Esporta (0) Stampa
Espandi tutto

Advisory Microsoft sulla sicurezza 2868725

Aggiornamento per la disattivazione di RC4

Data di pubblicazione: martedì 12 novembre 2013

Versione: 1.0

Informazioni generali

Riepilogo

Microsoft comunica la disponibilità di un aggiornamento per le edizioni supportate di Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012 e Windows RT per risolvere vulnerabilità note in RC4. L'aggiornamento supporta la rimozione di RC4 come crittografia disponibile sui sistemi interessati nelle impostazioni del Registro di sistema. Consente inoltre agli sviluppatori di rimuovere RC4 nelle singole applicazioni tramite l'utilizzo del flag SCH_USE_STRONG_CRYPTO nella struttura SCHANNEL_CRED. Queste opzioni non sono attivate per impostazione predefinita.

Raccomandazione. Microsoft consiglia ai clienti di scaricare e installare immediatamente l'aggiornamento e verificare le nuove impostazioni nei propri ambienti operativi. Per ulteriori informazioni, consultare la sezione Interventi consigliati di questo advisory.

Problemi noti. L'articolo della Microsoft Knowledge Base 2868725 descrive i problemi attualmente conosciuti che gli utenti potrebbero riscontrare durante l'installazione di questo aggiornamento. L'articolo illustra inoltre le soluzioni consigliate in grado di risolvere questi problemi.

Dettagli sull'advisory

Documentazione di riferimento per il problema

Per ulteriori informazioni su questo problema, vedere la seguente documentazione di riferimento:

RiferimentiIdentificazione
Articolo della Microsoft Knowledge Base 2868725

Software interessato

In questo advisory vengono presi in esame i seguenti prodotti software.

Sistema operativo
Windows 7 per sistemi a 32 bit Service Pack 1
Windows 7 per sistemi x64 Service Pack 1
Windows Server 2008 R2 per sistemi x64 Service Pack 1
Windows Server 2008 R2 per sistemi Itanium Service Pack 1
Windows 8 per sistemi a 32 bit
Windows 8 per sistemi x64
Windows Server 2012
Windows RT
Opzione di installazione Server Core
Windows Server 2008 R2 per sistemi x64 Service Pack 1 (installazione Server Core)
Windows Server 2012 (installazione Server Core)

Questo aggiornamento si applica a Windows 8.1, Windows Server 2012 R2 o Windows RT 8.1?
No. Questo aggiornamento non si applica a Windows 8.1, Windows Server 2012 R2 o Windows RT 8.1 poiché questi sistemi operativi già comprendono la funzionalità che limita l'uso della crittografia RC4.

Qual è lo scopo di questo advisory?
Lo scopo di questo advisory è informare i clienti che è disponibile un aggiornamento per le edizioni supportate di Windows, Windows 7, Windows Server 2008 R2, Windows 8 e Windows Server 2012 che fornisce opzioni aggiuntive per la limitazione dell'uso della crittografia RC4. L'uso di RC4 in TLS e SSL può consentire a un utente malintenzionato di effettuare attacchi di tipo "man-in-the-middle" e rilevare testo non crittografato da sessioni crittografate.

Che cos'è un attacco di tipo "man-in-the-middle"?
Un attacco di tipo "man-in-the-middle" si verifica quando un utente malintenzionato riavvia la comunicazione tra due utenti utilizzando il proprio computer all'insaputa degli utenti che stanno comunicando. Ogni utente coinvolto nella comunicazione invia e riceve traffico dall'utente malintenzionato in modo inconsapevole, poiché crede di comunicare solamente con l'utente desiderato.

Che azioni esegue l'aggiornamento 2868725?
L'aggiornamento supporta la rimozione di RC4 come crittografia disponibile sui sistemi interessati nelle impostazioni del Registro di sistema. Consente inoltre agli sviluppatori di rimuovere RC4 nelle singole applicazioni tramite l'utilizzo del flag SCH_USE_STRONG_CRYPTO nella struttura SCHANNEL_CRED. Queste opzioni non sono attivate per impostazione predefinita. Microsoft consiglia ai clienti di verificare le nuove impostazioni per la disattivazione di RC4 prima di implementarle nei propri ambienti operativi.

L'aggiornamento ha delle conseguenze sull'esperienza dell'utente con Internet Explorer o altre applicazioni preconfigurate?
No. Le modifiche implementate con l'aggiornamento sono invisibili all'utente e non hanno alcun impatto sull'esperienza dell'utente con Internet Explorer o altre applicazioni preconfigurate. Tuttavia, è possibile che modifiche successive alle impostazioni per la disattivazione di RC4 abbiano delle conseguenze sull'esperienza dell'utente con Internet Explorer o altre applicazioni che utilizzano TLS. Per questo motivo, si raccomanda ai clienti di verificare attentamente tutte le nuove impostazioni relative alla disattivazione di RC4.

Come prepararsi per questa versione?
Consultare la sezione Interventi consigliati di questo advisory per un elenco di azioni da eseguire in preparazione all'implementazione di questo aggiornamento.

Che cos'è Schannel?
Secure Channel, noto anche come Schannel, è un SSP (Security Support Provider) contenente un insieme di protocolli di protezione che forniscono l'autenticazione dell'identità e comunicazioni private e protette tramite crittografia. Schannel viene utilizzato principalmente per le applicazioni Internet che richiedono comunicazioni HTTP (Hypertext Transfer Protocol) protette. Per ulteriori informazioni, vedere Secure Channel.

Che cos'è TLS?
TLS (Transport Layer Security) è un protocollo standard utilizzato per fornire comunicazioni Web protette sulle reti Internet e intranet. Esso consente ai client di autenticare i server oppure, facoltativamente, ai server di autenticare i client. Fornisce inoltre un canale protetto per la crittografia delle comunicazioni. TLS è la versione più recente del protocollo SSL (Secure Sockets Layer).

Che cos'è RC4?
RC4 è una crittografia di flusso utilizzata per le operazioni di crittografia e decrittografia.

Applicare l'aggiornamento p er le versioni interessate di Microsoft Windows

Se la funzionalità Aggiornamenti automatici è abilitata, gli utenti non devono intraprendere alcuna azione, poiché l'aggiornamento 2868725 viene scaricato e installato automaticamente. Gli utenti che non hanno attivato la funzionalità Aggiornamenti automatici devono verificare la disponibilità di aggiornamenti e installare questo aggiornamento manualmente. Per informazioni sulle opzioni di configurazione specifiche relative agli aggiornamenti automatici, vedere l'articolo della Microsoft Knowledge Base 294871.

Per gli amministratori e le installazioni delle organizzazioni o gli utenti finali che desiderano installare manualmente l'aggiornamento 2868725, Microsoft consiglia di applicare immediatamente l'aggiornamento utilizzando il software di gestione degli aggiornamenti o verificando la disponibilità degli aggiornamenti tramite il servizio Microsoft Update. Per ulteriori informazioni su come applicare l'aggiornamento manualmente, vedere l'articolo della Microsoft Knowledge Base 2868725.

Verificare attentamente le nuove impostazioni prima di implementarle nel proprio ambiente operativo

Dopo aver applicato l'aggiornamento, Microsoft consiglia ai clienti di verificare le nuove impostazioni per la disattivazione di RC4 prima di implementarle nei propri ambienti operativi. La mancata verifica delle nuove impostazioni può compromettere l'esperienza dell'utente con Internet Explorer o altre applicazioni che utilizzano TLS.

Altre informazioni

Commenti e suggerimenti

Supporto

Dichiarazione di non responsabilità

Le informazioni disponibili in questo advisory sono fornite "come sono" senza garanzie di alcun tipo. Microsoft non rilascia alcuna garanzia, esplicita o implicita, inclusa la garanzia di commerciabilità e di idoneità per uno scopo specifico. Microsoft Corporation o i suoi fornitori non saranno, in alcun caso, responsabili per danni di qualsiasi tipo, inclusi i danni diretti, indiretti, incidentali, consequenziali, la perdita di profitti e i danni speciali, anche qualora Microsoft Corporation o i suoi fornitori siano stati informati della possibilità del verificarsi di tali danni. Alcuni stati non consentono l'esclusione o la limitazione di responsabilità per danni diretti o indiretti e, dunque, la sopracitata limitazione potrebbe non essere applicabile.

Versioni

  • V1.0 (12 novembre 2013): Pubblicazione dell'advisory.

Built at 2014-04-18T01:50:00Z-07:00

Il documento è risultato utile?
(1500 caratteri rimanenti)
Grazie per i commenti inviati.
Mostra:
© 2015 Microsoft