Esporta (0) Stampa
Espandi tutto

Advisory Microsoft sulla sicurezza 953818

Pericolo di varia natura da un attacco combinato usando l'applicazione Safari prodotta da Apple su piattaforma Windows

Data di pubblicazione: venerdì 30 maggio 2008 | Aggiornamento: martedì 14 aprile 2009

Versione: 2.0

Microsoft ha esaminato nuove segnalazioni pubbliche di un pericolo di varia natura che consente l'esecuzione di codice in modalità remota in tutte le versioni supportate di Windows XP e Windows Vista in cui è stato installato Safari per Windows. Safari non viene installato su Windows XP o Windows Vista per impostazione predefinita; deve essere installato in modo indipendente o attraverso l'applicazione Apple Software Update. I clienti che utilizzano Safari su Windows devono controllare questo advisory.

Il bollettino Microsoft sulla sicurezza MS09-014, l'aggiornamento cumulativo per la protezione di Internet Explorer (963027) e il bollettino MS09-015, relativo ad una vulnerabilità di varia natura in SearchPath che può consentire l'acquisizione di privilegi più elevati (959426), sono stati pubblicati per risolvere questo problema. Per ulteriori informazioni su questo problema, compresi i collegamenti per il download dell'aggiornamento per la protezione, vedere i bollettini MS09-014 e MS09-015.

Il Supporto Apple ha rilasciato un advisory sulla sicurezza che risolve la vulnerabilità in Safari di Apple 3.1.2 per Windows. Per ulteriori informazioni, vedere l'advisory sulla sicurezza di Apple relativo alle informazioni sul contenuto per la protezione di Safari 3.1.2 per Windows.

Fattori attenuanti:

  • I clienti che hanno modificato la posizione predefinita del contenuto del download di Safari nell'unità locale non sono interessati da questo pericolo di varia natura.

Informazioni generali

Scopo dell'advisory: offrire ai clienti una notifica iniziale e fornire ulteriori informazioni riguardo l'impatto sulle piattaforme Windows interessate.

Stato dell'advisory: pubblicazione dell'advisory

Raccomandazione: consultare le azioni consigliate ed eseguire le configurazioni necessarie.

RiferimentiIdentificazione
L'articolo della Microsoft Knowledge Base 953818
Bollettino Microsoft sulla sicurezza MS09-014
Bollettino Microsoft sulla sicurezza MS09-015
Riferimento CVE CVE-2008-2540

In questo advisory vengono presi in esame i seguenti prodotti software.

Software correlato
Windows XP Service Pack 2
Windows XP Service Pack 3
Windows XP Professional x64 Edition
Windows XP Professional x64 Edition Service Pack 2
Windows Vista
Windows Vista Service Pack 1
Windows Vista x64 Edition
Windows Vista x64 Edition Service Pack 1
Internet Explorer 6 per Windows XP Service Pack 2, Windows XP Service Pack 3, Windows XP Professional x64 Edition e Windows XP Professional x64 Edition Service Pack 2
Internet Explorer 7 per Windows XP Service Pack 2, Windows XP Service Pack 3, Windows XP Professional x64 Edition e Windows XP Professional x64 Edition Service Pack 2
Internet Explorer 7 per Windows Vista, Windows Vista Service Pack 1, Windows Vista x64 Edition e Windows Vista x64 Edition Service Pack 1

Qual è lo scopo di questo advisory?
Questo advisory chiarisce le segnalazioni pubbliche di un pericolo di varia natura che può consentire l'esecuzione di codice in modalità remota e che interessa tutte le edizioni supportate di Windows XP e Windows Vista. Per un elenco completo dei programmi software interessati, consultare i software elencati nella sezione "Cenni preliminari".

Il problema descritto è una vulnerabilità a livello di sicurezza che richiede la pubblicazione di un aggiornamento Microsoft?
Il bollettino Microsoft sulla sicurezza MS09-014, l'aggiornamento cumulativo per la protezione di Internet Explorer (963027) e il bollettino MS09-015, relativo ad una vulnerabilità di varia natura in SearchPath che può consentire l'acquisizione di privilegi più elevati (959426), sono stati pubblicati per risolvere questo problema.

A cosa è dovuta questa minaccia?
La combinazione della posizione predefinita di download in Safari e del modo in cui desktop di Windows gestisce gli eseguibili crea un pericolo di varia natura per cui i file possono essere scaricati sul computer di un utente senza chiedere conferma, consentendone l'esecuzione. Safari è disponibile come installazione autonoma o attraverso l'applicazione Apple Software Update.

A quali attacchi viene esposto il sistema a causa di questa funzionalità?
Un utente malintenzionato potrebbe indurre gli utenti a visitare un sito Web appositamente predisposto per scaricare del contenuto sul computer dell'utente ed eseguire tale contenuto in locale utilizzando le medesime autorizzazioni dell'utente connesso.

  • Applicare gli aggiornamenti indicati nel bollettino Microsoft sulla sicurezza MS09-014, nell'aggiornamento cumulativo per la protezione di Internet Explorer (963027) e nel bollettino MS09-015, relativo ad una vulnerabilità di varia natura in SearchPath che può consentire l'acquisizione di privilegi più elevati (959426), in base all'ambiente in uso.
  • Se si utilizza Apple Safari su Windows, assicurarsi che sia della versione 3.1.2 o successiva. L'ultimo aggiornamento di Apple Safari è disponibile su Apple Safari Download.
  • Rileggere l'articolo della Microsoft Knowledge Base associato a questo advisory.

Soluzioni alternative

Microsoft ha verificato le soluzioni alternative seguenti. Sebbene queste soluzioni alternative non eliminino la vulnerabilità sottostante, consentono di bloccare gli attacchi noti. Se una soluzione alternativa riduce la funzionalità, viene identificata nella sezione seguente.

  • Modifica della posizione per il download del contenuto di Safari in una directory appena creata
    1. Creare una nuova directory, ad esempio c: \SafariDownload.
    2. In Safari, fare clic su Modifica, quindi scegliere Preferenze.
    3. All'opzione, Registra documenti scaricati in:, scegliere la directory appena creata.

Altre informazioni

Riconoscimenti

  • Aviv Raff per aver collaborato con noi e segnalato il pericolo di varia natura di Safari e Microsoft Internet Explorer

Risorse:

Dichiarazione di non responsabilità:

Le informazioni disponibili in questo advisory sono fornite "come sono" senza garanzie di alcun tipo. Microsoft non rilascia alcuna garanzia, esplicita o implicita, inclusa la garanzia di commerciabilità e di idoneità per uno scopo specifico. Microsoft Corporation o i suoi fornitori non saranno, in alcun caso, responsabili per danni di qualsiasi tipo, inclusi i danni diretti, indiretti, incidentali, consequenziali, la perdita di profitti e i danni speciali, anche qualora Microsoft Corporation o i suoi fornitori siano stati informati della possibilità del verificarsi di tali danni. Alcuni stati non consentono l'esclusione o la limitazione di responsabilità per danni diretti o indiretti e, dunque, la sopracitata limitazione potrebbe non essere applicabile.

Versioni:

  • V1.0 (30 maggio 2008): pubblicazione dell'advisory
  • V1.1 (06 giugno 2008): È stata modificata la procedura nella sezione delle soluzioni alternative e sono stati aggiunti i riconoscimenti.
  • V1.2 (20 giugno 2008): Advisory aggiornato per fornire il collegamento al relativo advisory sulla sicurezza di Apple.
  • V1.3 (02 luglio 2008): Soluzione alternative aggiornate.
  • V2.0 (14 aprile 2009): Aggiunti riferimenti e collegamenti a MS09-014 e MS09-015, che risolvono il problema identificato in questo advisory.

Built at 2014-04-18T01:50:00Z-07:00

Il documento è risultato utile?
(1500 caratteri rimanenti)
Grazie per i commenti inviati.
Mostra:
© 2015 Microsoft