Bollettino Microsoft sulla sicurezza MS13-004 - Importante

Microsoft non ha individuato alcun fattore attenuante per questa vulnerabilità.

Microsoft non ha individuato alcuna soluzione alternativa per questa vulnerabilità.

Qual è la portata o l'impatto di questa vulnerabilità? 
Questa vulnerabilità riguarda l'intercettazione di informazioni personali.

Quali sono le cause di questa vulnerabilità? 
La vulnerabilità è il risultato dell'inizializzazione errata, da parte di .NET Framework, dei contenuti di un array di memoria.

A quali attacchi viene esposto il sistema a causa di questa vulnerabilità? 
Un utente malintenzionato che ha sfruttato con successo questa vulnerabilità potrebbe eludere le restrizioni della protezione dall'accesso di codice (CAS) e visualizzare i dati memorizzati nelle posizioni di memoria non gestite. Questi dati potrebbero contenere informazioni riservate, altrimenti non accessibili. Si noti che questa vulnerabilità non consente di eseguire codice direttamente o di acquisire diritti utente più elevati,

In che modo un utente malintenzionato può sfruttare questa vulnerabilità? 
Esistono due possibili scenari di attacco per lo sfruttamento di questa vulnerabilità: uno scenario di esplorazione Web e uno scavalcamento da parte delle applicazioni Windows .NET delle restrizioni CAS. Questi scenari sono descritti nel modo seguente:

• Scenario di attacco dal Web

  Un utente malintenzionato può pubblicare un sito Web che contiene un'applicazione browser XAML (XBAP) appositamente predisposta, in grado di sfruttare questa vulnerabilità e convincere un utente a visualizzare il sito. L'utente malintenzionato può inoltre servirsi di siti Web manomessi e di siti Web che accettano o pubblicano contenuti o annunci pubblicitari inviati da altri utenti. Questi siti Web possono includere contenuti appositamente predisposti in grado di sfruttare questa vulnerabilità. In tutti questi casi, comunque, non è in alcun modo possibile obbligare gli utenti a visitare questi siti Web. L'utente malintenzionato deve convincere le vittime a visitare il sito, in genere inducendole a fare clic su un collegamento in un messaggio di posta elettronica o di Instant Messenger che le indirizzi al sito. Può inoltre far visualizzare contenuti Web appositamente predisposti utilizzando banner pubblicitari o altre modalità di invio di contenuti Web ai sistemi interessati.

• Scenario di attacco delle applicazioni Windows .NET

  Questa vulnerabilità potrebbe anche essere utilizzata dalle applicazioni Windows .NET Framework per eludere le restrizioni della protezione dall'accesso di codice (CAS) e visualizzare le informazioni memorizzate nelle posizioni di memoria non gestite.

Che cos'è Windows Forms (WinForms)? 
Windows Form è una tecnologia Smart Client per .NET Framework, un gruppo di librerie gestite che semplificano l'esecuzione di operazioni comuni come la lettura e la scrittura nel file system. Quando si utilizza un ambiente di sviluppo come Visual Studio, è possibile creare applicazioni Smart Client Windows Forms che visualizzano informazioni, richiedono l'input dagli utenti e comunicano con computer remoti attraverso una rete. Per ulteriori informazioni, vedere Panoramica sui Windows Form.

Che cos'è un'applicazione browser XAML (XBAP)?  
Un'applicazione browser XAML (XBAP) coniuga le funzionalità di un'applicazione Web e di un'applicazione rich client. Come le applicazioni Web, XBAP può essere pubblicata in un server Web e avviata da Internet Explorer. Come le applicazioni rich client, XBAP è in grado di sfruttare le funzionalità di Windows Presentation Foundation (WPF). Per ulteriori informazioni su XBAP, vedere l'articolo MSDN Panoramica delle applicazioni browser XAML di Windows Presentation Foundation.

Che cosa sono le restrizioni della protezione dall'accesso di codice (CAS) di .NET Framework?  
.NET Framework fornisce un meccanismo di protezione chiamato protezione dall'accesso di codice per proteggere i sistemi informatici da codice Internet dannoso, consentire l'esecuzione protetta di codice con origini sconosciute ed evitare che codice fidato comprometta intenzionalmente o accidentalmente la protezione. La protezione dall'accesso di codice (CAS) attiva diversi livelli di affidabilità del codice in base all'origine del codice e ad altri aspetti dell'identità del codice. La protezione dall'accesso di codice impone anche i diversi livelli di affidabilità del codice, minimizzando la quantità di codice che deve essere pienamente affidabile per poter essere eseguito. L'utilizzo della protezione dall'accesso di codice può ridurre la probabilità che il codice venga usato in modo inappropriato da un codice dannoso o pieno di errori. Per ulteriori informazioni su CAS, vedere l'articolo MSDN Protezione dall'accesso di codice.

Quali sono i sistemi principalmente interessati da questa vulnerabilità?  
Esistono due tipi di sistemi interessati da questa vulnerabilità, descritti di seguito: i sistemi che utilizzano lo scenario di esplorazione Web e i sistemi che utilizzano lo scenario delle applicazioni Windows .NET Framework.

• Scenario di esplorazione Web

  Per sfruttare questa vulnerabilità, è necessario che un utente abbia effettuato l'accesso e stia visitando siti Web mediante un browser Web in grado di creare applicazioni XBAP. Pertanto, i sistemi maggiormente a rischio sono quelli in cui un browser Web viene utilizzato frequentemente, come le workstation o i server terminal. I server possono essere maggiormente a rischio se gli amministratori consentono agli utenti di navigare in Internet e leggere la posta elettronica sui server. Tuttavia, le procedure consigliate scoraggiano fortemente questa attribuzione di privilegi.

• Applicazioni Windows .NET

  Anche le workstation e i server che eseguono applicazioni Windows .NET Framework non attendibili sono esposti a questa vulnerabilità.

Quali sono gli scopi dell'aggiornamento?  
L'aggiornamento risolve la vulnerabilità correggendo il modo in cui .NET Framework inizializza gli array di memoria.

Al momento del rilascio di questo bollettino, le informazioni sulla vulnerabilità erano disponibili pubblicamente?  
No. Microsoft ha ricevuto informazioni sulla vulnerabilità grazie a un'indagine coordinata.

Al momento del rilascio di questo bollettino, erano già stati segnalati a Microsoft attacchi basati sullo sfruttamento di questa vulnerabilità?  
No. Al momento della pubblicazione del presente bollettino, Microsoft non aveva ricevuto alcuna segnalazione in merito allo sfruttamento di questa vulnerabilità a scopo di attacco.

Per fattore attenuante si intende un'impostazione, una configurazione comune o una procedura consigliata generica esistente in uno stato predefinito in grado di ridurre la gravità nello sfruttamento di una vulnerabilità. I seguenti fattori attenuanti possono essere utili per l'utente:

• Le configurazioni predefinite standard dei firewall e le procedure consigliate per la configurazione dei firewall consentono di proteggere le reti dagli attacchi sferrati dall'esterno del perimetro aziendale. È consigliabile che i sistemi connessi a Internet abbiano un numero minimo di porte esposte.
• Sfruttando questa vulnerabilità, un utente malintenzionato può ottenere gli stessi diritti utente dell'utente connesso. Pertanto, gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.
• Per impostazione predefinita, Internet Explorer 9 ed Internet Explorer 10 impediscono a XMAL, che è utilizzato da XBAPs, di essere eseguito nell'area Internet.
• Per impostazione predefinita, Internet Explorer 6, Internet Explorer 7 ed Internet Explorer 8 sono configurati per chiedere conferma all'utente prima di eseguire XMAL, che è utilizzato da XBAPs nell'area Internet.

Per soluzione alternativa si intende un'impostazione o una modifica nella configurazione che non elimina la vulnerabilità sottostante, ma consente di bloccare gli attacchi noti prima di applicare l'aggiornamento. Microsoft ha verificato le seguenti soluzioni alternative e segnala nel corso della discussione se tali soluzioni riducono la funzionalità:

• Disattivazione delle applicazioni browser XAML in Internet Explorer

  Per assicurare una protezione più efficace contro questa vulnerabilità, modificare le impostazioni affinché venga richiesta la conferma prima di eseguire le applicazioni browser XAML (XBAP) o affinché vengano disattivate le applicazioni XBAP nelle aree di protezione Internet e Intranet locale, come segue:

  1. In Internet Explorer, fare clic sul menu Strumenti, quindi selezionare Opzioni Internet.
  2. Fare clic sulla scheda Protezione, su Internet, quindi fare clic su Livello predefinito. In Impostazioni, per XAML libero, fare clic su Chiedi conferma o Disattiva, quindi su OK.
  3. Fare clic sulla scheda Protezione, su Internet, quindi fare clic su Livello predefinito. In Impostazioni, per Applicazioni browser XAML, fare clic su Chiedi conferma o Disattiva, quindi su OK.
  4. Fare clic sulla scheda Protezione, su Internet, quindi fare clic su Livello predefinito. In Impostazioni, per Documenti XPS, fare clic su Chiedi conferma o Disattiva, quindi su OK.
  5. Nella scheda Protezione, fare clic su Livello personalizzato. In Componenti basati su .NET Framework, impostare Esegui componenti senza forma Authenticode su Chiedi conferma o Disattiva, quindi fare clic su OK. Ripetere questo passaggio per Esegui componenti con firma Authenticode, quindi fare clic su OK.
  6. Selezionare Intranet locale, quindi fare clic sul pulsante Livello personalizzato. Ripetere i passaggi 3 e 4. Se viene richiesto di confermare la modifica delle impostazioni, fare clic su Sì. Fare clic su OK per tornare a Internet Explorer.

  Impatto della soluzione alternativa. Il codice Microsoft .NET non viene eseguito in Internet Explorer o non viene eseguito senza istruzioni. Se si disattivano i componenti e le applicazioni Microsoft .NET nelle aree di protezione Internet e Intranet locale, alcuni siti Web possono non funzionare in maniera corretta. Se si riscontrano difficoltà nell'utilizzo di un sito Web dopo aver effettuato questa modifica e si è certi che il sito è sicuro, è possibile aggiungere il sito all'elenco Siti attendibili. In questo modo il sito funzionerà correttamente.

  Aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer.

  Dopo l'impostazione in Internet Explorer della disattivazione delle applicazioni browser XAML o della richiesta di conferma prima dell'esecuzione di XMAL libero, delle applicazioni browser XAML o dei documenti XPS nelle aree Internet e Intranet locale, è possibile aggiungere i siti ritenuti attendibili all'area Siti attendibile di Internet Explorer. In questo modo è possibile continuare a utilizzare i siti Web attendibili nel modo abituale, proteggendo al tempo stesso il sistema da eventuali attacchi da siti non attendibili. Si raccomanda di aggiungere all'area Siti attendibili solo i siti effettivamente ritenuti attendibili.

  A tale scopo, utilizzare la seguente procedura:

  1. In Internet Explorer, scegliere Opzioni Internet dal menu Strumenti e fare clic sulla scheda Protezione.
  2. Nella sezione Selezionare un'area di contenuto Web per specificare le relative impostazioni di protezione fare clic sull'icona Siti attendibili, quindi sul pulsante Siti.
  3. Se si desidera aggiungere siti che non richiedono un canale crittografato, deselezionare la check box Richiedi verifica server (https:) per tutti i siti dell'area.
  4. Digitare nella casella Aggiungi il sito Web all'area l'URL del sito desiderato, quindi fare clic sul pulsante Aggiungi.
  5. Ripetere la procedura per ogni sito da aggiungere all'area.
  6. Fare due volte clic su OK per confermare le modifiche e tornare a Internet Explorer.

  Nota È possibile aggiungere qualsiasi sito che si ritiene non eseguirà operazioni dannose sul sistema. In particolare è utile aggiungere i due siti *.windowsupdate.microsoft.com e *.update.microsoft.com, ovvero i siti che ospiteranno l'aggiornamento per cui è richiesto l'utilizzo di un controllo ActiveX per l'installazione.

  Per annullare il risultato della soluzione alternativa. Eseguire la procedura seguente:

  1. In Internet Explorer, fare clic sul menu Strumenti, quindi selezionare Opzioni Internet.
  2. Fare clic sulla scheda Protezione, su Ripristina livello predefinito per tutte le aree, quindi fare clic su OK.

Qual è la portata o l'impatto di questa vulnerabilità?  
Si tratta di una vulnerabilità associata all'acquisizione di privilegi più elevati.

Quali sono le cause di questa vulnerabilità?  
La vulnerabilità è il risultato della convalida errata, da parte di .NET Framework, del numero di oggetti nella memoria prima che tali oggetti vengano copiati in un array.

A quali attacchi viene esposto il sistema a causa di questa vulnerabilità?  
Sfruttando questa vulnerabilità, un utente malintenzionato potrebbe assumere il pieno controllo del sistema interessato. Potrebbe quindi installare programmi e visualizzare, modificare o eliminare dati oppure creare nuovi account con diritti utente completi.

In che modo un utente malintenzionato può sfruttare questa vulnerabilità?  
Esistono due possibili scenari di attacco per lo sfruttamento di questa vulnerabilità: uno scenario di esplorazione Web e uno scavalcamento da parte delle applicazioni Windows .NET delle restrizioni della protezione dall'accesso di codice (CAS). Questi scenari sono descritti nel modo seguente:

• Scenario di attacco dal Web

  Un utente malintenzionato può pubblicare un sito Web che contiene un'applicazione browser XAML (XBAP) appositamente predisposta, in grado di sfruttare questa vulnerabilità e convincere un utente a visualizzare il sito. L'utente malintenzionato può inoltre servirsi di siti Web manomessi e di siti Web che accettano o pubblicano contenuti o annunci pubblicitari inviati da altri utenti. Questi siti Web possono includere contenuti appositamente predisposti in grado di sfruttare questa vulnerabilità. In tutti questi casi, comunque, non è in alcun modo possibile obbligare gli utenti a visitare questi siti Web. L'utente malintenzionato deve convincere le vittime a visitare il sito, in genere inducendole a fare clic su un collegamento in un messaggio di posta elettronica o di Instant Messenger che le indirizzi al sito. Può inoltre far visualizzare contenuti Web appositamente predisposti utilizzando banner pubblicitari o altre modalità di invio di contenuti Web ai sistemi interessati.

• Scenario di attacco delle applicazioni Windows .NET

  Questa vulnerabilità potrebbe anche essere utilizzata dalle applicazioni Windows .NET Framework per ignorare le restrizioni della protezione dall'accesso di codice (CAS).

Che cos'è Windows Forms (WinForms)?  
Windows Form è una tecnologia Smart Client per .NET Framework, un gruppo di librerie gestite che semplificano l'esecuzione di operazioni comuni come la lettura e la scrittura nel file system. Quando si utilizza un ambiente di sviluppo come Visual Studio, è possibile creare applicazioni Smart Client Windows Forms che visualizzano informazioni, richiedono l'input dagli utenti e comunicano con computer remoti attraverso una rete. Per ulteriori informazioni, vedere Panoramica sui Windows Form.

Che cos'è un'applicazione browser XAML (XBAP)?  
Un'applicazione browser XAML (XBAP) coniuga le funzionalità di un'applicazione Web e di un'applicazione rich client. Come le applicazioni Web, XBAP può essere pubblicata in un server Web e avviata da Internet Explorer. Come le applicazioni rich client, XBAP è in grado di sfruttare le funzionalità di Windows Presentation Foundation (WPF). Per ulteriori informazioni su XBAP, vedere l'articolo MSDN Panoramica delle applicazioni browser XAML di Windows Presentation Foundation.

Che cosa sono le restrizioni della protezione dall'accesso di codice (CAS) di .NET Framework?  
.NET Framework fornisce un meccanismo di protezione chiamato protezione dall'accesso di codice per proteggere i sistemi informatici da codice Internet dannoso, consentire l'esecuzione protetta di codice con origini sconosciute ed evitare che codice fidato comprometta intenzionalmente o accidentalmente la protezione. La protezione dall'accesso di codice (CAS) attiva diversi livelli di affidabilità del codice in base all'origine del codice e ad altri aspetti dell'identità del codice. La protezione dall'accesso di codice impone anche i diversi livelli di affidabilità del codice, minimizzando la quantità di codice che deve essere pienamente affidabile per poter essere eseguito. L'utilizzo della protezione dall'accesso di codice può ridurre la probabilità che il codice venga usato in modo inappropriato da un codice dannoso o pieno di errori. Per ulteriori informazioni su CAS, vedere l'articolo MSDN Protezione dall'accesso di codice.

Quali sono i sistemi principalmente interessati da questa vulnerabilità?  
Esistono due tipi di sistemi interessati da questa vulnerabilità, descritti di seguito: i sistemi che utilizzano lo scenario di esplorazione Web e i sistemi che utilizzano lo scenario delle applicazioni Windows .NET Framework.

• Scenario di esplorazione Web

  Per sfruttare questa vulnerabilità, è necessario che un utente abbia effettuato l'accesso e stia visitando siti Web mediante un browser Web in grado di creare applicazioni XBAP. Pertanto, i sistemi maggiormente a rischio sono quelli in cui un browser Web viene utilizzato frequentemente, come le workstation o i server terminal. I server possono essere maggiormente a rischio se gli amministratori consentono agli utenti di navigare in Internet e leggere la posta elettronica sui server. Tuttavia, le procedure consigliate scoraggiano fortemente questa attribuzione di privilegi.

• Applicazioni Windows .NET

  Anche le workstation e i server che eseguono applicazioni Windows .NET Framework non attendibili sono esposti a questa vulnerabilità.

Quali sono gli scopi dell'aggiornamento?  
L'aggiornamento risolve la vulnerabilità correggendo il modo in cui .NET Framework copia gli oggetti nella memoria.

Al momento del rilascio di questo bollettino, le informazioni sulla vulnerabilità erano disponibili pubblicamente?  
No. Microsoft ha ricevuto informazioni sulla vulnerabilità grazie a un'indagine coordinata.

Al momento del rilascio di questo bollettino, erano già stati segnalati a Microsoft attacchi basati sullo sfruttamento di questa vulnerabilità?  
No. Al momento della pubblicazione del presente bollettino, Microsoft non aveva ricevuto alcuna segnalazione in merito allo sfruttamento di questa vulnerabilità a scopo di attacco.

• Le configurazioni predefinite standard dei firewall e le procedure consigliate per la configurazione dei firewall consentono di proteggere le reti dagli attacchi sferrati dall'esterno del perimetro aziendale. È consigliabile che i sistemi connessi a Internet abbiano un numero minimo di porte esposte.
• Sfruttando questa vulnerabilità, un utente malintenzionato può ottenere gli stessi diritti utente dell'utente connesso. Pertanto, gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.
• Per impostazione predefinita, Internet Explorer 9 ed Internet Explorer 10 impediscono a XMAL, che è utilizzato da XBAPs, di essere eseguito nell'area Internet.
• Per impostazione predefinita, Internet Explorer 6, Internet Explorer 7 ed Internet Explorer 8 sono configurati per chiedere conferma all'utente prima di eseguire XMAL, che è utilizzato da XBAPs nell'area Internet.

Per soluzione alternativa si intende un'impostazione o una modifica nella configurazione che non elimina la vulnerabilità sottostante, ma consente di bloccare gli attacchi noti prima di applicare l'aggiornamento. Microsoft ha verificato le seguenti soluzioni alternative e segnala nel corso della discussione se tali soluzioni riducono la funzionalità:

• Disattivazione delle applicazioni browser XAML in Internet Explorer

  Per assicurare una protezione più efficace contro questa vulnerabilità, modificare le impostazioni affinché venga richiesta la conferma prima di eseguire le applicazioni browser XAML (XBAP) o affinché vengano disattivate le applicazioni XBAP nelle aree di protezione Internet e Intranet locale, come segue:

  1. In Internet Explorer, fare clic sul menu Strumenti, quindi selezionare Opzioni Internet.
  2. Fare clic sulla scheda Protezione, su Internet, quindi fare clic su Livello predefinito. In Impostazioni, per XAML libero, fare clic su Chiedi conferma o Disattiva, quindi su OK.
  3. Fare clic sulla scheda Protezione, su Internet, quindi fare clic su Livello predefinito. In Impostazioni, per Applicazioni browser XAML, fare clic su Chiedi conferma o Disattiva, quindi su OK.
  4. Fare clic sulla scheda Protezione, su Internet, quindi fare clic su Livello predefinito. In Impostazioni, per Documenti XPS, fare clic su Chiedi conferma o Disattiva, quindi su OK.
  5. Nella scheda Protezione, fare clic su Livello personalizzato. In Componenti basati su .NET Framework, impostare Esegui componenti senza forma Authenticode su Chiedi conferma o Disattiva, quindi fare clic su OK. Ripetere questo passaggio per Esegui componenti con firma Authenticode, quindi fare clic su OK.
  6. Selezionare Intranet locale, quindi fare clic sul pulsante Livello personalizzato. Ripetere i passaggi 3 e 4. Se viene richiesto di confermare la modifica delle impostazioni, fare clic su Sì. Fare clic su OK per tornare a Internet Explorer.

  Impatto della soluzione alternativa. Il codice Microsoft .NET non viene eseguito in Internet Explorer o non viene eseguito senza istruzioni. Se si disattivano i componenti e le applicazioni Microsoft .NET nelle aree di protezione Internet e Intranet locale, alcuni siti Web possono non funzionare in maniera corretta. Se si riscontrano difficoltà nell'utilizzo di un sito Web dopo aver effettuato questa modifica e si è certi che il sito è sicuro, è possibile aggiungere il sito all'elenco Siti attendibili. In questo modo il sito funzionerà correttamente.

  Aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer.

  Dopo l'impostazione in Internet Explorer della disattivazione delle applicazioni browser XAML o della richiesta di conferma prima dell'esecuzione di XMAL libero, delle applicazioni browser XAML o dei documenti XPS nelle aree Internet e Intranet locale, è possibile aggiungere i siti ritenuti attendibili all'area Siti attendibile di Internet Explorer. In questo modo è possibile continuare a utilizzare i siti Web attendibili nel modo abituale, proteggendo al tempo stesso il sistema da eventuali attacchi da siti non attendibili. Si raccomanda di aggiungere all'area Siti attendibili solo i siti effettivamente ritenuti attendibili.

  A tale scopo, utilizzare la seguente procedura:

  1. In Internet Explorer, scegliere Opzioni Internet dal menu Strumenti e fare clic sulla scheda Protezione.
  2. Nella sezione Selezionare un'area di contenuto Web per specificare le relative impostazioni di protezione fare clic sull'icona Siti attendibili, quindi sul pulsante Siti.
  3. Se si desidera aggiungere siti che non richiedono un canale crittografato, deselezionare la check box Richiedi verifica server (https:) per tutti i siti dell'area.
  4. Digitare nella casella Aggiungi il sito Web all'area l'URL del sito desiderato, quindi fare clic sul pulsante Aggiungi.
  5. Ripetere la procedura per ogni sito da aggiungere all'area.
  6. Fare due volte clic su OK per confermare le modifiche e tornare a Internet Explorer.

  Nota È possibile aggiungere qualsiasi sito che si ritiene non eseguirà operazioni dannose sul sistema. In particolare è utile aggiungere i due siti *.windowsupdate.microsoft.com e *.update.microsoft.com, ovvero i siti che ospiteranno l'aggiornamento per cui è richiesto l'utilizzo di un controllo ActiveX per l'installazione.

  Per annullare il risultato della soluzione alternativa. Eseguire la procedura seguente:

  1. In Internet Explorer, fare clic sul menu Strumenti, quindi selezionare Opzioni Internet.
  2. Fare clic sulla scheda Protezione, su Ripristina livello predefinito per tutte le aree, quindi fare clic su OK.

Qual è la portata o l'impatto di questa vulnerabilità?  
Si tratta di una vulnerabilità associata all'acquisizione di privilegi più elevati.

Quali sono le cause di questa vulnerabilità?  
La vulnerabilità è il risultato della convalida errata, da parte di .NET Framework, delle dimensioni degli oggetti nella memoria prima di copiare quegli oggetti in un array.

A quali attacchi viene esposto il sistema a causa di questa vulnerabilità?  
Sfruttando questa vulnerabilità, un utente malintenzionato potrebbe assumere il pieno controllo del sistema interessato. Potrebbe quindi installare programmi e visualizzare, modificare o eliminare dati oppure creare nuovi account con diritti utente completi.

In che modo un utente malintenzionato può sfruttare questa vulnerabilità?  
Esistono due possibili scenari di attacco per lo sfruttamento di questa vulnerabilità: uno scenario di esplorazione Web e uno scavalcamento da parte delle applicazioni Windows .NET delle restrizioni della protezione dall'accesso di codice (CAS). Questi scenari sono descritti nel modo seguente:

• Scenario di attacco dal Web

  Un utente malintenzionato può pubblicare un sito Web che contiene un'applicazione browser XAML (XBAP) appositamente predisposta, in grado di sfruttare questa vulnerabilità e convincere un utente a visualizzare il sito. L'utente malintenzionato può inoltre servirsi di siti Web manomessi e di siti Web che accettano o pubblicano contenuti o annunci pubblicitari inviati da altri utenti. Questi siti Web possono includere contenuti appositamente predisposti in grado di sfruttare questa vulnerabilità. In tutti questi casi, comunque, non è in alcun modo possibile obbligare gli utenti a visitare questi siti Web. L'utente malintenzionato deve convincere le vittime a visitare il sito, in genere inducendole a fare clic su un collegamento in un messaggio di posta elettronica o di Instant Messenger che le indirizzi al sito. Può inoltre far visualizzare contenuti Web appositamente predisposti utilizzando banner pubblicitari o altre modalità di invio di contenuti Web ai sistemi interessati.

• Scenario di attacco delle applicazioni Windows .NET

  Questa vulnerabilità potrebbe anche essere utilizzata dalle applicazioni Windows .NET Framework per ignorare le restrizioni della protezione dall'accesso di codice (CAS).

Che cos'è il protocollo System.DirectoryServices.Protocols (S.DS.P)?  
Il protocollo System.DirectoryServices.Protocols (S.DS.P) è uno spazio dei nomi che consente di trasmettere la programmazione LDAP (Lightweight Directory Access Protocol) agli sviluppatori dei codici gestiti. Per ulteriori informazioni su S.DS.P, vedere Introduzione a System.DirectoryServices.Protocols (S.DS.P).

Che cos'è un'applicazione browser XAML (XBAP)?  
Un'applicazione browser XAML (XBAP) coniuga le funzionalità di un'applicazione Web e di un'applicazione rich client. Come le applicazioni Web, XBAP può essere pubblicata in un server Web e avviata da Internet Explorer. Come le applicazioni rich client, XBAP è in grado di sfruttare le funzionalità di Windows Presentation Foundation (WPF). Per ulteriori informazioni su XBAP, vedere l'articolo MSDN Panoramica delle applicazioni browser XAML di Windows Presentation Foundation.

Che cosa sono le restrizioni della protezione dall'accesso di codice (CAS) di .NET Framework?  
.NET Framework fornisce un meccanismo di protezione chiamato protezione dall'accesso di codice per proteggere i sistemi informatici da codice Internet dannoso, consentire l'esecuzione protetta di codice con origini sconosciute ed evitare che codice fidato comprometta intenzionalmente o accidentalmente la protezione. La protezione dall'accesso di codice (CAS) attiva diversi livelli di affidabilità del codice in base all'origine del codice e ad altri aspetti dell'identità del codice. La protezione dall'accesso di codice impone anche i diversi livelli di affidabilità del codice, minimizzando la quantità di codice che deve essere pienamente affidabile per poter essere eseguito. L'utilizzo della protezione dall'accesso di codice può ridurre la probabilità che il codice venga usato in modo inappropriato da un codice dannoso o pieno di errori. Per ulteriori informazioni su CAS, vedere l'articolo MSDN Protezione dall'accesso di codice.

Quali sono i sistemi principalmente interessati da questa vulnerabilità?  
Esistono due tipi di sistemi interessati da questa vulnerabilità, descritti di seguito: i sistemi che utilizzano lo scenario di esplorazione Web e i sistemi che utilizzano lo scenario delle applicazioni Windows .NET Framework.

• Scenario di esplorazione Web

  Per sfruttare questa vulnerabilità, è necessario che un utente abbia effettuato l'accesso e stia visitando siti Web mediante un browser Web in grado di creare applicazioni XBAP. Pertanto, i sistemi maggiormente a rischio sono quelli in cui un browser Web viene utilizzato frequentemente, come le workstation o i server terminal. I server possono essere maggiormente a rischio se gli amministratori consentono agli utenti di navigare in Internet e leggere la posta elettronica sui server. Tuttavia, le procedure consigliate scoraggiano fortemente questa attribuzione di privilegi.

• Applicazioni Windows .NET

  Anche le workstation e i server che eseguono applicazioni Windows .NET Framework non attendibili sono esposti a questa vulnerabilità.

Quali sono gli scopi dell'aggiornamento?  
L'aggiornamento risolve la vulnerabilità correggendo il modo in cui .NET Framework convalida le dimensioni di un array prima di copiare quegli oggetti nella memoria.

Al momento del rilascio di questo bollettino, le informazioni sulla vulnerabilità erano disponibili pubblicamente?  
No. Microsoft ha ricevuto informazioni sulla vulnerabilità grazie a un'indagine coordinata.

Al momento del rilascio di questo bollettino, erano già stati segnalati a Microsoft attacchi basati sullo sfruttamento di questa vulnerabilità?  
No. Al momento della pubblicazione del presente bollettino, Microsoft non aveva ricevuto alcuna segnalazione in merito allo sfruttamento di questa vulnerabilità a scopo di attacco.

• Le configurazioni predefinite standard dei firewall e le procedure consigliate per la configurazione dei firewall consentono di proteggere le reti dagli attacchi sferrati dall'esterno del perimetro aziendale. È consigliabile che i sistemi connessi a Internet abbiano un numero minimo di porte esposte.
• Sfruttando questa vulnerabilità, un utente malintenzionato può ottenere gli stessi diritti utente dell'utente connesso. Pertanto, gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.
• Per impostazione predefinita, Internet Explorer 9 ed Internet Explorer 10 impediscono a XMAL, che è utilizzato da XBAPs, di essere eseguito nell'area Internet.
• Per impostazione predefinita, Internet Explorer 6, Internet Explorer 7 ed Internet Explorer 8 sono configurati per chiedere conferma all'utente prima di eseguire XMAL, che è utilizzato da XBAPs nell'area Internet.

Per soluzione alternativa si intende un'impostazione o una modifica nella configurazione che non elimina la vulnerabilità sottostante, ma consente di bloccare gli attacchi noti prima di applicare l'aggiornamento. Microsoft ha verificato le seguenti soluzioni alternative e segnala nel corso della discussione se tali soluzioni riducono la funzionalità:

• Disattivazione delle applicazioni browser XAML in Internet Explorer

  Per assicurare una protezione più efficace contro questa vulnerabilità, modificare le impostazioni affinché venga richiesta la conferma prima di eseguire le applicazioni browser XAML (XBAP) o affinché vengano disattivate le applicazioni XBAP nelle aree di protezione Internet e Intranet locale, come segue:

  1. In Internet Explorer, fare clic sul menu Strumenti, quindi selezionare Opzioni Internet.
  2. Fare clic sulla scheda Protezione, su Internet, quindi fare clic su Livello predefinito. In Impostazioni, per XAML libero, fare clic su Chiedi conferma o Disattiva, quindi su OK.
  3. Fare clic sulla scheda Protezione, su Internet, quindi fare clic su Livello predefinito. In Impostazioni, per Applicazioni browser XAML, fare clic su Chiedi conferma o Disattiva, quindi su OK.
  4. Fare clic sulla scheda Protezione, su Internet, quindi fare clic su Livello predefinito. In Impostazioni, per Documenti XPS, fare clic su Chiedi conferma o Disattiva, quindi su OK.
  5. Nella scheda Protezione, fare clic su Livello personalizzato. In Componenti basati su .NET Framework, impostare Esegui componenti senza forma Authenticode su Chiedi conferma o Disattiva, quindi fare clic su OK. Ripetere questo passaggio per Esegui componenti con firma Authenticode, quindi fare clic su OK.
  6. Selezionare Intranet locale, quindi fare clic sul pulsante Livello personalizzato. Ripetere i passaggi 3 e 4. Se viene richiesto di confermare la modifica delle impostazioni, fare clic su Sì. Fare clic su OK per tornare a Internet Explorer.

  Impatto della soluzione alternativa. Il codice Microsoft .NET non viene eseguito in Internet Explorer o non viene eseguito senza istruzioni. Se si disattivano i componenti e le applicazioni Microsoft .NET nelle aree di protezione Internet e Intranet locale, alcuni siti Web possono non funzionare in maniera corretta. Se si riscontrano difficoltà nell'utilizzo di un sito Web dopo aver effettuato questa modifica e si è certi che il sito è sicuro, è possibile aggiungere il sito all'elenco Siti attendibili. In questo modo il sito funzionerà correttamente.

  Aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer.

  Dopo l'impostazione in Internet Explorer della disattivazione delle applicazioni browser XAML o della richiesta di conferma prima dell'esecuzione di XMAL libero, delle applicazioni browser XAML o dei documenti XPS nelle aree Internet e Intranet locale, è possibile aggiungere i siti ritenuti attendibili all'area Siti attendibile di Internet Explorer. In questo modo è possibile continuare a utilizzare i siti Web attendibili nel modo abituale, proteggendo al tempo stesso il sistema da eventuali attacchi da siti non attendibili. Si raccomanda di aggiungere all'area Siti attendibili solo i siti effettivamente ritenuti attendibili.

  A tale scopo, utilizzare la seguente procedura:

  1. In Internet Explorer, scegliere Opzioni Internet dal menu Strumenti e fare clic sulla scheda Protezione.
  2. Nella sezione Selezionare un'area di contenuto Web per specificare le relative impostazioni di protezione fare clic sull'icona Siti attendibili, quindi sul pulsante Siti.
  3. Se si desidera aggiungere siti che non richiedono un canale crittografato, deselezionare la check box Richiedi verifica server (https:) per tutti i siti dell'area.
  4. Digitare nella casella Aggiungi il sito Web all'area l'URL del sito desiderato, quindi fare clic sul pulsante Aggiungi.
  5. Ripetere la procedura per ogni sito da aggiungere all'area.
  6. Fare due volte clic su OK per confermare le modifiche e tornare a Internet Explorer.

  Nota È possibile aggiungere qualsiasi sito che si ritiene non eseguirà operazioni dannose sul sistema. In particolare è utile aggiungere i due siti *.windowsupdate.microsoft.com e *.update.microsoft.com, ovvero i siti che ospiteranno l'aggiornamento per cui è richiesto l'utilizzo di un controllo ActiveX per l'installazione.

  Per annullare il risultato della soluzione alternativa. Eseguire la procedura seguente:

  1. In Internet Explorer, fare clic sul menu Strumenti, quindi selezionare Opzioni Internet.
  2. Fare clic sulla scheda Protezione, su Ripristina livello predefinito per tutte le aree, quindi fare clic su OK.

Qual è la portata o l'impatto di questa vulnerabilità?  
Si tratta di una vulnerabilità associata all'acquisizione di privilegi più elevati.

Quali sono le cause di questa vulnerabilità?  
La vulnerabilità è il risultato della convalida errata, da parte di .NET Framework, delle autorizzazioni di oggetti.

A quali attacchi viene esposto il sistema a causa di questa vulnerabilità?  
Sfruttando questa vulnerabilità, un utente malintenzionato potrebbe assumere il pieno controllo del sistema interessato. Potrebbe quindi installare programmi e visualizzare, modificare o eliminare dati oppure creare nuovi account con diritti utente completi.

In che modo un utente malintenzionato può sfruttare questa vulnerabilità?  
Esistono due possibili scenari di attacco per lo sfruttamento di questa vulnerabilità: uno scenario di esplorazione Web e uno scavalcamento da parte delle applicazioni Windows .NET delle restrizioni della protezione dall'accesso di codice (CAS). Questi scenari sono descritti nel modo seguente:

• Scenario di attacco dal Web

  Un utente malintenzionato può pubblicare un sito Web che contiene un'applicazione browser XAML (XBAP) appositamente predisposta, in grado di sfruttare questa vulnerabilità e convincere un utente a visualizzare il sito. L'utente malintenzionato può inoltre servirsi di siti Web manomessi e di siti Web che accettano o pubblicano contenuti o annunci pubblicitari inviati da altri utenti. Questi siti Web possono includere contenuti appositamente predisposti in grado di sfruttare questa vulnerabilità. In tutti questi casi, comunque, non è in alcun modo possibile obbligare gli utenti a visitare questi siti Web. L'utente malintenzionato deve convincere le vittime a visitare il sito, in genere inducendole a fare clic su un collegamento in un messaggio di posta elettronica o di Instant Messenger che le indirizzi al sito. Può inoltre far visualizzare contenuti Web appositamente predisposti utilizzando banner pubblicitari o altre modalità di invio di contenuti Web ai sistemi interessati.

• Scenario di attacco delle applicazioni Windows .NET

  Questa vulnerabilità potrebbe anche essere utilizzata dalle applicazioni Windows .NET Framework per ignorare le restrizioni della protezione dall'accesso di codice (CAS).

Che cos'è il CLR?  
Microsoft .NET Framework fornisce un ambiente di esecuzione chiamato CLR (Common Language Runtime), che esegue il codice e fornisce servizi che facilitano il processo di sviluppo. Per ulteriori informazioni sul CLR, vedere Panoramica del Common Language Runtime.

Che cos'è un'applicazione browser XAML (XBAP)?  
Un'applicazione browser XAML (XBAP) coniuga le funzionalità di un'applicazione Web e di un'applicazione rich client. Come le applicazioni Web, XBAP può essere pubblicata in un server Web e avviata da Internet Explorer. Come le applicazioni rich client, XBAP è in grado di sfruttare le funzionalità di Windows Presentation Foundation (WPF). Per ulteriori informazioni su XBAP, vedere l'articolo MSDN Panoramica delle applicazioni browser XAML di Windows Presentation Foundation.

Che cosa sono le restrizioni della protezione dall'accesso di codice (CAS) di .NET Framework?  
.NET Framework fornisce un meccanismo di protezione chiamato protezione dall'accesso di codice per proteggere i sistemi informatici da codice Internet dannoso, consentire l'esecuzione protetta di codice con origini sconosciute ed evitare che codice fidato comprometta intenzionalmente o accidentalmente la protezione. La protezione dall'accesso di codice (CAS) attiva diversi livelli di affidabilità del codice in base all'origine del codice e ad altri aspetti dell'identità del codice. La protezione dall'accesso di codice impone anche i diversi livelli di affidabilità del codice, minimizzando la quantità di codice che deve essere pienamente affidabile per poter essere eseguito. L'utilizzo della protezione dall'accesso di codice può ridurre la probabilità che il codice venga usato in modo inappropriato da un codice dannoso o pieno di errori. Per ulteriori informazioni su CAS, vedere l'articolo MSDN Protezione dall'accesso di codice.

Quali sono i sistemi principalmente interessati da questa vulnerabilità?  
Esistono due tipi di sistemi interessati da questa vulnerabilità, descritti di seguito: i sistemi che utilizzano lo scenario di esplorazione Web e i sistemi che utilizzano lo scenario delle applicazioni Windows .NET Framework.

• Scenario di esplorazione Web

  Per sfruttare questa vulnerabilità, è necessario che un utente abbia effettuato l'accesso e stia visitando siti Web mediante un browser Web in grado di creare applicazioni XBAP. Pertanto, i sistemi maggiormente a rischio sono quelli in cui un browser Web viene utilizzato frequentemente, come le workstation o i server terminal. I server possono essere maggiormente a rischio se gli amministratori consentono agli utenti di navigare in Internet e leggere la posta elettronica sui server. Tuttavia, le procedure consigliate scoraggiano fortemente questa attribuzione di privilegi.

• Applicazioni Windows .NET

  Anche le workstation e i server che eseguono applicazioni Windows .NET Framework non attendibili sono esposti a questa vulnerabilità.

Quali sono gli scopi dell'aggiornamento?  
L'aggiornamento risolve la vulnerabilità correggendo il modo in cui .NET Framework convalida le autorizzazioni di oggetti.

Al momento del rilascio di questo bollettino, le informazioni sulla vulnerabilità erano disponibili pubblicamente?  
No. Microsoft ha ricevuto informazioni sulla vulnerabilità grazie a un'indagine coordinata.

Al momento del rilascio di questo bollettino, erano già stati segnalati a Microsoft attacchi basati sullo sfruttamento di questa vulnerabilità?  
No. Al momento della pubblicazione del presente bollettino, Microsoft non aveva ricevuto alcuna segnalazione in merito allo sfruttamento di questa vulnerabilità a scopo di attacco.

Tabella di riferimento

La seguente tabella contiene le informazioni relative all'aggiornamento per la protezione per questo software. Per ulteriori informazioni, consultare la sottosezione Informazioni per la distribuzione di questa sezione.

Nota L'aggiornamento per le versioni supportate di Windows XP Professional x64 Edition si applica anche alle versioni supportate di Windows Server 2003 x64 Edition.

Tabella di riferimento

La seguente tabella contiene le informazioni relative all'aggiornamento per la protezione per questo software. Per ulteriori informazioni, consultare la sottosezione Informazioni per la distribuzione di questa sezione.

Nota L'aggiornamento per le versioni supportate di Windows Server 2003 x64 Edition si applica anche alle versioni supportate di Windows XP Professional x64 Edition.

Tabella di riferimento

La seguente tabella contiene le informazioni relative all'aggiornamento per la protezione per questo software. Per ulteriori informazioni, consultare la sottosezione Informazioni per la distribuzione di questa sezione.

Tabella di riferimento

La seguente tabella contiene le informazioni relative all'aggiornamento per la protezione per questo software. Per ulteriori informazioni, consultare la sottosezione Informazioni per la distribuzione di questa sezione.

Tabella di riferimento

La seguente tabella contiene le informazioni relative all'aggiornamento per la protezione per questo software. Per ulteriori informazioni, consultare la sottosezione Informazioni per la distribuzione di questa sezione.

Tabella di riferimento

La seguente tabella contiene le informazioni relative all'aggiornamento per la protezione per questo software. Per ulteriori informazioni, consultare la sottosezione Informazioni per la distribuzione di questa sezione.

Tabella di riferimento

La seguente tabella contiene le informazioni relative all'aggiornamento per la protezione per questo software. Per ulteriori informazioni, consultare la sottosezione Informazioni per la distribuzione di questa sezione.

Tabella di riferimento

La seguente tabella contiene le informazioni relative all'aggiornamento per la protezione per questo software. Per ulteriori informazioni, consultare la sottosezione Informazioni per la distribuzione di questa sezione.

Tabella di riferimento

La seguente tabella contiene le informazioni relative all'aggiornamento per la protezione per questo software. Per ulteriori informazioni, consultare la sottosezione Informazioni per la distribuzione di questa sezione.