualizzare contenuti Web appositamente predisposti utilizzando banner pubblicitari o altre modalità di invio di contenuti Web ai sistemi interessati.

Quali sono i sistemi principalmente interessati da questa vulnerabilità?  
Questa vulnerabilità può essere sfruttata per l'esecuzione di azioni dannose solo se un utente è connesso al sistema e visita un sito Web. Pertanto, i sistemi maggiormente a rischio sono quelli in cui Internet Explorer viene utilizzato frequentemente, come le workstation o i server terminal. I server potrebbero essere maggiormente a rischio se gli amministratori consentono agli utenti di accedere ai server ed eseguire programmi. Tuttavia, le procedure consigliate scoraggiano fortemente questa attribuzione di privilegi.

Se si utilizza Internet Explorer per Windows Server 2003 o per Windows Server 2008, il problema ha una portata più limitata?
Sì. Per impostazione predefinita, Internet Explorer in Windows Server 2003 e Windows Server 2008 viene eseguito in una modalità limitata denominata Protezione avanzata. La configurazione Protezione avanzata è costituita da un gruppo di impostazioni di Internet Explorer preconfigurate che riduce la probabilità che un utente o un amministratore scarichi ed esegua contenuto Web appositamente predisposto in un server. Questo è un fattore attenuante per i siti Web che non sono stati aggiunti all'area Siti attendibili di Internet Explorer. Consultare anche il documento relativo alla gestione della Protezione avanzata di Internet Explorer.

Che cos'è la funzione ActiveX con consenso esplicito in Windows Internet Explorer 7?  
Windows Internet Explorer 7 comprende una funzione ActiveX con consenso esplicito in base alla quale quasi tutti i controlli ActiveX preinstallati sono disattivati per impostazione predefinita. Nella Barra informazioni viene richiesta la conferma agli utenti prima che questi possano creare un'istanza di un controllo ActiveX precedentemente installato e non ancora utilizzato in Internet. In questo modo, l'utente può consentire o negare l'accesso valutando singolarmente i controlli. Per ulteriori informazioni relative a questa e ad altre nuove funzioni, vedere la pagina delle funzioni di Windows Internet Explorer 7.

Quali sono gli scopi dell'aggiornamento?  
L'aggiornamento risolve la vulnerabilità convalidando i valori della proprietà tramite dei controlli di limite, quando il controllo ActiveX viene utilizzato in Internet Explorer.

Al momento del rilascio di questo bollettino le informazioni sulla vulnerabilità erano disponibili pubblicamente?  
Sì. Le informazioni su questa vulnerabilità erano state pubblicamente divulgate al momento della pubblicazione del presente bollettino sulla sicurezza. Questa vulnerabilità è stata identificata con il codice CVE-2008-3704.

Al momento del rilascio di questo bollettino erano già stati segnalati attacchi basati sullo sfruttamento di questa vulnerabilità?  
Sì. Microsoft è a conoscenza di un limitato numero di attacchi che tentano di utilizzare questa vulnerabilità.

Tabella di riferimento

La seguente tabella contiene le informazioni relative all'aggiornamento per la protezione per questo software. Per ulteriori informazioni, consultare la sottosezione Informazioni per la distribuzione di questa sezione.

Tabella di riferimento

La seguente tabella contiene le informazioni relative all'aggiornamento per la protezione per questo software. Per ulteriori informazioni, consultare la sottosezione Informazioni per la distribuzione di questa sezione.

Tabella di riferimento

La seguente tabella contiene le informazioni relative all'aggiornamento per la protezione per questo software. Per ulteriori informazioni, consultare la sottosezione Informazioni per la distribuzione di questa sezione.

Tabella di riferimento

La seguente tabella contiene le informazioni relative all'aggiornamento per la protezione per questo software. Per ulteriori informazioni, consultare la sottosezione Informazioni per la distribuzione di questa sezione.

Tabella di riferimento

La seguente tabella contiene le informazioni relative all'aggiornamento per la protezione per questo software. Per ulteriori informazioni, consultare la sottosezione Informazioni per la distribuzione di questa sezione.

Nota Questo aggiornamento si applica soltanto alle versioni in cinese semplificato (Cina), pan-cinese (Hong Kong), cinese tradizionale (Taiwan) e coreano di Frontpage 2002 Service Pack 3.

Tabella di riferimento

La seguente tabella contiene le informazioni relative all'aggiornamento per la protezione per questo software. Per ulteriori informazioni, consultare la sottosezione Informazioni per la distribuzione di questa sezione.

Tabella di riferimento

La seguente tabella contiene le informazioni relative all'aggiornamento per la protezione per questo software. Per ulteriori informazioni, consultare la sottosezione Informazioni per la distribuzione di questa sezione.

Tabella di riferimento

La seguente tabella contiene le informazioni relative all'aggiornamento per la protezione per questo software. Per ulteriori informazioni, consultare la sottosezione Informazioni per la distribuzione di questa sezione.