Bollettino Microsoft sulla sicurezza MS11-079 - Importante
Alcune vulnerabilità in Microsoft Forefront Unified Access Gateway possono consentire l'esecuzione di codice in modalità remota (2544641)
Data di pubblicazione:
Versione: 1.0
Informazioni generali
Riepilogo
Questo aggiornamento per la protezione risolve cinque vulnerabilità segnalate privatamente in Microsoft Forefront Unified Access Gateway (UAG). La più grave delle vulnerabilità può consentire l'esecuzione di codice in modalità remota se un utente visita un sito Web interessato che utilizza un URL appositamente predisposto. Tuttavia, non è in alcun modo possibile obbligare gli utenti a visitare un sito Web di questo tipo. L'utente malintenzionato dovrebbe invece invogliare le vittime a visitare il sito Web, in genere inducendole a fare clic su un collegamento in un messaggio di posta elettronica o di Instant Messenger che le indirizzi al sito.
L'aggiornamento per la protezione è considerato di livello importante per tutte le versioni supportate di Forefront Unified Access Gateway 2010. Per ulteriori informazioni, vedere la sottosezione Software interessato e Software non interessato in questa sezione.
L'aggiornamento per la protezione risolve le vulnerabilità modificando il modo in cui UAG gestisce le richieste appositamente predisposte, modificando il file MicrosoftClient.JAR e aggiungendo la gestione delle eccezioni per il valore null del server Web di UAG. Per ulteriori informazioni sulle vulnerabilità, cercare la voce specifica nella sottosezione Domande frequenti della sezione Informazioni sulle vulnerabilità.
Raccomandazione. Microsoft consiglia di installare l'aggiornamento quanto prima.
Problemi noti. L'articolo della Microsoft Knowledge Base 2544641 descrive i problemi attualmente conosciuti che gli utenti potrebbero riscontrare installando questo aggiornamento per la protezione. L'articolo illustra inoltre le soluzioni consigliate in grado di risolvere questi problemi.
Software interessato e Software non interessato
Il seguente software è stato sottoposto a test per determinare quali versioni o edizioni siano interessate. Le altre versioni o edizioni non sono interessate dalla vulnerabilità o sono al termine del ciclo di vita del supporto. Per informazioni sulla disponibilità del supporto per la versione o l'edizione del software in uso, visitare il sito Web Ciclo di vita del supporto Microsoft.
Software interessato
| Sistema operativo | Livello massimo di impatto sulla protezione | Livello di gravità aggregato | Bollettini sostituiti da questo aggiornamento |
|---|---|---|---|
| Microsoft Forefront Unified Access Gateway 2010[1] (KB2522482) | Esecuzione di codice in modalità remota | Importante | Nessuno |
| Aggiornamento 1 di Forefront Unified Access Gateway 2010[1] (KB2522483) | Esecuzione di codice in modalità remota | Importante | Nessuno |
| Aggiornamento 2 di Forefront Unified Access Gateway 2010[1] (KB2522484) | Esecuzione di codice in modalità remota | Importante | Nessuno |
| Microsoft Forefront Unified Access Gateway 2010 Service Pack 1[1] (KB2522485) | Esecuzione di codice in modalità remota | Importante | Nessuno |
[1]Questo aggiornamento è disponibile soltanto nell'Area download Microsoft. Vedere la sezione Domande frequenti sull'aggiornamento per la protezione.
Domande frequenti sull'aggiornamento per la protezione
Perché gli aggiornamenti sono disponibili solo dall'Area download Microsoft?
Microsoft rilascia questi aggiornamenti nell'Area download Microsoft in modo tale che i clienti possano iniziare ad aggiornare i propri sistemi prima possibile.
Dove si trova la sezione Informazioni sui file?
Fare riferimento alle tabelle contenute nella sezione Distribuzione dell'aggiornamento per la protezione per individuare la sezione Informazioni sui file.
Intelligent Application Gateway (IAG) è interessato dalle vulnerabilità descritte in questo bollettino?
Sì. Microsoft Intelligent Application Gateway 2007 Service Pack 2 è interessato dalla vulnerabilità legata a un attacco di tipo "response splitting" nelle tabelle Excel (CVE-2011-1895), dalla vulnerabilità legata al cross-site scripting riflesso nelle tabelle Excel (CVE-2011-1896), dalla vulnerabilità legata al cross-site scripting riflesso predefinito (CVE-2011-1897) e dalla vulnerabilità legata all'esecuzione di codice in siti Web dannosi (CVE-2011-1969). Per ulteriori informazioni, i clienti IAG devono contattare i propri OEM. I clienti basati negli Stati Uniti e in Canada possono anche ricevere il supporto tecnico dal servizio di assistenza e supporto tecnico chiamando il numero 1-800-936-3100. I clienti internazionali possono anche ricevere il supporto tecnico dal Services and Field Security Support Team chiamando il numero 1-425-454-7946. Microsoft non addebita le chiamate di supporto relative agli aggiornamenti per la protezione. Per ulteriori informazioni su come contattare Microsoft per ottenere supporto, visitare il sito del supporto Microsoft.
Gli amministratori devono eseguire ulteriori azioni dopo l'installazione di questo aggiornamento?
Sì. Dopo l'installazione di questo aggiornamento, l'amministratore di UAG dovrà aprire la console di Forefront UAG Management e attivare la configurazione per i clienti per essere protetti dalle vulnerabilità descritte in questo bollettino.
Perché questo aggiornamento affronta diverse vulnerabilità di protezione segnalate?
L'aggiornamento supporta diverse vulnerabilità perché le modifiche necessarie per risolvere tali problemi si trovano in file correlati. Anziché dover installare diversi aggiornamenti quasi identici, è possibile installare solo il presente aggiornamento.
Informazioni sulle vulnerabilità
Livelli di gravità e identificatori della vulnerabilità
I seguenti livelli di gravità presuppongono il livello massimo di impatto potenziale della vulnerabilità. Per informazioni relative al rischio, entro 30 giorni dalla pubblicazione del presente bollettino sulla sicurezza, di sfruttamento della vulnerabilità in relazione al livello di gravità e all'impatto sulla protezione, vedere l'Exploitability Index nel riepilogo dei bollettini di ottobre. Per ulteriori informazioni, vedere Microsoft Exploitability Index.
| Software interessato | Vulnerabilità legata al cross-site scripting con "response splitting" nelle tabelle Excel - CVE-2011-1895 | Vulnerabilità legata al cross-site scripting riflesso nelle tabelle Excel - CVE-2011-1896 | Vulnerabilità legata al cross-site scripting riflesso predefinito - CVE-2011-1897 | Vulnerabilità legata all'esecuzione di codice in siti Web dannosi - CVE-2011-1969 | Blocco dei cookie con annullamento della sessione - CVE-2011-2012 | Livello di gravità aggregato |
|---|---|---|---|---|---|---|
| Microsoft Forefront Unified Access Gateway 2010 | Importante Acquisizione di privilegi più elevati | Importante Acquisizione di privilegi più elevati | Importante Acquisizione di privilegi più elevati | Importante Esecuzione di codice in modalità remota | Importante Denial of Service | Importante |
| Aggiornamento 1 di Forefront Unified Access Gateway 2010 | Importante Acquisizione di privilegi più elevati | Importante Acquisizione di privilegi più elevati | Importante Acquisizione di privilegi più elevati | Importante Esecuzione di codice in modalità remota | Importante Denial of Service | Importante |
| Aggiornamento 2 di Forefront Unified Access Gateway 2010 | Importante Acquisizione di privilegi più elevati | Importante Acquisizione di privilegi più elevati | Importante Acquisizione di privilegi più elevati | Importante Esecuzione di codice in modalità remota | Importante Denial of Service | Importante |
| Microsoft Forefront Unified Access Gateway 2010 Service Pack 1 | Importante Acquisizione di privilegi più elevati | Importante Acquisizione di privilegi più elevati | Importante Acquisizione di privilegi più elevati | Importante Esecuzione di codice in modalità remota | Importante Denial of Service | Importante |
Vulnerabilità legata al cross-site scripting con "response splitting" nelle tabelle Excel - CVE-2011-1895
Una vulnerabilità legata a un attacco di tipo "response splitting" HTTP esiste nei server Microsoft Forefront Unified Access Gateway (UAG), in cui JavaScript può essere reinserito nella pagina dell'utente, consentendo l'esecuzione di JavaScript controllato da un utente malintenzionato nel contesto dell'utente che fa il clic sul collegamento.
Per visualizzare questa vulnerabilità come voce standard nell'elenco CVE, vedere il codice CVE-2011-1895.
Fattori attenuanti della vulnerabilità legata al cross-site scripting con "response splitting" nelle tabelle Excel - CVE-2011-1895
Per fattore attenuante si intende un'impostazione, una configurazione comune o una procedura consigliata generica esistente in uno stato predefinito in grado di ridurre la gravità nello sfruttamento di una vulnerabilità. I seguenti fattori attenuanti possono essere utili per l'utente:
- In uno scenario di attacco basato sul Web, l'utente malintenzionato potrebbe pubblicare un sito Web contenente una pagina utilizzata per sfruttare la vulnerabilità. Inoltre, i siti Web manomessi e quelli che accettano o ospitano contenuti o annunci pubblicitari forniti dagli utenti potrebbero presentare contenuti appositamente predisposti per sfruttare questa vulnerabilità. In tutti questi casi, comunque, non è in alcun modo possibile obbligare gli utenti a visitare questi siti Web. L'utente malintenzionato dovrebbe invece invogliare le vittime a visitare il sito Web, in genere inducendole a fare clic su un collegamento in un messaggio di posta elettronica o di Instant Messenger che le indirizzi al sito.
Soluzioni alternative per la vulnerabilità legata al cross-site scripting con "response splitting" nelle tabelle Excel - CVE-2011-1895
Microsoft non ha individuato alcuna soluzione alternativa per questa vulnerabilità.
Domande frequenti sulla vulnerabilità legata al cross-site scripting con "response splitting" nelle tabelle Excel - CVE-2011-1895
Qual è la portata o l'impatto di questa vulnerabilità?
Si tratta di una vulnerabilità di cross-site scripting che può comportare l'acquisizione di privilegi più elevati o l'intercettazione di informazioni personali.
Quali sono le cause di questa vulnerabilità?
Questa vulnerabilità si presenta quando Forefront Unified Access Gateway (UAG) non gestisce in maniera corretta lo script contenuto in una richiesta appositamente predisposta, consentendo al contenuto dannoso di essere riflesso di nuovo all'utente.
A quali attacchi viene esposto il sistema a causa di questa vulnerabilità?
Un utente malintenzionato in grado di sfruttare questa vulnerabilità può leggere il contenuto che l'utente malintenzionato non è autorizzato a leggere, utilizzare l'identità della vittima per eseguire azioni al posto della vittima e inserire contenuto dannoso nel browser della vittima.
In quale modo un utente malintenzionato può sfruttare questa vulnerabilità?
Affinché questa vulnerabilità possa essere sfruttata, un utente UAG autorizzato deve fare clic su un URL appositamente predisposto che lo indirizza a un sito sul server UAG che contiene lo script dannoso e che quindi visualizza di nuovo lo script nel browser dell'utente.
In uno scenario di attacco tramite posta elettronica, un utente malintenzionato può sfruttare la vulnerabilità inviando all'utente del sito UAG un messaggio di posta elettronica contenente l'URL appositamente predisposto e convincendolo a fare clic su di esso.
In uno scenario di attacco dal Web, un utente malintenzionato deve pubblicare un sito Web che contiene un URL appositamente predisposto al sito interessato, che viene utilizzato per tentare di sfruttare la vulnerabilità. Inoltre, i siti Web manomessi e quelli che accettano o ospitano contenuti forniti dagli utenti possono presentare contenuti appositamente predisposti per sfruttare questa vulnerabilità. Poiché non è in alcun modo possibile obbligare gli utenti a visitare un sito Web appositamente predisposto, Un utente malintenzionato, invece, deve convincere gli utenti a visitare il sito Web, in genere inducendoli a fare clic su un collegamento contenuto in un messaggio di posta elettronica o di Instant Messenger che li indirizzi al sito Web dell'utente malintenzionato. Successivamente, deve convincerli ad aprire l'URL appositamente predisposto.
Quali sono i sistemi principalmente interessati da questa vulnerabilità?
Gli utenti che accedono a un server UAG sono esposti a questa vulnerabilità.
Quali sono gli scopi dell'aggiornamento?
L'aggiornamento risolve la vulnerabilità modificando il modo in cui UAG gestisce le richieste appositamente predisposte, impedendo di riflettere di nuovo il contenuto all'utente.
Al momento del rilascio di questo bollettino le informazioni sulla vulnerabilità erano disponibili pubblicamente?
No. Microsoft ha ricevuto informazioni sulla vulnerabilità grazie a un'indagine coordinata.
Al momento del rilascio di questo bollettino erano già stati segnalati attacchi basati sullo sfruttamento di questa vulnerabilità?
No. Al momento della pubblicazione del presente bollettino, Microsoft non aveva ricevuto alcuna segnalazione in merito allo sfruttamento di questa vulnerabilità a scopo di attacco.
Vulnerabilità legata al cross-site scripting riflesso nelle tabelle Excel - CVE-2011-1896
Una vulnerabilità di cross-site scripting (XSS) esiste nei server Microsoft Forefront Unified Access Gateway (UAG), in cui JavaScript può essere reinserito nella pagina dell'utente, consentendo l'esecuzione di JavaScript controllato da un utente malintenzionato nel contesto dell'utente che fa il clic sul collegamento.
Per visualizzare questa vulnerabilità come voce standard nell'elenco CVE, vedere il codice CVE-2011-1896.
Fattori attenuanti della vulnerabilità legata al cross-site scripting riflesso nelle tabelle Excel - CVE-2011-1896
Per fattore attenuante si intende un'impostazione, una configurazione comune o una procedura consigliata generica esistente in uno stato predefinito in grado di ridurre la gravità nello sfruttamento di una vulnerabilità. I seguenti fattori attenuanti possono essere utili per l'utente:
- In uno scenario di attacco basato sul Web, l'utente malintenzionato potrebbe pubblicare un sito Web contenente una pagina utilizzata per sfruttare la vulnerabilità. Inoltre, i siti Web manomessi e quelli che accettano o ospitano contenuti o annunci pubblicitari forniti dagli utenti potrebbero presentare contenuti appositamente predisposti per sfruttare questa vulnerabilità. In tutti questi casi, comunque, non è in alcun modo possibile obbligare gli utenti a visitare questi siti Web. L'utente malintenzionato dovrebbe invece invogliare le vittime a visitare il sito Web, in genere inducendole a fare clic su un collegamento in un messaggio di posta elettronica o di Instant Messenger che le indirizzi al sito.
Soluzioni alternative per la vulnerabilità legata al cross-site scripting riflesso nelle tabelle Excel - CVE-2011-1896
Microsoft non ha individuato alcuna soluzione alternativa per questa vulnerabilità.
Domande frequenti sulla vulnerabilità legata al cross-site scripting riflesso nelle tabelle Excel - CVE-2011-1896
Qual è la portata o l'impatto di questa vulnerabilità?
Si tratta di una vulnerabilità di cross-site scripting che può comportare l'acquisizione di privilegi più elevati o l'intercettazione di informazioni personali.
Quali sono le cause di questa vulnerabilità?
Questa vulnerabilità si presenta quando Forefront Unified Access Gateway (UAG) non gestisce in maniera corretta lo script contenuto in una richiesta appositamente predisposta, consentendo al contenuto dannoso di essere riflesso di nuovo all'utente.
A quali attacchi viene esposto il sistema a causa di questa vulnerabilità?
Un utente malintenzionato in grado di sfruttare questa vulnerabilità può leggere il contenuto che l'utente malintenzionato non è autorizzato a leggere, utilizzare l'identità della vittima per eseguire azioni al posto della vittima e inserire contenuto dannoso nel browser della vittima.
In quale modo un utente malintenzionato può sfruttare questa vulnerabilità?
Affinché questa vulnerabilità possa essere sfruttata, un utente UAG autorizzato deve fare clic su un URL appositamente predisposto che lo indirizza a un sito sul server UAG che contiene lo script dannoso e che quindi visualizza di nuovo lo script nel browser dell'utente.
In uno scenario di attacco tramite posta elettronica, un utente malintenzionato può sfruttare la vulnerabilità inviando all'utente del sito UAG un messaggio di posta elettronica contenente l'URL appositamente predisposto e convincendolo a fare clic su di esso.
In uno scenario di attacco dal Web, un utente malintenzionato deve pubblicare un sito Web che contiene un URL appositamente predisposto al sito interessato, che viene utilizzato per tentare di sfruttare la vulnerabilità. Inoltre, i siti Web manomessi e quelli che accettano o ospitano contenuti forniti dagli utenti possono presentare contenuti appositamente predisposti per sfruttare questa vulnerabilità. Poiché non è in alcun modo possibile obbligare gli utenti a visitare un sito Web appositamente predisposto, Un utente malintenzionato, invece, deve convincere gli utenti a visitare il sito Web, in genere inducendoli a fare clic su un collegamento contenuto in un messaggio di posta elettronica o di Instant Messenger che li indirizzi al sito Web dell'utente malintenzionato. Successivamente, deve convincerli ad aprire l'URL appositamente predisposto.
Quali sono i sistemi principalmente interessati da questa vulnerabilità?
Gli utenti che accedono a un server UAG sono esposti a questa vulnerabilità.
Quali sono gli scopi dell'aggiornamento?
L'aggiornamento risolve la vulnerabilità modificando il modo in cui UAG gestisce le richieste appositamente predisposte, impedendo di riflettere di nuovo il contenuto all'utente.
Al momento del rilascio di questo bollettino le informazioni sulla vulnerabilità erano disponibili pubblicamente?
No. Microsoft ha ricevuto informazioni sulla vulnerabilità grazie a un'indagine coordinata.
Al momento del rilascio di questo bollettino erano già stati segnalati attacchi basati sullo sfruttamento di questa vulnerabilità?
No. Al momento della pubblicazione del presente bollettino, Microsoft non aveva ricevuto alcuna segnalazione in merito allo sfruttamento di questa vulnerabilità a scopo di attacco.
Vulnerabilità legata al cross-site scripting riflesso predefinito - CVE-2011-1897
Una vulnerabilità di cross-site scripting (XSS) esiste nei server Microsoft Forefront Unified Access Gateway (UAG), in cui JavaScript può essere reinserito nella pagina dell'utente, consentendo l'esecuzione di JavaScript controllato da un utente malintenzionato nel contesto dell'utente che fa il clic sul collegamento.
Per visualizzare questa vulnerabilità come voce standard nell'elenco CVE, vedere il codice CVE-2011-1897.
Fattori attenuanti della vulnerabilità legata al cross-site scripting riflesso predefinito - CVE-2011-1897
Per fattore attenuante si intende un'impostazione, una configurazione comune o una procedura consigliata generica esistente in uno stato predefinito in grado di ridurre la gravità nello sfruttamento di una vulnerabilità. I seguenti fattori attenuanti possono essere utili per l'utente:
- In uno scenario di attacco basato sul Web, l'utente malintenzionato potrebbe pubblicare un sito Web contenente una pagina utilizzata per sfruttare la vulnerabilità. Inoltre, i siti Web manomessi e quelli che accettano o ospitano contenuti o annunci pubblicitari forniti dagli utenti potrebbero presentare contenuti appositamente predisposti per sfruttare questa vulnerabilità. In tutti questi casi, comunque, non è in alcun modo possibile obbligare gli utenti a visitare questi siti Web. L'utente malintenzionato dovrebbe invece invogliare le vittime a visitare il sito Web, in genere inducendole a fare clic su un collegamento in un messaggio di posta elettronica o di Instant Messenger che le indirizzi al sito.
Soluzioni alternative per la vulnerabilità legata al cross-site scripting riflesso predefinito - CVE-2011-1897
Microsoft non ha individuato alcuna soluzione alternativa per questa vulnerabilità.
Domande frequenti sulla vulnerabilità legata al cross-site scripting riflesso predefinito - CVE-2011-1897
Qual è la portata o l'impatto di questa vulnerabilità?
Si tratta di una vulnerabilità di cross-site scripting che può comportare l'acquisizione di privilegi più elevati o l'intercettazione di informazioni personali.
Quali sono le cause di questa vulnerabilità?
Questa vulnerabilità si presenta quando Forefront Unified Access Gateway (UAG) non gestisce in maniera corretta le richieste appositamente predisposte, consentendo al contenuto dannoso di essere riflesso di nuovo all'utente.
A quali attacchi viene esposto il sistema a causa di questa vulnerabilità?
Un utente malintenzionato in grado di sfruttare questa vulnerabilità può leggere il contenuto che l'utente malintenzionato non è autorizzato a leggere, utilizzare l'identità della vittima per eseguire azioni al posto della vittima e inserire contenuto dannoso nel browser della vittima.
In quale modo un utente malintenzionato può sfruttare questa vulnerabilità?
Affinché questa vulnerabilità possa essere sfruttata, un utente UAG autorizzato deve fare clic su un URL appositamente predisposto che lo indirizza a un sito sul server UAG che contiene lo script dannoso e che quindi visualizza di nuovo lo script nel browser dell'utente.
In uno scenario di attacco tramite posta elettronica, un utente malintenzionato può sfruttare la vulnerabilità inviando all'utente del sito UAG un messaggio di posta elettronica contenente l'URL appositamente predisposto e convincendolo a fare clic su di esso.
In uno scenario di attacco dal Web, un utente malintenzionato deve pubblicare un sito Web che contiene un URL appositamente predisposto al sito interessato, che viene utilizzato per tentare di sfruttare la vulnerabilità. Inoltre, i siti Web manomessi e quelli che accettano o ospitano contenuti forniti dagli utenti possono presentare contenuti appositamente predisposti per sfruttare questa vulnerabilità. Poiché non è in alcun modo possibile obbligare gli utenti a visitare un sito Web appositamente predisposto, Un utente malintenzionato, invece, deve convincere gli utenti a visitare il sito Web, in genere inducendoli a fare clic su un collegamento contenuto in un messaggio di posta elettronica o di Instant Messenger che li indirizzi al sito Web dell'utente malintenzionato. Successivamente, deve convincerli ad aprire l'URL appositamente predisposto.
Quali sono i sistemi principalmente interessati da questa vulnerabilità?
Gli utenti che accedono a un server UAG sono esposti a questa vulnerabilità.
Quali sono gli scopi dell'aggiornamento?
Questo aggiornamento modifica il modo in cui UAG gestisce le richieste appositamente predisposte, impedendo di riflettere di nuovo il contenuto all'utente.
Al momento del rilascio di questo bollettino le informazioni sulla vulnerabilità erano disponibili pubblicamente?
No. Microsoft ha ricevuto informazioni sulla vulnerabilità grazie a un'indagine coordinata.
Al momento del rilascio di questo bollettino erano già stati segnalati attacchi basati sullo sfruttamento di questa vulnerabilità?
No. Al momento della pubblicazione del presente bollettino, Microsoft non aveva ricevuto alcuna segnalazione in merito allo sfruttamento di questa vulnerabilità a scopo di attacco.
Vulnerabilità legata all'esecuzione di codice in siti Web dannosi - CVE-2011-1969
Microsoft Forefront Unified Access Gateway (UAG) applica un applet Java firmato che può essere sfruttato da siti Web dannosi per causare l'esecuzione di codice in modalità remota su qualunque browser Web con Java attivato.
Per visualizzare questa vulnerabilità come voce standard nell'elenco CVE, vedere il codice CVE-2011-1969.
Fattori attenuanti della vulnerabilità legata all'esecuzione di codice in siti Web dannosi - CVE-2011-1969
Per fattore attenuante si intende un'impostazione, una configurazione comune o una procedura consigliata generica esistente in uno stato predefinito in grado di ridurre la gravità nello sfruttamento di una vulnerabilità. I seguenti fattori attenuanti possono essere utili per l'utente:
- In uno scenario di attacco basato sul Web, l'utente malintenzionato potrebbe pubblicare un sito Web contenente una pagina utilizzata per sfruttare la vulnerabilità. Inoltre, i siti Web manomessi e quelli che accettano o ospitano contenuti o annunci pubblicitari forniti dagli utenti potrebbero presentare contenuti appositamente predisposti per sfruttare questa vulnerabilità. In tutti questi casi, comunque, non è in alcun modo possibile obbligare gli utenti a visitare questi siti Web. L'utente malintenzionato dovrebbe invece invogliare le vittime a visitare il sito Web, in genere inducendole a fare clic su un collegamento in un messaggio di posta elettronica o di Instant Messenger che le indirizzi al sito.
- Sfruttando questa vulnerabilità, un utente malintenzionato può ottenere gli stessi diritti utente dell'utente locale. Pertanto, gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.
Soluzioni alternative per la vulnerabilità legata all'esecuzione di codice in siti Web dannosi - CVE-2011-1969
Per soluzione alternativa si intende un'impostazione o una modifica nella configurazione che non elimina la vulnerabilità sottostante, ma consente di bloccare gli attacchi noti prima di applicare l'aggiornamento. Microsoft ha verificato le seguenti soluzioni alternative e segnala nel corso della discussione se tali soluzioni riducono la funzionalità:
- Bloccare il file MicrosoftClient.Jar
Aggiungere la voce per il file seguente:
Java\jre6\lib\security\blacklist
# UAG Client MicrosoftClient.jar
SHA1-Digest-Manifest: dBKbNW1PZSjJ0lGcCeewcCrYx5g=Impatto della soluzione alternativa. Il file MicrosoftClient.JAR non può essere eseguito sul sistema.
Per annullare il risultato della soluzione alternativa.
Rimuovere la voce per il file seguente:
Java\jre6\lib\security\blacklist
# UAG Client MicrosoftClient.jar
SHA1-Digest-Manifest: dBKbNW1PZSjJ0lGcCeewcCrYx5g=
Domande frequenti sulla vulnerabilità legata all'esecuzione di codice in siti Web dannosi - CVE-2011-1969
Qual è la portata o l'impatto di questa vulnerabilità?
Si tratta di una vulnerabilità legata all'esecuzione di codice in modalità remota. Sfruttando questa vulnerabilità, un utente malintenzionato può ottenere gli stessi diritti utente dell'utente connesso. Pertanto, gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.
Quali sono le cause di questa vulnerabilità?
Questa vulnerabilità è causata da un applet Java vulnerabile installato su un browser dal server Forefront Unified Access Gateway (UAG).
A quali attacchi viene esposto il sistema a causa di questa vulnerabilità?
Un utente malintenzionato può utilizzare questa vulnerabilità per sfruttare i client che utilizzano UAG.
In quale modo un utente malintenzionato può sfruttare questa vulnerabilità?
Una vulnerabilità legata all'esecuzione di codice in modalità remota viene introdotta in qualsiasi browser con Java attivato, installando un file .jar vulnerabile nei sistemi client. Sfruttando questa vulnerabilità, un utente malintenzionato può ottenere gli stessi diritti utente dell'utente connesso. Se un utente è connesso con privilegi di amministrazione, un utente malintenzionato che sfrutti questa vulnerabilità può assumere il controllo completo del sistema interessato. Potrebbe quindi installare programmi e visualizzare, modificare o eliminare dati oppure creare nuovi account con diritti utente completi.
Quali sono i sistemi principalmente interessati da questa vulnerabilità?
I sistemi client che utilizzano UAG sono interessati da questa vulnerabilità. Questa vulnerabilità non consente di compromettere il server UAG.
Quali sono gli scopi dell'aggiornamento?
Questo aggiornamento modifica il file .jar vulnerabile.
Al momento del rilascio di questo bollettino le informazioni sulla vulnerabilità erano disponibili pubblicamente?
No. Microsoft ha ricevuto informazioni sulla vulnerabilità grazie a un'indagine coordinata.
Al momento del rilascio di questo bollettino erano già stati segnalati attacchi basati sullo sfruttamento di questa vulnerabilità?
No. Al momento della pubblicazione del presente bollettino, Microsoft non aveva ricevuto alcuna segnalazione in merito allo sfruttamento di questa vulnerabilità a scopo di attacco.
Blocco dei cookie con annullamento della sessione - CVE-2011-2012
Una vulnerabilità ad attacchi di tipo Denial of Service è stata riscontrata nelle implementazioni di Microsoft Forefront Unified Access Gateway (UAG). In tali casi, un utente malintenzionato può sfruttare la vulnerabilità per bloccare il processo di lavoro IIS e negare l'accesso ai servizi Web sul sistema interessato.
Per visualizzare questa vulnerabilità come voce standard nell'elenco CVE, vedere il codice CVE-2011-2012.
Fattori attenuanti del blocco dei cookie con annullamento della sessione - CVE-2011-2012
Microsoft non ha individuato alcun fattore attenuante per questa vulnerabilità.
Soluzioni alternative per il blocco dei cookie con annullamento della sessione - CVE-2011-2012
Microsoft non ha individuato alcuna soluzione alternativa per questa vulnerabilità.
Domande frequenti sul blocco dei cookie con annullamento della sessione - CVE-2011-2012
Qual è la portata o l'impatto di questa vulnerabilità?
Si tratta di una vulnerabilità ad attacchi di tipo Denial of Service.
Quali sono le cause di questa vulnerabilità?
Questa vulnerabilità è causata dalla convalida errata di un valore NULL contenuto nella sessione cookie.
A quali attacchi viene esposto il sistema a causa di questa vulnerabilità?
Un utente malintenzionato che riesce a sfruttare questa vulnerabilità può utilizzarla per bloccare il server Web sul computer UAG interessato.
In quale modo un utente malintenzionato può sfruttare questa vulnerabilità?
Un utente malintenzionato può sfruttare questa vulnerabilità inviando traffico di rete appositamente predisposto al server Web di UAG interessato.
Quali sono i sistemi principalmente interessati da questa vulnerabilità?
I sistemi che eseguono il server Web di UAG.
Quali sono gli scopi dell'aggiornamento?
Questo aggiornamento aggiunge la gestione delle eccezioni per il valore null del server Web di UAG.
Al momento del rilascio di questo bollettino le informazioni sulla vulnerabilità erano disponibili pubblicamente?
No. Microsoft ha ricevuto informazioni sulla vulnerabilità grazie a un'indagine coordinata.
Al momento del rilascio di questo bollettino erano già stati segnalati attacchi basati sullo sfruttamento di questa vulnerabilità?
No. Al momento della pubblicazione del presente bollettino, Microsoft non aveva ricevuto alcuna segnalazione in merito allo sfruttamento di questa vulnerabilità a scopo di attacco.
Informazioni sull'aggiornamento
Strumenti e informazioni sul rilevamento e sulla distribuzione
Gestione del software e degli aggiornamenti per la protezione necessari per la distribuzione su server, desktop e sistemi portatili dell'organizzazione. Per ulteriori informazioni, vedere il sito Web TechNet Update Management Center. Nel sito Web Sicurezza di Microsoft TechNet sono disponibili ulteriori informazioni sulla protezione e la sicurezza dei prodotti Microsoft.
Gli aggiornamenti per la protezione sono disponibili nell'Area download Microsoft. ed è possibile individuarli in modo semplice eseguendo una ricerca con la parola chiave "aggiornamento per la protezione". Questi aggiornamenti verranno forniti anche mediante gli altri metodi di distribuzione standard, una volta completati i test volti a verificare che la distribuzione attraverso tali canali avvenga correttamente.
Distribuzione dell'aggiornamento per la protezione
Software interessato
Per informazioni sull'aggiornamento per la protezione specifico per il software interessato, fare clic sul collegamento corrispondente:
Forefront Unified Access Gateway 2010 (tutte le versioni)
Tabella di riferimento
La seguente tabella contiene le informazioni relative all'aggiornamento per la protezione per questo software. Per ulteriori informazioni, consultare la sottosezione Informazioni per la distribuzione di questa sezione.
| Disponibilità nei Service Pack futuri | L'aggiornamento per il problema illustrato verrà incluso in un service pack o rollup di aggiornamento futuro |
| Distribuzione | |
| Installazione senza intervento dell'utente | Per Forefront Unified Access Gateway 2010 (KB2522482): UAG_HF_KB2522482_0_0_8.msp /quiet |
| Per l'aggiornamento 1 di Forefront Unified Access Gateway 2010 (KB2522483): UAG-KB2522483-v4.0,1152.163-ENU.msp /quiet | |
| Per l'aggiornamento 2 di Forefront Unified Access Gateway 2010 (KB2522484): UAG-KB2522484-v4.0,1269.284-ENU.msp /quiet | |
| Per Forefront Unified Access Gateway 2010 Service Pack 1 (KB2522485): UAG-KB2522485-v4.0,1752.10073-ENU.msp /quiet | |
| Installazione senza riavvio | Per Forefront Unified Access Gateway 2010 (KB2522482): UAG_HF_KB2522482_0_0_8.msp /norestart |
| Per l'aggiornamento 1 di Forefront Unified Access Gateway 2010 (KB2522483): UAG-KB2522483-v4.0.1152.163-ENU.msp /norestart | |
| Per l'aggiornamento 2 di Forefront Unified Access Gateway 2010 (KB2522484): UAG-KB2522484-v4.0.1269.284-ENU.msp /norestart | |
| Per Microsoft Forefront Unified Access Gateway 2010 Service Pack 1 (KB2522485): UAG-KB2522485-v4.0.1752.10073-ENU.msp /norestart | |
| Aggiornamento del file di registro | Per Forefront Unified Access Gateway 2010 (KB2522482): MSI2522482.log |
| Per l'aggiornamento 1 di Forefront Unified Access Gateway 2010 (KB2522483): MSI2522483.log | |
| Per l'aggiornamento 2 di Forefront Unified Access Gateway 2010 (KB2522484): MSI2522484.log | |
| Per Microsoft Forefront Unified Access Gateway 2010 Service Pack 1 (KB2522485): MSI2522485.log | |
| Ulteriori informazioni | Vedere la sottosezione Strumenti e informazioni sul rilevamento e sulla distribuzione |
| Necessità di riavvio | |
| Riavvio richiesto? | In alcuni casi, l'aggiornamento non richiede il riavvio del computer. Tuttavia, se i file necessari sono in uso, verrà richiesto di riavviare il sistema. In questo caso, viene visualizzato un messaggio che richiede di riavviare il sistema. Per ridurre le probabilità di dover effettuare un riavvio, interrompere tutti i servizi interessati e chiudere tutte le applicazioni che potrebbero utilizzare i file interessati prima di installare l'aggiornamento per la protezione. Per ulteriori informazioni sui motivi della richiesta di riavvio del sistema, vedere l'articolo della Microsoft Knowledge Base 887012. |
| Funzionalità di patch a caldo | Non applicabile |
| Informazioni per la rimozione | Utilizzare la finestra di Aggiornamenti installati come build in Administrator oppure eseguire il msiexec da una riga di comando elevata. |
| Informazioni sui file | Per Forefront Unified Access Gateway 2010 (KB2522482): Vedere l'articolo della Microsoft Knowledge Base 2522482 |
| Per l'aggiornamento 1 di Forefront Unified Access Gateway 2010 (KB2522483): Vedere l'articolo della Microsoft Knowledge Base 2522483 | |
| Per l'aggiornamento 2 di Forefront Unified Access Gateway 2010 (KB2522484): Vedere l'articolo della Microsoft Knowledge Base 2522484 | |
| Per Microsoft Forefront Unified Access Gateway 2010 Service Pack 1 (KB2522485): Vedere l'articolo della Microsoft Knowledge Base 2522485 | |
| Controllo del Registro di sistema | Per Forefront Unified Access Gateway 2010 (KB2522482): \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\1F535B6CD0A46D11CA9800102002AF58\E85EC0B9221C4BC4081C15D414260CC7\54EBBA62-C7BB-4006-91D2-EFEB0738F93A |
| Per l'aggiornamento 1 di Forefront Unified Access Gateway 2010 (KB2522483): \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\1F535B6CD0A46D11CA9800102002AF58\E85EC0B9221C4BC4081C15D414260CC7\038FB8C4-F12D-428B-83F5-A964C34B6F2E | |
| Per l'aggiornamento 2 di Forefront Unified Access Gateway 2010 (KB2522484): \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\1F535B6CD0A46D11CA9800102002AF58\E85EC0B9221C4BC4081C15D414260CC7\95244A26-7896-47D2-A49D-1FF43BC1C53C | |
| Per Microsoft Forefront Unified Access Gateway 2010 Service Pack 1 (KB2522485): \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\1F535B6CD0A46D11CA9800102002AF58\E85EC0B9221C4BC4081C15D414260CC7\715FC104-32DB-4AAB-A1B9-F1F496F71DE5 |
Informazioni per la distribuzione
Installazione dell'aggiornamento
Quando si installa questo aggiornamento per la protezione, il programma di installazione verifica se uno o più file da aggiornare nel sistema sono stati aggiornati in precedenza mediante una correzione rapida Microsoft.
Se uno di questi file è stato aggiornato mediante l'installazione di una correzione rapida precedente, il programma di installazione copia nel sistema i file della cartella RTMQFE, SP1QFE o SP2QFE. In alternativa, copia i file RTMGDR, SP1GDR o SP2GDR. Gli aggiornamenti per la protezione potrebbero non contenere tutte le variazioni di questi file. Per ulteriori informazioni in merito, vedere l'articolo della Microsoft Knowledge Base 824994.
Per ulteriori informazioni sul programma di installazione, vedere l'articolo della Microsoft Knowledge Base 832475.
Per ulteriori informazioni sulla terminologia utilizzata nel presente bollettino, ad esempio su ciò che si intende per correzione rapida, vedere l'articolo della Microsoft Knowledge Base 824684.
Questo aggiornamento per la protezione supporta le seguenti opzioni del programma di installazione.
| Opzione | Descrizione |
|---|---|
| /help | Visualizza le opzioni della riga di comando. |
| Modalità di installazione | |
| /passive | Modalità di installazione automatica. Non è necessaria l'interazione dell'utente, ma viene visualizzato lo stato dell'installazione. Se al termine dell'installazione è necessario riavviare il sistema, verrà visualizzata una finestra di dialogo in cui si segnala che dopo 30 secondi il computer verrà riavviato. |
| /quiet | Modalità senza intervento dell'utente. È analoga alla modalità automatica, ma non vengono visualizzati i messaggi di stato o di errore. |
| Opzioni di riavvio | |
| /norestart | Non esegue il riavvio del sistema al termine dell'installazione. |
| /forcerestart | Esegue il riavvio del computer dopo l'installazione e impone la chiusura delle altre applicazioni all'arresto del sistema senza salvare i file aperti. |
| /warnrestart[:x] | Viene visualizzata una finestra di dialogo contenente un timer che avvisa l'utente che il computer verrà riavviato dopo x secondi. L'impostazione predefinita è 30 secondi. Da utilizzare insieme all'opzione /quiet o /passive. |
| /promptrestart | Visualizza una finestra di dialogo in cui si richiede all'utente locale di consentire il riavvio del sistema. |
| Opzioni speciali | |
| /overwriteoem | Sovrascrive i file OEM senza chiedere conferma. |
| /nobackup | Non esegue il backup dei file necessari per la disinstallazione. |
| /forceappsclose | Impone la chiusura delle altre applicazioni all'arresto del computer. |
| /log:path | Consente di salvare i file di registro dell'installazione in un percorso diverso. |
| /integrate:path | Integra l'aggiornamento nei file di origine di Windows. Questi file sono contenuti nel percorso specificato nell'opzione di installazione. |
| /extract[:percorso] | Estrae i file senza avviare il programma di installazione. |
| /ER | Attiva la segnalazione errori estesa. |
| /verbose | Attiva la registrazione dettagliata. Durante l'installazione, viene creato %Windir%\CabBuild.log. Questo registro contiene dettagli sui file copiati. L'utilizzo di questa opzione può rallentare il processo di installazione. |
Nota È possibile combinare queste opzioni in un unico comando. Per garantire la compatibilità con le versioni precedenti, l'aggiornamento per la protezione supporta anche le opzioni utilizzate dalla versione precedente del programma di installazione. Per ulteriori informazioni sulle opzioni del programma di installazione supportate, vedere l'articolo della Microsoft Knowledge Base 262841.
Nota per questo aggiornamento Tuttavia, non è possibile combinare /quiet e /forcerestart per questo aggiornamento. Vedere questo problema noto sulle opzioni di installazione nell'articolo della Microsoft Knowledge Base 2316074.
Rimozione dell'aggiornamento
Questo aggiornamento per la protezione supporta le seguenti opzioni del programma di installazione.
| Opzione | Descrizione |
|---|---|
| /help | Visualizza le opzioni della riga di comando. |
| Modalità di installazione | |
| /passive | Modalità di installazione automatica. Non è necessaria l'interazione dell'utente, ma viene visualizzato lo stato dell'installazione. Se al termine dell'installazione è necessario riavviare il sistema, verrà visualizzata una finestra di dialogo in cui si segnala che dopo 30 secondi il computer verrà riavviato. |
| /quiet | Modalità senza intervento dell'utente. È analoga alla modalità automatica, ma non vengono visualizzati i messaggi di stato o di errore. |
| Opzioni di riavvio | |
| /norestart | Non esegue il riavvio del sistema al termine dell'installazione. |
| /forcerestart | Esegue il riavvio del computer dopo l'installazione e impone la chiusura delle altre applicazioni all'arresto del sistema senza salvare i file aperti. |
| /warnrestart[:x] | Viene visualizzata una finestra di dialogo contenente un timer che avvisa l'utente che il computer verrà riavviato dopo x secondi. L'impostazione predefinita è 30 secondi. Da utilizzare insieme all'opzione /quiet o /passive. |
| /promptrestart | Visualizza una finestra di dialogo in cui si richiede all'utente locale di consentire il riavvio del sistema. |
| Opzioni speciali | |
| /forceappsclose | Impone la chiusura delle altre applicazioni all'arresto del computer. |
| /log:path | Consente di salvare i file di registro dell'installazione in un percorso diverso. |
Verifica dell'applicazione dell'aggiornamento
- Microsoft Baseline Security Analyzer
Per verificare se un aggiornamento per la protezione è stato applicato al sistema interessato, è possibile utilizzare lo strumento Microsoft Baseline Security Analyzer (MBSA). Per ulteriori informazioni, vedere la sezione Strumenti e informazioni sul rilevamento e sulla distribuzione nel presente bollettino.
- Verifica della versione dei file
Poiché esistono varie edizioni di Microsoft Windows, le operazioni descritte di seguito potrebbero risultare diverse nel sistema in uso. In tal caso, consultare la documentazione del prodotto per eseguire tutti i passaggi.
- Fare clic su Start, quindi su Cerca.
- Nel riquadro Risultati ricerca, scegliere Tutti i file e le cartelle in Ricerca guidata.
- Nella casella Nome del file o parte del nome , digitare il nome del file, individuato nell'appropriata tabella di informazioni sui file, quindi fare clic su Cerca.
- Nell'elenco dei file, fare clic con il pulsante destro del mouse sul file individuato nell'appropriata tabella di informazioni sui file, quindi fare clic su Proprietà.
Nota A seconda dell'edizione del sistema operativo o dei programmi installati nel sistema, è possibile che alcuni dei file elencati nella tabella di informazioni sui file non siano installati. - Nella scheda Versione individuare il numero di versione del file installato nel sistema e confrontarlo con quello specificato nell'appropriata tabella di informazioni sui file.
Nota È possibile che durante l'installazione alcuni attributi diversi dalla versione del file vengano modificati. Il confronto di altri attributi dei file con le informazioni disponibili nella tabella non è un metodo supportato per la verifica dell'applicazione dell'aggiornamento. In alcuni casi, inoltre, è possibile che i file vengano rinominati durante l'installazione. Se le informazioni sul file o sulla versione non sono disponibili, utilizzare uno degli altri metodi disponibili per verificare l'installazione dell'aggiornamento.
- Controllo del Registro di sistema
Per verificare i file installati dall'aggiornamento per la protezione, è anche possibile esaminare le chiavi del Registro di sistema elencate nella Tabella di riferimento nella presente sezione.
Queste chiavi del Registro di sistema potrebbero non contenere un elenco completo dei file installati. Inoltre, se un amministratore o un OEM integra o esegue lo slipstreaming dell'aggiornamento per la protezione nei file di origine dell'installazione di Windows, è possibile che queste chiavi del Registro di sistema non vengano create correttamente.
Altre informazioni
Ringraziamenti
Microsoft ringrazia i seguenti utenti per aver collaborato alla protezione dei sistemi dei clienti:
- Tenable Network Security per aver segnalato la vulnerabilità legata al cross-site scripting con "response splitting" nelle tabelle Excel (CVE-2011-1895)
- Tenable Network Security per aver segnalato la vulnerabilità legata al cross-site scripting riflesso nelle tabelle Excel (CVE-2011-1896)
- Tenable Network Security per aver segnalato la vulnerabilità legata al cross-site scripting riflesso predefinito (CVE-2011-1897)
Microsoft Active Protections Program (MAPP)
Supporto
- Per usufruire dei servizi del supporto tecnico, visitare il sito Web del Security Support. Le chiamate al supporto tecnico relative agli aggiornamenti per la protezione sono gratuite. Per ulteriori informazioni sulle opzioni di supporto disponibili, visitare il sito Microsoft Aiuto & Supporto.
- I clienti internazionali possono ottenere assistenza tecnica presso le filiali Microsoft locali. Il supporto relativo agli aggiornamenti di protezione è gratuito. Per ulteriori informazioni su come contattare Microsoft per ottenere supporto, visitare il sito Web del supporto internazionale.
Dichiarazione di non responsabilità
Le informazioni disponibili nella Microsoft Knowledge Base sono fornite "come sono" senza garanzie di alcun tipo. Microsoft non rilascia alcuna garanzia, esplicita o implicita, inclusa la garanzia di commerciabilità e di idoneità per uno scopo specifico. Microsoft Corporation o i suoi fornitori non saranno, in alcun caso, responsabili per danni di qualsiasi tipo, inclusi i danni diretti, indiretti, incidentali, consequenziali, la perdita di profitti e i danni speciali, anche qualora Microsoft Corporation o i suoi fornitori siano stati informati della possibilità del verificarsi di tali danni. Alcuni stati non consentono l'esclusione o la limitazione di responsabilità per danni diretti o indiretti e, dunque, la sopracitata limitazione potrebbe non essere applicabile.
Versioni
- V1.0 (11 ottobre 2011): Pubblicazione del bollettino.