Esporta (0) Stampa
Espandi tutto

Advisory Microsoft sulla sicurezza 919637

Una vulnerabilità in Word può consentire l'esecuzione di codice in modalità remota

Data di pubblicazione: martedì 10 maggio 2005 | Aggiornamento: venerdì 2 giugno 2006

Microsoft sta attualmente esaminando nuove segnalazioni pubbliche relative ad attacchi limitati di tipo "zero-day" che utilizzano una vulnerabilità in Microsoft Word XP e Microsoft Word 2003. Per sferrare l'attacco, è necessario che un utente apra un documento Word dannoso allegato a un messaggio di posta elettronica o altrimenti fornito da un utente malintenzionato. Nel futuro, Microsoft continuerà ad analizzare le segnalazioni pubbliche per fornire ulteriori indicazioni ai clienti.

Microsoft sta completando lo sviluppo di un aggiornamento per la protezione per Microsoft Word che risolve questa vulnerabilità. L'aggiornamento per la protezione è attualmente in fase di finalizzazione mediante test per garantirne qualità e compatibilità con le applicazioni. L'aggiornamento verrà fornito insieme agli aggiornamenti per la protezione di giugno, il cui rilascio è previsto per il 13 giugno 2006 o prima, come garantito.

Microsoft è spiacente che questa nuova vulnerabilità in Word non sia stata segnalata in modo responsabile, esponendo a potenziali rischi gli utenti di computer, quindi continua a incoraggiare la segnalazione responsabile delle vulnerabilità. Microsoft ritiene che la prassi comune di segnalare le vulnerabilità direttamente al venditore sia nell'interesse di tutti. Questa prassi aiuta a garantire che i clienti ricevano aggiornamenti completi e di elevata qualità per risolvere le vulnerabilità di protezione, evitando l'esposizione ad attacchi dannosi durante lo sviluppo dell'aggiornamento.

Informazioni generali

Scopo dell'advisory: offrire ai clienti una notifica della vulnerabilità divulgata pubblicamente. Per ulteriori informazioni, consultare le sezioni "Soluzioni alternative e fattori attenuanti" e "Interventi consigliati" dell'advisory sulla sicurezza.

Stato dell'advisory: in esame.

Raccomandazione: non aprire o salvare file Microsoft Word provenienti da fonti non attendibili oppure ricevuti inaspettatamente da fonti attendibili. Questa vulnerabilità può essere sfruttata quando un utente apre un file.

RiferimentiIdentificazione
Riferimento CERT VU#446012
Riferimento CVE 2006-2492

In questo advisory vengono presi in esame i seguenti prodotti software.

Software correlato
Microsoft Word 2002
Microsoft Word 2003

Qual è lo scopo di questo advisory?
Microsoft è a conoscenza di una nuova segnalazione di vulnerabilità che interessa Microsoft Word, un componente di Microsoft Office. Questa vulnerabilità riguarda il software elencato nella sezione Cenni preliminari.

Il problema descritto è una vulnerabilità a livello di sicurezza che richiede la pubblicazione di un aggiornamento Microsoft?
Microsoft sta completando lo sviluppo di un aggiornamento per la protezione per Microsoft Word che risolve questa vulnerabilità. L'aggiornamento per la protezione è attualmente in fase di finalizzazione mediante test per garantirne qualità e compatibilità con le applicazioni. L'aggiornamento verrà fornito insieme agli aggiornamenti per la protezione di giugno, il cui rilascio è previsto per il 13 giugno 2006 o prima, come garantito.

Quali sono le versioni di Microsoft Office Word interessate dal presente advisory?
Questo advisory riguarda le funzionalità di Word 2002 e Word 2003.

Quali sono le cause di questa vulnerabilità?
Durante l'apertura di un file Word appositamente predisposto con un puntatore a oggetto non valido, la memoria di sistema potrebbe essere danneggiata in modo da permettere a un utente malintenzionato di eseguire codice non autorizzato.

In quale modo un utente malintenzionato può sfruttare questa vulnerabilità?
In uno scenario di attacco dal Web, l'utente malintenzionato dovrebbe pubblicare un sito contenente un file di Office utilizzato per tentare di sfruttare questa vulnerabilità. Poiché non è in alcun modo possibile obbligare gli utenti a visitare un sito Web dannoso, l'utente malintenzionato dovrebbe invogliare le vittime a visitare il sito Web, in genere inducendole a fare clic su un collegamento che le indirizzi al sito.

In uno scenario di attacco tramite posta elettronica, l'utente malintenzionato potrebbe sfruttare la vulnerabilità inviando un file appositamente predisposto e inducendo l'utente ad aprirlo.

Perché la soluzione alternativa prevede di disattivare Word come editor di posta elettronica?
Se Word è impostato come editor di posta elettronica, viene avviato da Outlook. Quando il cliente prova a avviare Word facendo doppio clic su un file, il programma utilizzerà nuovamente l'istanza già avviata. Se Word è già in esecuzione in modalità normale e il cliente lo avvia in modalità provvisoria, quest'ultima modalità non verrà applicata. Pertanto, si consiglia di disattivare la posta in Word per proteggere il computer da questa vulnerabilità.

Perché la soluzione alternativa prevede l'esecuzione di Word in modalità provvisoria?
La modalità provvisoria impedisce l'esecuzione di componenti aggiuntivi e, in questo caso, di malware.

È stato richiesto di eseguire il ripristino di Office quando Word non era in modalità provvisoria. Come è possibile?
La modalità provvisoria impedisce l'esecuzione di alcune funzionalità di Office. Durante questo processo, il codice vulnerabile non viene caricato.

  • Gli utenti con account configurati in modo da disporre solo di diritti limitati nel sistema sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.
  • Quando è in esecuzione Office XP o Office 2003, la vulnerabilità non può essere sfruttata automaticamente tramite la posta elettronica. L'attacco è possibile solo se l'utente apre un allegato a un messaggio di posta elettronica.
  • In Office XP e Office 2003, la vulnerabilità non può essere sfruttata automaticamente in uno scenario di attacco basato sul Web. L'utente malintenzionato dovrebbe pubblicare un sito Web contenente un file di Office appositamente predisposto per sfruttare la vulnerabilità. Poiché non è in alcun modo possibile obbligare gli utenti a visitare un sito Web dannoso, l'utente malintenzionato dovrebbe invogliare le vittime a visitare il sito Web, in genere inducendole a fare clic su un collegamento che le indirizzi al sito.
  • Office 2000 non è esposto a questa vulnerabilità.
  • Utilizzare Word Viewer 2003 per aprire e visualizzare i file. Word Viewer 2003 non contiene il codice vulnerabile e non è esposto a questo attacco. Può essere scaricato gratuitamente all'indirizzo: http://www.microsoft.com/downloads/details.aspx?displaylang=it&FamilyID=95E24C87-8732-48D5-8689-AB826E7B8FDF.

Microsoft ha verificato le soluzioni alternative seguenti. Sebbene queste soluzioni alternative non eliminino la vulnerabilità sottostante, consentono di bloccare gli attacchi noti. Se una soluzione alternativa riduce la funzionalità, viene identificata nella sezione seguente.

Utilizzare sempre Microsoft Word in modalità provvisoria

Per utilizzare Microsoft Word sempre in modalità provvisoria, attenersi alla seguente procedura.

Passaggio 1 - Disattivare la funzionalità di Outlook per l'utilizzo di Word come editor della posta elettronica

Per i clienti aziendali

Manuale (interazione dell'utente)
I clienti aziendali possono attenersi alla seguente procedura per disattivare la funzionalità di Outlook per l'utilizzo di Word come editor di posta elettronica:

Nota Anche dopo aver applicato le soluzioni alternative, non aprire mai i file Word dal client di posta elettronica, ad esempio Outlook o Hotmail, facendo doppio clic su di essi. Salvare il documento Word in un disco o sul desktop e utilizzare il collegamento "Modalità provvisoria Word".

1. Riavviare il computer.

  1. Aprire Outlook.
  2. Fare clic su Strumenti, Opzioni, quindi scegliere la scheda Formato posta.
  3. Deselezionare la check box Utilizza Microsoft Word per modificare i messaggi di posta elettronica.
  4. Deselezionare la check box Utilizza Microsoft Word per leggere messaggi di posta in formato RTF.
  5. Uscire da Outlook.
  6. Riavviare il computer.

Per ulteriori informazioni su come attivare o disattivare Word come editor di posta elettronica, vedere il seguente sito Web.

Effetto della soluzione alternativa: Gli utenti non potranno utilizzare Word come editor di posta elettronica o il formato RTF per leggere i messaggi di posta.

Utilizzo dei criteri di gruppo

Gli amministratori di dominio possono utilizzare i criteri di gruppo per disattivare Word come editor di posta elettronica degli utenti. Non è necessario riavviare il computer per implementare questa risoluzione.

Per informazioni sull'utilizzo delle chiavi del Registro di sistema con i criteri di gruppo, vedere Using Administrative Template Files with Registry-Based Group Policy e Distributing Registry Changes (informazioni in lingua inglese).

Nota Anche dopo aver applicato le soluzioni alternative che implementano una modifica al Registro di sistema, non aprire mai i file Word da client di posta elettronica diversi da Outlook, ad esempio Hotmail, facendo doppio clic su di essi.

Disattivare WordMail in Word 2003

Editor del Registro di sistema di Windows versione 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Office\11.0\Outlook\Options\Mail]

"EditorPreference"=dword:00020000

"UseWordMail"=dword:00000000

Disattivare WordMail in Word 2002

Editor del Registro di sistema di Windows versione 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Office\10,0\Outlook\Options\Mail]

"EditorPreference"=dword:00020000

"UseWordMail"=dword:00000000

Effetto della soluzione alternativa: Gli utenti non potranno utilizzare Word come editor di posta elettronica o RTF come formato predefinito per leggere i messaggi di posta.

Per gli utenti privati

Gli utenti possono attenersi alla seguente procedura per disattivare la funzionalità di Outlook per l'utilizzo di Word come editor di posta elettronica:

Nota Anche dopo aver applicato le soluzioni alternative, non aprire mai i file Word dal client di posta elettronica, ad esempio Outlook o Hotmail, facendo doppio clic su di essi. Salvare il documento Word in un disco o sul desktop e utilizzare il collegamento "Modalità provvisoria Word".

1. Riavviare il computer.

  1. Aprire Outlook.
  2. Fare clic su Strumenti, Opzioni, quindi scegliere la scheda Formato posta.
  3. Deselezionare la check box Utilizza Microsoft Word per modificare i messaggi di posta elettronica.
  4. Deselezionare la check box Utilizza Microsoft Word per leggere messaggi di posta in formato RTF.
  5. Uscire da Outlook.
  6. Riavviare il computer.
  7. Per ulteriori informazioni su come attivare o disattivare Word come editor di posta elettronica, vedere il seguente sito Web.

Effetto della soluzione alternativa: Gli utenti non potranno utilizzare Word come editor di posta elettronica o RTF come formato predefinito per leggere i messaggi di posta.

Passaggio 2 Aggiungere /safe alla riga di comando WINWORD.EXE

Per i clienti aziendali

L'utilizzo di Word in modalità provvisoria consente di proteggere il sistema interessato dai tentativi di sfruttamento della vulnerabilità.

Tutte le versioni di Word hanno una funzionalità di ripristino delle applicazioni che consente di eseguire Word in modalità provvisoria. La modalità provvisoria disattiva tale funzionalità e impedisce lo sfruttamento del codice vulnerabile. L'elenco completo delle limitazioni è disponibile alla pagina: http://office.microsoft.com/it-it/assistance/HP030823931040.aspx

Nota Anche dopo aver applicato le soluzioni alternative, non aprire mai i file Word dal client di posta elettronica, ad esempio Outlook o Hotmail, facendo doppio clic su di essi. Salvare il documento Word in un disco o sul desktop e utilizzare il collegamento "Modalità provvisoria Word".

  1. Se Word è in esecuzione in modalità provvisoria, nel titolo viene visualizzato MODALITÀ PROVVISORIA.
  2. Fare clic con il pulsante destro del mouse sul desktop.
  3. Selezionare Nuovo/Collegamento.
  4. Selezionare Sfoglia.
  5. Trovare winword.exe.
  6. Aggiungere " /safe" (senza virgolette) alla fine del percorso del file, dopo le virgolette.
  7. Fare clic su Avanti e assegnare al collegamento il nome "Modalità provvisoria Word".
  8. Fare clic su Fine.

Per aprire un documento Word, attenersi alla procedura elencata di seguito:

  1. Salvare il documento Word in un disco o sul desktop.
  2. Avviare Word utilizzando il collegamento "Modalità provvisoria Word" appena creato.
  3. Fare clic su File, Apri, quindi individuare il documento da aprire.

Effetto della soluzione alternativa: Gli utenti che lavorano in modalità provvisoria sono soggetti alle limitazioni descritte nella seguente pagina della Guida in linea: http://office.microsoft.com/it-it/assistance/HP030823931040.aspx

Clienti aziendali che utilizzano i criteri di gruppo

Gli amministratori di dominio possono utilizzare i criteri di gruppo per attivare la modalità provvisoria. Non è necessario riavviare il computer per implementare questa risoluzione.

Nota Anche dopo aver applicato le soluzioni alternative che implementano una modifica al Registro di sistema, non aprire mai i file Word da client di posta elettronica diversi da Outlook, ad esempio Hotmail, facendo doppio clic su di essi.

Per informazioni sull'utilizzo delle chiavi del Registro di sistema con i criteri di gruppo, vedere Using Administrative Template Files with Registry-Based Group Policy e Distributing Registry Changes (informazioni in lingua inglese).

Nota La posizione esatta delle chiavi del Registro di sistema dipende dai percorsi di installazione di Office utilizzati in ciascuna organizzazione. Le chiavi del Registro di sistema devono essere determinate dagli amministratori IT in modo che corrispondano univocamente ai rispettivi percorsi di installazione. Le posizioni elencate negli esempi riportati precedentemente corrispondono ai percorsi di installazione predefiniti per Microsoft Office. Ad esempio, il percorso predefinito di Office 10 nella versione inglese di Windows è "c:\program files\microsoft office\office10".

Nota Per assicurarsi che Word venga caricato in modalità provvisoria al momento dell'apertura, della modifica o della stampa di documenti, è necessario aggiungere il parametro della riga di comando "/safe" (senza le virgolette) ai valori del Registro di sistema "Valore predefinito" e "Comando".

Ad esempio, se è stato installato Office 2003, il valore "Valore predefinito" deve essere modificato nel seguente modo: "C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE" /n /dde /safe e il valore "Comando" deve essere modificato nel seguente modo: “']gAVn-}f(ZXfeAR6.jiWORDFiles>P`os,1@SW=P7v6GPl]Xh /n /dde /safe”.

Nota Il valore "Comando" è una stringa codificata specifica della versione e della lingua e non tutti i sistemi possono dunque visualizzarla esattamente come indicato.

[HKEY_CLASSES_ROOT\Word.Document.8\shell\Edit\command]

[HKEY_CLASSES_ROOT\Word.Document.8\shell\New\command]

[HKEY_CLASSES_ROOT\Word.Document.8\shell\Open\command]

[HKEY_CLASSES_ROOT\Word.Document.8\shell\OpenAsReadOnly\command]

[HKEY_CLASSES_ROOT\Word.Document.8\shell\Print\command]

[HKEY_CLASSES_ROOT\Word.Document.8\shell\Printto\command]

[HKEY_CLASSES_ROOT\Word.Backup.8\shell\New\command]

[HKEY_CLASSES_ROOT\Word.Backup.8\shell\Open\command]

[HKEY_CLASSES_ROOT\Word.Backup.8\shell\Print\command]

[HKEY_CLASSES_ROOT\Word.Backup.8\shell\Printto\command]

[HKEY_CLASSES_ROOT\Word.RTF.8\shell\Edit\command]

[HKEY_CLASSES_ROOT\Word.RTF.8\shell\New\command]

[HKEY_CLASSES_ROOT\Word.RTF.8\shell\Open\command]

[HKEY_CLASSES_ROOT\Word.RTF.8\shell\Print\command]

[HKEY_CLASSES_ROOT\Word.RTF.8\shell\Printto\command]

[HKEY_CLASSES_ROOT\Word.Template.8\shell\New\command]

[HKEY_CLASSES_ROOT\Word.Template.8\shell\Open\command]

[HKEY_CLASSES_ROOT\Word.Template.8\shell\Print\command]

[HKEY_CLASSES_ROOT\Word.Template.8\shell\Printto\command]

[HKEY_CLASSES_ROOT\Word.Wizard.8\shell\New\command]

Effetto della soluzione alternativa: Gli utenti che lavorano in modalità provvisoria sono soggetti alle limitazioni descritte nella seguente pagina della Guida in linea: http://office.microsoft.com/it-it/assistance/HP030823931040.aspx

Per gli utenti privati

  • Utilizzo di Word in modalità provvisoria per gli utenti privati

    L'utilizzo di Word in modalità provvisoria consente di proteggere il sistema interessato dai tentativi di sfruttamento della vulnerabilità.

    Tutte le versioni di Word hanno una funzionalità di ripristino delle applicazioni che consente di eseguire Word in modalità provvisoria. La modalità provvisoria disattiva tale funzionalità e impedisce lo sfruttamento del codice vulnerabile. L'elenco completo delle limitazioni è disponibile alla pagina: http://office.microsoft.com/it-it/assistance/HP030823931040.aspx

    Nota Anche dopo aver applicato le soluzioni alternative, non aprire mai i file Word dal client di posta elettronica, ad esempio Outlook o Hotmail, facendo doppio clic su di essi. Salvare il documento Word in un disco o sul desktop e utilizzare il collegamento "Modalità provvisoria Word".

    1. Se Word è in esecuzione in modalità provvisoria, nel titolo viene visualizzato MODALITÀ PROVVISORIA.
    2. Fare clic con il pulsante destro del mouse sul desktop.
    3. Selezionare Nuovo/Collegamento.
    4. Selezionare Sfoglia.
    5. Trovare winword.exe.
    6. Aggiungere " /safe" (senza virgolette) alla fine del percorso del file, dopo le virgolette.
    7. Fare clic su Avanti e assegnare al collegamento il nome "Modalità provvisoria Word".
    8. Fare clic su Fine.

    Per aprire un documento Word, attenersi alla procedura elencata di seguito:

    1. Salvare il documento Word in un disco o sul desktop.
    2. Avviare Word utilizzando il collegamento "Modalità provvisoria Word" appena creato.
    3. Fare clic su File, Apri, quindi individuare il documento da aprire.

    Effetto della soluzione alternativa: Gli utenti che lavorano in modalità provvisoria sono soggetti alle limitazioni descritte nella seguente pagina della Guida in linea: http://office.microsoft.com/it-it/assistance/HP030823931040.aspx.

Istruzioni relative ai documenti Office in MODALITÀ PROVVISORIA

  • Non aprire file Word incorporati in altre applicazioni, ad esempio Excel, PowerPoint e altre.
  • Non aprire file .doc provenienti da siti Web tramite Internet Explorer o qualsiasi altro browser.
  • Se non viene visualizzato "Modalità provvisoria" nella barra del titolo di Word, il programma non è in esecuzione in questa modalità. Non tentare di aprire alcun file Word poiché si potrebbe essere vulnerabili ai file .doc dannosi.
  • È possibile utilizzare Word Viewer 2003 per aprire qualsiasi file senza essere esposti a questa vulnerabilità.

    Proteggi il tuo PC

    Microsoft incoraggia a seguire le indicazioni disponibili in Proteggi il tuo PC per attivare un firewall, acquisire aggiornamenti software e installare software antivirus. Per ulteriori informazioni su questi passaggi, visitare il sito Web Proteggi il tuo PC.

  • Per ulteriori informazioni sulla protezione in Internet, visitare la home page del sito Microsoft Security.
  • I clienti che ritengono di essere stati attaccati devono contattare l'ufficio FBI locale o pubblicare il proprio reclamo sul sito Web dell'Internet Fraud Complaint Center (IFCC). Per i clienti che risiedono al di fuori degli Stati Uniti, si consiglia di contattare l'autorità giudiziaria locale.

    Per garantire la sicurezza dei sistemi contro i tentativi di sfruttamento delle vulnerabilità, tutti i clienti devono applicare gli aggiornamenti per la protezione più recenti rilasciati da Microsoft. I clienti che hanno abilitato gli aggiornamenti automatici riceveranno automaticamente tutti gli aggiornamenti Windows. Per ulteriori informazioni sugli aggiornamenti per la protezione, visitare il sito Web Sicurezza di Microsoft.
  • Si raccomanda di essere molto cauti nell'accettare trasferimenti di file non richiesti o di dubbia provenienza. Per ulteriori informazioni su come proteggere il computer quando si utilizza MSN Messenger, visitare il sito Web delle domande frequenti su MSN Messenger.

    Aggiornamento regolare di Windows

  • Si consiglia a tutti gli utenti di Windows di applicare gli ultimi aggiornamenti per la protezione Microsoft al fine di garantire la massima sicurezza del computer. Per verificare se il software è aggiornato, visitare il sito Web Windows Update per eseguire la scansione del computer e installare eventuali aggiornamenti ad alta priorità. Se la funzionalità Aggiornamenti automatici è attivata, gli aggiornamenti vengono inviati al computer al momento del rilascio, ma è comunque necessario assicurarsi di installarli.

Altre informazioni

Risorse:

Dichiarazione di non responsabilità:

Le informazioni disponibili in questo advisory sono fornite "come sono" senza garanzie di alcun tipo. Microsoft non rilascia alcuna garanzia, esplicita o implicita, inclusa la garanzia di commerciabilità e di idoneità per uno scopo specifico. Microsoft Corporation o i suoi fornitori non saranno, in alcun caso, responsabili per danni di qualsiasi tipo, inclusi i danni diretti, indiretti, incidentali, consequenziali, la perdita di profitti e i danni speciali, anche qualora Microsoft Corporation o i suoi fornitori siano stati informati della possibilità del verificarsi di tali danni. Alcuni stati non consentono l'esclusione o la limitazione di responsabilità per danni diretti o indiretti e, dunque, la sopracitata limitazione potrebbe non essere applicabile.

Versioni:

  • V1.0 (22 maggio 2006): Pubblicazione dell'advisory
  • V1.1 (02 giugno 2006): Advisory rivisto per aggiornare la sezione "Domande frequenti" e fornire ulteriori informazioni relative al "Passaggio 2 Aggiungere /safe alla riga di comando WINWORD.EXE" della sezione "Clienti aziendali che utilizzano i criteri di gruppo" in "Utilizzare sempre Microsoft Word in modalità provvisoria".

Built at 2014-04-18T01:50:00Z-07:00

Il documento è risultato utile?
(1500 caratteri rimanenti)
Grazie per i commenti inviati.
Microsoft sta conducendo un sondaggio in linea per comprendere l'opinione degli utenti in merito al sito Web di MSDN. Se si sceglie di partecipare, quando si lascia il sito Web di MSDN verrà visualizzato il sondaggio in linea.

Si desidera partecipare?
Mostra:
© 2015 Microsoft