Bollettino Microsoft sulla sicurezza MS11-081 - Critico

Per fattore attenuante si intende un'impostazione, una configurazione comune o una procedura consigliata generica esistente in uno stato predefinito in grado di ridurre la gravità nello sfruttamento di una vulnerabilità. I seguenti fattori attenuanti possono essere utili per l'utente:

• Un utente malintenzionato potrebbe pubblicare siti Web appositamente predisposti per sfruttare la vulnerabilità tramite Internet Explorer e quindi convincere un utente a visualizzarli. Inoltre, un utente malintenzionato può incorporare un controllo ActiveX contrassegnato come "sicuro per l'inizializzazione" in un'applicazione o in un documento Microsoft Office che ospita il motore di rendering di Internet Explorer. L'utente malintenzionato potrebbe inoltre servirsi di siti Web manomessi e di siti Web che accettano o pubblicano contenuti o annunci pubblicitari inviati da altri utenti. Questi siti Web possono includere contenuti appositamente predisposti in grado di sfruttare questa vulnerabilità. Tuttavia, in nessuno di questi casi un utente malintenzionato può obbligare gli utenti a visualizzare il contenuto controllato dall'utente malintenzionato. Un utente malintenzionato deve piuttosto convincere gli utenti a compiere un'azione, in genere facendo clic su un collegamento contenuto in un messaggio di posta elettronica o in un messaggio di Instant Messenger, che porta degli utenti al sito Web dell'utente malintenzionato oppure aprendo un allegato inviato mediante un messaggio di posta elettronica.
• Sfruttando questa vulnerabilità, un utente malintenzionato può ottenere gli stessi diritti utente dell'utente connesso. Pertanto, gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.
• Per impostazione predefinita, tutte le versioni supportate di Microsoft Outlook, Microsoft Outlook Express e Windows Mail aprono i messaggi di posta elettronica in formato HTML nell'area Siti con restrizioni, disattivando gli script e i controlli ActiveX ed eliminando in questo modo il rischio di sfruttamento di questa vulnerabilità da parte di un utente malintenzionato. Se si fa clic su un collegamento presente in un messaggio di posta elettronica, tale vulnerabilità può ancora sussistere con le modalità descritte nello scenario di attacco dal Web.
• Per impostazione predefinita, Internet Explorer in Windows Server 2003, Windows Server 2008 e Windows Server 2008 R2 viene eseguito in una modalità limitata denominata Protezione avanzata. Questa modalità consente di ridurre i rischi correlati a questa vulnerabilità. Vedere la sezione Domande frequenti relativa a questa vulnerabilità per ulteriori informazioni sulla Protezione avanzata di Internet Explorer.

Per soluzione alternativa si intende un'impostazione o una modifica nella configurazione che non elimina la vulnerabilità sottostante, ma consente di bloccare gli attacchi noti prima di applicare l'aggiornamento. Microsoft ha verificato le seguenti soluzioni alternative e segnala nel corso della discussione se tali soluzioni riducono la funzionalità:

• Impostare il livello dell'area di protezione Internet e Intranet locale su "Alta" per bloccare i controlli ActiveX e script attivo in queste aree

  È possibile contribuire a una protezione più efficace del sistema dai rischi connessi a questa vulnerabilità, modificando le impostazioni relative all'area di protezione Internet in modo che i controlli ActiveX e lo script attivo vengano bloccati. Tale operazione può essere eseguita impostando la protezione del browser su Alta.

  Per alzare il livello di protezione del brower in Internet Explorer, attenersi alla seguente procedura:

  1. Dal menu Strumenti di Internet Explorer, scegliere Opzioni Internet.
  2. Nella finestra di dialogo Opzioni Internet, fare clic sulla scheda Protezione, quindi sull'icona Internet.
  3. In Livello di protezione per l'area, spostare il dispositivo di scorrimento su Alta. Il livello di protezione per tutti i siti Web visitati viene così impostato su Alta.

  Nota Se il dispositivo di scorrimento non è visibile, fare clic su Livello predefinito, quindi spostare il dispositivo di scorrimento su Alta.

  Nota Con l'impostazione della protezione su Alta, alcuni siti Web potrebbero non funzionare nel modo corretto. Se si incontrano difficoltà nell'utilizzo di un sito Web dopo aver effettuato questa modifica e si è certi che il sito è sicuro, è possibile aggiungere il sito all'elenco Siti attendibili. In questo modo il sito funzionerà correttamente anche quando la protezione è impostata su Alta.

  Impatto della soluzione alternativa. Il blocco dei controlli ActiveX e di script attivo può avere effetti collaterali. Numerosi siti Web su Internet o su una rete Intranet utilizzano ActiveX o script attivo per offrire funzionalità aggiuntive. Un sito di e-commerce o di online banking, ad esempio, può utilizzare controlli ActiveX per la visualizzazione dei menu, dei moduli d'ordine o degli estratti conto. Il blocco dei controlli ActiveX o script attivo è un'impostazione globale per tutti i siti Internet e Intranet. Se non si desidera che i controlli ActiveX o script attivo vengano bloccati in tali siti, utilizzare la procedura descritta in "Aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer".

  Aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer.

  Dopo l'impostazione della richiesta di blocco dei controlli ActiveX e dello script attivo nelle aree Internet e Intranet locale, è possibile aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer. In questo modo è possibile continuare a utilizzare i siti Web attendibili nel modo abituale, proteggendo al tempo stesso il sistema da eventuali attacchi dai siti non attendibili. Si raccomanda di aggiungere all'area Siti attendibili solo i siti effettivamente ritenuti attendibili.

  A tale scopo, utilizzare la seguente procedura:

  1. In Internet Explorer, scegliere Opzioni Internet dal menu Strumenti e fare clic sulla scheda Protezione.
  2. Nella sezione Selezionare un'area di contenuto Web per specificare le relative impostazioni di protezione fare clic sull'icona Siti attendibili, quindi sul pulsante Siti.
  3. Se si desidera aggiungere siti che non richiedono un canale crittografato, fare clic per deselezionare la casella di controllo Richiedi verifica server (https:) per tutti i siti dell'area.
  4. Digitare nella casella Aggiungi il sito Web all'area l'URL del sito desiderato, quindi fare clic sul pulsante Aggiungi.
  5. Ripetere la procedura per ogni sito da aggiungere all'area.
  6. Fare due volte clic su OK per confermare le modifiche e tornare a Internet Explorer.

  Nota È possibile aggiungere qualsiasi sito che si ritiene non eseguirà operazioni dannose sul sistema. In particolare è utile aggiungere i due siti *.windowsupdate.microsoft.com e *.update.microsoft.com, ovvero i siti che ospiteranno l'aggiornamento per cui è richiesto l'utilizzo di un controllo ActiveX per l'installazione.

   

• Configurare Internet Explorer in modo che venga richiesta conferma prima dell'esecuzione di script attivo oppure disattivare tali script nell'area di protezione Internet e Intranet locale

  È possibile contribuire a una protezione più efficace del sistema dai rischi connessi a questa vulnerabilità modificando le impostazioni in modo che venga richiesta conferma prima di eseguire script attivo o vengano disattivati tali script nell'area di protezione Internet e Intranet locale. A tale scopo, utilizzare la seguente procedura:

  1. In Internet Explorer, scegliere Opzioni Internet dal menu Strumenti.
  2. Selezionare la scheda Protezione.
  3. Selezionare Internet e fare clic sul pulsante Livello personalizzato.
  4. Nella sezione Esecuzione script dell'elenco Impostazioni, selezionare Esecuzione script attivo, quindi fare clic su Chiedi conferma  o Disattiva e su OK.
  5. Selezionare Intranet locale, quindi fare clic sul pulsante Livello personalizzato.
  6. Nella sezione Esecuzione script dell'elenco Impostazioni, selezionare Esecuzione script attivo, quindi fare clic su Chiedi conferma  o Disattiva e su OK.
  7. Fare due volte clic su OK per tornare a Internet Explorer.

  Nota Se si disattiva Esecuzione script attivo nelle aree di protezione Internet e Intranet locale, alcuni siti Web potrebbero non funzionare nel modo corretto. Se si incontrano difficoltà nell'utilizzo di un sito Web dopo aver effettuato questa modifica e si è certi che il sito è sicuro, è possibile aggiungere il sito all'elenco Siti attendibili. In questo modo il sito funzionerà correttamente.

  Impatto della soluzione alternativa. La visualizzazione di una richiesta di conferma prima dell'esecuzione di script attivo può avere effetti collaterali. Numerosi siti Web su Internet o su una rete Intranet utilizzano script attivo per offrire funzionalità aggiuntive. Un sito di e-commerce o di online banking, ad esempio, può utilizzare script attivo per la visualizzazione dei menu, dei moduli d'ordine o degli estratti conto. La richiesta di conferma prima dell'esecuzione di script attivo è un'impostazione globale per tutti i siti Internet e Intranet. Se si utilizza questa soluzione alternativa, le richieste di conferma verranno visualizzate di frequente. A ogni richiesta di conferma, se si ritiene che il sito da visitare sia attendibile, fare clic su Sì per consentire l'esecuzione di script attivo. Se non si desidera che venga richiesta conferma per tutti i siti, utilizzare la procedura descritta in "Aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer".

  Aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer.

  Dopo l'impostazione della richiesta di conferma prima dell'esecuzione di controlli ActiveX e script attivo nelle aree Internet e Intranet locale, è possibile aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer. In questo modo è possibile continuare a utilizzare i siti Web attendibili nel modo abituale, proteggendo al tempo stesso il sistema da eventuali attacchi dai siti non attendibili. Si raccomanda di aggiungere all'area Siti attendibili solo i siti effettivamente ritenuti attendibili.

  A tale scopo, utilizzare la seguente procedura:

  1. In Internet Explorer, scegliere Opzioni Internet dal menu Strumenti e fare clic sulla scheda Protezione.
  2. Nella sezione Selezionare un'area di contenuto Web per specificare le relative impostazioni di protezione fare clic sull'icona Siti attendibili, quindi sul pulsante Siti.
  3. Se si desidera aggiungere siti che non richiedono un canale crittografato, fare clic per deselezionare la casella di controllo Richiedi verifica server (https:) per tutti i siti dell'area.
  4. Digitare nella casella Aggiungi il sito Web all'area l'URL del sito desiderato, quindi fare clic sul pulsante Aggiungi.
  5. Ripetere la procedura per ogni sito da aggiungere all'area.
  6. Fare due volte clic su OK per confermare le modifiche e tornare a Internet Explorer.

  Nota È possibile aggiungere qualsiasi sito che si ritiene non eseguirà operazioni dannose sul sistema. In particolare è utile aggiungere i due siti *.windowsupdate.microsoft.com e *.update.microsoft.com, ovvero i siti che ospiteranno l'aggiornamento per cui è richiesto l'utilizzo di un controllo ActiveX per l'installazione.

   

Qual è la portata o l'impatto di questa vulnerabilità? 
Si tratta di una vulnerabilità legata all'esecuzione di codice in modalità remota. Sfruttando questa vulnerabilità, un utente malintenzionato può ottenere gli stessi diritti utente dell'utente connesso. Pertanto, gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.

Quali sono le cause di questa vulnerabilità? 
Quando Internet Explorer tenta di accedere a un oggetto che è stato eliminato, potrebbe danneggiare la memoria in modo da consentire a un utente malintenzionato di eseguire codice non autorizzato nel contesto dell'utente connesso.

A quali attacchi viene esposto il sistema a causa di questa vulnerabilità? 
Sfruttando questa vulnerabilità, un utente malintenzionato può ottenere gli stessi diritti utente dell'utente connesso. Se l'utente è connesso con privilegi di amministrazione, un utente malintenzionato che sfrutti questa vulnerabilità può assumere il controllo completo del sistema interessato. Potrebbe quindi installare programmi e visualizzare, modificare o eliminare dati oppure creare nuovi account con diritti utente completi.

In quale modo un utente malintenzionato può sfruttare questa vulnerabilità? 
Un utente malintenzionato potrebbe pubblicare siti Web appositamente predisposti per sfruttare la vulnerabilità tramite Internet Explorer e quindi convincere un utente a visualizzarli. Inoltre, un utente malintenzionato può incorporare un controllo ActiveX contrassegnato come "sicuro per l'inizializzazione" in un'applicazione o in un documento Microsoft Office che ospita il motore di rendering di Internet Explorer. L'utente malintenzionato potrebbe inoltre servirsi di siti Web manomessi e di siti Web che accettano o pubblicano contenuti o annunci pubblicitari inviati da altri utenti. Questi siti Web possono includere contenuti appositamente predisposti in grado di sfruttare questa vulnerabilità. Tuttavia, in nessuno di questi casi un utente malintenzionato può obbligare gli utenti a visualizzare il contenuto controllato dall'utente malintenzionato. Un utente malintenzionato deve piuttosto convincere gli utenti a compiere un'azione, in genere facendo clic su un collegamento contenuto in un messaggio di posta elettronica o in un messaggio di Instant Messenger, che porta degli utenti al sito Web dell'utente malintenzionato oppure aprendo un allegato inviato mediante un messaggio di posta elettronica.

Quali sono i sistemi principalmente interessati da questa vulnerabilità? 
I sistemi maggiormente a rischio sono quelli in cui Internet Explorer viene utilizzato frequentemente, come le workstation o i server terminal.

Se si esegue Internet Explorer per Windows Server 2003, Windows Server 2008 o Windows Server 2008 R2, il problema ha una portata più limitata? 
Sì. Per impostazione predefinita, Internet Explorer in Windows Server 2003, Windows Server 2008 e Windows Server 2008 R2 viene eseguito in una modalità limitata denominata Protezione avanzata. La configurazione Protezione avanzata è costituita da un gruppo di impostazioni di Internet Explorer preconfigurate che riduce la probabilità che un utente o un amministratore scarichi ed esegua contenuto Web appositamente predisposto in un server. Questo è un fattore attenuante per i siti Web che non sono stati aggiunti all'area Siti attendibili di Internet Explorer.

Quali sono gli scopi dell'aggiornamento? 
L'aggiornamento risolve la vulnerabilità modificando il modo in cui Internet Explorer gestisce gli oggetti nella memoria.

Al momento del rilascio di questo bollettino le informazioni sulla vulnerabilità erano disponibili pubblicamente? 
No. Microsoft ha ricevuto informazioni sulla vulnerabilità grazie a un'indagine coordinata.

Al momento del rilascio di questo bollettino erano già stati segnalati attacchi basati sullo sfruttamento di questa vulnerabilità? 
No. Al momento della pubblicazione del presente bollettino, Microsoft non aveva ricevuto alcuna segnalazione in merito allo sfruttamento di questa vulnerabilità a scopo di attacco.

Per fattore attenuante si intende un'impostazione, una configurazione comune o una procedura consigliata generica esistente in uno stato predefinito in grado di ridurre la gravità nello sfruttamento di una vulnerabilità. I seguenti fattori attenuanti possono essere utili per l'utente:

• Un utente malintenzionato potrebbe pubblicare siti Web appositamente predisposti per sfruttare la vulnerabilità tramite Internet Explorer e quindi convincere un utente a visualizzarli. Inoltre, un utente malintenzionato può incorporare un controllo ActiveX contrassegnato come "sicuro per l'inizializzazione" in un'applicazione o in un documento Microsoft Office che ospita il motore di rendering di Internet Explorer. L'utente malintenzionato potrebbe inoltre servirsi di siti Web manomessi e di siti Web che accettano o pubblicano contenuti o annunci pubblicitari inviati da altri utenti. Questi siti Web possono includere contenuti appositamente predisposti in grado di sfruttare questa vulnerabilità. Tuttavia, in nessuno di questi casi un utente malintenzionato può obbligare gli utenti a visualizzare il contenuto controllato dall'utente malintenzionato. Un utente malintenzionato deve piuttosto convincere gli utenti a compiere un'azione, in genere facendo clic su un collegamento contenuto in un messaggio di posta elettronica o in un messaggio di Instant Messenger, che porta degli utenti al sito Web dell'utente malintenzionato oppure aprendo un allegato inviato mediante un messaggio di posta elettronica.
• Sfruttando questa vulnerabilità, un utente malintenzionato può ottenere gli stessi diritti utente dell'utente connesso. Pertanto, gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.
• Per impostazione predefinita, tutte le versioni supportate di Microsoft Outlook, Microsoft Outlook Express e Windows Mail aprono i messaggi di posta elettronica in formato HTML nell'area Siti con restrizioni, disattivando gli script e i controlli ActiveX ed eliminando in questo modo il rischio di sfruttamento di questa vulnerabilità da parte di un utente malintenzionato. Se si fa clic su un collegamento presente in un messaggio di posta elettronica, tale vulnerabilità può ancora sussistere con le modalità descritte nello scenario di attacco dal Web.
• Per impostazione predefinita, Internet Explorer in Windows Server 2003, Windows Server 2008 e Windows Server 2008 R2 viene eseguito in una modalità limitata denominata Protezione avanzata. Questa modalità consente di ridurre i rischi correlati a questa vulnerabilità. Vedere la sezione Domande frequenti relativa a questa vulnerabilità per ulteriori informazioni sulla Protezione avanzata di Internet Explorer.

Per soluzione alternativa si intende un'impostazione o una modifica nella configurazione che non elimina la vulnerabilità sottostante, ma consente di bloccare gli attacchi noti prima di applicare l'aggiornamento. Microsoft ha verificato le seguenti soluzioni alternative e segnala nel corso della discussione se tali soluzioni riducono la funzionalità:

• Impostare il livello dell'area di protezione Internet e Intranet locale su "Alta" per bloccare i controlli ActiveX e script attivo in queste aree

  È possibile contribuire a una protezione più efficace del sistema dai rischi connessi a questa vulnerabilità, modificando le impostazioni relative all'area di protezione Internet in modo che i controlli ActiveX e lo script attivo vengano bloccati. Tale operazione può essere eseguita impostando la protezione del browser su Alta.

  Per alzare il livello di protezione del brower in Internet Explorer, attenersi alla seguente procedura:

  1. Dal menu Strumenti di Internet Explorer, scegliere Opzioni Internet.
  2. Nella finestra di dialogo Opzioni Internet, fare clic sulla scheda Protezione, quindi sull'icona Internet.
  3. In Livello di protezione per l'area, spostare il dispositivo di scorrimento su Alta. Il livello di protezione per tutti i siti Web visitati viene così impostato su Alta.

  Nota Se il dispositivo di scorrimento non è visibile, fare clic su Livello predefinito, quindi spostare il dispositivo di scorrimento su Alta.

  Nota Con l'impostazione della protezione su Alta, alcuni siti Web potrebbero non funzionare nel modo corretto. Se si incontrano difficoltà nell'utilizzo di un sito Web dopo aver effettuato questa modifica e si è certi che il sito è sicuro, è possibile aggiungere il sito all'elenco Siti attendibili. In questo modo il sito funzionerà correttamente anche quando la protezione è impostata su Alta.

  Impatto della soluzione alternativa. Il blocco dei controlli ActiveX e di script attivo può avere effetti collaterali. Numerosi siti Web su Internet o su una rete Intranet utilizzano ActiveX o script attivo per offrire funzionalità aggiuntive. Un sito di e-commerce o di online banking, ad esempio, può utilizzare controlli ActiveX per la visualizzazione dei menu, dei moduli d'ordine o degli estratti conto. Il blocco dei controlli ActiveX o script attivo è un'impostazione globale per tutti i siti Internet e Intranet. Se non si desidera che i controlli ActiveX o script attivo vengano bloccati in tali siti, utilizzare la procedura descritta in "Aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer".

  Aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer.

  Dopo l'impostazione della richiesta di blocco dei controlli ActiveX e dello script attivo nelle aree Internet e Intranet locale, è possibile aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer. In questo modo è possibile continuare a utilizzare i siti Web attendibili nel modo abituale, proteggendo al tempo stesso il sistema da eventuali attacchi dai siti non attendibili. Si raccomanda di aggiungere all'area Siti attendibili solo i siti effettivamente ritenuti attendibili.

  A tale scopo, utilizzare la seguente procedura:

  1. In Internet Explorer, scegliere Opzioni Internet dal menu Strumenti e fare clic sulla scheda Protezione.
  2. Nella sezione Selezionare un'area di contenuto Web per specificare le relative impostazioni di protezione fare clic sull'icona Siti attendibili, quindi sul pulsante Siti.
  3. Se si desidera aggiungere siti che non richiedono un canale crittografato, fare clic per deselezionare la casella di controllo Richiedi verifica server (https:) per tutti i siti dell'area.
  4. Digitare nella casella Aggiungi il sito Web all'area l'URL del sito desiderato, quindi fare clic sul pulsante Aggiungi.
  5. Ripetere la procedura per ogni sito da aggiungere all'area.
  6. Fare due volte clic su OK per confermare le modifiche e tornare a Internet Explorer.

  Nota È possibile aggiungere qualsiasi sito che si ritiene non eseguirà operazioni dannose sul sistema. In particolare è utile aggiungere i due siti *.windowsupdate.microsoft.com e *.update.microsoft.com, ovvero i siti che ospiteranno l'aggiornamento per cui è richiesto l'utilizzo di un controllo ActiveX per l'installazione.

   

• Configurare Internet Explorer in modo che venga richiesta conferma prima dell'esecuzione di script attivo oppure disattivare tali script nell'area di protezione Internet e Intranet locale

  È possibile contribuire a una protezione più efficace del sistema dai rischi connessi a questa vulnerabilità modificando le impostazioni in modo che venga richiesta conferma prima di eseguire script attivo o vengano disattivati tali script nell'area di protezione Internet e Intranet locale. A tale scopo, utilizzare la seguente procedura:

  1. In Internet Explorer, scegliere Opzioni Internet dal menu Strumenti.
  2. Selezionare la scheda Protezione.
  3. Selezionare Internet e fare clic sul pulsante Livello personalizzato.
  4. Nella sezione Esecuzione script dell'elenco Impostazioni, selezionare Esecuzione script attivo, quindi fare clic su Chiedi conferma  o Disattiva e su OK.
  5. Selezionare Intranet locale, quindi fare clic sul pulsante Livello personalizzato.
  6. Nella sezione Esecuzione script dell'elenco Impostazioni, selezionare Esecuzione script attivo, quindi fare clic su Chiedi conferma  o Disattiva e su OK.
  7. Fare due volte clic su OK per tornare a Internet Explorer.

  Nota Se si disattiva Esecuzione script attivo nelle aree di protezione Internet e Intranet locale, alcuni siti Web potrebbero non funzionare nel modo corretto. Se si incontrano difficoltà nell'utilizzo di un sito Web dopo aver effettuato questa modifica e si è certi che il sito è sicuro, è possibile aggiungere il sito all'elenco Siti attendibili. In questo modo il sito funzionerà correttamente.

  Impatto della soluzione alternativa. La visualizzazione di una richiesta di conferma prima dell'esecuzione di script attivo può avere effetti collaterali. Numerosi siti Web su Internet o su una rete Intranet utilizzano script attivo per offrire funzionalità aggiuntive. Un sito di e-commerce o di online banking, ad esempio, può utilizzare script attivo per la visualizzazione dei menu, dei moduli d'ordine o degli estratti conto. La richiesta di conferma prima dell'esecuzione di script attivo è un'impostazione globale per tutti i siti Internet e Intranet. Se si utilizza questa soluzione alternativa, le richieste di conferma verranno visualizzate di frequente. A ogni richiesta di conferma, se si ritiene che il sito da visitare sia attendibile, fare clic su Sì per consentire l'esecuzione di script attivo. Se non si desidera che venga richiesta conferma per tutti i siti, utilizzare la procedura descritta in "Aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer".

  Aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer.

  Dopo l'impostazione della richiesta di conferma prima dell'esecuzione di controlli ActiveX e script attivo nelle aree Internet e Intranet locale, è possibile aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer. In questo modo è possibile continuare a utilizzare i siti Web attendibili nel modo abituale, proteggendo al tempo stesso il sistema da eventuali attacchi dai siti non attendibili. Si raccomanda di aggiungere all'area Siti attendibili solo i siti effettivamente ritenuti attendibili.

  A tale scopo, utilizzare la seguente procedura:

  1. In Internet Explorer, scegliere Opzioni Internet dal menu Strumenti e fare clic sulla scheda Protezione.
  2. Nella sezione Selezionare un'area di contenuto Web per specificare le relative impostazioni di protezione fare clic sull'icona Siti attendibili, quindi sul pulsante Siti.
  3. Se si desidera aggiungere siti che non richiedono un canale crittografato, fare clic per deselezionare la casella di controllo Richiedi verifica server (https:) per tutti i siti dell'area.
  4. Digitare nella casella Aggiungi il sito Web all'area l'URL del sito desiderato, quindi fare clic sul pulsante Aggiungi.
  5. Ripetere la procedura per ogni sito da aggiungere all'area.
  6. Fare due volte clic su OK per confermare le modifiche e tornare a Internet Explorer.

  Nota È possibile aggiungere qualsiasi sito che si ritiene non eseguirà operazioni dannose sul sistema. In particolare è utile aggiungere i due siti *.windowsupdate.microsoft.com e *.update.microsoft.com, ovvero i siti che ospiteranno l'aggiornamento per cui è richiesto l'utilizzo di un controllo ActiveX per l'installazione.

   

Qual è la portata o l'impatto di questa vulnerabilità? 
Si tratta di una vulnerabilità legata all'esecuzione di codice in modalità remota. Sfruttando questa vulnerabilità, un utente malintenzionato può ottenere gli stessi diritti utente dell'utente connesso. Pertanto, gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.

Quali sono le cause di questa vulnerabilità? 
Quando Internet Explorer tenta di accedere a un oggetto che non è stato inizializzato, potrebbe danneggiare la memoria in modo da consentire a un utente malintenzionato di eseguire codice non autorizzato nel contesto dell'utente connesso.

A quali attacchi viene esposto il sistema a causa di questa vulnerabilità? 
Sfruttando questa vulnerabilità, un utente malintenzionato può ottenere gli stessi diritti utente dell'utente connesso. Se l'utente è connesso con privilegi di amministrazione, un utente malintenzionato che sfrutti questa vulnerabilità può assumere il controllo completo del sistema interessato. Potrebbe quindi installare programmi e visualizzare, modificare o eliminare dati oppure creare nuovi account con diritti utente completi.

In quale modo un utente malintenzionato può sfruttare questa vulnerabilità? 
Un utente malintenzionato potrebbe pubblicare siti Web appositamente predisposti per sfruttare la vulnerabilità tramite Internet Explorer e quindi convincere un utente a visualizzarli. Inoltre, un utente malintenzionato può incorporare un controllo ActiveX contrassegnato come "sicuro per l'inizializzazione" in un'applicazione o in un documento Microsoft Office che ospita il motore di rendering di Internet Explorer. L'utente malintenzionato potrebbe inoltre servirsi di siti Web manomessi e di siti Web che accettano o pubblicano contenuti o annunci pubblicitari inviati da altri utenti. Questi siti Web possono includere contenuti appositamente predisposti in grado di sfruttare questa vulnerabilità. Tuttavia, in nessuno di questi casi un utente malintenzionato può obbligare gli utenti a visualizzare il contenuto controllato dall'utente malintenzionato. Un utente malintenzionato deve piuttosto convincere gli utenti a compiere un'azione, in genere facendo clic su un collegamento contenuto in un messaggio di posta elettronica o in un messaggio di Instant Messenger, che porta degli utenti al sito Web dell'utente malintenzionato oppure aprendo un allegato inviato mediante un messaggio di posta elettronica.

Quali sono i sistemi principalmente interessati da questa vulnerabilità? 
I sistemi maggiormente a rischio sono quelli in cui Internet Explorer viene utilizzato frequentemente, come le workstation o i server terminal.

Se si esegue Internet Explorer per Windows Server 2003, Windows Server 2008 o Windows Server 2008 R2, il problema ha una portata più limitata? 
Sì. Per impostazione predefinita, Internet Explorer in Windows Server 2003, Windows Server 2008 e Windows Server 2008 R2 viene eseguito in una modalità limitata denominata Protezione avanzata. La configurazione Protezione avanzata è costituita da un gruppo di impostazioni di Internet Explorer preconfigurate che riduce la probabilità che un utente o un amministratore scarichi ed esegua contenuto Web appositamente predisposto in un server. Questo è un fattore attenuante per i siti Web che non sono stati aggiunti all'area Siti attendibili di Internet Explorer.

Quali sono gli scopi dell'aggiornamento? 
L'aggiornamento risolve la vulnerabilità modificando il modo in cui Internet Explorer gestisce gli oggetti nella memoria.

Al momento del rilascio di questo bollettino le informazioni sulla vulnerabilità erano disponibili pubblicamente? 
No. Microsoft ha ricevuto informazioni sulla vulnerabilità grazie a un'indagine coordinata.

Al momento del rilascio di questo bollettino erano già stati segnalati attacchi basati sullo sfruttamento di questa vulnerabilità? 
No. Al momento della pubblicazione del presente bollettino, Microsoft non aveva ricevuto alcuna segnalazione in merito allo sfruttamento di questa vulnerabilità a scopo di attacco.

Per fattore attenuante si intende un'impostazione, una configurazione comune o una procedura consigliata generica esistente in uno stato predefinito in grado di ridurre la gravità nello sfruttamento di una vulnerabilità. I seguenti fattori attenuanti possono essere utili per l'utente:

• Un utente malintenzionato potrebbe pubblicare siti Web appositamente predisposti per sfruttare la vulnerabilità tramite Internet Explorer e quindi convincere un utente a visualizzarli. Inoltre, un utente malintenzionato può incorporare un controllo ActiveX contrassegnato come "sicuro per l'inizializzazione" in un'applicazione o in un documento Microsoft Office che ospita il motore di rendering di Internet Explorer. L'utente malintenzionato potrebbe inoltre servirsi di siti Web manomessi e di siti Web che accettano o pubblicano contenuti o annunci pubblicitari inviati da altri utenti. Questi siti Web possono includere contenuti appositamente predisposti in grado di sfruttare questa vulnerabilità. Tuttavia, in nessuno di questi casi un utente malintenzionato può obbligare gli utenti a visualizzare il contenuto controllato dall'utente malintenzionato. Un utente malintenzionato deve piuttosto convincere gli utenti a compiere un'azione, in genere facendo clic su un collegamento contenuto in un messaggio di posta elettronica o in un messaggio di Instant Messenger, che porta degli utenti al sito Web dell'utente malintenzionato oppure aprendo un allegato inviato mediante un messaggio di posta elettronica.
• Sfruttando questa vulnerabilità, un utente malintenzionato può ottenere gli stessi diritti utente dell'utente connesso. Pertanto, gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.
• Per impostazione predefinita, tutte le versioni supportate di Microsoft Outlook, Microsoft Outlook Express e Windows Mail aprono i messaggi di posta elettronica in formato HTML nell'area Siti con restrizioni, disattivando gli script e i controlli ActiveX ed eliminando in questo modo il rischio di sfruttamento di questa vulnerabilità da parte di un utente malintenzionato. Se si fa clic su un collegamento presente in un messaggio di posta elettronica, tale vulnerabilità può ancora sussistere con le modalità descritte nello scenario di attacco dal Web.
• Per impostazione predefinita, Internet Explorer in Windows Server 2003, Windows Server 2008 e Windows Server 2008 R2 viene eseguito in una modalità limitata denominata Protezione avanzata. Questa modalità consente di ridurre i rischi correlati a questa vulnerabilità. Vedere la sezione Domande frequenti relativa a questa vulnerabilità per ulteriori informazioni sulla Protezione avanzata di Internet Explorer.
• Internet Explorer 9 non è interessato da questa vulnerabilità.

Per soluzione alternativa si intende un'impostazione o una modifica nella configurazione che non elimina la vulnerabilità sottostante, ma consente di bloccare gli attacchi noti prima di applicare l'aggiornamento. Microsoft ha verificato le seguenti soluzioni alternative e segnala nel corso della discussione se tali soluzioni riducono la funzionalità:

• Impostare il livello dell'area di protezione Internet e Intranet locale su "Alta" per bloccare i controlli ActiveX e script attivo in queste aree

  È possibile contribuire a una protezione più efficace del sistema dai rischi connessi a questa vulnerabilità, modificando le impostazioni relative all'area di protezione Internet in modo che i controlli ActiveX e lo script attivo vengano bloccati. Tale operazione può essere eseguita impostando la protezione del browser su Alta.

  Per alzare il livello di protezione del brower in Internet Explorer, attenersi alla seguente procedura:

  1. Dal menu Strumenti di Internet Explorer, scegliere Opzioni Internet.
  2. Nella finestra di dialogo Opzioni Internet, fare clic sulla scheda Protezione, quindi sull'icona Internet.
  3. In Livello di protezione per l'area, spostare il dispositivo di scorrimento su Alta. Il livello di protezione per tutti i siti Web visitati viene così impostato su Alta.

  Nota Se il dispositivo di scorrimento non è visibile, fare clic su Livello predefinito, quindi spostare il dispositivo di scorrimento su Alta.

  Nota Con l'impostazione della protezione su Alta, alcuni siti Web potrebbero non funzionare nel modo corretto. Se si incontrano difficoltà nell'utilizzo di un sito Web dopo aver effettuato questa modifica e si è certi che il sito è sicuro, è possibile aggiungere il sito all'elenco Siti attendibili. In questo modo il sito funzionerà correttamente anche quando la protezione è impostata su Alta.

  Impatto della soluzione alternativa. Il blocco dei controlli ActiveX e di script attivo può avere effetti collaterali. Numerosi siti Web su Internet o su una rete Intranet utilizzano ActiveX o script attivo per offrire funzionalità aggiuntive. Un sito di e-commerce o di online banking, ad esempio, può utilizzare controlli ActiveX per la visualizzazione dei menu, dei moduli d'ordine o degli estratti conto. Il blocco dei controlli ActiveX o script attivo è un'impostazione globale per tutti i siti Internet e Intranet. Se non si desidera che i controlli ActiveX o script attivo vengano bloccati in tali siti, utilizzare la procedura descritta in "Aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer".

  Aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer.

  Dopo l'impostazione della richiesta di blocco dei controlli ActiveX e dello script attivo nelle aree Internet e Intranet locale, è possibile aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer. In questo modo è possibile continuare a utilizzare i siti Web attendibili nel modo abituale, proteggendo al tempo stesso il sistema da eventuali attacchi dai siti non attendibili. Si raccomanda di aggiungere all'area Siti attendibili solo i siti effettivamente ritenuti attendibili.

  A tale scopo, utilizzare la seguente procedura:

  1. In Internet Explorer, scegliere Opzioni Internet dal menu Strumenti e fare clic sulla scheda Protezione.
  2. Nella sezione Selezionare un'area di contenuto Web per specificare le relative impostazioni di protezione fare clic sull'icona Siti attendibili, quindi sul pulsante Siti.
  3. Se si desidera aggiungere siti che non richiedono un canale crittografato, fare clic per deselezionare la casella di controllo Richiedi verifica server (https:) per tutti i siti dell'area.
  4. Digitare nella casella Aggiungi il sito Web all'area l'URL del sito desiderato, quindi fare clic sul pulsante Aggiungi.
  5. Ripetere la procedura per ogni sito da aggiungere all'area.
  6. Fare due volte clic su OK per confermare le modifiche e tornare a Internet Explorer.

  Nota È possibile aggiungere qualsiasi sito che si ritiene non eseguirà operazioni dannose sul sistema. In particolare è utile aggiungere i due siti *.windowsupdate.microsoft.com e *.update.microsoft.com, ovvero i siti che ospiteranno l'aggiornamento per cui è richiesto l'utilizzo di un controllo ActiveX per l'installazione.

   

• Configurare Internet Explorer in modo che venga richiesta conferma prima dell'esecuzione di script attivo oppure disattivare tali script nell'area di protezione Internet e Intranet locale

  È possibile contribuire a una protezione più efficace del sistema dai rischi connessi a questa vulnerabilità modificando le impostazioni in modo che venga richiesta conferma prima di eseguire script attivo o vengano disattivati tali script nell'area di protezione Internet e Intranet locale. A tale scopo, utilizzare la seguente procedura:

  1. In Internet Explorer, scegliere Opzioni Internet dal menu Strumenti.
  2. Selezionare la scheda Protezione.
  3. Selezionare Internet e fare clic sul pulsante Livello personalizzato.
  4. Nella sezione Esecuzione script dell'elenco Impostazioni, selezionare Esecuzione script attivo, quindi fare clic su Chiedi conferma  o Disattiva e su OK.
  5. Selezionare Intranet locale, quindi fare clic sul pulsante Livello personalizzato.
  6. Nella sezione Esecuzione script dell'elenco Impostazioni, selezionare Esecuzione script attivo, quindi fare clic su Chiedi conferma  o Disattiva e su OK.
  7. Fare due volte clic su OK per tornare a Internet Explorer.

  Nota Se si disattiva Esecuzione script attivo nelle aree di protezione Internet e Intranet locale, alcuni siti Web potrebbero non funzionare nel modo corretto. Se si incontrano difficoltà nell'utilizzo di un sito Web dopo aver effettuato questa modifica e si è certi che il sito è sicuro, è possibile aggiungere il sito all'elenco Siti attendibili. In questo modo il sito funzionerà correttamente.

  Impatto della soluzione alternativa. La visualizzazione di una richiesta di conferma prima dell'esecuzione di script attivo può avere effetti collaterali. Numerosi siti Web su Internet o su una rete Intranet utilizzano script attivo per offrire funzionalità aggiuntive. Un sito di e-commerce o di online banking, ad esempio, può utilizzare script attivo per la visualizzazione dei menu, dei moduli d'ordine o degli estratti conto. La richiesta di conferma prima dell'esecuzione di script attivo è un'impostazione globale per tutti i siti Internet e Intranet. Se si utilizza questa soluzione alternativa, le richieste di conferma verranno visualizzate di frequente. A ogni richiesta di conferma, se si ritiene che il sito da visitare sia attendibile, fare clic su Sì per consentire l'esecuzione di script attivo. Se non si desidera che venga richiesta conferma per tutti i siti, utilizzare la procedura descritta in "Aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer".

  Aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer.

  Dopo l'impostazione della richiesta di conferma prima dell'esecuzione di controlli ActiveX e script attivo nelle aree Internet e Intranet locale, è possibile aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer. In questo modo è possibile continuare a utilizzare i siti Web attendibili nel modo abituale, proteggendo al tempo stesso il sistema da eventuali attacchi dai siti non attendibili. Si raccomanda di aggiungere all'area Siti attendibili solo i siti effettivamente ritenuti attendibili.

  A tale scopo, utilizzare la seguente procedura:

  1. In Internet Explorer, scegliere Opzioni Internet dal menu Strumenti e fare clic sulla scheda Protezione.
  2. Nella sezione Selezionare un'area di contenuto Web per specificare le relative impostazioni di protezione fare clic sull'icona Siti attendibili, quindi sul pulsante Siti.
  3. Se si desidera aggiungere siti che non richiedono un canale crittografato, fare clic per deselezionare la casella di controllo Richiedi verifica server (https:) per tutti i siti dell'area.
  4. Digitare nella casella Aggiungi il sito Web all'area l'URL del sito desiderato, quindi fare clic sul pulsante Aggiungi.
  5. Ripetere la procedura per ogni sito da aggiungere all'area.
  6. Fare due volte clic su OK per confermare le modifiche e tornare a Internet Explorer.

  Nota È possibile aggiungere qualsiasi sito che si ritiene non eseguirà operazioni dannose sul sistema. In particolare è utile aggiungere i due siti *.windowsupdate.microsoft.com e *.update.microsoft.com, ovvero i siti che ospiteranno l'aggiornamento per cui è richiesto l'utilizzo di un controllo ActiveX per l'installazione.

   

Qual è la portata o l'impatto di questa vulnerabilità? 
Si tratta di una vulnerabilità legata all'esecuzione di codice in modalità remota. Sfruttando questa vulnerabilità, un utente malintenzionato può ottenere gli stessi diritti utente dell'utente connesso. Pertanto, gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.

Quali sono le cause di questa vulnerabilità? 
Quando Internet Explorer tenta di accedere a un oggetto che è stato eliminato, potrebbe danneggiare la memoria in modo da consentire a un utente malintenzionato di eseguire codice non autorizzato nel contesto dell'utente connesso.

A quali attacchi viene esposto il sistema a causa di questa vulnerabilità? 
Sfruttando questa vulnerabilità, un utente malintenzionato può ottenere gli stessi diritti utente dell'utente connesso. Se l'utente è connesso con privilegi di amministrazione, un utente malintenzionato che sfrutti questa vulnerabilità può assumere il controllo completo del sistema interessato. Potrebbe quindi installare programmi e visualizzare, modificare o eliminare dati oppure creare nuovi account con diritti utente completi.

In quale modo un utente malintenzionato può sfruttare questa vulnerabilità? 
Un utente malintenzionato potrebbe pubblicare siti Web appositamente predisposti per sfruttare la vulnerabilità tramite Internet Explorer e quindi convincere un utente a visualizzarli. Inoltre, un utente malintenzionato può incorporare un controllo ActiveX contrassegnato come "sicuro per l'inizializzazione" in un'applicazione o in un documento Microsoft Office che ospita il motore di rendering di Internet Explorer. L'utente malintenzionato potrebbe inoltre servirsi di siti Web manomessi e di siti Web che accettano o pubblicano contenuti o annunci pubblicitari inviati da altri utenti. Questi siti Web possono includere contenuti appositamente predisposti in grado di sfruttare questa vulnerabilità. Tuttavia, in nessuno di questi casi un utente malintenzionato può obbligare gli utenti a visualizzare il contenuto controllato dall'utente malintenzionato. Un utente malintenzionato deve piuttosto convincere gli utenti a compiere un'azione, in genere facendo clic su un collegamento contenuto in un messaggio di posta elettronica o in un messaggio di Instant Messenger, che porta degli utenti al sito Web dell'utente malintenzionato oppure aprendo un allegato inviato mediante un messaggio di posta elettronica.

Quali sono i sistemi principalmente interessati da questa vulnerabilità? 
I sistemi maggiormente a rischio sono quelli in cui Internet Explorer viene utilizzato frequentemente, come le workstation o i server terminal.

Quali sono gli scopi dell'aggiornamento? 
L'aggiornamento risolve la vulnerabilità modificando il modo in cui Internet Explorer gestisce gli oggetti nella memoria.

Al momento del rilascio di questo bollettino le informazioni sulla vulnerabilità erano disponibili pubblicamente? 
No. Microsoft ha ricevuto informazioni sulla vulnerabilità grazie a un'indagine coordinata.

Al momento del rilascio di questo bollettino erano già stati segnalati attacchi basati sullo sfruttamento di questa vulnerabilità? 
No. Al momento della pubblicazione del presente bollettino, Microsoft non aveva ricevuto alcuna segnalazione in merito allo sfruttamento di questa vulnerabilità a scopo di attacco.

Per fattore attenuante si intende un'impostazione, una configurazione comune o una procedura consigliata generica esistente in uno stato predefinito in grado di ridurre la gravità nello sfruttamento di una vulnerabilità. I seguenti fattori attenuanti possono essere utili per l'utente:

• In uno scenario di attacco dal Web, un utente malintenzionato potrebbe pubblicare un sito Web predisposto per sfruttare tale vulnerabilità tramite Internet Explorer e convincere un utente a visualizzarlo. Inoltre, un utente malintenzionato può incorporare un controllo ActiveX contrassegnato come "sicuro per l'inizializzazione" in un'applicazione o in un documento Microsoft Office che ospita il motore di rendering di Internet Explorer. L'utente malintenzionato potrebbe inoltre servirsi di siti Web manomessi e di siti Web che accettano o pubblicano contenuti o annunci pubblicitari inviati da altri utenti. Questi siti Web possono includere contenuti appositamente predisposti in grado di sfruttare questa vulnerabilità. Tuttavia, in nessuno di questi casi un utente malintenzionato può obbligare gli utenti a visualizzare il contenuto controllato dall'utente malintenzionato. Un utente malintenzionato deve piuttosto convincere gli utenti a compiere un'azione, in genere facendo clic su un collegamento contenuto in un messaggio di posta elettronica o in un messaggio di Instant Messenger, che porta degli utenti al sito Web dell'utente malintenzionato oppure aprendo un allegato inviato mediante un messaggio di posta elettronica.
• Sfruttando questa vulnerabilità, un utente malintenzionato può ottenere gli stessi diritti utente dell'utente connesso. Pertanto, gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.
• Per impostazione predefinita, tutte le versioni supportate di Microsoft Outlook, Microsoft Outlook Express e Windows Mail aprono i messaggi di posta elettronica in formato HTML nell'area Siti con restrizioni, disattivando gli script e i controlli ActiveX ed eliminando in questo modo il rischio di sfruttamento di questa vulnerabilità da parte di un utente malintenzionato. Se si fa clic su un collegamento presente in un messaggio di posta elettronica, tale vulnerabilità può ancora sussistere con le modalità descritte nello scenario di attacco dal Web.
• Per impostazione predefinita, Internet Explorer in Windows Server 2003, Windows Server 2008 e Windows Server 2008 R2 viene eseguito in una modalità limitata denominata Protezione avanzata. Questa modalità consente di ridurre i rischi correlati a questa vulnerabilità. Vedere la sezione Domande frequenti relativa a questa vulnerabilità per ulteriori informazioni sulla Protezione avanzata di Internet Explorer.
• Internet Explorer 7, Internet Explorer 8 e Internet Explorer 9 non sono interessati da questa vulnerabilità.

Per soluzione alternativa si intende un'impostazione o una modifica nella configurazione che non elimina la vulnerabilità sottostante, ma consente di bloccare gli attacchi noti prima di applicare l'aggiornamento. Microsoft ha verificato le seguenti soluzioni alternative e segnala nel corso della discussione se tali soluzioni riducono la funzionalità:

• Impostare il livello dell'area di protezione Internet e Intranet locale su "Alta" per bloccare i controlli ActiveX e script attivo in queste aree

  È possibile contribuire a una protezione più efficace del sistema dai rischi connessi a questa vulnerabilità, modificando le impostazioni relative all'area di protezione Internet in modo che i controlli ActiveX e lo script attivo vengano bloccati. Tale operazione può essere eseguita impostando la protezione del browser su Alta.

  Per alzare il livello di protezione del brower in Internet Explorer, attenersi alla seguente procedura:

  1. Dal menu Strumenti di Internet Explorer, scegliere Opzioni Internet.
  2. Nella finestra di dialogo Opzioni Internet, fare clic sulla scheda Protezione, quindi sull'icona Internet.
  3. In Livello di protezione per l'area, spostare il dispositivo di scorrimento su Alta. Il livello di protezione per tutti i siti Web visitati viene così impostato su Alta.

  Nota Se il dispositivo di scorrimento non è visibile, fare clic su Livello predefinito, quindi spostare il dispositivo di scorrimento su Alta.

  Nota Con l'impostazione della protezione su Alta, alcuni siti Web potrebbero non funzionare nel modo corretto. Se si incontrano difficoltà nell'utilizzo di un sito Web dopo aver effettuato questa modifica e si è certi che il sito è sicuro, è possibile aggiungere il sito all'elenco Siti attendibili. In questo modo il sito funzionerà correttamente anche quando la protezione è impostata su Alta.

  Impatto della soluzione alternativa. Il blocco dei controlli ActiveX e di script attivo può avere effetti collaterali. Numerosi siti Web su Internet o su una rete Intranet utilizzano ActiveX o script attivo per offrire funzionalità aggiuntive. Un sito di e-commerce o di online banking, ad esempio, può utilizzare controlli ActiveX per la visualizzazione dei menu, dei moduli d'ordine o degli estratti conto. Il blocco dei controlli ActiveX o script attivo è un'impostazione globale per tutti i siti Internet e Intranet. Se non si desidera che i controlli ActiveX o script attivo vengano bloccati in tali siti, utilizzare la procedura descritta in "Aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer".

  Aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer.

  Dopo l'impostazione della richiesta di blocco dei controlli ActiveX e dello script attivo nelle aree Internet e Intranet locale, è possibile aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer. In questo modo è possibile continuare a utilizzare i siti Web attendibili nel modo abituale, proteggendo al tempo stesso il sistema da eventuali attacchi dai siti non attendibili. Si raccomanda di aggiungere all'area Siti attendibili solo i siti effettivamente ritenuti attendibili.

  A tale scopo, utilizzare la seguente procedura:

  1. In Internet Explorer, scegliere Opzioni Internet dal menu Strumenti e fare clic sulla scheda Protezione.
  2. Nella sezione Selezionare un'area di contenuto Web per specificare le relative impostazioni di protezione fare clic sull'icona Siti attendibili, quindi sul pulsante Siti.
  3. Se si desidera aggiungere siti che non richiedono un canale crittografato, fare clic per deselezionare la casella di controllo Richiedi verifica server (https:) per tutti i siti dell'area.
  4. Digitare nella casella Aggiungi il sito Web all'area l'URL del sito desiderato, quindi fare clic sul pulsante Aggiungi.
  5. Ripetere la procedura per ogni sito da aggiungere all'area.
  6. Fare due volte clic su OK per confermare le modifiche e tornare a Internet Explorer.

  Nota È possibile aggiungere qualsiasi sito che si ritiene non eseguirà operazioni dannose sul sistema. In particolare è utile aggiungere i due siti *.windowsupdate.microsoft.com e *.update.microsoft.com, ovvero i siti che ospiteranno l'aggiornamento per cui è richiesto l'utilizzo di un controllo ActiveX per l'installazione.

   

• Configurare Internet Explorer in modo che venga richiesta conferma prima dell'esecuzione di script attivo oppure disattivare tali script nell'area di protezione Internet e Intranet locale

  È possibile contribuire a una protezione più efficace del sistema dai rischi connessi a questa vulnerabilità modificando le impostazioni in modo che venga richiesta conferma prima di eseguire script attivo o vengano disattivati tali script nell'area di protezione Internet e Intranet locale. A tale scopo, utilizzare la seguente procedura:

  1. In Internet Explorer, scegliere Opzioni Internet dal menu Strumenti.
  2. Selezionare la scheda Protezione.
  3. Selezionare Internet e fare clic sul pulsante Livello personalizzato.
  4. Nella sezione Esecuzione script dell'elenco Impostazioni, selezionare Esecuzione script attivo, quindi fare clic su Chiedi conferma  o Disattiva e su OK.
  5. Selezionare Intranet locale, quindi fare clic sul pulsante Livello personalizzato.
  6. Nella sezione Esecuzione script dell'elenco Impostazioni, selezionare Esecuzione script attivo, quindi fare clic su Chiedi conferma  o Disattiva e su OK.
  7. Fare due volte clic su OK per tornare a Internet Explorer.

  Nota Se si disattiva Esecuzione script attivo nelle aree di protezione Internet e Intranet locale, alcuni siti Web potrebbero non funzionare nel modo corretto. Se si incontrano difficoltà nell'utilizzo di un sito Web dopo aver effettuato questa modifica e si è certi che il sito è sicuro, è possibile aggiungere il sito all'elenco Siti attendibili. In questo modo il sito funzionerà correttamente.

  Impatto della soluzione alternativa. La visualizzazione di una richiesta di conferma prima dell'esecuzione di script attivo può avere effetti collaterali. Numerosi siti Web su Internet o su una rete Intranet utilizzano script attivo per offrire funzionalità aggiuntive. Un sito di e-commerce o di online banking, ad esempio, può utilizzare script attivo per la visualizzazione dei menu, dei moduli d'ordine o degli estratti conto. La richiesta di conferma prima dell'esecuzione di script attivo è un'impostazione globale per tutti i siti Internet e Intranet. Se si utilizza questa soluzione alternativa, le richieste di conferma verranno visualizzate di frequente. A ogni richiesta di conferma, se si ritiene che il sito da visitare sia attendibile, fare clic su Sì per consentire l'esecuzione di script attivo. Se non si desidera che venga richiesta conferma per tutti i siti, utilizzare la procedura descritta in "Aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer".

  Aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer.

  Dopo l'impostazione della richiesta di conferma prima dell'esecuzione di controlli ActiveX e script attivo nelle aree Internet e Intranet locale, è possibile aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer. In questo modo è possibile continuare a utilizzare i siti Web attendibili nel modo abituale, proteggendo al tempo stesso il sistema da eventuali attacchi dai siti non attendibili. Si raccomanda di aggiungere all'area Siti attendibili solo i siti effettivamente ritenuti attendibili.

  A tale scopo, utilizzare la seguente procedura:

  1. In Internet Explorer, scegliere Opzioni Internet dal menu Strumenti e fare clic sulla scheda Protezione.
  2. Nella sezione Selezionare un'area di contenuto Web per specificare le relative impostazioni di protezione fare clic sull'icona Siti attendibili, quindi sul pulsante Siti.
  3. Se si desidera aggiungere siti che non richiedono un canale crittografato, fare clic per deselezionare la casella di controllo Richiedi verifica server (https:) per tutti i siti dell'area.
  4. Digitare nella casella Aggiungi il sito Web all'area l'URL del sito desiderato, quindi fare clic sul pulsante Aggiungi.
  5. Ripetere la procedura per ogni sito da aggiungere all'area.
  6. Fare due volte clic su OK per confermare le modifiche e tornare a Internet Explorer.

  Nota È possibile aggiungere qualsiasi sito che si ritiene non eseguirà operazioni dannose sul sistema. In particolare è utile aggiungere i due siti *.windowsupdate.microsoft.com e *.update.microsoft.com, ovvero i siti che ospiteranno l'aggiornamento per cui è richiesto l'utilizzo di un controllo ActiveX per l'installazione.

   

Qual è la portata o l'impatto di questa vulnerabilità? 
Si tratta di una vulnerabilità legata all'esecuzione di codice in modalità remota. Sfruttando questa vulnerabilità, un utente malintenzionato può ottenere gli stessi diritti utente dell'utente connesso. Pertanto, gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.

Quali sono le cause di questa vulnerabilità? 
Quando Internet Explorer tenta di accedere a un oggetto che è stato eliminato, potrebbe danneggiare la memoria in modo da consentire a un utente malintenzionato di eseguire codice non autorizzato nel contesto dell'utente connesso.

A quali attacchi viene esposto il sistema a causa di questa vulnerabilità? 
Sfruttando questa vulnerabilità, un utente malintenzionato può ottenere gli stessi diritti utente dell'utente connesso. Se l'utente è connesso con privilegi di amministrazione, un utente malintenzionato che sfrutti questa vulnerabilità può assumere il controllo completo del sistema interessato. Potrebbe quindi installare programmi e visualizzare, modificare o eliminare dati oppure creare nuovi account con diritti utente completi.

In quale modo un utente malintenzionato può sfruttare questa vulnerabilità? 
Un utente malintenzionato potrebbe pubblicare siti Web appositamente predisposti per sfruttare la vulnerabilità tramite Internet Explorer e quindi convincere un utente a visualizzarli. Inoltre, un utente malintenzionato può incorporare un controllo ActiveX contrassegnato come "sicuro per l'inizializzazione" in un'applicazione o in un documento Microsoft Office che ospita il motore di rendering di Internet Explorer. L'utente malintenzionato potrebbe inoltre servirsi di siti Web manomessi e di siti Web che accettano o pubblicano contenuti o annunci pubblicitari inviati da altri utenti. Questi siti Web possono includere contenuti appositamente predisposti in grado di sfruttare questa vulnerabilità. Tuttavia, in nessuno di questi casi un utente malintenzionato può obbligare gli utenti a visualizzare il contenuto controllato dall'utente malintenzionato. Un utente malintenzionato deve piuttosto convincere gli utenti a compiere un'azione, in genere facendo clic su un collegamento contenuto in un messaggio di posta elettronica o in un messaggio di Instant Messenger, che porta degli utenti al sito Web dell'utente malintenzionato oppure aprendo un allegato inviato mediante un messaggio di posta elettronica.

Quali sono i sistemi principalmente interessati da questa vulnerabilità? 
I sistemi maggiormente a rischio sono quelli in cui Internet Explorer viene utilizzato frequentemente, come le workstation o i server terminal.

Se si esegue Internet Explorer per Windows Server 2003, Windows Server 2008 o Windows Server 2008 R2, il problema ha una portata più limitata? 
Sì. Per impostazione predefinita, Internet Explorer in Windows Server 2003, Windows Server 2008 e Windows Server 2008 R2 viene eseguito in una modalità limitata denominata Protezione avanzata. La configurazione Protezione avanzata è costituita da un gruppo di impostazioni di Internet Explorer preconfigurate che riduce la probabilità che un utente o un amministratore scarichi ed esegua contenuto Web appositamente predisposto in un server. Questo è un fattore attenuante per i siti Web che non sono stati aggiunti all'area Siti attendibili di Internet Explorer.

Quali sono gli scopi dell'aggiornamento? 
L'aggiornamento risolve la vulnerabilità modificando il modo in cui Internet Explorer gestisce gli oggetti nella memoria.

Al momento del rilascio di questo bollettino le informazioni sulla vulnerabilità erano disponibili pubblicamente? 
No. Microsoft ha ricevuto informazioni sulla vulnerabilità grazie a un'indagine coordinata.

Al momento del rilascio di questo bollettino erano già stati segnalati attacchi basati sullo sfruttamento di questa vulnerabilità? 
No. Al momento della pubblicazione del presente bollettino, Microsoft non aveva ricevuto alcuna segnalazione in merito allo sfruttamento di questa vulnerabilità a scopo di attacco.

Per fattore attenuante si intende un'impostazione, una configurazione comune o una procedura consigliata generica esistente in uno stato predefinito in grado di ridurre la gravità nello sfruttamento di una vulnerabilità. I seguenti fattori attenuanti possono essere utili per l'utente:

• In uno scenario di attacco dal Web, un utente malintenzionato potrebbe pubblicare un sito Web predisposto per sfruttare tale vulnerabilità tramite Internet Explorer e convincere un utente a visualizzarlo. Inoltre, un utente malintenzionato può incorporare un controllo ActiveX contrassegnato come "sicuro per l'inizializzazione" in un'applicazione o in un documento Microsoft Office che ospita il motore di rendering di Internet Explorer. L'utente malintenzionato potrebbe inoltre servirsi di siti Web manomessi e di siti Web che accettano o pubblicano contenuti o annunci pubblicitari inviati da altri utenti. Questi siti Web possono includere contenuti appositamente predisposti in grado di sfruttare questa vulnerabilità. Tuttavia, in nessuno di questi casi un utente malintenzionato può obbligare gli utenti a visualizzare il contenuto controllato dall'utente malintenzionato. Un utente malintenzionato deve piuttosto convincere gli utenti a compiere un'azione, in genere facendo clic su un collegamento contenuto in un messaggio di posta elettronica o in un messaggio di Instant Messenger, che porta degli utenti al sito Web dell'utente malintenzionato oppure aprendo un allegato inviato mediante un messaggio di posta elettronica.
• Sfruttando questa vulnerabilità, un utente malintenzionato può ottenere gli stessi diritti utente dell'utente connesso. Pertanto, gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.
• Per impostazione predefinita, tutte le versioni supportate di Microsoft Outlook, Microsoft Outlook Express e Windows Mail aprono i messaggi di posta elettronica in formato HTML nell'area Siti con restrizioni, disattivando gli script e i controlli ActiveX ed eliminando in questo modo il rischio di sfruttamento di questa vulnerabilità da parte di un utente malintenzionato. Se si fa clic su un collegamento presente in un messaggio di posta elettronica, tale vulnerabilità può ancora sussistere con le modalità descritte nello scenario di attacco dal Web.
• Per impostazione predefinita, Internet Explorer in Windows Server 2003, Windows Server 2008 e Windows Server 2008 R2 viene eseguito in una modalità limitata denominata Protezione avanzata. Questa modalità consente di ridurre i rischi correlati a questa vulnerabilità. Vedere la sezione Domande frequenti relativa a questa vulnerabilità per ulteriori informazioni sulla Protezione avanzata di Internet Explorer.

Per soluzione alternativa si intende un'impostazione o una modifica nella configurazione che non elimina la vulnerabilità sottostante, ma consente di bloccare gli attacchi noti prima di applicare l'aggiornamento. Microsoft ha verificato le seguenti soluzioni alternative e segnala nel corso della discussione se tali soluzioni riducono la funzionalità:

• Impostare il livello dell'area di protezione Internet e Intranet locale su "Alta" per bloccare i controlli ActiveX e script attivo in queste aree

  È possibile contribuire a una protezione più efficace del sistema dai rischi connessi a questa vulnerabilità, modificando le impostazioni relative all'area di protezione Internet in modo che i controlli ActiveX e lo script attivo vengano bloccati. Tale operazione può essere eseguita impostando la protezione del browser su Alta.

  Per alzare il livello di protezione del brower in Internet Explorer, attenersi alla seguente procedura:

  1. Dal menu Strumenti di Internet Explorer, scegliere Opzioni Internet.
  2. Nella finestra di dialogo Opzioni Internet, fare clic sulla scheda Protezione, quindi sull'icona Internet.
  3. In Livello di protezione per l'area, spostare il dispositivo di scorrimento su Alta. Il livello di protezione per tutti i siti Web visitati viene così impostato su Alta.

  Nota Se il dispositivo di scorrimento non è visibile, fare clic su Livello predefinito, quindi spostare il dispositivo di scorrimento su Alta.

  Nota Con l'impostazione della protezione su Alta, alcuni siti Web potrebbero non funzionare nel modo corretto. Se si incontrano difficoltà nell'utilizzo di un sito Web dopo aver effettuato questa modifica e si è certi che il sito è sicuro, è possibile aggiungere il sito all'elenco Siti attendibili. In questo modo il sito funzionerà correttamente anche quando la protezione è impostata su Alta.

  Impatto della soluzione alternativa. Il blocco dei controlli ActiveX e di script attivo può avere effetti collaterali. Numerosi siti Web su Internet o su una rete Intranet utilizzano ActiveX o script attivo per offrire funzionalità aggiuntive. Un sito di e-commerce o di online banking, ad esempio, può utilizzare controlli ActiveX per la visualizzazione dei menu, dei moduli d'ordine o degli estratti conto. Il blocco dei controlli ActiveX o script attivo è un'impostazione globale per tutti i siti Internet e Intranet. Se non si desidera che i controlli ActiveX o script attivo vengano bloccati in tali siti, utilizzare la procedura descritta in "Aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer".

  Aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer.

  Dopo l'impostazione della richiesta di blocco dei controlli ActiveX e dello script attivo nelle aree Internet e Intranet locale, è possibile aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer. In questo modo è possibile continuare a utilizzare i siti Web attendibili nel modo abituale, proteggendo al tempo stesso il sistema da eventuali attacchi dai siti non attendibili. Si raccomanda di aggiungere all'area Siti attendibili solo i siti effettivamente ritenuti attendibili.

  A tale scopo, utilizzare la seguente procedura:

  1. In Internet Explorer, scegliere Opzioni Internet dal menu Strumenti e fare clic sulla scheda Protezione.
  2. Nella sezione Selezionare un'area di contenuto Web per specificare le relative impostazioni di protezione fare clic sull'icona Siti attendibili, quindi sul pulsante Siti.
  3. Se si desidera aggiungere siti che non richiedono un canale crittografato, fare clic per deselezionare la casella di controllo Richiedi verifica server (https:) per tutti i siti dell'area.
  4. Digitare nella casella Aggiungi il sito Web all'area l'URL del sito desiderato, quindi fare clic sul pulsante Aggiungi.
  5. Ripetere la procedura per ogni sito da aggiungere all'area.
  6. Fare due volte clic su OK per confermare le modifiche e tornare a Internet Explorer.

  Nota È possibile aggiungere qualsiasi sito che si ritiene non eseguirà operazioni dannose sul sistema. In particolare è utile aggiungere i due siti *.windowsupdate.microsoft.com e *.update.microsoft.com, ovvero i siti che ospiteranno l'aggiornamento per cui è richiesto l'utilizzo di un controllo ActiveX per l'installazione.

   

• Configurare Internet Explorer in modo che venga richiesta conferma prima dell'esecuzione di script attivo oppure disattivare tali script nell'area di protezione Internet e Intranet locale

  È possibile contribuire a una protezione più efficace del sistema dai rischi connessi a questa vulnerabilità modificando le impostazioni in modo che venga richiesta conferma prima di eseguire script attivo o vengano disattivati tali script nell'area di protezione Internet e Intranet locale. A tale scopo, utilizzare la seguente procedura:

  1. In Internet Explorer, scegliere Opzioni Internet dal menu Strumenti.
  2. Selezionare la scheda Protezione.
  3. Selezionare Internet e fare clic sul pulsante Livello personalizzato.
  4. Nella sezione Esecuzione script dell'elenco Impostazioni, selezionare Esecuzione script attivo, quindi fare clic su Chiedi conferma  o Disattiva e su OK.
  5. Selezionare Intranet locale, quindi fare clic sul pulsante Livello personalizzato.
  6. Nella sezione Esecuzione script dell'elenco Impostazioni, selezionare Esecuzione script attivo, quindi fare clic su Chiedi conferma  o Disattiva e su OK.
  7. Fare due volte clic su OK per tornare a Internet Explorer.

  Nota Se si disattiva Esecuzione script attivo nelle aree di protezione Internet e Intranet locale, alcuni siti Web potrebbero non funzionare nel modo corretto. Se si incontrano difficoltà nell'utilizzo di un sito Web dopo aver effettuato questa modifica e si è certi che il sito è sicuro, è possibile aggiungere il sito all'elenco Siti attendibili. In questo modo il sito funzionerà correttamente.

  Impatto della soluzione alternativa. La visualizzazione di una richiesta di conferma prima dell'esecuzione di script attivo può avere effetti collaterali. Numerosi siti Web su Internet o su una rete Intranet utilizzano script attivo per offrire funzionalità aggiuntive. Un sito di e-commerce o di online banking, ad esempio, può utilizzare script attivo per la visualizzazione dei menu, dei moduli d'ordine o degli estratti conto. La richiesta di conferma prima dell'esecuzione di script attivo è un'impostazione globale per tutti i siti Internet e Intranet. Se si utilizza questa soluzione alternativa, le richieste di conferma verranno visualizzate di frequente. A ogni richiesta di conferma, se si ritiene che il sito da visitare sia attendibile, fare clic su Sì per consentire l'esecuzione di script attivo. Se non si desidera che venga richiesta conferma per tutti i siti, utilizzare la procedura descritta in "Aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer".

  Aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer.

  Dopo l'impostazione della richiesta di conferma prima dell'esecuzione di controlli ActiveX e script attivo nelle aree Internet e Intranet locale, è possibile aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer. In questo modo è possibile continuare a utilizzare i siti Web attendibili nel modo abituale, proteggendo al tempo stesso il sistema da eventuali attacchi dai siti non attendibili. Si raccomanda di aggiungere all'area Siti attendibili solo i siti effettivamente ritenuti attendibili.

  A tale scopo, utilizzare la seguente procedura:

  1. In Internet Explorer, scegliere Opzioni Internet dal menu Strumenti e fare clic sulla scheda Protezione.
  2. Nella sezione Selezionare un'area di contenuto Web per specificare le relative impostazioni di protezione fare clic sull'icona Siti attendibili, quindi sul pulsante Siti.
  3. Se si desidera aggiungere siti che non richiedono un canale crittografato, fare clic per deselezionare la casella di controllo Richiedi verifica server (https:) per tutti i siti dell'area.
  4. Digitare nella casella Aggiungi il sito Web all'area l'URL del sito desiderato, quindi fare clic sul pulsante Aggiungi.
  5. Ripetere la procedura per ogni sito da aggiungere all'area.
  6. Fare due volte clic su OK per confermare le modifiche e tornare a Internet Explorer.

  Nota È possibile aggiungere qualsiasi sito che si ritiene non eseguirà operazioni dannose sul sistema. In particolare è utile aggiungere i due siti *.windowsupdate.microsoft.com e *.update.microsoft.com, ovvero i siti che ospiteranno l'aggiornamento per cui è richiesto l'utilizzo di un controllo ActiveX per l'installazione.

   

Qual è la portata o l'impatto di questa vulnerabilità? 
Si tratta di una vulnerabilità legata all'esecuzione di codice in modalità remota. Sfruttando questa vulnerabilità, un utente malintenzionato può ottenere gli stessi diritti utente dell'utente connesso. Pertanto, gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.

Quali sono le cause di questa vulnerabilità? 
Quando Internet Explorer tenta di accedere a un oggetto che non è stato inizializzato, potrebbe danneggiare la memoria in modo da consentire a un utente malintenzionato di eseguire codice non autorizzato nel contesto dell'utente connesso.

A quali attacchi viene esposto il sistema a causa di questa vulnerabilità? 
Sfruttando questa vulnerabilità, un utente malintenzionato può ottenere gli stessi diritti utente dell'utente connesso. Se l'utente è connesso con privilegi di amministrazione, un utente malintenzionato che sfrutti questa vulnerabilità può assumere il controllo completo del sistema interessato. Potrebbe quindi installare programmi e visualizzare, modificare o eliminare dati oppure creare nuovi account con diritti utente completi.

In quale modo un utente malintenzionato può sfruttare questa vulnerabilità? 
Un utente malintenzionato può pubblicare siti Web appositamente predisposti per sfruttare la vulnerabilità tramite Internet Explorer e quindi convincere un utente a visualizzarli e a eseguire alcune operazioni al loro interno. L'utente malintenzionato potrebbe inoltre servirsi di siti Web manomessi e di siti Web che accettano o pubblicano contenuti o annunci pubblicitari inviati da altri utenti. Questi siti Web possono includere contenuti appositamente predisposti in grado di sfruttare questa vulnerabilità. Tuttavia, in nessuno di questi casi un utente malintenzionato può obbligare gli utenti a visualizzare il contenuto controllato dall'utente malintenzionato. Un utente malintenzionato deve piuttosto convincere gli utenti a compiere un'azione, in genere facendo clic su un collegamento contenuto in un messaggio di posta elettronica o in un messaggio di Instant Messenger, che porta degli utenti al sito Web dell'utente malintenzionato oppure aprendo un allegato inviato mediante un messaggio di posta elettronica.

Quali sono i sistemi principalmente interessati da questa vulnerabilità? 
I sistemi maggiormente a rischio sono quelli in cui Internet Explorer viene utilizzato frequentemente, come le workstation o i server terminal.

Se si esegue Internet Explorer per Windows Server 2003, Windows Server 2008 o Windows Server 2008 R2, il problema ha una portata più limitata? 
Sì. Per impostazione predefinita, Internet Explorer in Windows Server 2003, Windows Server 2008 e Windows Server 2008 R2 viene eseguito in una modalità limitata denominata Protezione avanzata. La configurazione Protezione avanzata è costituita da un gruppo di impostazioni di Internet Explorer preconfigurate che riduce la probabilità che un utente o un amministratore scarichi ed esegua contenuto Web appositamente predisposto in un server. Questo è un fattore attenuante per i siti Web che non sono stati aggiunti all'area Siti attendibili di Internet Explorer.

Quali sono gli scopi dell'aggiornamento? 
L'aggiornamento risolve la vulnerabilità modificando il modo in cui Internet Explorer gestisce gli oggetti nella memoria.

Al momento del rilascio di questo bollettino le informazioni sulla vulnerabilità erano disponibili pubblicamente? 
No. Microsoft ha ricevuto informazioni sulla vulnerabilità grazie a un'indagine coordinata.

Al momento del rilascio di questo bollettino erano già stati segnalati attacchi basati sullo sfruttamento di questa vulnerabilità? 
No. Al momento della pubblicazione del presente bollettino, Microsoft non aveva ricevuto alcuna segnalazione in merito allo sfruttamento di questa vulnerabilità a scopo di attacco.

Per fattore attenuante si intende un'impostazione, una configurazione comune o una procedura consigliata generica esistente in uno stato predefinito in grado di ridurre la gravità nello sfruttamento di una vulnerabilità. I seguenti fattori attenuanti possono essere utili per l'utente:

• In uno scenario di attacco dal Web, un utente malintenzionato potrebbe pubblicare un sito Web predisposto per sfruttare tale vulnerabilità tramite Internet Explorer e convincere un utente a visualizzarlo. Inoltre, un utente malintenzionato può incorporare un controllo ActiveX contrassegnato come "sicuro per l'inizializzazione" in un'applicazione o in un documento Microsoft Office che ospita il motore di rendering di Internet Explorer. L'utente malintenzionato potrebbe inoltre servirsi di siti Web manomessi e di siti Web che accettano o pubblicano contenuti o annunci pubblicitari inviati da altri utenti. Questi siti Web possono includere contenuti appositamente predisposti in grado di sfruttare questa vulnerabilità. Tuttavia, in nessuno di questi casi un utente malintenzionato può obbligare gli utenti a visualizzare il contenuto controllato dall'utente malintenzionato. Un utente malintenzionato deve piuttosto convincere gli utenti a compiere un'azione, in genere facendo clic su un collegamento contenuto in un messaggio di posta elettronica o in un messaggio di Instant Messenger, che porta degli utenti al sito Web dell'utente malintenzionato oppure aprendo un allegato inviato mediante un messaggio di posta elettronica.
• Sfruttando questa vulnerabilità, un utente malintenzionato può ottenere gli stessi diritti utente dell'utente connesso. Pertanto, gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.
• Per impostazione predefinita, tutte le versioni supportate di Microsoft Outlook, Microsoft Outlook Express e Windows Mail aprono i messaggi di posta elettronica in formato HTML nell'area Siti con restrizioni, disattivando gli script e i controlli ActiveX ed eliminando in questo modo il rischio di sfruttamento di questa vulnerabilità da parte di un utente malintenzionato. Se si fa clic su un collegamento presente in un messaggio di posta elettronica, tale vulnerabilità può ancora sussistere con le modalità descritte nello scenario di attacco dal Web.
• Per impostazione predefinita, Internet Explorer in Windows Server 2003, Windows Server 2008 e Windows Server 2008 R2 viene eseguito in una modalità limitata denominata Protezione avanzata. Questa modalità consente di ridurre i rischi correlati a questa vulnerabilità. Vedere la sezione Domande frequenti relativa a questa vulnerabilità per ulteriori informazioni sulla Protezione avanzata di Internet Explorer.
• Internet Explorer 6, Internet Explorer 7 ed Internet Explorer 9 non sono interessati da questa vulnerabilità.

Per soluzione alternativa si intende un'impostazione o una modifica nella configurazione che non elimina la vulnerabilità sottostante, ma consente di bloccare gli attacchi noti prima di applicare l'aggiornamento. Microsoft ha verificato le seguenti soluzioni alternative e segnala nel corso della discussione se tali soluzioni riducono la funzionalità:

• Impostare il livello dell'area di protezione Internet e Intranet locale su "Alta" per bloccare i controlli ActiveX e script attivo in queste aree

  È possibile contribuire a una protezione più efficace del sistema dai rischi connessi a questa vulnerabilità, modificando le impostazioni relative all'area di protezione Internet in modo che i controlli ActiveX e lo script attivo vengano bloccati. Tale operazione può essere eseguita impostando la protezione del browser su Alta.

  Per alzare il livello di protezione del brower in Internet Explorer, attenersi alla seguente procedura:

  1. Dal menu Strumenti di Internet Explorer, scegliere Opzioni Internet.
  2. Nella finestra di dialogo Opzioni Internet, fare clic sulla scheda Protezione, quindi sull'icona Internet.
  3. In Livello di protezione per l'area, spostare il dispositivo di scorrimento su Alta. Il livello di protezione per tutti i siti Web visitati viene così impostato su Alta.

  Nota Se il dispositivo di scorrimento non è visibile, fare clic su Livello predefinito, quindi spostare il dispositivo di scorrimento su Alta.

  Nota Con l'impostazione della protezione su Alta, alcuni siti Web potrebbero non funzionare nel modo corretto. Se si incontrano difficoltà nell'utilizzo di un sito Web dopo aver effettuato questa modifica e si è certi che il sito è sicuro, è possibile aggiungere il sito all'elenco Siti attendibili. In questo modo il sito funzionerà correttamente anche quando la protezione è impostata su Alta.

  Impatto della soluzione alternativa. Il blocco dei controlli ActiveX e di script attivo può avere effetti collaterali. Numerosi siti Web su Internet o su una rete Intranet utilizzano ActiveX o script attivo per offrire funzionalità aggiuntive. Un sito di e-commerce o di online banking, ad esempio, può utilizzare controlli ActiveX per la visualizzazione dei menu, dei moduli d'ordine o degli estratti conto. Il blocco dei controlli ActiveX o script attivo è un'impostazione globale per tutti i siti Internet e Intranet. Se non si desidera che i controlli ActiveX o script attivo vengano bloccati in tali siti, utilizzare la procedura descritta in "Aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer".

  Aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer.

  Dopo l'impostazione della richiesta di blocco dei controlli ActiveX e dello script attivo nelle aree Internet e Intranet locale, è possibile aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer. In questo modo è possibile continuare a utilizzare i siti Web attendibili nel modo abituale, proteggendo al tempo stesso il sistema da eventuali attacchi dai siti non attendibili. Si raccomanda di aggiungere all'area Siti attendibili solo i siti effettivamente ritenuti attendibili.

  A tale scopo, utilizzare la seguente procedura:

  1. In Internet Explorer, scegliere Opzioni Internet dal menu Strumenti e fare clic sulla scheda Protezione.
  2. Nella sezione Selezionare un'area di contenuto Web per specificare le relative impostazioni di protezione fare clic sull'icona Siti attendibili, quindi sul pulsante Siti.
  3. Se si desidera aggiungere siti che non richiedono un canale crittografato, fare clic per deselezionare la casella di controllo Richiedi verifica server (https:) per tutti i siti dell'area.
  4. Digitare nella casella Aggiungi il sito Web all'area l'URL del sito desiderato, quindi fare clic sul pulsante Aggiungi.
  5. Ripetere la procedura per ogni sito da aggiungere all'area.
  6. Fare due volte clic su OK per confermare le modifiche e tornare a Internet Explorer.

  Nota È possibile aggiungere qualsiasi sito che si ritiene non eseguirà operazioni dannose sul sistema. In particolare è utile aggiungere i due siti *.windowsupdate.microsoft.com e *.update.microsoft.com, ovvero i siti che ospiteranno l'aggiornamento per cui è richiesto l'utilizzo di un controllo ActiveX per l'installazione.

   

• Configurare Internet Explorer in modo che venga richiesta conferma prima dell'esecuzione di script attivo oppure disattivare tali script nell'area di protezione Internet e Intranet locale

  È possibile contribuire a una protezione più efficace del sistema dai rischi connessi a questa vulnerabilità modificando le impostazioni in modo che venga richiesta conferma prima di eseguire script attivo o vengano disattivati tali script nell'area di protezione Internet e Intranet locale. A tale scopo, utilizzare la seguente procedura:

  1. In Internet Explorer, scegliere Opzioni Internet dal menu Strumenti.
  2. Selezionare la scheda Protezione.
  3. Selezionare Internet e fare clic sul pulsante Livello personalizzato.
  4. Nella sezione Esecuzione script dell'elenco Impostazioni, selezionare Esecuzione script attivo, quindi fare clic su Chiedi conferma  o Disattiva e su OK.
  5. Selezionare Intranet locale, quindi fare clic sul pulsante Livello personalizzato.
  6. Nella sezione Esecuzione script dell'elenco Impostazioni, selezionare Esecuzione script attivo, quindi fare clic su Chiedi conferma  o Disattiva e su OK.
  7. Fare due volte clic su OK per tornare a Internet Explorer.

  Nota Se si disattiva Esecuzione script attivo nelle aree di protezione Internet e Intranet locale, alcuni siti Web potrebbero non funzionare nel modo corretto. Se si incontrano difficoltà nell'utilizzo di un sito Web dopo aver effettuato questa modifica e si è certi che il sito è sicuro, è possibile aggiungere il sito all'elenco Siti attendibili. In questo modo il sito funzionerà correttamente.

  Impatto della soluzione alternativa. La visualizzazione di una richiesta di conferma prima dell'esecuzione di script attivo può avere effetti collaterali. Numerosi siti Web su Internet o su una rete Intranet utilizzano script attivo per offrire funzionalità aggiuntive. Un sito di e-commerce o di online banking, ad esempio, può utilizzare script attivo per la visualizzazione dei menu, dei moduli d'ordine o degli estratti conto. La richiesta di conferma prima dell'esecuzione di script attivo è un'impostazione globale per tutti i siti Internet e Intranet. Se si utilizza questa soluzione alternativa, le richieste di conferma verranno visualizzate di frequente. A ogni richiesta di conferma, se si ritiene che il sito da visitare sia attendibile, fare clic su Sì per consentire l'esecuzione di script attivo. Se non si desidera che venga richiesta conferma per tutti i siti, utilizzare la procedura descritta in "Aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer".

  Aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer.

  Dopo l'impostazione della richiesta di conferma prima dell'esecuzione di controlli ActiveX e script attivo nelle aree Internet e Intranet locale, è possibile aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer. In questo modo è possibile continuare a utilizzare i siti Web attendibili nel modo abituale, proteggendo al tempo stesso il sistema da eventuali attacchi dai siti non attendibili. Si raccomanda di aggiungere all'area Siti attendibili solo i siti effettivamente ritenuti attendibili.

  A tale scopo, utilizzare la seguente procedura:

  1. In Internet Explorer, scegliere Opzioni Internet dal menu Strumenti e fare clic sulla scheda Protezione.
  2. Nella sezione Selezionare un'area di contenuto Web per specificare le relative impostazioni di protezione fare clic sull'icona Siti attendibili, quindi sul pulsante Siti.
  3. Se si desidera aggiungere siti che non richiedono un canale crittografato, fare clic per deselezionare la casella di controllo Richiedi verifica server (https:) per tutti i siti dell'area.
  4. Digitare nella casella Aggiungi il sito Web all'area l'URL del sito desiderato, quindi fare clic sul pulsante Aggiungi.
  5. Ripetere la procedura per ogni sito da aggiungere all'area.
  6. Fare due volte clic su OK per confermare le modifiche e tornare a Internet Explorer.

  Nota È possibile aggiungere qualsiasi sito che si ritiene non eseguirà operazioni dannose sul sistema. In particolare è utile aggiungere i due siti *.windowsupdate.microsoft.com e *.update.microsoft.com, ovvero i siti che ospiteranno l'aggiornamento per cui è richiesto l'utilizzo di un controllo ActiveX per l'installazione.

   

Qual è la portata o l'impatto di questa vulnerabilità? 
Si tratta di una vulnerabilità legata all'esecuzione di codice in modalità remota. Sfruttando questa vulnerabilità, un utente malintenzionato può ottenere gli stessi diritti utente dell'utente connesso. Pertanto, gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.

Quali sono le cause di questa vulnerabilità? 
Quando Internet Explorer tenta di accedere a un indirizzo di memoria privo di riferimenti, può corrompere la memoria in modo tale da permettere ad un utente malintenzionato di eseguire il codice arbitrario nel contesto dell'utente connesso.

A quali attacchi viene esposto il sistema a causa di questa vulnerabilità? 
Sfruttando questa vulnerabilità, un utente malintenzionato può ottenere gli stessi diritti utente dell'utente connesso. Se l'utente è connesso con privilegi di amministrazione, un utente malintenzionato che sfrutti questa vulnerabilità può assumere il controllo completo del sistema interessato. Potrebbe quindi installare programmi e visualizzare, modificare o eliminare dati oppure creare nuovi account con diritti utente completi.

In quale modo un utente malintenzionato può sfruttare questa vulnerabilità? 
Un utente malintenzionato potrebbe pubblicare siti Web appositamente predisposti per sfruttare la vulnerabilità tramite Internet Explorer e quindi convincere un utente a visualizzarli. Inoltre, un utente malintenzionato può incorporare un controllo ActiveX contrassegnato come "sicuro per l'inizializzazione" in un'applicazione o in un documento Microsoft Office che ospita il motore di rendering di Internet Explorer. L'utente malintenzionato potrebbe inoltre servirsi di siti Web manomessi e di siti Web che accettano o pubblicano contenuti o annunci pubblicitari inviati da altri utenti. Questi siti Web possono includere contenuti appositamente predisposti in grado di sfruttare questa vulnerabilità. Tuttavia, in nessuno di questi casi un utente malintenzionato può obbligare gli utenti a visualizzare il contenuto controllato dall'utente malintenzionato. Un utente malintenzionato deve piuttosto convincere gli utenti a compiere un'azione, in genere facendo clic su un collegamento contenuto in un messaggio di posta elettronica o in un messaggio di Instant Messenger, che porta degli utenti al sito Web dell'utente malintenzionato oppure aprendo un allegato inviato mediante un messaggio di posta elettronica.

Quali sono i sistemi principalmente interessati da questa vulnerabilità? 
I sistemi maggiormente a rischio sono quelli in cui Internet Explorer viene utilizzato frequentemente, come le workstation o i server terminal.

Se si esegue Internet Explorer per Windows Server 2003, Windows Server 2008 o Windows Server 2008 R2, il problema ha una portata più limitata? 
Sì. Per impostazione predefinita, Internet Explorer in Windows Server 2003, Windows Server 2008 e Windows Server 2008 R2 viene eseguito in una modalità limitata denominata Protezione avanzata. La configurazione Protezione avanzata è costituita da un gruppo di impostazioni di Internet Explorer preconfigurate che riduce la probabilità che un utente o un amministratore scarichi ed esegua contenuto Web appositamente predisposto in un server. Questo è un fattore attenuante per i siti Web che non sono stati aggiunti all'area Siti attendibili di Internet Explorer.

Quali sono gli scopi dell'aggiornamento? 
L'aggiornamento risolve la vulnerabilità modificando il modo in cui Internet Explorer assegna la memoria e accede ad essa.

Al momento del rilascio di questo bollettino le informazioni sulla vulnerabilità erano disponibili pubblicamente? 
No. Microsoft ha ricevuto informazioni sulla vulnerabilità grazie a un'indagine coordinata.

Al momento del rilascio di questo bollettino erano già stati segnalati attacchi basati sullo sfruttamento di questa vulnerabilità? 
No. Al momento della pubblicazione del presente bollettino, Microsoft non aveva ricevuto alcuna segnalazione in merito allo sfruttamento di questa vulnerabilità a scopo di attacco.

Per fattore attenuante si intende un'impostazione, una configurazione comune o una procedura consigliata generica esistente in uno stato predefinito in grado di ridurre la gravità nello sfruttamento di una vulnerabilità. I seguenti fattori attenuanti possono essere utili per l'utente:

• In uno scenario di attacco dal Web, un utente malintenzionato potrebbe pubblicare un sito Web predisposto per sfruttare tale vulnerabilità tramite Internet Explorer e convincere un utente a visualizzarlo. Inoltre, un utente malintenzionato può incorporare un controllo ActiveX contrassegnato come "sicuro per l'inizializzazione" in un'applicazione o in un documento Microsoft Office che ospita il motore di rendering di Internet Explorer. L'utente malintenzionato potrebbe inoltre servirsi di siti Web manomessi e di siti Web che accettano o pubblicano contenuti o annunci pubblicitari inviati da altri utenti. Questi siti Web possono includere contenuti appositamente predisposti in grado di sfruttare questa vulnerabilità. Tuttavia, in nessuno di questi casi un utente malintenzionato può obbligare gli utenti a visualizzare il contenuto controllato dall'utente malintenzionato. Un utente malintenzionato deve piuttosto convincere gli utenti a compiere un'azione, in genere facendo clic su un collegamento contenuto in un messaggio di posta elettronica o in un messaggio di Instant Messenger, che porta degli utenti al sito Web dell'utente malintenzionato oppure aprendo un allegato inviato mediante un messaggio di posta elettronica.
• Sfruttando questa vulnerabilità, un utente malintenzionato può ottenere gli stessi diritti utente dell'utente connesso. Pertanto, gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.
• Per impostazione predefinita, tutte le versioni supportate di Microsoft Outlook, Microsoft Outlook Express e Windows Mail aprono i messaggi di posta elettronica in formato HTML nell'area Siti con restrizioni, disattivando gli script e i controlli ActiveX ed eliminando in questo modo il rischio di sfruttamento di questa vulnerabilità da parte di un utente malintenzionato. Se si fa clic su un collegamento presente in un messaggio di posta elettronica, tale vulnerabilità può ancora sussistere con le modalità descritte nello scenario di attacco dal Web.
• Per impostazione predefinita, Internet Explorer in Windows Server 2003, Windows Server 2008 e Windows Server 2008 R2 viene eseguito in una modalità limitata denominata Protezione avanzata. Questa modalità consente di ridurre i rischi correlati a questa vulnerabilità. Vedere la sezione Domande frequenti relativa a questa vulnerabilità per ulteriori informazioni sulla Protezione avanzata di Internet Explorer.

Per soluzione alternativa si intende un'impostazione o una modifica nella configurazione che non elimina la vulnerabilità sottostante, ma consente di bloccare gli attacchi noti prima di applicare l'aggiornamento. Microsoft ha verificato le seguenti soluzioni alternative e segnala nel corso della discussione se tali soluzioni riducono la funzionalità:

• Impostare il livello dell'area di protezione Internet e Intranet locale su "Alta" per bloccare i controlli ActiveX e script attivo in queste aree

  È possibile contribuire a una protezione più efficace del sistema dai rischi connessi a questa vulnerabilità, modificando le impostazioni relative all'area di protezione Internet in modo che i controlli ActiveX e lo script attivo vengano bloccati. Tale operazione può essere eseguita impostando la protezione del browser su Alta.

  Per alzare il livello di protezione del brower in Internet Explorer, attenersi alla seguente procedura:

  1. Dal menu Strumenti di Internet Explorer, scegliere Opzioni Internet.
  2. Nella finestra di dialogo Opzioni Internet, fare clic sulla scheda Protezione, quindi sull'icona Internet.
  3. In Livello di protezione per l'area, spostare il dispositivo di scorrimento su Alta. Il livello di protezione per tutti i siti Web visitati viene così impostato su Alta.

  Nota Se il dispositivo di scorrimento non è visibile, fare clic su Livello predefinito, quindi spostare il dispositivo di scorrimento su Alta.

  Nota Con l'impostazione della protezione su Alta, alcuni siti Web potrebbero non funzionare nel modo corretto. Se si incontrano difficoltà nell'utilizzo di un sito Web dopo aver effettuato questa modifica e si è certi che il sito è sicuro, è possibile aggiungere il sito all'elenco Siti attendibili. In questo modo il sito funzionerà correttamente anche quando la protezione è impostata su Alta.

  Impatto della soluzione alternativa. Il blocco dei controlli ActiveX e di script attivo può avere effetti collaterali. Numerosi siti Web su Internet o su una rete Intranet utilizzano ActiveX o script attivo per offrire funzionalità aggiuntive. Un sito di e-commerce o di online banking, ad esempio, può utilizzare controlli ActiveX per la visualizzazione dei menu, dei moduli d'ordine o degli estratti conto. Il blocco dei controlli ActiveX o script attivo è un'impostazione globale per tutti i siti Internet e Intranet. Se non si desidera che i controlli ActiveX o script attivo vengano bloccati in tali siti, utilizzare la procedura descritta in "Aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer".

  Aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer.

  Dopo l'impostazione della richiesta di blocco dei controlli ActiveX e dello script attivo nelle aree Internet e Intranet locale, è possibile aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer. In questo modo è possibile continuare a utilizzare i siti Web attendibili nel modo abituale, proteggendo al tempo stesso il sistema da eventuali attacchi dai siti non attendibili. Si raccomanda di aggiungere all'area Siti attendibili solo i siti effettivamente ritenuti attendibili.

  A tale scopo, utilizzare la seguente procedura:

  1. In Internet Explorer, scegliere Opzioni Internet dal menu Strumenti e fare clic sulla scheda Protezione.
  2. Nella sezione Selezionare un'area di contenuto Web per specificare le relative impostazioni di protezione fare clic sull'icona Siti attendibili, quindi sul pulsante Siti.
  3. Se si desidera aggiungere siti che non richiedono un canale crittografato, fare clic per deselezionare la casella di controllo Richiedi verifica server (https:) per tutti i siti dell'area.
  4. Digitare nella casella Aggiungi il sito Web all'area l'URL del sito desiderato, quindi fare clic sul pulsante Aggiungi.
  5. Ripetere la procedura per ogni sito da aggiungere all'area.
  6. Fare due volte clic su OK per confermare le modifiche e tornare a Internet Explorer.

  Nota È possibile aggiungere qualsiasi sito che si ritiene non eseguirà operazioni dannose sul sistema. In particolare è utile aggiungere i due siti *.windowsupdate.microsoft.com e *.update.microsoft.com, ovvero i siti che ospiteranno l'aggiornamento per cui è richiesto l'utilizzo di un controllo ActiveX per l'installazione.

   

• Configurare Internet Explorer in modo che venga richiesta conferma prima dell'esecuzione di script attivo oppure disattivare tali script nell'area di protezione Internet e Intranet locale

  È possibile contribuire a una protezione più efficace del sistema dai rischi connessi a questa vulnerabilità modificando le impostazioni in modo che venga richiesta conferma prima di eseguire script attivo o vengano disattivati tali script nell'area di protezione Internet e Intranet locale. A tale scopo, utilizzare la seguente procedura:

  1. In Internet Explorer, scegliere Opzioni Internet dal menu Strumenti.
  2. Selezionare la scheda Protezione.
  3. Selezionare Internet e fare clic sul pulsante Livello personalizzato.
  4. Nella sezione Esecuzione script dell'elenco Impostazioni, selezionare Esecuzione script attivo, quindi fare clic su Chiedi conferma  o Disattiva e su OK.
  5. Selezionare Intranet locale, quindi fare clic sul pulsante Livello personalizzato.
  6. Nella sezione Esecuzione script dell'elenco Impostazioni, selezionare Esecuzione script attivo, quindi fare clic su Chiedi conferma  o Disattiva e su OK.
  7. Fare due volte clic su OK per tornare a Internet Explorer.

  Nota Se si disattiva Esecuzione script attivo nelle aree di protezione Internet e Intranet locale, alcuni siti Web potrebbero non funzionare nel modo corretto. Se si incontrano difficoltà nell'utilizzo di un sito Web dopo aver effettuato questa modifica e si è certi che il sito è sicuro, è possibile aggiungere il sito all'elenco Siti attendibili. In questo modo il sito funzionerà correttamente.

  Impatto della soluzione alternativa. La visualizzazione di una richiesta di conferma prima dell'esecuzione di script attivo può avere effetti collaterali. Numerosi siti Web su Internet o su una rete Intranet utilizzano script attivo per offrire funzionalità aggiuntive. Un sito di e-commerce o di online banking, ad esempio, può utilizzare script attivo per la visualizzazione dei menu, dei moduli d'ordine o degli estratti conto. La richiesta di conferma prima dell'esecuzione di script attivo è un'impostazione globale per tutti i siti Internet e Intranet. Se si utilizza questa soluzione alternativa, le richieste di conferma verranno visualizzate di frequente. A ogni richiesta di conferma, se si ritiene che il sito da visitare sia attendibile, fare clic su Sì per consentire l'esecuzione di script attivo. Se non si desidera che venga richiesta conferma per tutti i siti, utilizzare la procedura descritta in "Aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer".

  Aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer.

  Dopo l'impostazione della richiesta di conferma prima dell'esecuzione di controlli ActiveX e script attivo nelle aree Internet e Intranet locale, è possibile aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer. In questo modo è possibile continuare a utilizzare i siti Web attendibili nel modo abituale, proteggendo al tempo stesso il sistema da eventuali attacchi dai siti non attendibili. Si raccomanda di aggiungere all'area Siti attendibili solo i siti effettivamente ritenuti attendibili.

  A tale scopo, utilizzare la seguente procedura:

  1. In Internet Explorer, scegliere Opzioni Internet dal menu Strumenti e fare clic sulla scheda Protezione.
  2. Nella sezione Selezionare un'area di contenuto Web per specificare le relative impostazioni di protezione fare clic sull'icona Siti attendibili, quindi sul pulsante Siti.
  3. Se si desidera aggiungere siti che non richiedono un canale crittografato, fare clic per deselezionare la casella di controllo Richiedi verifica server (https:) per tutti i siti dell'area.
  4. Digitare nella casella Aggiungi il sito Web all'area l'URL del sito desiderato, quindi fare clic sul pulsante Aggiungi.
  5. Ripetere la procedura per ogni sito da aggiungere all'area.
  6. Fare due volte clic su OK per confermare le modifiche e tornare a Internet Explorer.

  Nota È possibile aggiungere qualsiasi sito che si ritiene non eseguirà operazioni dannose sul sistema. In particolare è utile aggiungere i due siti *.windowsupdate.microsoft.com e *.update.microsoft.com, ovvero i siti che ospiteranno l'aggiornamento per cui è richiesto l'utilizzo di un controllo ActiveX per l'installazione.

   

Qual è la portata o l'impatto di questa vulnerabilità? 
Si tratta di una vulnerabilità legata all'esecuzione di codice in modalità remota. Sfruttando questa vulnerabilità, un utente malintenzionato può ottenere gli stessi diritti utente dell'utente connesso. Pertanto, gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.

Quali sono le cause di questa vulnerabilità? 
Quando Internet Explorer tenta di accedere a un oggetto che è stato eliminato, potrebbe danneggiare la memoria in modo da consentire a un utente malintenzionato di eseguire codice non autorizzato nel contesto dell'utente connesso.

A quali attacchi viene esposto il sistema a causa di questa vulnerabilità? 
Sfruttando questa vulnerabilità, un utente malintenzionato può ottenere gli stessi diritti utente dell'utente connesso. Se l'utente è connesso con privilegi di amministrazione, un utente malintenzionato che sfrutti questa vulnerabilità può assumere il controllo completo del sistema interessato. Potrebbe quindi installare programmi e visualizzare, modificare o eliminare dati oppure creare nuovi account con diritti utente completi.

In quale modo un utente malintenzionato può sfruttare questa vulnerabilità? 
Un utente malintenzionato potrebbe pubblicare siti Web appositamente predisposti per sfruttare la vulnerabilità tramite Internet Explorer e quindi convincere un utente a visualizzarli. Inoltre, un utente malintenzionato può incorporare un controllo ActiveX contrassegnato come "sicuro per l'inizializzazione" in un'applicazione o in un documento Microsoft Office che ospita il motore di rendering di Internet Explorer. L'utente malintenzionato potrebbe inoltre servirsi di siti Web manomessi e di siti Web che accettano o pubblicano contenuti o annunci pubblicitari inviati da altri utenti. Questi siti Web possono includere contenuti appositamente predisposti in grado di sfruttare questa vulnerabilità. Tuttavia, in nessuno di questi casi un utente malintenzionato può obbligare gli utenti a visualizzare il contenuto controllato dall'utente malintenzionato. Un utente malintenzionato deve piuttosto convincere gli utenti a compiere un'azione, in genere facendo clic su un collegamento contenuto in un messaggio di posta elettronica o in un messaggio di Instant Messenger, che porta degli utenti al sito Web dell'utente malintenzionato oppure aprendo un allegato inviato mediante un messaggio di posta elettronica.

Quali sono i sistemi principalmente interessati da questa vulnerabilità? 
I sistemi maggiormente a rischio sono quelli in cui Internet Explorer viene utilizzato frequentemente, come le workstation o i server terminal.

Se si esegue Internet Explorer per Windows Server 2003, Windows Server 2008 o Windows Server 2008 R2, il problema ha una portata più limitata? 
Sì. Per impostazione predefinita, Internet Explorer in Windows Server 2003, Windows Server 2008 e Windows Server 2008 R2 viene eseguito in una modalità limitata denominata Protezione avanzata. La configurazione Protezione avanzata è costituita da un gruppo di impostazioni di Internet Explorer preconfigurate che riduce la probabilità che un utente o un amministratore scarichi ed esegua contenuto Web appositamente predisposto in un server. Questo è un fattore attenuante per i siti Web che non sono stati aggiunti all'area Siti attendibili di Internet Explorer.

Quali sono gli scopi dell'aggiornamento? 
L'aggiornamento risolve la vulnerabilità modificando il modo in cui Internet Explorer gestisce gli oggetti nella memoria.

Al momento del rilascio di questo bollettino le informazioni sulla vulnerabilità erano disponibili pubblicamente? 
No. Microsoft ha ricevuto informazioni sulla vulnerabilità grazie a un'indagine coordinata.

Al momento del rilascio di questo bollettino erano già stati segnalati attacchi basati sullo sfruttamento di questa vulnerabilità? 
No. Al momento della pubblicazione del presente bollettino, Microsoft non aveva ricevuto alcuna segnalazione in merito allo sfruttamento di questa vulnerabilità a scopo di attacco.

Per fattore attenuante si intende un'impostazione, una configurazione comune o una procedura consigliata generica esistente in uno stato predefinito in grado di ridurre la gravità nello sfruttamento di una vulnerabilità. I seguenti fattori attenuanti possono essere utili per l'utente:

• Un utente malintenzionato potrebbe pubblicare siti Web appositamente predisposti per sfruttare la vulnerabilità tramite Internet Explorer e quindi convincere un utente a visualizzarli. Inoltre, un utente malintenzionato può incorporare un controllo ActiveX contrassegnato come "sicuro per l'inizializzazione" in un'applicazione o in un documento Microsoft Office che ospita il motore di rendering di Internet Explorer. L'utente malintenzionato potrebbe inoltre servirsi di siti Web manomessi e di siti Web che accettano o pubblicano contenuti o annunci pubblicitari inviati da altri utenti. Questi siti Web possono includere contenuti appositamente predisposti in grado di sfruttare questa vulnerabilità. Tuttavia, in nessuno di questi casi un utente malintenzionato può obbligare gli utenti a visualizzare il contenuto controllato dall'utente malintenzionato. Un utente malintenzionato deve piuttosto convincere gli utenti a compiere un'azione, in genere facendo clic su un collegamento contenuto in un messaggio di posta elettronica o in un messaggio di Instant Messenger, che porta degli utenti al sito Web dell'utente malintenzionato oppure aprendo un allegato inviato mediante un messaggio di posta elettronica.
• Sfruttando questa vulnerabilità, un utente malintenzionato può ottenere gli stessi diritti utente dell'utente connesso. Pertanto, gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.
• Per impostazione predefinita, tutte le versioni supportate di Microsoft Outlook, Microsoft Outlook Express e Windows Mail aprono i messaggi di posta elettronica in formato HTML nell'area Siti con restrizioni, disattivando gli script e i controlli ActiveX ed eliminando in questo modo il rischio di sfruttamento di questa vulnerabilità da parte di un utente malintenzionato. Se si fa clic su un collegamento presente in un messaggio di posta elettronica, tale vulnerabilità può ancora sussistere con le modalità descritte nello scenario di attacco dal Web.
• Per impostazione predefinita, Internet Explorer in Windows Server 2003, Windows Server 2008 e Windows Server 2008 R2 viene eseguito in una modalità limitata denominata Protezione avanzata. Questa modalità consente di ridurre i rischi correlati a questa vulnerabilità. Vedere la sezione Domande frequenti relativa a questa vulnerabilità per ulteriori informazioni sulla Protezione avanzata di Internet Explorer.

Per soluzione alternativa si intende un'impostazione o una modifica nella configurazione che non elimina la vulnerabilità sottostante, ma consente di bloccare gli attacchi noti prima di applicare l'aggiornamento. Microsoft ha verificato le seguenti soluzioni alternative e segnala nel corso della discussione se tali soluzioni riducono la funzionalità:

• Impostare il livello dell'area di protezione Internet e Intranet locale su "Alta" per bloccare i controlli ActiveX e script attivo in queste aree

  È possibile contribuire a una protezione più efficace del sistema dai rischi connessi a questa vulnerabilità, modificando le impostazioni relative all'area di protezione Internet in modo che i controlli ActiveX e lo script attivo vengano bloccati. Tale operazione può essere eseguita impostando la protezione del browser su Alta.

  Per alzare il livello di protezione del brower in Internet Explorer, attenersi alla seguente procedura:

  1. Dal menu Strumenti di Internet Explorer, scegliere Opzioni Internet.
  2. Nella finestra di dialogo Opzioni Internet, fare clic sulla scheda Protezione, quindi sull'icona Internet.
  3. In Livello di protezione per l'area, spostare il dispositivo di scorrimento su Alta. Il livello di protezione per tutti i siti Web visitati viene così impostato su Alta.

  Nota Se il dispositivo di scorrimento non è visibile, fare clic su Livello predefinito, quindi spostare il dispositivo di scorrimento su Alta.

  Nota Con l'impostazione della protezione su Alta, alcuni siti Web potrebbero non funzionare nel modo corretto. Se si incontrano difficoltà nell'utilizzo di un sito Web dopo aver effettuato questa modifica e si è certi che il sito è sicuro, è possibile aggiungere il sito all'elenco Siti attendibili. In questo modo il sito funzionerà correttamente anche quando la protezione è impostata su Alta.

  Impatto della soluzione alternativa. Il blocco dei controlli ActiveX e di script attivo può avere effetti collaterali. Numerosi siti Web su Internet o su una rete Intranet utilizzano ActiveX o script attivo per offrire funzionalità aggiuntive. Un sito di e-commerce o di online banking, ad esempio, può utilizzare controlli ActiveX per la visualizzazione dei menu, dei moduli d'ordine o degli estratti conto. Il blocco dei controlli ActiveX o script attivo è un'impostazione globale per tutti i siti Internet e Intranet. Se non si desidera che i controlli ActiveX o script attivo vengano bloccati in tali siti, utilizzare la procedura descritta in "Aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer".

  Aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer.

  Dopo l'impostazione della richiesta di blocco dei controlli ActiveX e dello script attivo nelle aree Internet e Intranet locale, è possibile aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer. In questo modo è possibile continuare a utilizzare i siti Web attendibili nel modo abituale, proteggendo al tempo stesso il sistema da eventuali attacchi dai siti non attendibili. Si raccomanda di aggiungere all'area Siti attendibili solo i siti effettivamente ritenuti attendibili.

  A tale scopo, utilizzare la seguente procedura:

  1. In Internet Explorer, scegliere Opzioni Internet dal menu Strumenti e fare clic sulla scheda Protezione.
  2. Nella sezione Selezionare un'area di contenuto Web per specificare le relative impostazioni di protezione fare clic sull'icona Siti attendibili, quindi sul pulsante Siti.
  3. Se si desidera aggiungere siti che non richiedono un canale crittografato, fare clic per deselezionare la casella di controllo Richiedi verifica server (https:) per tutti i siti dell'area.
  4. Digitare nella casella Aggiungi il sito Web all'area l'URL del sito desiderato, quindi fare clic sul pulsante Aggiungi.
  5. Ripetere la procedura per ogni sito da aggiungere all'area.
  6. Fare due volte clic su OK per confermare le modifiche e tornare a Internet Explorer.

  Nota È possibile aggiungere qualsiasi sito che si ritiene non eseguirà operazioni dannose sul sistema. In particolare è utile aggiungere i due siti *.windowsupdate.microsoft.com e *.update.microsoft.com, ovvero i siti che ospiteranno l'aggiornamento per cui è richiesto l'utilizzo di un controllo ActiveX per l'installazione.

   

• Configurare Internet Explorer in modo che venga richiesta conferma prima dell'esecuzione di script attivo oppure disattivare tali script nell'area di protezione Internet e Intranet locale

  È possibile contribuire a una protezione più efficace del sistema dai rischi connessi a questa vulnerabilità modificando le impostazioni in modo che venga richiesta conferma prima di eseguire script attivo o vengano disattivati tali script nell'area di protezione Internet e Intranet locale. A tale scopo, utilizzare la seguente procedura:

  1. In Internet Explorer, scegliere Opzioni Internet dal menu Strumenti.
  2. Selezionare la scheda Protezione.
  3. Selezionare Internet e fare clic sul pulsante Livello personalizzato.
  4. Nella sezione Esecuzione script dell'elenco Impostazioni, selezionare Esecuzione script attivo, quindi fare clic su Chiedi conferma  o Disattiva e su OK.
  5. Selezionare Intranet locale, quindi fare clic sul pulsante Livello personalizzato.
  6. Nella sezione Esecuzione script dell'elenco Impostazioni, selezionare Esecuzione script attivo, quindi fare clic su Chiedi conferma  o Disattiva e su OK.
  7. Fare due volte clic su OK per tornare a Internet Explorer.

  Nota Se si disattiva Esecuzione script attivo nelle aree di protezione Internet e Intranet locale, alcuni siti Web potrebbero non funzionare nel modo corretto. Se si incontrano difficoltà nell'utilizzo di un sito Web dopo aver effettuato questa modifica e si è certi che il sito è sicuro, è possibile aggiungere il sito all'elenco Siti attendibili. In questo modo il sito funzionerà correttamente.

  Impatto della soluzione alternativa. La visualizzazione di una richiesta di conferma prima dell'esecuzione di script attivo può avere effetti collaterali. Numerosi siti Web su Internet o su una rete Intranet utilizzano script attivo per offrire funzionalità aggiuntive. Un sito di e-commerce o di online banking, ad esempio, può utilizzare script attivo per la visualizzazione dei menu, dei moduli d'ordine o degli estratti conto. La richiesta di conferma prima dell'esecuzione di script attivo è un'impostazione globale per tutti i siti Internet e Intranet. Se si utilizza questa soluzione alternativa, le richieste di conferma verranno visualizzate di frequente. A ogni richiesta di conferma, se si ritiene che il sito da visitare sia attendibile, fare clic su Sì per consentire l'esecuzione di script attivo. Se non si desidera che venga richiesta conferma per tutti i siti, utilizzare la procedura descritta in "Aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer".

  Aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer.

  Dopo l'impostazione della richiesta di conferma prima dell'esecuzione di controlli ActiveX e script attivo nelle aree Internet e Intranet locale, è possibile aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer. In questo modo è possibile continuare a utilizzare i siti Web attendibili nel modo abituale, proteggendo al tempo stesso il sistema da eventuali attacchi dai siti non attendibili. Si raccomanda di aggiungere all'area Siti attendibili solo i siti effettivamente ritenuti attendibili.

  A tale scopo, utilizzare la seguente procedura:

  1. In Internet Explorer, scegliere Opzioni Internet dal menu Strumenti e fare clic sulla scheda Protezione.
  2. Nella sezione Selezionare un'area di contenuto Web per specificare le relative impostazioni di protezione fare clic sull'icona Siti attendibili, quindi sul pulsante Siti.
  3. Se si desidera aggiungere siti che non richiedono un canale crittografato, fare clic per deselezionare la casella di controllo Richiedi verifica server (https:) per tutti i siti dell'area.
  4. Digitare nella casella Aggiungi il sito Web all'area l'URL del sito desiderato, quindi fare clic sul pulsante Aggiungi.
  5. Ripetere la procedura per ogni sito da aggiungere all'area.
  6. Fare due volte clic su OK per confermare le modifiche e tornare a Internet Explorer.

  Nota È possibile aggiungere qualsiasi sito che si ritiene non eseguirà operazioni dannose sul sistema. In particolare è utile aggiungere i due siti *.windowsupdate.microsoft.com e *.update.microsoft.com, ovvero i siti che ospiteranno l'aggiornamento per cui è richiesto l'utilizzo di un controllo ActiveX per l'installazione.

Qual è la portata o l'impatto di questa vulnerabilità? 
Si tratta di una vulnerabilità legata all'esecuzione di codice in modalità remota. Sfruttando questa vulnerabilità, un utente malintenzionato può ottenere gli stessi diritti utente dell'utente connesso. Pertanto, gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.

Quali sono le cause di questa vulnerabilità? 
Quando Internet Explorer tenta di accedere a una tabella di funzioni virtuali corrotta, può permettere ad un utente malintenzionato di eseguire il codice arbitrario nel contesto dell'utente connesso.

A quali attacchi viene esposto il sistema a causa di questa vulnerabilità? 
Sfruttando questa vulnerabilità, un utente malintenzionato può ottenere gli stessi diritti utente dell'utente connesso. Se l'utente è connesso con privilegi di amministrazione, un utente malintenzionato che sfrutti questa vulnerabilità può assumere il controllo completo del sistema interessato. Potrebbe quindi installare programmi e visualizzare, modificare o eliminare dati oppure creare nuovi account con diritti utente completi.

In quale modo un utente malintenzionato può sfruttare questa vulnerabilità? 
Un utente malintenzionato potrebbe pubblicare siti Web appositamente predisposti per sfruttare la vulnerabilità tramite Internet Explorer e quindi convincere un utente a visualizzarli. Inoltre, un utente malintenzionato può incorporare un controllo ActiveX contrassegnato come "sicuro per l'inizializzazione" in un'applicazione o in un documento Microsoft Office che ospita il motore di rendering di Internet Explorer. L'utente malintenzionato potrebbe inoltre servirsi di siti Web manomessi e di siti Web che accettano o pubblicano contenuti o annunci pubblicitari inviati da altri utenti. Questi siti Web possono includere contenuti appositamente predisposti in grado di sfruttare questa vulnerabilità. Tuttavia, in nessuno di questi casi un utente malintenzionato può obbligare gli utenti a visualizzare il contenuto controllato dall'utente malintenzionato. Un utente malintenzionato deve piuttosto convincere gli utenti a compiere un'azione, in genere facendo clic su un collegamento contenuto in un messaggio di posta elettronica o in un messaggio di Instant Messenger, che porta degli utenti al sito Web dell'utente malintenzionato oppure aprendo un allegato inviato mediante un messaggio di posta elettronica.

Quali sono i sistemi principalmente interessati da questa vulnerabilità? 
I sistemi maggiormente a rischio sono quelli in cui Internet Explorer viene utilizzato frequentemente, come le workstation o i server terminal.

Se si esegue Internet Explorer per Windows Server 2003, Windows Server 2008 o Windows Server 2008 R2, il problema ha una portata più limitata? 
Sì. Per impostazione predefinita, Internet Explorer in Windows Server 2003, Windows Server 2008 e Windows Server 2008 R2 viene eseguito in una modalità limitata denominata Protezione avanzata. La configurazione Protezione avanzata è costituita da un gruppo di impostazioni di Internet Explorer preconfigurate che riduce la probabilità che un utente o un amministratore scarichi ed esegua contenuto Web appositamente predisposto in un server. Questo è un fattore attenuante per i siti Web che non sono stati aggiunti all'area Siti attendibili di Internet Explorer.

Quali sono gli scopi dell'aggiornamento? 
L'aggiornamento risolve la vulnerabilità modificando il modo in cui Internet Explorer gestisce gli oggetti nella memoria.

Al momento del rilascio di questo bollettino le informazioni sulla vulnerabilità erano disponibili pubblicamente? 
No. Microsoft ha ricevuto informazioni sulla vulnerabilità grazie a un'indagine coordinata.

Al momento del rilascio di questo bollettino erano già stati segnalati attacchi basati sullo sfruttamento di questa vulnerabilità? 
No. Al momento della pubblicazione del presente bollettino, Microsoft non aveva ricevuto alcuna segnalazione in merito allo sfruttamento di questa vulnerabilità a scopo di attacco.

Tabella di riferimento

La seguente tabella contiene le informazioni relative all'aggiornamento per la protezione per questo software. Per ulteriori informazioni, consultare la sottosezione Informazioni per la distribuzione di questa sezione.

Nota L'aggiornamento per le versioni supportate di Windows XP Professional x64 Edition si applica anche alle versioni supportate di Windows Server 2003 x64 Edition.

Tabella di riferimento

La seguente tabella contiene le informazioni relative all'aggiornamento per la protezione per questo software. Per ulteriori informazioni, consultare la sottosezione Informazioni per la distribuzione di questa sezione.

Nota L'aggiornamento per le versioni supportate di Windows Server 2003 x64 Edition si applica anche alle versioni supportate di Windows XP Professional x64 Edition.

Tabella di riferimento

La seguente tabella contiene le informazioni relative all'aggiornamento per la protezione per questo software. Per ulteriori informazioni, consultare la sottosezione Informazioni per la distribuzione di questa sezione.

Tabella di riferimento

La seguente tabella contiene le informazioni relative all'aggiornamento per la protezione per questo software. Per ulteriori informazioni, consultare la sottosezione Informazioni per la distribuzione di questa sezione.

Tabella di riferimento

La seguente tabella contiene le informazioni relative all'aggiornamento per la protezione per questo software. Per ulteriori informazioni, consultare la sottosezione Informazioni per la distribuzione di questa sezione.

Tabella di riferimento

La seguente tabella contiene le informazioni relative all'aggiornamento per la protezione per questo software. Per ulteriori informazioni, consultare la sottosezione Informazioni per la distribuzione di questa sezione.