Avviso di sicurezza
Microsoft Security Advisory 953818
Minaccia combinata dall'attacco combinato usando Safari di Apple sulla piattaforma Windows
Pubblicato: 30 maggio 2008 | Aggiornamento: 14 aprile 2009
Versione: 2.0
Microsoft ha esaminato i report pubblici di una minaccia combinata che consente l'esecuzione remota del codice in tutte le versioni supportate di Windows XP e Windows Vista quando è stato installato Safari per Windows di Apple. Safari non è installato con Windows XP o Windows Vista per impostazione predefinita; deve essere installato in modo indipendente o tramite l'applicazione Apple Software Update. I clienti che eseguono Safari in Windows devono esaminare questo avviso.
Microsoft Security Bulletin MS09-014, Aggiornamento cumulativo della sicurezza per Internet Explorer (963027) e MS09-015, vulnerabilità delle minacce blended in SearchPath potrebbe consentire l'elevazione dei privilegi (959426), per risolvere questo problema. Per altre informazioni su questo problema, inclusi i collegamenti di download per gli aggiornamenti della sicurezza, vedere MS09-014 e MS09-015.
Il supporto Apple ha rilasciato un avviso di sicurezza che risolve la vulnerabilità in Safari 3.1.2 di Apple per Windows. Per altre informazioni, vedere l'avviso di sicurezza apple Informazioni sul contenuto della sicurezza di Safari 3.1.2 per Windows .
Fattori di mitigazione:
- I clienti che hanno modificato il percorso predefinito in cui Safari scarica il contenuto nell'unità locale non sono interessati da questa minaccia combinata.
Informazioni generali
Panoramica
Scopo dell'avviso: fornire ai clienti la notifica iniziale e fornire informazioni aggiuntive sull'impatto sulle piattaforme Windows interessate.
Stato avviso: avviso pubblicato.
Raccomandazione: esaminare le azioni suggerite e configurare in base alle esigenze.
| Riferimenti | Identificazione |
|---|---|
| Articolo della Microsoft Knowledge Base | 953818 |
| Bollettino sulla sicurezza Microsoft | MS09-014 |
| Bollettino sulla sicurezza Microsoft | MS09-015 |
| Riferimento CVE | CVE-2008-2540 |
Questo avviso illustra il software seguente.
| Software correlato |
|---|
| Windows XP Service Pack 2 |
| Windows XP Service Pack 3 |
| Windows XP Professional x64 Edition |
| Windows XP Professional x64 Edition Service Pack 2 |
| Windows Vista |
| Windows Vista Service Pack 1 |
| Windows Vista x64 Edition |
| Windows Vista x64 Edition Service Pack 1 |
| Internet Explorer 6 per Windows XP Service Pack 2, Windows XP Service Pack 3, Windows XP Professional x64 Edition e Windows XP Professional x64 Edition Service Pack 2 |
| Internet Explorer 7 per Windows XP Service Pack 2, Windows XP Service Pack 3, Windows XP Professional x64 Edition e Windows XP Professional x64 Edition Service Pack 2 |
| Internet Explorer 7 per Windows Vista, Windows Vista Service Pack 1, Windows Vista x64 Edition e Windows Vista x64 Edition Service Pack 1 |
Domande frequenti
Qual è l'ambito dell'avviso?
Questo avviso chiarisce i report pubblici di una minaccia combinata che potrebbe consentire l'esecuzione remota del codice, che interessa tutte le edizioni supportate di Windows XP e Windows Vista. Per un elenco completo del software interessato, esaminare il software elencato nella sezione "Panoramica".
Si tratta di una vulnerabilità di sicurezza che richiede a Microsoft di eseguire un aggiornamento della sicurezza?
Microsoft Security Bulletin MS09-014, Aggiornamento cumulativo della sicurezza per Internet Explorer (963027) e MS09-015, vulnerabilità delle minacce blended in SearchPath potrebbe consentire l'elevazione dei privilegi (959426), per risolvere questo problema.
Che cosa causa questa minaccia?
Una combinazione del percorso di download predefinito in Safari e del modo in cui il desktop di Windows gestisce i file eseguibili crea una minaccia combinata in cui i file possono essere scaricati nel computer di un utente senza chiedere conferma, consentendo loro di essere eseguiti. Safari è disponibile come installazione autonoma o tramite l'applicazione Apple Software Update.
Cosa può fare un utente malintenzionato che usa questa funzione?
Un utente malintenzionato potrebbe ingannare gli utenti a visitare un sito Web appositamente creato che potrebbe scaricare il contenuto nel computer di un utente ed eseguire il contenuto in locale usando le stesse autorizzazioni dell'utente connesso.
Azioni suggerite
- Applicare gli aggiornamenti nel bollettino microsoft sulla sicurezza MS09-014, aggiornamento cumulativo della sicurezza per Internet Explorer (963027) e MS09-015, vulnerabilità delle minacce blended in SearchPath potrebbe consentire l'elevazione dei privilegi (959426) applicabili all'ambiente.
- Se si usa Apple Safari in Windows, assicurarsi che sia la versione 3.1.2 o successiva. L'aggiornamento più recente di Apple Safari è disponibile in Apple Safari Download.
- Esaminare l'articolo della Microsoft Knowledge Base associato a questo avviso.
Soluzioni alternative
Microsoft ha testato le soluzioni alternative seguenti. Anche se queste soluzioni alternative non correggeranno la vulnerabilità sottostante, consentono di bloccare i vettori di attacco noti. Quando una soluzione alternativa riduce la funzionalità, viene identificata nella sezione seguente.
- Modificare il percorso di download del contenuto in Safari in una directory appena creata
- Creare una nuova directory, ad esempio c:\SafariDownload.
- In Safari fare clic su Modifica, quindi scegliere Preferenze.
- All'opzione Salva file scaricati in:, selezionare la directory appena creata.
Altre informazioni
Riconoscimenti:
- Aviv Raff per lavorare con noi e segnalare la minaccia miscelata di Safari e Microsoft Internet Explorer
Risorse:
- È possibile fornire commenti e suggerimenti completando il modulo visitando la Guida e il supporto tecnico Microsoft: Contattaci.
- I clienti del Stati Uniti e del Canada possono ricevere supporto tecnico dai servizi di supporto tecnico Microsoft. Per altre informazioni sulle opzioni di supporto disponibili, vedere Guida e supporto tecnico Microsoft.
- I clienti internazionali possono ricevere supporto dalle filiali Microsoft locali. Per altre informazioni su come contattare Microsoft per problemi di supporto internazionale, visitare il supporto internazionale.
- Microsoft TechNet Security fornisce informazioni aggiuntive sulla sicurezza nei prodotti Microsoft.
Declinazione di responsabilità:
Le informazioni fornite in questo avviso vengono fornite "così com'è" senza garanzia di alcun tipo. Microsoft dichiara tutte le garanzie, espresse o implicite, incluse le garanzie di commerciabilità e idoneità per uno scopo specifico. In nessun caso, Microsoft Corporation o i suoi fornitori saranno responsabili di qualsiasi danno, incluso diretto, indiretto, accidentale, consequenziale, perdita di profitti aziendali o danni speciali, anche se Microsoft Corporation o i suoi fornitori sono stati informati della possibilità di tali danni. Alcuni stati non consentono l'esclusione o la limitazione della responsabilità per danni consequenziali o accidentali, pertanto la limitazione precedente potrebbe non essere applicata.
Revisioni:
- V1.0 (30 maggio 2008): Avviso pubblicato.
- V1.1 (6 giugno 2008): modifica i passaggi nella soluzione alternativa e aggiunta del riconoscimento.
- V1.2 (20 giugno 2008): avviso aggiornato per fornire un collegamento all'avviso di sicurezza Apple correlato.
- V1.3 (2 luglio 2008): aggiornamento delle azioni suggerite.
- V2.0 (14 aprile 2009): aggiunta di riferimenti e collegamenti a MS09-014 e MS09-015, che risolva il problema in questo avviso.
Costruito al 2014-04-18T13:49:36Z-07:00