Esporta (0) Stampa
Espandi tutto

Advisory Microsoft sulla sicurezza 955179

Una vulnerabilità nel controllo Activex per Snapshot Viewer per Microsoft Access può consentire l'esecuzione di codice in modalità remota

Data di pubblicazione: lunedì 7 luglio 2008

Microsoft sta esaminando attacchi attivi che utilizzano una vulnerabilità potenziale nel controllo Activex per Snapshot Viewer per Microsoft Access. Un utente malintenzionato potrebbe sfruttare la vulnerabilità creando una pagina Web dannosa. Se un utente visualizza la pagina Web, la vulnerabilità potrebbe consentire l'esecuzione di codice in modalità remota. Sfruttando questa vulnerabilità, un utente malintenzionato può ottenere gli stessi diritti utente dell'utente connesso.

Il controllo Activex per Snapshot Viewer per Microsoft Access consente di visualizzare istantanee di report di Access senza avere versioni standard o runtime di Microsoft Office Access. La vulnerabilità interessa solo il controllo Activex per Snapshot Viewer per Microsoft Office Access 2000, Microsoft Office Access 2002 e Microsoft Office Access 2003.

Il controllo Activex è incluso in tutte le versioni supportate di Microsoft Office Access ad eccezione di Microsoft Office Access 2007. Il controllo Activex è fornito anche con Snapshot Viewer autonomo.

Fattori attenuanti

  • In uno scenario di attacco basato sul Web, l'utente malintenzionato potrebbe pubblicare un sito Web contenente una pagina utilizzata per sfruttare la vulnerabilità. Inoltre, i siti Web manomessi e quelli che accettano o ospitano contenuti forniti dagli utenti potrebbero presentare contenuti appositamente predisposti per sfruttare questa vulnerabilità. Un utente malintenzionato dovrebbe indurre le vittime a visitare il sito Web, in genere inducendole a fare clic su un collegamento in un messaggio di posta elettronica o Instant Messenger che le indirizzi al sito.
  • Sfruttando questa vulnerabilità, un utente malintenzionato può ottenere gli stessi diritti utente dell'utente locale. Gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.
  • Per impostazione predefinita, Internet Explorer in Windows Server 2003 e Windows Server 2008 viene eseguito in una modalità limitata denominata Protezione avanzata. Il livello di protezione per l'area Internet viene così impostato su Alta. Questo è un fattore attenuante per i siti Web che non sono stati aggiunti all'area Siti attendibili di Internet Explorer.

Informazioni generali

Scopo dell'advisory: Notifica di attacchi attivi che interessano il controllo Activex per Snapshot Viewer per Microsoft Office Access 2000, Microsoft Office Access 2002 e Microsoft Office Access 2003.

Stato dell'advisory: Pubblicazione dell'advisory

Raccomandazione: consultare le azioni consigliate ed eseguire le configurazioni necessarie.

RiferimentiIdentificazione
Riferimento CERT VU#837785
Riferimento CVE CVE-2008-2463

In questo advisory vengono presi in esame i seguenti prodotti software.

Software correlato
Snapshot Viewer per Microsoft Access
Microsoft Office Access 2000
Microsoft Office Access 2002
Microsoft Office Access 2003

Qual è lo scopo di questo advisory?
Microsoft è a conoscenza di una nuova segnalazione di vulnerabilità che interessa il controllo Activex per Snapshot Viewer per Microsoft Access. Questa vulnerabilità riguarda il software elencato nella sezione "Cenni preliminari"

Il problema descritto è una vulnerabilità a livello di sicurezza che richiede la pubblicazione di un aggiornamento Microsoft?
Microsoft intraprenderà l'azione appropriata per la protezione dei clienti. Ciò potrebbe includere il rilascio di un aggiornamento della protezione mediante il processo di rilascio di aggiornamenti mensile, un aggiornamento per la protezione integrativo o ulteriori indicazioni per aiutare i clienti a proteggersi.

A cosa è dovuto questo rischio?
Questo rischio è dovuto a una vulnerabilità nel controllo Activex per Snapshot Viewer. Un sito Web appositamente predisposto che è progettato per sfruttare il controllo Activex attraverso Internet Explorer può consentire l'esecuzione di codice in modalità remota. Ciò può comprendere anche siti Web manomessi e siti Web che accettano o ospitano contenuti o pubblicità forniti dagli utenti. Questi siti Web possono includere contenuti appositamente predisposti in grado di sfruttare questa vulnerabilità. In tutti questi casi, comunque, non è in alcun modo possibile obbligare gli utenti a visitare questi siti Web. L'utente malintenzionato dovrebbe invece convincere le vittime a visitare il sito Web, in genere inducendole a fare clic su un collegamento in un messaggio di posta elettronica o di Instant Messenger che le indirizzi al sito. Potrebbe inoltre far visualizzare contenuti Web appositamente predisposti utilizzando banner pubblicitari o altre modalità di invio di contenuti Web ai sistemi interessati.

Che è Snapshot Viewer per il Microsoft Access?
Snapshot Viewer consente di visualizzare un'istantanea di report di Access senza avere le versioni standard o runtime di Microsoft Office Access.

Che cos'è un kill bit?
In Microsoft Internet Explorer è presente una funzionalità di protezione che consente di impedire il caricamento di un controllo ActiveX da parte del motore di rendering HTML di Internet Explorer. Per questo scopo, tale funzione imposta un valore del Registro di sistema, noto come "kill bit". Se il kill bit è impostato, il controllo non può essere caricato, anche se è completamente installato. L'impostazione del kill bit garantisce che se un componente vulnerabile viene introdotto o reintrodotto in un sistema, non procura alcun danno.

Per ulteriori informazioni su un kill bit, consultare l'articolo della Microsoft Knowledge Base 240797: Interruzione dell'esecuzione di un controllo ActiveX in Internet Explorer.

Se nel computer non è installato tale controllo è necessario impostare il kill bit?
Sì. L'impostazione del kill bit blocca l'esecuzione del controllo vulnerabile in Internet Explorer.

Come è possibile stabilire se il controllo è installato?
Una o più delle seguenti chiavi del Registro di sistema saranno impostate:

HKEY_CLASSES_ROOT\CLSID\{F0E42D50-368C-11D0-AD81-00A0C90DC8D9}

HKEY_CLASSES_ROOT\CLSID\{F0E42D60-368C-11D0-AD81-00A0C90DC8D9}

HKEY_CLASSES_ROOT\CLSID\{F2175210-368C-11D0-AD81-00A0C90DC8D9}

Soluzioni alternative

Microsoft ha verificato le soluzioni alternative seguenti. Sebbene queste soluzioni alternative non eliminino la vulnerabilità sottostante, consentono di bloccare gli attacchi noti. Nella voce viene indicato se una soluzione alternativa riduce la funzionalità.

  • Non consentire l'esecuzione degli oggetti COM in Internet Explorer

    È possibile disattivare i tentativi di creare un'istanza di un oggetto COM in Internet Explorer impostando il kill bit per il controllo nel Registro di sistema.

    Avvertenza L'utilizzo non corretto dell'Editor del Registro di sistema potrebbe causare problemi tali da rendere necessaria la reinstallazione del sistema operativo. Microsoft non garantisce la risoluzione di problemi dovuti a un utilizzo non corretto dell'Editor del Registro di sistema. È quindi necessario utilizzare questo strumento con grande attenzione.

    Per ulteriori informazioni su come evitare l'esecuzione di un controllo in Internet Explorer, vedere l'articolo della Microsoft Knowledge Base 240797. In questo articolo viene anche illustrato come creare un valore Compatibility Flags nel Registro di sistema in modo da impedire la creazione di un'istanza dell'oggetto COM in Internet Explorer.

    incollare il seguente testo in un editor di testo come Blocco note. Successivamente, salvare il file utilizzando l'estensione di nome file reg.

    Editor del Registro di sistema di Windows versione 5.00
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{F0E42D50-368C-11D0-AD81-00A0C90DC8D9}]
    "Compatibility Flags"=dword:00000400

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{F0E42D60-368C-11D0-AD81-00A0C90DC8D9}]
    "Compatibility Flags"=dword:00000400

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{F2175210-368C-11D0-AD81-00A0C90DC8D9}]
    "Compatibility Flags"=dword:00000400

    Questo file .reg può essere applicato a singoli sistemi facendo doppio clic su di esso. Inoltre, può essere applicato in domini diversi utilizzando i Criteri di gruppo. Per ulteriori informazioni sui Criteri di gruppo, visitare i seguenti siti Web Microsoft:

    Nota È necessario riavviare Internet Explorer per rendere operativa queste modifiche.

    Effetto della soluzione alternativa: Il controllo Activex non creerà più un'istanza in Internet Explorer. Per i clienti che utilizzano questo controllo per visualizzare un'istantanea dei report senza avere le versioni standard o runtime da Microsoft Office Access 97 a Microsoft Office Access 2007 installate potrebbe essere impossibile visualizzare dei report se utilizzano il controllo Activex per Snapshot Viewer mediante Internet Explorer.

  • Configurare Internet Explorer in modo che venga richiesta conferma prima dell'esecuzione di script attivo oppure disattivare tali script nell'area di protezione Internet e Intranet locale

    È possibile contribuire a una protezione più efficace del sistema dai rischi connessi a questa vulnerabilità modificando le impostazioni in modo che venga richiesta conferma prima di eseguire script attivo o vengano disattivati tali script nell'area di protezione Internet e Intranet locale. A tale scopo, attenersi alla seguente procedura:

    1. In Internet Explorer, scegliere Opzioni Internet dal menu Strumenti.
    2. Selezionare la scheda Protezione.
    3. Selezionare Internet e fare clic sul pulsante Livello personalizzato.
    4. Nella sezione Esecuzione script dell'elenco Impostazioni, selezionare Esecuzione script attivo, quindi fare clic su Chiedi conferma o Disattiva e su OK.
    5. Selezionare Intranet locale, quindi fare clic sul pulsante Livello personalizzato.
    6. Nella sezione Esecuzione script dell'elenco Impostazioni, selezionare Esecuzione script attivo, quindi fare clic su Chiedi conferma o Disattiva e su OK.
    7. Fare due volte clic su OK per tornare a Internet Explorer.

    Nota Se si disattiva Esecuzione script attivo nelle aree di protezione Internet e Intranet locale, alcuni siti Web potrebbero non funzionare nel modo corretto. Se si incontrano difficoltà nell'utilizzo di un sito Web dopo aver effettuato questa modifica e si è certi che il sito è sicuro, è possibile aggiungere il sito all'elenco Siti attendibili. In questo modo il sito funzionerà correttamente.

    Aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer

    Dopo l'impostazione della richiesta di conferma prima dell'esecuzione di controlli ActiveX e script attivo nelle aree Internet e Intranet locale, è possibile aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer. In questo modo è possibile continuare a utilizzare i siti Web attendibili nel modo abituale, proteggendo al tempo stesso il sistema da eventuali attacchi dai siti non attendibili. Si raccomanda di aggiungere all'area Siti attendibili solo i siti effettivamente ritenuti attendibili.

    A tale scopo, attenersi alla seguente procedura:

    1. In Internet Explorer, scegliere Opzioni Internet dal menu Strumenti e fare clic sulla scheda Protezione.
    2. Nella sezione Selezionare un'area di contenuto Web per specificare le relative impostazioni di protezione fare clic sull'icona Siti attendibili, quindi sul pulsante Siti.
    3. Se si desidera aggiungere siti che non richiedono un canale crittografato, deselezionare la check box Richiedi verifica server (https:) per tutti i siti dell'area.
    4. Digitare nella casella Aggiungi il sito Web all'area l'URL del sito desiderato, quindi fare clic sul pulsante Aggiungi.
    5. Ripetere la procedura per ogni sito da aggiungere all'area.
    6. Fare due volte clic su OK per confermare le modifiche e tornare a Internet Explorer.

    Nota È possibile aggiungere qualsiasi sito che si ritiene non eseguirà operazioni dannose sul sistema. In particolare è utile aggiungere i due siti *.windowsupdate.microsoft.com e *.update.microsoft.com, ovvero i siti che ospiteranno l'aggiornamento per cui è richiesto l'utilizzo di un controllo ActiveX per l'installazione.

    Effetto della soluzione alternativa: La visualizzazione di una richiesta di conferma prima dell'esecuzione di script attivo può avere effetti collaterali. Numerosi siti Web su Internet o sua una rete Intranet utilizzano script attivo per offrire funzionalità aggiuntive. Un sito di e-commerce o di online banking, ad esempio, può utilizzare script attivo per la visualizzazione dei menu, dei moduli d'ordine o degli estratti conto. La richiesta di conferma prima dell'esecuzione di script attivo è un'impostazione globale per tutti i siti Internet e Intranet. Se si utilizza questa soluzione alternativa, le richieste di conferma verranno visualizzate di frequente. A ogni richiesta di conferma, se si ritiene che il sito da visitare sia attendibile, fare clic su per consentire l'esecuzione di script attivo. Se non si desidera che venga richiesta conferma per tutti i siti, utilizzare la procedura descritta in "Aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer".

  • Impostare il livello dell'area di protezione Internet e Intranet locale su "Alta" in modo che venga richiesta conferma dell'esecuzione di controlli ActiveX e script attivo in queste aree

    È possibile contribuire a una protezione più efficace del sistema dai rischi connessi a questa vulnerabilità, modificando le impostazioni relative all'area di protezione Internet in modo che venga richiesta conferma prima di eseguire controlli ActiveX e script attivo. Tale operazione può essere eseguita impostando la protezione del browser su Alta.

    Per aumentare il livello di protezione del browser in Internet Explorer, attenersi alla seguente procedura:

    1. Dal menu Strumenti di Internet Explorer, scegliere Opzioni Internet.
    2. Nella finestra di dialogo Opzioni Internet, fare clic sulla scheda Protezione, quindi sull'icona Internet.
    3. In Livello di protezione per l'area, spostare il dispositivo di scorrimento su Alta. Il livello di protezione per tutti i siti Web visitati viene così impostato su Alta.

    Nota Se il dispositivo di scorrimento non è visibile, fare clic su Livello predefinito, quindi spostare il dispositivo di scorrimento su Alta.

    Nota Con l'impostazione della protezione su Alta, alcuni siti Web potrebbero non funzionare nel modo corretto. Se si incontrano difficoltà nell'utilizzo di un sito Web dopo aver effettuato questa modifica e si è certi che il sito è sicuro, è possibile aggiungere il sito all'elenco Siti attendibili. In questo modo il sito funzionerà correttamente anche quando la protezione è impostata su Alta.

    Aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer

    Dopo l'impostazione della richiesta di conferma prima dell'esecuzione di controlli ActiveX e script attivo nelle aree Internet e Intranet locale, è possibile aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer. In questo modo è possibile continuare a utilizzare i siti Web attendibili nel modo abituale, proteggendo al tempo stesso il sistema da eventuali attacchi dai siti non attendibili. Si raccomanda di aggiungere all'area Siti attendibili solo i siti effettivamente ritenuti attendibili.

    A tale scopo, attenersi alla seguente procedura:

    1. In Internet Explorer, scegliere Opzioni Internet dal menu Strumenti e fare clic sulla scheda Protezione.
    2. Nella sezione Selezionare un'area di contenuto Web per specificare le relative impostazioni di protezione fare clic sull'icona Siti attendibili, quindi sul pulsante Siti
    3. Se si desidera aggiungere siti che non richiedono un canale crittografato, deselezionare la check box Richiedi verifica server (https:) per tutti i siti dell'area.
    4. Digitare nella casella Aggiungi il sito Web all'area l'URL del sito desiderato, quindi fare clic sul pulsante Aggiungi.
    5. Ripetere la procedura per ogni sito da aggiungere all'area.
    6. Fare due volte clic su OK per confermare le modifiche e tornare a Internet Explorer.

    Nota È possibile aggiungere qualsiasi sito che si ritiene non eseguirà operazioni dannose sul sistema. In particolare è utile aggiungere i due siti *.windowsupdate.microsoft.com e *.update.microsoft.com, ovvero i siti che ospiteranno l'aggiornamento per cui è richiesto l'utilizzo di un controllo ActiveX per l'installazione.

    Effetto della soluzione alternativa: La visualizzazione di una richiesta di conferma prima dell'esecuzione di controlli ActiveX e di script attivo può avere effetti collaterali. Numerosi siti Web su Internet o sua una rete Intranet utilizzano ActiveX o script attivo per offrire funzionalità aggiuntive. Un sito di e-commerce o di online banking, ad esempio, può utilizzare controlli ActiveX per la visualizzazione dei menu, dei moduli d'ordine o degli estratti conto. La richiesta di conferma prima dell'esecuzione di controlli ActiveX o script attivo è un'impostazione globale per tutti i siti Internet e Intranet. Se si utilizza questa soluzione alternativa, le richieste di conferma verranno visualizzate di frequente. A ogni richiesta di conferma, se si ritiene che il sito da visitare sia attendibile, fare clic su Sì per consentire l'esecuzione dei controlli ActiveX o script attivo. Se non si desidera che venga richiesta conferma per tutti i siti, utilizzare la procedura descritta in "Aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer".

Altre informazioni

Risorse:

Dichiarazione di non responsabilità:

Le informazioni disponibili in questo advisory sono fornite "come sono" senza garanzie di alcun tipo. Microsoft non rilascia alcuna garanzia, esplicita o implicita, inclusa la garanzia di commerciabilità e di idoneità per uno scopo specifico. Microsoft Corporation o i suoi fornitori non saranno, in alcun caso, responsabili per danni di qualsiasi tipo, inclusi i danni diretti, indiretti, incidentali, consequenziali, la perdita di profitti e i danni speciali, anche qualora Microsoft Corporation o i suoi fornitori siano stati informati della possibilità del verificarsi di tali danni. Alcuni stati non consentono l'esclusione o la limitazione di responsabilità per danni diretti o indiretti e, dunque, la sopracitata limitazione potrebbe non essere applicabile.

Versioni:

  • 7 luglio 2008: Pubblicazione dell'advisory

Built at 2014-04-18T01:50:00Z-07:00

Il documento è risultato utile?
(1500 caratteri rimanenti)
Grazie per i commenti inviati.
Mostra:
© 2015 Microsoft