Bollettino Microsoft sulla sicurezza MS11-018 - Critico

Per fattore attenuante si intende un'impostazione, una configurazione comune o una procedura consigliata generica esistente in uno stato predefinito in grado di ridurre la gravità nello sfruttamento di una vulnerabilità. I seguenti fattori attenuanti possono essere utili per l'utente:

• In uno scenario di attacco basato sul Web, l'utente malintenzionato potrebbe pubblicare un sito Web contenente una pagina utilizzata per sfruttare la vulnerabilità. Inoltre, i siti Web manomessi e quelli che accettano o ospitano contenuti o annunci pubblicitari forniti dagli utenti potrebbero presentare contenuti appositamente predisposti per sfruttare questa vulnerabilità. In tutti questi casi, comunque, non è in alcun modo possibile obbligare gli utenti a visitare questi siti Web. L'utente malintenzionato dovrebbe invece convincere le vittime a visitare il sito Web, in genere inducendole a fare clic su un collegamento in un messaggio di posta elettronica o di Instant Messenger che le indirizzi al sito.
• Sfruttando questa vulnerabilità, un utente malintenzionato può ottenere gli stessi diritti utente dell'utente connesso. Pertanto, gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.
• Per impostazione predefinita, tutte le versioni supportate di Microsoft Outlook, Microsoft Outlook Express e Windows Mail aprono i messaggi di posta elettronica in formato HTML nell'area Siti con restrizioni, disattivando gli script e i controlli ActiveX ed eliminando in questo modo il rischio di sfruttamento di questa vulnerabilità da parte di un utente malintenzionato. Se si fa clic su un collegamento presente in un messaggio di posta elettronica, tale vulnerabilità può ancora sussistere con le modalità descritte nello scenario di attacco dal Web.
• Per impostazione predefinita, Internet Explorer in Windows Server 2003, Windows Server 2008 e Windows Server 2008 R2 viene eseguito in una modalità limitata denominata Protezione avanzata. Questa modalità consente di ridurre i rischi correlati a questa vulnerabilità. Per ulteriori informazioni sulla Protezione avanzata di Internet Explorer, consultare la sezione Domande frequenti di questo aggiornamento per la protezione.
• Internet Explorer 8 e Internet Explorer 9 non sono interessati da questa vulnerabilità.

Per soluzione alternativa si intende un'impostazione o una modifica nella configurazione che non elimina la vulnerabilità sottostante, ma consente di bloccare gli attacchi noti prima di applicare l'aggiornamento. Microsoft ha verificato le seguenti soluzioni alternative e segnala nel corso della discussione se tali soluzioni riducono la funzionalità:

• Leggere i messaggi di posta elettronica in formato testo normale

  Per aumentare la protezione dagli attacchi tramite posta elettronica, leggere i messaggi di posta elettronica in formato testo normale.

  Gli utenti di Microsoft Office Outlook 2002 che hanno installato Microsoft Office XP Service Pack 1 o versioni successive e gli utenti di Microsoft Office Outlook Express 6 che hanno installato Internet Explorer 6 Service Pack 1 o versioni successive possono attivare questa impostazione e visualizzare automaticamente in formato testo normale tutti i messaggi privi di firma digitale o non crittografati.

  Tale impostazione non interessa i messaggi dotati di firma digitale o crittografati, che possono essere letti nei formati originali. Per ulteriori informazioni sull'attivazione di questa impostazione in Outlook 2002, vedere l'articolo della Microsoft Knowledge Base 307594.

  Per informazioni su questa impostazione in Outlook Express 6, vedere l'articolo della Microsoft Knowledge Base 291387.

  Impatto della soluzione alternativa. I messaggi e-mail visualizzati in formato testo normale non possono includere immagini, tipi di carattere speciali, animazioni o altro contenuto completo. Inoltre:

  • Le modifiche vengono apportate sia nel riquadro di anteprima sia nei messaggi aperti.
  • Le immagini diventano allegati in modo da non andare perdute.
  • Poiché il messaggio nell'archivio è ancora in formato RTF o HTML, si potrebbero verificare comportamenti imprevisti in relazione al modello di oggetti (soluzioni di codice personalizzate).
• Impostare il livello dell'area di protezione Internet e Intranet locale su "Alta" per bloccare i controlli ActiveX e script attivo in queste aree

  È possibile contribuire a una protezione più efficace del sistema dai rischi connessi a questa vulnerabilità, modificando le impostazioni relative all'area di protezione Internet in modo che i controlli ActiveX e lo script attivo vengano bloccati. Tale operazione può essere eseguita impostando la protezione del browser su Alta.

  Per alzare il livello di protezione del brower in Internet Explorer, attenersi alla seguente procedura:

  1. Dal menu Strumenti di Internet Explorer, scegliere Opzioni Internet.
  2. Nella finestra di dialogo Opzioni Internet, fare clic sulla scheda Protezione, quindi sull'icona Internet.
  3. In Livello di protezione per l'area, spostare il dispositivo di scorrimento su Alta. Il livello di protezione per tutti i siti Web visitati viene così impostato su Alta.

  Nota Se il dispositivo di scorrimento non è visibile, fare clic su Livello predefinito, quindi spostare il dispositivo di scorrimento su Alta.

  Nota Con l'impostazione della protezione su Alta, alcuni siti Web potrebbero non funzionare nel modo corretto. Se si incontrano difficoltà nell'utilizzo di un sito Web dopo aver effettuato questa modifica e si è certi che il sito è sicuro, è possibile aggiungere il sito all'elenco Siti attendibili. In questo modo il sito funzionerà correttamente anche quando la protezione è impostata su Alta.

  Impatto della soluzione alternativa. Il blocco dei controlli ActiveX e di script attivo può avere effetti collaterali. Numerosi siti Web su Internet o su una rete Intranet utilizzano ActiveX o script attivo per offrire funzionalità aggiuntive. Un sito di e-commerce o di online banking, ad esempio, può utilizzare controlli ActiveX per la visualizzazione dei menu, dei moduli d'ordine o degli estratti conto. Il blocco dei controlli ActiveX o script attivo è un'impostazione globale per tutti i siti Internet e Intranet. Se non si desidera che i controlli ActiveX o script attivo vengano bloccati in tali siti, utilizzare la procedura descritta in "Aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer".

  Aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer

  Dopo l'impostazione della richiesta di blocco dei controlli ActiveX e dello script attivo nelle aree Internet e Intranet locale, è possibile aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer. In questo modo è possibile continuare a utilizzare i siti Web attendibili nel modo abituale, proteggendo al tempo stesso il sistema da eventuali attacchi dai siti non attendibili. Si raccomanda di aggiungere all'area Siti attendibili solo i siti effettivamente ritenuti attendibili.

  A tale scopo, utilizzare la seguente procedura:

  1. In Internet Explorer, scegliere Opzioni Internet dal menu Strumenti e fare clic sulla scheda Protezione.
  2. Nella sezione Selezionare un'area di contenuto Web per specificare le relative impostazioni di protezione fare clic sull'icona Siti attendibili, quindi sul pulsante Siti.
  3. Se si desidera aggiungere siti che non richiedono un canale crittografato, deselezionare la check box Richiedi verifica server (https:) per tutti i siti dell'area.
  4. Digitare nella casella Aggiungi il sito Web all'area l'URL del sito desiderato, quindi fare clic sul pulsante Aggiungi.
  5. Ripetere la procedura per ogni sito da aggiungere all'area.
  6. Fare due volte clic su OK per confermare le modifiche e tornare a Internet Explorer.

  Nota È possibile aggiungere qualsiasi sito che si ritiene non eseguirà operazioni dannose sul sistema. In particolare è utile aggiungere i due siti *.windowsupdate.microsoft.com e *.update.microsoft.com, ovvero i siti che ospiteranno l'aggiornamento per cui è richiesto l'utilizzo di un controllo ActiveX per l'installazione.

• Configurare Internet Explorer in modo che venga richiesta conferma prima dell'esecuzione di script attivo oppure disattivare tali script nell'area di protezione Internet e Intranet locale

  È possibile contribuire a una protezione più efficace del sistema dai rischi connessi a questa vulnerabilità modificando le impostazioni in modo che venga richiesta conferma prima di eseguire script attivo o vengano disattivati tali script nell'area di protezione Internet e Intranet locale. A tale scopo, utilizzare la seguente procedura:

  1. In Internet Explorer, scegliere Opzioni Internet dal menu Strumenti.
  2. Selezionare la scheda Protezione.
  3. Selezionare Internet e fare clic sul pulsante Livello personalizzato.
  4. Nella sezione Esecuzione script dell'elenco Impostazioni, selezionare Esecuzione script attivo, quindi fare clic su Chiedi conferma o Disattiva e su OK.
  5. Selezionare Intranet locale, quindi fare clic sul pulsante Livello personalizzato.
  6. Nella sezione Esecuzione script dell'elenco Impostazioni, selezionare Esecuzione script attivo, quindi fare clic su Chiedi conferma o Disattiva e su OK.
  7. Fare due volte clic su OK per tornare a Internet Explorer.

  Nota Se si disattiva Esecuzione script attivo nelle aree di protezione Internet e Intranet locale, alcuni siti Web potrebbero non funzionare nel modo corretto. Se si incontrano difficoltà nell'utilizzo di un sito Web dopo aver effettuato questa modifica e si è certi che il sito è sicuro, è possibile aggiungere il sito all'elenco Siti attendibili. In questo modo il sito funzionerà correttamente.

  Impatto della soluzione alternativa. La visualizzazione di una richiesta di conferma prima dell'esecuzione di script attivo può avere effetti collaterali. Numerosi siti Web su Internet o su una rete Intranet utilizzano script attivo per offrire funzionalità aggiuntive. Un sito di e-commerce o di online banking, ad esempio, può utilizzare script attivo per la visualizzazione dei menu, dei moduli d'ordine o degli estratti conto. La richiesta di conferma prima dell'esecuzione di script attivo è un'impostazione globale per tutti i siti Internet e Intranet. Se si utilizza questa soluzione alternativa, le richieste di conferma verranno visualizzate di frequente. A ogni richiesta di conferma, se si ritiene che il sito da visitare sia attendibile, fare clic su Sì per consentire l'esecuzione di script attivo. Se non si desidera che venga richiesta conferma per tutti i siti, utilizzare la procedura descritta in "Aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer".

  Aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer

  Dopo l'impostazione della richiesta di conferma prima dell'esecuzione di controlli ActiveX e script attivo nelle aree Internet e Intranet locale, è possibile aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer. In questo modo è possibile continuare a utilizzare i siti Web attendibili nel modo abituale, proteggendo al tempo stesso il sistema da eventuali attacchi dai siti non attendibili. Si raccomanda di aggiungere all'area Siti attendibili solo i siti effettivamente ritenuti attendibili.

  A tale scopo, utilizzare la seguente procedura:

  1. In Internet Explorer, scegliere Opzioni Internet dal menu Strumenti e fare clic sulla scheda Protezione.
  2. Nella sezione Selezionare un'area di contenuto Web per specificare le relative impostazioni di protezione fare clic sull'icona Siti attendibili, quindi sul pulsante Siti.
  3. Se si desidera aggiungere siti che non richiedono un canale crittografato, deselezionare la check box Richiedi verifica server (https:) per tutti i siti dell'area.
  4. Digitare nella casella Aggiungi il sito Web all'area l'URL del sito desiderato, quindi fare clic sul pulsante Aggiungi.
  5. Ripetere la procedura per ogni sito da aggiungere all'area.
  6. Fare due volte clic su OK per confermare le modifiche e tornare a Internet Explorer.

  Nota È possibile aggiungere qualsiasi sito che si ritiene non eseguirà operazioni dannose sul sistema. In particolare è utile aggiungere i due siti *.windowsupdate.microsoft.com e *.update.microsoft.com, ovvero i siti che ospiteranno l'aggiornamento per cui è richiesto l'utilizzo di un controllo ActiveX per l'installazione.

Qual è la portata o l'impatto di questa vulnerabilità?  
Si tratta di una vulnerabilità legata all'esecuzione di codice in modalità remota. Sfruttando questa vulnerabilità, un utente malintenzionato può ottenere gli stessi diritti utente dell'utente connesso. Pertanto, gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.

Quali sono le cause di questa vulnerabilità?  
Quando Internet Explorer tenta di accedere a un oggetto che è stato eliminato, la memoria può venire danneggiata in modo da consentire a un utente malintenzionato di eseguire codice arbitrario nel contesto dell'utente connesso.

A quali attacchi viene esposto il sistema a causa di questa vulnerabilità?  
Sfruttando questa vulnerabilità, un utente malintenzionato può ottenere gli stessi diritti utente dell'utente connesso. Se l'utente è connesso con privilegi di amministrazione, un utente malintenzionato che sfrutti questa vulnerabilità può assumere il controllo completo del sistema interessato. Potrebbe quindi installare programmi e visualizzare, modificare o eliminare dati oppure creare nuovi account con diritti utente completi.

In quale modo un utente malintenzionato può sfruttare questa vulnerabilità?  
Un utente malintenzionato potrebbe pubblicare siti Web appositamente predisposti per sfruttare la vulnerabilità tramite Internet Explorer e quindi convincere un utente a visualizzarli. Inoltre, un utente malintenzionato può incorporare un controllo ActiveX contrassegnato come "sicuro per l'inizializzazione" in un'applicazione o in un documento Microsoft Office che ospita il motore di rendering di Internet Explorer. L'utente malintenzionato potrebbe inoltre servirsi di siti Web manomessi e di siti Web che accettano o pubblicano contenuti o annunci pubblicitari inviati da altri utenti. Questi siti Web possono includere contenuti appositamente predisposti in grado di sfruttare questa vulnerabilità. Tuttavia, in nessuno di questi casi un utente malintenzionato può obbligare gli utenti a visualizzare il contenuto controllato dall'utente malintenzionato. Un utente malintenzionato deve piuttosto convincere gli utenti a compiere un'azione, in genere facendo clic su un collegamento contenuto in un messaggio di posta elettronica o in un messaggio di Instant Messenger, che porta degli utenti al sito Web dell'utente malintenzionato oppure aprendo un allegato inviato mediante un messaggio di posta elettronica.

Quali sono i sistemi principalmente interessati da questa vulnerabilità?  
Questa vulnerabilità può essere sfruttata per l'esecuzione di azioni dannose solo se un utente è connesso al sistema e visita un sito Web. Pertanto, i sistemi maggiormente a rischio sono quelli in cui Internet Explorer viene utilizzato frequentemente, come le workstation o i server terminal.

Se si esegue Internet Explorer per Windows Server 2003, Windows Server 2008 o Windows Server 2008 R2, il problema ha una portata più limitata?  
Sì. Per impostazione predefinita, Internet Explorer in Windows Server 2003, Windows Server 2008 e Windows Server 2008 R2 viene eseguito in una modalità limitata denominata Protezione avanzata. La configurazione Protezione avanzata è costituita da un gruppo di impostazioni di Internet Explorer preconfigurate che riduce la probabilità che un utente o un amministratore scarichi ed esegua contenuto Web appositamente predisposto in un server. Questo è un fattore attenuante per i siti Web che non sono stati aggiunti all'area Siti attendibili di Internet Explorer.

Quali sono gli scopi dell'aggiornamento?  
L'aggiornamento risolve la vulnerabilità modificando il modo in cui Internet Explorer gestisce gli oggetti nella memoria.

Al momento del rilascio di questo bollettino le informazioni sulla vulnerabilità erano disponibili pubblicamente?  
No. Microsoft ha ricevuto informazioni sulla vulnerabilità grazie a un'indagine coordinata.

Al momento del rilascio di questo bollettino erano già stati segnalati attacchi basati sullo sfruttamento di questa vulnerabilità?  
Sì. Microsoft è a conoscenza di un limitato numero di attacchi che tentano di utilizzare questa vulnerabilità.

Per fattore attenuante si intende un'impostazione, una configurazione comune o una procedura consigliata generica esistente in uno stato predefinito in grado di ridurre la gravità nello sfruttamento di una vulnerabilità. I seguenti fattori attenuanti possono essere utili per l'utente:

• In uno scenario di attacco basato sul Web, l'utente malintenzionato potrebbe pubblicare un sito Web contenente una pagina utilizzata per sfruttare la vulnerabilità. Inoltre, i siti Web manomessi e quelli che accettano o ospitano contenuti o annunci pubblicitari forniti dagli utenti potrebbero presentare contenuti appositamente predisposti per sfruttare questa vulnerabilità. In tutti questi casi, comunque, non è in alcun modo possibile obbligare gli utenti a visitare questi siti Web. L'utente malintenzionato dovrebbe invece convincere le vittime a visitare il sito Web, in genere inducendole a fare clic su un collegamento in un messaggio di posta elettronica o di Instant Messenger che le indirizzi al sito.
• Sfruttando questa vulnerabilità, un utente malintenzionato può ottenere gli stessi diritti utente dell'utente connesso. Pertanto, gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.
• Per impostazione predefinita, tutte le versioni supportate di Microsoft Outlook, Microsoft Outlook Express e Windows Mail aprono i messaggi di posta elettronica in formato HTML nell'area Siti con restrizioni, disattivando gli script e i controlli ActiveX ed eliminando in questo modo il rischio di sfruttamento di questa vulnerabilità da parte di un utente malintenzionato. Se si fa clic su un collegamento presente in un messaggio di posta elettronica, tale vulnerabilità può ancora sussistere con le modalità descritte nello scenario di attacco dal Web.
• Per impostazione predefinita, Internet Explorer in Windows Server 2003, Windows Server 2008 e Windows Server 2008 R2 viene eseguito in una modalità limitata denominata Protezione avanzata. Questa modalità consente di ridurre i rischi correlati a questa vulnerabilità. Per ulteriori informazioni sulla Protezione avanzata di Internet Explorer, consultare la sezione Domande frequenti di questo aggiornamento per la protezione.
• Internet Explorer 9 non è interessato da questa vulnerabilità.

Per soluzione alternativa si intende un'impostazione o una modifica nella configurazione che non elimina la vulnerabilità sottostante, ma consente di bloccare gli attacchi noti prima di applicare l'aggiornamento. Microsoft ha verificato le seguenti soluzioni alternative e segnala nel corso della discussione se tali soluzioni riducono la funzionalità:

• Leggere i messaggi di posta elettronica in formato testo normale

  Per aumentare la protezione dagli attacchi tramite posta elettronica, leggere i messaggi di posta elettronica in formato testo normale.

  Gli utenti di Microsoft Office Outlook 2002 che hanno installato Microsoft Office XP Service Pack 1 o versioni successive e gli utenti di Microsoft Office Outlook Express 6 che hanno installato Internet Explorer 6 Service Pack 1 o versioni successive possono attivare questa impostazione e visualizzare automaticamente in formato testo normale tutti i messaggi privi di firma digitale o non crittografati.

  Tale impostazione non interessa i messaggi dotati di firma digitale o crittografati, che possono essere letti nei formati originali. Per ulteriori informazioni sull'attivazione di questa impostazione in Outlook 2002, vedere l'articolo della Microsoft Knowledge Base 307594.

  Per informazioni su questa impostazione in Outlook Express 6, vedere l'articolo della Microsoft Knowledge Base 291387.

  Impatto della soluzione alternativa. I messaggi e-mail visualizzati in formato testo normale non possono includere immagini, tipi di carattere speciali, animazioni o altro contenuto completo. Inoltre:

  • Le modifiche vengono apportate sia nel riquadro di anteprima sia nei messaggi aperti.
  • Le immagini diventano allegati in modo da non andare perdute.
  • Poiché il messaggio nell'archivio è ancora in formato RTF o HTML, si potrebbero verificare comportamenti imprevisti in relazione al modello di oggetti (soluzioni di codice personalizzate).
• Impostare il livello dell'area di protezione Internet e Intranet locale su "Alta" per bloccare i controlli ActiveX e script attivo in queste aree

  È possibile contribuire a una protezione più efficace del sistema dai rischi connessi a questa vulnerabilità, modificando le impostazioni relative all'area di protezione Internet in modo che i controlli ActiveX e lo script attivo vengano bloccati. Tale operazione può essere eseguita impostando la protezione del browser su Alta.

  Per alzare il livello di protezione del brower in Internet Explorer, attenersi alla seguente procedura:

  1. Dal menu Strumenti di Internet Explorer, scegliere Opzioni Internet.
  2. Nella finestra di dialogo Opzioni Internet, fare clic sulla scheda Protezione, quindi sull'icona Internet.
  3. In Livello di protezione per l'area, spostare il dispositivo di scorrimento su Alta. Il livello di protezione per tutti i siti Web visitati viene così impostato su Alta.

  Nota Se il dispositivo di scorrimento non è visibile, fare clic su Livello predefinito, quindi spostare il dispositivo di scorrimento su Alta.

  Nota Con l'impostazione della protezione su Alta, alcuni siti Web potrebbero non funzionare nel modo corretto. Se si incontrano difficoltà nell'utilizzo di un sito Web dopo aver effettuato questa modifica e si è certi che il sito è sicuro, è possibile aggiungere il sito all'elenco Siti attendibili. In questo modo il sito funzionerà correttamente anche quando la protezione è impostata su Alta.

  Impatto della soluzione alternativa. Il blocco dei controlli ActiveX e di script attivo può avere effetti collaterali. Numerosi siti Web su Internet o su una rete Intranet utilizzano ActiveX o script attivo per offrire funzionalità aggiuntive. Un sito di e-commerce o di online banking, ad esempio, può utilizzare controlli ActiveX per la visualizzazione dei menu, dei moduli d'ordine o degli estratti conto. Il blocco dei controlli ActiveX o script attivo è un'impostazione globale per tutti i siti Internet e Intranet. Se non si desidera che i controlli ActiveX o script attivo vengano bloccati in tali siti, utilizzare la procedura descritta in "Aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer".

  Aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer

  Dopo l'impostazione della richiesta di blocco dei controlli ActiveX e dello script attivo nelle aree Internet e Intranet locale, è possibile aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer. In questo modo è possibile continuare a utilizzare i siti Web attendibili nel modo abituale, proteggendo al tempo stesso il sistema da eventuali attacchi dai siti non attendibili. Si raccomanda di aggiungere all'area Siti attendibili solo i siti effettivamente ritenuti attendibili.

  A tale scopo, utilizzare la seguente procedura:

  1. In Internet Explorer, scegliere Opzioni Internet dal menu Strumenti e fare clic sulla scheda Protezione.
  2. Nella sezione Selezionare un'area di contenuto Web per specificare le relative impostazioni di protezione fare clic sull'icona Siti attendibili, quindi sul pulsante Siti.
  3. Se si desidera aggiungere siti che non richiedono un canale crittografato, deselezionare la check box Richiedi verifica server (https:) per tutti i siti dell'area.
  4. Digitare nella casella Aggiungi il sito Web all'area l'URL del sito desiderato, quindi fare clic sul pulsante Aggiungi.
  5. Ripetere la procedura per ogni sito da aggiungere all'area.
  6. Fare due volte clic su OK per confermare le modifiche e tornare a Internet Explorer.

  Nota È possibile aggiungere qualsiasi sito che si ritiene non eseguirà operazioni dannose sul sistema. In particolare è utile aggiungere i due siti *.windowsupdate.microsoft.com e *.update.microsoft.com, ovvero i siti che ospiteranno l'aggiornamento per cui è richiesto l'utilizzo di un controllo ActiveX per l'installazione.

• Configurare Internet Explorer in modo che venga richiesta conferma prima dell'esecuzione di script attivo oppure disattivare tali script nell'area di protezione Internet e Intranet locale

  È possibile contribuire a una protezione più efficace del sistema dai rischi connessi a questa vulnerabilità modificando le impostazioni in modo che venga richiesta conferma prima di eseguire script attivo o vengano disattivati tali script nell'area di protezione Internet e Intranet locale. A tale scopo, utilizzare la seguente procedura:

  1. In Internet Explorer, scegliere Opzioni Internet dal menu Strumenti.
  2. Selezionare la scheda Protezione.
  3. Selezionare Internet e fare clic sul pulsante Livello personalizzato.
  4. Nella sezione Esecuzione script dell'elenco Impostazioni, selezionare Esecuzione script attivo, quindi fare clic su Chiedi conferma o Disattiva e su OK.
  5. Selezionare Intranet locale, quindi fare clic sul pulsante Livello personalizzato.
  6. Nella sezione Esecuzione script dell'elenco Impostazioni, selezionare Esecuzione script attivo, quindi fare clic su Chiedi conferma o Disattiva e su OK.
  7. Fare due volte clic su OK per tornare a Internet Explorer.

  Nota Se si disattiva Esecuzione script attivo nelle aree di protezione Internet e Intranet locale, alcuni siti Web potrebbero non funzionare nel modo corretto. Se si incontrano difficoltà nell'utilizzo di un sito Web dopo aver effettuato questa modifica e si è certi che il sito è sicuro, è possibile aggiungere il sito all'elenco Siti attendibili. In questo modo il sito funzionerà correttamente.

  Impatto della soluzione alternativa. La visualizzazione di una richiesta di conferma prima dell'esecuzione di script attivo può avere effetti collaterali. Numerosi siti Web su Internet o su una rete Intranet utilizzano script attivo per offrire funzionalità aggiuntive. Un sito di e-commerce o di online banking, ad esempio, può utilizzare script attivo per la visualizzazione dei menu, dei moduli d'ordine o degli estratti conto. La richiesta di conferma prima dell'esecuzione di script attivo è un'impostazione globale per tutti i siti Internet e Intranet. Se si utilizza questa soluzione alternativa, le richieste di conferma verranno visualizzate di frequente. A ogni richiesta di conferma, se si ritiene che il sito da visitare sia attendibile, fare clic su Sì per consentire l'esecuzione di script attivo. Se non si desidera che venga richiesta conferma per tutti i siti, utilizzare la procedura descritta in "Aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer".

  Aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer

  Dopo l'impostazione della richiesta di conferma prima dell'esecuzione di controlli ActiveX e script attivo nelle aree Internet e Intranet locale, è possibile aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer. In questo modo è possibile continuare a utilizzare i siti Web attendibili nel modo abituale, proteggendo al tempo stesso il sistema da eventuali attacchi dai siti non attendibili. Si raccomanda di aggiungere all'area Siti attendibili solo i siti effettivamente ritenuti attendibili.

  A tale scopo, utilizzare la seguente procedura:

  1. In Internet Explorer, scegliere Opzioni Internet dal menu Strumenti e fare clic sulla scheda Protezione.
  2. Nella sezione Selezionare un'area di contenuto Web per specificare le relative impostazioni di protezione fare clic sull'icona Siti attendibili, quindi sul pulsante Siti.
  3. Se si desidera aggiungere siti che non richiedono un canale crittografato, deselezionare la check box Richiedi verifica server (https:) per tutti i siti dell'area.
  4. Digitare nella casella Aggiungi il sito Web all'area l'URL del sito desiderato, quindi fare clic sul pulsante Aggiungi.
  5. Ripetere la procedura per ogni sito da aggiungere all'area.
  6. Fare due volte clic su OK per confermare le modifiche e tornare a Internet Explorer.

  Nota È possibile aggiungere qualsiasi sito che si ritiene non eseguirà operazioni dannose sul sistema. In particolare è utile aggiungere i due siti *.windowsupdate.microsoft.com e *.update.microsoft.com, ovvero i siti che ospiteranno l'aggiornamento per cui è richiesto l'utilizzo di un controllo ActiveX per l'installazione.

Qual è la portata o l'impatto di questa vulnerabilità?  
Si tratta di una vulnerabilità legata all'esecuzione di codice in modalità remota. Sfruttando questa vulnerabilità, un utente malintenzionato può ottenere gli stessi diritti utente dell'utente connesso. Pertanto, gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.

Quali sono le cause di questa vulnerabilità?  
In determinate situazioni, quando Internet Explorer tenta di accedere alla memoria inizializzata in maniera errata, potrebbe danneggiare la memoria in modo da permettere a un utente malintenzionato di eseguire codice non autorizzato.

A quali attacchi viene esposto il sistema a causa di questa vulnerabilità?  
Sfruttando questa vulnerabilità, un utente malintenzionato può ottenere gli stessi diritti utente dell'utente connesso. Se l'utente è connesso con privilegi di amministrazione, un utente malintenzionato che sfrutti questa vulnerabilità può assumere il controllo completo del sistema interessato. Potrebbe quindi installare programmi e visualizzare, modificare o eliminare dati oppure creare nuovi account con diritti utente completi.

In quale modo un utente malintenzionato può sfruttare questa vulnerabilità?  
Un utente malintenzionato potrebbe pubblicare siti Web appositamente predisposti per sfruttare la vulnerabilità tramite Internet Explorer e quindi convincere un utente a visualizzarli. L'utente malintenzionato potrebbe inoltre servirsi di siti Web manomessi e di siti Web che accettano o pubblicano contenuti o annunci pubblicitari inviati da altri utenti. Questi siti Web possono includere contenuti appositamente predisposti in grado di sfruttare questa vulnerabilità. In tutti questi casi, comunque, non è in alcun modo possibile obbligare gli utenti a visitare questi siti Web. L'utente malintenzionato dovrebbe invece convincere le vittime a visitare il sito, in genere inducendole a fare clic su un collegamento in un messaggio di posta elettronica o di Instant Messenger che le indirizzi al sito. Potrebbe inoltre far visualizzare contenuti Web appositamente predisposti utilizzando banner pubblicitari o altre modalità di invio di contenuti Web ai sistemi interessati.

Quali sono i sistemi principalmente interessati da questa vulnerabilità?  
Questa vulnerabilità può essere sfruttata per l'esecuzione di azioni dannose solo se un utente è connesso al sistema e visita un sito Web. Pertanto, i sistemi maggiormente a rischio sono quelli in cui Internet Explorer viene utilizzato frequentemente, come le workstation o i server terminal.

Se si esegue Internet Explorer per Windows Server 2003, Windows Server 2008 o Windows Server 2008 R2, il problema ha una portata più limitata?  
Sì. Per impostazione predefinita, Internet Explorer in Windows Server 2003, Windows Server 2008 e Windows Server 2008 R2 viene eseguito in una modalità limitata denominata Protezione avanzata. La configurazione Protezione avanzata è costituita da un gruppo di impostazioni di Internet Explorer preconfigurate che riduce la probabilità che un utente o un amministratore scarichi ed esegua contenuto Web appositamente predisposto in un server. Questo è un fattore attenuante per i siti Web che non sono stati aggiunti all'area Siti attendibili di Internet Explorer.

Quali sono gli scopi dell'aggiornamento?  
L'aggiornamento risolve la vulnerabilità modificando il modo in cui Internet Explorer gestisce gli oggetti nella memoria.

Al momento del rilascio di questo bollettino le informazioni sulla vulnerabilità erano disponibili pubblicamente?  
Sì. Le informazioni sulla vulnerabilità sono state divulgate pubblicamente. Questa vulnerabilità è stata identificata con il codice CVE-2011-0346.

Al momento del rilascio di questo bollettino erano già stati segnalati attacchi basati sullo sfruttamento di questa vulnerabilità?  
No. Al momento della pubblicazione del presente bollettino, Microsoft non aveva ricevuto alcuna segnalazione in merito allo sfruttamento di questa vulnerabilità a scopo di attacco.

Per fattore attenuante si intende un'impostazione, una configurazione comune o una procedura consigliata generica esistente in uno stato predefinito in grado di ridurre la gravità nello sfruttamento di una vulnerabilità. I seguenti fattori attenuanti possono essere utili per l'utente:

• In uno scenario di attacco basato sul Web, l'utente malintenzionato potrebbe pubblicare un sito Web contenente una pagina utilizzata per sfruttare la vulnerabilità. Inoltre, i siti Web manomessi e quelli che accettano o ospitano contenuti o annunci pubblicitari forniti dagli utenti potrebbero presentare contenuti appositamente predisposti per sfruttare questa vulnerabilità. In tutti questi casi, comunque, non è in alcun modo possibile obbligare gli utenti a visitare questi siti Web. L'utente malintenzionato dovrebbe invece convincere le vittime a visitare il sito Web, in genere inducendole a fare clic su un collegamento in un messaggio di posta elettronica o di Instant Messenger che le indirizzi al sito.
• Internet Explorer 9 non è interessato da questa vulnerabilità.

Microsoft non ha individuato alcuna soluzione alternativa per questa vulnerabilità.

Qual è la portata o l'impatto di questa vulnerabilità?  
Questa vulnerabilità riguarda l'intercettazione di informazioni personali. Un utente malintenzionato che riesce a sfruttare tale vulnerabilità potrebbe indurre un utente a fare clic su contenuto dannoso presentandolo come contenuto legittimo su una pagina Web appositamente predisposta.

Quali sono le cause di questa vulnerabilità?  
Durante determinati processi, Internet Explorer consente erroneamente agli utenti malintenzionati di accedere e leggere il contenuto da domini diversi.

A quali attacchi viene esposto il sistema a causa di questa vulnerabilità?  
Un utente malintenzionato che riesce a sfruttare tale vulnerabilità potrebbe indurre un utente a fare clic su contenuto dannoso utilizzando una pratica conosciuta come il clickjacking.

Che cos'è il clickjacking?  
Clickjacking è una minaccia online per cui una pagina Web dell'utente malintenzionato induce un utente a fare clic su contenuto dannoso presentandolo come contenuto legittimo. Ad esempio, una pagina Web legittima potrebbe essere nascosta come un "frame" in una pagina dannosa. Quando un utente fa clic sulla pagina dannosa, in realtà sta facendo clic su qualcos'altro: sta acquistando qualcosa dal sito, sta modificando alcune impostazioni nel browser o nel computer in uso, o sta visualizzando annunci pubblicitari che i cybercriminali sono pagati per gonfiare.

In quale modo un utente malintenzionato può sfruttare questa vulnerabilità?  
Un utente malintenzionato può pubblicare siti Web appositamente predisposti per sfruttare la vulnerabilità tramite Internet Explorer e quindi convincere un utente a visualizzarli ed eseguirvi operazioni. L'utente malintenzionato potrebbe inoltre servirsi di siti Web manomessi e di siti Web che accettano o pubblicano contenuti o annunci pubblicitari inviati da altri utenti. Questi siti Web possono includere contenuti appositamente predisposti in grado di sfruttare questa vulnerabilità. In tutti questi casi, comunque, non è in alcun modo possibile obbligare gli utenti a visitare questi siti Web. L'utente malintenzionato dovrebbe invece convincere le vittime a visitare il sito, in genere inducendole a fare clic su un collegamento in un messaggio di posta elettronica o di Instant Messenger che le indirizzi al sito. Potrebbe inoltre far visualizzare contenuti Web appositamente predisposti utilizzando banner pubblicitari o altre modalità di invio di contenuti Web ai sistemi interessati.

Quali sono i sistemi principalmente interessati da questa vulnerabilità?  
Questa vulnerabilità può essere sfruttata per l'esecuzione di azioni dannose solo se un utente visita un sito Web e vi esegue delle operazioni. Pertanto, i sistemi maggiormente a rischio sono quelli in cui Internet Explorer viene utilizzato frequentemente, come le workstation o i server terminal.

Quali sono gli scopi dell'aggiornamento?  
L'aggiornamento risolve la vulnerabilità modificando il modo in cui Internet Explorer gestisce il contenuto durante determinati processi.

Al momento del rilascio di questo bollettino le informazioni sulla vulnerabilità erano disponibili pubblicamente?  
No. Microsoft ha ricevuto informazioni sulla vulnerabilità grazie a un'indagine coordinata.

Al momento del rilascio di questo bollettino erano già stati segnalati attacchi basati sullo sfruttamento di questa vulnerabilità?  
No. Al momento della pubblicazione del presente bollettino, Microsoft non aveva ricevuto alcuna segnalazione in merito allo sfruttamento di questa vulnerabilità a scopo di attacco.

Per fattore attenuante si intende un'impostazione, una configurazione comune o una procedura consigliata generica esistente in uno stato predefinito in grado di ridurre la gravità nello sfruttamento di una vulnerabilità. I seguenti fattori attenuanti possono essere utili per l'utente:

• In uno scenario di attacco basato sul Web, l'utente malintenzionato potrebbe pubblicare un sito Web contenente una pagina utilizzata per sfruttare la vulnerabilità. Inoltre, i siti Web manomessi e quelli che accettano o ospitano contenuti o annunci pubblicitari forniti dagli utenti potrebbero presentare contenuti appositamente predisposti per sfruttare questa vulnerabilità. In tutti questi casi, comunque, non è in alcun modo possibile obbligare gli utenti a visitare questi siti Web. L'utente malintenzionato dovrebbe invece convincere le vittime a visitare il sito Web, in genere inducendole a fare clic su un collegamento in un messaggio di posta elettronica o di Instant Messenger che le indirizzi al sito.
• Per impostazione predefinita, tutte le versioni supportate di Microsoft Outlook, Microsoft Outlook Express e Windows Mail aprono i messaggi di posta elettronica in formato HTML nell'area Siti con restrizioni, disattivando gli script e i controlli ActiveX ed eliminando in questo modo il rischio di sfruttamento di questa vulnerabilità da parte di un utente malintenzionato. Se si fa clic su un collegamento presente in un messaggio di posta elettronica, tale vulnerabilità può ancora sussistere con le modalità descritte nello scenario di attacco dal Web.
• Per impostazione predefinita, Internet Explorer in Windows Server 2003, Windows Server 2008 e Windows Server 2008 R2 viene eseguito in una modalità limitata denominata Protezione avanzata. Questa modalità consente di ridurre i rischi correlati a questa vulnerabilità. Per ulteriori informazioni sulla Protezione avanzata di Internet Explorer, consultare la sezione Domande frequenti di questo aggiornamento per la protezione.
• Internet Explorer 8 e Internet Explorer 9 non sono interessati da questa vulnerabilità.

Per soluzione alternativa si intende un'impostazione o una modifica nella configurazione che non elimina la vulnerabilità sottostante, ma consente di bloccare gli attacchi noti prima di applicare l'aggiornamento. Microsoft ha verificato le seguenti soluzioni alternative e segnala nel corso della discussione se tali soluzioni riducono la funzionalità:

• Impostare il livello dell'area di protezione Internet e Intranet locale su "Alta" per bloccare i controlli ActiveX e script attivo in queste aree

  È possibile contribuire a una protezione più efficace del sistema dai rischi connessi a questa vulnerabilità, modificando le impostazioni relative all'area di protezione Internet in modo che i controlli ActiveX e lo script attivo vengano bloccati. Tale operazione può essere eseguita impostando la protezione del browser su Alta.

  Per alzare il livello di protezione del brower in Internet Explorer, attenersi alla seguente procedura:

  1. Dal menu Strumenti di Internet Explorer, scegliere Opzioni Internet.
  2. Nella finestra di dialogo Opzioni Internet, fare clic sulla scheda Protezione, quindi sull'icona Internet.
  3. In Livello di protezione per l'area, spostare il dispositivo di scorrimento su Alta. Il livello di protezione per tutti i siti Web visitati viene così impostato su Alta.

  Nota Se il dispositivo di scorrimento non è visibile, fare clic su Livello predefinito, quindi spostare il dispositivo di scorrimento su Alta.

  Nota Con l'impostazione della protezione su Alta, alcuni siti Web potrebbero non funzionare nel modo corretto. Se si incontrano difficoltà nell'utilizzo di un sito Web dopo aver effettuato questa modifica e si è certi che il sito è sicuro, è possibile aggiungere il sito all'elenco Siti attendibili. In questo modo il sito funzionerà correttamente anche quando la protezione è impostata su Alta.

  Impatto della soluzione alternativa. Il blocco dei controlli ActiveX e di script attivo può avere effetti collaterali. Numerosi siti Web su Internet o su una rete Intranet utilizzano ActiveX o script attivo per offrire funzionalità aggiuntive. Un sito di e-commerce o di online banking, ad esempio, può utilizzare controlli ActiveX per la visualizzazione dei menu, dei moduli d'ordine o degli estratti conto. Il blocco dei controlli ActiveX o script attivo è un'impostazione globale per tutti i siti Internet e Intranet. Se non si desidera che i controlli ActiveX o script attivo vengano bloccati in tali siti, utilizzare la procedura descritta in "Aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer".

  Aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer

  Dopo l'impostazione della richiesta di blocco dei controlli ActiveX e dello script attivo nelle aree Internet e Intranet locale, è possibile aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer. In questo modo è possibile continuare a utilizzare i siti Web attendibili nel modo abituale, proteggendo al tempo stesso il sistema da eventuali attacchi dai siti non attendibili. Si raccomanda di aggiungere all'area Siti attendibili solo i siti effettivamente ritenuti attendibili.

  A tale scopo, utilizzare la seguente procedura:

  1. In Internet Explorer, scegliere Opzioni Internet dal menu Strumenti e fare clic sulla scheda Protezione.
  2. Nella sezione Selezionare un'area di contenuto Web per specificare le relative impostazioni di protezione fare clic sull'icona Siti attendibili, quindi sul pulsante Siti.
  3. Se si desidera aggiungere siti che non richiedono un canale crittografato, deselezionare la check box Richiedi verifica server (https:) per tutti i siti dell'area.
  4. Digitare nella casella Aggiungi il sito Web all'area l'URL del sito desiderato, quindi fare clic sul pulsante Aggiungi.
  5. Ripetere la procedura per ogni sito da aggiungere all'area.
  6. Fare due volte clic su OK per confermare le modifiche e tornare a Internet Explorer.

  Nota È possibile aggiungere qualsiasi sito che si ritiene non eseguirà operazioni dannose sul sistema. In particolare è utile aggiungere i due siti *.windowsupdate.microsoft.com e *.update.microsoft.com, ovvero i siti che ospiteranno l'aggiornamento per cui è richiesto l'utilizzo di un controllo ActiveX per l'installazione.

• Configurare Internet Explorer in modo che venga richiesta conferma prima dell'esecuzione di script attivo oppure disattivare tali script nell'area di protezione Internet e Intranet locale

  È possibile contribuire a una protezione più efficace del sistema dai rischi connessi a questa vulnerabilità modificando le impostazioni in modo che venga richiesta conferma prima di eseguire script attivo o vengano disattivati tali script nell'area di protezione Internet e Intranet locale. A tale scopo, utilizzare la seguente procedura:

  1. In Internet Explorer, scegliere Opzioni Internet dal menu Strumenti.
  2. Selezionare la scheda Protezione.
  3. Selezionare Internet e fare clic sul pulsante Livello personalizzato.
  4. Nella sezione Esecuzione script dell'elenco Impostazioni, selezionare Esecuzione script attivo, quindi fare clic su Chiedi conferma o Disattiva e su OK.
  5. Selezionare Intranet locale, quindi fare clic sul pulsante Livello personalizzato.
  6. Nella sezione Esecuzione script dell'elenco Impostazioni, selezionare Esecuzione script attivo, quindi fare clic su Chiedi conferma o Disattiva e su OK.
  7. Fare due volte clic su OK per tornare a Internet Explorer.

  Nota Se si disattiva Esecuzione script attivo nelle aree di protezione Internet e Intranet locale, alcuni siti Web potrebbero non funzionare nel modo corretto. Se si incontrano difficoltà nell'utilizzo di un sito Web dopo aver effettuato questa modifica e si è certi che il sito è sicuro, è possibile aggiungere il sito all'elenco Siti attendibili. In questo modo il sito funzionerà correttamente.

  Impatto della soluzione alternativa. La visualizzazione di una richiesta di conferma prima dell'esecuzione di script attivo può avere effetti collaterali. Numerosi siti Web su Internet o su una rete Intranet utilizzano script attivo per offrire funzionalità aggiuntive. Un sito di e-commerce o di online banking, ad esempio, può utilizzare script attivo per la visualizzazione dei menu, dei moduli d'ordine o degli estratti conto. La richiesta di conferma prima dell'esecuzione di script attivo è un'impostazione globale per tutti i siti Internet e Intranet. Se si utilizza questa soluzione alternativa, le richieste di conferma verranno visualizzate di frequente. A ogni richiesta di conferma, se si ritiene che il sito da visitare sia attendibile, fare clic su Sì per consentire l'esecuzione di script attivo. Se non si desidera che venga richiesta conferma per tutti i siti, utilizzare la procedura descritta in "Aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer".

  Aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer

  Dopo l'impostazione della richiesta di conferma prima dell'esecuzione di controlli ActiveX e script attivo nelle aree Internet e Intranet locale, è possibile aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer. In questo modo è possibile continuare a utilizzare i siti Web attendibili nel modo abituale, proteggendo al tempo stesso il sistema da eventuali attacchi dai siti non attendibili. Si raccomanda di aggiungere all'area Siti attendibili solo i siti effettivamente ritenuti attendibili.

  A tale scopo, utilizzare la seguente procedura:

  1. In Internet Explorer, scegliere Opzioni Internet dal menu Strumenti e fare clic sulla scheda Protezione.
  2. Nella sezione Selezionare un'area di contenuto Web per specificare le relative impostazioni di protezione fare clic sull'icona Siti attendibili, quindi sul pulsante Siti.
  3. Se si desidera aggiungere siti che non richiedono un canale crittografato, deselezionare la check box Richiedi verifica server (https:) per tutti i siti dell'area.
  4. Digitare nella casella Aggiungi il sito Web all'area l'URL del sito desiderato, quindi fare clic sul pulsante Aggiungi.
  5. Ripetere la procedura per ogni sito da aggiungere all'area.
  6. Fare due volte clic su OK per confermare le modifiche e tornare a Internet Explorer.

  Nota È possibile aggiungere qualsiasi sito che si ritiene non eseguirà operazioni dannose sul sistema. In particolare è utile aggiungere i due siti *.windowsupdate.microsoft.com e *.update.microsoft.com, ovvero i siti che ospiteranno l'aggiornamento per cui è richiesto l'utilizzo di un controllo ActiveX per l'installazione.

Qual è la portata o l'impatto di questa vulnerabilità?  
Questa vulnerabilità riguarda l'intercettazione di informazioni personali. Un utente malintenzionato che riesce a sfruttare tale vulnerabilità quando un utente visualizza una pagina Web può visualizzare il contenuto da un dominio diverso o da un'altra area di Internet Explorer diversi dal dominio o dall'area della pagina Web dell'utente malintenzionato.

Quali sono le cause di questa vulnerabilità?  
Questa vulnerabilità è causata quando determinati processi in Internet Explorer consentono erroneamente agli script di accedere e leggere il contenuto da domini diversi.

A quali attacchi viene esposto il sistema a causa di questa vulnerabilità?  
Un utente malintenzionato che riesce a sfruttare tale vulnerabilità può visualizzare il contenuto da un altro dominio o un'altra area di Internet Explorer.

In quale modo un utente malintenzionato può sfruttare questa vulnerabilità?  
Un utente malintenzionato potrebbe pubblicare siti Web appositamente predisposti per sfruttare la vulnerabilità tramite Internet Explorer e quindi convincere un utente a visualizzarli. L'utente malintenzionato potrebbe inoltre servirsi di siti Web manomessi e di siti Web che accettano o pubblicano contenuti o annunci pubblicitari inviati da altri utenti. Questi siti Web possono includere contenuti appositamente predisposti in grado di sfruttare questa vulnerabilità. In tutti questi casi, comunque, non è in alcun modo possibile obbligare gli utenti a visitare questi siti Web. L'utente malintenzionato dovrebbe invece convincere le vittime a visitare il sito, in genere inducendole a fare clic su un collegamento in un messaggio di posta elettronica o di Instant Messenger che le indirizzi al sito. Potrebbe inoltre far visualizzare contenuti Web appositamente predisposti utilizzando banner pubblicitari o altre modalità di invio di contenuti Web ai sistemi interessati.

Quali sono i sistemi principalmente interessati da questa vulnerabilità?  
Questa vulnerabilità può essere sfruttata per l'esecuzione di azioni dannose solo se un utente è connesso al sistema e visita un sito Web che fa riferimento a contenuto in finestre esterne. I sistemi maggiormente a rischio sono quelli in cui Internet Explorer viene utilizzato frequentemente, come le workstation o i server terminal.

Se si esegue Internet Explorer per Windows Server 2003, Windows Server 2008 o Windows Server 2008 R2, il problema ha una portata più limitata?  
Sì. Per impostazione predefinita, Internet Explorer in Windows Server 2003, Windows Server 2008 e Windows Server 2008 R2 viene eseguito in una modalità limitata denominata Protezione avanzata. La configurazione Protezione avanzata è costituita da un gruppo di impostazioni di Internet Explorer preconfigurate che riduce la probabilità che un utente o un amministratore scarichi ed esegua contenuto Web appositamente predisposto in un server. Questo è un fattore attenuante per i siti Web che non sono stati aggiunti all'area Siti attendibili di Internet Explorer.

Quali sono gli scopi dell'aggiornamento?  
L'aggiornamento risolve la vulnerabilità modificando il modo in cui Internet Explorer gestisce gli script durante determinati processi.

Al momento del rilascio di questo bollettino le informazioni sulla vulnerabilità erano disponibili pubblicamente?  
No. Microsoft ha ricevuto informazioni sulla vulnerabilità grazie a un'indagine coordinata.

Al momento del rilascio di questo bollettino erano già stati segnalati attacchi basati sullo sfruttamento di questa vulnerabilità?  
No. Al momento della pubblicazione del presente bollettino, Microsoft non aveva ricevuto alcuna segnalazione in merito allo sfruttamento di questa vulnerabilità a scopo di attacco.

Per fattore attenuante si intende un'impostazione, una configurazione comune o una procedura consigliata generica esistente in uno stato predefinito in grado di ridurre la gravità nello sfruttamento di una vulnerabilità. I seguenti fattori attenuanti possono essere utili per l'utente:

• In uno scenario di attacco basato sul Web, l'utente malintenzionato potrebbe pubblicare un sito Web contenente una pagina utilizzata per sfruttare la vulnerabilità. Inoltre, i siti Web manomessi e quelli che accettano o ospitano contenuti o annunci pubblicitari forniti dagli utenti potrebbero presentare contenuti appositamente predisposti per sfruttare questa vulnerabilità. In tutti questi casi, comunque, non è in alcun modo possibile obbligare gli utenti a visitare questi siti Web. L'utente malintenzionato dovrebbe invece convincere le vittime a visitare il sito Web, in genere inducendole a fare clic su un collegamento in un messaggio di posta elettronica o di Instant Messenger che le indirizzi al sito.
• Sfruttando questa vulnerabilità, un utente malintenzionato può ottenere gli stessi diritti utente dell'utente connesso. Pertanto, gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.
• Per impostazione predefinita, tutte le versioni supportate di Microsoft Outlook, Microsoft Outlook Express e Windows Mail aprono i messaggi di posta elettronica in formato HTML nell'area Siti con restrizioni, disattivando gli script e i controlli ActiveX ed eliminando in questo modo il rischio di sfruttamento di questa vulnerabilità da parte di un utente malintenzionato. Se si fa clic su un collegamento presente in un messaggio di posta elettronica, tale vulnerabilità può ancora sussistere con le modalità descritte nello scenario di attacco dal Web.
• Per impostazione predefinita, Internet Explorer in Windows Server 2003, Windows Server 2008 e Windows Server 2008 R2 viene eseguito in una modalità limitata denominata Protezione avanzata. Questa modalità consente di ridurre i rischi correlati a questa vulnerabilità. Per ulteriori informazioni sulla Protezione avanzata di Internet Explorer, consultare la sezione Domande frequenti di questo aggiornamento per la protezione.
• Internet Explorer 9 non è interessato da questa vulnerabilità.

Per soluzione alternativa si intende un'impostazione o una modifica nella configurazione che non elimina la vulnerabilità sottostante, ma consente di bloccare gli attacchi noti prima di applicare l'aggiornamento. Microsoft ha verificato le seguenti soluzioni alternative e segnala nel corso della discussione se tali soluzioni riducono la funzionalità:

• Leggere i messaggi di posta elettronica in formato testo normale

  Per aumentare la protezione dagli attacchi tramite posta elettronica, leggere i messaggi di posta elettronica in formato testo normale.

  Gli utenti di Microsoft Office Outlook 2002 che hanno installato Microsoft Office XP Service Pack 1 o versioni successive e gli utenti di Microsoft Office Outlook Express 6 che hanno installato Internet Explorer 6 Service Pack 1 o versioni successive possono attivare questa impostazione e visualizzare automaticamente in formato testo normale tutti i messaggi privi di firma digitale o non crittografati.

  Tale impostazione non interessa i messaggi dotati di firma digitale o crittografati, che possono essere letti nei formati originali. Per ulteriori informazioni sull'attivazione di questa impostazione in Outlook 2002, vedere l'articolo della Microsoft Knowledge Base 307594.

  Per informazioni su questa impostazione in Outlook Express 6, vedere l'articolo della Microsoft Knowledge Base 291387.

  Impatto della soluzione alternativa. I messaggi e-mail visualizzati in formato testo normale non possono includere immagini, tipi di carattere speciali, animazioni o altro contenuto completo. Inoltre:

  • Le modifiche vengono apportate sia nel riquadro di anteprima sia nei messaggi aperti.
  • Le immagini diventano allegati in modo da non andare perdute.
  • Poiché il messaggio nell'archivio è ancora in formato RTF o HTML, si potrebbero verificare comportamenti imprevisti in relazione al modello di oggetti (soluzioni di codice personalizzate).
• Impostare il livello dell'area di protezione Internet e Intranet locale su "Alta" per bloccare i controlli ActiveX e script attivo in queste aree

  È possibile contribuire a una protezione più efficace del sistema dai rischi connessi a questa vulnerabilità, modificando le impostazioni relative all'area di protezione Internet in modo che i controlli ActiveX e lo script attivo vengano bloccati. Tale operazione può essere eseguita impostando la protezione del browser su Alta.

  Per alzare il livello di protezione del brower in Internet Explorer, attenersi alla seguente procedura:

  1. Dal menu Strumenti di Internet Explorer, scegliere Opzioni Internet.
  2. Nella finestra di dialogo Opzioni Internet, fare clic sulla scheda Protezione, quindi sull'icona Internet.
  3. In Livello di protezione per l'area, spostare il dispositivo di scorrimento su Alta. Il livello di protezione per tutti i siti Web visitati viene così impostato su Alta.

  Nota Se il dispositivo di scorrimento non è visibile, fare clic su Livello predefinito, quindi spostare il dispositivo di scorrimento su Alta.

  Nota Con l'impostazione della protezione su Alta, alcuni siti Web potrebbero non funzionare nel modo corretto. Se si incontrano difficoltà nell'utilizzo di un sito Web dopo aver effettuato questa modifica e si è certi che il sito è sicuro, è possibile aggiungere il sito all'elenco Siti attendibili. In questo modo il sito funzionerà correttamente anche quando la protezione è impostata su Alta.

  Impatto della soluzione alternativa. Il blocco dei controlli ActiveX e di script attivo può avere effetti collaterali. Numerosi siti Web su Internet o su una rete Intranet utilizzano ActiveX o script attivo per offrire funzionalità aggiuntive. Un sito di e-commerce o di online banking, ad esempio, può utilizzare controlli ActiveX per la visualizzazione dei menu, dei moduli d'ordine o degli estratti conto. Il blocco dei controlli ActiveX o script attivo è un'impostazione globale per tutti i siti Internet e Intranet. Se non si desidera che i controlli ActiveX o script attivo vengano bloccati in tali siti, utilizzare la procedura descritta in "Aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer".

  Aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer

  Dopo l'impostazione della richiesta di blocco dei controlli ActiveX e dello script attivo nelle aree Internet e Intranet locale, è possibile aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer. In questo modo è possibile continuare a utilizzare i siti Web attendibili nel modo abituale, proteggendo al tempo stesso il sistema da eventuali attacchi dai siti non attendibili. Si raccomanda di aggiungere all'area Siti attendibili solo i siti effettivamente ritenuti attendibili.

  A tale scopo, utilizzare la seguente procedura:

  1. In Internet Explorer, scegliere Opzioni Internet dal menu Strumenti e fare clic sulla scheda Protezione.
  2. Nella sezione Selezionare un'area di contenuto Web per specificare le relative impostazioni di protezione fare clic sull'icona Siti attendibili, quindi sul pulsante Siti.
  3. Se si desidera aggiungere siti che non richiedono un canale crittografato, deselezionare la check box Richiedi verifica server (https:) per tutti i siti dell'area.
  4. Digitare nella casella Aggiungi il sito Web all'area l'URL del sito desiderato, quindi fare clic sul pulsante Aggiungi.
  5. Ripetere la procedura per ogni sito da aggiungere all'area.
  6. Fare due volte clic su OK per confermare le modifiche e tornare a Internet Explorer.

  Nota È possibile aggiungere qualsiasi sito che si ritiene non eseguirà operazioni dannose sul sistema. In particolare è utile aggiungere i due siti *.windowsupdate.microsoft.com e *.update.microsoft.com, ovvero i siti che ospiteranno l'aggiornamento per cui è richiesto l'utilizzo di un controllo ActiveX per l'installazione.

• Configurare Internet Explorer in modo che venga richiesta conferma prima dell'esecuzione di script attivo oppure disattivare tali script nell'area di protezione Internet e Intranet locale

  È possibile contribuire a una protezione più efficace del sistema dai rischi connessi a questa vulnerabilità modificando le impostazioni in modo che venga richiesta conferma prima di eseguire script attivo o vengano disattivati tali script nell'area di protezione Internet e Intranet locale. A tale scopo, utilizzare la seguente procedura:

  1. In Internet Explorer, scegliere Opzioni Internet dal menu Strumenti.
  2. Selezionare la scheda Protezione.
  3. Selezionare Internet e fare clic sul pulsante Livello personalizzato.
  4. Nella sezione Esecuzione script dell'elenco Impostazioni, selezionare Esecuzione script attivo, quindi fare clic su Chiedi conferma o Disattiva e su OK.
  5. Selezionare Intranet locale, quindi fare clic sul pulsante Livello personalizzato.
  6. Nella sezione Esecuzione script dell'elenco Impostazioni, selezionare Esecuzione script attivo, quindi fare clic su Chiedi conferma o Disattiva e su OK.
  7. Fare due volte clic su OK per tornare a Internet Explorer.

  Nota Se si disattiva Esecuzione script attivo nelle aree di protezione Internet e Intranet locale, alcuni siti Web potrebbero non funzionare nel modo corretto. Se si incontrano difficoltà nell'utilizzo di un sito Web dopo aver effettuato questa modifica e si è certi che il sito è sicuro, è possibile aggiungere il sito all'elenco Siti attendibili. In questo modo il sito funzionerà correttamente.

  Impatto della soluzione alternativa. La visualizzazione di una richiesta di conferma prima dell'esecuzione di script attivo può avere effetti collaterali. Numerosi siti Web su Internet o su una rete Intranet utilizzano script attivo per offrire funzionalità aggiuntive. Un sito di e-commerce o di online banking, ad esempio, può utilizzare script attivo per la visualizzazione dei menu, dei moduli d'ordine o degli estratti conto. La richiesta di conferma prima dell'esecuzione di script attivo è un'impostazione globale per tutti i siti Internet e Intranet. Se si utilizza questa soluzione alternativa, le richieste di conferma verranno visualizzate di frequente. A ogni richiesta di conferma, se si ritiene che il sito da visitare sia attendibile, fare clic su Sì per consentire l'esecuzione di script attivo. Se non si desidera che venga richiesta conferma per tutti i siti, utilizzare la procedura descritta in "Aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer".

  Aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer

  Dopo l'impostazione della richiesta di conferma prima dell'esecuzione di controlli ActiveX e script attivo nelle aree Internet e Intranet locale, è possibile aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer. In questo modo è possibile continuare a utilizzare i siti Web attendibili nel modo abituale, proteggendo al tempo stesso il sistema da eventuali attacchi dai siti non attendibili. Si raccomanda di aggiungere all'area Siti attendibili solo i siti effettivamente ritenuti attendibili.

  A tale scopo, utilizzare la seguente procedura:

  1. In Internet Explorer, scegliere Opzioni Internet dal menu Strumenti e fare clic sulla scheda Protezione.
  2. Nella sezione Selezionare un'area di contenuto Web per specificare le relative impostazioni di protezione fare clic sull'icona Siti attendibili, quindi sul pulsante Siti.
  3. Se si desidera aggiungere siti che non richiedono un canale crittografato, deselezionare la check box Richiedi verifica server (https:) per tutti i siti dell'area.
  4. Digitare nella casella Aggiungi il sito Web all'area l'URL del sito desiderato, quindi fare clic sul pulsante Aggiungi.
  5. Ripetere la procedura per ogni sito da aggiungere all'area.
  6. Fare due volte clic su OK per confermare le modifiche e tornare a Internet Explorer.

  Nota È possibile aggiungere qualsiasi sito che si ritiene non eseguirà operazioni dannose sul sistema. In particolare è utile aggiungere i due siti *.windowsupdate.microsoft.com e *.update.microsoft.com, ovvero i siti che ospiteranno l'aggiornamento per cui è richiesto l'utilizzo di un controllo ActiveX per l'installazione.

Qual è la portata o l'impatto di questa vulnerabilità?  
Si tratta di una vulnerabilità legata all'esecuzione di codice in modalità remota. Sfruttando questa vulnerabilità, un utente malintenzionato può ottenere gli stessi diritti utente dell'utente connesso. Pertanto, gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.

Quali sono le cause di questa vulnerabilità?  
In determinate situazioni, quando Internet Explorer tenta di accedere alla memoria inizializzata in maniera errata, potrebbe danneggiare la memoria in modo da permettere a un utente malintenzionato di eseguire codice non autorizzato.

A quali attacchi viene esposto il sistema a causa di questa vulnerabilità?  
Sfruttando questa vulnerabilità, un utente malintenzionato può ottenere gli stessi diritti utente dell'utente connesso. Se l'utente è connesso con privilegi di amministrazione, un utente malintenzionato che sfrutti questa vulnerabilità può assumere il controllo completo del sistema interessato. Potrebbe quindi installare programmi e visualizzare, modificare o eliminare dati oppure creare nuovi account con diritti utente completi.

In quale modo un utente malintenzionato può sfruttare questa vulnerabilità?  
Un utente malintenzionato potrebbe pubblicare siti Web appositamente predisposti per sfruttare la vulnerabilità tramite Internet Explorer e quindi convincere un utente a visualizzarli. L'utente malintenzionato potrebbe inoltre servirsi di siti Web manomessi e di siti Web che accettano o pubblicano contenuti o annunci pubblicitari inviati da altri utenti. Questi siti Web possono includere contenuti appositamente predisposti in grado di sfruttare questa vulnerabilità. In tutti questi casi, comunque, non è in alcun modo possibile obbligare gli utenti a visitare questi siti Web. L'utente malintenzionato dovrebbe invece convincere le vittime a visitare il sito, in genere inducendole a fare clic su un collegamento in un messaggio di posta elettronica o di Instant Messenger che le indirizzi al sito. Potrebbe inoltre far visualizzare contenuti Web appositamente predisposti utilizzando banner pubblicitari o altre modalità di invio di contenuti Web ai sistemi interessati.

Quali sono i sistemi principalmente interessati da questa vulnerabilità?  
Questa vulnerabilità può essere sfruttata per l'esecuzione di azioni dannose solo se un utente è connesso al sistema e visita un sito Web. Pertanto, i sistemi maggiormente a rischio sono quelli in cui Internet Explorer viene utilizzato frequentemente, come le workstation o i server terminal.

Se si esegue Internet Explorer per Windows Server 2003, Windows Server 2008 o Windows Server 2008 R2, il problema ha una portata più limitata?  
Sì. Per impostazione predefinita, Internet Explorer in Windows Server 2003, Windows Server 2008 e Windows Server 2008 R2 viene eseguito in una modalità limitata denominata Protezione avanzata. La configurazione Protezione avanzata è costituita da un gruppo di impostazioni di Internet Explorer preconfigurate che riduce la probabilità che un utente o un amministratore scarichi ed esegua contenuto Web appositamente predisposto in un server. Questo è un fattore attenuante per i siti Web che non sono stati aggiunti all'area Siti attendibili di Internet Explorer.

Quali sono gli scopi dell'aggiornamento?  
L'aggiornamento risolve la vulnerabilità modificando il modo in cui Internet Explorer gestisce gli oggetti nella memoria.

Al momento del rilascio di questo bollettino le informazioni sulla vulnerabilità erano disponibili pubblicamente?  
No. Microsoft ha ricevuto informazioni sulla vulnerabilità grazie a un'indagine coordinata.

Al momento del rilascio di questo bollettino erano già stati segnalati attacchi basati sullo sfruttamento di questa vulnerabilità?  
Sì. Microsoft è a conoscenza di un limitato numero di attacchi che tentano di utilizzare questa vulnerabilità.

Tabella di riferimento

La seguente tabella contiene le informazioni relative all'aggiornamento per la protezione per questo software. Per ulteriori informazioni, consultare la sottosezione Informazioni per la distribuzione di questa sezione.

Nota Per tutte le versioni supportate di Windows XP Professional x64 Edition, questo aggiornamento per la protezione è uguale a quello per le versioni supportate di Windows Server 2003 x64 Edition.

Tabella di riferimento

La seguente tabella contiene le informazioni relative all'aggiornamento per la protezione per questo software. Per ulteriori informazioni, consultare la sottosezione Informazioni per la distribuzione di questa sezione.

Tabella di riferimento

La seguente tabella contiene le informazioni relative all'aggiornamento per la protezione per questo software. Per ulteriori informazioni, consultare la sottosezione Informazioni per la distribuzione di questa sezione.

Tabella di riferimento

La seguente tabella contiene le informazioni relative all'aggiornamento per la protezione per questo software. Per ulteriori informazioni, consultare la sottosezione Informazioni per la distribuzione di questa sezione.

Tabella di riferimento

La seguente tabella contiene le informazioni relative all'aggiornamento per la protezione per questo software. Per ulteriori informazioni, consultare la sottosezione Informazioni per la distribuzione di questa sezione.

Tabella di riferimento

La seguente tabella contiene le informazioni relative all'aggiornamento per la protezione per questo software. Per ulteriori informazioni, consultare la sottosezione Informazioni per la distribuzione di questa sezione.