Bollettino Microsoft sulla sicurezza MS08-072 - Critico

Per fattore attenuante si intende un'impostazione, una configurazione comune o una procedura consigliata generica esistente in uno stato predefinito in grado di ridurre la gravità nello sfruttamento di una vulnerabilità. I seguenti fattori attenuanti possono essere utili per l'utente:

• Sfruttando questa vulnerabilità, un utente malintenzionato può ottenere gli stessi diritti utente dell'utente locale. Gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.
• Non è possibile sfruttare la vulnerabilità automaticamente per posta elettronica. L'attacco è possibile solo se l'utente apre un allegato a un messaggio di posta elettronica.
• In uno scenario di attacco dal Web, un sito Web può contenere un file di Word utilizzato per sfruttare questa vulnerabilità. Un utente malintenzionato dovrebbe convincere gli utenti a visitare il sito Web e ad aprire un file di Word appositamente predisposto, in genere inducendoli a fare clic su un collegamento contenuto in un messaggio di posta elettronica o di Instant Messenger che li indirizzi al sito Web dell'utente malintenzionato, convincendoli quindi ad aprire il file di Word appositamente predisposto.
• Agli utenti che hanno installato e utilizzano lo strumento Office Document Open Confirmation Tool per Office 2000 verrà richiesto di scegliere Apri, Salva o Annulla prima di aprire un documento. Le funzionalità dello strumento Office Document Open Confirmation Tool sono incorporate in Office XP e Office 2003.

Per soluzione alternativa si intende un'impostazione o una modifica nella configurazione che non elimina la vulnerabilità sottostante, ma consente di bloccare gli attacchi noti prima di applicare l'aggiornamento. Microsoft ha verificato le seguenti soluzioni alternative e segnala nel corso della discussione se tali soluzioni riducono la funzionalità:

• Non aprire o salvare file Microsoft Office provenienti da fonti non attendibili oppure ricevuti inaspettatamente da fonti attendibili. Questa vulnerabilità può essere sfruttata quando un utente apre un file appositamente predisposto.

Qual è la portata o l'impatto di questa vulnerabilità?  
Si tratta di una vulnerabilità legata all'esecuzione di codice in modalità remota. Sfruttando questa vulnerabilità, un utente malintenzionato potrebbe assumere il pieno controllo del sistema interessato. Potrebbe quindi installare programmi e visualizzare, modificare o eliminare dati oppure creare nuovi account con diritti utente completi.

Quali sono le cause di questa vulnerabilità?  
Durante l'apertura di un file Office appositamente predisposto, la memoria di sistema potrebbe essere danneggiata in modo da permettere a un utente malintenzionato di eseguire codice non autorizzato.

A quali attacchi viene esposto il sistema a causa di questa vulnerabilità?  
Sfruttando questa vulnerabilità, un utente malintenzionato potrebbe eseguire codice non autorizzato nel contesto dell'utente collegato. Potrebbe quindi installare programmi e visualizzare, modificare o eliminare dati oppure creare nuovi account con diritti utente completi. Se un utente è connesso con privilegi di amministratore, un utente malintenzionato può assumere il controllo completo del sistema interessato. Gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.

In quale modo un utente malintenzionato può sfruttare questa vulnerabilità?  
Questa vulnerabilità può essere sfruttata solo se un utente apre un file di Word appositamente predisposto con una versione interessata di Microsoft Office Word.

In uno scenario di attacco tramite posta elettronica, l'utente malintenzionato può sfruttare la vulnerabilità inviando un file di Word appositamente predisposto e convincendo l'utente ad aprirlo.

In uno scenario di attacco dal Web, un sito Web può contenere un file di Word utilizzato per sfruttare questa vulnerabilità. Un utente malintenzionato deve convincere gli utenti a visitare il sito Web e ad aprire un file di Word appositamente predisposto, in genere inducendoli a fare clic su un collegamento contenuto in un messaggio di posta elettronica o di messaggistica immediata che li indirizzi al sito Web dell'utente malintenzionato.

Quali sono i sistemi principalmente interessati da questa vulnerabilità?  
I sistemi più esposti sono quelli che utilizzano Microsoft Office Word, inclusi le workstation e i server terminal. I server potrebbero essere maggiormente a rischio se gli amministratori consentono agli utenti di accedere ai server ed eseguire programmi. Tuttavia, le procedure consigliate scoraggiano fortemente questa attribuzione di privilegi.

Quali sono gli scopi dell'aggiornamento?  
L'aggiornamento rimuove la vulnerabilità modificando il modo in cui Microsoft Word apre i file. Dopo aver applicato questo aggiornamento, tuttavia, il tentativo di aprire un documento di Microsoft Word appositamente predisposto potrebbe ancora provocare l'uscita imprevista da Word o la visualizzazione di un messaggio di errore. Non è possibile sfruttare questo comportamento.

Al momento del rilascio di questo bollettino le informazioni sulla vulnerabilità erano disponibili pubblicamente?  
No. Microsoft ha ricevuto informazioni sulla vulnerabilità da fonti private. Secondo le informazioni in possesso di Microsoft, al momento della pubblicazione del presente bollettino l'esistenza di questa vulnerabilità non era stata ancora divulgata pubblicamente.

Al momento del rilascio di questo bollettino erano già stati segnalati attacchi basati sullo sfruttamento di questa vulnerabilità?  
No. Al momento della pubblicazione del presente bollettino, Microsoft non aveva ricevuto alcuna segnalazione in merito allo sfruttamento di questa vulnerabilità a scopo di attacco, né dell'esistenza di un codice di prova pubblicato.

Per fattore attenuante si intende un'impostazione, una configurazione comune o una procedura consigliata generica esistente in uno stato predefinito in grado di ridurre la gravità nello sfruttamento di una vulnerabilità. I seguenti fattori attenuanti possono essere utili per l'utente:

• Sfruttando questa vulnerabilità, un utente malintenzionato può ottenere gli stessi diritti utente dell'utente locale. Gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.
• In uno scenario di attacco basato sul Web l'utente malintenzionato può pubblicare un sito Web contenente una pagina utilizzata per sfruttare la vulnerabilità. Inoltre, i siti Web manomessi e quelli che accettano o ospitano contenuti o annunci pubblicitari forniti dagli utenti potrebbero presentare contenuti appositamente predisposti per sfruttare questa vulnerabilità. In tutti questi casi, comunque, non è in alcun modo possibile obbligare gli utenti a visitare questi siti Web. Un utente malintenzionato dovrebbe dunque convincere gli utenti a visitare il sito Web, in genere inducendoli a fare clic su un collegamento contenuto in un messaggio di posta elettronica o di messaggistica immediata che li indirizzi al sito Web dell'utente malintenzionato e convincendoli quindi ad aprire il file RTF appositamente predisposto.
• Agli utenti che hanno installato e utilizzano lo strumento Office Document Open Confirmation Tool per Office 2000 verrà richiesto di scegliere Apri, Salva o Annulla prima di aprire un documento. Le funzionalità dello strumento Office Document Open Confirmation Tool sono incorporate in Office XP e Office 2003.

Per soluzione alternativa si intende un'impostazione o una modifica nella configurazione che non elimina la vulnerabilità sottostante, ma consente di bloccare gli attacchi noti prima di applicare l'aggiornamento. Microsoft ha verificato le seguenti soluzioni alternative e segnala nel corso della discussione se tali soluzioni riducono la funzionalità:

• Evitare che Word carichi dei file RTF

  Nota La modifica non corretta del Registro di sistema potrebbe provocare problemi tali da rendere necessaria la reinstallazione del sistema operativo. Microsoft non garantisce la risoluzione di problemi dovuti a una modifica non corretta del Registro di sistema. È quindi necessario eseguire questa modifica con grande attenzione.

  File interattivo per Word 2003

  Se è stato installato l'aggiornamento per la protezione 934181, è possibile evitare che questo tipo di file venga caricato in Word 2003.

  1. Fare clic sul pulsante Start, scegliere Esegui, digitare regedit nella casella Apri e fare clic su OK.
  2. Individuare e fare clic sulla seguente sottochiave del Registro di sistema:
     
     HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\11.0\Word\Security\FileOpenBlock
     
     Se la sottochiave FileOpenBlock non esiste, è necessario crearla. A tale scopo, attenersi alla seguente procedura:
     
     a. Selezionare la sottochiave Security.
     b. Scegliere Nuovo dal menu Modifica, quindi fare clic su Chiave.
     c. Digitare FileOpenBlock e premere INVIO.
  3. Dopo aver selezionato la sottochiave FileOpenBlock, individuare il valore DWORD RtfFiles. Nota: se questo valore non esiste, occorre crearlo. A tale scopo, attenersi alla seguente procedura:
     
     a. Scegliere Nuovo dal menu Modifica, quindi fare clic sul valore DWORD.
     b. Digitare RtfFiles e premere INVIO.
  4. Fare clic col pulsante destro del mouse su RtfFiles e scegliere Modifica.
  5. Nella casella Dati valore, digitare 1, quindi scegliere OK.
  6. Scegliere Esci dal menu File per chiudere l'Editor del Registro di sistema.

  Script di distribuzione gestita per Word 2003

  Se è stato installato l'aggiornamento per la protezione 934181, è possibile evitare che questo tipo di file venga caricato in Word 2003.

  1. Salvare quanto segue in un file con estensione REG (ad esempio, Disable_RTF_In_Word.reg):
     
     Editor del Registro di sistema di Windows versione 5.00 [HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\11.0\Word\Security\FileOpenBlock]"RtfFiles"=dword:00000001
  2. Eseguire lo script del Registro di sistema riportato di sopra e creato nel passaggio 1 nel computer di destinazione utilizzando il comando seguente da un prompt dei comandi con privilegi di amministratore:
     
     Regedit /s Disable_RTF_In_Word.reg

  File interattivo per Word 2007

  1. Fare clic sul pulsante Start, scegliere Esegui, digitare regedit nella casella Apri e fare clic su OK.
  2. Individuare e fare clic sulla seguente sottochiave del Registro di sistema:
     
     HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\12.0\Word\Security\FileOpenBlock
     
     Se la sottochiave FileOpenBlock non esiste, è necessario crearla. A tale scopo, attenersi alla seguente procedura:
     
     a. Selezionare la sottochiave Security.
     b. Scegliere Nuovo dal menu Modifica, quindi fare clic su Chiave.
     c. Digitare FileOpenBlock e premere INVIO.
  3. Dopo aver selezionato la sottochiave FileOpenBlock, individuare il valore DWORD RtfFiles. Nota: se questo valore non esiste, occorre crearlo. A tale scopo, attenersi alla seguente procedura:
     
     a. Scegliere Nuovo dal menu Modifica, quindi fare clic sul valore DWORD.
     b. Digitare RtfFiles e premere INVIO.
  4. Fare clic col pulsante destro del mouse su RtfFiles e scegliere Modifica.
  5. Nella casella Dati valore, digitare 1, quindi scegliere OK.
  6. Scegliere Esci dal menu File per chiudere l'Editor del Registro di sistema.

  Script di distribuzione gestita per Word 2007

  1. Salvare quanto segue in un file con estensione REG (ad esempio, Disable_RTF_In_Word.reg):
     
     Editor del Registro di sistema di Windows versione 5.00
     [HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\12.0\Word\Security\FileOpenBlock]"RtfFiles"=dword:00000001
  2. Eseguire lo script del Registro di sistema riportato di sopra e creato nel passaggio 1 nel computer di destinazione utilizzando il comando seguente da un prompt dei comandi con privilegi di amministratore:
     
     Regedit /s Disable_RTF_In_Word.reg

  Effetto della soluzione alternativa. Word non sarà in grado di leggere i file RTF.

  Per annullare il risultato della soluzione alternativa.

  Ripristino del file interattivo per Word 2003

  1. Fare clic sul pulsante Start, scegliere Esegui, digitare regedit nella casella Apri e fare clic su OK.
  2. Individuare e fare clic sulla seguente sottochiave del Registro di sistema:
     
     HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\11.0\Word\Security\FileOpenBlock
  3. Fare clic col pulsante destro del mouse su RtfFiles e scegliere Elimina.
  4. Nella finestra di dialogo Conferma eliminazione valori, fare clic su Sì.
  5. Scegliere Esci dal menu File per chiudere l'Editor del Registro di sistema.

  Ripristino dello script di distribuzione gestita per Word 2003

  1. Salvare quanto segue in un file con estensione REG (ad esempio, Enable_RTF_In_Word.reg):
     
     Editor del Registro di sistema di Windows versione 5.00
     [HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\11.0\Word\Security\FileOpenBlock]"RtfFiles"=-
  2. Eseguire lo script del Registro di sistema riportato di sopra e creato nel passaggio 1 nel computer di destinazione utilizzando il comando seguente da un prompt dei comandi con privilegi di amministratore:
     
     Regedit /s Enable_RTF_In_Word.reg

  Ripristino del file interattivo per Word 2007

  1. Fare clic sul pulsante Start, scegliere Esegui, digitare regedit nella casella Apri e fare clic su OK.
  2. Individuare e fare clic sulla seguente sottochiave del Registro di sistema:
     
     HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\12.0\Word\Security\FileOpenBlock
  3. Fare clic col pulsante destro del mouse su RtfFiles e scegliere Elimina.
  4. Nella finestra di dialogo Conferma eliminazione valori, fare clic su Sì.
  5. Scegliere Esci dal menu File per chiudere l'Editor del Registro di sistema.

  Ripristino dello script di distribuzione gestita per Word 2007

  1. Salvare quanto segue in un file con estensione REG (ad esempio, Enable_RTF_In_Word.reg):
     
     Editor del Registro di sistema di Windows versione 5.00
     [HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\12.0\Word\Security\FileOpenBlock]"RtfFiles"=-
  2. Eseguire lo script del Registro di sistema riportato di sopra e creato nel passaggio 1 nel computer di destinazione utilizzando il comando seguente da un prompt dei comandi con privilegi di amministratore:
     
     Regedit /s Enable_RTF_In_Word.reg
• Leggere i messaggi di posta elettronica in formato testo normale

  Se si utilizza Microsoft Office Outlook 2002 o versioni successive o Outlook Express 6 SP1 o versioni successive, leggere i messaggi di posta elettronica in formato testo normale per proteggersi dagli attacchi tramite un messaggio di posta elettronica in formato RTF.

  Gli utenti di Microsoft Office Outlook 2002 che hanno installato Microsoft Office XP Service Pack 1 o versioni successive e gli utenti di Microsoft Office Outlook Express 6 che hanno installato Internet Explorer 6 Service Pack 1 o versioni successive possono attivare questa impostazione e visualizzare automaticamente in formato testo normale tutti i messaggi privi di firma digitale o non crittografati.

  Tale impostazione non interessa i messaggi dotati di firma digitale o crittografati, che possono essere letti nei formati originali. Per ulteriori informazioni sull'attivazione di questa impostazione in Outlook 2002, vedere l'articolo della Microsoft Knowledge Base 307594.

  Per ulteriori informazioni sull'attivazione di questa impostazione in Outlook Express 6, vedere l'articolo della Microsoft Knowledge Base 291387.

  Effetto della soluzione alternativa. I messaggi e-mail visualizzati in formato testo normale non possono includere immagini, tipi di carattere speciali, animazioni o altro contenuto completo. Inoltre:

  • Le modifiche vengono apportate sia nel riquadro di anteprima sia nei messaggi aperti.
  • Le immagini diventano allegati in modo da non andare perdute.
  • Poiché il messaggio nell'archivio è ancora in formato RTF o HTML, si potrebbero verificare comportamenti imprevisti in relazione al modello di oggetti (soluzioni di codice personalizzate).

Qual è la portata o l'impatto di questa vulnerabilità?  
Si tratta di una vulnerabilità legata all'esecuzione di codice in modalità remota. Sfruttando questa vulnerabilità, un utente malintenzionato può assumere il controllo completo del sistema interessato nel contesto dell'utente connesso. Potrebbe quindi installare programmi e visualizzare, modificare o eliminare dati oppure creare nuovi account con diritti utente completi. Gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.

Quali sono le cause di questa vulnerabilità?  
La vulnerabilità è causata da un errore di calcolo della memoria durante l'elaborazione di una parola di controllo non valida in un file RTF appositamente predisposto. La memoria di sistema potrebbe essere danneggiata in modo da permettere a un utente malintenzionato di eseguire codice non autorizzato.

A quali attacchi viene esposto il sistema a causa di questa vulnerabilità?  
Sfruttando questa vulnerabilità, un utente malintenzionato può assumere il controllo del sistema interessato nel contesto dell'utente connesso. Se un utente è connesso con privilegi di amministrazione, un utente malintenzionato può assumere il controllo completo del sistema interessato. Potrebbe quindi installare programmi e visualizzare, modificare o eliminare dati oppure creare nuovi account con diritti utente completi.

In quale modo un utente malintenzionato può sfruttare questa vulnerabilità?  
Questa vulnerabilità può essere sfruttata solo se un utente apre un file RTF appositamente predisposto con una versione interessata di Microsoft Office Word o legge un messaggio di posta elettronica appositamente predisposto in Microsoft Office Outlook con Word impostato come editor predefinito di posta elettronica.

In uno scenario di attacco tramite posta elettronica, l'utente malintenzionato può sfruttare tale vulnerabilità inviando un messaggio di posta elettronica in formato RTF appositamente predisposto a un sistema che utilizza Word come editor predefinito. La vulnerabilità viene sfruttata quando un utente visualizza il messaggio (anche in anteprima).

Nota Per impostazione predefinita, Outlook 2003 non utilizza Word come editor predefinito, contrariamente a Outlook 2007.

In uno scenario di attacco dal Web, l'utente malintenzionato deve pubblicare un sito Web contenente un file RTF utilizzato per tentare di sfruttare questa vulnerabilità. Inoltre, i siti Web manomessi e quelli che accettano o ospitano contenuti forniti dagli utenti potrebbero presentare contenuti appositamente predisposti per sfruttare questa vulnerabilità. Poiché non è in alcun modo possibile obbligare gli utenti a visitare un sito Web appositamente predisposto, l'utente malintenzionato deve convincerli a visitare il sito Web, in genere inducendoli a fare clic su un collegamento contenuto in un messaggio di posta elettronica o di messaggistica immediata che li indirizzi al sito Web dell'utente malintenzionato, convincendoli quindi ad aprire un file RTF appositamente predisposto.

Quali sono i sistemi principalmente interessati da questa vulnerabilità?  
I sistemi più esposti sono quelli che utilizzano Microsoft Office Word o Microsoft Office Outlook, inclusi le workstation e i server terminal. I server potrebbero essere maggiormente a rischio se gli amministratori consentono agli utenti di accedere ai server ed eseguire programmi. Tuttavia, le procedure consigliate scoraggiano fortemente questa attribuzione di privilegi.

Quali sono gli scopi dell'aggiornamento?  
L'aggiornamento risolve la vulnerabilità modificando il modo in cui Word calcola l'allocazione della memoria richiesta durante l'apertura di file RTF.

Al momento del rilascio di questo bollettino le informazioni sulla vulnerabilità erano disponibili pubblicamente?  
No. Microsoft ha ricevuto informazioni sulla vulnerabilità da fonti private. Secondo le informazioni in possesso di Microsoft, al momento della pubblicazione del presente bollettino l'esistenza di questa vulnerabilità non era stata ancora divulgata pubblicamente.

Al momento del rilascio di questo bollettino erano già stati segnalati attacchi basati sullo sfruttamento di questa vulnerabilità?  
No. Al momento della pubblicazione del presente bollettino, Microsoft non aveva ricevuto alcuna segnalazione in merito allo sfruttamento di questa vulnerabilità a scopo di attacco, né dell'esistenza di un codice di prova pubblicato.

Per fattore attenuante si intende un'impostazione, una configurazione comune o una procedura consigliata generica esistente in uno stato predefinito in grado di ridurre la gravità nello sfruttamento di una vulnerabilità. I seguenti fattori attenuanti possono essere utili per l'utente:

• Sfruttando questa vulnerabilità, un utente malintenzionato può ottenere gli stessi diritti utente dell'utente locale. Gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.
• Agli utenti che hanno installato e utilizzano lo strumento Office Document Open Confirmation Tool per Office 2000 verrà richiesto di scegliere Apri, Salva o Annulla prima di aprire un documento. Le funzionalità dello strumento Office Document Open Confirmation Tool sono incorporate in Office XP ed edizioni successive di Office.
• Non è possibile sfruttare la vulnerabilità automaticamente per posta elettronica. L'attacco è possibile solo se l'utente apre un allegato a un messaggio di posta elettronica.
• In uno scenario di attacco basato sul Web l'utente malintenzionato può pubblicare un sito Web contenente una pagina utilizzata per sfruttare la vulnerabilità. Inoltre, i siti Web manomessi e quelli che accettano o ospitano contenuti o annunci pubblicitari forniti dagli utenti potrebbero presentare contenuti appositamente predisposti per sfruttare questa vulnerabilità. In tutti questi casi, comunque, non è in alcun modo possibile obbligare gli utenti a visitare questi siti Web. Un utente malintenzionato deve dunque convincere gli utenti a visitare il sito Web, in genere inducendoli a fare clic su un collegamento contenuto in un messaggio di posta elettronica o di messaggistica immediata che li indirizzi al sito Web dell'utente malintenzionato e convincendoli quindi ad aprire il file di Word appositamente predisposto.

Per soluzione alternativa si intende un'impostazione o una modifica nella configurazione che non elimina la vulnerabilità sottostante, ma consente di bloccare gli attacchi noti prima di applicare l'aggiornamento. Microsoft ha verificato le seguenti soluzioni alternative e segnala nel corso della discussione se tali soluzioni riducono la funzionalità:

• Non aprire o salvare file Microsoft Office provenienti da fonti non attendibili oppure ricevuti inaspettatamente da fonti attendibili. Questa vulnerabilità può essere sfruttata quando un utente apre un file appositamente predisposto.
• Sui sistemi client Word, utilizzare Microsoft Office Isolated Conversion Environment (MOICE) per aprire i file di dubbia provenienza.

  Microsoft Office Isolated Conversion Environment (MOICE) costituisce una protezione per le installazioni di Office 2003 consentendo di aprire con maggiore sicurezza i file in formato binario di Word, Excel e PowerPoint.

  Per installare MOICE, è necessario avere installato Office 2003 o Office System 2007.

  Per installare MOICE, è necessario disporre del pacchetto di compatibilità per i file in formato Word, Excel e PowerPoint 2007. Il pacchetto di compatibilità è disponibile per il download gratuito nell'Area download Microsoft:
  
  Scaricare adesso il pacchetto FileFormatConverters.exe

  MOICE necessita di tutti gli aggiornamenti consigliati per i programmi Office. Accedere a Microsoft Update per installare tutti gli aggiornamenti consigliati:
  
  http://update.microsoft.com/microsoftupdate/v6/default.aspx?ln=it-it

  Per attivare MOICE, modificare il programma di gestione registrato per i formati di file .xls, .xlt e .xla. Nella tabella che segue viene descritto il comando per attivare o disattivare MOICE per i formati di file xls, xlt e xla:

Nota In Windows Vista e Windows Server 2008 i comandi dovranno essere eseguiti da un prompt dei comandi di livello elevato.

Per ulteriori informazioni su MOICE, vedere l'articolo della Microsoft Knowledge Base 935865.

Impatto della soluzione alternativa. Office 2003 e i documenti precedentemente formattati convertiti nel formato XML aperto di Microsoft Office System 2007 da MOICE non mantengono la funzionalità macro. Inoltre, i documenti con password o protetti con Digital Rights Management non possono essere convertiti.

Qual è la portata o l'impatto di questa vulnerabilità?  
Si tratta di una vulnerabilità legata all'esecuzione di codice in modalità remota. Sfruttando questa vulnerabilità, un utente malintenzionato può assumere il controllo completo del sistema interessato nel contesto dell'utente connesso. Potrebbe quindi installare programmi e visualizzare, modificare o eliminare dati oppure creare nuovi account con diritti utente completi. Gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.

Quali sono le cause di questa vulnerabilità?  
L'apertura di un file di Word appositamente predisposto può danneggiare la memoria di sistema consentendo a un utente malintenzionato di eseguire codice non autorizzato.

A quali attacchi viene esposto il sistema a causa di questa vulnerabilità?  
Sfruttando questa vulnerabilità, un utente malintenzionato potrebbe eseguire codice non autorizzato nel contesto dell'utente collegato. Potrebbe quindi installare programmi e visualizzare, modificare o eliminare dati oppure creare nuovi account con diritti utente completi. Se un utente è connesso con privilegi di amministrazione, un utente malintenzionato può assumere il controllo completo del sistema interessato. Gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.

In quale modo un utente malintenzionato può sfruttare questa vulnerabilità?  
Questa vulnerabilità può essere sfruttata solo se un utente apre un file di Word appositamente predisposto con una versione interessata di Microsoft Office Word.

In uno scenario di attacco tramite posta elettronica l'utente malintenzionato può sfruttare tale vulnerabilità inviando un file di Word appositamente predisposto e inducendo l'utente ad aprirlo.

In uno scenario di attacco dal Web l'utente malintenzionato deve pubblicare un sito Web contenente un file di Word utilizzato per tentare di sfruttare questa vulnerabilità. Inoltre, i siti Web manomessi e quelli che accettano o ospitano contenuti forniti dagli utenti potrebbero presentare contenuti appositamente predisposti per sfruttare questa vulnerabilità. Poiché non è in alcun modo possibile obbligare gli utenti a visitare un sito Web appositamente predisposto, l'utente malintenzionato deve convincerli a visitare il sito, in genere inducendoli a fare clic su un collegamento che li indirizzi al sito, e quindi ad aprire il file.

Quali sono i sistemi principalmente interessati da questa vulnerabilità?  
I sistemi più esposti sono quelli che utilizzano il software interessato, inclusi le workstation e i server terminal. I server potrebbero essere maggiormente a rischio se gli amministratori consentono agli utenti di accedere ai server ed eseguire programmi. Tuttavia, le procedure consigliate scoraggiano fortemente questa attribuzione di privilegi.

Quali sono gli scopi dell'aggiornamento?  
L'aggiornamento rimuove la vulnerabilità modificando il modo in cui Microsoft Word apre i file. Dopo aver applicato questo aggiornamento, tuttavia, il tentativo di aprire un documento di Microsoft Word appositamente predisposto potrebbe ancora provocare l'uscita imprevista da Word o la visualizzazione di un messaggio di errore. Non è possibile sfruttare questo comportamento.

Al momento del rilascio di questo bollettino le informazioni sulla vulnerabilità erano disponibili pubblicamente?  
No. Microsoft ha ricevuto informazioni sulla vulnerabilità da fonti private. Secondo le informazioni in possesso di Microsoft, al momento della pubblicazione del presente bollettino l'esistenza di questa vulnerabilità non era stata ancora divulgata pubblicamente.

Al momento del rilascio di questo bollettino erano già stati segnalati attacchi basati sullo sfruttamento di questa vulnerabilità?  
No. Al momento della pubblicazione del presente bollettino, Microsoft non aveva ricevuto alcuna segnalazione in merito allo sfruttamento di questa vulnerabilità a scopo di attacco, né dell'esistenza di un codice di prova pubblicato.

Per fattore attenuante si intende un'impostazione, una configurazione comune o una procedura consigliata generica esistente in uno stato predefinito in grado di ridurre la gravità nello sfruttamento di una vulnerabilità. I seguenti fattori attenuanti possono essere utili per l'utente:

• Sfruttando questa vulnerabilità, un utente malintenzionato può ottenere gli stessi diritti utente dell'utente locale. Gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.
• In uno scenario di attacco basato sul Web l'utente malintenzionato può pubblicare un sito Web contenente una pagina utilizzata per sfruttare la vulnerabilità. Inoltre, i siti Web manomessi e quelli che accettano o ospitano contenuti o annunci pubblicitari forniti dagli utenti potrebbero presentare contenuti appositamente predisposti per sfruttare questa vulnerabilità. In tutti questi casi, comunque, non è in alcun modo possibile obbligare gli utenti a visitare questi siti Web. Un utente malintenzionato deve dunque convincere gli utenti a visitare il sito Web, in genere inducendoli a fare clic su un collegamento contenuto in un messaggio di posta elettronica o di messaggistica immediata che li indirizzi al sito Web dell'utente malintenzionato e convincendoli quindi ad aprire il file di Word appositamente predisposto.
• Agli utenti che hanno installato e utilizzano lo strumento Office Document Open Confirmation Tool per Office 2000 verrà richiesto di scegliere Apri, Salva o Annulla prima di aprire un documento. Le funzionalità dello strumento Office Document Open Confirmation Tool sono incorporate in Office XP e Office 2003.

Per soluzione alternativa si intende un'impostazione o una modifica nella configurazione che non elimina la vulnerabilità sottostante, ma consente di bloccare gli attacchi noti prima di applicare l'aggiornamento. Microsoft ha verificato le seguenti soluzioni alternative e segnala nel corso della discussione se tali soluzioni riducono la funzionalità:

• Evitare che Word carichi dei file RTF

  Nota La modifica non corretta del Registro di sistema potrebbe provocare problemi tali da rendere necessaria la reinstallazione del sistema operativo. Microsoft non garantisce la risoluzione di problemi dovuti a una modifica non corretta del Registro di sistema. È quindi necessario eseguire questa modifica con grande attenzione.

  File interattivo per Word 2003

  Se è stato installato l'aggiornamento per la protezione 934181, è possibile evitare che questo tipo di file venga caricato in Word 2003.

  1. Fare clic sul pulsante Start, scegliere Esegui, digitare regedit nella casella Apri e fare clic su OK.
  2. Individuare e fare clic sulla seguente sottochiave del Registro di sistema:
     
     HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\11.0\Word\Security\FileOpenBlock
     
     Se la sottochiave FileOpenBlock non esiste, è necessario crearla. A tale scopo, attenersi alla seguente procedura:
     
     a. Selezionare la sottochiave Security.
     b. Scegliere Nuovo dal menu Modifica, quindi fare clic su Chiave.
     c. Digitare FileOpenBlock e premere INVIO.
  3. Dopo aver selezionato la sottochiave FileOpenBlock, individuare il valore DWORD RtfFiles. Nota: se questo valore non esiste, occorre crearlo. A tale scopo, attenersi alla seguente procedura:
     
     a. Scegliere Nuovo dal menu Modifica, quindi fare clic sul valore DWORD.
     b. Digitare RtfFiles e premere INVIO.
  4. Fare clic col pulsante destro del mouse su RtfFiles e scegliere Modifica.
  5. Nella casella Dati valore, digitare 1, quindi scegliere OK.
  6. Scegliere Esci dal menu File per chiudere l'Editor del Registro di sistema.

  Script di distribuzione gestita per Word 2003

  Se è stato installato l'aggiornamento per la protezione 934181, è possibile evitare che questo tipo di file venga caricato in Word 2003.

  1. Salvare quanto segue in un file con estensione REG (ad esempio, Disable_RTF_In_Word.reg):
     
     Editor del Registro di sistema di Windows versione 5.00 [HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\11.0\Word\Security\FileOpenBlock]"RtfFiles"=dword:00000001
  2. Eseguire lo script del Registro di sistema riportato di sopra e creato nel passaggio 1 nel computer di destinazione utilizzando il comando seguente da un prompt dei comandi con privilegi di amministratore:
     
     Regedit /s Disable_RTF_In_Word.reg

  File interattivo per Word 2007

  1. Fare clic sul pulsante Start, scegliere Esegui, digitare regedit nella casella Apri e fare clic su OK.
  2. Individuare e fare clic sulla seguente sottochiave del Registro di sistema:
     
     HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\12.0\Word\Security\FileOpenBlock
     
     Se la sottochiave FileOpenBlock non esiste, è necessario crearla. A tale scopo, attenersi alla seguente procedura:
     
     a. Selezionare la sottochiave Security.
     b. Scegliere Nuovo dal menu Modifica, quindi fare clic su Chiave.
     c. Digitare FileOpenBlock e premere INVIO.
  3. Dopo aver selezionato la sottochiave FileOpenBlock, individuare il valore DWORD RtfFiles. Nota: se questo valore non esiste, occorre crearlo. A tale scopo, attenersi alla seguente procedura:
     
     a. Scegliere Nuovo dal menu Modifica, quindi fare clic sul valore DWORD.
     b. Digitare RtfFiles e premere INVIO.
  4. Fare clic col pulsante destro del mouse su RtfFiles e scegliere Modifica.
  5. Nella casella Dati valore, digitare 1, quindi scegliere OK.
  6. Scegliere Esci dal menu File per chiudere l'Editor del Registro di sistema.

  Script di distribuzione gestita per Word 2007

  1. Salvare quanto segue in un file con estensione REG (ad esempio, Disable_RTF_In_Word.reg):
     
     Editor del Registro di sistema di Windows versione 5.00
     [HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\12.0\Word\Security\FileOpenBlock]"RtfFiles"=dword:00000001
  2. Eseguire lo script del Registro di sistema riportato di sopra e creato nel passaggio 1 nel computer di destinazione utilizzando il comando seguente da un prompt dei comandi con privilegi di amministratore:
     
     Regedit /s Disable_RTF_In_Word.reg

  Effetto della soluzione alternativa. Word non sarà in grado di leggere i file RTF.

  Per annullare il risultato della soluzione alternativa.

  Ripristino del file interattivo per Word 2003

  1. Fare clic sul pulsante Start, scegliere Esegui, digitare regedit nella casella Apri e fare clic su OK.
  2. Individuare e fare clic sulla seguente sottochiave del Registro di sistema:
     
     HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\11.0\Word\Security\FileOpenBlock
  3. Fare clic col pulsante destro del mouse su RtfFiles e scegliere Elimina.
  4. Nella finestra di dialogo Conferma eliminazione valori, fare clic su Sì.
  5. Scegliere Esci dal menu File per chiudere l'Editor del Registro di sistema.

  Ripristino dello script di distribuzione gestita per Word 2003

  1. Salvare quanto segue in un file con estensione REG (ad esempio, Enable_RTF_In_Word.reg):
     
     Editor del Registro di sistema di Windows versione 5.00
     [HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\11.0\Word\Security\FileOpenBlock]"RtfFiles"=-
  2. Eseguire lo script del Registro di sistema riportato di sopra e creato nel passaggio 1 nel computer di destinazione utilizzando il comando seguente da un prompt dei comandi con privilegi di amministratore:
     
     Regedit /s Enable_RTF_In_Word.reg

  Ripristino del file interattivo per Word 2007

  1. Fare clic sul pulsante Start, scegliere Esegui, digitare regedit nella casella Apri e fare clic su OK.
  2. Individuare e fare clic sulla seguente sottochiave del Registro di sistema:
     
     HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\12.0\Word\Security\FileOpenBlock
  3. Fare clic col pulsante destro del mouse su RtfFiles e scegliere Elimina.
  4. Nella finestra di dialogo Conferma eliminazione valori, fare clic su Sì.
  5. Scegliere Esci dal menu File per chiudere l'Editor del Registro di sistema.

  Ripristino dello script di distribuzione gestita per Word 2007

  1. Salvare quanto segue in un file con estensione REG (ad esempio, Enable_RTF_In_Word.reg):
     
     Editor del Registro di sistema di Windows versione 5.00
     [HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\12.0\Word\Security\FileOpenBlock]"RtfFiles"=-
  2. Eseguire lo script del Registro di sistema riportato di sopra e creato nel passaggio 1 nel computer di destinazione utilizzando il comando seguente da un prompt dei comandi con privilegi di amministratore:
     
     Regedit /s Enable_RTF_In_Word.reg
• Leggere i messaggi di posta elettronica in formato testo normale

  Se si utilizza Microsoft Office Outlook 2002 o versioni successive o Outlook Express 6 SP1 o versioni successive, leggere i messaggi di posta elettronica in formato testo normale per proteggersi dagli attacchi tramite un messaggio di posta elettronica in formato RTF.

  Gli utenti di Microsoft Office Outlook 2002 che hanno installato Microsoft Office XP Service Pack 1 o versioni successive e gli utenti di Microsoft Office Outlook Express 6 che hanno installato Internet Explorer 6 Service Pack 1 o versioni successive possono attivare questa impostazione e visualizzare automaticamente in formato testo normale tutti i messaggi privi di firma digitale o non crittografati.

  Tale impostazione non interessa i messaggi dotati di firma digitale o crittografati, che possono essere letti nei formati originali. Per ulteriori informazioni sull'attivazione di questa impostazione in Outlook 2002, vedere l'articolo della Microsoft Knowledge Base 307594.

  Per ulteriori informazioni sull'attivazione di questa impostazione in Outlook Express 6, vedere l'articolo della Microsoft Knowledge Base 291387.

  Effetto della soluzione alternativa. I messaggi e-mail visualizzati in formato testo normale non possono includere immagini, tipi di carattere speciali, animazioni o altro contenuto completo. Inoltre:

  • Le modifiche vengono apportate sia nel riquadro di anteprima sia nei messaggi aperti.
  • Le immagini diventano allegati in modo da non andare perdute.
  • Poiché il messaggio nell'archivio è ancora in formato RTF o HTML, si potrebbero verificare comportamenti imprevisti in relazione al modello di oggetti (soluzioni di codice personalizzate).

Qual è la portata o l'impatto di questa vulnerabilità?  
Si tratta di una vulnerabilità legata all'esecuzione di codice in modalità remota. Sfruttando questa vulnerabilità, un utente malintenzionato può assumere il controllo del sistema interessato nel contesto dell'utente connesso. Potrebbe quindi installare programmi e visualizzare, modificare o eliminare dati oppure creare nuovi account con diritti utente completi.

Quali sono le cause di questa vulnerabilità?  
La vulnerabilità è causata da un errore di calcolo della memoria durante l'elaborazione di una parola di controllo appositamente predisposta all'interno di un file RTF. La memoria di sistema potrebbe essere danneggiata in modo da permettere a un utente malintenzionato di eseguire codice non autorizzato. Gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.

A quali attacchi viene esposto il sistema a causa di questa vulnerabilità?  
Sfruttando questa vulnerabilità, un utente malintenzionato può assumere il controllo del sistema interessato nel contesto dell'utente connesso. Potrebbe quindi installare programmi e visualizzare, modificare o eliminare dati oppure creare nuovi account con diritti utente completi. Se un utente è connesso con privilegi di amministrazione, un utente malintenzionato può assumere il controllo completo del sistema interessato.

In quale modo un utente malintenzionato può sfruttare questa vulnerabilità?  
Questa vulnerabilità può essere sfruttata solo se un utente apre un file RTF appositamente predisposto con una versione interessata di Microsoft Office Word o legge un messaggio di posta elettronica appositamente predisposto in Microsoft Office Outlook con Word impostato come editor predefinito di posta elettronica.

In uno scenario di attacco tramite posta elettronica, l'utente malintenzionato può sfruttare tale vulnerabilità inviando un messaggio di posta elettronica in formato RTF appositamente predisposto a un sistema che utilizza Word come editor predefinito. La vulnerabilità viene sfruttata quando un utente visualizza il messaggio (anche in anteprima).

Nota Per impostazione predefinita, Outlook 2003 non utilizza Word come editor predefinito, contrariamente a Outlook 2007.

In uno scenario di attacco dal Web, l'utente malintenzionato deve pubblicare un sito Web contenente un file RTF utilizzato per tentare di sfruttare questa vulnerabilità. Inoltre, i siti Web manomessi e quelli che accettano o ospitano contenuti forniti dagli utenti potrebbero presentare contenuti appositamente predisposti per sfruttare questa vulnerabilità. Poiché non è in alcun modo possibile obbligare gli utenti a visitare un sito Web appositamente predisposto, l'utente malintenzionato deve convincerli a visitare il sito Web, in genere inducendoli a fare clic su un collegamento contenuto in un messaggio di posta elettronica o di messaggistica immediata che li indirizzi al sito Web dell'utente malintenzionato, convincendoli quindi ad aprire un file RTF appositamente predisposto.

Quali sono i sistemi principalmente interessati da questa vulnerabilità?  
I sistemi più esposti sono quelli che utilizzano Microsoft Office Word o Microsoft Office Outlook, inclusi le workstation e i server terminal. I server potrebbero essere maggiormente a rischio se gli amministratori consentono agli utenti di accedere ai server ed eseguire programmi. Tuttavia, le procedure consigliate scoraggiano fortemente questa attribuzione di privilegi.

Quali sono gli scopi dell'aggiornamento?  
L'aggiornamento risolve la vulnerabilità modificando il modo in cui Word pulisce la memoria dopo aver rilevato un contenuto RTF non valido.

Al momento del rilascio di questo bollettino le informazioni sulla vulnerabilità erano disponibili pubblicamente?  
No. Microsoft ha ricevuto informazioni sulla vulnerabilità da fonti private. Secondo le informazioni in possesso di Microsoft, al momento della pubblicazione del presente bollettino l'esistenza di questa vulnerabilità non era stata ancora divulgata pubblicamente.

Al momento del rilascio di questo bollettino erano già stati segnalati attacchi basati sullo sfruttamento di questa vulnerabilità?  
No. Al momento della pubblicazione del presente bollettino, Microsoft non aveva ricevuto alcuna segnalazione in merito allo sfruttamento di questa vulnerabilità a scopo di attacco, né dell'esistenza di un codice di prova pubblicato.

Per fattore attenuante si intende un'impostazione, una configurazione comune o una procedura consigliata generica esistente in uno stato predefinito in grado di ridurre la gravità nello sfruttamento di una vulnerabilità. I seguenti fattori attenuanti possono essere utili per l'utente:

• Sfruttando questa vulnerabilità, un utente malintenzionato può ottenere gli stessi diritti utente dell'utente locale. Gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.
• In uno scenario di attacco basato sul Web l'utente malintenzionato può pubblicare un sito Web contenente una pagina utilizzata per sfruttare la vulnerabilità. Inoltre, i siti Web manomessi e quelli che accettano o ospitano contenuti o annunci pubblicitari forniti dagli utenti potrebbero presentare contenuti appositamente predisposti per sfruttare questa vulnerabilità. In tutti questi casi, comunque, non è in alcun modo possibile obbligare gli utenti a visitare questi siti Web. Un utente malintenzionato dovrebbe dunque convincere gli utenti a visitare il sito Web, in genere inducendoli a fare clic su un collegamento contenuto in un messaggio di posta elettronica o di messaggistica immediata che li indirizzi al sito Web dell'utente malintenzionato e convincendoli quindi ad aprire il file RTF appositamente predisposto.
• Agli utenti che hanno installato e utilizzano lo strumento Office Document Open Confirmation Tool per Office 2000 verrà richiesto di scegliere Apri, Salva o Annulla prima di aprire un documento. Le funzionalità dello strumento Office Document Open Confirmation Tool sono incorporate in Office XP e Office 2003.

Per soluzione alternativa si intende un'impostazione o una modifica nella configurazione che non elimina la vulnerabilità sottostante, ma consente di bloccare gli attacchi noti prima di applicare l'aggiornamento. Microsoft ha verificato le seguenti soluzioni alternative e segnala nel corso della discussione se tali soluzioni riducono la funzionalità:

• Evitare che Word carichi dei file RTF

  Nota La modifica non corretta del Registro di sistema potrebbe provocare problemi tali da rendere necessaria la reinstallazione del sistema operativo. Microsoft non garantisce la risoluzione di problemi dovuti a una modifica non corretta del Registro di sistema. È quindi necessario eseguire questa modifica con grande attenzione.

  File interattivo per Word 2003

  Se è stato installato l'aggiornamento per la protezione 934181, è possibile evitare che questo tipo di file venga caricato in Word 2003.

  1. Fare clic sul pulsante Start, scegliere Esegui, digitare regedit nella casella Apri e fare clic su OK.
  2. Individuare e fare clic sulla seguente sottochiave del Registro di sistema:
     
     HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\11.0\Word\Security\FileOpenBlock
     
     Se la sottochiave FileOpenBlock non esiste, è necessario crearla. A tale scopo, attenersi alla seguente procedura:
     
     a. Selezionare la sottochiave Security.
     b. Scegliere Nuovo dal menu Modifica, quindi fare clic su Chiave.
     c. Digitare FileOpenBlock e premere INVIO.
  3. Dopo aver selezionato la sottochiave FileOpenBlock, individuare il valore DWORD RtfFiles. Nota: se questo valore non esiste, occorre crearlo. A tale scopo, attenersi alla seguente procedura:
     
     a. Scegliere Nuovo dal menu Modifica, quindi fare clic sul valore DWORD.
     b. Digitare RtfFiles e premere INVIO.
  4. Fare clic col pulsante destro del mouse su RtfFiles e scegliere Modifica.
  5. Nella casella Dati valore, digitare 1, quindi scegliere OK.
  6. Scegliere Esci dal menu File per chiudere l'Editor del Registro di sistema.

  Script di distribuzione gestita per Word 2003

  Se è stato installato l'aggiornamento per la protezione 934181, è possibile evitare che questo tipo di file venga caricato in Word 2003.

  1. Salvare quanto segue in un file con estensione REG (ad esempio, Disable_RTF_In_Word.reg):
     
     Editor del Registro di sistema di Windows versione 5.00 [HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\11.0\Word\Security\FileOpenBlock]"RtfFiles"=dword:00000001
  2. Eseguire lo script del Registro di sistema riportato di sopra e creato nel passaggio 1 nel computer di destinazione utilizzando il comando seguente da un prompt dei comandi con privilegi di amministratore:
     
     Regedit /s Disable_RTF_In_Word.reg

  File interattivo per Word 2007

  1. Fare clic sul pulsante Start, scegliere Esegui, digitare regedit nella casella Apri e fare clic su OK.
  2. Individuare e fare clic sulla seguente sottochiave del Registro di sistema:
     
     HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\12.0\Word\Security\FileOpenBlock
     
     Se la sottochiave FileOpenBlock non esiste, è necessario crearla. A tale scopo, attenersi alla seguente procedura:
     
     a. Selezionare la sottochiave Security.
     b. Scegliere Nuovo dal menu Modifica, quindi fare clic su Chiave.
     c. Digitare FileOpenBlock e premere INVIO.
  3. Dopo aver selezionato la sottochiave FileOpenBlock, individuare il valore DWORD RtfFiles. Nota: se questo valore non esiste, occorre crearlo. A tale scopo, attenersi alla seguente procedura:
     
     a. Scegliere Nuovo dal menu Modifica, quindi fare clic sul valore DWORD.
     b. Digitare RtfFiles e premere INVIO.
  4. Fare clic col pulsante destro del mouse su RtfFiles e scegliere Modifica.
  5. Nella casella Dati valore, digitare 1, quindi scegliere OK.
  6. Scegliere Esci dal menu File per chiudere l'Editor del Registro di sistema.

  Script di distribuzione gestita per Word 2007

  1. Salvare quanto segue in un file con estensione REG (ad esempio, Disable_RTF_In_Word.reg):
     
     Editor del Registro di sistema di Windows versione 5.00
     [HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\12.0\Word\Security\FileOpenBlock]"RtfFiles"=dword:00000001
  2. Eseguire lo script del Registro di sistema riportato di sopra e creato nel passaggio 1 nel computer di destinazione utilizzando il comando seguente da un prompt dei comandi con privilegi di amministratore:
     
     Regedit /s Disable_RTF_In_Word.reg

  Effetto della soluzione alternativa. Word non sarà in grado di leggere i file RTF.

  Per annullare il risultato della soluzione alternativa.

  Ripristino del file interattivo per Word 2003

  1. Fare clic sul pulsante Start, scegliere Esegui, digitare regedit nella casella Apri e fare clic su OK.
  2. Individuare e fare clic sulla seguente sottochiave del Registro di sistema:
     
     HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\11.0\Word\Security\FileOpenBlock
  3. Fare clic col pulsante destro del mouse su RtfFiles e scegliere Elimina.
  4. Nella finestra di dialogo Conferma eliminazione valori, fare clic su Sì.
  5. Scegliere Esci dal menu File per chiudere l'Editor del Registro di sistema.

  Ripristino dello script di distribuzione gestita per Word 2003

  1. Salvare quanto segue in un file con estensione REG (ad esempio, Enable_RTF_In_Word.reg):
     
     Editor del Registro di sistema di Windows versione 5.00
     [HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\11.0\Word\Security\FileOpenBlock]"RtfFiles"=-
  2. Eseguire lo script del Registro di sistema riportato di sopra e creato nel passaggio 1 nel computer di destinazione utilizzando il comando seguente da un prompt dei comandi con privilegi di amministratore:
     
     Regedit /s Enable_RTF_In_Word.reg

  Ripristino del file interattivo per Word 2007

  1. Fare clic sul pulsante Start, scegliere Esegui, digitare regedit nella casella Apri e fare clic su OK.
  2. Individuare e fare clic sulla seguente sottochiave del Registro di sistema:
     
     HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\12.0\Word\Security\FileOpenBlock
  3. Fare clic col pulsante destro del mouse su RtfFiles e scegliere Elimina.
  4. Nella finestra di dialogo Conferma eliminazione valori, fare clic su Sì.
  5. Scegliere Esci dal menu File per chiudere l'Editor del Registro di sistema.

  Ripristino dello script di distribuzione gestita per Word 2007

  1. Salvare quanto segue in un file con estensione REG (ad esempio, Enable_RTF_In_Word.reg):
     
     Editor del Registro di sistema di Windows versione 5.00
     [HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\12.0\Word\Security\FileOpenBlock]"RtfFiles"=-
  2. Eseguire lo script del Registro di sistema riportato di sopra e creato nel passaggio 1 nel computer di destinazione utilizzando il comando seguente da un prompt dei comandi con privilegi di amministratore:
     
     Regedit /s Enable_RTF_In_Word.reg
• Leggere i messaggi di posta elettronica in formato testo normale

  Se si utilizza Microsoft Office Outlook 2002 o versioni successive o Outlook Express 6 SP1 o versioni successive, leggere i messaggi di posta elettronica in formato testo normale per proteggersi dagli attacchi tramite un messaggio di posta elettronica in formato RTF.

  Gli utenti di Microsoft Office Outlook 2002 che hanno installato Microsoft Office XP Service Pack 1 o versioni successive e gli utenti di Microsoft Office Outlook Express 6 che hanno installato Internet Explorer 6 Service Pack 1 o versioni successive possono attivare questa impostazione e visualizzare automaticamente in formato testo normale tutti i messaggi privi di firma digitale o non crittografati.

  Tale impostazione non interessa i messaggi dotati di firma digitale o crittografati, che possono essere letti nei formati originali. Per ulteriori informazioni sull'attivazione di questa impostazione in Outlook 2002, vedere l'articolo della Microsoft Knowledge Base 307594.

  Per ulteriori informazioni sull'attivazione di questa impostazione in Outlook Express 6, vedere l'articolo della Microsoft Knowledge Base 291387.

  Effetto della soluzione alternativa. I messaggi e-mail visualizzati in formato testo normale non possono includere immagini, tipi di carattere speciali, animazioni o altro contenuto completo. Inoltre:

  • Le modifiche vengono apportate sia nel riquadro di anteprima sia nei messaggi aperti.
  • Le immagini diventano allegati in modo da non andare perdute.
  • Poiché il messaggio nell'archivio è ancora in formato RTF o HTML, si potrebbero verificare comportamenti imprevisti in relazione al modello di oggetti (soluzioni di codice personalizzate).

Qual è la portata o l'impatto di questa vulnerabilità?  
Si tratta di una vulnerabilità legata all'esecuzione di codice in modalità remota. Sfruttando questa vulnerabilità, un utente malintenzionato può assumere il controllo del sistema interessato nel contesto dell'utente connesso. Potrebbe quindi installare programmi e visualizzare, modificare o eliminare dati oppure creare nuovi account con diritti utente completi.

Quali sono le cause di questa vulnerabilità?  
La vulnerabilità è causata da un errore di calcolo della memoria durante l'elaborazione di una parola di controllo appositamente predisposta all'interno di un file RTF. La memoria di sistema potrebbe essere danneggiata in modo da permettere a un utente malintenzionato di eseguire codice non autorizzato. Gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.

A quali attacchi viene esposto il sistema a causa di questa vulnerabilità?  
Sfruttando questa vulnerabilità, un utente malintenzionato può assumere il controllo del sistema interessato nel contesto dell'utente connesso. Potrebbe quindi installare programmi e visualizzare, modificare o eliminare dati oppure creare nuovi account con diritti utente completi. Se un utente è connesso con privilegi di amministrazione, un utente malintenzionato può assumere il controllo completo del sistema interessato.

In quale modo un utente malintenzionato può sfruttare questa vulnerabilità?  
Questa vulnerabilità può essere sfruttata solo se un utente apre un file RTF appositamente predisposto con una versione interessata di Microsoft Office Word o legge un messaggio di posta elettronica appositamente predisposto in Microsoft Office Outlook con Word impostato come editor predefinito di posta elettronica.

In uno scenario di attacco tramite posta elettronica, l'utente malintenzionato può sfruttare tale vulnerabilità inviando un messaggio di posta elettronica in formato RTF appositamente predisposto a un sistema che utilizza Word come editor predefinito. La vulnerabilità viene sfruttata quando un utente visualizza il messaggio (anche in anteprima).

Nota Per impostazione predefinita, Outlook 2003 non utilizza Word come editor predefinito, contrariamente a Outlook 2007.

In uno scenario di attacco dal Web, l'utente malintenzionato deve pubblicare un sito Web contenente un file RTF utilizzato per tentare di sfruttare questa vulnerabilità. Inoltre, i siti Web manomessi e quelli che accettano o ospitano contenuti forniti dagli utenti potrebbero presentare contenuti appositamente predisposti per sfruttare questa vulnerabilità. Poiché non è in alcun modo possibile obbligare gli utenti a visitare un sito Web appositamente predisposto, l'utente malintenzionato deve convincerli a visitare il sito Web, in genere inducendoli a fare clic su un collegamento contenuto in un messaggio di posta elettronica o di messaggistica immediata che li indirizzi al sito Web dell'utente malintenzionato, convincendoli quindi ad aprire un file RTF appositamente predisposto.

Quali sono i sistemi principalmente interessati da questa vulnerabilità?  
I sistemi più esposti sono quelli che utilizzano il software interessato, inclusi le workstation e i server terminal. I server potrebbero essere maggiormente a rischio se gli amministratori consentono agli utenti di accedere ai server ed eseguire programmi. Tuttavia, le procedure consigliate scoraggiano fortemente questa attribuzione di privilegi.

Quali sono gli scopi dell'aggiornamento?  
L'aggiornamento risolve la vulnerabilità modificando il modo in cui Word calcola l'allocazione della memoria richiesta durante l'apertura di file RTF.

Al momento del rilascio di questo bollettino le informazioni sulla vulnerabilità erano disponibili pubblicamente?  
No. Microsoft ha ricevuto informazioni sulla vulnerabilità da fonti private. Secondo le informazioni in possesso di Microsoft, al momento della pubblicazione del presente bollettino l'esistenza di questa vulnerabilità non era stata ancora divulgata pubblicamente.

Al momento del rilascio di questo bollettino erano già stati segnalati attacchi basati sullo sfruttamento di questa vulnerabilità?  
No. Al momento della pubblicazione del presente bollettino, Microsoft non aveva ricevuto alcuna segnalazione in merito allo sfruttamento di questa vulnerabilità a scopo di attacco, né dell'esistenza di un codice di prova pubblicato.

Per fattore attenuante si intende un'impostazione, una configurazione comune o una procedura consigliata generica esistente in uno stato predefinito in grado di ridurre la gravità nello sfruttamento di una vulnerabilità. I seguenti fattori attenuanti possono essere utili per l'utente:

• Sfruttando questa vulnerabilità, un utente malintenzionato può ottenere gli stessi diritti utente dell'utente locale. Gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.
• In uno scenario di attacco basato sul Web l'utente malintenzionato può pubblicare un sito Web contenente una pagina utilizzata per sfruttare la vulnerabilità. Inoltre, i siti Web manomessi e quelli che accettano o ospitano contenuti o annunci pubblicitari forniti dagli utenti potrebbero presentare contenuti appositamente predisposti per sfruttare questa vulnerabilità. In tutti questi casi, comunque, non è in alcun modo possibile obbligare gli utenti a visitare questi siti Web. Un utente malintenzionato dovrebbe dunque convincere gli utenti a visitare il sito Web, in genere inducendoli a fare clic su un collegamento contenuto in un messaggio di posta elettronica o di messaggistica immediata che li indirizzi al sito Web dell'utente malintenzionato e convincendoli quindi ad aprire il file RTF appositamente predisposto.
• Agli utenti che hanno installato e utilizzano lo strumento Office Document Open Confirmation Tool per Office 2000 verrà richiesto di scegliere Apri, Salva o Annulla prima di aprire un documento. Le funzionalità dello strumento Office Document Open Confirmation Tool sono incorporate in Office XP e Office 2003.

Per soluzione alternativa si intende un'impostazione o una modifica nella configurazione che non elimina la vulnerabilità sottostante, ma consente di bloccare gli attacchi noti prima di applicare l'aggiornamento. Microsoft ha verificato le seguenti soluzioni alternative e segnala nel corso della discussione se tali soluzioni riducono la funzionalità:

• Evitare che Word carichi dei file RTF

  Nota La modifica non corretta del Registro di sistema potrebbe provocare problemi tali da rendere necessaria la reinstallazione del sistema operativo. Microsoft non garantisce la risoluzione di problemi dovuti a una modifica non corretta del Registro di sistema. È quindi necessario eseguire questa modifica con grande attenzione.

  File interattivo per Word 2003

  Se è stato installato l'aggiornamento per la protezione 934181, è possibile evitare che questo tipo di file venga caricato in Word 2003.

  1. Fare clic sul pulsante Start, scegliere Esegui, digitare regedit nella casella Apri e fare clic su OK.
  2. Individuare e fare clic sulla seguente sottochiave del Registro di sistema:
     
     HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\11.0\Word\Security\FileOpenBlock
     
     Se la sottochiave FileOpenBlock non esiste, è necessario crearla. A tale scopo, attenersi alla seguente procedura:
     
     a. Selezionare la sottochiave Security.
     b. Scegliere Nuovo dal menu Modifica, quindi fare clic su Chiave.
     c. Digitare FileOpenBlock e premere INVIO.
  3. Dopo aver selezionato la sottochiave FileOpenBlock, individuare il valore DWORD RtfFiles. Nota: se questo valore non esiste, occorre crearlo. A tale scopo, attenersi alla seguente procedura:
     
     a. Scegliere Nuovo dal menu Modifica, quindi fare clic sul valore DWORD.
     b. Digitare RtfFiles e premere INVIO.
  4. Fare clic col pulsante destro del mouse su RtfFiles e scegliere Modifica.
  5. Nella casella Dati valore, digitare 1, quindi scegliere OK.
  6. Scegliere Esci dal menu File per chiudere l'Editor del Registro di sistema.

  Script di distribuzione gestita per Word 2003

  Se è stato installato l'aggiornamento per la protezione 934181, è possibile evitare che questo tipo di file venga caricato in Word 2003.

  1. Salvare quanto segue in un file con estensione REG (ad esempio, Disable_RTF_In_Word.reg):
     
     Editor del Registro di sistema di Windows versione 5.00 [HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\11.0\Word\Security\FileOpenBlock]"RtfFiles"=dword:00000001
  2. Eseguire lo script del Registro di sistema riportato di sopra e creato nel passaggio 1 nel computer di destinazione utilizzando il comando seguente da un prompt dei comandi con privilegi di amministratore:
     
     Regedit /s Disable_RTF_In_Word.reg

  File interattivo per Word 2007

  1. Fare clic sul pulsante Start, scegliere Esegui, digitare regedit nella casella Apri e fare clic su OK.
  2. Individuare e fare clic sulla seguente sottochiave del Registro di sistema:
     
     HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\12.0\Word\Security\FileOpenBlock
     
     Se la sottochiave FileOpenBlock non esiste, è necessario crearla. A tale scopo, attenersi alla seguente procedura:
     
     a. Selezionare la sottochiave Security.
     b. Scegliere Nuovo dal menu Modifica, quindi fare clic su Chiave.
     c. Digitare FileOpenBlock e premere INVIO.
  3. Dopo aver selezionato la sottochiave FileOpenBlock, individuare il valore DWORD RtfFiles. Nota: se questo valore non esiste, occorre crearlo. A tale scopo, attenersi alla seguente procedura:
     
     a. Scegliere Nuovo dal menu Modifica, quindi fare clic sul valore DWORD.
     b. Digitare RtfFiles e premere INVIO.
  4. Fare clic col pulsante destro del mouse su RtfFiles e scegliere Modifica.
  5. Nella casella Dati valore, digitare 1, quindi scegliere OK.
  6. Scegliere Esci dal menu File per chiudere l'Editor del Registro di sistema.

  Script di distribuzione gestita per Word 2007

  1. Salvare quanto segue in un file con estensione REG (ad esempio, Disable_RTF_In_Word.reg):
     
     Editor del Registro di sistema di Windows versione 5.00
     [HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\12.0\Word\Security\FileOpenBlock]"RtfFiles"=dword:00000001
  2. Eseguire lo script del Registro di sistema riportato di sopra e creato nel passaggio 1 nel computer di destinazione utilizzando il comando seguente da un prompt dei comandi con privilegi di amministratore:
     
     Regedit /s Disable_RTF_In_Word.reg

  Effetto della soluzione alternativa. Word non sarà in grado di leggere i file RTF.

  Per annullare il risultato della soluzione alternativa.

  Ripristino del file interattivo per Word 2003

  1. Fare clic sul pulsante Start, scegliere Esegui, digitare regedit nella casella Apri e fare clic su OK.
  2. Individuare e fare clic sulla seguente sottochiave del Registro di sistema:
     
     HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\11.0\Word\Security\FileOpenBlock
  3. Fare clic col pulsante destro del mouse su RtfFiles e scegliere Elimina.
  4. Nella finestra di dialogo Conferma eliminazione valori, fare clic su Sì.
  5. Scegliere Esci dal menu File per chiudere l'Editor del Registro di sistema.

  Ripristino dello script di distribuzione gestita per Word 2003

  1. Salvare quanto segue in un file con estensione REG (ad esempio, Enable_RTF_In_Word.reg):
     
     Editor del Registro di sistema di Windows versione 5.00
     [HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\11.0\Word\Security\FileOpenBlock]"RtfFiles"=-
  2. Eseguire lo script del Registro di sistema riportato di sopra e creato nel passaggio 1 nel computer di destinazione utilizzando il comando seguente da un prompt dei comandi con privilegi di amministratore:
     
     Regedit /s Enable_RTF_In_Word.reg

  Ripristino del file interattivo per Word 2007

  1. Fare clic sul pulsante Start, scegliere Esegui, digitare regedit nella casella Apri e fare clic su OK.
  2. Individuare e fare clic sulla seguente sottochiave del Registro di sistema:
     
     HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\12.0\Word\Security\FileOpenBlock
  3. Fare clic col pulsante destro del mouse su RtfFiles e scegliere Elimina.
  4. Nella finestra di dialogo Conferma eliminazione valori, fare clic su Sì.
  5. Scegliere Esci dal menu File per chiudere l'Editor del Registro di sistema.

  Ripristino dello script di distribuzione gestita per Word 2007

  1. Salvare quanto segue in un file con estensione REG (ad esempio, Enable_RTF_In_Word.reg):
     
     Editor del Registro di sistema di Windows versione 5.00
     [HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\12.0\Word\Security\FileOpenBlock]"RtfFiles"=-
  2. Eseguire lo script del Registro di sistema riportato di sopra e creato nel passaggio 1 nel computer di destinazione utilizzando il comando seguente da un prompt dei comandi con privilegi di amministratore:
     
     Regedit /s Enable_RTF_In_Word.reg
• Leggere i messaggi di posta elettronica in formato testo normale

  Se si utilizza Microsoft Office Outlook 2002 o versioni successive o Outlook Express 6 SP1 o versioni successive, leggere i messaggi di posta elettronica in formato testo normale per proteggersi dagli attacchi tramite un messaggio di posta elettronica in formato RTF.

  Gli utenti di Microsoft Office Outlook 2002 che hanno installato Microsoft Office XP Service Pack 1 o versioni successive e gli utenti di Microsoft Office Outlook Express 6 che hanno installato Internet Explorer 6 Service Pack 1 o versioni successive possono attivare questa impostazione e visualizzare automaticamente in formato testo normale tutti i messaggi privi di firma digitale o non crittografati.

  Tale impostazione non interessa i messaggi dotati di firma digitale o crittografati, che possono essere letti nei formati originali. Per ulteriori informazioni sull'attivazione di questa impostazione in Outlook 2002, vedere l'articolo della Microsoft Knowledge Base 307594.

  Per ulteriori informazioni sull'attivazione di questa impostazione in Outlook Express 6, vedere l'articolo della Microsoft Knowledge Base 291387.

  Effetto della soluzione alternativa. I messaggi e-mail visualizzati in formato testo normale non possono includere immagini, tipi di carattere speciali, animazioni o altro contenuto completo. Inoltre:

  • Le modifiche vengono apportate sia nel riquadro di anteprima sia nei messaggi aperti.
  • Le immagini diventano allegati in modo da non andare perdute.
  • Poiché il messaggio nell'archivio è ancora in formato RTF o HTML, si potrebbero verificare comportamenti imprevisti in relazione al modello di oggetti (soluzioni di codice personalizzate).

Qual è la portata o l'impatto di questa vulnerabilità?  
Si tratta di una vulnerabilità legata all'esecuzione di codice in modalità remota. Sfruttando questa vulnerabilità, un utente malintenzionato può assumere il controllo del sistema interessato nel contesto dell'utente connesso. Potrebbe quindi installare programmi e visualizzare, modificare o eliminare dati oppure creare nuovi account con diritti utente completi. Gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.

Quali sono le cause di questa vulnerabilità?  
La vulnerabilità è causata da un errore di calcolo della memoria durante l'elaborazione di una parola di controllo appositamente predisposta all'interno di un file RTF. La memoria di sistema potrebbe essere danneggiata in modo da permettere a un utente malintenzionato di eseguire codice non autorizzato.

A quali attacchi viene esposto il sistema a causa di questa vulnerabilità?  
Sfruttando questa vulnerabilità, un utente malintenzionato può assumere il controllo del sistema interessato nel contesto dell'utente connesso. Potrebbe quindi installare programmi e visualizzare, modificare o eliminare dati oppure creare nuovi account con diritti utente completi. Se un utente è connesso con privilegi di amministrazione, un utente malintenzionato può assumere il controllo completo del sistema interessato.

In quale modo un utente malintenzionato può sfruttare questa vulnerabilità?  
Questa vulnerabilità può essere sfruttata solo se un utente apre un file RTF appositamente predisposto con una versione interessata di Microsoft Office Word o legge un messaggio di posta elettronica appositamente predisposto in Microsoft Office Outlook con Word impostato come editor predefinito di posta elettronica.

In uno scenario di attacco tramite posta elettronica, l'utente malintenzionato può sfruttare tale vulnerabilità inviando un messaggio di posta elettronica in formato RTF appositamente predisposto a un sistema che utilizza Word come editor predefinito. La vulnerabilità viene sfruttata quando un utente visualizza il messaggio (anche in anteprima).

Nota Per impostazione predefinita, Outlook 2003 non utilizza Word come editor predefinito, contrariamente a Outlook 2007.

In uno scenario di attacco dal Web, l'utente malintenzionato deve pubblicare un sito Web contenente un file RTF utilizzato per tentare di sfruttare questa vulnerabilità. Inoltre, i siti Web manomessi e quelli che accettano o ospitano contenuti forniti dagli utenti potrebbero presentare contenuti appositamente predisposti per sfruttare questa vulnerabilità. Poiché non è in alcun modo possibile obbligare gli utenti a visitare un sito Web appositamente predisposto, l'utente malintenzionato deve convincerli a visitare il sito Web, in genere inducendoli a fare clic su un collegamento contenuto in un messaggio di posta elettronica o di messaggistica immediata che li indirizzi al sito Web dell'utente malintenzionato, convincendoli quindi ad aprire un file RTF appositamente predisposto.

Quali sono i sistemi principalmente interessati da questa vulnerabilità?  
I sistemi più esposti sono quelli che utilizzano il software interessato, inclusi le workstation e i server terminal. I server potrebbero essere maggiormente a rischio se gli amministratori consentono agli utenti di accedere ai server ed eseguire programmi. Tuttavia, le procedure consigliate scoraggiano fortemente questa attribuzione di privilegi.

Quali sono gli scopi dell'aggiornamento?  
L'aggiornamento risolve la vulnerabilità modificando il modo in cui Word calcola l'allocazione della memoria richiesta durante l'apertura di file RTF.

Al momento del rilascio di questo bollettino le informazioni sulla vulnerabilità erano disponibili pubblicamente?  
No. Microsoft ha ricevuto informazioni sulla vulnerabilità da fonti private. Secondo le informazioni in possesso di Microsoft, al momento della pubblicazione del presente bollettino l'esistenza di questa vulnerabilità non era stata ancora divulgata pubblicamente.

Al momento del rilascio di questo bollettino erano già stati segnalati attacchi basati sullo sfruttamento di questa vulnerabilità?  
No. Al momento della pubblicazione del presente bollettino, Microsoft non aveva ricevuto alcuna segnalazione in merito allo sfruttamento di questa vulnerabilità a scopo di attacco, né dell'esistenza di un codice di prova pubblicato.

Per fattore attenuante si intende un'impostazione, una configurazione comune o una procedura consigliata generica esistente in uno stato predefinito in grado di ridurre la gravità nello sfruttamento di una vulnerabilità. I seguenti fattori attenuanti possono essere utili per l'utente:

• Sfruttando questa vulnerabilità, un utente malintenzionato può ottenere gli stessi diritti utente dell'utente locale. Gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.
• In uno scenario di attacco basato sul Web l'utente malintenzionato può pubblicare un sito Web contenente una pagina utilizzata per sfruttare la vulnerabilità. Inoltre, i siti Web manomessi e quelli che accettano o ospitano contenuti o annunci pubblicitari forniti dagli utenti potrebbero presentare contenuti appositamente predisposti per sfruttare questa vulnerabilità. In tutti questi casi, comunque, non è in alcun modo possibile obbligare gli utenti a visitare questi siti Web. Un utente malintenzionato dovrebbe dunque convincere gli utenti a visitare il sito Web, in genere inducendoli a fare clic su un collegamento contenuto in un messaggio di posta elettronica o di messaggistica immediata che li indirizzi al sito Web dell'utente malintenzionato e convincendoli quindi ad aprire il file RTF appositamente predisposto.
• Agli utenti che hanno installato e utilizzano lo strumento Office Document Open Confirmation Tool per Office 2000 verrà richiesto di scegliere Apri, Salva o Annulla prima di aprire un documento. Le funzionalità dello strumento Office Document Open Confirmation Tool sono incorporate in Office XP e Office 2003.

Per soluzione alternativa si intende un'impostazione o una modifica nella configurazione che non elimina la vulnerabilità sottostante, ma consente di bloccare gli attacchi noti prima di applicare l'aggiornamento. Microsoft ha verificato le seguenti soluzioni alternative e segnala nel corso della discussione se tali soluzioni riducono la funzionalità:

• Evitare che Word carichi dei file RTF

  Nota La modifica non corretta del Registro di sistema potrebbe provocare problemi tali da rendere necessaria la reinstallazione del sistema operativo. Microsoft non garantisce la risoluzione di problemi dovuti a una modifica non corretta del Registro di sistema. È quindi necessario eseguire questa modifica con grande attenzione.

  File interattivo per Word 2003

  Se è stato installato l'aggiornamento per la protezione 934181, è possibile evitare che questo tipo di file venga caricato in Word 2003.

  1. Fare clic sul pulsante Start, scegliere Esegui, digitare regedit nella casella Apri e fare clic su OK.
  2. Individuare e fare clic sulla seguente sottochiave del Registro di sistema:
     
     HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\11.0\Word\Security\FileOpenBlock
     
     Se la sottochiave FileOpenBlock non esiste, è necessario crearla. A tale scopo, attenersi alla seguente procedura:
     
     a. Selezionare la sottochiave Security.
     b. Scegliere Nuovo dal menu Modifica, quindi fare clic su Chiave.
     c. Digitare FileOpenBlock e premere INVIO.
  3. Dopo aver selezionato la sottochiave FileOpenBlock, individuare il valore DWORD RtfFiles. Nota: se questo valore non esiste, occorre crearlo. A tale scopo, attenersi alla seguente procedura:
     
     a. Scegliere Nuovo dal menu Modifica, quindi fare clic sul valore DWORD.
     b. Digitare RtfFiles e premere INVIO.
  4. Fare clic col pulsante destro del mouse su RtfFiles e scegliere Modifica.
  5. Nella casella Dati valore, digitare 1, quindi scegliere OK.
  6. Scegliere Esci dal menu File per chiudere l'Editor del Registro di sistema.

  Script di distribuzione gestita per Word 2003

  Se è stato installato l'aggiornamento per la protezione 934181, è possibile evitare che questo tipo di file venga caricato in Word 2003.

  1. Salvare quanto segue in un file con estensione REG (ad esempio, Disable_RTF_In_Word.reg):
     
     Editor del Registro di sistema di Windows versione 5.00 [HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\11.0\Word\Security\FileOpenBlock]"RtfFiles"=dword:00000001
  2. Eseguire lo script del Registro di sistema riportato di sopra e creato nel passaggio 1 nel computer di destinazione utilizzando il comando seguente da un prompt dei comandi con privilegi di amministratore:
     
     Regedit /s Disable_RTF_In_Word.reg

  File interattivo per Word 2007

  1. Fare clic sul pulsante Start, scegliere Esegui, digitare regedit nella casella Apri e fare clic su OK.
  2. Individuare e fare clic sulla seguente sottochiave del Registro di sistema:
     
     HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\12.0\Word\Security\FileOpenBlock
     
     Se la sottochiave FileOpenBlock non esiste, è necessario crearla. A tale scopo, attenersi alla seguente procedura:
     
     a. Selezionare la sottochiave Security.
     b. Scegliere Nuovo dal menu Modifica, quindi fare clic su Chiave.
     c. Digitare FileOpenBlock e premere INVIO.
  3. Dopo aver selezionato la sottochiave FileOpenBlock, individuare il valore DWORD RtfFiles. Nota: se questo valore non esiste, occorre crearlo. A tale scopo, attenersi alla seguente procedura:
     
     a. Scegliere Nuovo dal menu Modifica, quindi fare clic sul valore DWORD.
     b. Digitare RtfFiles e premere INVIO.
  4. Fare clic col pulsante destro del mouse su RtfFiles e scegliere Modifica.
  5. Nella casella Dati valore, digitare 1, quindi scegliere OK.
  6. Scegliere Esci dal menu File per chiudere l'Editor del Registro di sistema.

  Script di distribuzione gestita per Word 2007

  1. Salvare quanto segue in un file con estensione REG (ad esempio, Disable_RTF_In_Word.reg):
     
     Editor del Registro di sistema di Windows versione 5.00
     [HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\12.0\Word\Security\FileOpenBlock]"RtfFiles"=dword:00000001
  2. Eseguire lo script del Registro di sistema riportato di sopra e creato nel passaggio 1 nel computer di destinazione utilizzando il comando seguente da un prompt dei comandi con privilegi di amministratore:
     
     Regedit /s Disable_RTF_In_Word.reg

  Effetto della soluzione alternativa. Word non sarà in grado di leggere i file RTF.

  Per annullare il risultato della soluzione alternativa.

  Ripristino del file interattivo per Word 2003

  1. Fare clic sul pulsante Start, scegliere Esegui, digitare regedit nella casella Apri e fare clic su OK.
  2. Individuare e fare clic sulla seguente sottochiave del Registro di sistema:
     
     HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\11.0\Word\Security\FileOpenBlock
  3. Fare clic col pulsante destro del mouse su RtfFiles e scegliere Elimina.
  4. Nella finestra di dialogo Conferma eliminazione valori, fare clic su Sì.
  5. Scegliere Esci dal menu File per chiudere l'Editor del Registro di sistema.

  Ripristino dello script di distribuzione gestita per Word 2003

  1. Salvare quanto segue in un file con estensione REG (ad esempio, Enable_RTF_In_Word.reg):
     
     Editor del Registro di sistema di Windows versione 5.00
     [HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\11.0\Word\Security\FileOpenBlock]"RtfFiles"=-
  2. Eseguire lo script del Registro di sistema riportato di sopra e creato nel passaggio 1 nel computer di destinazione utilizzando il comando seguente da un prompt dei comandi con privilegi di amministratore:
     
     Regedit /s Enable_RTF_In_Word.reg

  Ripristino del file interattivo per Word 2007

  1. Fare clic sul pulsante Start, scegliere Esegui, digitare regedit nella casella Apri e fare clic su OK.
  2. Individuare e fare clic sulla seguente sottochiave del Registro di sistema:
     
     HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\12.0\Word\Security\FileOpenBlock
  3. Fare clic col pulsante destro del mouse su RtfFiles e scegliere Elimina.
  4. Nella finestra di dialogo Conferma eliminazione valori, fare clic su Sì.
  5. Scegliere Esci dal menu File per chiudere l'Editor del Registro di sistema.

  Ripristino dello script di distribuzione gestita per Word 2007

  1. Salvare quanto segue in un file con estensione REG (ad esempio, Enable_RTF_In_Word.reg):
     
     Editor del Registro di sistema di Windows versione 5.00
     [HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\12.0\Word\Security\FileOpenBlock]"RtfFiles"=-
  2. Eseguire lo script del Registro di sistema riportato di sopra e creato nel passaggio 1 nel computer di destinazione utilizzando il comando seguente da un prompt dei comandi con privilegi di amministratore:
     
     Regedit /s Enable_RTF_In_Word.reg
• Leggere i messaggi di posta elettronica in formato testo normale

  Se si utilizza Microsoft Office Outlook 2002 o versioni successive o Outlook Express 6 SP1 o versioni successive, leggere i messaggi di posta elettronica in formato testo normale per proteggersi dagli attacchi tramite un messaggio di posta elettronica in formato RTF.

  Gli utenti di Microsoft Office Outlook 2002 che hanno installato Microsoft Office XP Service Pack 1 o versioni successive e gli utenti di Microsoft Office Outlook Express 6 che hanno installato Internet Explorer 6 Service Pack 1 o versioni successive possono attivare questa impostazione e visualizzare automaticamente in formato testo normale tutti i messaggi privi di firma digitale o non crittografati.

  Tale impostazione non interessa i messaggi dotati di firma digitale o crittografati, che possono essere letti nei formati originali. Per ulteriori informazioni sull'attivazione di questa impostazione in Outlook 2002, vedere l'articolo della Microsoft Knowledge Base 307594.

  Per ulteriori informazioni sull'attivazione di questa impostazione in Outlook Express 6, vedere l'articolo della Microsoft Knowledge Base 291387.

  Effetto della soluzione alternativa. I messaggi e-mail visualizzati in formato testo normale non possono includere immagini, tipi di carattere speciali, animazioni o altro contenuto completo. Inoltre:

  • Le modifiche vengono apportate sia nel riquadro di anteprima sia nei messaggi aperti.
  • Le immagini diventano allegati in modo da non andare perdute.
  • Poiché il messaggio nell'archivio è ancora in formato RTF o HTML, si potrebbero verificare comportamenti imprevisti in relazione al modello di oggetti (soluzioni di codice personalizzate).

Qual è la portata o l'impatto di questa vulnerabilità?  
Si tratta di una vulnerabilità legata all'esecuzione di codice in modalità remota. Sfruttando questa vulnerabilità, un utente malintenzionato può assumere il controllo del sistema interessato nel contesto dell'utente connesso. Potrebbe quindi installare programmi e visualizzare, modificare o eliminare dati oppure creare nuovi account con diritti utente completi. Gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.

Quali sono le cause di questa vulnerabilità?  
La vulnerabilità è causata da un errore di calcolo della memoria durante l'elaborazione di una stringa non valida in un file RTF appositamente predisposto. La memoria di sistema potrebbe essere danneggiata in modo da permettere a un utente malintenzionato di eseguire codice non autorizzato.

A quali attacchi viene esposto il sistema a causa di questa vulnerabilità?  
Sfruttando questa vulnerabilità, un utente malintenzionato può assumere il controllo del sistema interessato nel contesto dell'utente connesso. Potrebbe quindi installare programmi e visualizzare, modificare o eliminare dati oppure creare nuovi account con diritti utente completi. Se un utente è connesso con privilegi di amministrazione, un utente malintenzionato può assumere il controllo completo del sistema interessato.

In quale modo un utente malintenzionato può sfruttare questa vulnerabilità?  
Questa vulnerabilità può essere sfruttata solo se un utente apre un file RTF appositamente predisposto con una versione interessata di Microsoft Office Word o legge un messaggio di posta elettronica appositamente predisposto in Microsoft Office Outlook con Word impostato come editor predefinito di posta elettronica.

In uno scenario di attacco tramite posta elettronica, l'utente malintenzionato può sfruttare tale vulnerabilità inviando un messaggio di posta elettronica in formato RTF appositamente predisposto a un sistema che utilizza Word come editor predefinito. La vulnerabilità viene sfruttata quando un utente visualizza il messaggio (anche in anteprima).

Nota Per impostazione predefinita, Outlook 2003 non utilizza Word come editor predefinito, contrariamente a Outlook 2007.

In uno scenario di attacco dal Web, l'utente malintenzionato deve pubblicare un sito Web contenente un file RTF utilizzato per tentare di sfruttare questa vulnerabilità. Inoltre, i siti Web manomessi e quelli che accettano o ospitano contenuti forniti dagli utenti potrebbero presentare contenuti appositamente predisposti per sfruttare questa vulnerabilità. Poiché non è in alcun modo possibile obbligare gli utenti a visitare un sito Web appositamente predisposto, l'utente malintenzionato deve convincerli a visitare il sito Web, in genere inducendoli a fare clic su un collegamento contenuto in un messaggio di posta elettronica o di messaggistica immediata che li indirizzi al sito Web dell'utente malintenzionato, convincendoli quindi ad aprire un file RTF appositamente predisposto.

Quali sono i sistemi principalmente interessati da questa vulnerabilità?  
I sistemi più esposti sono quelli che utilizzano il software interessato, inclusi le workstation e i server terminal. I server potrebbero essere maggiormente a rischio se gli amministratori consentono agli utenti di accedere ai server ed eseguire programmi. Tuttavia, le procedure consigliate scoraggiano fortemente questa attribuzione di privilegi.

Quali sono gli scopi dell'aggiornamento?  
L'aggiornamento risolve la vulnerabilità modificando il modo in cui Word calcola l'allocazione della memoria richiesta durante l'apertura di file RTF.

Al momento del rilascio di questo bollettino le informazioni sulla vulnerabilità erano disponibili pubblicamente?  
No. Microsoft ha ricevuto informazioni sulla vulnerabilità da fonti private. Secondo le informazioni in possesso di Microsoft, al momento della pubblicazione del presente bollettino l'esistenza di questa vulnerabilità non era stata ancora divulgata pubblicamente.

Al momento del rilascio di questo bollettino erano già stati segnalati attacchi basati sullo sfruttamento di questa vulnerabilità?  
No. Al momento della pubblicazione del presente bollettino, Microsoft non aveva ricevuto alcuna segnalazione in merito allo sfruttamento di questa vulnerabilità a scopo di attacco, né dell'esistenza di un codice di prova pubblicato.

Per fattore attenuante si intende un'impostazione, una configurazione comune o una procedura consigliata generica esistente in uno stato predefinito in grado di ridurre la gravità nello sfruttamento di una vulnerabilità. I seguenti fattori attenuanti possono essere utili per l'utente:

• Sfruttando questa vulnerabilità, un utente malintenzionato può ottenere gli stessi diritti utente dell'utente locale. Gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.
• Non è possibile sfruttare la vulnerabilità automaticamente per posta elettronica. L'attacco è possibile solo se l'utente apre un allegato a un messaggio di posta elettronica.
• In uno scenario di attacco dal Web, un sito Web può contenere un file di Word utilizzato per sfruttare questa vulnerabilità. Un utente malintenzionato dovrebbe convincere gli utenti a visitare il sito Web e ad aprire un file di Word appositamente predisposto, in genere inducendoli a fare clic su un collegamento contenuto in un messaggio di posta elettronica o di Instant Messenger che li indirizzi al sito Web dell'utente malintenzionato, convincendoli quindi ad aprire il file di Word appositamente predisposto.
• Agli utenti che hanno installato e utilizzano lo strumento Office Document Open Confirmation Tool per Office 2000 verrà richiesto di scegliere Apri, Salva o Annulla prima di aprire un documento. Le funzionalità dello strumento Office Document Open Confirmation Tool sono incorporate in Office XP e Office 2003.

Per soluzione alternativa si intende un'impostazione o una modifica nella configurazione che non elimina la vulnerabilità sottostante, ma consente di bloccare gli attacchi noti prima di applicare l'aggiornamento. Microsoft ha verificato le seguenti soluzioni alternative e segnala nel corso della discussione se tali soluzioni riducono la funzionalità:

• Non aprire o salvare file Microsoft Office provenienti da fonti non attendibili oppure ricevuti inaspettatamente da fonti attendibili. Questa vulnerabilità può essere sfruttata quando un utente apre un file appositamente predisposto.
• Sui sistemi client Word, utilizzare Microsoft Office Isolated Conversion Environment (MOICE) per aprire i file di dubbia provenienza.

  Microsoft Office Isolated Conversion Environment (MOICE) costituisce una protezione per le installazioni di Office 2003 consentendo di aprire con maggiore sicurezza i file in formato binario di Word, Excel e PowerPoint.

  Per installare MOICE, è necessario avere installato Office 2003 o Office System 2007.

  Per installare MOICE, è necessario disporre del pacchetto di compatibilità per i file in formato Word, Excel e PowerPoint 2007. Il pacchetto di compatibilità è disponibile per il download gratuito nell'Area download Microsoft:
  
  Scaricare adesso il pacchetto FileFormatConverters.exe

  MOICE necessita di tutti gli aggiornamenti consigliati per i programmi Office. Accedere a Microsoft Update per installare tutti gli aggiornamenti consigliati:
  
  http://update.microsoft.com/microsoftupdate/v6/default.aspx?ln=it-it

  Per attivare MOICE, modificare il programma di gestione registrato per i formati di file .xls, .xlt e .xla. Nella tabella che segue viene descritto il comando per attivare o disattivare MOICE per i formati di file xls, xlt e xla:

Nota In Windows Vista e Windows Server 2008 i comandi dovranno essere eseguiti da un prompt dei comandi di livello elevato.

Per ulteriori informazioni su MOICE, vedere l'articolo della Microsoft Knowledge Base 935865.

Impatto della soluzione alternativa. Office 2003 e i documenti precedentemente formattati convertiti nel formato XML aperto di Microsoft Office System 2007 da MOICE non mantengono la funzionalità macro. Inoltre, i documenti con password o protetti con Digital Rights Management non possono essere convertiti.

Qual è la portata o l'impatto di questa vulnerabilità?  
Si tratta di una vulnerabilità legata all'esecuzione di codice in modalità remota. Sfruttando questa vulnerabilità, un utente malintenzionato potrebbe assumere il pieno controllo del sistema interessato. Potrebbe quindi installare programmi e visualizzare, modificare o eliminare dati oppure creare nuovi account con diritti utente completi.

Quali sono le cause di questa vulnerabilità?  
Durante l'apertura di un file Office appositamente predisposto, la memoria di sistema potrebbe essere danneggiata in modo da permettere a un utente malintenzionato di eseguire codice non autorizzato.

A quali attacchi viene esposto il sistema a causa di questa vulnerabilità?  
Sfruttando questa vulnerabilità, un utente malintenzionato potrebbe eseguire codice non autorizzato nel contesto dell'utente collegato. Potrebbe quindi installare programmi e visualizzare, modificare o eliminare dati oppure creare nuovi account con diritti utente completi. Se un utente è connesso con privilegi di amministrazione, un utente malintenzionato può assumere il controllo completo del sistema interessato. Gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.

In quale modo un utente malintenzionato può sfruttare questa vulnerabilità?  
Questa vulnerabilità può essere sfruttata solo se un utente apre un file di Word appositamente predisposto con una versione interessata di Microsoft Office Word.

In uno scenario di attacco tramite posta elettronica, l'utente malintenzionato può sfruttare la vulnerabilità inviando un file di Word appositamente predisposto e convincendo l'utente ad aprirlo.

In uno scenario di attacco dal Web, un sito Web può contenere un file di Word utilizzato per sfruttare questa vulnerabilità. Un utente malintenzionato dovrebbe convincere gli utenti a visitare il sito Web e ad aprire un file di Word appositamente predisposto, in genere inducendoli a fare clic su un collegamento contenuto in un messaggio di posta elettronica o di Instant Messenger che li indirizzi al sito Web dell'utente malintenzionato, convincendoli quindi ad aprire il file di Word appositamente predisposto.

Quali sono i sistemi principalmente interessati da questa vulnerabilità?  
I sistemi più esposti sono quelli che utilizzano il software interessato, inclusi le workstation e i server terminal. I server potrebbero essere maggiormente a rischio se gli amministratori consentono agli utenti di accedere ai server ed eseguire programmi. Tuttavia, le procedure consigliate scoraggiano fortemente questa attribuzione di privilegi.

Quali sono gli scopi dell'aggiornamento?  
L'aggiornamento rimuove la vulnerabilità modificando il modo in cui Microsoft Word apre i file. Dopo aver applicato questo aggiornamento, tuttavia, il tentativo di aprire un documento di Microsoft Word appositamente predisposto potrebbe ancora provocare l'uscita imprevista da Word o la visualizzazione di un messaggio di errore. Non è possibile sfruttare questo comportamento.

Al momento del rilascio di questo bollettino le informazioni sulla vulnerabilità erano disponibili pubblicamente?  
No. Microsoft ha ricevuto informazioni sulla vulnerabilità da fonti private. Secondo le informazioni in possesso di Microsoft, al momento della pubblicazione del presente bollettino l'esistenza di questa vulnerabilità non era stata ancora divulgata pubblicamente.

Al momento del rilascio di questo bollettino erano già stati segnalati attacchi basati sullo sfruttamento di questa vulnerabilità?  
No. Al momento della pubblicazione del presente bollettino, Microsoft non aveva ricevuto alcuna segnalazione in merito allo sfruttamento di questa vulnerabilità a scopo di attacco, né dell'esistenza di un codice di prova pubblicato.

Tabella di riferimento

La seguente tabella contiene le informazioni relative all'aggiornamento per la protezione per questo software. Per ulteriori informazioni, consultare la sottosezione Informazioni per la distribuzione di questa sezione.

Tabella di riferimento

La seguente tabella contiene le informazioni relative all'aggiornamento per la protezione per questo software. Per ulteriori informazioni, consultare la sottosezione Informazioni per la distribuzione di questa sezione.

Tabella di riferimento

La seguente tabella contiene le informazioni relative all'aggiornamento per la protezione per questo software. Per ulteriori informazioni, consultare la sottosezione Informazioni per la distribuzione di questa sezione.

Tabella di riferimento

La seguente tabella contiene le informazioni relative all'aggiornamento per la protezione per questo software. Per ulteriori informazioni, consultare la sottosezione Informazioni per la distribuzione di questa sezione.

Tabella di riferimento

La seguente tabella contiene le informazioni relative all'aggiornamento per la protezione per questo software. Per ulteriori informazioni, consultare la sottosezione Informazioni per la distribuzione di questa sezione.