Bollettino Microsoft sulla sicurezza MS10-002 - Critico

Per fattore attenuante si intende un'impostazione, una configurazione comune o una procedura consigliata generica esistente in uno stato predefinito in grado di ridurre la gravità nello sfruttamento di una vulnerabilità. I seguenti fattori attenuanti possono essere utili per l'utente:

• Internet Explorer 5.01 Service Pack 4, Internet Explorer 6.0, Internet Explorer 6 Service Pack 1 e Internet Explorer 7 non sono interessati dalla vulnerabilità.

Microsoft non ha individuato alcuna soluzione alternativa per questa vulnerabilità.

Qual è la portata o l'impatto di questa vulnerabilità?  
Questa vulnerabilità riguarda l'intercettazione di informazioni personali. Un utente malintenzionato può sfruttare la vulnerabilità creando una pagina Web appositamente predisposta o inserendo il contenuto dannoso all'interno di un sito Web attendibile. Sfruttando questa vulnerabilità, un utente malintenzionato può eseguire sul computer di un altro utente un codice di script identificato erroneamente come sito Web di terze parti. Tale codice di script viene eseguito nel browser quando si visita un sito Web di terze parti e può eseguire sul computer dell'utente tutte le operazioni consentite al sito Web di terze parti. Tale vulnerabilità può essere sfruttata solo se l'utente fa clic su un collegamento ipertestuale in un messaggio di posta elettronica in formato HTML o se visita il sito Web di un utente malintenzionato o un sito Web il cui contenuto sia controllato da un utente malintenzionato.

Quali sono le cause di questa vulnerabilità?  
In determinate circostanze, Internet Explorer disattiva un attributo HTML che normalmente verrebbe filtrato nei dati HTTP inviati come risposta. Di conseguenza, una pagina Web appositamente predisposta può essere caricata in maniera tale da permettere ad un utente malintenzionato di eseguire lo script nel contesto di un utente collegato ad un dominio Internet diverso.

A quali attacchi viene esposto il sistema a causa di questa vulnerabilità?  
Sfruttando questa vulnerabilità, un utente malintenzionato può eseguire sul computer di un altro utente un codice di script identificato erroneamente come sito Web di terze parti. Tale codice di script viene eseguito nel browser quando si visita un sito Web di terze parti e può eseguire sul computer dell'utente tutte le operazioni consentite al sito Web di terze parti. Tale vulnerabilità può essere sfruttata solo se l'utente fa clic su un collegamento ipertestuale in un messaggio di posta elettronica in formato HTML o se visita il sito Web di un utente malintenzionato o un sito Web il cui contenuto sia controllato da un utente malintenzionato.

In quale modo un utente malintenzionato può sfruttare questa vulnerabilità?  
Un utente malintenzionato può inserire del contenuto, appositamente predisposto per sfruttare questa vulnerabilità, su un sito Web. L'utente malintenzionato deve quindi convincere l'utente a visualizzare il contenuto sul sito Web. Quando l'utente naviga all'interno di un sito Web attendibile, il filtro XSS disattiva gli attributi HTML nel contenuto predisposto. In questo modo si crea una condizione tale da permettere l'esecuzione dello script dannoso in un contesto di protezione errato e l'intercettazione di informazioni personali.

Quali sono i sistemi principalmente interessati da questa vulnerabilità?  
Questa vulnerabilità può essere sfruttata per l'esecuzione di azioni dannose solo se un utente è connesso al sistema e visita un sito Web. I sistemi maggiormente a rischio sono pertanto quelli in cui Internet Explorer viene utilizzato frequentemente, come le workstation e i server terminal.

Se si utilizza Internet Explorer per Windows Server 2003 o per Windows Server 2008, il problema ha una portata più limitata?  
Sì. Per impostazione predefinita, Internet Explorer in Windows Server 2003 e Windows Server 2008 viene eseguito in una modalità limitata denominata Protezione avanzata. La configurazione Protezione avanzata è costituita da un gruppo di impostazioni di Internet Explorer preconfigurate che riduce la probabilità che un utente o un amministratore scarichi ed esegua contenuto Web appositamente predisposto in un server. Questo è un fattore attenuante per i siti Web che non sono stati aggiunti all'area Siti attendibili di Internet Explorer. Consultare anche il documento relativo alla gestione della Protezione avanzata di Internet Explorer.

Quali sono gli scopi dell'aggiornamento?  
L'aggiornamento risolve la vulnerabilità impedendo al filtro XSS di Internet Explorer di disattivare gli attributi HTML in maniera errata.

Al momento del rilascio di questo bollettino le informazioni sulla vulnerabilità erano disponibili pubblicamente?  
No. Microsoft ha ricevuto informazioni sulla vulnerabilità da fonti private.

Al momento del rilascio di questo bollettino erano già stati segnalati attacchi basati sullo sfruttamento di questa vulnerabilità?  
No. Al momento della pubblicazione del presente bollettino, Microsoft non aveva ricevuto alcuna segnalazione in merito allo sfruttamento di questa vulnerabilità a scopo di attacco, né dell'esistenza di un codice di prova pubblicato.

Per fattore attenuante si intende un'impostazione, una configurazione comune o una procedura consigliata generica esistente in uno stato predefinito in grado di ridurre la gravità nello sfruttamento di una vulnerabilità. I seguenti fattori attenuanti possono essere utili per l'utente:

• In uno scenario di attacco basato sul Web, l'utente malintenzionato potrebbe pubblicare un sito Web contenente una pagina utilizzata per sfruttare la vulnerabilità. Inoltre, i siti Web manomessi e quelli che accettano o ospitano contenuti o annunci pubblicitari forniti dagli utenti potrebbero presentare contenuti appositamente predisposti per sfruttare questa vulnerabilità. In tutti questi casi, comunque, non è in alcun modo possibile obbligare gli utenti a visitare questi siti Web. L'utente malintenzionato dovrebbe invece convincere le vittime a visitare il sito Web, in genere inducendole a fare clic su un collegamento in un messaggio di posta elettronica o di messaggistica immediata che le indirizzi al sito.
• Sfruttando questa vulnerabilità, un utente malintenzionato può ottenere gli stessi diritti utente dell'utente locale. Pertanto, gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.
• Per impostazione predefinita, tutte le versioni supportate di Microsoft Outlook, Microsoft Outlook Express e Windows Mail aprono i messaggi di posta elettronica in formato HTML nell'area Siti con restrizioni. L'area Siti con restrizioni consente di ridurre gli attacchi volti a sfruttare questa vulnerabilità impedendo l'esecuzione di script attivi e l'utilizzo di controlli ActiveX durante la lettura di messaggi di posta elettronica in formato HTML. Se tuttavia si fa clic su un collegamento presente in un messaggio di posta elettronica, tale vulnerabilità potrebbe ancora sussistere con le modalità descritte nello scenario di attacco dal Web.
• Per impostazione predefinita, Internet Explorer in Windows Server 2003 e Windows Server 2008 viene eseguito in una modalità limitata denominata Protezione avanzata. Il livello di protezione per l'area Internet viene così impostato su Alto. Questo è un fattore attenuante per i siti Web che non sono stati aggiunti all'area Siti attendibili di Internet Explorer. Vedere la sottosezione Domande frequenti nella sezione dedicata a questa vulnerabilità per ulteriori informazioni sulla Protezione avanzata di Internet Explorer.
• Internet Explorer 5.01 Service Pack 4, Internet Explorer 6.0 e Internet Explorer 6 Service Pack 1 non sono interessati da questa vulnerabilità.

Per soluzione alternativa si intende un'impostazione o una modifica nella configurazione che non elimina la vulnerabilità sottostante, ma consente di bloccare gli attacchi noti prima di applicare l'aggiornamento. Microsoft ha verificato le seguenti soluzioni alternative e segnala nel corso della discussione se tali soluzioni riducono la funzionalità:

• Impostare il livello dell'area di protezione Internet e Intranet locale su "Alta" in modo che venga richiesta conferma dell'esecuzione di controlli ActiveX e script attivo in queste aree.

  È possibile contribuire a una protezione più efficace del sistema dai rischi connessi a questa vulnerabilità, modificando le impostazioni relative all'area di protezione Internet in modo che venga richiesta conferma prima di eseguire controlli ActiveX e script attivo. Tale operazione può essere eseguita impostando la protezione del browser su Alta.

  Per aumentare il livello di protezione del browser in Internet Explorer, attenersi alla seguente procedura:

  1. Dal menu Strumenti di Internet Explorer, scegliere Opzioni Internet.
  2. Nella finestra di dialogo Opzioni Internet, fare clic sulla scheda Protezione, quindi sull'icona Internet.
  3. In Livello di protezione per l'area, spostare il dispositivo di scorrimento su Alta. Il livello di protezione per tutti i siti Web visitati viene così impostato su Alta.

  Nota Se il dispositivo di scorrimento non è visibile, fare clic su Livello predefinito, quindi spostare il dispositivo di scorrimento su Alta.

  Nota Con l'impostazione della protezione su Alta, alcuni siti Web potrebbero non funzionare nel modo corretto. Se si incontrano difficoltà nell'utilizzo di un sito Web dopo aver effettuato questa modifica e si è certi che il sito è sicuro, è possibile aggiungere il sito all'elenco Siti attendibili. In questo modo il sito funzionerà correttamente anche quando la protezione è impostata su Alta.

  Effetto della soluzione alternativa. La visualizzazione di una richiesta di conferma prima dell'esecuzione di controlli ActiveX e di script attivo può avere effetti collaterali. Numerosi siti Web su Internet o sua una rete Intranet utilizzano ActiveX o script attivo per offrire funzionalità aggiuntive. Un sito di e-commerce o di online banking, ad esempio, può utilizzare controlli ActiveX per la visualizzazione dei menu, dei moduli d'ordine o degli estratti conto. La richiesta di conferma prima dell'esecuzione di controlli ActiveX o script attivo è un'impostazione globale per tutti i siti Internet e Intranet. Se si utilizza questa soluzione alternativa, le richieste di conferma verranno visualizzate di frequente. A ogni richiesta di conferma, se si ritiene che il sito da visitare sia attendibile, fare clic su Sì per consentire l'esecuzione dei controlli ActiveX o script attivo. Se non si desidera che venga richiesta conferma per tutti i siti, utilizzare la procedura descritta in "Aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer".

  Aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer.

  Dopo l'impostazione della richiesta di conferma prima dell'esecuzione di controlli ActiveX e script attivo nelle aree Internet e Intranet locale, è possibile aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer. In questo modo è possibile continuare a utilizzare i siti Web attendibili nel modo abituale, proteggendo al tempo stesso il sistema da eventuali attacchi dai siti non attendibili. Si raccomanda di aggiungere all'area Siti attendibili solo i siti effettivamente ritenuti attendibili.

  A tale scopo, attenersi alla seguente procedura:

  1. In Internet Explorer, scegliere Opzioni Internet dal menu Strumenti e fare clic sulla scheda Protezione.
  2. Nella sezione Selezionare un'area di contenuto Web per specificare le relative impostazioni di protezione fare clic sull'icona Siti attendibili, quindi sul pulsante Siti.
  3. Se si desidera aggiungere siti che non richiedono un canale crittografato, deselezionare la check box Richiedi verifica server (https:) per tutti i siti dell'area.
  4. Digitare nella casella Aggiungi il sito Web all'area l'URL del sito desiderato, quindi fare clic sul pulsante Aggiungi.
  5. Ripetere la procedura per ogni sito da aggiungere all'area.
  6. Fare due volte clic su OK per confermare le modifiche e tornare a Internet Explorer.

  Nota È possibile aggiungere qualsiasi sito che si ritiene non eseguirà operazioni dannose sul sistema. In particolare è utile aggiungere i due siti *.windowsupdate.microsoft.com e *.update.microsoft.com, ovvero i siti che ospiteranno l'aggiornamento per cui è richiesto l'utilizzo di un controllo ActiveX per l'installazione.

• Configurare Internet Explorer in modo che venga richiesta conferma prima dell'esecuzione di script attivo oppure disattivare tali script nell'area di protezione Internet e Intranet locale

  È possibile contribuire a una protezione più efficace del sistema dai rischi connessi a questa vulnerabilità modificando le impostazioni in modo che venga richiesta conferma prima di eseguire script attivo o vengano disattivati tali script nell'area di protezione Internet e Intranet locale. A tale scopo, attenersi alla seguente procedura:

  1. In Internet Explorer, scegliere Opzioni Internet dal menu Strumenti.
  2. Selezionare la scheda Protezione.
  3. Selezionare Internet e fare clic sul pulsante Livello personalizzato.
  4. Nella sezione Esecuzione script dell'elenco Impostazioni, selezionare Esecuzione script attivo, quindi fare clic su Chiedi conferma o Disattiva e su OK.
  5. Selezionare Intranet locale, quindi fare clic sul pulsante Livello personalizzato.
  6. Nella sezione Esecuzione script dell'elenco Impostazioni, selezionare Esecuzione script attivo, quindi fare clic su Chiedi conferma o Disattiva e su OK.
  7. Fare due volte clic su OK per tornare a Internet Explorer.

  Nota Se si disattiva Esecuzione script attivo nelle aree di protezione Internet e Intranet locale, alcuni siti Web potrebbero non funzionare nel modo corretto. Se si incontrano difficoltà nell'utilizzo di un sito Web dopo aver effettuato questa modifica e si è certi che il sito è sicuro, è possibile aggiungere il sito all'elenco Siti attendibili. In questo modo il sito funzionerà correttamente.

  Effetto della soluzione alternativa. La visualizzazione di una richiesta di conferma prima dell'esecuzione di script attivo può avere effetti collaterali. Numerosi siti Web su Internet o sua una rete Intranet utilizzano script attivo per offrire funzionalità aggiuntive. Un sito di e-commerce o di online banking, ad esempio, può utilizzare script attivo per la visualizzazione dei menu, dei moduli d'ordine o degli estratti conto. La richiesta di conferma prima dell'esecuzione di script attivo è un'impostazione globale per tutti i siti Internet e Intranet. Se si utilizza questa soluzione alternativa, le richieste di conferma verranno visualizzate di frequente. A ogni richiesta di conferma, se si ritiene che il sito da visitare sia attendibile, fare clic su Sì per consentire l'esecuzione di script attivo. Se non si desidera che venga richiesta conferma per tutti i siti, utilizzare la procedura descritta in "Aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer".

  Aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer.

  Dopo l'impostazione della richiesta di conferma prima dell'esecuzione di controlli ActiveX e script attivo nelle aree Internet e Intranet locale, è possibile aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer. In questo modo è possibile continuare a utilizzare i siti Web attendibili nel modo abituale, proteggendo al tempo stesso il sistema da eventuali attacchi dai siti non attendibili. Si raccomanda di aggiungere all'area Siti attendibili solo i siti effettivamente ritenuti attendibili.

  A tale scopo, attenersi alla seguente procedura:

  1. In Internet Explorer, scegliere Opzioni Internet dal menu Strumenti e fare clic sulla scheda Protezione.
  2. Nella sezione Selezionare un'area di contenuto Web per specificare le relative impostazioni di protezione fare clic sull'icona Siti attendibili, quindi sul pulsante Siti.
  3. Se si desidera aggiungere siti che non richiedono un canale crittografato, deselezionare la check box Richiedi verifica server (https:) per tutti i siti dell'area.
  4. Digitare nella casella Aggiungi il sito Web all'area l'URL del sito desiderato, quindi fare clic sul pulsante Aggiungi.
  5. Ripetere la procedura per ogni sito da aggiungere all'area.
  6. Fare due volte clic su OK per confermare le modifiche e tornare a Internet Explorer.

  Nota È possibile aggiungere qualsiasi sito che si ritiene non eseguirà operazioni dannose sul sistema. In particolare è utile aggiungere i due siti *.windowsupdate.microsoft.com e *.update.microsoft.com, ovvero i siti che ospiteranno l'aggiornamento per cui è richiesto l'utilizzo di un controllo ActiveX per l'installazione.

Qual è la portata o l'impatto di questa vulnerabilità?  
Si tratta di una vulnerabilità legata all'esecuzione di codice in modalità remota. Sfruttando questa vulnerabilità, un utente malintenzionato può ottenere gli stessi diritti utente dell'utente connesso. Gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.

Quali sono le cause di questa vulnerabilità?  
Quando Internet Explorer elabora un URL appositamente predisposto, il codice eseguito per convalidare l'URL può avviare un file binario presente nel client locale.

A quali attacchi viene esposto il sistema a causa di questa vulnerabilità?  
Sfruttando questa vulnerabilità, un utente malintenzionato può ottenere gli stessi diritti utente dell'utente connesso. Se l'utente è connesso con privilegi di amministrazione, un utente malintenzionato che sfrutti questa vulnerabilità può assumere il controllo completo del sistema interessato. Potrebbe quindi installare programmi e visualizzare, modificare o eliminare dati oppure creare nuovi account con diritti utente completi.

In quale modo un utente malintenzionato può sfruttare questa vulnerabilità?  
Un utente malintenzionato può convincere un utente a fare clic su un collegamento appositamente predisposto. Internet Explorer potrebbe convalidare erroneamente questo collegamento, consentendo l'esecuzione di codice sul sistema. Tuttavia, in nessuno di questi casi un utente malintenzionato può obbligare gli utenti a fare clic sull'URL. Un utente malintenzionato deve piuttosto convincere gli utenti a fare clic sull'URL e in genere questo avviene tramite messaggi di posta elettronica o Instant Messenger. Potrebbe inoltre far visualizzare contenuti Web appositamente predisposti utilizzando banner pubblicitari o altre modalità di invio di contenuti Web ai sistemi interessati.

Quali sono i sistemi principalmente interessati da questa vulnerabilità?  
Questa vulnerabilità può essere sfruttata per l'esecuzione di azioni dannose solo se un utente è connesso al sistema e visita un sito Web. Pertanto, i sistemi maggiormente a rischio sono quelli in cui Internet Explorer viene utilizzato frequentemente, come le workstation o i server terminal.

Quali sono gli scopi dell'aggiornamento?  
L'aggiornamento risolve la vulnerabilità facendo in modo che Internet Explorer convalidi correttamente i parametri di input.

Al momento del rilascio di questo bollettino le informazioni sulla vulnerabilità erano disponibili pubblicamente?  
No. Microsoft ha ricevuto informazioni sulla vulnerabilità da fonti private.

Al momento del rilascio di questo bollettino erano già stati segnalati attacchi basati sullo sfruttamento di questa vulnerabilità?  
No. Al momento della pubblicazione del presente bollettino, Microsoft non aveva ricevuto alcuna segnalazione in merito allo sfruttamento di questa vulnerabilità a scopo di attacco, né dell'esistenza di un codice di prova pubblicato.

Per fattore attenuante si intende un'impostazione, una configurazione comune o una procedura consigliata generica esistente in uno stato predefinito in grado di ridurre la gravità nello sfruttamento di una vulnerabilità. I seguenti fattori attenuanti possono essere utili per l'utente:

• La Protezione esecuzione dati (DEP) rafforza la protezione contro gli attacchi mirati all'esecuzione di codice ed è attivata per impostazione predefinita in Internet Explorer 8 nelle seguenti versioni del sistema operativo Windows: Windows XP Service Pack 3, Windows Vista Service Pack 1, Windows Vista Service Pack 2 e Windows 7.
• In uno scenario di attacco basato sul Web, l'utente malintenzionato potrebbe pubblicare un sito Web contenente una pagina utilizzata per sfruttare la vulnerabilità. Inoltre, i siti Web manomessi e quelli che accettano o ospitano contenuti o annunci pubblicitari forniti dagli utenti potrebbero presentare contenuti appositamente predisposti per sfruttare questa vulnerabilità. In tutti questi casi, comunque, non è in alcun modo possibile obbligare gli utenti a visitare questi siti Web. L'utente malintenzionato dovrebbe invece convincere le vittime a visitare il sito Web, in genere inducendole a fare clic su un collegamento in un messaggio di posta elettronica o di messaggistica immediata che le indirizzi al sito.
• Sfruttando questa vulnerabilità, un utente malintenzionato può ottenere gli stessi diritti utente dell'utente locale. Pertanto, gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.
• Per impostazione predefinita, tutte le versioni supportate di Microsoft Outlook, Microsoft Outlook Express e Windows Mail aprono i messaggi di posta elettronica in formato HTML nell'area Siti con restrizioni. L'area Siti con restrizioni consente di ridurre gli attacchi volti a sfruttare questa vulnerabilità impedendo l'esecuzione di script attivi e l'utilizzo di controlli ActiveX durante la lettura di messaggi di posta elettronica in formato HTML. Se tuttavia si fa clic su un collegamento presente in un messaggio di posta elettronica, tale vulnerabilità potrebbe ancora sussistere con le modalità descritte nello scenario di attacco dal Web.
• Per impostazione predefinita, Internet Explorer in Windows Server 2003 e Windows Server 2008 viene eseguito in una modalità limitata denominata Protezione avanzata. Il livello di protezione per l'area Internet viene così impostato su Alto. Questo è un fattore attenuante per i siti Web che non sono stati aggiunti all'area Siti attendibili di Internet Explorer. Vedere la sottosezione Domande frequenti nella sezione dedicata a questa vulnerabilità per ulteriori informazioni sulla Protezione avanzata di Internet Explorer.
• Internet Explorer 5.01 Service Pack 4 non è interessato dalla vulnerabilità.

Per soluzione alternativa si intende un'impostazione o una modifica nella configurazione che non elimina la vulnerabilità sottostante, ma consente di bloccare gli attacchi noti prima di applicare l'aggiornamento. Microsoft ha verificato le seguenti soluzioni alternative e segnala nel corso della discussione se tali soluzioni riducono la funzionalità:

• Impostare il livello dell'area di protezione Internet e Intranet locale su "Alta" in modo che venga richiesta conferma dell'esecuzione di controlli ActiveX e script attivo in queste aree.

  È possibile contribuire a una protezione più efficace del sistema dai rischi connessi a questa vulnerabilità, modificando le impostazioni relative all'area di protezione Internet in modo che venga richiesta conferma prima di eseguire controlli ActiveX e script attivo. Tale operazione può essere eseguita impostando la protezione del browser su Alta.

  Per aumentare il livello di protezione del browser in Internet Explorer, attenersi alla seguente procedura:

  1. Dal menu Strumenti di Internet Explorer, scegliere Opzioni Internet.
  2. Nella finestra di dialogo Opzioni Internet, fare clic sulla scheda Protezione, quindi sull'icona Internet.
  3. In Livello di protezione per l'area, spostare il dispositivo di scorrimento su Alta. Il livello di protezione per tutti i siti Web visitati viene così impostato su Alta.

  Nota Se il dispositivo di scorrimento non è visibile, fare clic su Livello predefinito, quindi spostare il dispositivo di scorrimento su Alta.

  Nota Con l'impostazione della protezione su Alta, alcuni siti Web potrebbero non funzionare nel modo corretto. Se si incontrano difficoltà nell'utilizzo di un sito Web dopo aver effettuato questa modifica e si è certi che il sito è sicuro, è possibile aggiungere il sito all'elenco Siti attendibili. In questo modo il sito funzionerà correttamente anche quando la protezione è impostata su Alta.

  Effetto della soluzione alternativa. La visualizzazione di una richiesta di conferma prima dell'esecuzione di controlli ActiveX e di script attivo può avere effetti collaterali. Numerosi siti Web su Internet o sua una rete Intranet utilizzano ActiveX o script attivo per offrire funzionalità aggiuntive. Un sito di e-commerce o di online banking, ad esempio, può utilizzare controlli ActiveX per la visualizzazione dei menu, dei moduli d'ordine o degli estratti conto. La richiesta di conferma prima dell'esecuzione di controlli ActiveX o script attivo è un'impostazione globale per tutti i siti Internet e Intranet. Se si utilizza questa soluzione alternativa, le richieste di conferma verranno visualizzate di frequente. A ogni richiesta di conferma, se si ritiene che il sito da visitare sia attendibile, fare clic su Sì per consentire l'esecuzione dei controlli ActiveX o script attivo. Se non si desidera che venga richiesta conferma per tutti i siti, utilizzare la procedura descritta in "Aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer".

  Aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer.

  Dopo l'impostazione della richiesta di conferma prima dell'esecuzione di controlli ActiveX e script attivo nelle aree Internet e Intranet locale, è possibile aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer. In questo modo è possibile continuare a utilizzare i siti Web attendibili nel modo abituale, proteggendo al tempo stesso il sistema da eventuali attacchi dai siti non attendibili. Si raccomanda di aggiungere all'area Siti attendibili solo i siti effettivamente ritenuti attendibili.

  A tale scopo, attenersi alla seguente procedura:

  1. In Internet Explorer, scegliere Opzioni Internet dal menu Strumenti e fare clic sulla scheda Protezione.
  2. Nella sezione Selezionare un'area di contenuto Web per specificare le relative impostazioni di protezione fare clic sull'icona Siti attendibili, quindi sul pulsante Siti.
  3. Se si desidera aggiungere siti che non richiedono un canale crittografato, deselezionare la check box Richiedi verifica server (https:) per tutti i siti dell'area.
  4. Digitare nella casella Aggiungi il sito Web all'area l'URL del sito desiderato, quindi fare clic sul pulsante Aggiungi.
  5. Ripetere la procedura per ogni sito da aggiungere all'area.
  6. Fare due volte clic su OK per confermare le modifiche e tornare a Internet Explorer.

  Nota È possibile aggiungere qualsiasi sito che si ritiene non eseguirà operazioni dannose sul sistema. In particolare è utile aggiungere i due siti *.windowsupdate.microsoft.com e *.update.microsoft.com, ovvero i siti che ospiteranno l'aggiornamento per cui è richiesto l'utilizzo di un controllo ActiveX per l'installazione.

• Configurare Internet Explorer in modo che venga richiesta conferma prima dell'esecuzione di script attivo oppure disattivare tali script nell'area di protezione Internet e Intranet locale

  È possibile contribuire a una protezione più efficace del sistema dai rischi connessi a questa vulnerabilità modificando le impostazioni in modo che venga richiesta conferma prima di eseguire script attivo o vengano disattivati tali script nell'area di protezione Internet e Intranet locale. A tale scopo, attenersi alla seguente procedura:

  1. In Internet Explorer, scegliere Opzioni Internet dal menu Strumenti.
  2. Selezionare la scheda Protezione.
  3. Selezionare Internet e fare clic sul pulsante Livello personalizzato.
  4. Nella sezione Esecuzione script dell'elenco Impostazioni, selezionare Esecuzione script attivo, quindi fare clic su Chiedi conferma o Disattiva e su OK.
  5. Selezionare Intranet locale, quindi fare clic sul pulsante Livello personalizzato.
  6. Nella sezione Esecuzione script dell'elenco Impostazioni, selezionare Esecuzione script attivo, quindi fare clic su Chiedi conferma o Disattiva e su OK.
  7. Fare due volte clic su OK per tornare a Internet Explorer.

  Nota Se si disattiva Esecuzione script attivo nelle aree di protezione Internet e Intranet locale, alcuni siti Web potrebbero non funzionare nel modo corretto. Se si incontrano difficoltà nell'utilizzo di un sito Web dopo aver effettuato questa modifica e si è certi che il sito è sicuro, è possibile aggiungere il sito all'elenco Siti attendibili. In questo modo il sito funzionerà correttamente.

  Effetto della soluzione alternativa. La visualizzazione di una richiesta di conferma prima dell'esecuzione di script attivo può avere effetti collaterali. Numerosi siti Web su Internet o sua una rete Intranet utilizzano script attivo per offrire funzionalità aggiuntive. Un sito di e-commerce o di online banking, ad esempio, può utilizzare script attivo per la visualizzazione dei menu, dei moduli d'ordine o degli estratti conto. La richiesta di conferma prima dell'esecuzione di script attivo è un'impostazione globale per tutti i siti Internet e Intranet. Se si utilizza questa soluzione alternativa, le richieste di conferma verranno visualizzate di frequente. A ogni richiesta di conferma, se si ritiene che il sito da visitare sia attendibile, fare clic su Sì per consentire l'esecuzione di script attivo. Se non si desidera che venga richiesta conferma per tutti i siti, utilizzare la procedura descritta in "Aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer".

  Aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer.

  Dopo l'impostazione della richiesta di conferma prima dell'esecuzione di controlli ActiveX e script attivo nelle aree Internet e Intranet locale, è possibile aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer. In questo modo è possibile continuare a utilizzare i siti Web attendibili nel modo abituale, proteggendo al tempo stesso il sistema da eventuali attacchi dai siti non attendibili. Si raccomanda di aggiungere all'area Siti attendibili solo i siti effettivamente ritenuti attendibili.

  A tale scopo, attenersi alla seguente procedura:

  1. In Internet Explorer, scegliere Opzioni Internet dal menu Strumenti e fare clic sulla scheda Protezione.
  2. Nella sezione Selezionare un'area di contenuto Web per specificare le relative impostazioni di protezione fare clic sull'icona Siti attendibili, quindi sul pulsante Siti.
  3. Se si desidera aggiungere siti che non richiedono un canale crittografato, deselezionare la check box Richiedi verifica server (https:) per tutti i siti dell'area.
  4. Digitare nella casella Aggiungi il sito Web all'area l'URL del sito desiderato, quindi fare clic sul pulsante Aggiungi.
  5. Ripetere la procedura per ogni sito da aggiungere all'area.
  6. Fare due volte clic su OK per confermare le modifiche e tornare a Internet Explorer.

  Nota È possibile aggiungere qualsiasi sito che si ritiene non eseguirà operazioni dannose sul sistema. In particolare è utile aggiungere i due siti *.windowsupdate.microsoft.com e *.update.microsoft.com, ovvero i siti che ospiteranno l'aggiornamento per cui è richiesto l'utilizzo di un controllo ActiveX per l'installazione.

• Attivazione di DEP per Internet Explorer 6 o Internet Explorer 7

  Se la protezione esecuzione dati è attivata per Internet Explorer, è più difficile riuscire a sfruttare questa vulnerabilità. È possibile attivare DEP in tutte le versioni di Internet Explorer che supportano tale protezione, utilizzando uno dei metodi seguenti:

  • Attivare DEP per Internet Explorer 7 in modo interattivo

  Gli amministratori locali possono configurare l'utilizzo del controllo DEP/NX in Internet Explorer in qualità di amministratori. Per attivare DEP, attenersi alla seguente procedura:

  1. In Internet Explorer, dal menu Strumenti scegliere Opzioni Internet, quindi fare clic sulla scheda Avanzate.
  2. Fare clic su Attiva la protezione della memoria per contrastare gli attacchi da Internet.
  3. Fare clic su OK e riavviare Internet Explorer.
  • Attivare DEP per Internet Explorer 6 o Internet Explorer 7 tramite il fix automatico di Microsoft

    Consultare l'articolo della Microsoft Knowledge Base 978207 al fine di utilizzare la soluzione di fix automatico di Microsoft per attivare o disattivare questa soluzione alternativa.

  Effetto della soluzione alternativa. Alcune estensioni browser potrebbero non essere compatibili con DEP causando una chiusura inaspettata. In questo caso è possibile disattivare il componente aggiuntivo o ripristinare l'impostazione di DEP tramite il Pannello di controllo Internet. Il Pannello di controllo Internet è accessibile anche dal pannello di controllo del sistema.

Qual è la portata o l'impatto di questa vulnerabilità?  
Si tratta di una vulnerabilità legata all'esecuzione di codice in modalità remota. Sfruttando questa vulnerabilità, un utente malintenzionato può ottenere gli stessi diritti utente dell'utente connesso. Pertanto, gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.

Quali sono le cause di questa vulnerabilità?  
Quando Internet Explorer tenta di accedere a un oggetto che è stato eliminato, la memoria può venire danneggiata in modo da consentire a un utente malintenzionato di eseguire codice arbitrario nel contesto dell'utente connesso.

A quali attacchi viene esposto il sistema a causa di questa vulnerabilità?  
Sfruttando questa vulnerabilità, un utente malintenzionato può ottenere gli stessi diritti utente dell'utente connesso. Se l'utente è connesso con privilegi di amministrazione, un utente malintenzionato che sfrutti questa vulnerabilità può assumere il controllo completo del sistema interessato. Potrebbe quindi installare programmi e visualizzare, modificare o eliminare dati oppure creare nuovi account con diritti utente completi.

In quale modo un utente malintenzionato può sfruttare questa vulnerabilità?  
Un utente malintenzionato potrebbe pubblicare siti Web appositamente predisposti per sfruttare la vulnerabilità tramite Internet Explorer e quindi convincere un utente a visualizzarli. L'utente malintenzionato potrebbe inoltre servirsi di siti Web manomessi e di siti Web che accettano o pubblicano contenuti o annunci pubblicitari inviati da altri utenti. Questi siti Web possono includere contenuti appositamente predisposti in grado di sfruttare questa vulnerabilità. In tutti questi casi, comunque, non è in alcun modo possibile obbligare gli utenti a visitare questi siti Web. L'utente malintenzionato dovrebbe invece convincere le vittime a visitare il sito, in genere inducendole a fare clic su un collegamento in un messaggio di posta elettronica o di Instant Messenger che le indirizzi al sito. Potrebbe inoltre far visualizzare contenuti Web appositamente predisposti utilizzando banner pubblicitari o altre modalità di invio di contenuti Web ai sistemi interessati.

Quali sono i sistemi principalmente interessati da questa vulnerabilità?  
Questa vulnerabilità può essere sfruttata per l'esecuzione di azioni dannose solo se un utente è connesso al sistema e visita un sito Web. Pertanto, i sistemi maggiormente a rischio sono quelli in cui Internet Explorer viene utilizzato frequentemente, come le workstation o i server terminal.

Se si utilizza Internet Explorer per Windows Server 2003 o per Windows Server 2008, il problema ha una portata più limitata?  
Sì. Per impostazione predefinita, Internet Explorer in Windows Server 2003 e Windows Server 2008 viene eseguito in una modalità limitata denominata Protezione avanzata. La configurazione Protezione avanzata è costituita da un gruppo di impostazioni di Internet Explorer preconfigurate che riduce la probabilità che un utente o un amministratore scarichi ed esegua contenuto Web appositamente predisposto in un server. Questo è un fattore attenuante per i siti Web che non sono stati aggiunti all'area Siti attendibili di Internet Explorer. Consultare anche il documento relativo alla gestione della Protezione avanzata di Internet Explorer.

Quale soluzione alternativa è opportuno applicare al sistema per proteggerlo?  
In base alle ricerche effettuate, l'impostazione del livello di protezione dell'area Internet su Alta consente di proteggere gli utenti dal problema descritto nel presente advisory.

Impostare il livello di protezione dell'area Internet su Alto consente di proteggersi da questa vulnerabilità?  
L'impostazione del livello di protezione dell'area Internet su Alta protegge da questa vulnerabilità disattivando l'esecuzione di script attivo, come pure funzionalità meno protette di Internet Explorer e bloccando tecniche conosciute utilizzate per eludere la funzionalità Protezione esecuzione programmi (DEP).

In che modo la Modalità protetta di Internet Explorer per Windows Vista e versioni successive di Windows limita l'impatto di questa vulnerabilità?  
Per impostazione predefinita, Internet Explorer per Windows Vista e i sistemi operativi Windows successivi viene eseguito in Modalità Protetta nell'area di protezione Internet. (la Modalità protetta è disattivata per impostazione predefinita nell'area Intranet). La Modalità protetta riduce considerevolmente la capacità di un utente malintenzionato di scrivere, alterare o distruggere i dati sul computer dell'utente o di installare codice dannoso. La Modalità protetta utilizza i meccanismi di integrità presenti in Windows Vista, che consentono di limitare l'accesso a processi, file e alle chiavi del Registro di sistema, impostando livelli di integrità più elevati.

Cos'è la funzionalità ASLR (Address Space Layout Randomization)?  
I sistemi che utilizzano ASLR (Address Space Layout Randomization) trasferiscono in modo pseudo-casuale i punti di accesso delle funzioni che normalmente sono allocati in modo prevedibile. La funzionalità ASLR di Windows sposta in modo casuale le DLL o gli eseguibili in una delle 256 celle di memoria. In questo modo, gli utenti malintenzionati che utilizzano indirizzi codificati hanno una probabilità su 256 di individuare la porzione di memoria esatta. Per ulteriori informazioni su ASLR, consultare l'articolo del TechNet Magazine, Il kernel di Windows Vista: Parte 3.

Che cosa significa Data Execution Prevention (DEP)?  
Il supporto Protezione esecuzione programmi è incluso in Internet Explorer e, sebbene sia attivato per impostazione predefinita in Internet Explorer 8, è disattivato per impostazione predefinita per le versioni di Internet Explorer precedenti. DEP consente di vanificare gli attacchi evitando che il codice dannoso venga eseguito in una memoria che è stata contrassegnata come non eseguibile. Per ulteriori informazioni su DEP in Internet Explorer, vedere i post sul blog di MSDN, IE8 Protezione Parte I: DEP/NX Protezione della memoria.

È possibile eludere la Protezione esecuzione programmi (DEP) in Internet Explorer 8?  
È stato segnalato un nuovo metodo di elusione della Protezione esecuzione programmi (DEP). Sono state analizzate la prove fornite con questo codice dannoso e si è concluso che Windows Vista e le successive versioni di Windows offrono maggiore protezione contro eventuali attacchi tramite elusione di ASLR (Address Space Layout Randomization). Windows XP risulta più esposto alle tecniche di elusione dei sistemi di protezione utilizzate dagli utenti malintenzionati.

Quali sono gli scopi dell'aggiornamento?  
L'aggiornamento modifica il modo in cui Internet Explorer gestisce gli oggetti nella memoria.

Al momento del rilascio di questo bollettino le informazioni sulla vulnerabilità erano disponibili pubblicamente?  
No. Microsoft ha ricevuto informazioni sulla vulnerabilità da fonti private.

Al momento del rilascio di questo bollettino erano già stati segnalati attacchi basati sullo sfruttamento di questa vulnerabilità?  
No. Al momento della pubblicazione del presente bollettino, Microsoft non aveva ricevuto alcuna segnalazione in merito allo sfruttamento di questa vulnerabilità a scopo di attacco, né dell'esistenza di un codice di prova pubblicato.

Per fattore attenuante si intende un'impostazione, una configurazione comune o una procedura consigliata generica esistente in uno stato predefinito in grado di ridurre la gravità nello sfruttamento di una vulnerabilità. I seguenti fattori attenuanti possono essere utili per l'utente:

• In uno scenario di attacco basato sul Web, l'utente malintenzionato potrebbe pubblicare un sito Web contenente una pagina utilizzata per sfruttare la vulnerabilità. Inoltre, i siti Web manomessi e quelli che accettano o ospitano contenuti o annunci pubblicitari forniti dagli utenti potrebbero presentare contenuti appositamente predisposti per sfruttare questa vulnerabilità. In tutti questi casi, comunque, non è in alcun modo possibile obbligare gli utenti a visitare questi siti Web. L'utente malintenzionato dovrebbe invece convincere le vittime a visitare il sito Web, in genere inducendole a fare clic su un collegamento in un messaggio di posta elettronica o di messaggistica immediata che le indirizzi al sito.
• Sfruttando questa vulnerabilità, un utente malintenzionato può ottenere gli stessi diritti utente dell'utente locale. Pertanto, gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.
• Per impostazione predefinita, tutte le versioni supportate di Microsoft Outlook, Microsoft Outlook Express e Windows Mail aprono i messaggi di posta elettronica in formato HTML nell'area Siti con restrizioni. L'area Siti con restrizioni consente di ridurre gli attacchi volti a sfruttare questa vulnerabilità impedendo l'esecuzione di script attivi e l'utilizzo di controlli ActiveX durante la lettura di messaggi di posta elettronica in formato HTML. Se tuttavia si fa clic su un collegamento presente in un messaggio di posta elettronica, tale vulnerabilità potrebbe ancora sussistere con le modalità descritte nello scenario di attacco dal Web.
• Per impostazione predefinita, Internet Explorer in Windows Server 2003 e Windows Server 2008 viene eseguito in una modalità limitata denominata Protezione avanzata. Il livello di protezione per l'area Internet viene così impostato su Alto. Questo è un fattore attenuante per i siti Web che non sono stati aggiunti all'area Siti attendibili di Internet Explorer. Vedere la sottosezione Domande frequenti nella sezione dedicata a questa vulnerabilità per ulteriori informazioni sulla Protezione avanzata di Internet Explorer.
• Internet Explorer 5.01 Service Pack 4, Internet Explorer 6, Internet Explorer 6 Service Pack 1 e Internet Explorer 7 non sono interessati dalla vulnerabilità.

Per soluzione alternativa si intende un'impostazione o una modifica nella configurazione che non elimina la vulnerabilità sottostante, ma consente di bloccare gli attacchi noti prima di applicare l'aggiornamento. Microsoft ha verificato le seguenti soluzioni alternative e segnala nel corso della discussione se tali soluzioni riducono la funzionalità:

• Impostare il livello dell'area di protezione Internet e Intranet locale su "Alta" in modo che venga richiesta conferma dell'esecuzione di controlli ActiveX e script attivo in queste aree.

  È possibile contribuire a una protezione più efficace del sistema dai rischi connessi a questa vulnerabilità, modificando le impostazioni relative all'area di protezione Internet in modo che venga richiesta conferma prima di eseguire controlli ActiveX e script attivo. Tale operazione può essere eseguita impostando la protezione del browser su Alta.

  Per aumentare il livello di protezione del browser in Internet Explorer, attenersi alla seguente procedura:

  1. Dal menu Strumenti di Internet Explorer, scegliere Opzioni Internet.
  2. Nella finestra di dialogo Opzioni Internet, fare clic sulla scheda Protezione, quindi sull'icona Internet.
  3. In Livello di protezione per l'area, spostare il dispositivo di scorrimento su Alta. Il livello di protezione per tutti i siti Web visitati viene così impostato su Alta.

  Nota Se il dispositivo di scorrimento non è visibile, fare clic su Livello predefinito, quindi spostare il dispositivo di scorrimento su Alta.

  Nota Con l'impostazione della protezione su Alta, alcuni siti Web potrebbero non funzionare nel modo corretto. Se si incontrano difficoltà nell'utilizzo di un sito Web dopo aver effettuato questa modifica e si è certi che il sito è sicuro, è possibile aggiungere il sito all'elenco Siti attendibili. In questo modo il sito funzionerà correttamente anche quando la protezione è impostata su Alta.

  Effetto della soluzione alternativa. La visualizzazione di una richiesta di conferma prima dell'esecuzione di controlli ActiveX e di script attivo può avere effetti collaterali. Numerosi siti Web su Internet o sua una rete Intranet utilizzano ActiveX o script attivo per offrire funzionalità aggiuntive. Un sito di e-commerce o di online banking, ad esempio, può utilizzare controlli ActiveX per la visualizzazione dei menu, dei moduli d'ordine o degli estratti conto. La richiesta di conferma prima dell'esecuzione di controlli ActiveX o script attivo è un'impostazione globale per tutti i siti Internet e Intranet. Se si utilizza questa soluzione alternativa, le richieste di conferma verranno visualizzate di frequente. A ogni richiesta di conferma, se si ritiene che il sito da visitare sia attendibile, fare clic su Sì per consentire l'esecuzione dei controlli ActiveX o script attivo. Se non si desidera che venga richiesta conferma per tutti i siti, utilizzare la procedura descritta in "Aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer".

  Aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer.

  Dopo l'impostazione della richiesta di conferma prima dell'esecuzione di controlli ActiveX e script attivo nelle aree Internet e Intranet locale, è possibile aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer. In questo modo è possibile continuare a utilizzare i siti Web attendibili nel modo abituale, proteggendo al tempo stesso il sistema da eventuali attacchi dai siti non attendibili. Si raccomanda di aggiungere all'area Siti attendibili solo i siti effettivamente ritenuti attendibili.

  A tale scopo, attenersi alla seguente procedura:

  1. In Internet Explorer, scegliere Opzioni Internet dal menu Strumenti e fare clic sulla scheda Protezione.
  2. Nella sezione Selezionare un'area di contenuto Web per specificare le relative impostazioni di protezione fare clic sull'icona Siti attendibili, quindi sul pulsante Siti.
  3. Se si desidera aggiungere siti che non richiedono un canale crittografato, deselezionare la check box Richiedi verifica server (https:) per tutti i siti dell'area.
  4. Digitare nella casella Aggiungi il sito Web all'area l'URL del sito desiderato, quindi fare clic sul pulsante Aggiungi.
  5. Ripetere la procedura per ogni sito da aggiungere all'area.
  6. Fare due volte clic su OK per confermare le modifiche e tornare a Internet Explorer.

  Nota È possibile aggiungere qualsiasi sito che si ritiene non eseguirà operazioni dannose sul sistema. In particolare è utile aggiungere i due siti *.windowsupdate.microsoft.com e *.update.microsoft.com, ovvero i siti che ospiteranno l'aggiornamento per cui è richiesto l'utilizzo di un controllo ActiveX per l'installazione.

• Configurare Internet Explorer in modo che venga richiesta conferma prima dell'esecuzione di script attivo oppure disattivare tali script nell'area di protezione Internet e Intranet locale

  È possibile contribuire a una protezione più efficace del sistema dai rischi connessi a questa vulnerabilità modificando le impostazioni in modo che venga richiesta conferma prima di eseguire script attivo o vengano disattivati tali script nell'area di protezione Internet e Intranet locale. A tale scopo, attenersi alla seguente procedura:

  1. In Internet Explorer, scegliere Opzioni Internet dal menu Strumenti.
  2. Selezionare la scheda Protezione.
  3. Selezionare Internet e fare clic sul pulsante Livello personalizzato.
  4. Nella sezione Esecuzione script dell'elenco Impostazioni, selezionare Esecuzione script attivo, quindi fare clic su Chiedi conferma o Disattiva e su OK.
  5. Selezionare Intranet locale, quindi fare clic sul pulsante Livello personalizzato.
  6. Nella sezione Esecuzione script dell'elenco Impostazioni, selezionare Esecuzione script attivo, quindi fare clic su Chiedi conferma o Disattiva e su OK.
  7. Fare due volte clic su OK per tornare a Internet Explorer.

  Nota Se si disattiva Esecuzione script attivo nelle aree di protezione Internet e Intranet locale, alcuni siti Web potrebbero non funzionare nel modo corretto. Se si incontrano difficoltà nell'utilizzo di un sito Web dopo aver effettuato questa modifica e si è certi che il sito è sicuro, è possibile aggiungere il sito all'elenco Siti attendibili. In questo modo il sito funzionerà correttamente.

  Effetto della soluzione alternativa. La visualizzazione di una richiesta di conferma prima dell'esecuzione di script attivo può avere effetti collaterali. Numerosi siti Web su Internet o sua una rete Intranet utilizzano script attivo per offrire funzionalità aggiuntive. Un sito di e-commerce o di online banking, ad esempio, può utilizzare script attivo per la visualizzazione dei menu, dei moduli d'ordine o degli estratti conto. La richiesta di conferma prima dell'esecuzione di script attivo è un'impostazione globale per tutti i siti Internet e Intranet. Se si utilizza questa soluzione alternativa, le richieste di conferma verranno visualizzate di frequente. A ogni richiesta di conferma, se si ritiene che il sito da visitare sia attendibile, fare clic su Sì per consentire l'esecuzione di script attivo. Se non si desidera che venga richiesta conferma per tutti i siti, utilizzare la procedura descritta in "Aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer".

  Aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer.

  Dopo l'impostazione della richiesta di conferma prima dell'esecuzione di controlli ActiveX e script attivo nelle aree Internet e Intranet locale, è possibile aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer. In questo modo è possibile continuare a utilizzare i siti Web attendibili nel modo abituale, proteggendo al tempo stesso il sistema da eventuali attacchi dai siti non attendibili. Si raccomanda di aggiungere all'area Siti attendibili solo i siti effettivamente ritenuti attendibili.

  A tale scopo, attenersi alla seguente procedura:

  1. In Internet Explorer, scegliere Opzioni Internet dal menu Strumenti e fare clic sulla scheda Protezione.
  2. Nella sezione Selezionare un'area di contenuto Web per specificare le relative impostazioni di protezione fare clic sull'icona Siti attendibili, quindi sul pulsante Siti.
  3. Se si desidera aggiungere siti che non richiedono un canale crittografato, deselezionare la check box Richiedi verifica server (https:) per tutti i siti dell'area.
  4. Digitare nella casella Aggiungi il sito Web all'area l'URL del sito desiderato, quindi fare clic sul pulsante Aggiungi.
  5. Ripetere la procedura per ogni sito da aggiungere all'area.
  6. Fare due volte clic su OK per confermare le modifiche e tornare a Internet Explorer.

  Nota È possibile aggiungere qualsiasi sito che si ritiene non eseguirà operazioni dannose sul sistema. In particolare è utile aggiungere i due siti *.windowsupdate.microsoft.com e *.update.microsoft.com, ovvero i siti che ospiteranno l'aggiornamento per cui è richiesto l'utilizzo di un controllo ActiveX per l'installazione.

Qual è la portata o l'impatto di questa vulnerabilità?  
Si tratta di una vulnerabilità legata all'esecuzione di codice in modalità remota. Sfruttando questa vulnerabilità, un utente malintenzionato può ottenere gli stessi diritti utente dell'utente connesso. Pertanto, gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.

Quali sono le cause di questa vulnerabilità?  
Quando Internet Explorer tenta di accedere a un oggetto che è stato eliminato, la memoria può venire danneggiata in modo da consentire a un utente malintenzionato di eseguire codice arbitrario nel contesto dell'utente connesso.

A quali attacchi viene esposto il sistema a causa di questa vulnerabilità?  
Sfruttando questa vulnerabilità, un utente malintenzionato può ottenere gli stessi diritti utente dell'utente connesso. Se l'utente è connesso con privilegi di amministrazione, un utente malintenzionato che sfrutti questa vulnerabilità può assumere il controllo completo del sistema interessato. Potrebbe quindi installare programmi e visualizzare, modificare o eliminare dati oppure creare nuovi account con diritti utente completi.

In quale modo un utente malintenzionato può sfruttare questa vulnerabilità?  
Un utente malintenzionato potrebbe pubblicare siti Web appositamente predisposti per sfruttare la vulnerabilità tramite Internet Explorer e quindi convincere un utente a visualizzarli. L'utente malintenzionato potrebbe inoltre servirsi di siti Web manomessi e di siti Web che accettano o pubblicano contenuti o annunci pubblicitari inviati da altri utenti. Questi siti Web possono includere contenuti appositamente predisposti in grado di sfruttare questa vulnerabilità. In tutti questi casi, comunque, non è in alcun modo possibile obbligare gli utenti a visitare questi siti Web. L'utente malintenzionato dovrebbe invece convincere le vittime a visitare il sito, in genere inducendole a fare clic su un collegamento in un messaggio di posta elettronica o di Instant Messenger che le indirizzi al sito. Potrebbe inoltre far visualizzare contenuti Web appositamente predisposti utilizzando banner pubblicitari o altre modalità di invio di contenuti Web ai sistemi interessati.

Quali sono i sistemi principalmente interessati da questa vulnerabilità?  
Questa vulnerabilità può essere sfruttata per l'esecuzione di azioni dannose solo se un utente è connesso al sistema e visita un sito Web. Pertanto, i sistemi maggiormente a rischio sono quelli in cui Internet Explorer viene utilizzato frequentemente, come le workstation o i server terminal.

Se si utilizza Internet Explorer per Windows Server 2003 o per Windows Server 2008, il problema ha una portata più limitata?  
Sì. Per impostazione predefinita, Internet Explorer in Windows Server 2003 e Windows Server 2008 viene eseguito in una modalità limitata denominata Protezione avanzata. La configurazione Protezione avanzata è costituita da un gruppo di impostazioni di Internet Explorer preconfigurate che riduce la probabilità che un utente o un amministratore scarichi ed esegua contenuto Web appositamente predisposto in un server. Questo è un fattore attenuante per i siti Web che non sono stati aggiunti all'area Siti attendibili di Internet Explorer. Consultare anche il documento relativo alla gestione della Protezione avanzata di Internet Explorer.

Quali sono gli scopi dell'aggiornamento?  
L'aggiornamento modifica il modo in cui Internet Explorer gestisce gli oggetti nella memoria.

Al momento del rilascio di questo bollettino le informazioni sulla vulnerabilità erano disponibili pubblicamente?  
No. Microsoft ha ricevuto informazioni sulla vulnerabilità da fonti private.

Al momento del rilascio di questo bollettino erano già stati segnalati attacchi basati sullo sfruttamento di questa vulnerabilità?  
No. Al momento della pubblicazione del presente bollettino, Microsoft non aveva ricevuto alcuna segnalazione in merito allo sfruttamento di questa vulnerabilità a scopo di attacco, né dell'esistenza di un codice di prova pubblicato.

Per fattore attenuante si intende un'impostazione, una configurazione comune o una procedura consigliata generica esistente in uno stato predefinito in grado di ridurre la gravità nello sfruttamento di una vulnerabilità. I seguenti fattori attenuanti possono essere utili per l'utente:

• La Protezione esecuzione dati (DEP) rafforza la protezione contro gli attacchi mirati all'esecuzione di codice ed è attivata per impostazione predefinita in Internet Explorer 8 nelle seguenti versioni del sistema operativo Windows: Windows XP Service Pack 3, Windows Vista Service Pack 1, Windows Vista Service Pack 2 e Windows 7.
• In uno scenario di attacco basato sul Web, l'utente malintenzionato potrebbe pubblicare un sito Web contenente una pagina utilizzata per sfruttare la vulnerabilità. Inoltre, i siti Web manomessi e quelli che accettano o ospitano contenuti o annunci pubblicitari forniti dagli utenti potrebbero presentare contenuti appositamente predisposti per sfruttare questa vulnerabilità. In tutti questi casi, comunque, non è in alcun modo possibile obbligare gli utenti a visitare questi siti Web. L'utente malintenzionato dovrebbe invece convincere le vittime a visitare il sito Web, in genere inducendole a fare clic su un collegamento in un messaggio di posta elettronica o di messaggistica immediata che le indirizzi al sito.
• Sfruttando questa vulnerabilità, un utente malintenzionato può ottenere gli stessi diritti utente dell'utente locale. Pertanto, gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.
• Per impostazione predefinita, tutte le versioni supportate di Microsoft Outlook, Microsoft Outlook Express e Windows Mail aprono i messaggi di posta elettronica in formato HTML nell'area Siti con restrizioni. L'area Siti con restrizioni consente di ridurre gli attacchi volti a sfruttare questa vulnerabilità impedendo l'esecuzione di script attivi e l'utilizzo di controlli ActiveX durante la lettura di messaggi di posta elettronica in formato HTML. Se tuttavia si fa clic su un collegamento presente in un messaggio di posta elettronica, tale vulnerabilità potrebbe ancora sussistere con le modalità descritte nello scenario di attacco dal Web.
• Per impostazione predefinita, Internet Explorer in Windows Server 2003 e Windows Server 2008 viene eseguito in una modalità limitata denominata Protezione avanzata. Il livello di protezione per l'area Internet viene così impostato su Alto. Questo è un fattore attenuante per i siti Web che non sono stati aggiunti all'area Siti attendibili di Internet Explorer. Vedere la sottosezione Domande frequenti nella sezione dedicata a questa vulnerabilità per ulteriori informazioni sulla Protezione avanzata di Internet Explorer.
• Internet Explorer 5.01 Service Pack 4, Internet Explorer 6, Internet Explorer 6 Service Pack 1 e Internet Explorer 7 non sono interessati dalla vulnerabilità.

Per soluzione alternativa si intende un'impostazione o una modifica nella configurazione che non elimina la vulnerabilità sottostante, ma consente di bloccare gli attacchi noti prima di applicare l'aggiornamento. Microsoft ha verificato le seguenti soluzioni alternative e segnala nel corso della discussione se tali soluzioni riducono la funzionalità:

• Impostare il livello dell'area di protezione Internet e Intranet locale su "Alta" in modo che venga richiesta conferma dell'esecuzione di controlli ActiveX e script attivo in queste aree.

  È possibile contribuire a una protezione più efficace del sistema dai rischi connessi a questa vulnerabilità, modificando le impostazioni relative all'area di protezione Internet in modo che venga richiesta conferma prima di eseguire controlli ActiveX e script attivo. Tale operazione può essere eseguita impostando la protezione del browser su Alta.

  Per aumentare il livello di protezione del browser in Internet Explorer, attenersi alla seguente procedura:

  1. Dal menu Strumenti di Internet Explorer, scegliere Opzioni Internet.
  2. Nella finestra di dialogo Opzioni Internet, fare clic sulla scheda Protezione, quindi sull'icona Internet.
  3. In Livello di protezione per l'area, spostare il dispositivo di scorrimento su Alta. Il livello di protezione per tutti i siti Web visitati viene così impostato su Alta.

  Nota Se il dispositivo di scorrimento non è visibile, fare clic su Livello predefinito, quindi spostare il dispositivo di scorrimento su Alta.

  Nota Con l'impostazione della protezione su Alta, alcuni siti Web potrebbero non funzionare nel modo corretto. Se si incontrano difficoltà nell'utilizzo di un sito Web dopo aver effettuato questa modifica e si è certi che il sito è sicuro, è possibile aggiungere il sito all'elenco Siti attendibili. In questo modo il sito funzionerà correttamente anche quando la protezione è impostata su Alta.

  Effetto della soluzione alternativa. La visualizzazione di una richiesta di conferma prima dell'esecuzione di controlli ActiveX e di script attivo può avere effetti collaterali. Numerosi siti Web su Internet o sua una rete Intranet utilizzano ActiveX o script attivo per offrire funzionalità aggiuntive. Un sito di e-commerce o di online banking, ad esempio, può utilizzare controlli ActiveX per la visualizzazione dei menu, dei moduli d'ordine o degli estratti conto. La richiesta di conferma prima dell'esecuzione di controlli ActiveX o script attivo è un'impostazione globale per tutti i siti Internet e Intranet. Se si utilizza questa soluzione alternativa, le richieste di conferma verranno visualizzate di frequente. A ogni richiesta di conferma, se si ritiene che il sito da visitare sia attendibile, fare clic su Sì per consentire l'esecuzione dei controlli ActiveX o script attivo. Se non si desidera che venga richiesta conferma per tutti i siti, utilizzare la procedura descritta in "Aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer".

  Aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer.

  Dopo l'impostazione della richiesta di conferma prima dell'esecuzione di controlli ActiveX e script attivo nelle aree Internet e Intranet locale, è possibile aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer. In questo modo è possibile continuare a utilizzare i siti Web attendibili nel modo abituale, proteggendo al tempo stesso il sistema da eventuali attacchi dai siti non attendibili. Si raccomanda di aggiungere all'area Siti attendibili solo i siti effettivamente ritenuti attendibili.

  A tale scopo, attenersi alla seguente procedura:

  1. In Internet Explorer, scegliere Opzioni Internet dal menu Strumenti e fare clic sulla scheda Protezione.
  2. Nella sezione Selezionare un'area di contenuto Web per specificare le relative impostazioni di protezione fare clic sull'icona Siti attendibili, quindi sul pulsante Siti.
  3. Se si desidera aggiungere siti che non richiedono un canale crittografato, deselezionare la check box Richiedi verifica server (https:) per tutti i siti dell'area.
  4. Digitare nella casella Aggiungi il sito Web all'area l'URL del sito desiderato, quindi fare clic sul pulsante Aggiungi.
  5. Ripetere la procedura per ogni sito da aggiungere all'area.
  6. Fare due volte clic su OK per confermare le modifiche e tornare a Internet Explorer.

  Nota È possibile aggiungere qualsiasi sito che si ritiene non eseguirà operazioni dannose sul sistema. In particolare è utile aggiungere i due siti *.windowsupdate.microsoft.com e *.update.microsoft.com, ovvero i siti che ospiteranno l'aggiornamento per cui è richiesto l'utilizzo di un controllo ActiveX per l'installazione.

• Configurare Internet Explorer in modo che venga richiesta conferma prima dell'esecuzione di script attivo oppure disattivare tali script nell'area di protezione Internet e Intranet locale

  È possibile contribuire a una protezione più efficace del sistema dai rischi connessi a questa vulnerabilità modificando le impostazioni in modo che venga richiesta conferma prima di eseguire script attivo o vengano disattivati tali script nell'area di protezione Internet e Intranet locale. A tale scopo, attenersi alla seguente procedura:

  1. In Internet Explorer, scegliere Opzioni Internet dal menu Strumenti.
  2. Selezionare la scheda Protezione.
  3. Selezionare Internet e fare clic sul pulsante Livello personalizzato.
  4. Nella sezione Esecuzione script dell'elenco Impostazioni, selezionare Esecuzione script attivo, quindi fare clic su Chiedi conferma o Disattiva e su OK.
  5. Selezionare Intranet locale, quindi fare clic sul pulsante Livello personalizzato.
  6. Nella sezione Esecuzione script dell'elenco Impostazioni, selezionare Esecuzione script attivo, quindi fare clic su Chiedi conferma o Disattiva e su OK.
  7. Fare due volte clic su OK per tornare a Internet Explorer.

  Nota Se si disattiva Esecuzione script attivo nelle aree di protezione Internet e Intranet locale, alcuni siti Web potrebbero non funzionare nel modo corretto. Se si incontrano difficoltà nell'utilizzo di un sito Web dopo aver effettuato questa modifica e si è certi che il sito è sicuro, è possibile aggiungere il sito all'elenco Siti attendibili. In questo modo il sito funzionerà correttamente.

  Effetto della soluzione alternativa. La visualizzazione di una richiesta di conferma prima dell'esecuzione di script attivo può avere effetti collaterali. Numerosi siti Web su Internet o sua una rete Intranet utilizzano script attivo per offrire funzionalità aggiuntive. Un sito di e-commerce o di online banking, ad esempio, può utilizzare script attivo per la visualizzazione dei menu, dei moduli d'ordine o degli estratti conto. La richiesta di conferma prima dell'esecuzione di script attivo è un'impostazione globale per tutti i siti Internet e Intranet. Se si utilizza questa soluzione alternativa, le richieste di conferma verranno visualizzate di frequente. A ogni richiesta di conferma, se si ritiene che il sito da visitare sia attendibile, fare clic su Sì per consentire l'esecuzione di script attivo. Se non si desidera che venga richiesta conferma per tutti i siti, utilizzare la procedura descritta in "Aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer".

  Aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer.

  Dopo l'impostazione della richiesta di conferma prima dell'esecuzione di controlli ActiveX e script attivo nelle aree Internet e Intranet locale, è possibile aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer. In questo modo è possibile continuare a utilizzare i siti Web attendibili nel modo abituale, proteggendo al tempo stesso il sistema da eventuali attacchi dai siti non attendibili. Si raccomanda di aggiungere all'area Siti attendibili solo i siti effettivamente ritenuti attendibili.

  A tale scopo, attenersi alla seguente procedura:

  1. In Internet Explorer, scegliere Opzioni Internet dal menu Strumenti e fare clic sulla scheda Protezione.
  2. Nella sezione Selezionare un'area di contenuto Web per specificare le relative impostazioni di protezione fare clic sull'icona Siti attendibili, quindi sul pulsante Siti.
  3. Se si desidera aggiungere siti che non richiedono un canale crittografato, deselezionare la check box Richiedi verifica server (https:) per tutti i siti dell'area.
  4. Digitare nella casella Aggiungi il sito Web all'area l'URL del sito desiderato, quindi fare clic sul pulsante Aggiungi.
  5. Ripetere la procedura per ogni sito da aggiungere all'area.
  6. Fare due volte clic su OK per confermare le modifiche e tornare a Internet Explorer.

  Nota È possibile aggiungere qualsiasi sito che si ritiene non eseguirà operazioni dannose sul sistema. In particolare è utile aggiungere i due siti *.windowsupdate.microsoft.com e *.update.microsoft.com, ovvero i siti che ospiteranno l'aggiornamento per cui è richiesto l'utilizzo di un controllo ActiveX per l'installazione.

• Attivazione di DEP per Internet Explorer 6 o Internet Explorer 7

  Se la protezione esecuzione dati è attivata per Internet Explorer, è più difficile riuscire a sfruttare questa vulnerabilità. È possibile attivare DEP in tutte le versioni di Internet Explorer che supportano tale protezione, utilizzando uno dei metodi seguenti:

  • Attivare DEP per Internet Explorer 7 in modo interattivo

  Gli amministratori locali possono configurare l'utilizzo del controllo DEP/NX in Internet Explorer in qualità di amministratori. Per attivare DEP, attenersi alla seguente procedura:

  1. In Internet Explorer, dal menu Strumenti scegliere Opzioni Internet, quindi fare clic sulla scheda Avanzate.
  2. Fare clic su Attiva la protezione della memoria per contrastare gli attacchi da Internet.
  3. Fare clic su OK e riavviare Internet Explorer.
  • Attivare DEP per Internet Explorer 6 o Internet Explorer 7 tramite il fix automatico di Microsoft

    Consultare l'articolo della Microsoft Knowledge Base 978207 al fine di utilizzare la soluzione di fix automatico di Microsoft per attivare o disattivare questa soluzione alternativa.

  Effetto della soluzione alternativa. Alcune estensioni browser potrebbero non essere compatibili con DEP causando una chiusura inaspettata. In questo caso è possibile disattivare il componente aggiuntivo o ripristinare l'impostazione di DEP tramite il Pannello di controllo Internet. Il Pannello di controllo Internet è accessibile anche dal pannello di controllo del sistema.

Qual è la portata o l'impatto di questa vulnerabilità?  
Si tratta di una vulnerabilità legata all'esecuzione di codice in modalità remota. Sfruttando questa vulnerabilità, un utente malintenzionato può ottenere gli stessi diritti utente dell'utente connesso. Pertanto, gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.

Quali sono le cause di questa vulnerabilità?  
Quando Internet Explorer tenta di accedere a un oggetto che è stato eliminato, la memoria può venire danneggiata in modo da consentire a un utente malintenzionato di eseguire codice arbitrario nel contesto dell'utente connesso.

A quali attacchi viene esposto il sistema a causa di questa vulnerabilità?  
Sfruttando questa vulnerabilità, un utente malintenzionato può ottenere gli stessi diritti utente dell'utente connesso. Se l'utente è connesso con privilegi di amministrazione, un utente malintenzionato che sfrutti questa vulnerabilità può assumere il controllo completo del sistema interessato. Potrebbe quindi installare programmi e visualizzare, modificare o eliminare dati oppure creare nuovi account con diritti utente completi.

In quale modo un utente malintenzionato può sfruttare questa vulnerabilità?  
Un utente malintenzionato potrebbe pubblicare siti Web appositamente predisposti per sfruttare la vulnerabilità tramite Internet Explorer e quindi convincere un utente a visualizzarli. L'utente malintenzionato potrebbe inoltre servirsi di siti Web manomessi e di siti Web che accettano o pubblicano contenuti o annunci pubblicitari inviati da altri utenti. Questi siti Web possono includere contenuti appositamente predisposti in grado di sfruttare questa vulnerabilità. In tutti questi casi, comunque, non è in alcun modo possibile obbligare gli utenti a visitare questi siti Web. L'utente malintenzionato dovrebbe invece convincere le vittime a visitare il sito, in genere inducendole a fare clic su un collegamento in un messaggio di posta elettronica o di Instant Messenger che le indirizzi al sito. Potrebbe inoltre far visualizzare contenuti Web appositamente predisposti utilizzando banner pubblicitari o altre modalità di invio di contenuti Web ai sistemi interessati.

Quali sono i sistemi principalmente interessati da questa vulnerabilità?  
Questa vulnerabilità può essere sfruttata per l'esecuzione di azioni dannose solo se un utente è connesso al sistema e visita un sito Web. Pertanto, i sistemi maggiormente a rischio sono quelli in cui Internet Explorer viene utilizzato frequentemente, come le workstation o i server terminal.

Se si utilizza Internet Explorer per Windows Server 2003 o per Windows Server 2008, il problema ha una portata più limitata?  
Sì. Per impostazione predefinita, Internet Explorer in Windows Server 2003 e Windows Server 2008 viene eseguito in una modalità limitata denominata Protezione avanzata. La configurazione Protezione avanzata è costituita da un gruppo di impostazioni di Internet Explorer preconfigurate che riduce la probabilità che un utente o un amministratore scarichi ed esegua contenuto Web appositamente predisposto in un server. Questo è un fattore attenuante per i siti Web che non sono stati aggiunti all'area Siti attendibili di Internet Explorer. Consultare anche il documento relativo alla gestione della Protezione avanzata di Internet Explorer.

Quale soluzione alternativa è opportuno applicare al sistema per proteggerlo?  
In base alle ricerche effettuate, l'impostazione del livello di protezione dell'area Internet su Alta consente di proteggere gli utenti dal problema descritto nel presente advisory.

Impostare il livello di protezione dell'area Internet su Alto consente di proteggersi da questa vulnerabilità?  
L'impostazione del livello di protezione dell'area Internet su Alta protegge da questa vulnerabilità disattivando l'esecuzione di script attivo, come pure funzionalità meno protette di Internet Explorer e bloccando tecniche conosciute utilizzate per eludere la funzionalità Protezione esecuzione programmi (DEP).

In che modo la Modalità protetta di Internet Explorer per Windows Vista e versioni successive di Windows limita l'impatto di questa vulnerabilità?  
Per impostazione predefinita, Internet Explorer per Windows Vista e i sistemi operativi Windows successivi viene eseguito in Modalità Protetta nell'area di protezione Internet. (la Modalità protetta è disattivata per impostazione predefinita nell'area Intranet). La Modalità protetta riduce considerevolmente la capacità di un utente malintenzionato di scrivere, alterare o distruggere i dati sul computer dell'utente o di installare codice dannoso. La Modalità protetta utilizza i meccanismi di integrità presenti in Windows Vista, che consentono di limitare l'accesso a processi, file e alle chiavi del Registro di sistema, impostando livelli di integrità più elevati.

Cos'è la funzionalità ASLR (Address Space Layout Randomization)?  
I sistemi che utilizzano ASLR (Address Space Layout Randomization) trasferiscono in modo pseudo-casuale i punti di accesso delle funzioni che normalmente sono allocati in modo prevedibile. La funzionalità ASLR di Windows sposta in modo casuale le DLL o gli eseguibili in una delle 256 celle di memoria. In questo modo, gli utenti malintenzionati che utilizzano indirizzi codificati hanno una probabilità su 256 di individuare la porzione di memoria esatta. Per ulteriori informazioni su ASLR, consultare l'articolo del TechNet Magazine, Il kernel di Windows Vista: Parte 3.

Che cosa significa Data Execution Prevention (DEP)?  
Il supporto Protezione esecuzione programmi è incluso in Internet Explorer e, sebbene sia attivato per impostazione predefinita in Internet Explorer 8, è disattivato per impostazione predefinita per le versioni di Internet Explorer precedenti. DEP consente di vanificare gli attacchi evitando che il codice dannoso venga eseguito in una memoria che è stata contrassegnata come non eseguibile. Per ulteriori informazioni su DEP in Internet Explorer, vedere i post sul blog di MSDN, IE8 Protezione Parte I: DEP/NX Protezione della memoria.

È possibile eludere la Protezione esecuzione programmi (DEP) in Internet Explorer 8?  
È stato segnalato un nuovo metodo di elusione della Protezione esecuzione programmi (DEP). Sono state analizzate la prove fornite con questo codice dannoso e si è concluso che Windows Vista e le successive versioni di Windows offrono maggiore protezione contro eventuali attacchi tramite elusione di ASLR (Address Space Layout Randomization). Windows XP risulta più esposto alle tecniche di elusione dei sistemi di protezione utilizzate dagli utenti malintenzionati.

Quali sono gli scopi dell'aggiornamento?  
L'aggiornamento modifica il modo in cui Internet Explorer gestisce gli oggetti nella memoria.

Al momento del rilascio di questo bollettino le informazioni sulla vulnerabilità erano disponibili pubblicamente?  
No. Microsoft ha ricevuto informazioni sulla vulnerabilità da fonti private.

Al momento del rilascio di questo bollettino erano già stati segnalati attacchi basati sullo sfruttamento di questa vulnerabilità?  
No. Al momento della pubblicazione del presente bollettino, Microsoft non aveva ricevuto alcuna segnalazione in merito allo sfruttamento di questa vulnerabilità a scopo di attacco, né dell'esistenza di un codice di prova pubblicato.

Per fattore attenuante si intende un'impostazione, una configurazione comune o una procedura consigliata generica esistente in uno stato predefinito in grado di ridurre la gravità nello sfruttamento di una vulnerabilità. I seguenti fattori attenuanti possono essere utili per l'utente:

• In uno scenario di attacco basato sul Web, l'utente malintenzionato potrebbe pubblicare un sito Web contenente una pagina utilizzata per sfruttare la vulnerabilità. Inoltre, i siti Web manomessi e quelli che accettano o ospitano contenuti o annunci pubblicitari forniti dagli utenti potrebbero presentare contenuti appositamente predisposti per sfruttare questa vulnerabilità. In tutti questi casi, comunque, non è in alcun modo possibile obbligare gli utenti a visitare questi siti Web. L'utente malintenzionato dovrebbe invece convincere le vittime a visitare il sito Web, in genere inducendole a fare clic su un collegamento in un messaggio di posta elettronica o di messaggistica immediata che le indirizzi al sito.
• Sfruttando questa vulnerabilità, un utente malintenzionato può ottenere gli stessi diritti utente dell'utente locale. Pertanto, gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.
• Per impostazione predefinita, tutte le versioni supportate di Microsoft Outlook, Microsoft Outlook Express e Windows Mail aprono i messaggi di posta elettronica in formato HTML nell'area Siti con restrizioni. L'area Siti con restrizioni consente di ridurre gli attacchi volti a sfruttare questa vulnerabilità impedendo l'esecuzione di script attivi e l'utilizzo di controlli ActiveX durante la lettura di messaggi di posta elettronica in formato HTML. Se tuttavia si fa clic su un collegamento presente in un messaggio di posta elettronica, tale vulnerabilità potrebbe ancora sussistere con le modalità descritte nello scenario di attacco dal Web.
• Per impostazione predefinita, Internet Explorer in Windows Server 2003 e Windows Server 2008 viene eseguito in una modalità limitata denominata Protezione avanzata. Il livello di protezione per l'area Internet viene così impostato su Alto. Questo è un fattore attenuante per i siti Web che non sono stati aggiunti all'area Siti attendibili di Internet Explorer. Vedere la sottosezione Domande frequenti nella sezione dedicata a questa vulnerabilità per ulteriori informazioni sulla Protezione avanzata di Internet Explorer.
• Internet Explorer 7 e Internet Explorer 8 non sono interessati da questa vulnerabilità.

Per soluzione alternativa si intende un'impostazione o una modifica nella configurazione che non elimina la vulnerabilità sottostante, ma consente di bloccare gli attacchi noti prima di applicare l'aggiornamento. Microsoft ha verificato le seguenti soluzioni alternative e segnala nel corso della discussione se tali soluzioni riducono la funzionalità:

• Impostare il livello dell'area di protezione Internet e Intranet locale su "Alta" in modo che venga richiesta conferma dell'esecuzione di controlli ActiveX e script attivo in queste aree.

  È possibile contribuire a una protezione più efficace del sistema dai rischi connessi a questa vulnerabilità, modificando le impostazioni relative all'area di protezione Internet in modo che venga richiesta conferma prima di eseguire controlli ActiveX e script attivo. Tale operazione può essere eseguita impostando la protezione del browser su Alta.

  Per aumentare il livello di protezione del browser in Internet Explorer, attenersi alla seguente procedura:

  1. Dal menu Strumenti di Internet Explorer, scegliere Opzioni Internet.
  2. Nella finestra di dialogo Opzioni Internet, fare clic sulla scheda Protezione, quindi sull'icona Internet.
  3. In Livello di protezione per l'area, spostare il dispositivo di scorrimento su Alta. Il livello di protezione per tutti i siti Web visitati viene così impostato su Alta.

  Nota Se il dispositivo di scorrimento non è visibile, fare clic su Livello predefinito, quindi spostare il dispositivo di scorrimento su Alta.

  Nota Con l'impostazione della protezione su Alta, alcuni siti Web potrebbero non funzionare nel modo corretto. Se si incontrano difficoltà nell'utilizzo di un sito Web dopo aver effettuato questa modifica e si è certi che il sito è sicuro, è possibile aggiungere il sito all'elenco Siti attendibili. In questo modo il sito funzionerà correttamente anche quando la protezione è impostata su Alta.

  Effetto della soluzione alternativa. La visualizzazione di una richiesta di conferma prima dell'esecuzione di controlli ActiveX e di script attivo può avere effetti collaterali. Numerosi siti Web su Internet o sua una rete Intranet utilizzano ActiveX o script attivo per offrire funzionalità aggiuntive. Un sito di e-commerce o di online banking, ad esempio, può utilizzare controlli ActiveX per la visualizzazione dei menu, dei moduli d'ordine o degli estratti conto. La richiesta di conferma prima dell'esecuzione di controlli ActiveX o script attivo è un'impostazione globale per tutti i siti Internet e Intranet. Se si utilizza questa soluzione alternativa, le richieste di conferma verranno visualizzate di frequente. A ogni richiesta di conferma, se si ritiene che il sito da visitare sia attendibile, fare clic su Sì per consentire l'esecuzione dei controlli ActiveX o script attivo. Se non si desidera che venga richiesta conferma per tutti i siti, utilizzare la procedura descritta in "Aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer".

  Aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer.

  Dopo l'impostazione della richiesta di conferma prima dell'esecuzione di controlli ActiveX e script attivo nelle aree Internet e Intranet locale, è possibile aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer. In questo modo è possibile continuare a utilizzare i siti Web attendibili nel modo abituale, proteggendo al tempo stesso il sistema da eventuali attacchi dai siti non attendibili. Si raccomanda di aggiungere all'area Siti attendibili solo i siti effettivamente ritenuti attendibili.

  A tale scopo, attenersi alla seguente procedura:

  1. In Internet Explorer, scegliere Opzioni Internet dal menu Strumenti e fare clic sulla scheda Protezione.
  2. Nella sezione Selezionare un'area di contenuto Web per specificare le relative impostazioni di protezione fare clic sull'icona Siti attendibili, quindi sul pulsante Siti.
  3. Se si desidera aggiungere siti che non richiedono un canale crittografato, deselezionare la check box Richiedi verifica server (https:) per tutti i siti dell'area.
  4. Digitare nella casella Aggiungi il sito Web all'area l'URL del sito desiderato, quindi fare clic sul pulsante Aggiungi.
  5. Ripetere la procedura per ogni sito da aggiungere all'area.
  6. Fare due volte clic su OK per confermare le modifiche e tornare a Internet Explorer.

  Nota È possibile aggiungere qualsiasi sito che si ritiene non eseguirà operazioni dannose sul sistema. In particolare è utile aggiungere i due siti *.windowsupdate.microsoft.com e *.update.microsoft.com, ovvero i siti che ospiteranno l'aggiornamento per cui è richiesto l'utilizzo di un controllo ActiveX per l'installazione.

• Configurare Internet Explorer in modo che venga richiesta conferma prima dell'esecuzione di script attivo oppure disattivare tali script nell'area di protezione Internet e Intranet locale

  È possibile contribuire a una protezione più efficace del sistema dai rischi connessi a questa vulnerabilità modificando le impostazioni in modo che venga richiesta conferma prima di eseguire script attivo o vengano disattivati tali script nell'area di protezione Internet e Intranet locale. A tale scopo, attenersi alla seguente procedura:

  1. In Internet Explorer, scegliere Opzioni Internet dal menu Strumenti.
  2. Selezionare la scheda Protezione.
  3. Selezionare Internet e fare clic sul pulsante Livello personalizzato.
  4. Nella sezione Esecuzione script dell'elenco Impostazioni, selezionare Esecuzione script attivo, quindi fare clic su Chiedi conferma o Disattiva e su OK.
  5. Selezionare Intranet locale, quindi fare clic sul pulsante Livello personalizzato.
  6. Nella sezione Esecuzione script dell'elenco Impostazioni, selezionare Esecuzione script attivo, quindi fare clic su Chiedi conferma o Disattiva e su OK.
  7. Fare due volte clic su OK per tornare a Internet Explorer.

  Nota Se si disattiva Esecuzione script attivo nelle aree di protezione Internet e Intranet locale, alcuni siti Web potrebbero non funzionare nel modo corretto. Se si incontrano difficoltà nell'utilizzo di un sito Web dopo aver effettuato questa modifica e si è certi che il sito è sicuro, è possibile aggiungere il sito all'elenco Siti attendibili. In questo modo il sito funzionerà correttamente.

  Effetto della soluzione alternativa. La visualizzazione di una richiesta di conferma prima dell'esecuzione di script attivo può avere effetti collaterali. Numerosi siti Web su Internet o sua una rete Intranet utilizzano script attivo per offrire funzionalità aggiuntive. Un sito di e-commerce o di online banking, ad esempio, può utilizzare script attivo per la visualizzazione dei menu, dei moduli d'ordine o degli estratti conto. La richiesta di conferma prima dell'esecuzione di script attivo è un'impostazione globale per tutti i siti Internet e Intranet. Se si utilizza questa soluzione alternativa, le richieste di conferma verranno visualizzate di frequente. A ogni richiesta di conferma, se si ritiene che il sito da visitare sia attendibile, fare clic su Sì per consentire l'esecuzione di script attivo. Se non si desidera che venga richiesta conferma per tutti i siti, utilizzare la procedura descritta in "Aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer".

  Aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer.

  Dopo l'impostazione della richiesta di conferma prima dell'esecuzione di controlli ActiveX e script attivo nelle aree Internet e Intranet locale, è possibile aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer. In questo modo è possibile continuare a utilizzare i siti Web attendibili nel modo abituale, proteggendo al tempo stesso il sistema da eventuali attacchi dai siti non attendibili. Si raccomanda di aggiungere all'area Siti attendibili solo i siti effettivamente ritenuti attendibili.

  A tale scopo, attenersi alla seguente procedura:

  1. In Internet Explorer, scegliere Opzioni Internet dal menu Strumenti e fare clic sulla scheda Protezione.
  2. Nella sezione Selezionare un'area di contenuto Web per specificare le relative impostazioni di protezione fare clic sull'icona Siti attendibili, quindi sul pulsante Siti.
  3. Se si desidera aggiungere siti che non richiedono un canale crittografato, deselezionare la check box Richiedi verifica server (https:) per tutti i siti dell'area.
  4. Digitare nella casella Aggiungi il sito Web all'area l'URL del sito desiderato, quindi fare clic sul pulsante Aggiungi.
  5. Ripetere la procedura per ogni sito da aggiungere all'area.
  6. Fare due volte clic su OK per confermare le modifiche e tornare a Internet Explorer.

  Nota È possibile aggiungere qualsiasi sito che si ritiene non eseguirà operazioni dannose sul sistema. In particolare è utile aggiungere i due siti *.windowsupdate.microsoft.com e *.update.microsoft.com, ovvero i siti che ospiteranno l'aggiornamento per cui è richiesto l'utilizzo di un controllo ActiveX per l'installazione.

Qual è la portata o l'impatto di questa vulnerabilità?  
Si tratta di una vulnerabilità legata all'esecuzione di codice in modalità remota. Sfruttando questa vulnerabilità, un utente malintenzionato può ottenere gli stessi diritti utente dell'utente connesso. Pertanto, gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.

Quali sono le cause di questa vulnerabilità?  
Quando Internet Explorer tenta di accedere a un oggetto che è stato eliminato, la memoria può venire danneggiata in modo da consentire a un utente malintenzionato di eseguire codice arbitrario nel contesto dell'utente connesso.

A quali attacchi viene esposto il sistema a causa di questa vulnerabilità?  
Sfruttando questa vulnerabilità, un utente malintenzionato può ottenere gli stessi diritti utente dell'utente connesso. Se l'utente è connesso con privilegi di amministrazione, un utente malintenzionato che sfrutti questa vulnerabilità può assumere il controllo completo del sistema interessato. Potrebbe quindi installare programmi e visualizzare, modificare o eliminare dati oppure creare nuovi account con diritti utente completi.

In quale modo un utente malintenzionato può sfruttare questa vulnerabilità?  
Un utente malintenzionato potrebbe pubblicare siti Web appositamente predisposti per sfruttare la vulnerabilità tramite Internet Explorer e quindi convincere un utente a visualizzarli. L'utente malintenzionato potrebbe inoltre servirsi di siti Web manomessi e di siti Web che accettano o pubblicano contenuti o annunci pubblicitari inviati da altri utenti. Questi siti Web possono includere contenuti appositamente predisposti in grado di sfruttare questa vulnerabilità. In tutti questi casi, comunque, non è in alcun modo possibile obbligare gli utenti a visitare questi siti Web. L'utente malintenzionato dovrebbe invece convincere le vittime a visitare il sito, in genere inducendole a fare clic su un collegamento in un messaggio di posta elettronica o di Instant Messenger che le indirizzi al sito. Potrebbe inoltre far visualizzare contenuti Web appositamente predisposti utilizzando banner pubblicitari o altre modalità di invio di contenuti Web ai sistemi interessati.

Quali sono i sistemi principalmente interessati da questa vulnerabilità?  
Questa vulnerabilità può essere sfruttata per l'esecuzione di azioni dannose solo se un utente è connesso al sistema e visita un sito Web. Pertanto, i sistemi maggiormente a rischio sono quelli in cui Internet Explorer viene utilizzato frequentemente, come le workstation o i server terminal.

Se si utilizza Internet Explorer per Windows Server 2003 o per Windows Server 2008, il problema ha una portata più limitata?  
Sì. Per impostazione predefinita, Internet Explorer in Windows Server 2003 e Windows Server 2008 viene eseguito in una modalità limitata denominata Protezione avanzata. La configurazione Protezione avanzata è costituita da un gruppo di impostazioni di Internet Explorer preconfigurate che riduce la probabilità che un utente o un amministratore scarichi ed esegua contenuto Web appositamente predisposto in un server. Questo è un fattore attenuante per i siti Web che non sono stati aggiunti all'area Siti attendibili di Internet Explorer. Consultare anche il documento relativo alla gestione della Protezione avanzata di Internet Explorer.

Quali sono gli scopi dell'aggiornamento?  
L'aggiornamento modifica il modo in cui Internet Explorer gestisce gli oggetti nella memoria.

Al momento del rilascio di questo bollettino le informazioni sulla vulnerabilità erano disponibili pubblicamente?  
No. Microsoft ha ricevuto informazioni sulla vulnerabilità da fonti private.

Al momento del rilascio di questo bollettino erano già stati segnalati attacchi basati sullo sfruttamento di questa vulnerabilità?  
No. Al momento della pubblicazione del presente bollettino, Microsoft non aveva ricevuto alcuna segnalazione in merito allo sfruttamento di questa vulnerabilità a scopo di attacco, né dell'esistenza di un codice di prova pubblicato.

Per fattore attenuante si intende un'impostazione, una configurazione comune o una procedura consigliata generica esistente in uno stato predefinito in grado di ridurre la gravità nello sfruttamento di una vulnerabilità. I seguenti fattori attenuanti possono essere utili per l'utente:

• La Protezione esecuzione dati (DEP) rafforza la protezione contro gli attacchi mirati all'esecuzione di codice ed è attivata per impostazione predefinita in Internet Explorer 8 nelle seguenti versioni del sistema operativo Windows: Windows XP Service Pack 3, Windows Vista Service Pack 1, Windows Vista Service Pack 2 e Windows 7.
• In uno scenario di attacco basato sul Web, l'utente malintenzionato potrebbe pubblicare un sito Web contenente una pagina utilizzata per sfruttare la vulnerabilità. Inoltre, i siti Web manomessi e quelli che accettano o ospitano contenuti o annunci pubblicitari forniti dagli utenti potrebbero presentare contenuti appositamente predisposti per sfruttare questa vulnerabilità. In tutti questi casi, comunque, non è in alcun modo possibile obbligare gli utenti a visitare questi siti Web. L'utente malintenzionato dovrebbe invece convincere le vittime a visitare il sito Web, in genere inducendole a fare clic su un collegamento in un messaggio di posta elettronica o di messaggistica immediata che le indirizzi al sito.
• Sfruttando questa vulnerabilità, un utente malintenzionato può ottenere gli stessi diritti utente dell'utente locale. Pertanto, gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.
• Per impostazione predefinita, tutte le versioni supportate di Microsoft Outlook, Microsoft Outlook Express e Windows Mail aprono i messaggi di posta elettronica in formato HTML nell'area Siti con restrizioni. L'area Siti con restrizioni consente di ridurre gli attacchi volti a sfruttare questa vulnerabilità impedendo l'esecuzione di script attivi e l'utilizzo di controlli ActiveX durante la lettura di messaggi di posta elettronica in formato HTML. Se tuttavia si fa clic su un collegamento presente in un messaggio di posta elettronica, tale vulnerabilità potrebbe ancora sussistere con le modalità descritte nello scenario di attacco dal Web.
• Per impostazione predefinita, Internet Explorer in Windows Server 2003 e Windows Server 2008 viene eseguito in una modalità limitata denominata Protezione avanzata. Il livello di protezione per l'area Internet viene così impostato su Alto. Questo è un fattore attenuante per i siti Web che non sono stati aggiunti all'area Siti attendibili di Internet Explorer. Vedere la sottosezione Domande frequenti nella sezione dedicata a questa vulnerabilità per ulteriori informazioni sulla Protezione avanzata di Internet Explorer.
• Internet Explorer 5.01 Service Pack 4 non è interessato dalla vulnerabilità.

Per soluzione alternativa si intende un'impostazione o una modifica nella configurazione che non elimina la vulnerabilità sottostante, ma consente di bloccare gli attacchi noti prima di applicare l'aggiornamento. Microsoft ha verificato le seguenti soluzioni alternative e segnala nel corso della discussione se tali soluzioni riducono la funzionalità:

• Impostare il livello dell'area di protezione Internet e Intranet locale su "Alta" in modo che venga richiesta conferma dell'esecuzione di controlli ActiveX e script attivo in queste aree.

  È possibile contribuire a una protezione più efficace del sistema dai rischi connessi a questa vulnerabilità, modificando le impostazioni relative all'area di protezione Internet in modo che venga richiesta conferma prima di eseguire controlli ActiveX e script attivo. Tale operazione può essere eseguita impostando la protezione del browser su Alta.

  Per aumentare il livello di protezione del browser in Internet Explorer, attenersi alla seguente procedura:

  1. Dal menu Strumenti di Internet Explorer, scegliere Opzioni Internet.
  2. Nella finestra di dialogo Opzioni Internet, fare clic sulla scheda Protezione, quindi sull'icona Internet.
  3. In Livello di protezione per l'area, spostare il dispositivo di scorrimento su Alta. Il livello di protezione per tutti i siti Web visitati viene così impostato su Alta.

  Nota Se il dispositivo di scorrimento non è visibile, fare clic su Livello predefinito, quindi spostare il dispositivo di scorrimento su Alta.

  Nota Con l'impostazione della protezione su Alta, alcuni siti Web potrebbero non funzionare nel modo corretto. Se si incontrano difficoltà nell'utilizzo di un sito Web dopo aver effettuato questa modifica e si è certi che il sito è sicuro, è possibile aggiungere il sito all'elenco Siti attendibili. In questo modo il sito funzionerà correttamente anche quando la protezione è impostata su Alta.

  Effetto della soluzione alternativa. La visualizzazione di una richiesta di conferma prima dell'esecuzione di controlli ActiveX e di script attivo può avere effetti collaterali. Numerosi siti Web su Internet o sua una rete Intranet utilizzano ActiveX o script attivo per offrire funzionalità aggiuntive. Un sito di e-commerce o di online banking, ad esempio, può utilizzare controlli ActiveX per la visualizzazione dei menu, dei moduli d'ordine o degli estratti conto. La richiesta di conferma prima dell'esecuzione di controlli ActiveX o script attivo è un'impostazione globale per tutti i siti Internet e Intranet. Se si utilizza questa soluzione alternativa, le richieste di conferma verranno visualizzate di frequente. A ogni richiesta di conferma, se si ritiene che il sito da visitare sia attendibile, fare clic su Sì per consentire l'esecuzione dei controlli ActiveX o script attivo. Se non si desidera che venga richiesta conferma per tutti i siti, utilizzare la procedura descritta in "Aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer".

  Aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer.

  Dopo l'impostazione della richiesta di conferma prima dell'esecuzione di controlli ActiveX e script attivo nelle aree Internet e Intranet locale, è possibile aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer. In questo modo è possibile continuare a utilizzare i siti Web attendibili nel modo abituale, proteggendo al tempo stesso il sistema da eventuali attacchi dai siti non attendibili. Si raccomanda di aggiungere all'area Siti attendibili solo i siti effettivamente ritenuti attendibili.

  A tale scopo, attenersi alla seguente procedura:

  1. In Internet Explorer, scegliere Opzioni Internet dal menu Strumenti e fare clic sulla scheda Protezione.
  2. Nella sezione Selezionare un'area di contenuto Web per specificare le relative impostazioni di protezione fare clic sull'icona Siti attendibili, quindi sul pulsante Siti.
  3. Se si desidera aggiungere siti che non richiedono un canale crittografato, deselezionare la check box Richiedi verifica server (https:) per tutti i siti dell'area.
  4. Digitare nella casella Aggiungi il sito Web all'area l'URL del sito desiderato, quindi fare clic sul pulsante Aggiungi.
  5. Ripetere la procedura per ogni sito da aggiungere all'area.
  6. Fare due volte clic su OK per confermare le modifiche e tornare a Internet Explorer.

  Nota È possibile aggiungere qualsiasi sito che si ritiene non eseguirà operazioni dannose sul sistema. In particolare è utile aggiungere i due siti *.windowsupdate.microsoft.com e *.update.microsoft.com, ovvero i siti che ospiteranno l'aggiornamento per cui è richiesto l'utilizzo di un controllo ActiveX per l'installazione.

• Configurare Internet Explorer in modo che venga richiesta conferma prima dell'esecuzione di script attivo oppure disattivare tali script nell'area di protezione Internet e Intranet locale

  È possibile contribuire a una protezione più efficace del sistema dai rischi connessi a questa vulnerabilità modificando le impostazioni in modo che venga richiesta conferma prima di eseguire script attivo o vengano disattivati tali script nell'area di protezione Internet e Intranet locale. A tale scopo, attenersi alla seguente procedura:

  1. In Internet Explorer, scegliere Opzioni Internet dal menu Strumenti.
  2. Selezionare la scheda Protezione.
  3. Selezionare Internet e fare clic sul pulsante Livello personalizzato.
  4. Nella sezione Esecuzione script dell'elenco Impostazioni, selezionare Esecuzione script attivo, quindi fare clic su Chiedi conferma o Disattiva e su OK.
  5. Selezionare Intranet locale, quindi fare clic sul pulsante Livello personalizzato.
  6. Nella sezione Esecuzione script dell'elenco Impostazioni, selezionare Esecuzione script attivo, quindi fare clic su Chiedi conferma o Disattiva e su OK.
  7. Fare due volte clic su OK per tornare a Internet Explorer.

  Nota Se si disattiva Esecuzione script attivo nelle aree di protezione Internet e Intranet locale, alcuni siti Web potrebbero non funzionare nel modo corretto. Se si incontrano difficoltà nell'utilizzo di un sito Web dopo aver effettuato questa modifica e si è certi che il sito è sicuro, è possibile aggiungere il sito all'elenco Siti attendibili. In questo modo il sito funzionerà correttamente.

  Effetto della soluzione alternativa. La visualizzazione di una richiesta di conferma prima dell'esecuzione di script attivo può avere effetti collaterali. Numerosi siti Web su Internet o sua una rete Intranet utilizzano script attivo per offrire funzionalità aggiuntive. Un sito di e-commerce o di online banking, ad esempio, può utilizzare script attivo per la visualizzazione dei menu, dei moduli d'ordine o degli estratti conto. La richiesta di conferma prima dell'esecuzione di script attivo è un'impostazione globale per tutti i siti Internet e Intranet. Se si utilizza questa soluzione alternativa, le richieste di conferma verranno visualizzate di frequente. A ogni richiesta di conferma, se si ritiene che il sito da visitare sia attendibile, fare clic su Sì per consentire l'esecuzione di script attivo. Se non si desidera che venga richiesta conferma per tutti i siti, utilizzare la procedura descritta in "Aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer".

  Aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer.

  Dopo l'impostazione della richiesta di conferma prima dell'esecuzione di controlli ActiveX e script attivo nelle aree Internet e Intranet locale, è possibile aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer. In questo modo è possibile continuare a utilizzare i siti Web attendibili nel modo abituale, proteggendo al tempo stesso il sistema da eventuali attacchi dai siti non attendibili. Si raccomanda di aggiungere all'area Siti attendibili solo i siti effettivamente ritenuti attendibili.

  A tale scopo, attenersi alla seguente procedura:

  1. In Internet Explorer, scegliere Opzioni Internet dal menu Strumenti e fare clic sulla scheda Protezione.
  2. Nella sezione Selezionare un'area di contenuto Web per specificare le relative impostazioni di protezione fare clic sull'icona Siti attendibili, quindi sul pulsante Siti.
  3. Se si desidera aggiungere siti che non richiedono un canale crittografato, deselezionare la check box Richiedi verifica server (https:) per tutti i siti dell'area.
  4. Digitare nella casella Aggiungi il sito Web all'area l'URL del sito desiderato, quindi fare clic sul pulsante Aggiungi.
  5. Ripetere la procedura per ogni sito da aggiungere all'area.
  6. Fare due volte clic su OK per confermare le modifiche e tornare a Internet Explorer.

  Nota È possibile aggiungere qualsiasi sito che si ritiene non eseguirà operazioni dannose sul sistema. In particolare è utile aggiungere i due siti *.windowsupdate.microsoft.com e *.update.microsoft.com, ovvero i siti che ospiteranno l'aggiornamento per cui è richiesto l'utilizzo di un controllo ActiveX per l'installazione.

• Attivazione di DEP per Internet Explorer 6 o Internet Explorer 7

  Se la protezione esecuzione dati è attivata per Internet Explorer, è più difficile riuscire a sfruttare questa vulnerabilità. È possibile attivare DEP in tutte le versioni di Internet Explorer che supportano tale protezione, utilizzando uno dei metodi seguenti:

  • Attivare DEP per Internet Explorer 7 in modo interattivo

  Gli amministratori locali possono configurare l'utilizzo del controllo DEP/NX in Internet Explorer in qualità di amministratori. Per attivare DEP, attenersi alla seguente procedura:

  1. In Internet Explorer, dal menu Strumenti scegliere Opzioni Internet, quindi fare clic sulla scheda Avanzate.
  2. Fare clic su Attiva la protezione della memoria per contrastare gli attacchi da Internet.
  3. Fare clic su OK e riavviare Internet Explorer.
  • Attivare DEP per Internet Explorer 6 o Internet Explorer 7 tramite il fix automatico di Microsoft

    Consultare l'articolo della Microsoft Knowledge Base 978207 al fine di utilizzare la soluzione di fix automatico di Microsoft per attivare o disattivare questa soluzione alternativa.

  Effetto della soluzione alternativa. Alcune estensioni browser potrebbero non essere compatibili con DEP causando una chiusura inaspettata. In questo caso è possibile disattivare il componente aggiuntivo o ripristinare l'impostazione di DEP tramite il Pannello di controllo Internet. Il Pannello di controllo Internet è accessibile anche dal pannello di controllo del sistema.

Qual è la portata o l'impatto di questa vulnerabilità?  
Si tratta di una vulnerabilità legata all'esecuzione di codice in modalità remota. Sfruttando questa vulnerabilità, un utente malintenzionato può ottenere gli stessi diritti utente dell'utente connesso. Pertanto, gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.

Quali sono le cause di questa vulnerabilità?  
Quando, in determinate condizioni, Internet Explorer tenta di accedere alla memoria inizializzata in maniera errata, può corrompere la memoria in modo tale da permettere ad un utente malintenzionato di eseguire il codice arbitrario nel contesto dell'utente connesso.

A quali attacchi viene esposto il sistema a causa di questa vulnerabilità?  
Sfruttando questa vulnerabilità, un utente malintenzionato può ottenere gli stessi diritti utente dell'utente connesso. Se l'utente è connesso con privilegi di amministrazione, un utente malintenzionato che sfrutti questa vulnerabilità può assumere il controllo completo del sistema interessato. Potrebbe quindi installare programmi e visualizzare, modificare o eliminare dati oppure creare nuovi account con diritti utente completi.

In quale modo un utente malintenzionato può sfruttare questa vulnerabilità?  
Un utente malintenzionato potrebbe pubblicare siti Web appositamente predisposti per sfruttare la vulnerabilità tramite Internet Explorer e quindi convincere un utente a visualizzarli. L'utente malintenzionato potrebbe inoltre servirsi di siti Web manomessi e di siti Web che accettano o pubblicano contenuti o annunci pubblicitari inviati da altri utenti. Questi siti Web possono includere contenuti appositamente predisposti in grado di sfruttare questa vulnerabilità. In tutti questi casi, comunque, non è in alcun modo possibile obbligare gli utenti a visitare questi siti Web. L'utente malintenzionato dovrebbe invece convincere le vittime a visitare il sito, in genere inducendole a fare clic su un collegamento in un messaggio di posta elettronica o di Instant Messenger che le indirizzi al sito. Potrebbe inoltre far visualizzare contenuti Web appositamente predisposti utilizzando banner pubblicitari o altre modalità di invio di contenuti Web ai sistemi interessati.

Quali sono i sistemi principalmente interessati da questa vulnerabilità?  
Questa vulnerabilità può essere sfruttata per l'esecuzione di azioni dannose solo se un utente è connesso al sistema e visita un sito Web. Pertanto, i sistemi maggiormente a rischio sono quelli in cui Internet Explorer viene utilizzato frequentemente, come le workstation o i server terminal.

Se si utilizza Internet Explorer per Windows Server 2003 o per Windows Server 2008, il problema ha una portata più limitata?  
Sì. Per impostazione predefinita, Internet Explorer in Windows Server 2003 e Windows Server 2008 viene eseguito in una modalità limitata denominata Protezione avanzata. La configurazione Protezione avanzata è costituita da un gruppo di impostazioni di Internet Explorer preconfigurate che riduce la probabilità che un utente o un amministratore scarichi ed esegua contenuto Web appositamente predisposto in un server. Questo è un fattore attenuante per i siti Web che non sono stati aggiunti all'area Siti attendibili di Internet Explorer. Consultare anche il documento relativo alla gestione della Protezione avanzata di Internet Explorer.

Quale soluzione alternativa è opportuno applicare al sistema per proteggerlo?  
In base alle ricerche effettuate, l'impostazione del livello di protezione dell'area Internet su Alta consente di proteggere gli utenti dal problema descritto nel presente advisory.

Impostare il livello di protezione dell'area Internet su Alto consente di proteggersi da questa vulnerabilità?  
L'impostazione del livello di protezione dell'area Internet su Alta protegge da questa vulnerabilità disattivando l'esecuzione di script attivo, come pure funzionalità meno protette di Internet Explorer e bloccando tecniche conosciute utilizzate per eludere la funzionalità Protezione esecuzione programmi (DEP).

In che modo la Modalità protetta di Internet Explorer per Windows Vista e versioni successive di Windows limita l'impatto di questa vulnerabilità?  
Per impostazione predefinita, Internet Explorer per Windows Vista e i sistemi operativi Windows successivi viene eseguito in Modalità Protetta nell'area di protezione Internet. (la Modalità protetta è disattivata per impostazione predefinita nell'area Intranet). La Modalità protetta riduce considerevolmente la capacità di un utente malintenzionato di scrivere, alterare o distruggere i dati sul computer dell'utente o di installare codice dannoso. La Modalità protetta utilizza i meccanismi di integrità presenti in Windows Vista, che consentono di limitare l'accesso a processi, file e alle chiavi del Registro di sistema, impostando livelli di integrità più elevati.

Cos'è la funzionalità ASLR (Address Space Layout Randomization)?  
I sistemi che utilizzano ASLR (Address Space Layout Randomization) trasferiscono in modo pseudo-casuale i punti di accesso delle funzioni che normalmente sono allocati in modo prevedibile. La funzionalità ASLR di Windows sposta in modo casuale le DLL o gli eseguibili in una delle 256 celle di memoria. In questo modo, gli utenti malintenzionati che utilizzano indirizzi codificati hanno una probabilità su 256 di individuare la porzione di memoria esatta. Per ulteriori informazioni su ASLR, consultare l'articolo del TechNet Magazine, Il kernel di Windows Vista: Parte 3.

Che cosa significa Data Execution Prevention (DEP)?  
Il supporto Protezione esecuzione programmi è incluso in Internet Explorer e, sebbene sia attivato per impostazione predefinita in Internet Explorer 8, è disattivato per impostazione predefinita per le versioni di Internet Explorer precedenti. DEP consente di vanificare gli attacchi evitando che il codice dannoso venga eseguito in una memoria che è stata contrassegnata come non eseguibile. Per ulteriori informazioni su DEP in Internet Explorer, vedere i post sul blog di MSDN, IE8 Protezione Parte I: DEP/NX Protezione della memoria.

È possibile eludere la Protezione esecuzione programmi (DEP) in Internet Explorer 8?  
È stato segnalato un nuovo metodo di elusione della Protezione esecuzione programmi (DEP). Sono state analizzate la prove fornite con questo codice dannoso e si è concluso che Windows Vista e le successive versioni di Windows offrono maggiore protezione contro eventuali attacchi tramite elusione di ASLR (Address Space Layout Randomization). Windows XP risulta più esposto alle tecniche di elusione dei sistemi di protezione utilizzate dagli utenti malintenzionati.

Quali sono gli scopi dell'aggiornamento?  
L'aggiornamento modifica il modo in cui Internet Explorer gestisce gli oggetti nella memoria.

Al momento del rilascio di questo bollettino le informazioni sulla vulnerabilità erano disponibili pubblicamente?  
No. Microsoft ha ricevuto informazioni sulla vulnerabilità da fonti private.

Al momento del rilascio di questo bollettino erano già stati segnalati attacchi basati sullo sfruttamento di questa vulnerabilità?  
No. Al momento della pubblicazione del presente bollettino, Microsoft non aveva ricevuto alcuna segnalazione in merito allo sfruttamento di questa vulnerabilità a scopo di attacco, né dell'esistenza di un codice di prova pubblicato.

Per fattore attenuante si intende un'impostazione, una configurazione comune o una procedura consigliata generica esistente in uno stato predefinito in grado di ridurre la gravità nello sfruttamento di una vulnerabilità. I seguenti fattori attenuanti possono essere utili per l'utente:

• La Protezione esecuzione dati (DEP) rafforza la protezione contro gli attacchi mirati all'esecuzione di codice ed è attivata per impostazione predefinita in Internet Explorer 8 nelle seguenti versioni del sistema operativo Windows: Windows XP Service Pack 3, Windows Vista Service Pack 1, Windows Vista Service Pack 2 e Windows 7.
• In uno scenario di attacco basato sul Web, l'utente malintenzionato potrebbe pubblicare un sito Web contenente una pagina utilizzata per sfruttare la vulnerabilità. Inoltre, i siti Web manomessi e quelli che accettano o ospitano contenuti o annunci pubblicitari forniti dagli utenti potrebbero presentare contenuti appositamente predisposti per sfruttare questa vulnerabilità. In tutti questi casi, comunque, non è in alcun modo possibile obbligare gli utenti a visitare questi siti Web. L'utente malintenzionato dovrebbe invece convincere le vittime a visitare il sito Web, in genere inducendole a fare clic su un collegamento in un messaggio di posta elettronica o di messaggistica immediata che le indirizzi al sito.
• Sfruttando questa vulnerabilità, un utente malintenzionato può ottenere gli stessi diritti utente dell'utente locale. Pertanto, gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.
• Per impostazione predefinita, tutte le versioni supportate di Microsoft Outlook, Microsoft Outlook Express e Windows Mail aprono i messaggi di posta elettronica in formato HTML nell'area Siti con restrizioni. L'area Siti con restrizioni consente di ridurre gli attacchi volti a sfruttare questa vulnerabilità impedendo l'esecuzione di script attivi e l'utilizzo di controlli ActiveX durante la lettura di messaggi di posta elettronica in formato HTML. Se tuttavia si fa clic su un collegamento presente in un messaggio di posta elettronica, tale vulnerabilità potrebbe ancora sussistere con le modalità descritte nello scenario di attacco dal Web.
• Per impostazione predefinita, Internet Explorer in Windows Server 2003 e Windows Server 2008 viene eseguito in una modalità limitata denominata Protezione avanzata. Il livello di protezione per l'area Internet viene così impostato su Alto. Questo è un fattore attenuante per i siti Web che non sono stati aggiunti all'area Siti attendibili di Internet Explorer. Vedere la sottosezione Domande frequenti nella sezione dedicata a questa vulnerabilità per ulteriori informazioni sulla Protezione avanzata di Internet Explorer.
• Internet Explorer 5.01 Service Pack 4 non è interessato dalla vulnerabilità.

Per soluzione alternativa si intende un'impostazione o una modifica nella configurazione che non elimina la vulnerabilità sottostante, ma consente di bloccare gli attacchi noti prima di applicare l'aggiornamento. Microsoft ha verificato le seguenti soluzioni alternative e segnala nel corso della discussione se tali soluzioni riducono la funzionalità:

• Impostare il livello dell'area di protezione Internet e Intranet locale su "Alta" in modo che venga richiesta conferma dell'esecuzione di controlli ActiveX e script attivo in queste aree.

  È possibile contribuire a una protezione più efficace del sistema dai rischi connessi a questa vulnerabilità, modificando le impostazioni relative all'area di protezione Internet in modo che venga richiesta conferma prima di eseguire controlli ActiveX e script attivo. Tale operazione può essere eseguita impostando la protezione del browser su Alta.

  Per aumentare il livello di protezione del browser in Internet Explorer, attenersi alla seguente procedura:

  1. Dal menu Strumenti di Internet Explorer, scegliere Opzioni Internet.
  2. Nella finestra di dialogo Opzioni Internet, fare clic sulla scheda Protezione, quindi sull'icona Internet.
  3. In Livello di protezione per l'area, spostare il dispositivo di scorrimento su Alta. Il livello di protezione per tutti i siti Web visitati viene così impostato su Alta.

  Nota Se il dispositivo di scorrimento non è visibile, fare clic su Livello predefinito, quindi spostare il dispositivo di scorrimento su Alta.

  Nota Con l'impostazione della protezione su Alta, alcuni siti Web potrebbero non funzionare nel modo corretto. Se si incontrano difficoltà nell'utilizzo di un sito Web dopo aver effettuato questa modifica e si è certi che il sito è sicuro, è possibile aggiungere il sito all'elenco Siti attendibili. In questo modo il sito funzionerà correttamente anche quando la protezione è impostata su Alta.

  Effetto della soluzione alternativa. La visualizzazione di una richiesta di conferma prima dell'esecuzione di controlli ActiveX e di script attivo può avere effetti collaterali. Numerosi siti Web su Internet o sua una rete Intranet utilizzano ActiveX o script attivo per offrire funzionalità aggiuntive. Un sito di e-commerce o di online banking, ad esempio, può utilizzare controlli ActiveX per la visualizzazione dei menu, dei moduli d'ordine o degli estratti conto. La richiesta di conferma prima dell'esecuzione di controlli ActiveX o script attivo è un'impostazione globale per tutti i siti Internet e Intranet. Se si utilizza questa soluzione alternativa, le richieste di conferma verranno visualizzate di frequente. A ogni richiesta di conferma, se si ritiene che il sito da visitare sia attendibile, fare clic su Sì per consentire l'esecuzione dei controlli ActiveX o script attivo. Se non si desidera che venga richiesta conferma per tutti i siti, utilizzare la procedura descritta in "Aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer".

  Aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer.

  Dopo l'impostazione della richiesta di conferma prima dell'esecuzione di controlli ActiveX e script attivo nelle aree Internet e Intranet locale, è possibile aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer. In questo modo è possibile continuare a utilizzare i siti Web attendibili nel modo abituale, proteggendo al tempo stesso il sistema da eventuali attacchi dai siti non attendibili. Si raccomanda di aggiungere all'area Siti attendibili solo i siti effettivamente ritenuti attendibili.

  A tale scopo, attenersi alla seguente procedura:

  1. In Internet Explorer, scegliere Opzioni Internet dal menu Strumenti e fare clic sulla scheda Protezione.
  2. Nella sezione Selezionare un'area di contenuto Web per specificare le relative impostazioni di protezione fare clic sull'icona Siti attendibili, quindi sul pulsante Siti.
  3. Se si desidera aggiungere siti che non richiedono un canale crittografato, deselezionare la check box Richiedi verifica server (https:) per tutti i siti dell'area.
  4. Digitare nella casella Aggiungi il sito Web all'area l'URL del sito desiderato, quindi fare clic sul pulsante Aggiungi.
  5. Ripetere la procedura per ogni sito da aggiungere all'area.
  6. Fare due volte clic su OK per confermare le modifiche e tornare a Internet Explorer.

  Nota È possibile aggiungere qualsiasi sito che si ritiene non eseguirà operazioni dannose sul sistema. In particolare è utile aggiungere i due siti *.windowsupdate.microsoft.com e *.update.microsoft.com, ovvero i siti che ospiteranno l'aggiornamento per cui è richiesto l'utilizzo di un controllo ActiveX per l'installazione.

• Configurare Internet Explorer in modo che venga richiesta conferma prima dell'esecuzione di script attivo oppure disattivare tali script nell'area di protezione Internet e Intranet locale

  È possibile contribuire a una protezione più efficace del sistema dai rischi connessi a questa vulnerabilità modificando le impostazioni in modo che venga richiesta conferma prima di eseguire script attivo o vengano disattivati tali script nell'area di protezione Internet e Intranet locale. A tale scopo, attenersi alla seguente procedura:

  1. In Internet Explorer, scegliere Opzioni Internet dal menu Strumenti.
  2. Selezionare la scheda Protezione.
  3. Selezionare Internet e fare clic sul pulsante Livello personalizzato.
  4. Nella sezione Esecuzione script dell'elenco Impostazioni, selezionare Esecuzione script attivo, quindi fare clic su Chiedi conferma o Disattiva e su OK.
  5. Selezionare Intranet locale, quindi fare clic sul pulsante Livello personalizzato.
  6. Nella sezione Esecuzione script dell'elenco Impostazioni, selezionare Esecuzione script attivo, quindi fare clic su Chiedi conferma o Disattiva e su OK.
  7. Fare due volte clic su OK per tornare a Internet Explorer.

  Nota Se si disattiva Esecuzione script attivo nelle aree di protezione Internet e Intranet locale, alcuni siti Web potrebbero non funzionare nel modo corretto. Se si incontrano difficoltà nell'utilizzo di un sito Web dopo aver effettuato questa modifica e si è certi che il sito è sicuro, è possibile aggiungere il sito all'elenco Siti attendibili. In questo modo il sito funzionerà correttamente.

  Effetto della soluzione alternativa. La visualizzazione di una richiesta di conferma prima dell'esecuzione di script attivo può avere effetti collaterali. Numerosi siti Web su Internet o sua una rete Intranet utilizzano script attivo per offrire funzionalità aggiuntive. Un sito di e-commerce o di online banking, ad esempio, può utilizzare script attivo per la visualizzazione dei menu, dei moduli d'ordine o degli estratti conto. La richiesta di conferma prima dell'esecuzione di script attivo è un'impostazione globale per tutti i siti Internet e Intranet. Se si utilizza questa soluzione alternativa, le richieste di conferma verranno visualizzate di frequente. A ogni richiesta di conferma, se si ritiene che il sito da visitare sia attendibile, fare clic su Sì per consentire l'esecuzione di script attivo. Se non si desidera che venga richiesta conferma per tutti i siti, utilizzare la procedura descritta in "Aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer".

  Aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer.

  Dopo l'impostazione della richiesta di conferma prima dell'esecuzione di controlli ActiveX e script attivo nelle aree Internet e Intranet locale, è possibile aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer. In questo modo è possibile continuare a utilizzare i siti Web attendibili nel modo abituale, proteggendo al tempo stesso il sistema da eventuali attacchi dai siti non attendibili. Si raccomanda di aggiungere all'area Siti attendibili solo i siti effettivamente ritenuti attendibili.

  A tale scopo, attenersi alla seguente procedura:

  1. In Internet Explorer, scegliere Opzioni Internet dal menu Strumenti e fare clic sulla scheda Protezione.
  2. Nella sezione Selezionare un'area di contenuto Web per specificare le relative impostazioni di protezione fare clic sull'icona Siti attendibili, quindi sul pulsante Siti.
  3. Se si desidera aggiungere siti che non richiedono un canale crittografato, deselezionare la check box Richiedi verifica server (https:) per tutti i siti dell'area.
  4. Digitare nella casella Aggiungi il sito Web all'area l'URL del sito desiderato, quindi fare clic sul pulsante Aggiungi.
  5. Ripetere la procedura per ogni sito da aggiungere all'area.
  6. Fare due volte clic su OK per confermare le modifiche e tornare a Internet Explorer.

  Nota È possibile aggiungere qualsiasi sito che si ritiene non eseguirà operazioni dannose sul sistema. In particolare è utile aggiungere i due siti *.windowsupdate.microsoft.com e *.update.microsoft.com, ovvero i siti che ospiteranno l'aggiornamento per cui è richiesto l'utilizzo di un controllo ActiveX per l'installazione.

• Attivazione di DEP per Internet Explorer 6 o Internet Explorer 7

  Se la protezione esecuzione dati è attivata per Internet Explorer, è più difficile riuscire a sfruttare questa vulnerabilità. È possibile attivare DEP in tutte le versioni di Internet Explorer che supportano tale protezione, utilizzando uno dei metodi seguenti:

  • Attivare DEP per Internet Explorer 7 in modo interattivo

  Gli amministratori locali possono configurare l'utilizzo del controllo DEP/NX in Internet Explorer in qualità di amministratori. Per attivare DEP, attenersi alla seguente procedura:

  1. In Internet Explorer, dal menu Strumenti scegliere Opzioni Internet, quindi fare clic sulla scheda Avanzate.
  2. Fare clic su Attiva la protezione della memoria per contrastare gli attacchi da Internet.
  3. Fare clic su OK e riavviare Internet Explorer.
  • Attivare DEP per Internet Explorer 6 o Internet Explorer 7 tramite il fix automatico di Microsoft

    Consultare l'articolo della Microsoft Knowledge Base 978207 al fine di utilizzare la soluzione di fix automatico di Microsoft per attivare o disattivare questa soluzione alternativa.

  Effetto della soluzione alternativa. Alcune estensioni browser potrebbero non essere compatibili con DEP causando una chiusura inaspettata. In questo caso è possibile disattivare il componente aggiuntivo o ripristinare l'impostazione di DEP tramite il Pannello di controllo Internet. Il Pannello di controllo Internet è accessibile anche dal pannello di controllo del sistema.

• Attivazione o disattivazione dei controlli ActiveX in Office 2007

  Per ridurre la probabilità che questa vulnerabilità venga sfruttata tramite un documento di Office 2007 che utilizza un controllo ActiveX, seguire i passaggi riportati di seguito per disattivare tali controlli nei documenti Office. Per ulteriori informazioni su come disattivare i controlli ActiveX in Office 2007, consultare l'articolo Attivazione o disattivazione dei controlli ActiveX nei documenti di Office disponibile sul sito Microsoft Office Online.

  Aprire il Centro protezione in una delle applicazioni di Office 2007 tramite uno dei metodi seguenti. Dopo avere selezionato Impostazioni ActiveX, fare clic su Disattiva tutti i controlli senza notifica, quindi su OK.

  Nota La modifica delle impostazioni dei controlli ActiveX in un'applicazione di Office viene applicata a tutti i programmi di Office presenti nel computer.

  Excel

  Fare clic sul pulsante Microsoft Office e poi su Opzioni di Excel. Selezionare Centroprotezione, Impostazioni Centro protezione, quindi Impostazioni ActiveX.

  Outlook

  Dal menu Strumenti, selezionare CentroProtezione, fare clic su Impostazioni Centro protezione, quindi su Impostazioni ActiveX.

  PowerPoint

  Fare clic sul pulsante Microsoft Office e poi su Opzioni di PowerPoint. Selezionare Centro protezione, Impostazioni Centro protezione e infine Impostazioni ActiveX.

  Word

  Fare clic sul pulsante Microsoft Office e poi su Opzioni di Word. Selezionare Centro protezione, Impostazioni Centro protezione, quindi Impostazioni ActiveX.

  Access

  Fare clic sul pulsante Microsoft Office e poi su Opzioni di Access. Selezionare Centro protezione, Impostazioni Centro protezione e infine Impostazioni ActiveX.

  InfoPath

  Dal menu Strumenti, selezionare Centro Protezione, fare clic su Impostazioni Centro protezione e infine su Impostazioni ActiveX.

  Publisher

  Dal menu Strumenti, selezionare Centro Protezione, fare clic su Impostazioni Centro protezione e infine su Impostazioni ActiveX.

  Visio

  Dal menu Strumenti, selezionare Centro Protezione, fare clic su Impostazioni Centro protezione e infine su Impostazioni ActiveX.

  Effetto della soluzione alternativa. Non viene creata alcuna istanza dei controlli ActiveX nelle applicazioni di Microsoft Office.

• Non aprire file ricevuti inaspettatamente

  Non aprire o salvare file di Microsoft Office provenienti da fonti non attendibili oppure ricevuti inaspettatamente da fonti attendibili. Questa vulnerabilità può essere sfruttata quando un utente apre un file appositamente predisposto.

Qual è la portata o l'impatto di questa vulnerabilità?  
Si tratta di una vulnerabilità legata all'esecuzione di codice in modalità remota. Sfruttando questa vulnerabilità, un utente malintenzionato può ottenere gli stessi diritti utente dell'utente connesso. Pertanto, gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.

Quali sono le cause di questa vulnerabilità?  
Quando, in determinate condizioni, Internet Explorer tenta di accedere alla memoria inizializzata in maniera errata, può corrompere la memoria in modo tale da permettere ad un utente malintenzionato di eseguire il codice arbitrario nel contesto dell'utente connesso.

A quali attacchi viene esposto il sistema a causa di questa vulnerabilità?  
Sfruttando questa vulnerabilità, un utente malintenzionato può ottenere gli stessi diritti utente dell'utente connesso. Se l'utente è connesso con privilegi di amministrazione, un utente malintenzionato che sfrutti questa vulnerabilità può assumere il controllo completo del sistema interessato. Potrebbe quindi installare programmi e visualizzare, modificare o eliminare dati oppure creare nuovi account con diritti utente completi.

In quale modo un utente malintenzionato può sfruttare questa vulnerabilità?  
Un utente malintenzionato potrebbe pubblicare siti Web appositamente predisposti per sfruttare la vulnerabilità tramite Internet Explorer e quindi convincere un utente a visualizzarli. L'utente malintenzionato potrebbe inoltre servirsi di siti Web manomessi e di siti Web che accettano o pubblicano contenuti o annunci pubblicitari inviati da altri utenti. Questi siti Web possono includere contenuti appositamente predisposti in grado di sfruttare questa vulnerabilità. In tutti questi casi, comunque, non è in alcun modo possibile obbligare gli utenti a visitare questi siti Web. L'utente malintenzionato dovrebbe invece convincere le vittime a visitare il sito, in genere inducendole a fare clic su un collegamento in un messaggio di posta elettronica o di Instant Messenger che le indirizzi al sito. Potrebbe inoltre far visualizzare contenuti Web appositamente predisposti utilizzando banner pubblicitari o altre modalità di invio di contenuti Web ai sistemi interessati.

Quali sono i sistemi principalmente interessati da questa vulnerabilità?  
Questa vulnerabilità può essere sfruttata per l'esecuzione di azioni dannose solo se un utente è connesso al sistema e visita un sito Web. Pertanto, i sistemi maggiormente a rischio sono quelli in cui Internet Explorer viene utilizzato frequentemente, come le workstation o i server terminal.

Se si utilizza Internet Explorer per Windows Server 2003 o per Windows Server 2008, il problema ha una portata più limitata?  
Sì. Per impostazione predefinita, Internet Explorer in Windows Server 2003 e Windows Server 2008 viene eseguito in una modalità limitata denominata Protezione avanzata. La configurazione Protezione avanzata è costituita da un gruppo di impostazioni di Internet Explorer preconfigurate che riduce la probabilità che un utente o un amministratore scarichi ed esegua contenuto Web appositamente predisposto in un server. Questo è un fattore attenuante per i siti Web che non sono stati aggiunti all'area Siti attendibili di Internet Explorer. Consultare anche il documento relativo alla gestione della Protezione avanzata di Internet Explorer.

Quale soluzione alternativa è opportuno applicare al sistema per proteggerlo?  
In base alle ricerche effettuate, l'impostazione del livello di protezione dell'area Internet su Alta consente di proteggere gli utenti dal problema descritto nel presente advisory.

Impostare il livello di protezione dell'area Internet su Alto consente di proteggersi da questa vulnerabilità?  
L'impostazione del livello di protezione dell'area Internet su Alta protegge da questa vulnerabilità disattivando l'esecuzione di script attivo, come pure funzionalità meno protette di Internet Explorer e bloccando tecniche conosciute utilizzate per eludere la funzionalità Protezione esecuzione programmi (DEP).

In che modo la Modalità protetta di Internet Explorer per Windows Vista e versioni successive di Windows limita l'impatto di questa vulnerabilità?  
Per impostazione predefinita, Internet Explorer per Windows Vista e i sistemi operativi Windows successivi viene eseguito in Modalità Protetta nell'area di protezione Internet. (la Modalità protetta è disattivata per impostazione predefinita nell'area Intranet). La Modalità protetta riduce considerevolmente la capacità di un utente malintenzionato di scrivere, alterare o distruggere i dati sul computer dell'utente o di installare codice dannoso. La Modalità protetta utilizza i meccanismi di integrità presenti in Windows Vista, che consentono di limitare l'accesso a processi, file e alle chiavi del Registro di sistema, impostando livelli di integrità più elevati.

Cos'è la funzionalità ASLR (Address Space Layout Randomization)?  
I sistemi che utilizzano ASLR (Address Space Layout Randomization) trasferiscono in modo pseudo-casuale i punti di accesso delle funzioni che normalmente sono allocati in modo prevedibile. La funzionalità ASLR di Windows sposta in modo casuale le DLL o gli eseguibili in una delle 256 celle di memoria. In questo modo, gli utenti malintenzionati che utilizzano indirizzi codificati hanno una probabilità su 256 di individuare la porzione di memoria esatta. Per ulteriori informazioni su ASLR, consultare l'articolo del TechNet Magazine, Il kernel di Windows Vista: Parte 3.

Che cosa significa Data Execution Prevention (DEP)?  
Il supporto Protezione esecuzione programmi è incluso in Internet Explorer e, sebbene sia attivato per impostazione predefinita in Internet Explorer 8, è disattivato per impostazione predefinita per le versioni di Internet Explorer precedenti. DEP consente di vanificare gli attacchi evitando che il codice dannoso venga eseguito in una memoria che è stata contrassegnata come non eseguibile. Per ulteriori informazioni su DEP in Internet Explorer, vedere i post sul blog di MSDN, IE8 Protezione Parte I: DEP/NX Protezione della memoria.

È possibile eludere la Protezione esecuzione programmi (DEP) in Internet Explorer 8?  
È stato segnalato un nuovo metodo di elusione della Protezione esecuzione programmi (DEP). Sono state analizzate la prove fornite con questo codice dannoso e si è concluso che Windows Vista e le successive versioni di Windows offrono maggiore protezione contro eventuali attacchi tramite elusione di ASLR (Address Space Layout Randomization). Windows XP risulta più esposto alle tecniche di elusione dei sistemi di protezione utilizzate dagli utenti malintenzionati.

Quali sono gli scopi dell'aggiornamento?  
L'aggiornamento modifica il modo in cui Internet Explorer gestisce gli oggetti nella memoria.

Al momento del rilascio di questo bollettino le informazioni sulla vulnerabilità erano disponibili pubblicamente?  
Sì. Le informazioni sulla vulnerabilità sono state divulgate pubblicamente. Questa vulnerabilità è stata identificata con il codice CVE-2010-0249.

Al momento del rilascio di questo bollettino erano già stati segnalati attacchi basati sullo sfruttamento di questa vulnerabilità?  
Sì. Microsoft è a conoscenza di un limitato numero di attacchi che tentano di utilizzare questa vulnerabilità.

Tabella di riferimento

La seguente tabella contiene le informazioni relative all'aggiornamento per la protezione per questo software. Per ulteriori informazioni, consultare la sottosezione Informazioni per la distribuzione di questa sezione.

Tabella di riferimento

La seguente tabella contiene le informazioni relative all'aggiornamento per la protezione per questo software. Per ulteriori informazioni, consultare la sottosezione Informazioni per la distribuzione di questa sezione.

Nota Per tutte le versioni supportate di Windows XP Professional x64 Edition, questo aggiornamento per la protezione è uguale a quello per le versioni supportate di Windows Server 2003 x64 Edition.

Tabella di riferimento

La seguente tabella contiene le informazioni relative all'aggiornamento per la protezione per questo software. Per ulteriori informazioni, consultare la sottosezione Informazioni per la distribuzione di questa sezione.

Tabella di riferimento

La seguente tabella contiene le informazioni relative all'aggiornamento per la protezione per questo software. Per ulteriori informazioni, consultare la sottosezione Informazioni per la distribuzione di questa sezione.

Tabella di riferimento

La seguente tabella contiene le informazioni relative all'aggiornamento per la protezione per questo software. Per ulteriori informazioni, consultare la sottosezione Informazioni per la distribuzione di questa sezione.

Tabella di riferimento

La seguente tabella contiene le informazioni relative all'aggiornamento per la protezione per questo software. Per ulteriori informazioni, consultare la sottosezione Informazioni per la distribuzione di questa sezione.

Tabella di riferimento

La seguente tabella contiene le informazioni relative all'aggiornamento per la protezione per questo software. Per ulteriori informazioni, consultare la sottosezione Informazioni per la distribuzione di questa sezione.