Esporta (0) Stampa
Espandi tutto

Advisory Microsoft sulla sicurezza 2490606

Una vulnerabilità del motore di rendering della grafica può consentire l'esecuzione di codice in modalità remota

Data di pubblicazione: venerdì 1 aprile 2011 | Aggiornamento: mercoledì 19 gennaio 2011

Versione: 1.2

Informazioni generali

Riepilogo

Microsoft sta attualmente esaminando nuove segnalazioni pubbliche relative a una vulnerabilità del motore di rendering della grafica Windows. Un utente malintenzionato in grado di sfruttare questa vulnerabilità può eseguire codice arbitrario nel contesto di protezione dell'utente connesso. Potrebbe quindi installare programmi e visualizzare, modificare o eliminare dati oppure creare nuovi account con diritti utente completi. Pertanto, gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.

Al momento Microsoft non è a conoscenza di attacchi che tentano di utilizzare la vulnerabilità segnalata o di conseguenze sui clienti.

Tramite il programma Microsoft Active Protections Program (MAPP) stiamo collaborando attivamente con i nostri partner per fornire loro informazioni da utilizzare per offrire maggiore protezione ai clienti.

Una volta completate le ricerche, Microsoft intraprenderà un'azione appropriata per la protezione dei clienti. In base alle esigenze dei clienti, potrebbe essere necessario distribuire un aggiornamento per la protezione tramite il processo di rilascio mensile oppure un aggiornamento per la protezione integrativo.

Dettagli sull'advisory

Documentazione di riferimento per il problema

Per ulteriori informazioni su questo problema, vedere la seguente documentazione di riferimento:

RiferimentiIdentificazione
Riferimento CVE CVE-2010-3970
Articolo della Microsoft Knowledge Base 2490606

Software interessato e Software non interessato

In questo advisory vengono presi in esame i seguenti prodotti software.

Software interessato
Windows XP Service Pack 3
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 con SP2 per sistemi Itanium
Windows Vista Service Pack 1 e Windows Vista Service Pack 2
Windows Vista x64 Edition Service Pack 1 e Windows Vista x64 Edition Service Pack 2
Windows Server 2008 per sistemi a 32 bit e Windows Server 2008 per sistemi a 32 bit Service Pack 2**
Windows Server 2008 per sistemi x64 e Windows Server 2008 per sistemi x64 Service Pack 2**
Windows Server 2008 per sistemi Itanium e Windows Server 2008 per sistemi Itanium Service Pack 2
Software non interessato
Windows 7 per sistemi a 32 bit
Windows 7 per sistemi x64
Windows Server 2008 R2 per sistemi x64
Windows Server 2008 R2 per sistemi Itanium

**Le installazioni di Server Core non sono interessate. Le vulnerabilità trattate in questo aggiornamento non interessano le edizioni supportate di Windows Server 2008 come indicato, se sono state installate mediante l'opzione di installazione Server Core. Per ulteriori informazioni su questa modalità di installazione, vedere gli articoli di TechNet, Gestione dell'installazione dei componenti di base del server e Manutenzione dell'installazione dei componenti di base del server. Si noti che l'opzione di installazione di Server Core non è disponibile per alcune edizioni di Windows Server 2008; vedere Opzioni di installazione Server Core a confronto.

Qual è lo scopo di questo advisory?
Microsoft è a conoscenza di una nuova segnalazione di vulnerabilità che interessa il motore di rendering della grafica di Windows. Questa vulnerabilità riguarda i sistemi operativi elencati nella sezione Software interessato.

Il problema descritto è una vulnerabilità a livello di sicurezza che richiede la pubblicazione di un aggiornamento Microsoft?  
Microsoft sta attualmente lavorando allo sviluppo di un aggiornamento per la protezione per Windows per risolvere questa vulnerabilità. Microsoft rilascerà tale aggiornamento per la protezione quando soddisferà un livello qualitativo adeguato per una distribuzione su ampia scala.

Qual è la portata o l'impatto di questa vulnerabilità? 
Si tratta di una vulnerabilità legata all'esecuzione di codice in modalità remota. Sfruttando questa vulnerabilità, un utente malintenzionato può assumere il pieno controllo del sistema interessato. Potrebbe quindi installare programmi e visualizzare, modificare o eliminare dati oppure creare nuovi account con diritti utente completi.

Che cos'è la shell di Windows? 
L'interfaccia utente di Microsoft Windows (UI) offre agli utenti accesso a una vasta gamma di oggetti necessari per l'esecuzione di applicazioni e per la gestione del sistema operativo. Tra questi, i più numerosi e conosciuti sono le cartelle e i file che si trovano nelle unità disco del computer. Inoltre, sono presenti altri oggetti virtuali che consentono agli utenti di eseguire azioni come l'invio di file a stampanti remote o l'accesso al Cestino. La shell organizza questi oggetti in uno spazio di nomi gerarchico e offre a utenti e applicazioni un metodo coerente ed efficace per l'accesso e la gestione degli oggetti.

A cosa è dovuto questo rischio?  
La vulnerabilità è causata dall'analisi errata di una miniatura appositamente predisposta da parte del motore di rendering della grafica di Windows, che provoca un overflow dello stack.

A quali attacchi viene esposto il sistema a causa di questa vulnerabilità?
Se un utente è connesso con privilegi di amministrazione, un utente malintenzionato può assumere il controllo completo del sistema interessato. Potrebbe quindi installare programmi e visualizzare, modificare o eliminare dati oppure creare nuovi account con diritti utente completi. Pertanto, gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.

In quale modo un utente malintenzionato può sfruttare questa vulnerabilità?  
Questa vulnerabilità può essere sfruttata solo se un utente apre una miniatura appositamente predisposta.

In uno scenario di attacco tramite posta elettronica, l'utente malintenzionato può inviare un messaggio con un file Microsoft Word o PowerPoint contenente una miniatura appositamente predisposta come allegato e convincere l'utente ad aprire o visualizzare in anteprima il file.

In uno scenario di attacco di rete, un utente malintenzionato potrebbe collocare una miniatura appositamente predisposta o un file contenente una miniatura appositamente predisposta su una condivisione di rete, come in una posizione di UNC o WebDAV e convincere poi l'utente a esplorare la posizione in Esplora risorse. Quando l'utente passa alla condivisione, il percorso di controllo interessato viene avviato tramite il motore di rendering della grafica. La miniatura appositamente predisposta potrebbe sfruttare poi la vulnerabilità ed eseguire il codice nel contesto di protezione dell'utente connesso. Un utente malintenzionato non avrebbe modo di forzare gli utenti a visitare una condivisione di rete, una posizione di UNC o WebDAV. L'utente malintenzionato deve indurre le vittime a visitare la condivisione, in genere inducendole a fare clic su un collegamento in un messaggio di posta elettronica o di messaggistica immediata che le indirizzi alla condivisione di rete o alla posizione UNC o WebDAV.

Che cos'e UNC (Uniformed Naming Convention)? 
L'UNC (Uniformed Naming Convention) è un metodo di identificazione delle risorse, come i nomi delle condivisioni o i file su una rete. Un nome di UNC tipico inizia con due barre rovesciate seguite dal nome di un server, ad esempio \\server\share\subdirectory\filename.

Fattori attenuanti

Per fattore attenuante si intende un'impostazione, una configurazione comune o una procedura consigliata generica esistente in uno stato predefinito in grado di ridurre la gravità nello sfruttamento di una vulnerabilità. I seguenti fattori attenuanti possono essere utili per l'utente:

  • In uno scenario di attacco basato sul Web, l'utente malintenzionato potrebbe pubblicare un sito Web contenente una pagina utilizzata per sfruttare la vulnerabilità. Inoltre, i siti Web manomessi e quelli che accettano o ospitano contenuti o annunci pubblicitari forniti dagli utenti potrebbero presentare contenuti appositamente predisposti per sfruttare questa vulnerabilità. In tutti questi casi, comunque, non è in alcun modo possibile obbligare gli utenti a visitare questi siti Web. L'utente malintenzionato dovrebbe invece convincere le vittime a visitare il sito Web, in genere inducendole a fare clic su un collegamento in un messaggio di posta elettronica o di messaggistica immediata che le indirizzi al sito.
  • Non è possibile sfruttare la vulnerabilità automaticamente per posta elettronica. L'attacco è possibile solo se l'utente apre un allegato a un messaggio di posta elettronica.
  • Sfruttando questa vulnerabilità, un utente malintenzionato può ottenere gli stessi diritti utente dell'utente connesso. Pertanto, gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.

Soluzioni alternative

Per soluzione alternativa si intende un'impostazione o una modifica nella configurazione che non elimina il problema sottostante, ma consente di bloccare gli attacchi noti prima che venga messo a disposizione l'aggiornamento per la protezione. Microsoft ha verificato le seguenti soluzioni alternative e segnala nel corso della discussione se tali soluzioni riducono la funzionalità:

  • Modificare l'elenco di controllo di accesso (ACL) nel file shimgvw.dll in Windows XP e Windows Server 2003

    Nota Consultare l'articolo della Microsoft Knowledge Base 2490606 al fine di utilizzare la soluzione di fix automatico di Microsoft per attivare o disattivare questa soluzione alternativa.

    Per modificare l'elenco di controllo di accesso (ACL) nel file shimgvw.dll in modo da specificare impostazioni più restrittive, eseguire i comandi indicati di seguito dal prompt dei comandi come amministratore:

    Per le edizioni a 32 bit di Windows XP e per Windows Server 2003:

    Echo y| cacls %WINDIR%\SYSTEM32\shimgvw.dll /E /P everyone:N

    Per le edizioni a 64 bit di Windows XP e per Windows Server 2003:

    Echo y| cacls %WINDIR%\SYSTEM32\shimgvw.dll /E /P everyone:N
    Echo y| cacls %WINDIR%\SYSWOW64\shimgvw.dll /E /P everyone:N

    Impatto della soluzione alternativa: I file multimediali gestiti generalmente dal motore di rendering della grafica non verranno visualizzati correttamente.

    Per annullare il risultato della soluzione alternativa:

    Eseguire i comandi seguenti dal prompt dei comandi in qualità di amministratore:

    Per le edizioni a 32 bit di Windows XP e per Windows Server 2003:

    cacls %WINDIR%\SYSTEM32\shimgvw.dll /E /R everyone

    Per le edizioni a 64 bit di Windows XP e per Windows Server 2003:

    cacls %WINDIR%\SYSTEM32\shimgvw.dll /E /R everyone
    cacls %WINDIR%\SYSWOW64\shimgvw.dll /E /R everyone

  • Disattivare la visualizzazione di miniature in Esplora risorse in Windows Vista e Windows Server 2008

    Per disattivare la visualizzazione di miniature in Esplora risorse in Windows Vista e Windows Server 2008, attenersi alla seguente procedura:

    1. Aprire il Pannello di controllo e selezionare Aspetto e personalizzazione.
    2. Selezionare Opzioni cartella dal menu.
    3. Selezionare la scheda Visualizza ed accertarsi che l'opzione Mostra sempre le icone, mai le anteprime sia selezionata. Fare clic su OK per salvare le impostazioni.
    4. Chiudere tutte le istanze aperte di Esplora risorse per applicare la modifica.

    Impatto della soluzione alternativa: Esplora risorse non visualizzerà le miniature.

    Per annullare il risultato della soluzione alternativa:

    Per attivare delle miniature in Windows Vista e Windows Server 2008, attenersi alla seguente procedura:

    1. Aprire il Pannello di controllo e selezionare Aspetto e personalizzazione.
    2. Selezionare Opzioni cartella dal menu.
    3. Selezionare la scheda Visualizza ed accertarsi che l'opzione Mostra sempre le icone, mai le anteprime non sia selezionata. Fare clic su OK per salvare le impostazioni.
    4. Chiudere tutte le istanze aperte di Esplora risorse per applicare la modifica.

Ulteriori interventi consigliati

  • Rileggere l'articolo della Microsoft Knowledge Base associato a questo advisory

    Per ulteriori informazioni su questo problema, vedere l'articolo della Microsoft Knowledge Base 2490606.

  • Aggiornamento regolare di Windows

    Si consiglia a tutti gli utenti di Windows di applicare gli ultimi aggiornamenti per la protezione Microsoft al fine di garantire la massima sicurezza del computer. Per verificare se il software è aggiornato, visitare il sito Windows Update per eseguire la scansione del computer e installare eventuali aggiornamenti ad alta priorità. Se la funzionalità Aggiornamenti automatici è attivata, gli aggiornamenti vengono inviati al computer al momento del rilascio, ma è comunque necessario assicurarsi di installarli.

  • Proteggere il proprio PC

    Microsoft consiglia di seguire le indicazioni disponibili in Proteggi il tuo Computer per attivare un firewall, acquisire aggiornamenti software e installare software antivirus. Per ulteriori informazioni su questi passaggi, visitare il sito Proteggi il tuo Computer.

    Per ulteriori informazioni sulla protezione in Internet, visitare il sito Web Microsoft Security Central.

Altre informazioni

Microsoft Active Protections Program (MAPP)

Per migliorare il livello di protezione offerto ai clienti, Microsoft fornisce ai principali fornitori di software di protezione i dati relativi alle vulnerabilità in anticipo rispetto alla pubblicazione mensile dell'aggiornamento per la protezione. I fornitori di software di protezione possono servirsi di tali dati per fornire ai clienti delle protezioni aggiornate tramite software o dispositivi di protezione, quali antivirus, sistemi di rilevamento delle intrusioni di rete o sistemi di prevenzione delle intrusioni basati su host. Per verificare se tali protezioni attive sono state rese disponibili dai fornitori di software di protezione, visitare i siti Web relativi alle protezioni attive pubblicati dai partner del programma, che sono elencati in Microsoft Active Protections Program (MAPP) Partners.

Commenti e suggerimenti

Supporto

  • Per usufruire dei servizi del supporto tecnico negli Stati Uniti e in Canada, visitare il sito del Security Support. Per ulteriori informazioni sulle opzioni di supporto disponibili, visitare il sito Microsoft Aiuto & Supporto.
  • I clienti internazionali possono ottenere assistenza tecnica presso le filiali Microsoft locali. Per ulteriori informazioni su come contattare Microsoft per ottenere supporto, visitare il sito per il supporto internazionale.
  • Microsoft TechNet Sicurezza fornisce ulteriori informazioni sulla protezione dei prodotti Microsoft.

Dichiarazione di non responsabilità

Le informazioni disponibili in questo advisory sono fornite "come sono" senza garanzie di alcun tipo. Microsoft non rilascia alcuna garanzia, esplicita o implicita, inclusa la garanzia di commerciabilità e di idoneità per uno scopo specifico. Microsoft Corporation o i suoi fornitori non saranno, in alcun caso, responsabili per danni di qualsiasi tipo, inclusi i danni diretti, indiretti, incidentali, consequenziali, la perdita di profitti e i danni speciali, anche qualora Microsoft Corporation o i suoi fornitori siano stati informati della possibilità del verificarsi di tali danni. Alcuni stati non consentono l'esclusione o la limitazione di responsabilità per danni diretti o indiretti e, dunque, la sopracitata limitazione potrebbe non essere applicabile.

Versioni

  • V1.0 (4 gennaio 2011): Pubblicazione dell'advisory.
  • V1.1 (5 gennaio 2011): È stato aggiunto un collegamento alla soluzione di fix automatico di Microsoft per la soluzione alternativa Modificare l'elenco di controllo di accesso (ACL) nel file shimgvw.dll.
  • V1.2 (19 gennaio 2011): È stato chiarito che la soluzione alternativa Modificare l'elenco di controllo di accesso (ACL) nel file shimgvw.dll si applica solo a Windows XP e Windows Server 2003 ed è stata aggiunta una nuova soluzione alternativa, la disattivazione della visualizzazione delle miniature in Esplora risorse in Windows Vista e Windows Server 2008.

Built at 2014-04-18T01:50:00Z-07:00

Il documento è risultato utile?
(1500 caratteri rimanenti)
Grazie per i commenti inviati.
Mostra:
© 2015 Microsoft