Avviso di sicurezza
Microsoft Security Advisory 956391
Aggiornamento cumulativo per i bit di terminazione ActiveX
Pubblicato: 14 ottobre 2008 | Aggiornato: 17 giugno 2009
Versione: 1.3
Microsoft sta rilasciando un nuovo set di bit di terminazione ActiveX con questo avviso. Gli identificatori di classe (CLSID) per questi controlli ActiveX sono elencati nella sezione Domande frequenti di questo avviso.
Questo aggiornamento imposta i bit di interruzione per il software di terze parti seguente:
- Microgaming Download Helper. Il microgaming ha rilasciato un avviso e un aggiornamento che risolve le vulnerabilità. Per altre informazioni, vedere l'avviso di Microgaming. Questo bit di terminazione viene impostato alla richiesta del proprietario del controllo ActiveX. I clienti che richiedono supporto devono contattare Microgaming. Gli identificatori di classe (CLSID) per questo controllo ActiveX sono elencati nella sezione Domande frequenti di questo avviso.
- Lab requisiti di sistema. Husdawg ha pubblicato un avviso e un aggiornamento che risolve una vulnerabilità. Per altre informazioni, vedere l'avviso di Husdawg. Questo bit di terminazione viene impostato alla richiesta del proprietario del controllo ActiveX. I clienti che richiedono supporto devono contattare Husdawg. Gli identificatori di classe (CLSID) per questo controllo ActiveX sono elencati nella sezione Domande frequenti di questo avviso.
- Strumento di caricamento PhotoStockPlus. PhotoStockPlus ha pubblicato un avviso su un controllo vulnerabile. Per altre informazioni, vedere l'avviso di PhotoStockPlus. Questo bit di terminazione viene impostato alla richiesta del proprietario del controllo ActiveX. I clienti che richiedono supporto devono contattare PhotoStockPlus. Gli identificatori di classe (CLSID) per questo controllo ActiveX sono elencati nella sezione Domande frequenti di questo avviso.
Questo aggiornamento imposta i bit di interruzione per i controlli ActiveX risolti nei bollettini sulla sicurezza Microsoft precedenti. Questi bit di terminazione vengono impostati in questo aggiornamento come misura di difesa avanzata:
- Funzioni unsafe in Office Web Components (328130), MS02-044.
- Le vulnerabilità nei componenti Web di Microsoft Office potrebbero consentire l'esecuzione di codice remoto (933103), MS08-017.
- La vulnerabilità nel controllo ActiveX per il Visualizzatore snapshot per Microsoft Access potrebbe consentire l'esecuzione remota del codice (955617), MS08-041.
- Le vulnerabilità in GDI+ potrebbero consentire l'esecuzione di codice remoto (954593), MS08-052.
Per altre informazioni sull'installazione di questo aggiornamento, vedere l'articolo della Microsoft Knowledge Base 956391.
Informazioni generali
Panoramica
Scopo dell'avviso: notifica della disponibilità di un aggiornamento dei bit di terminazione ActiveX.
Stato avviso: l'articolo della Microsoft Knowledge Base e l'aggiornamento associato sono stati rilasciati.
Raccomandazione: esaminare l'articolo della Knowledge Base di riferimento e applicare l'aggiornamento appropriato.
| Riferimenti | Identificazione |
|---|---|
| Articolo della Microsoft Knowledge Base | 956391 |
Questo avviso illustra il software seguente.
| Software correlato |
|---|
| Microsoft Windows 2000 Service Pack 4 |
| Windows XP Service Pack 2 e Windows XP Service Pack 3 |
| Windows XP Professional x64 Edition e Windows XP Professional x64 Edition Service Pack 2 |
| Windows Server 2003 Service Pack 1 e Windows Server 2003 Service Pack 2 |
| Windows Server 2003 x64 Edition e Windows Server 2003 x64 Edition Service Pack 2 |
| Windows Server 2003 con SP1 per sistemi basati su Itanium e Windows Server 2003 con SP2 per sistemi basati su Itanium |
| Windows Vista e Windows Vista Service Pack 1 |
| Windows Vista x64 Edition e Windows Vista x64 Edition Service Pack 1 |
| Windows Server 2008 per sistemi a 32 bit |
| Windows Server 2008 per sistemi basati su x64 |
| Windows Server 2008 per sistemi basati su Itanium |
Domande frequenti
Gli utenti con un'installazione di Windows Server 2008 Server Core devono installare questo aggiornamento?
Agli utenti con un'installazione di Windows Server 2008 Server Core verrà offerto questo aggiornamento, ma non è necessario installarlo. Per altre informazioni sull'opzione di installazione Server Core, vedere Server Core. Si noti che l'opzione di installazione Server Core non si applica a determinate edizioni di Windows Server 2008; vedere Confrontare le opzioni di installazione dei componenti di base del server.
Quando si applica questo aggiornamento, il controllo ActiveX RSClientPrint smette di funzionare. Come si risolve questo problema?
Gli utenti che hanno installato questo aggiornamento e stampano report da un sito Web che incorpora Microsoft Report Viewer Redistributable non potranno stampare finché non aggiornano i server alla versione più recente di Microsoft Report Viewer Redistributable. Gli aggiornamenti per Microsoft Report Viewer Redistributable sono disponibili in MS08-052. Gli utenti che hanno installato questo aggiornamento e stampano report da un sito di Microsoft SharePoint con il componente aggiuntivo Microsoft SQL Server 2005 Reporting Services per Le tecnologie Microsoft SharePoint installate non potranno stampare fino a quando non aggiornano i server SharePoint alla versione più recente del componente aggiuntivo Microsoft SQL Server 2005 Reporting Services per Microsoft SharePoint Technologies. L'aggiornamento richiesto è disponibile nell'Area download Microsoft.
Questo aggiornamento sostituisce l'aggiornamento cumulativo della sicurezza dei bit di terminazioni ActiveX (950760)?
No, ai fini dell'aggiornamento automatico, questo aggiornamento non sostituisce l'aggiornamento cumulativo della sicurezza di ActiveX Kill Bits (950760) descritto nel Bollettino sulla sicurezza Microsoft MS08-032. L'aggiornamento automatico offrirà comunque l'aggiornamento MS08-032 ai clienti indipendentemente dal fatto che abbia installato o meno questo aggiornamento (956391). Tuttavia, i clienti che installano questo aggiornamento (956391) non devono installare l'aggiornamento MS08-032 per essere protetti con tutti i bit di terminazioni impostati in MS08-032.
Perché Microsoft rilascia questo aggiornamento cumulativo per i bit di terminazione ActiveX con un avviso di sicurezza quando sono stati rilasciati gli aggiornamenti del bit di terminazione precedenti con un bollettino sulla sicurezza?
Microsoft sta rilasciando questo aggiornamento cumulativo per i bit di terminazione ActiveX con un avviso perché i nuovi bit di interruzione non influiscono sul software Microsoft o sono stati precedentemente impostati in un bollettino sulla sicurezza Microsoft.
Perché questo avviso non dispone di una classificazione di sicurezza associata?
Questo aggiornamento contiene bit di terminazioni per controlli o controlli di terze parti che sono stati risolti in precedenza negli aggiornamenti della sicurezza. Microsoft non fornisce una classificazione di sicurezza per i controlli vulnerabili di terze parti.
Questo aggiornamento contiene bit di terminazione rilasciati in precedenza in un aggiornamento cumulativo per i bit di terminazione ActiveX?
Sì, questo aggiornamento include anche i bit di interruzione precedentemente impostati in Microsoft Security Advisory 953839.
Questo aggiornamento contiene bit di terminazione forniti in precedenza in un aggiornamento della sicurezza di Internet Explorer?
No, questo aggiornamento non include i bit di terminazione forniti in precedenza in un aggiornamento della sicurezza di Internet Explorer. È consigliabile installare l'aggiornamento cumulativo della sicurezza più recente per Internet Explorer.
Che cos'è un po' di morte?
Una funzionalità di sicurezza in Microsoft Internet Explorer consente di impedire il caricamento di un controllo ActiveX dal motore di rendering HTML di Internet Explorer. Questa operazione viene eseguita impostando un'impostazione del Registro di sistema e viene definita impostazione del bit kill. Dopo aver impostato il bit di interruzione, il controllo non può mai essere caricato, anche quando è completamente installato. L'impostazione del bit di terminazione garantisce che, anche se un componente vulnerabile viene introdotto o introdotto nuovamente in un sistema, rimane inert e innocuo.
Per altre informazioni, vedere l'articolo della Microsoft Knowledge Base 240797: Come arrestare l'esecuzione di un controllo ActiveX in Internet Explorer.
Che cos'è un aggiornamento della sicurezza dei bit di terminazioni ActiveX?
Questo aggiornamento della sicurezza contiene solo gli ID classe (CLSID) di determinati controlli ActiveX che costituiscono la base di questo aggiornamento della sicurezza.
Perché questo aggiornamento non contiene file binari?
Questo aggiornamento apporta solo modifiche al Registro di sistema per disabilitare l'istanza del controllo in Internet Explorer.
È necessario installare questo aggiornamento se il componente interessato non è installato o se si usa la piattaforma interessata?
Sì. L'installazione di questo aggiornamento impedirà l'esecuzione del controllo vulnerabile in Internet Explorer.
È necessario riapplicare questo aggiornamento se si installa un controllo ActiveX descritto in questo aggiornamento della sicurezza in un secondo momento?
No, riapplicare questo aggiornamento non è obbligatorio. Il bit kill impedisce a Internet Explorer di eseguire il controllo anche se il controllo è installato in un secondo momento.
Cosa fa questo aggiornamento?
Questo aggiornamento imposta il bit di terminazione per un elenco di identificatori di classe (CLSID).
L'identificatore di classe seguente è correlato a una richiesta da Microgaming per impostare il bit di terminazione per un controllo ActiveX vulnerabile. Altri dettagli sono disponibili nell'avviso rilasciato da Microgaming:
| Identificatore di classe |
|---|
| {AED98630-0251-4E83-917D-43A23D66D507} |
L'identificatore di classe seguente è correlato a una richiesta di Husdawg per impostare il bit di terminazione per un controllo ActiveX vulnerabile. Altri dettagli sono disponibili nella consulenza rilasciata da Husdawg:
| Identificatore di classe |
|---|
| {67A5F8DC-1A4B-4D66-9F24-A704AD929 edizione Enterprise E} |
L'identificatore di classe seguente è correlato a una richiesta di PhotoStockPlus per impostare il bit di terminazione per un controllo ActiveX vulnerabile. Ulteriori dettagli sono disponibili nella consulenza rilasciata da PhotoStockPlus:
| Identificatore di classe |
|---|
| {E48BB416-C578-4A62-84C9-5E3389ABE5FC} |
Gli identificatori di classe seguenti si riferiscono ai bollettini sulla sicurezza Microsoft MS02-044, MS08-017, MS08-041 e MS08-052 risolti in precedenza. Questi bit di uccisione vengono impostati come difesa in profondità.
| Identificatore di classe | |
| {0002E500-0000-0000-C000-000000000046} | MS02-044 |
| {0002E520-0000-0000-C000-000000000046} | MS02-044 |
| {0002E510-0000-0000-C000-000000000046} | MS08-017 |
| {0002E511-0000-0000-C000-000000000046} | MS08-017 |
| {0002E530-0000-0000-C000-000000000046} | MS08-017 |
| {F0E42D50-368C-11D0-AD81-00A0C90DC8D9} | MS08-041 |
| {F0E42D60-368C-11D0-AD81-00A0C90DC8D9} | MS08-041 |
| {F2175210-368C-11D0-AD81-00A0C90DC8D9} | MS08-041 |
| {FA91DF8D-53AB-455D-AB20-F2F023E498D3} | MS08-052 |
Azioni suggerite
Esaminare l'articolo della Microsoft Knowledge Base associato a questo avviso
Microsoft incoraggia i clienti a installare questo aggiornamento. I clienti interessati a saperne di più su questo aggiornamento devono consultare l'articolo della Microsoft Knowledge Base 956391.
Soluzioni alternative
La soluzione alternativa si riferisce a un'impostazione o a una modifica della configurazione che non corregge la vulnerabilità sottostante, ma che consente di bloccare i vettori di attacco noti prima di applicare l'aggiornamento. Microsoft ha testato le soluzioni alternative e gli stati seguenti nella discussione se una soluzione alternativa riduce le funzionalità:
Impedire l'esecuzione di oggetti COM in Internet Explorer
È possibile disabilitare i tentativi di creare un'istanza di un oggetto COM in Internet Explorer impostando il bit di terminazione per il controllo nel Registro di sistema.Avviso Se si usa l'editor del Registro di sistema in modo errato, è possibile che si verifichino gravi problemi che potrebbero richiedere di reinstallare il sistema operativo. Microsoft non può garantire che sia possibile risolvere i problemi derivanti dall'uso non corretto dell'editor del Registro di sistema. Utilizzare l'editor del Registro di sistema a proprio rischio.
Per i passaggi dettagliati che è possibile usare per impedire l'esecuzione di un controllo in Internet Explorer, vedere l'articolo della Microsoft Knowledge Base 240797. Seguire la procedura descritta in questo articolo per creare un valore di Flag di compatibilità nel Registro di sistema per impedire che un oggetto COM venga creata un'istanza in Internet Explorer.
Nota Gli identificatori di classe e i file corrispondenti in cui sono contenuti gli oggetti ActiveX sono documentati in "Cosa fa questo aggiornamento?" nella sezione domande frequenti precedente. Sostituire {XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXXXXX} di seguito con gli identificatori di classe disponibili in questa sezione.
Per impostare il bit kill per un CLSID con il valore {XXXXXXXX-XXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}, incollare il testo seguente in un editor di testo, ad esempio Blocco note. Salvare quindi il file usando l'estensione .reg nome file.
Editor del Registro di sistema di Windows versione 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{ XXXXXXXX-XXXX-XXXX-XXXXXXXXXXXX }] "Flag di compatibilità"=dword:00000400
È possibile applicare questo file .reg ai singoli sistemi facendo doppio clic su di esso. È anche possibile applicarlo tra domini usando Criteri di gruppo. Per altre informazioni su Criteri di gruppo, visitare i siti Web Microsoft seguenti:
- Raccolta di Criteri di gruppo
- Che cos'è Editor oggetti Criteri di gruppo?
- Impostazioni e strumenti di Criteri di gruppo di base
Nota Per rendere effettive le modifiche, devi riavviare Internet Explorer.
Impatto della soluzione alternativa: non vi è alcun impatto finché l'oggetto non deve essere usato in Internet Explorer.
Altre informazioni
Risorse:
- È possibile fornire commenti e suggerimenti completando il modulo visitando la Guida e il supporto tecnico Microsoft: Contattaci.
- I clienti del Stati Uniti e del Canada possono ricevere supporto tecnico dai servizi di supporto tecnico Microsoft. Per altre informazioni sulle opzioni di supporto disponibili, vedere Guida e supporto tecnico Microsoft.
- I clienti internazionali possono ricevere supporto dalle filiali Microsoft locali. Per altre informazioni su come contattare Microsoft per problemi di supporto internazionale, visitare il supporto internazionale.
- Microsoft TechNet Security fornisce informazioni aggiuntive sulla sicurezza nei prodotti Microsoft.
Declinazione di responsabilità:
Le informazioni fornite in questo avviso vengono fornite "così com'è" senza garanzia di alcun tipo. Microsoft dichiara tutte le garanzie, espresse o implicite, incluse le garanzie di commerciabilità e idoneità per uno scopo specifico. In nessun caso, Microsoft Corporation o i suoi fornitori saranno responsabili di qualsiasi danno, incluso diretto, indiretto, accidentale, consequenziale, perdita di profitti aziendali o danni speciali, anche se Microsoft Corporation o i suoi fornitori sono stati informati della possibilità di tali danni. Alcuni stati non consentono l'esclusione o la limitazione della responsabilità per danni consequenziali o accidentali, pertanto la limitazione precedente potrebbe non essere applicata.
Revisioni:
- V1.0 (14 ottobre 2008): Avviso pubblicato
- V1.1 (29 ottobre 2008): aggiunta della voce Domande frequenti per comunicare la disponibilità di un aggiornamento per un controllo per il quale è stato impostato il bit di terminazione.
- V1.2 (12 novembre 2008): è stato rimosso un riferimento non corretto che l'installazione di Windows Server 2008 Server Core è interessata. Aggiunta di una voce alle domande frequenti per comunicare che gli utenti con l'installazione di Windows Server 2008 Server Core verranno comunque offerti, ma non è necessario installare questo aggiornamento.
- V1.3 (17 giugno 2009): aggiunta di una voce alle domande frequenti per comunicare che ai fini dell'aggiornamento automatico, questo aggiornamento non sostituisce l'aggiornamento cumulativo della sicurezza di ActiveX Kill Bits (950760) descritto nel Bollettino sulla sicurezza Microsoft MS08-032.
Costruito al 2014-04-18T13:49:36Z-07:00