Avviso di sicurezza
Microsoft Security Advisory 969898
Aggiornamento cumulativo per i bit di terminazione ActiveX
Pubblicato: 9 giugno 2009 | Aggiornato: 17 giugno 2009
Versione: 1.1
Microsoft sta rilasciando un nuovo set di bit di terminazione ActiveX con questo avviso.
L'aggiornamento include un bit di terminazioni da un aggiornamento cumulativo Microsoft pubblicato in precedenza:
L'aggiornamento include anche i bit di interruzione per il software di terze parti seguente:
- Microgaming. Questo aggiornamento della sicurezza imposta un bit di terminazione per un controllo ActiveX sviluppato da Microgaming. Microgaming ha rilasciato un aggiornamento della sicurezza che risolve una vulnerabilità nel componente interessato. Per altre informazioni e percorsi di download, vedere la versione di sicurezza di Microgaming. Questo bit di terminazione viene impostato alla richiesta del proprietario dei controlli ActiveX. Gli identificatori di classe (CLSID) per questo controllo ActiveX sono elencati nella sezione Domande frequenti di questo avviso.
- Componente di caricamento immagini avanzate di eBay. Questo aggiornamento della sicurezza imposta un bit di interruzione per un controllo ActiveX sviluppato da eBay. eBay ha rilasciato un aggiornamento della sicurezza che risolve una vulnerabilità nel componente interessato. Per ulteriori informazioni e posizioni di download, vedi il rilascio di sicurezza da eBay. Questo bit di terminazione viene impostato alla richiesta del proprietario dei controlli ActiveX. Gli identificatori di classe (CLSID) per questo controllo ActiveX sono elencati nella sezione Domande frequenti di questo avviso.
- HP Virtual Room v7.0. Questo aggiornamento della sicurezza imposta un bit di interruzione per un controllo ActiveX sviluppato da Heview-Packard (HP). HP ha rilasciato un aggiornamento della sicurezza che risolve una vulnerabilità nel componente interessato. Per altre informazioni e percorsi di download, vedere la versione di sicurezza di HP. Questo bit di terminazione viene impostato alla richiesta del proprietario dei controlli ActiveX. Gli identificatori di classe (CLSID) per questo controllo ActiveX sono elencati nella sezione Domande frequenti di questo avviso.
Per altre informazioni sull'installazione di questo aggiornamento, vedere l'articolo della Microsoft Knowledge Base 969898.
Informazioni generali
Panoramica
Scopo dell'avviso: notifica della disponibilità di un aggiornamento dei bit di terminazione ActiveX.
Stato avviso: l'articolo della Microsoft Knowledge Base e l'aggiornamento associato sono stati rilasciati.
Raccomandazione: esaminare l'articolo della Knowledge Base di riferimento e applicare l'aggiornamento appropriato.
| Riferimenti | Identificazione |
|---|---|
| Riferimento CVE | CVE-2008-0024 |
| Articolo della Microsoft Knowledge Base | 969898 |
Questo avviso illustra il software seguente.
| Software correlato |
|---|
| Microsoft Windows 2000 Service Pack 4 |
| Windows XP Service Pack 2 e Windows XP Service Pack 3 |
| Windows XP Professional x64 Edition Service Pack 2 |
| Windows Server 2003 Service Pack 2 |
| Windows Server 2003 x64 Edition Service Pack 2 |
| Windows Server 2003 con SP2 per sistemi basati su Itanium |
| Windows Vista, Windows Vista Service Pack 1 e Windows Vista Service Pack 2 |
| Windows Vista x64 Edition, Windows Vista x64 Edition Service Pack 1 e Windows Vista x64 Edition Service Pack 2 |
| Windows Server 2008 per sistemi a 32 bit e Windows Server 2008 per sistemi a 32 bit Service Pack 2 |
| Windows Server 2008 per sistemi basati su x64 e Windows Server 2008 per sistemi basati su x64 Service Pack 2 |
| Windows Server 2008 per sistemi basati su Itanium e Windows Server 2008 per Sistemi basati su Itanium Service Pack 2 |
Domande frequenti
Gli utenti con un'installazione di Windows Server 2008 Server Core devono installare questo aggiornamento?
Gli utenti con un'installazione di Windows Server 2008 Server Core non devono installare questo aggiornamento. Per altre informazioni sull'opzione di installazione Server Core, vedere Server Core. Si noti che l'opzione di installazione Server Core non si applica a determinate edizioni di Windows Server 2008; vedere Confrontare le opzioni di installazione dei componenti di base del server.
Perché questo avviso non dispone di una classificazione di sicurezza associata?
Questo aggiornamento contiene un bit di terminazione per un aggiornamento rilasciato in precedenza in un Service Pack, nonché i bit di terminazione per i controlli di terze parti non di proprietà di Microsoft. Microsoft non fornisce una classificazione di sicurezza per i Service Pack o i controlli di terze parti vulnerabili.
Questo aggiornamento sostituisce l'aggiornamento cumulativo della sicurezza dei bit di terminazioni ActiveX (950760)?
No, ai fini dell'aggiornamento automatico, questo aggiornamento non sostituisce l'aggiornamento cumulativo della sicurezza di ActiveX Kill Bits (950760) descritto nel Bollettino sulla sicurezza Microsoft MS08-032. L'aggiornamento automatico offrirà comunque l'aggiornamento MS08-032 ai clienti indipendentemente dal fatto che abbiano installato o meno questo aggiornamento (969898). Tuttavia, i clienti che installano questo aggiornamento (969898) non devono installare l'aggiornamento MS08-032 per essere protetti con tutti i bit di terminazioni impostati in MS08-032.
Perché Microsoft rilascia questo aggiornamento cumulativo per i bit di terminazione ActiveX con un avviso di sicurezza quando sono stati rilasciati gli aggiornamenti del bit di terminazione precedenti con un bollettino sulla sicurezza?
Microsoft sta rilasciando questo aggiornamento cumulativo per i bit di terminazione ActiveX con un avviso perché i nuovi bit di terminazione non influiscono sul software Microsoft o sono stati precedentemente impostati in un aggiornamento software Microsoft.
Questo aggiornamento contiene bit di terminazione rilasciati in precedenza in un aggiornamento cumulativo per i bit di terminazione ActiveX?
Sì, questo aggiornamento include anche i bit di interruzione impostati in precedenza in Microsoft Security Advisory 960715.
Questo aggiornamento contiene bit di terminazione rilasciati in precedenza in un aggiornamento della sicurezza di Internet Explorer?
No, questo aggiornamento non include i bit di terminazione rilasciati in precedenza in un aggiornamento della sicurezza di Internet Explorer. È consigliabile installare l'aggiornamento cumulativo della sicurezza più recente per Internet Explorer.
Che cos'è un po' di morte?
Una funzionalità di sicurezza in Microsoft Internet Explorer consente di impedire il caricamento di un controllo ActiveX dal motore di rendering HTML di Internet Explorer. Questa operazione viene eseguita impostando un'impostazione del Registro di sistema e viene definita impostazione del bit kill. Dopo aver impostato il bit di interruzione, il controllo non può mai essere caricato, anche quando è completamente installato. L'impostazione del bit di terminazione garantisce che, anche se un componente vulnerabile viene introdotto o introdotto nuovamente in un sistema, rimane inert e innocuo.
Per altre informazioni, vedere l'articolo della Microsoft Knowledge Base 240797: Come arrestare l'esecuzione di un controllo ActiveX in Internet Explorer.
Che cos'è un aggiornamento della sicurezza dei bit di terminazioni ActiveX?
Questo aggiornamento della sicurezza contiene solo gli ID classe (CLSID) di determinati controlli ActiveX che costituiscono la base di questo aggiornamento della sicurezza.
Perché questo aggiornamento non contiene file binari?
Questo aggiornamento apporta solo modifiche al Registro di sistema per disabilitare l'istanza del controllo in Internet Explorer.
È necessario installare questo aggiornamento se il componente interessato non è installato o se si usa la piattaforma interessata?
Sì. L'installazione di questo aggiornamento impedirà l'esecuzione del controllo vulnerabile in Internet Explorer.
È necessario riapplicare questo aggiornamento se si installa un controllo ActiveX descritto in questo aggiornamento della sicurezza in un secondo momento?
No, riapplicare questo aggiornamento non è obbligatorio. Il bit kill impedisce a Internet Explorer di eseguire il controllo anche se il controllo è installato in un secondo momento.
Cosa fa questo aggiornamento?
Questo aggiornamento imposta il bit di terminazione per un elenco di identificatori di classe (CLSID).
Gli identificatori di classe seguenti sono correlati alla MSCOMM32. Controllo loader ATL DI ESEMPIO indirizzato nell'aggiornamento cumulativo di Microsoft Visual Basic 6.0 Service Pack 6 (KB957924):
| Identificatore di classe |
|---|
| {648A5600-2C6E-101B-82B6-00000000014} |
L'identificatore di classe seguente è correlato a una richiesta da Microgaming per impostare il bit di terminazione per un identificatore di classe vulnerabile. Altri dettagli sono disponibili nella versione di sicurezza rilasciata da Microgaming:
| Identificatore di classe |
|---|
| {D8089245-3211-40F6-819B-9E5E92CD61A2} |
L'identificatore di classe seguente è correlato a una richiesta di eBay per impostare il bit di terminazione per un identificatore di classe vulnerabile. Ulteriori dettagli sono disponibili nella versione di sicurezza rilasciata da eBay:
| Identificatore di classe |
|---|
| {4C39376E-FA9D-4349-BACC-D305C1750EF3} |
| {C3EB1670-84E0-4EDA-B570-0B51AAE81679} |
L'identificatore di classe seguente è correlato a una richiesta da HP per impostare il bit di terminazione per un identificatore di classe vulnerabile. Altre informazioni sono disponibili nella versione di sicurezza rilasciata da HP:
| Identificatore di classe |
|---|
| {00000032-9593-4264-8B29-930B3E4EDCCD} |
Azioni suggerite
Esaminare l'articolo della Microsoft Knowledge Base associato a questo avviso
Microsoft incoraggia i clienti a installare questo aggiornamento. I clienti interessati a saperne di più su questo aggiornamento devono consultare l'articolo della Microsoft Knowledge Base 969898.
Soluzioni alternative
La soluzione alternativa si riferisce a un'impostazione o a una modifica della configurazione che non corregge la vulnerabilità sottostante, ma che consente di bloccare i vettori di attacco noti prima di applicare l'aggiornamento. Microsoft ha testato le soluzioni alternative e gli stati seguenti nella discussione se una soluzione alternativa riduce le funzionalità:
Impedire l'esecuzione di oggetti COM in Internet Explorer
È possibile disabilitare i tentativi di creare un'istanza di un oggetto COM in Internet Explorer impostando il bit di terminazione per il controllo nel Registro di sistema.Avviso Se si usa l'editor del Registro di sistema in modo errato, è possibile che si verifichino gravi problemi che potrebbero richiedere di reinstallare il sistema operativo. Microsoft non può garantire che sia possibile risolvere i problemi derivanti dall'uso non corretto dell'editor del Registro di sistema. Utilizzare l'editor del Registro di sistema a proprio rischio.
Per i passaggi dettagliati che è possibile usare per impedire l'esecuzione di un controllo in Internet Explorer, vedere l'articolo della Microsoft Knowledge Base 240797. Seguire la procedura descritta in questo articolo per creare un valore di Flag di compatibilità nel Registro di sistema per impedire che un oggetto COM venga creata un'istanza in Internet Explorer.
Nota Gli identificatori di classe e i file corrispondenti in cui sono contenuti gli oggetti ActiveX sono documentati in "Cosa fa questo aggiornamento?" nella sezione domande frequenti precedente. Sostituire {XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXXXXX} di seguito con gli identificatori di classe disponibili in questa sezione.
Per impostare il bit kill per un CLSID con il valore {XXXXXXXX-XXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}, incollare il testo seguente in un editor di testo, ad esempio Blocco note. Salvare quindi il file usando l'estensione .reg nome file.
Editor del Registro di sistema di Windows versione 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{ XXXXXXXX-XXXX-XXXX-XXXXXXXXXXXX }] "Flag di compatibilità"=dword:00000400
È possibile applicare questo file .reg ai singoli sistemi facendo doppio clic su di esso. È anche possibile applicarlo tra domini usando Criteri di gruppo. Per altre informazioni su Criteri di gruppo, visitare i siti Web Microsoft seguenti:
- Raccolta di Criteri di gruppo
- Che cos'è Editor oggetti Criteri di gruppo?
- Impostazioni e strumenti di Criteri di gruppo di base
Nota Per rendere effettive le modifiche, devi riavviare Internet Explorer.
Impatto della soluzione alternativa: non vi è alcun impatto finché l'oggetto non deve essere usato in Internet Explorer.
Altre informazioni
Riconoscimenti
Microsoft ringrazia quanto segue per collaborare a proteggere i clienti:
- Robert Freeman di ISS X-Force per segnalare il MSCOMM32. Vulnerabilità di esecuzione del codice remoto DEL caricatore DI ATL (CVE-2008-0024)
Risorse:
- È possibile fornire commenti e suggerimenti completando il modulo visitando la Guida e il supporto tecnico Microsoft: Contattaci.
- I clienti del Stati Uniti e del Canada possono ricevere supporto tecnico dal supporto tecnico. Per altre informazioni sulle opzioni di supporto disponibili, vedere Guida e supporto tecnico Microsoft.
- I clienti internazionali possono ricevere supporto dalle filiali Microsoft locali. Per altre informazioni su come contattare Microsoft per problemi di supporto internazionale, visitare il supporto internazionale.
- Microsoft TechNet Security fornisce informazioni aggiuntive sulla sicurezza nei prodotti Microsoft.
Declinazione di responsabilità:
Le informazioni fornite in questo avviso vengono fornite "così com'è" senza garanzia di alcun tipo. Microsoft dichiara tutte le garanzie, espresse o implicite, incluse le garanzie di commerciabilità e idoneità per uno scopo specifico. In nessun caso, Microsoft Corporation o i suoi fornitori saranno responsabili di qualsiasi danno, incluso diretto, indiretto, accidentale, consequenziale, perdita di profitti aziendali o danni speciali, anche se Microsoft Corporation o i suoi fornitori sono stati informati della possibilità di tali danni. Alcuni stati non consentono l'esclusione o la limitazione della responsabilità per danni consequenziali o accidentali, pertanto la limitazione precedente potrebbe non essere applicata.
Revisioni:
- V1.0 (9 giugno 2009): Avviso pubblicato
- V1.1 (17 giugno 2009): aggiunta di una voce alle domande frequenti per comunicare che ai fini dell'aggiornamento automatico, questo aggiornamento non sostituisce l'aggiornamento cumulativo della sicurezza di ActiveX Kill Bits (950760) descritto nel Bollettino sulla sicurezza Microsoft MS08-032.
Costruito al 2014-04-18T13:49:36Z-07:00