Esporta (0) Stampa
Espandi tutto

Advisory Microsoft sulla sicurezza 2488013

Una vulnerabilità in Internet Explorer può consentire l'esecuzione di codice in modalità remota

Data di pubblicazione: mercoledì 22 dicembre 2010 | Aggiornamento: martedì 11 gennaio 2011

Versione: 1.3

Informazioni generali

Riepilogo

Microsoft sta eseguendo ricerche su nuovi rapporti pubblici relativi agli attacchi limitati che tentano di sfruttare una vulnerabilità in tutte le versioni supportate di Internet Explorer. L'impatto principale della vulnerabilità è l'esecuzione di codice in modalità remota. L'advisory contiene soluzioni alternative e fattori attenuanti di questo problema.

Esiste una vulnerabilità a causa della creazione di memoria non inizializzata durante una funzione CSS in Internet Explorer. In determinate condizioni, un utente malintenzionato può sfruttare la vulnerabilità della memoria utilizzando una pagina Web appositamente predisposta per eseguire codice in remoto.

Una volta completata l'analisi, Microsoft intraprenderà un'azione appropriata per proteggere i clienti, che potrà includere una soluzione fornita tramite il normale processo di rilascio mensile degli aggiornamenti per la protezione o un aggiornamento per la protezione integrativo, sulla base delle esigenze dei clienti.

Tramite i programmi Microsoft Active Protections Program (MAPP) e Microsoft Security Response Alliance (MSRA) stiamo lavorando attivamente con i nostri partner per fornire loro informazioni che possono utilizzare per offrire maggiore protezione ai loro clienti. Stiamo inoltre collaborando con i nostri partner per garantire un continuo monitoraggio dei pericoli e intraprendere misure adeguate per contrastare i siti dannosi che tentano di sfruttare questa vulnerabilità.

Microsoft consiglia ai clienti di seguire le indicazioni disponibili in "Proteggi il tuo PC" per attivare un firewall, applicare tutti gli aggiornamenti software e installare software antivirus e antispyware. Ulteriori informazioni sono disponibili alla pagina Security a casa.

Fattori attenuanti:

  • La Modalità Protetta di Internet Explorer in Windows Vista e nelle versioni successive dei sistemi operativi Windows aiuta a limitare l'impatto degli sfruttamenti noti correnti. Un utente malintenzionato che riesce a sfruttare questa vulnerabilità avrebbe solo diritti limitati sul sistema.
  • Per impostazione predefinita, Internet Explorer in Windows Server 2003 e Windows Server 2008 viene eseguito in una modalità limitata denominata Protezione avanzata. Il livello di protezione per l'area Internet viene così impostato su Alto. Questo è un fattore attenuante per i siti Web che non sono stati aggiunti all'area Siti attendibili di Internet Explorer. Consultare anche il documento relativo alla gestione della Protezione avanzata di Internet Explorer.
  • Per impostazione predefinita, tutte le versioni supportate di Microsoft Outlook, Microsoft Outlook Express e Windows Mail aprono i messaggi di posta elettronica in formato HTML nell'area Siti con restrizioni, disattivando gli script e i controlli ActiveX e riducendo in questo modo il rischio di sfruttamento di questa vulnerabilità da parte di un utente malintenzionato. Se si fa clic su un collegamento presente in un messaggio di posta elettronica, tale vulnerabilità può ancora sussistere con le modalità descritte nello scenario di attacco dal Web.
  • Sfruttando questa vulnerabilità, un utente malintenzionato può ottenere gli stessi diritti utente dell'utente locale. Pertanto, gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.
  • In uno scenario di attacco basato sul Web, l'utente malintenzionato potrebbe pubblicare un sito Web contenente una pagina utilizzata per sfruttare la vulnerabilità. Inoltre, i siti Web manomessi e quelli che accettano o ospitano contenuti o annunci pubblicitari forniti dagli utenti potrebbero presentare contenuti appositamente predisposti per sfruttare questa vulnerabilità. In tutti questi casi, comunque, non è in alcun modo possibile obbligare gli utenti a visitare questi siti Web. L'utente malintenzionato dovrebbe invece convincere le vittime a visitare il sito Web, in genere inducendole a fare clic su un collegamento in un messaggio di posta elettronica o di messaggistica immediata che le indirizzi al sito.

Dettagli sull'advisory

Documentazione di riferimento per il problema

RiferimentiIdentificazione
Riferimento CVE CVE-2010-3971
Articolo della Microsoft Knowledge Base 2488013

Software interessato e Software non interessato

In questo advisory vengono presi in esame i seguenti prodotti software.

Software interessato
Internet Explorer 6
Windows XP Service Pack 3Internet Explorer 6
Windows XP Professional x64 Edition Service Pack 2Internet Explorer 6
Windows Server 2003 Service Pack 2Internet Explorer 6
Windows Server 2003 x64 Edition Service Pack 2Internet Explorer 6
Windows Server 2003 con SP2 per sistemi ItaniumInternet Explorer 6
Internet Explorer 7
Windows XP Service Pack 3Internet Explorer 7
Windows XP Professional x64 Edition Service Pack 2Internet Explorer 7
Windows Server 2003 Service Pack 2Internet Explorer 7
Windows Server 2003 x64 Edition Service Pack 2Internet Explorer 7
Windows Server 2003 con SP2 per sistemi ItaniumInternet Explorer 7
Windows Vista Service Pack 1 e Windows Vista Service Pack 2Internet Explorer 7
Windows Vista x64 Edition Service Pack 1 e Windows Vista x64 Edition Service Pack 2Internet Explorer 7
Windows Server 2008 per sistemi a 32 bit e Windows Server 2008 per sistemi a 32 bit Service Pack 2Internet Explorer 7
Windows Server 2008 per sistemi x64 e Windows Server 2008 per sistemi x64 Service Pack 2Internet Explorer 7
Windows Server 2008 per sistemi Itanium e Windows Server 2008 per sistemi Itanium Service Pack 2Internet Explorer 7
Internet Explorer 8
Windows XP Service Pack 3Internet Explorer 8
Windows XP Professional x64 Edition Service Pack 2Internet Explorer 8
Windows Server 2003 Service Pack 2Internet Explorer 8
Windows Server 2003 x64 Edition Service Pack 2Internet Explorer 8
Windows Vista Service Pack 1 e Windows Vista Service Pack 2Internet Explorer 8
Windows Vista x64 Edition Service Pack 1 e Windows Vista x64 Edition Service Pack 2Internet Explorer 8
Windows Server 2008 per sistemi a 32 bit e Windows Server 2008 per sistemi a 32 bit Service Pack 2Internet Explorer 8
Windows Server 2008 per sistemi x64 e Windows Server 2008 per sistemi x64 Service Pack 2Internet Explorer 8
Windows 7 per sistemi a 32 bitInternet Explorer 8
Windows 7 per sistemi x64Internet Explorer 8
Windows Server 2008 R2 per sistemi x64Internet Explorer 8
Windows Server 2008 R2 per sistemi ItaniumInternet Explorer 8

Perché quest'advisory è stato rivisto l'11 gennaio 2011?  
Microsoft ha rivisto quest'advisory per comunicare la disponibilità di una nuova soluzione alternativa, che evita il caricamento ricorsivo di fogli di stile CSS in Internet Explorer. Si consiglia agli Amministratori, in particolare a quelli che ritengono di essere sotto attacco attivo sfruttando la vulnerabilità, di valutare l'applicabilità di questa soluzione alternativa per i relativi ambienti aziendali. Per ulteriori informazioni, consultare la sezione Soluzioni alternative.

In che modo la soluzione alternativa che impedisce il caricamento ricorsivo di fogli di stile CSS in Internet Explorer è in grado di bloccare lo sfruttamento della vulnerabilità?  
La soluzione alternativa inserisce una verifica per determinare se un foglio di stile CSS (CSS) sta per essere ricorsivamente caricato in Internet Explorer e, in tal caso, il caricamento del foglio di stile viene interrotto.

Perché non esiste alcuna soluzione manuale per applicare la soluzione alternativa che impedisce il caricamento ricorsivo di fogli di stile CSS in Internet Explorer?  
La soluzione alternativa è disponibile esclusivamente come soluzione di fix automatico di Microsoft. La soluzione di fix automatico di Microsoft usufruisce di una funzionalità in genere utilizzata per rendere compatibili le applicazioni, che ha la capacità di modificare le istruzioni di uno specifico binario quando viene caricato. A causa di questo comportamento dinamico, agli utenti può essere fornita solo una soluzione automatica. Per ulteriori informazioni su questa funzionalità, consultare la sezione relativa allo strumento di compatibilità per gli Amministratori e alla risoluzione dei problemi relativi alla compatibilità delle applicazioni con lo strumento di compatibilità per gli amministratori.

Quando è disponibile un aggiornamento per la protezione, è necessario disattivare la soluzione alternativa che impedisce il caricamento ricorsivo di fogli di stile CSS in Internet Explorer?  
Se risulta disponibile un aggiornamento per la protezione relativo alla vulnerabilità, occorre disattivare la soluzione alternativa sui sistemi applicabili.

Qual è lo scopo di questo advisory?  
Microsoft è a conoscenza di una nuova vulnerabilità che interessa Internet Explorer 6, Internet Explorer 7 e Internet Explorer 8.

Il problema descritto è una vulnerabilità a livello di sicurezza che richiede la pubblicazione di un aggiornamento Microsoft?
Una volta completata l'analisi, Microsoft intraprenderà un'azione appropriata per proteggere i clienti, che potrà includere una soluzione fornita tramite il normale processo di rilascio mensile degli aggiornamenti per la protezione o un aggiornamento per la protezione integrativo, sulla base delle esigenze dei clienti.

In che modo un utente malintenzionato può sfruttare questa vulnerabilità?
Un utente malintenzionato potrebbe pubblicare siti Web appositamente predisposti per sfruttare la vulnerabilità tramite Internet Explorer e quindi convincere un utente a visualizzarli. L'utente malintenzionato potrebbe inoltre servirsi di siti Web manomessi e di siti Web che accettano o pubblicano contenuti o annunci pubblicitari inviati da altri utenti. Questi siti Web possono includere contenuti appositamente predisposti in grado di sfruttare questa vulnerabilità. In tutti questi casi, comunque, non è in alcun modo possibile obbligare gli utenti a visitare questi siti Web. L'utente malintenzionato dovrebbe invece convincere le vittime a visitare il sito, in genere inducendole a fare clic su un collegamento in un messaggio di posta elettronica o di Instant Messenger che le indirizzi al sito.

A quali attacchi viene esposto il sistema a causa di questa vulnerabilità?
Sfruttando questa vulnerabilità, un utente malintenzionato può ottenere gli stessi diritti utente dell'utente connesso. Se l'utente è connesso con privilegi di amministrazione, un utente malintenzionato che sfrutti questa vulnerabilità può assumere il controllo completo del sistema interessato. Potrebbe quindi installare programmi e visualizzare, modificare o eliminare dati oppure creare nuovi account con diritti utente completi.

Cos'è Enhanced Mitigation Experience Toolkit v2.0 (EMET)?
L'Enhanced Mitigation Experience Toolkit (EMET) è un'utilità che aiuta a impedire le vulnerabilità del software grazie alle tecnologie di riduzione dei rischi. Le tecnologie fungono da speciali protezioni e ostacoli che un utente malintenzionato deve sconfiggere per sfruttare le vulnerabilità del software. Queste tecnologie di riduzione dei rischi non garantiscono che le vulnerabilità non possono essere sfruttate, ma rendono lo sfruttamento il più difficile possibile. In molti casi, uno sfruttamento completamente funzionale che può ignorare l'EMET potrebbe non essere mai sviluppato. Per ulteriori informazioni, vedere l'articolo della Microsoft Knowledge Base 2458544.

Utilizzo di EMET per ridurre il rischio degli utenti soggetti a questa vulnerabilità  
L'utilizzo di EMET in Windows Vista e Windows 7 aiuterà a ridurre l'impatto di questa vulnerabilità forzando tutte le DLL a scegliere la funzionalità ASLR. Microsoft ha notato che alcuni codici dei modelli di prova utilizzano tecniche avanzate per eludere la funzionalità ASLR. EMET aiuterà a limitare la vulnerabilità per questi utenti. Per ulteriori informazioni, vedere l'articolo della Microsoft Knowledge Base 2458544.

Definizione della funzionalità ASLR (Address Space Layout Randomization)  
I sistemi che utilizzano ASLR (Address Space Layout Randomization) trasferiscono in modo pseudo-casuale i punti di accesso delle funzioni che normalmente sono allocati in modo prevedibile. La funzionalità ASLR di Windows sposta in modo casuale le DLL o gli eseguibili in una delle 256 celle di memoria. In questo modo, gli utenti malintenzionati che utilizzano indirizzi codificati hanno una probabilità su 256 di individuare la porzione di memoria esatta. Per ulteriori informazioni su ASLR, consultare l'articolo del TechNet Magazine, Il kernel di Windows Vista: Parte 3.

  • Rileggere l'articolo della Microsoft Knowledge Base associato a questo advisory 

    Per ulteriori informazioni su questo problema, vedere l'articolo della Microsoft Knowledge Base 2488013.
  • Proteggi il tuo PC

    Microsoft consiglia di seguire le indicazioni disponibili in Proteggi il tuo PC per attivare un firewall, acquisire aggiornamenti software e installare software antivirus. Per ulteriori informazioni su questi passaggi, visitare il sito Web Proteggi il tuo PC.

    Per ulteriori informazioni sulla protezione in Internet, visitare il sito Web Microsoft Security Central.

Soluzioni alternative

Impedire il caricamento ricorsivo di fogli di stile CSS in Internet Explorer

Questa soluzione alternativa consente di impedire lo sfruttamento della vulnerabilità bloccando il vettore di attacco del foglio di stile CSS (CSS) in Internet Explorer.

Questa soluzione alternativa è disponibile esclusivamente come soluzione di fix automatico di Microsoft. Vedere l'articolo della Microsoft Knowledge Base 2488013 al fine di utilizzare la soluzione di fix automatico di Microsoft per attivare o disattivare questa soluzione alternativa.

Nota I clienti di Internet Explorer che non hanno già applicato l'aggiornamento MS10-090 devono applicare anche l'aggiornamento MS10-090 prima di attivare questa soluzione alternativa.

Impatto della soluzione alternativa. Il blocco del caricamento ricorsivo di un foglio di stile CSS può avere effetti collaterali. Gli utenti potrebbero riscontrare problemi legati alle prestazioni causati dal crescente controllo richiesto per bloccare il caricamento dei file CSS.

Implementazione di Enhanced Mitigation Experience Toolkit (EMET)

Enhanced Mitigation Experience Toolkit (EMET) è un'utilità che aiuta a impedire le vulnerabilità nel applicando fattori attenuanti di base, ad esempio DEP alle applicazioni configurate in EMET.

Al momento, EMET viene fornito con supporto limitato ed è disponibile solo in lingua inglese. Per ulteriori informazioni, vedere l'articolo della Microsoft Knowledge Base 2458544.

Configurare EMET per Internet Explorer dall'interfaccia utente EMET

Per aggiungere iexplore.exe all'elenco delle applicazioni utilizzando EMET, eseguire la procedura seguente:

  1. Fare clic su Start, Tutti i programmi, Enhanced Mitigation Experience Toolkit ed EMET 2.0.
  2. Fare clic su Yes nella richiesta UAC, quindi fare clic su Configure Apps e selezionare Add. Accedere all'applicazione da configurare in EMET.

    Per le installazioni a 32 bit di Internet Explorer la posizione è:
    C:\Programmi (x86)\Internet Explorer\iexplore.exe

    Nota Per i sistemi a 32 bit, il percorso è c:\Programmi\Internet Explorer\iexplore.exe

    Per le installazioni a 64 bit di Internet Explorer la posizione è:
    C:\Programmi\Internet Explorer\iexplore.exe
  3. Fare clic OK e chiudere EMET.

Configurazione di EMET per Internet Explorer da una riga di comando

  • Per le installazioni a 32 bit di IE nei sistemi a 64 bit, eseguire quanto segue da un prompt dei comandi di livello elevato:

    "c:\Programmi (x86)\EMET\EMET_Conf.exe"--add "c:\Programmi (x86)\Internet Explorer\iexplore.exe"

    Note Per i sistemi a 32 bit, il percorso di EMET è c:\Programmi\EMET\EMET_Conf.exe, mentre il percorso di IE è c:\Programmi\Internet Explorer\iexplore.exe
  • Per le installazioni x64 di IE, eseguire quanto segue da un prompt dei comandi di livello elevato:

    "c:\Programmi (x86)\EMET\EMET_Conf.exe"--add "c:\Programmi\Internet Explorer\iexplore.exe"
  • Se il comando viene eseguito correttamente, viene visualizzato il seguente messaggio:

    "The changes you have made may require restarting one or more applications"
  • Se l'applicazione è stata già aggiunta in EMET, viene visualizzato il seguente messaggio:

    Errori: "c:\Programmi (x86)\Internet Explorer\iexplore.exe" conflicts with existing entry for "C:\Programmi (x86)\Internet Explorer\iexplore.exe"

Impostare il livello dell'area di protezione Internet e Intranet locale su "Alta" per bloccare i controlli ActiveX e script attivo in queste aree

È possibile contribuire a una protezione più efficace del sistema dai rischi connessi a questa vulnerabilità, modificando le impostazioni relative all'area di protezione Internet in modo che i controlli ActiveX e lo script attivo vengano bloccati. Tale operazione può essere eseguita impostando la protezione del browser su Alta.

Per alzare il livello di protezione del brower in Internet Explorer, attenersi alla seguente procedura:

  1. Dal menu Strumenti di Internet Explorer, scegliere Opzioni Internet.
  2. Nella finestra di dialogo Opzioni Internet, fare clic sulla scheda Protezione, quindi sull'icona Internet.
  3. In Livello di protezione per l'area, spostare il dispositivo di scorrimento su Alta. Il livello di protezione per tutti i siti Web visitati viene così impostato su Alta.

Nota Se il dispositivo di scorrimento non è visibile, fare clic su Livello predefinito, quindi spostare il dispositivo di scorrimento su Alta.

Nota Con l'impostazione della protezione su Alta, alcuni siti Web potrebbero non funzionare nel modo corretto. Se si incontrano difficoltà nell'utilizzo di un sito Web dopo aver effettuato questa modifica e si è certi che il sito è sicuro, è possibile aggiungere il sito all'elenco Siti attendibili. In questo modo il sito funzionerà correttamente anche quando la protezione è impostata su Alta.

Impatto della soluzione alternativa. Il blocco dei controlli ActiveX e di script attivo può avere effetti collaterali. Numerosi siti Web su Internet o su una rete Intranet utilizzano ActiveX o script attivo per offrire funzionalità aggiuntive. Un sito di e-commerce o di online banking, ad esempio, può utilizzare controlli ActiveX per la visualizzazione dei menu, dei moduli d'ordine o degli estratti conto. Il blocco dei controlli ActiveX o script attivo è un'impostazione globale per tutti i siti Internet e Intranet. Se non si desidera che i controlli ActiveX o script attivo vengano bloccati in tali siti, utilizzare la procedura descritta in "Aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer".

Aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer

Dopo l'impostazione della richiesta di blocco dei controlli ActiveX e dello script attivo nelle aree Internet e Intranet locale, è possibile aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer. In questo modo è possibile continuare a utilizzare i siti Web attendibili nel modo abituale, proteggendo al tempo stesso il sistema da eventuali attacchi dai siti non attendibili. Si raccomanda di aggiungere all'area Siti attendibili solo i siti effettivamente ritenuti attendibili.

A tale scopo, utilizzare la seguente procedura:

  1. In Internet Explorer, scegliere Opzioni Internet dal menu Strumenti e fare clic sulla scheda Protezione.
  2. Nella sezione Selezionare un'area di contenuto Web per specificare le relative impostazioni di protezione fare clic sull'icona Siti attendibili, quindi sul pulsante Siti.
  3. Se si desidera aggiungere siti che non richiedono un canale crittografato, deselezionare la check box Richiedi verifica server (https:) per tutti i siti dell'area.
  4. Digitare nella casella Aggiungi il sito Web all'area l'URL del sito desiderato, quindi fare clic sul pulsante Aggiungi.
  5. Ripetere la procedura per ogni sito da aggiungere all'area.
  6. Fare due volte clic su OK per confermare le modifiche e tornare a Internet Explorer.

Nota È possibile aggiungere qualsiasi sito che si ritiene non eseguirà operazioni dannose sul sistema. In particolare è utile aggiungere i due siti *.windowsupdate.microsoft.com e *.update.microsoft.com, ovvero i siti che ospiteranno l'aggiornamento per cui è richiesto l'utilizzo di un controllo ActiveX per l'installazione.

Altre informazioni

Microsoft Active Protections Program (MAPP)

Per migliorare il livello di protezione offerto ai clienti, Microsoft fornisce ai principali fornitori di software di protezione i dati relativi alle vulnerabilità in anticipo rispetto alla pubblicazione mensile dell'aggiornamento per la protezione. I fornitori di software di protezione possono servirsi di tali dati per fornire ai clienti delle protezioni aggiornate tramite software o dispositivi di protezione, quali antivirus, sistemi di rilevamento delle intrusioni di rete o sistemi di prevenzione delle intrusioni basati su host. Per verificare se tali protezioni attive sono state rese disponibili dai fornitori di software di protezione, visitare i siti Web relativi alle protezioni attive pubblicati dai partner del programma, che sono elencati in Microsoft Active Protections Program (MAPP) Partners.

Commenti e suggerimenti

Supporto

  • Per usufruire dei servizi del supporto tecnico negli Stati Uniti e in Canada, visitare il sito del Security Support. Per ulteriori informazioni sulle opzioni di supporto disponibili, visitare il sito Microsoft Aiuto & Supporto.
  • I clienti internazionali possono ottenere assistenza tecnica presso le filiali Microsoft locali. Per ulteriori informazioni su come contattare Microsoft per ottenere supporto, visitare il sito per il supporto internazionale.
  • Microsoft TechNet Sicurezza fornisce ulteriori informazioni sulla protezione dei prodotti Microsoft.

Dichiarazione di non responsabilità

Le informazioni disponibili in questo advisory sono fornite "come sono" senza garanzie di alcun tipo. Microsoft non rilascia alcuna garanzia, esplicita o implicita, inclusa la garanzia di commerciabilità e di idoneità per uno scopo specifico. Microsoft Corporation o i suoi fornitori non saranno, in alcun caso, responsabili per danni di qualsiasi tipo, inclusi i danni diretti, indiretti, incidentali, consequenziali, la perdita di profitti e i danni speciali, anche qualora Microsoft Corporation o i suoi fornitori siano stati informati della possibilità del verificarsi di tali danni. Alcuni stati non consentono l'esclusione o la limitazione di responsabilità per danni diretti o indiretti e, dunque, la sopracitata limitazione potrebbe non essere applicabile.

Versioni

  • V1.0 (22 dicembre 2010): Pubblicazione dell'advisory.
  • V1.1 (31 dicembre 2010): È stato rivisto il Riepilogo per riflettere le ricerche effettuate sugli attacchi.
  • V1.2 (11 gennaio 2011): Aggiunta la soluzione alternativa che impedisce il caricamento ricorsivo di fogli di stile CSS in Internet Explorer ed è stato rivisto il Riepilogo per riflettere le ricerche effettuate sugli attacchi limitati.
  • V1.3 (11 gennaio 2011): È stata rivista la soluzione alternativa, Non consentire il caricamento ricorsivo di fogli di stile CSS in Internet Explorer, per aumentarne l'efficacia.

Built at 2014-04-18T01:50:00Z-07:00

Il documento è risultato utile?
(1500 caratteri rimanenti)
Grazie per i commenti inviati.
Mostra:
© 2015 Microsoft