Avviso di sicurezza
Microsoft Security Advisory 953839
Aggiornamento cumulativo per i bit di terminazione ActiveX
Pubblicato: 12 agosto 2008 | Aggiornato: 11 marzo 2009
Versione: 1.3
Microsoft sta rilasciando un nuovo set di bit di terminazione ActiveX con questo avviso.
L'aggiornamento include bit di terminazioni per il software di terze parti seguente:
- Aurigma Image Uploader. Aurigma ha rilasciato un avviso e un aggiornamento che risolve le vulnerabilità. Per altre informazioni, vedere l'avviso di Aurigma. Questi bit di terminazione vengono impostati alla richiesta del proprietario del controllo ActiveX. I clienti che richiedono supporto devono contattare Aurigma. Gli identificatori di classe (CLSID) per questo controllo ActiveX sono elencati nella sezione Domande frequenti di questo avviso.
- Supporto immediato hp. HP ha emesso 2 avvisi, (c01422264) e (c01439758) e un aggiornamento che risolve queste vulnerabilità. Per altre informazioni e percorsi di download, vedere gli avvisi di HP. Questi bit di terminazione vengono impostati alla richiesta del proprietario del controllo ActiveX. I clienti che richiedono supporto devono contattare HP. Gli identificatori di classe (CLSID) per questo controllo ActiveX sono elencati nella sezione Domande frequenti di questo avviso.
Per altre informazioni sull'installazione di questo aggiornamento, vedere l'articolo della Microsoft Knowledge Base 953839.
Informazioni generali
Panoramica
Scopo dell'avviso: notifica della disponibilità di un aggiornamento dei bit di terminazione ActiveX.
Stato avviso: l'articolo della Microsoft Knowledge Base e l'aggiornamento associato sono stati rilasciati.
Raccomandazione: esaminare l'articolo della Knowledge Base di riferimento e applicare l'aggiornamento appropriato.
| Riferimenti | Identificazione |
|---|---|
| Articolo della Microsoft Knowledge Base | 953839 |
Questo avviso illustra il software seguente.
| Software correlato |
|---|
| Microsoft Windows 2000 Service Pack 4 |
| Windows XP Service Pack 2 e Service Pack 3 |
| Windows XP Professional x64 Edition e Windows XP Professional x64 Edition Service Pack 2 |
| Windows Server 2003 Service Pack 1 e Windows Server 2003 Service Pack 2 |
| Windows Server 2003 x64 Edition e Windows Server 2003 x64 Edition Service Pack 2 |
| Windows Server 2003 con SP1 per sistemi basati su Itanium e Windows Server 2003 con SP2 per sistemi basati su Itanium |
| Windows Vista e Windows Vista Service Pack 1 |
| Windows Vista x64 Edition e Windows Vista x64 Edition Service Pack 1 |
| Windows Server 2008 per sistemi a 32 bit |
| Windows Server 2008 per sistemi basati su x64 |
| Windows Server 2008 per sistemi basati su Itanium |
Domande frequenti
Questo aggiornamento sostituisce l'aggiornamento cumulativo della sicurezza dei bit di terminazioni ActiveX (950760)?
No, ai fini dell'aggiornamento automatico, questo aggiornamento non sostituisce l'aggiornamento cumulativo della sicurezza di ActiveX Kill Bits (950760) descritto nel Bollettino sulla sicurezza Microsoft MS08-032. L'aggiornamento automatico offrirà comunque l'aggiornamento MS08-032 ai clienti indipendentemente dal fatto che abbiano installato o meno questo aggiornamento (953839). Tuttavia, i clienti che installano questo aggiornamento (953839) non devono installare l'aggiornamento MS08-032 per essere protetti con tutti i bit di terminazioni impostati in MS08-032.
Gli utenti con un'installazione di Windows Server 2008 Server Core devono installare questo aggiornamento?
Agli utenti con un'installazione di Windows Server 2008 Server Core verrà offerto questo aggiornamento, ma non è necessario installarlo. Per altre informazioni sull'opzione di installazione Server Core, vedere Server Core. Si noti che l'opzione di installazione Server Core non si applica a determinate edizioni di Windows Server 2008; vedere Confrontare le opzioni di installazione dei componenti di base del server.
Perché Microsoft rilascia questo aggiornamento cumulativo per i bit di terminazione ActiveX con un avviso di sicurezza quando sono stati rilasciati gli aggiornamenti del bit di terminazione precedenti con un bollettino sulla sicurezza?
Microsoft sta rilasciando questo aggiornamento cumulativo per i bit di terminazione ActiveX con un avviso perché i nuovi bit di terminazione non influiscono sul software Microsoft.
Perché questo avviso non dispone di una classificazione di sicurezza associata?
Questo aggiornamento contiene bit di terminazioni per i controlli di terze parti non di proprietà di Microsoft. Microsoft non fornisce una classificazione di sicurezza per i controlli vulnerabili di terze parti.
Questo aggiornamento contiene bit di terminazioni rilasciati in precedenza in un aggiornamento cumulativo della sicurezza dei bit di terminazioni ActiveX?
Sì, questo aggiornamento include anche i bit di interruzione impostati in precedenza nel bollettino microsoft sulla sicurezza MS08-032.
Questo aggiornamento contiene bit di terminazione forniti in precedenza in un aggiornamento della sicurezza di Internet Explorer?
No, questo aggiornamento non include i bit di terminazione forniti in precedenza in un aggiornamento della sicurezza di Internet Explorer. È consigliabile installare l'aggiornamento cumulativo della sicurezza più recente per Internet Explorer.
Che cos'è un po' di morte?
Una funzionalità di sicurezza in Microsoft Internet Explorer consente di impedire il caricamento di un controllo ActiveX dal motore di rendering HTML di Internet Explorer. Questa operazione viene eseguita impostando un'impostazione del Registro di sistema e viene definita impostazione del bit kill. Dopo aver impostato il bit di interruzione, il controllo non può mai essere caricato, anche quando è completamente installato. L'impostazione del bit di terminazione garantisce che, anche se un componente vulnerabile viene introdotto o introdotto nuovamente in un sistema, rimane inert e innocuo.
Per altre informazioni, vedere l'articolo della Microsoft Knowledge Base 240797: Come arrestare l'esecuzione di un controllo ActiveX in Internet Explorer.
Che cos'è un aggiornamento della sicurezza dei bit di terminazioni ActiveX?
Questo aggiornamento della sicurezza contiene solo gli ID classe (CLSID) di determinati controlli ActiveX che costituiscono la base di questo aggiornamento della sicurezza.
Perché questo aggiornamento non contiene file binari?
Questo aggiornamento apporta solo modifiche al Registro di sistema per disabilitare l'istanza del controllo in Internet Explorer.
È necessario installare questo aggiornamento se il componente interessato non è installato o se si usa la piattaforma interessata?
Sì. L'installazione di questo aggiornamento impedirà l'esecuzione del controllo vulnerabile in Internet Explorer.
È necessario riapplicare questo aggiornamento se si installa un controllo ActiveX descritto in questo aggiornamento della sicurezza in un secondo momento?
No, riapplicare questo aggiornamento non è obbligatorio. Il bit kill impedisce a Internet Explorer di eseguire il controllo anche se il controllo è installato in un secondo momento.
Cosa fa questo aggiornamento?
Questo aggiornamento imposta il bit di terminazione per un elenco di identificatori di classe (CLSID).
Gli identificatori di classe seguenti sono correlati a una richiesta di Aurigma per eliminare un elenco di identificatori di classe vulnerabili. Altri dettagli sono disponibili nell'avviso rilasciato da Aurigma:
| Identificatore di classe |
|---|
| {B60770C2-0390-41A8-A8DE-61889888D840} |
| {44A6A9CA-AC5B-4C39-8FE6-17E7D06903A9} |
| {76 edizione Enterprise 578D-314B-4755-8365-6E1722C001A2} |
| {F89EF74A-956B-4BD3-A066-4F23DF891982} |
| {101D2283-edizione Enterprise D9-4BA2-8F3F-23DB860946EB} |
| {69C462E1-CD41-49E3-9EC2-D305155718C1} |
| {41473CFB-66B6-45B8-8FB3-2BC9C1FD87BA} |
| {108092BF-B7DB-40D1-B7FB-F55922FCC9BE} |
| {CF08D263-B832-42DB-8950-F40C9E672E27} |
| {F1F51698-7B63-4394-8743-1F4CF1853DE1} |
| {905BF7D7-6BC1-445A-BE53-9478AC096BEB} |
| {916063A5-0098-4FB7-8717-1B2C62DD4E45} |
| {AE2B937E-EA7D-4A8D-888C-B68D7F72A3C4} |
| {AE6C4705-0F11-4ACB-BDD4-37F138BEF289} |
| {FA8932FF-E064-4378-901C-69CB94E3A20A} |
| {3604EC19-E009-4DCB-ABC5-BB95BF92FD8B} |
| {65FB3073-CA8E-42A1-9A9A-2F826D05A843} |
| {7EB2A2EC-1C3A-4946-9614-86D3A10EDBF3} |
| {9BAFC7B3-F318-4BD4-BABB-6E403272615A} |
| {05CD edizione Enterprise 1D-D109-4992-B72B-6D4F5E2AB731} |
| {977315A5-C0DB-4EFD-89C2-10A86CA39A5} |
| {1E0D3332-7441-44FF-A225-AF48E977D8B6} |
| {B85537E9-2D9C-400A-BC92-B04F4D9FF17D} |
| {2C2DE2E6-2AD1-4301-A6A7-DF364858EF01} |
| {0270E604-387F-48ED-BB6D-AA51F51D6FC3} |
| {FC28B75F-F9F6-4C92-AF91-14A3A51C49FB} |
| {86C2B477-5382-4A09-8CA3-E63B1158A377} |
| {8CC18E3F-4E2B-4D27-840E-CB2F99A3A003} |
| {68BBCA71-E1F6-47B2-87D3-369E1349D990} |
| {8DBC7A04-B478-41D5-BE05-5545D565B59C} |
| {D986FE4B-AE67-43C8-9A89-EADDEA3EC6B6} |
| {6CA73E8B-B584-4533-A405-3D6F9C012B56} |
| {6E5E167B-1566-4316-B27F-0DDAB3484CF7} |
| {A7866636-ED52-4722-82A9-6BAABEFDBF96} |
| {B0A08D67-9464-4E73-A549-2CC208AC60D3} |
| {3D6A1A85-DE54-4768-9951-053B3B02B9B0} |
| {947F2947-2296-42FE-92E6-E2E03519B895} |
| {47AF06DD-8E1B-4CA4-8F55-6B1E9FF36ACB} |
| {B26E6120-DD35-4BEA-B1E3-E75F546EBF2A} |
| {926618A9-4035-4CD6-8240-64C58EB37B07} |
| {B95B52E9-B839-4412-96EB-4DABAB2E4E24} |
| {CB05A177-1069-4A7A-AB0A-5E6E00DCDB76} |
| {A233E654-53FF-43AA-B1E2-60DA2E89A1EC} |
| {6981B978-70D9-40B9-B00E-903B6FC8CA8A} |
| {C86 edizione Enterprise 68A-9C77-4441-BD35-14CC6CC4A189} |
| {2875E7A5-edizione Enterprise 3C-4FE7-A23E-DE0529D12028} |
| {66E07EF9-4E89-4284-9632-6D6904B77732} |
| {00D46195-B634-4C41-B53B-5093527FB791} |
| {497 edizione Enterprise 41C-CE06-4DD4-8308-6C730713C646} |
| {7A12547F-B772-4F2D-BE36-CE5D0FA886A1} |
| {0B9C0C26-728C-4FDA-B8DD-59806E20E4D9} |
| {F399F5B6-3C63-4674-B0FF-E94328B1947D} |
| {8C7A23D9-2A9B-4AEA-BA91-3003A316B44D} |
| {E6127E3B-8D17-4BEA-A039-8BB9D0D105A2} |
| {A3796166-A03C-418A-AF3A-060115D4E478} |
| {73BCFD0F-0DAA-4B21-B709-2A8D9D9C692A} |
| {93C5524B-97AE-491E-8EB7-2A3AD964F926} |
| {833E62AD-1655-499F-908E-62DCA1EB2EC6} |
| {285CAE3C-F16A-4A84-9A80-FF23D6E56D68} |
| {AA13BD85-7EC0-4CC8-9958-1BB2AAA32FD0B} |
| {4614C49A-0B7D-4E0D-A877-38CCCFE7D589} |
| {974E1D88-BADF-4C80-8594-A59039C992EA} |
| {692898BE-C7CC-4CB3-A45C-66508B7E2C33} |
| {F6A7FF1B-9951-4CBE-B197-EA554D6DF40D} |
| {038F6F55-C9F0-4601-8740-98EF1CA9DF9A} |
| {652623DC-2BB4-4C1C-ADFB-57A218F1A5 edizione Enterprise} |
| {BA162249-F2C5-4851-8ADC-FC58CB424243} |
| {9275A865-754B-4EDF-B828-FED0F8D344FC} |
| {6C095616-6064-43ca-9180-CF1B6B6A0BE4} |
| {E1A26BBF-26C0-401d-B82B-5C4CC67457E0} |
| {A73BAEFA-edizione Enterprise 65-494D-BEDB-DD3E5A34FA98} |
| {5C6698D9-7BE4-4122-8EC5-291D84DBD4A0} |
| {E4C97925-C194-4551-8831-EABBD0280885} |
| {CC7DA087-B7F4-4829-B038-DA01DFB5D879} |
Gli identificatori di classe seguenti sono correlati a una richiesta da HP per terminare un elenco di identificatori di classe vulnerabili. Altri dettagli sono disponibili negli avvisi (c01422264) e (c01439758) rilasciati da HP:
| Identificatore di classe |
|---|
| {14C1B87C-3342-445F-9B5E-365FF330A3AC} |
| {60178279-6D62-43af-A336-77925651A4C6} |
| {DC4F9DA0-DB05-4BB0-8FB2-03A80FE98772} |
| {0C378864-D5C4-4D9C-854C-432E3BEC9CCB} |
| {93441C07-E57E-4086-B912-F323D741A9D8} |
| {CDAF9CEC-F3EC-4B22-ABA3-9726713560F8} |
| {CF6866F9-B67C-4B24-9957-F91E91E788DC} |
| {A95845D8-8463-4605-B5FB-4F8CFBAC5C47} |
| {B9C13CD0-5A97-4C6B-8A50-7638020E2462} |
| {C70D0641-DDE1-4FD7-A4D4-DA187B80741D} |
| {DE233AFF-8BD5-457E-B7F0-702DBEA5A828} |
| {AB049B11-607B-46C8-BBF7-F4D6AF301046} |
| {910E7ADE-7F75-402D-A4A6-BB1A82362FCA} |
| {42C68651-1700-4750-A81F-A1F5110E0F66} |
| {BF931895-AF82-467A-8819-917C6 edizione Enterprise 2D1F3} |
| {4774922A-8983-4ECC-94FD-7235F06F53A1} |
| {E12DA4F2-BDFB-4EAD-B12F-2725251FA6B0} |
| {C94188F6-0F9F-46B3-8B78-D71907BD8B77} |
| {6470DE80-1635-4B5D-93A3-3701CE148A79} |
| {17E67D4A-23A1-40D8-A049-edizione Enterprise 34C0AF756A} |
| {AB237044-8A3B-42BB-9 edizione Enterprise 1-9BFA6721D9ED} |
| {784F2933-6BDD-4E5F-B1BA-A8D99B603649} |
Azioni suggerite
Esaminare l'articolo della Microsoft Knowledge Base associato a questo avviso
Microsoft incoraggia i clienti a installare questo aggiornamento. I clienti interessati a saperne di più su questo aggiornamento devono consultare l'articolo della Microsoft Knowledge Base 953839.
Soluzioni alternative
La soluzione alternativa si riferisce a un'impostazione o a una modifica della configurazione che non corregge la vulnerabilità sottostante, ma che consente di bloccare i vettori di attacco noti prima di applicare l'aggiornamento. Microsoft ha testato le soluzioni alternative e gli stati seguenti nella discussione se una soluzione alternativa riduce le funzionalità:
Impedire l'esecuzione di oggetti COM in Internet Explorer
È possibile disabilitare i tentativi di creare un'istanza di un oggetto COM in Internet Explorer impostando il bit di terminazione per il controllo nel Registro di sistema.Avviso Se si usa l'editor del Registro di sistema in modo errato, è possibile che si verifichino gravi problemi che potrebbero richiedere di reinstallare il sistema operativo. Microsoft non può garantire che sia possibile risolvere i problemi derivanti dall'uso non corretto dell'editor del Registro di sistema. Utilizzare l'editor del Registro di sistema a proprio rischio.
Per i passaggi dettagliati che è possibile usare per impedire l'esecuzione di un controllo in Internet Explorer, vedere l'articolo della Microsoft Knowledge Base 240797. Seguire la procedura descritta in questo articolo per creare un valore di Flag di compatibilità nel Registro di sistema per impedire che un oggetto COM venga creata un'istanza in Internet Explorer.
Nota Gli identificatori di classe e i file corrispondenti in cui sono contenuti gli oggetti ActiveX sono documentati in "Cosa fa questo aggiornamento?" nella sezione domande frequenti precedente. Sostituire {XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXXXXX} di seguito con gli identificatori di classe disponibili in questa sezione.
Per impostare il bit kill per un CLSID con il valore {XXXXXXXX-XXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}, incollare il testo seguente in un editor di testo, ad esempio Blocco note. Salvare quindi il file usando l'estensione .reg nome file.
Editor del Registro di sistema di Windows versione 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{ XXXXXXXX-XXXX-XXXX-XXXXXXXXXXXX }] "Flag di compatibilità"=dword:00000400
È possibile applicare questo file .reg ai singoli sistemi facendo doppio clic su di esso. È anche possibile applicarlo tra domini usando Criteri di gruppo. Per altre informazioni su Criteri di gruppo, visitare i siti Web Microsoft seguenti:
- Raccolta di Criteri di gruppo
- Che cos'è Editor oggetti Criteri di gruppo?
- Impostazioni e strumenti di Criteri di gruppo di base
Nota Per rendere effettive le modifiche, devi riavviare Internet Explorer.
Impatto della soluzione alternativa: non vi è alcun impatto finché l'oggetto non deve essere usato in Internet Explorer.
Altre informazioni
Risorse:
- È possibile fornire commenti e suggerimenti completando il modulo visitando la Guida e il supporto tecnico Microsoft: Contattaci.
- I clienti del Stati Uniti e del Canada possono ricevere supporto tecnico dai servizi di supporto tecnico Microsoft. Per altre informazioni sulle opzioni di supporto disponibili, vedere Guida e supporto tecnico Microsoft.
- I clienti internazionali possono ricevere supporto dalle filiali Microsoft locali. Per altre informazioni su come contattare Microsoft per problemi di supporto internazionale, visitare il supporto internazionale.
- Microsoft TechNet Security fornisce informazioni aggiuntive sulla sicurezza nei prodotti Microsoft.
Declinazione di responsabilità:
Le informazioni fornite in questo avviso vengono fornite "così com'è" senza garanzia di alcun tipo. Microsoft dichiara tutte le garanzie, espresse o implicite, incluse le garanzie di commerciabilità e idoneità per uno scopo specifico. In nessun caso, Microsoft Corporation o i suoi fornitori saranno responsabili di qualsiasi danno, incluso diretto, indiretto, accidentale, consequenziale, perdita di profitti aziendali o danni speciali, anche se Microsoft Corporation o i suoi fornitori sono stati informati della possibilità di tali danni. Alcuni stati non consentono l'esclusione o la limitazione della responsabilità per danni consequenziali o accidentali, pertanto la limitazione precedente potrebbe non essere applicata.
Revisioni:
- V1.0 (12 agosto 2008): Avviso pubblicato.
- V1.1 (13 agosto 2008): aggiornato per includere collegamenti agli avvisi di HP.
- V1.2 (25 novembre 2008): aggiunta di una voce alle domande frequenti per comunicare che gli utenti con l'installazione di Windows Server 2008 Server Core saranno comunque offerti, ma non è necessario installare questo aggiornamento.
- V1.3 (11 marzo 2009): aggiunta di una voce alle domande frequenti per comunicare che ai fini dell'aggiornamento automatico, questo aggiornamento non sostituisce l'aggiornamento cumulativo della sicurezza di ActiveX Kill Bits (950760) descritto nel Bollettino sulla sicurezza Microsoft MS08-032.
Costruito al 2014-04-18T13:49:36Z-07:00