• Articolo

Avviso di sicurezza

Microsoft Security Advisory 973882

Le vulnerabilità in Microsoft Active Template Library (ATL) potrebbero consentire l'esecuzione di codice remoto

Pubblicato: 28 luglio 2009 | Aggiornamento: 13 ottobre 2009

Versione: 4.0

Microsoft sta rilasciando questo avviso di sicurezza per fornire informazioni sulle indagini in corso sulle vulnerabilità nelle versioni pubbliche e private di Microsoft Active Template Library (ATL). Questo avviso fornisce inoltre indicazioni su cosa possono fare gli sviluppatori per garantire che i controlli e i componenti creati non siano vulnerabili ai problemi atl; cosa possono fare i professionisti IT e i consumatori per mitigare potenziali attacchi che usano le vulnerabilità; e ciò che Microsoft sta facendo come parte della sua indagine in corso sul problema descritto in questo avviso. Questo avviso di sicurezza fornirà anche un elenco completo di tutti i bollettini sulla sicurezza e la sicurezza di Microsoft Aggiornamenti correlati alle vulnerabilità in ATL. L'indagine di Microsoft sulle versioni private e pubbliche di ATL è in corso e verranno rilasciati gli aggiornamenti e le indicazioni sulla sicurezza in base alle esigenze nell'ambito del processo di indagine.

Microsoft è a conoscenza delle vulnerabilità di sicurezza nelle versioni pubbliche e private di ATL. Microsoft ATL viene usato dagli sviluppatori di software per creare controlli o componenti per la piattaforma Windows. Le vulnerabilità descritte in questo avviso di sicurezza e il bollettino sulla sicurezza Microsoft MS09-035 potrebbero causare la divulgazione di informazioni o attacchi di esecuzione remota del codice per controlli e componenti creati usando versioni vulnerabili di ATL. I componenti e i controlli creati con la versione vulnerabile di ATL possono essere esposti a una condizione vulnerabile a causa del modo in cui viene usato ATL o a causa di problemi nel codice ATL stesso.

Linee guida per gli sviluppatori: Microsoft ha corretto i problemi nelle intestazioni pubbliche di ATL e ha rilasciato aggiornamenti alle librerie nel bollettino MS09-035 "Vulnerabilità in Visual Studio Active Template Library potrebbe consentire l'esecuzione di codice remoto". Microsoft consiglia vivamente agli sviluppatori che hanno creato controlli o componenti con ATL di intervenire immediatamente per valutare i controlli per l'esposizione a una condizione vulnerabile e seguire le indicazioni fornite per creare controlli e componenti non vulnerabili. Per altre informazioni sulle vulnerabilità e sulle linee guida per risolvere i problemi in ATL, vedere MS09-035, "Vulnerabilità in Visual Studio Active Template Library potrebbe consentire l'esecuzione di codice remoto".

It Professional and Consumer Guidance: per proteggere meglio i clienti, mentre gli sviluppatori aggiornano i componenti e i controlli, Microsoft ha sviluppato una nuova tecnologia di difesa avanzata. Questa nuova tecnologia di difesa avanzata integrata in Internet Explorer consente di proteggere i clienti da attacchi futuri usando le vulnerabilità di Microsoft Active Template Library descritte in questo avviso e nel bollettino microsoft sulla sicurezza MS09-035. Per trarre vantaggio da questa nuova tecnologia di difesa avanzata, professionisti IT e consumer devono distribuire immediatamente l'aggiornamento della sicurezza di Internet Explorer offerto nel bollettino microsoft sulla sicurezza MS09-034, "Aggiornamento cumulativo della sicurezza per Internet Explorer".

Questo aggiornamento della sicurezza include una mitigazione che impedisce che i componenti e i controlli compilati usando l'ATL vulnerabile vengano sfruttati in Internet Explorer, oltre a risolvere più vulnerabilità non correlate. Le nuove protezioni di difesa avanzata offerte in MS09-034 includono aggiornamenti a Internet Explorer 5.01, Internet Explorer 6 e Internet Explorer 6 Service Pack 1, Internet Explorer 7 e Internet Explorer 8. Queste protezioni approfondite monitorano e impediscono il corretto sfruttamento di tutte le vulnerabilità ATL pubbliche e private note, incluse le vulnerabilità che potrebbero causare il bypass della funzionalità di sicurezza dei bit di kill bit di ActiveX. Queste protezioni sono progettate per proteggere i clienti da attacchi basati sul Web.

Linee guida per gli utenti home: per proteggere meglio i clienti, mentre gli sviluppatori aggiornano i componenti e i controlli, Microsoft ha sviluppato una nuova tecnologia di difesa avanzata. Questa nuova tecnologia di difesa avanzata integrata in Internet Explorer con il nuovo aggiornamento consente di proteggere i clienti da attacchi futuri usando le vulnerabilità di Microsoft Active Template Library descritte in questo avviso e nel bollettino microsoft sulla sicurezza MS09-035. Gli utenti domestici iscritti a Automatic Aggiornamenti riceveranno automaticamente il nuovo aggiornamento di Internet Explorer e non devono eseguire ulteriori azioni. Gli utenti domestici saranno automaticamente protetti da attacchi futuri contro le vulnerabilità risolte in questo avviso di sicurezza e nel bollettino sulla sicurezza Microsoft MS09-035.

Mitigazione dei fattori per i controlli e i componenti creati usando la versione vulnerabile di Microsoft Active Template Library (ATL):

  • Per impostazione predefinita, la maggior parte dei controlli ActiveX non è inclusa nell'elenco elementi consentiti predefiniti per i controlli ActiveX in Internet Explorer 7 o Internet Explorer 8 in esecuzione in Windows Vista o nei sistemi operativi successivi. Solo i clienti che hanno approvato in modo esplicito controlli vulnerabili usando la funzionalità di consenso esplicito di ActiveX sono a rischio per tentare di sfruttare questa vulnerabilità. Tuttavia, se un cliente ha utilizzato tali controlli ActiveX in una versione precedente di Internet Explorer e successivamente aggiornato a Internet Explorer 7 o Internet Explorer 8, questi controlli ActiveX sono abilitati per funzionare in Internet Explorer 7 e Internet Explorer 8, anche se il cliente non l'ha approvato esplicitamente utilizzando la funzionalità di consenso esplicito ActiveX.
  • Per impostazione predefinita, Internet Explorer 8 offre protezioni avanzate abilitando protezioni di memoria DEP/NX per gli utenti in Windows XP Service Pack 3, Windows Vista Service Pack 1 e Windows Vista Service Pack 2 e Windows 7.
  • Per impostazione predefinita, Internet Explorer in Windows Server 2003 e Windows Server 2008 viene eseguito in una modalità con restrizioni nota come Configurazione sicurezza avanzata. La configurazione della sicurezza avanzata è un gruppo di impostazioni preconfigurate in Internet Explorer che possono ridurre la probabilità che un utente o un amministratore scarichi e esegua contenuti Web appositamente creati in un server. Si tratta di un fattore di mitigazione per i siti Web che non sono stati aggiunti all'area Siti attendibili di Internet Explorer. Vedere anche Gestione della configurazione della sicurezza avanzata di Internet Explorer.
  • Per impostazione predefinita, tutte le versioni supportate di Microsoft Outlook e Microsoft Outlook Express aprono messaggi di posta elettronica HTML nell'area Siti con restrizioni. L'area Siti con restrizioni consente di attenuare gli attacchi che potrebbero tentare di sfruttare questa vulnerabilità impedendo l'uso di script attivi e controlli ActiveX durante la lettura dei messaggi di posta elettronica HTML. Tuttavia, se un utente fa clic su un collegamento in un messaggio di posta elettronica, l'utente potrebbe comunque essere vulnerabile allo sfruttamento di questa vulnerabilità tramite lo scenario di attacco basato sul Web.
  • In uno scenario di attacco basato sul Web, un utente malintenzionato potrebbe ospitare un sito Web contenente una pagina Web usata per sfruttare questa vulnerabilità. Inoltre, siti Web compromessi e siti Web che accettano o ospitano contenuti o annunci forniti dall'utente potrebbero contenere contenuti appositamente creati che potrebbero sfruttare questa vulnerabilità. In tutti i casi, tuttavia, un utente malintenzionato non avrebbe modo di forzare gli utenti a visitare questi siti Web. Un utente malintenzionato dovrà invece convincere gli utenti a visitare il sito Web, in genere facendo clic su un collegamento in un messaggio di posta elettronica o un messaggio di messaggistica istantanea che porta gli utenti al sito Web dell'utente malintenzionato.
  • Un utente malintenzionato che ha sfruttato correttamente questa vulnerabilità potrebbe ottenere gli stessi diritti utente dell'utente locale. Gli utenti con account che dispongono di diritti utente limitati per il sistema in uso risultano meno esposti degli utenti che operano con diritti amministrativi.

Aggiornamenti correlati ad ATL:

Aggiornamento rilasciato il 13 ottobre 2009

  • Microsoft Security Bulletin MS09-060, "Vulnerabilità nei controlli Active Template Library (ATL) di Microsoft Active Template Library per Microsoft Office potrebbe consentire l'esecuzione di codice remoto", fornisce il supporto per i componenti di Microsoft Office interessati dalle vulnerabilità ATL descritte in questo avviso.

Aggiornamenti rilasciata il 25 agosto 2009

  • Windows Live Messenger 14.0.8089 viene rilasciato per risolvere le vulnerabilità nel client Windows Live Messenger correlate alle vulnerabilità atl descritte in questo avviso.
  • A questo avviso è stata aggiunta una sezione Domande frequenti su Windows Live Components per comunicare la rimozione della funzionalità "Allega foto" di Windows Live Hotmail e per fornire informazioni dettagliate sulla versione di Windows Live Messenger 14.0.8089.

Aggiornamenti data di rilascio: 11 agosto 2009

  • Microsoft Security Bulletin MS09-037, "Vulnerabilità in Microsoft Active Template Library (ATL) potrebbe consentire l'esecuzione di codice remoto", fornisce il supporto per i componenti di Windows interessati dalle vulnerabilità ATL descritte in questo avviso.
  • Microsoft Security Bulletin MS09-035, "Vulnerabilità in Visual Studio Active Template Library potrebbe consentire l'esecuzione di codice remoto", viene rilasciata nuovamente per offrire nuovi aggiornamenti per gli sviluppatori che usano Visual Studio per creare componenti e controlli per le applicazioni mobili che usano ATL per smart devices.

Aggiornamenti rilasciata il 28 luglio 2009

  • Microsoft Security Bulletin MS09-035, "Vulnerabilità in Visual Studio Active Template Library potrebbe consentire l'esecuzione di codice remoto", illustra in dettaglio le vulnerabilità specifiche in ATL e fornisce le intestazioni ATL pubbliche aggiornate per i fornitori per sviluppare componenti e controlli aggiornati. L'indagine ha dimostrato che sono presenti componenti e controlli di Microsoft e di terze parti interessati da questo problema e che questi componenti e controlli esistono in tutte le edizioni supportate di Windows 2000 Service Pack 4, Windows XP, Windows Server 2003, Windows Vista e Windows Server 2008. Gli sviluppatori che utilizzano versioni vulnerabili di ATL durante la creazione di controlli o componenti devono esaminare questo bollettino e intervenire immediatamente se i controlli sono vulnerabili.
  • Microsoft Security Bulletin MS09-034, "Aggiornamento cumulativo della sicurezza per Internet Explorer", include una mitigazione che impedisce ai componenti e ai controlli creati utilizzando l'ATL vulnerabile di essere sfruttati in Internet Explorer, oltre a risolvere più vulnerabilità non correlate. Le nuove protezioni avanzate offerte in MS09-034 includono aggiornamenti a Internet Explorer 5.01, Internet Explorer 6 e Internet Explorer 6 Service Pack 1, Internet Explorer 7 e Internet Explorer 8. Queste protezioni approfondite monitorano e impediscono il corretto sfruttamento di tutte le vulnerabilità ATL pubbliche e private note, incluse le vulnerabilità che potrebbero causare il bypass della funzionalità di sicurezza dei bit di kill bit di ActiveX. Queste protezioni sono progettate per proteggere i clienti da attacchi basati sul Web.
  • Non siamo a conoscenza di metodi o controlli inclusi in Windows 7 che consentono l'esito positivo degli attacchi tramite Internet Explorer.

Aggiornamento rilasciato il 14 luglio 2009

  • Microsoft Security Bulletin MS09-032, "Aggiornamento cumulativo della sicurezza dei bit di terminazione ActiveX", ha fornito misure di sicurezza ActiveX (un bit di terminazione) che impedivano l'esecuzione del controllo msvidctl in Internet Explorer. L'exploit in msvidcntl ha sfruttato una vulnerabilità nella versione privata di ATL. In questa istanza specifica, la vulnerabilità consente a un utente malintenzionato di danneggiare la memoria, che può causare un'esecuzione remota del codice. I bit kill rilasciati nella versione di giugno per msvidctl (MS09-032) bloccano gli exploit pubblici come descritto qui.

Informazioni generali

Panoramica

Scopo dell'avviso: questo avviso è stato rilasciato per fornire ai clienti una notifica iniziale della vulnerabilità divulgata pubblicamente. Per altre informazioni, vedere le sezioni Soluzioni alternative, Fattori di mitigazione e Azioni suggerite di questo avviso di sicurezza.

Stato avviso: avviso pubblicato.

Raccomandazione: esaminare le azioni suggerite e configurare in base alle esigenze.

Riferimenti Identificazione
Riferimento CVE CVE-2009-0901 CVE-2009-2493\ CVE-2009-2495\ CVE-2008-0015\
Bollettino sulla sicurezza MS09-035, "Vulnerabilità in Visual Studio Active Template Library potrebbe consentire l'esecuzione remota del codice"\ \ MS09-034, "Aggiornamento cumulativo della sicurezza per Internet Explorer"\ \ MS09-032, "Aggiornamento cumulativo della sicurezza dei bit di terminazione ActiveX"
Articolo della Microsoft Knowledge Base MS09-035:\ Articolo della Microsoft Knowledge Base 969706\ \ MS09-034:\ Articolo della Microsoft Knowledge Base 972260\ \ MS09-032:\ Articolo della Microsoft Knowledge Base 973346

Questo avviso illustra il software seguente.

Software interessato
Microsoft Windows
Controlli e componenti creati con active template library vulnerabile
Microsoft servizi Live
Windows Live Messenger (versioni inferiori alla 14.0.8089)
Funzionalità "Allega foto" di Windows Live Hotmail

Domande frequenti

Qual è l'ambito dell'avviso?
Microsoft è a conoscenza delle vulnerabilità che interessano componenti e controlli creati usando versioni pubbliche e private di Active Template Library (ATL). L'consulenza mira a rendere gli utenti consapevoli degli aggiornamenti che aiutano a ridurre il rischio di controlli e componenti vulnerabili, forniscono indicazioni e indicazioni agli sviluppatori che hanno creato controlli e componenti usando l'ATL vulnerabile e ai professionisti IT su come proteggere e installare le mitigazioni nel proprio ambiente.

Microsoft rilascia altri aggiornamenti della sicurezza correlati a questo avviso di sicurezza in futuro?
L'indagine di Microsoft sulle intestazioni private e pubbliche di ATL è in corso e verranno rilasciati gli aggiornamenti e le linee guida sulla sicurezza in base alle esigenze nell'ambito del processo di indagine.

La vulnerabilità msvidctl (MS09-032) è correlata a questo aggiornamento ATL?
Sì, l'exploit in msvidctl ha sfruttato una vulnerabilità nella versione privata di ATL. In questa istanza specifica, la vulnerabilità consente a un utente malintenzionato di danneggiare la memoria, che può causare un'esecuzione remota del codice. MS09-032, rilasciato in precedenza nella versione di luglio 14, blocca gli attacchi noti per msvidctl. Per altre informazioni sull'exploit in msvidctl, vedere https://blogs.technet.com/srd/archive/2009/07/06/new-vulnerability-in-mpeg2tunerequest-activex-control-object-in-msvidctl-dll.aspx.

L'aggiornamento di Internet Explorer (ms09-034) proteggerà anche dagli attacchi msvidctl?
Sì, le mitigazioni di Internet Explorer proteggeranno dallo sfruttamento delle vulnerabilità note nelle versioni pubbliche e private di ATL, inclusi gli attacchi msvidctl.

Che cos'è ATL?
Active Template Library (ATL) è un set di classi C++ basate su modello che consente di creare oggetti COM (Component Object Model) piccoli e veloci. ATL offre un supporto speciale per le principali funzionalità COM, tra cui implementazioni stock, interfacce duali, interfacce enumeratori COM standard, punti di connessione, interfacce di strappo e controlli ActiveX. Per altre informazioni, vedere l'articolo MSDN, ATL.

Qual è la causa di questa minaccia in ATL?
Il problema è causato in alcuni casi dal modo in cui viene usato ATL e in altri casi dal codice ATL stesso. In questi casi, i flussi di dati possono essere gestiti in modo non corretto, il che può causare danneggiamento della memoria, divulgazione di informazioni e creazione di istanze di oggetti senza considerare i criteri di sicurezza. Per altre informazioni sulle vulnerabilità risolte in ATL, vedere MS09-035" "Vulnerabilità in Visual Studio Active Template Library potrebbe consentire l'esecuzione di codice remoto".

Quali sono le differenze tra le versioni pubbliche e private di Active Template Library?
La versione privata di Active Template Library viene usata dagli sviluppatori Microsoft per compilare controlli e componenti. Microsoft ha aggiornato tutte le versioni di Active Template Library usate dagli sviluppatori.

La versione pubblica di Active Template Library viene distribuita ai clienti tramite strumenti di sviluppo, ad esempio Microsoft Visual Studio. Microsoft fornisce una versione aggiornata dell'ATL pubblico tramite il bollettino microsoft sulla sicurezza MS09-035.

Le vulnerabilità di sicurezza in ATL richiedono agli sviluppatori Microsoft e di terze parti di rilasciare gli aggiornamenti della sicurezza?
Sì. Oltre agli aggiornamenti del bollettino descritti in questo avviso, Microsoft sta eseguendo un'analisi completa dei controlli e dei componenti Microsoft. Al termine di questa indagine, Microsoft eseguirà l'azione appropriata per proteggere i clienti. Ciò può includere la fornitura di un aggiornamento della sicurezza tramite il processo di rilascio mensile o la fornitura di un aggiornamento della sicurezza fuori banda, a seconda delle esigenze dei clienti.

Microsoft fornisce inoltre indicazioni ed è attivamente in contatto con i principali sviluppatori di terze parti per aiutarli a identificare controlli e componenti vulnerabili. Ciò può comportare aggiornamenti della sicurezza per controlli e componenti di terze parti.

Domande frequenti su Windows servizi Live

Come verrà distribuito l'aggiornamento a Windows Live Messenger?
Dopo l'accesso al servizio Windows Live Messenger, agli utenti di Windows Live Messenger 8.1, Windows Live Messenger 8.5 e Windows Live Messenger 14.0 nelle versioni supportate di Windows verrà richiesto dal meccanismo di distribuzione client nel servizio Windows Live Messenger per accettare l'aggiornamento a Windows Live Messenger 14.0.8089. Inoltre, gli utenti che desiderano scaricare l'aggiornamento a Windows Live Messenger 14.0.8089 possono farlo immediatamente usando l'Area download di Windows Live. In caso contrario, gli utenti di versioni vulnerabili dei client Windows Live Messenger potrebbero non essere autorizzati a connettersi al servizio Windows Live Messenger.

Perché Microsoft rilascia l'aggiornamento a Windows Live Messenger tramite il servizio Windows Live Messenger e fornisce download?
Microsoft attualmente rilascia gli aggiornamenti per il client Windows Live Messenger usando il servizio Windows Live Messenger perché questi Servizi online hanno un proprio meccanismo di distribuzione client. Tuttavia, i collegamenti dell'Area download Microsoft sono disponibili anche per client Windows Live Messenger specifici. Gli utenti che desiderano scaricare immediatamente gli aggiornamenti possono farlo nell'Area download di Windows Live.

Se si tratta di un aggiornamento, come è possibile rilevare se si dispone di una versione vulnerabile di Windows Live Messenger?
Quando si tenta di accedere al servizio Windows Live Messenger, il meccanismo di distribuzione client determinerà automaticamente la versione e la piattaforma client correnti e, se necessario, consigliare l'aggiornamento appropriato. È anche possibile verificare la versione del client Windows Live Messenger facendo clic su ? e quindi su Informazioni.

Cosa accade se non si esegue l'aggiornamento alla versione più recente di Windows Live Messenger?
Se non si esegue l'aggiornamento a una versione non interessata del client Windows Live Messenger, a seconda della piattaforma, si riceverà una notifica per l'aggiornamento a ogni tentativo di accesso. Se non si accetta l'aggiornamento, potrebbe non essere consentito l'accesso al servizio Windows Live Messenger.

Altre applicazioni microsoft di collaborazione in tempo reale, ad esempio Windows Messenger o Office Communicator, sono interessate da questa vulnerabilità?
No. Altre applicazioni di messaggistica non sono interessate perché non contengono il componente vulnerabile.

Quando Microsoft ha rimosso la funzionalità "Allega foto" di Windows Live Hotmail? Coincideva con il lancio di un'altra nuova funzionalità?
Microsoft ha recentemente preso la decisione di rimuovere la funzionalità a breve termine per risolvere il problema. La rimozione temporanea di questa funzionalità non coincideva con il lancio di un'altra funzionalità.

Qual è l'orario più recente per la funzionalità "Allega foto" per essere completamente ripristinato a tutti gli utenti di Windows Live Hotmail?
Microsoft sta lavorando attivamente per risolvere il problema. Nel frattempo, è comunque possibile aggiungere immagini come allegati ai messaggi Hotmail facendo clic su Allega e quindi selezionando l'immagine da includere.

Domande frequenti da parte degli sviluppatori sull'aggiornamento di Visual Studio

Qual è la causa di questa minaccia in ATL?
Il problema è causato in alcuni casi dal modo in cui viene usato ATL e in altri casi dal codice ATL stesso. In questi casi, i flussi di dati possono essere gestiti in modo non corretto, il che può causare danneggiamento della memoria, divulgazione di informazioni e creazione di istanze di oggetti senza considerare i criteri di sicurezza. Per altre informazioni sulle vulnerabilità risolte in ATL, vedere MS09-035" "Vulnerabilità in Visual Studio Active Template Library potrebbe consentire l'esecuzione di codice remoto".

Cosa può fare un utente malintenzionato che usa questa vulnerabilità?
Per i controlli e i componenti compilati usando ATL, l'utilizzo non sicuro di determinate macro potrebbe consentire la creazione di istanze di oggetti arbitrari che possono ignorare i criteri di sicurezza ActiveX correlati (ad esempio kill bit) in Internet Explorer. Inoltre, i componenti e i controlli creati usando la versione vulnerabile di ATL possono essere vulnerabili alle minacce remote per l'esecuzione del codice o la divulgazione di informazioni. Se un utente ha effettuato l'accesso con diritti utente amministrativi e ha un controllo vulnerabile sul proprio sistema, un utente malintenzionato potrebbe assumere il controllo completo del sistema interessato. L'utente malintenzionato potrebbe quindi installare programmi e visualizzare, modificare o eliminare dati, oppure creare nuovi account con diritti utente completi. Gli utenti con account che dispongono di diritti utente limitati per il sistema in uso risultano meno esposti degli utenti che operano con diritti amministrativi.

Io sono uno sviluppatore di applicazioni di terze parti e uso ATL nel componente o nel controllo. Il componente o il controllo è vulnerabile e, in tal caso, come si aggiorna?
I componenti e i controlli possono essere interessati da questo problema se determinate condizioni vengono soddisfatte durante la compilazione del componente o del controllo. MS09-035 contiene informazioni aggiuntive, esempi e linee guida che gli sviluppatori di terze parti possono usare per rilevare e correggere componenti e controlli vulnerabili.

Che cosa fa l'aggiornamento della sicurezza per Visual Studio?
Questi aggiornamenti risoliscono le vulnerabilità di Microsoft Active Template Library (ATL) che potrebbero consentire a un utente remoto non autenticato di eseguire codice arbitrario in un sistema interessato. Queste vulnerabilità sono in alcuni casi causate dal modo in cui viene usato ATL e in altri casi dal codice ATL stesso. Poiché queste vulnerabilità influiscono su ATL, componenti o controlli sviluppati tramite ATL possono esporre i clienti che usano i controlli e i componenti interessati agli scenari di esecuzione remota del codice.

L'aggiornamento della sicurezza per Visual Studio aggiorna la versione vulnerabile di ATL usata da Visual Studio. Ciò consente agli utenti di Visual Studio di modificare e ricompilare i relativi controlli e componenti usando una versione aggiornata di ATL.

L'indagine ha dimostrato che sia i componenti microsoft che i controlli di terze parti possono essere interessati da questo problema. Pertanto, tutti i fornitori interessati devono modificare e ricompilare, i relativi componenti e controlli usando l'ATL corretto fornito nel bollettino sulla sicurezza Microsoft MS09-035.

Domande frequenti da parte dei professionisti IT su cosa possono fare per proteggersi

L'aggiornamento di Internet Explorer MS09-034 protegge i componenti e i controlli basati sulla versione vulnerabile di ATL?
Per proteggere meglio i clienti, mentre gli sviluppatori aggiornano i componenti e i controlli, Microsoft ha sviluppato una nuova tecnologia di difesa avanzata. Questa nuova tecnologia di difesa avanzata integrata in Internet Explorer consente di proteggere i clienti da attacchi futuri usando le vulnerabilità di Microsoft Active Template Library descritte in questo avviso e nel bollettino microsoft sulla sicurezza MS09-035. Microsoft Security Bulletin MS09-034, "Aggiornamento cumulativo della sicurezza per Internet Explorer", include una mitigazione che impedisce ai componenti e ai controlli creati utilizzando l'ATL vulnerabile di essere sfruttati in Internet Explorer, oltre a risolvere più vulnerabilità non correlate.

Microsoft sta continuando a esaminare tutti i controlli e i componenti Microsoft e aiuta gli sviluppatori di terze parti a valutare i controlli e i componenti.

Quale azione può essere eseguita da un professionista IT per attenuare l'esposizione a questo problema?
Microsoft consiglia vivamente ai professionisti IT di distribuire immediatamente l'aggiornamento della sicurezza di Internet Explorer offerto nel Bollettino microsoft sulla sicurezza MS09-034, "Aggiornamento cumulativo della sicurezza per Internet Explorer".

Domande frequenti sulle operazioni che gli utenti possono fare per proteggersi

Quale azione può essere eseguita dai consumatori per attenuare l'esposizione a questo problema?
Per proteggere meglio i clienti, mentre gli sviluppatori aggiornano i componenti e i controlli, Microsoft ha sviluppato una nuova tecnologia di difesa avanzata. Questa nuova tecnologia di difesa avanzata integrata in Internet Explorer consente di proteggere i clienti da attacchi futuri usando le vulnerabilità di Microsoft Active Template Library descritte in questo avviso e nel bollettino microsoft sulla sicurezza MS09-035. Microsoft consiglia vivamente agli utenti di attivare l'aggiornamento automatico e di distribuire immediatamente l'aggiornamento della sicurezza di Internet Explorer offerto nel bollettino microsoft sulla sicurezza MS09-034, "Aggiornamento cumulativo della sicurezza per Internet Explorer". Gli utenti domestici che ricevono automaticamente gli aggiornamenti riceveranno le mitigazioni fornite nell'aggiornamento cumulativo di Internet Explorer e altri aggiornamenti della sicurezza correlati a questo problema e non devono eseguire ulteriori azioni.

Microsoft incoraggia anche gli utenti home a eseguire l'aggiornamento a Internet Explorer 8 per trarre vantaggio dalla sicurezza e dalle protezioni avanzate.

Domande frequenti sulle mitigazioni in Internet Explorer Update

Che cosa causa questa minaccia che potrebbe consentire il bypass della sicurezza ActiveX?
I controlli ActiveX compilati con metodi ATL vulnerabili potrebbero non convalidare correttamente le informazioni. Ciò può comportare un controllo ActiveX che consente il danneggiamento della memoria o consente a un utente malintenzionato di sfruttare un controllo ActiveX attendibile per caricare un controllo ActiveX non attendibile che in precedenza era stato bloccato dall'esecuzione in Internet Explorer.

Le nuove protezioni avanzate offerte in MS09-034 includono gli aggiornamenti a Internet Explorer 5.01, Internet Explorer 6 e Internet Explorer 6 Service Pack 1, Internet Explorer 7 e Internet Explorer 8, che monitorano e impediscono il corretto sfruttamento di tutte le vulnerabilità ATL pubbliche e private note, incluse le vulnerabilità che potrebbero portare a ignorare la funzionalità di sicurezza dei bit di interruzione di Internet Explorer. Queste protezioni sono progettate per proteggere i clienti da attacchi basati sul Web.

Cosa può fare un utente malintenzionato che usa questa funzione?
Un utente malintenzionato che ha sfruttato correttamente questa vulnerabilità in Windows Vista o Windows 2008 otterrebbe solo diritti come utente con restrizioni a causa della modalità di protezione in Internet Explorer. In altri sistemi Windows, l'utente malintenzionato potrebbe ottenere gli stessi diritti utente dell'utente locale. Gli utenti con account che dispongono di diritti utente limitati per il sistema in uso risultano meno esposti degli utenti che operano con diritti amministrativi.

In che modo un utente malintenzionato può usare questa funzione?
Un utente malintenzionato potrebbe ospitare un sito Web progettato per ospitare un controllo ActiveX appositamente creato e quindi convincere un utente a visualizzare il sito Web. Ciò può includere anche siti Web compromessi e siti Web che accettano o ospitano contenuti o annunci forniti dall'utente. In tutti i casi, tuttavia, un utente malintenzionato non avrebbe modo di forzare gli utenti a visitare questi siti Web. Un utente malintenzionato dovrà invece convincere gli utenti a visitare il sito Web, in genere facendo clic su un collegamento in un messaggio di posta elettronica o in una richiesta di messaggistica istantanea che porta gli utenti al sito Web dell'utente malintenzionato.

Che cos'è un po' di morte?
Una funzionalità di sicurezza in Microsoft Internet Explorer consente di impedire il caricamento di un controllo ActiveX dal motore di rendering HTML di Internet Explorer. Questa operazione viene eseguita impostando un'impostazione del Registro di sistema e viene definita "impostazione del bit di fine". Dopo aver impostato il bit di interruzione, il controllo non può mai essere caricato, anche quando è completamente installato. L'impostazione del bit di terminazione garantisce che, anche se un componente vulnerabile viene introdotto o introdotto nuovamente in un sistema, rimane inert e innocuo.

Per altre informazioni sui bit di interruzione, vedere l'articolo della Microsoft Knowledge Base 240797: Come arrestare l'esecuzione di un controllo ActiveX in Internet Explorer. Per informazioni più dettagliate sui bit di interruzione e sul funzionamento all'interno di Internet Explorer, vedere il post di blog di Security Research and Defense seguente.

Cosa fa l'aggiornamento?
L'aggiornamento rafforza il meccanismo di sicurezza ActiveX fornendo la convalida quando i metodi non sicuri vengono usati dai controlli ActiveX usando intestazioni ATL vulnerabili in configurazioni specifiche.

Questa funzionalità di aggiornamento cambia?
Sì. Questo aggiornamento non consente più l'esecuzione di set specifici di metodi ATL in Internet Explorer. L'aggiornamento riduce il rischio di ignorare la sicurezza attiva impedendo ai controlli ActiveX attendibili di caricare controlli non attendibili

Questo aggiornamento contiene modifiche software aggiuntive?
Sì. Questo aggiornamento contiene anche correzioni di sicurezza aggiuntive e altri aggiornamenti di Internet Explorer come parte dell'aggiornamento cumulativo per Internet Explorer.

Questo aggiornamento risolve tutti gli scenari di controllo ActiveX non sicuri?
No. Questo aggiornamento risolve in modo specifico controlli ActiveX non sicuri/non attendibili che potrebbero essere vulnerabili ai problemi ATL descritti in questo avviso per proteggere i clienti da attacchi durante l'esplorazione di Internet.

Microsoft sta continuando a indagare su questo problema. Al termine di questa indagine, Microsoft eseguirà l'azione appropriata per proteggere i clienti. Ciò può includere la fornitura di un aggiornamento della sicurezza tramite il processo di rilascio mensile o la fornitura di un aggiornamento della sicurezza fuori banda, a seconda delle esigenze dei clienti.

In che modo la modalità protetta in Internet Explorer 7 e Internet Explorer 8 in Windows Vista e in seguito mi protegge da questa vulnerabilità?
Internet Explorer 7 e Internet Explorer 8 in Windows Vista e sistemi operativi successivi vengono eseguiti in modalità protetta per impostazione predefinita nell'area di sicurezza Internet. La modalità protetta riduce significativamente la capacità di un utente malintenzionato di scrivere, modificare o distruggere i dati nel computer dell'utente o di installare codice dannoso. Questa operazione viene eseguita usando i meccanismi di integrità di Windows Vista e versioni successive, che limitano l'accesso a processi, file e chiavi del Registro di sistema con livelli di integrità più elevati.

Che cos'è La prevenzione dell'esecuzione dei dati (DEP)?
La prevenzione dell'esecuzione dei dati è abilitata per impostazione predefinita in Internet Explorer 8. DEP è progettato per prevenire gli attacchi impedendo l'esecuzione del codice in memoria contrassegnato come non eseguibile. Per altre informazioni su DEP in Internet Explorer, vedere il post seguente: https://blogs.msdn.com/ie/archive/2008/04/08/ie8-security-part-I_3A00_-dep-nx-memory-protection.aspx.

Azioni suggerite

  • Esaminare l'articolo della Microsoft Knowledge Base associato a questo avviso

    I clienti interessati a saperne di più sui problemi atl devono esaminare l'articolo della Microsoft Knowledge Base 973882.

  • Applicare gli aggiornamenti associati ai bollettini sulla sicurezza MS09-034 e MS09-035

    I clienti con sistemi interessati possono scaricare gli aggiornamenti dall'articolo della Microsoft Knowledge Base 969706 e dall'articolo della Microsoft Knowledge Base 972260. L'aggiornamento di Internet Explorer offre nuove mitigazioni che impediscono la creazione di istanze di controlli ActiveX vulnerabili in Internet Explorer 7 e 8. L'aggiornamento di Visual Studio consente agli sviluppatori di creare controlli ActiveX che non influiscono su queste vulnerabilità.

  • Proteggere il PC

    Continuiamo a incoraggiare i clienti a seguire le linee guida per proteggere il computer per abilitare un firewall, ottenere gli aggiornamenti software e installare il software antivirus. Per altre informazioni su questi passaggi, vedere Proteggere il computer.

  • Per altre informazioni sulla sicurezza su Internet, i clienti devono visitare Microsoft Security Central.

  • Mantenere Aggiornato Windows

    Tutti gli utenti di Windows devono applicare gli aggiornamenti della sicurezza Microsoft più recenti per assicurarsi che i computer siano protetti il più possibile. Se non si è certi che il software sia aggiornato, visitare Windows Update, analizzare il computer per individuare gli aggiornamenti disponibili e installare eventuali aggiornamenti ad alta priorità offerti all'utente. Se è abilitato il Aggiornamenti automatico, gli aggiornamenti vengono recapitati quando vengono rilasciati, ma è necessario assicurarsi di installarli.

Soluzioni alternative

Microsoft ha testato le soluzioni alternative seguenti. Anche se queste soluzioni alternative non correggeranno la vulnerabilità sottostante, consentono di bloccare i vettori di attacco noti. Quando una soluzione alternativa riduce la funzionalità, viene identificata nella sezione seguente.

Impostare le impostazioni dell'area di sicurezza Internet e Intranet locale su "Alto" per richiedere conferma prima di eseguire controlli ActiveX e Scripting attivo in queste zone

È possibile proteggersi da questa vulnerabilità modificando le impostazioni per l'area di sicurezza Internet in modo da richiedere prima di eseguire controlli ActiveX e Scripting attivo. A tale scopo, impostare la sicurezza del browser su Alto.

Per aumentare il livello di sicurezza di esplorazione in Microsoft Internet Explorer, seguire questa procedura:

  1. Scegliere Opzioni Internet dal menu Strumenti di Internet Explorer.
  2. Nella finestra di dialogo Opzioni Internet fare clic sulla scheda Sicurezza e quindi sull'icona Internet.
  3. In Livello di sicurezza per questa zona spostare il dispositivo di scorrimento su Alto. In questo modo viene impostato il livello di sicurezza per tutti i siti Web visitati su Alto.

Nota Se non è visibile alcun dispositivo di scorrimento, fai clic su Livello predefinito e quindi sposta il dispositivo di scorrimento su Alto.

Nota L'impostazione del livello su Alto potrebbe causare il funzionamento non corretto di alcuni siti Web. Se si ha difficoltà a usare un sito Web dopo aver modificato questa impostazione e si è certi che il sito sia sicuro da usare, è possibile aggiungere tale sito all'elenco di siti attendibili. In questo modo il sito funzionerà correttamente anche con l'impostazione di sicurezza impostata su Alto.

Impatto della soluzione alternativa: esistono effetti collaterali da richiedere prima di eseguire controlli ActiveX e Scripting attivo. Molti siti Web che si trovano su Internet o in una intranet usano ActiveX o Scripting attivo per fornire funzionalità aggiuntive. Ad esempio, un sito di e-commerce online o un sito bancario può utilizzare controlli ActiveX per fornire menu, moduli di ordinamento o persino estratti conto. La richiesta prima di eseguire controlli ActiveX o Scripting attivo è un'impostazione globale che influisce su tutti i siti Internet e Intranet. Quando si abilita questa soluzione alternativa, viene richiesto di frequente. Per ogni richiesta, se si ritiene attendibile il sito che si sta visitando, fare clic su per eseguire controlli ActiveX o Scripting attivo. Se non si desidera richiedere tutti questi siti, attenersi alla procedura descritta in "Aggiungere siti attendibili all'area Siti attendibili di Internet Explorer".

Aggiungere siti attendibili all'area Siti attendibili di Internet Explorer

Dopo aver impostato Internet Explorer per richiedere una richiesta prima di eseguire controlli ActiveX e Scripting attivo nell'area Internet e nell'area Intranet locale, è possibile aggiungere siti considerati attendibili all'area Siti attendibili di Internet Explorer. Ciò consentirà di continuare a usare siti Web attendibili esattamente come si fa oggi, contribuendo al contempo a proteggere l'utente da questo attacco su siti non attendibili. È consigliabile aggiungere solo i siti considerati attendibili all'area Siti attendibili.

A tale scopo, effettuare questi passaggi:

  1. In Internet Explorer fare clic su Strumenti, fare clic su Opzioni Internet, quindi fare clic sulla scheda Sicurezza.
  2. Nella casella Selezionare un'area contenuto Web per specificare le impostazioni di sicurezza correnti fare clic su Siti attendibili e quindi su Siti.
  3. Se si desidera aggiungere siti che non richiedono un canale crittografato, fare clic per deselezionare la casella di controllo Richiedi verifica server (https:) per tutti i siti dell'area .
  4. Nella casella Aggiungi sito Web alla zona digitare l'URL di un sito attendibile e quindi fare clic su Aggiungi.
  5. Ripetere questi passaggi per ogni sito da aggiungere alla zona.
  6. Fare clic su OK due volte per accettare le modifiche e tornare a Internet Explorer.

Nota Aggiungere tutti i siti attendibili per non eseguire azioni dannose sul computer. Due in particolare che è possibile aggiungere sono *.windowsupdate.microsoft.com e *.update.microsoft.com. Si tratta dei siti che ospiteranno l'aggiornamento e richiede un controllo ActiveX per installare l'aggiornamento.

Configurare Internet Explorer per richiedere conferma prima di eseguire script attivi o disabilitare lo scripting attivo nell'area di sicurezza Internet e Intranet locale

È possibile proteggere da questa vulnerabilità modificando le impostazioni di Internet Explorer in modo da richiedere prima di eseguire script attivi o disabilitare lo scripting attivo nell'area di sicurezza Internet e Intranet locale. A tale scopo, effettuare i passaggi seguenti:

  1. In Internet Explorer fare clic su Opzioni Internet dal menu Strumenti .
  2. Fare clic sulla scheda Sicurezza.
  3. Fare clic su Internet e quindi su Livello personalizzato.
  4. In Impostazioni, nella sezione Scripting, in Scripting attivo fare clic su Prompto Disabilita e quindi su OK.
  5. Fare clic su Intranet locale e quindi su Livello personalizzato.
  6. In Impostazioni, nella sezione Scripting, in Scripting attivo fare clic su Prompto Disabilita e quindi su OK.
  7. Fare clic su OK due volte per tornare a Internet Explorer.

Nota La disabilitazione dello scripting attivo nelle aree di sicurezza Internet e Intranet locale può causare il funzionamento non corretto di alcuni siti Web. Se si ha difficoltà a usare un sito Web dopo aver modificato questa impostazione e si è certi che il sito sia sicuro da usare, è possibile aggiungere tale sito all'elenco di siti attendibili. In questo modo il sito funzionerà correttamente.

Impatto della soluzione alternativa: esistono effetti collaterali da richiedere prima di eseguire lo scripting attivo. Molti siti Web che si trovano su Internet o in una intranet usano Scripting attivo per fornire funzionalità aggiuntive. Ad esempio, un sito di e-commerce online o un sito bancario può utilizzare Scripting attivo per fornire menu, moduli di ordinamento o persino estratti conto. La richiesta prima di eseguire script attivi è un'impostazione globale che influisce su tutti i siti Internet e Intranet. Quando si abilita questa soluzione alternativa, viene richiesto di frequente. Per ogni richiesta, se si ritiene attendibile il sito che si sta visitando, fare clic su per eseguire script attivi. Se non si desidera richiedere tutti questi siti, attenersi alla procedura descritta in "Aggiungere siti attendibili all'area Siti attendibili di Internet Explorer".

Aggiungere siti attendibili all'area Siti attendibili di Internet Explorer

Dopo aver impostato Internet Explorer per richiedere una richiesta prima di eseguire controlli ActiveX e Scripting attivo nell'area Internet e nell'area Intranet locale, è possibile aggiungere siti considerati attendibili all'area Siti attendibili di Internet Explorer. Ciò consentirà di continuare a usare siti Web attendibili esattamente come si fa oggi, contribuendo al contempo a proteggere l'utente da questo attacco su siti non attendibili. È consigliabile aggiungere solo i siti considerati attendibili all'area Siti attendibili.

A tale scopo, effettuare questi passaggi:

  1. In Internet Explorer fare clic su Strumenti, fare clic su Opzioni Internet, quindi fare clic sulla scheda Sicurezza.
  2. Nella casella Selezionare un'area contenuto Web per specificare le impostazioni di sicurezza correnti fare clic su Siti attendibili e quindi su Siti.
  3. Se si desidera aggiungere siti che non richiedono un canale crittografato, fare clic per deselezionare la casella di controllo Richiedi verifica server (https:) per tutti i siti dell'area .
  4. Nella casella Aggiungi sito Web alla zona digitare l'URL di un sito attendibile e quindi fare clic su Aggiungi.
  5. Ripetere questi passaggi per ogni sito da aggiungere alla zona.
  6. Fare clic su OK due volte per accettare le modifiche e tornare a Internet Explorer.

Nota Aggiungere tutti i siti attendibili per non eseguire azioni dannose sul computer. Due in particolare che è possibile aggiungere sono *.windowsupdate.microsoft.com e *.update.microsoft.com. Si tratta dei siti che ospiteranno l'aggiornamento e richiede un controllo ActiveX per installare l'aggiornamento.

Altre informazioni

Risorse:

  • È possibile fornire commenti e suggerimenti completando il modulo visitando la Guida e il supporto tecnico Microsoft: Contattaci.
  • I clienti del Stati Uniti e del Canada possono ricevere supporto tecnico dal supporto tecnico. Per altre informazioni sulle opzioni di supporto disponibili, vedere Guida e supporto tecnico Microsoft.
  • I clienti internazionali possono ricevere supporto dalle filiali Microsoft locali. Per altre informazioni su come contattare Microsoft per problemi di supporto internazionale, visitare il supporto internazionale.
  • Microsoft TechNet Security fornisce informazioni aggiuntive sulla sicurezza nei prodotti Microsoft.

Declinazione di responsabilità:

Le informazioni fornite in questo avviso vengono fornite "così com'è" senza garanzia di alcun tipo. Microsoft dichiara tutte le garanzie, espresse o implicite, incluse le garanzie di commerciabilità e idoneità per uno scopo specifico. In nessun caso, Microsoft Corporation o i suoi fornitori saranno responsabili di qualsiasi danno, incluso diretto, indiretto, accidentale, consequenziale, perdita di profitti aziendali o danni speciali, anche se Microsoft Corporation o i suoi fornitori sono stati informati della possibilità di tali danni. Alcuni stati non consentono l'esclusione o la limitazione della responsabilità per danni consequenziali o accidentali, pertanto la limitazione precedente potrebbe non essere applicata.

Revisioni:

  • V1.0 (28 luglio 2009): Avviso pubblicato.
  • V2.0 (11 agosto 2009): Avviso modificato per aggiungere voci nella sezione Aggiornamenti correlate ad ATL per comunicare il rilascio del bollettino sulla sicurezza Microsoft MS09-037, "Vulnerabilità in Microsoft Active Template Library (ATL) potrebbe consentire l'esecuzione di codice remoto" e la versione di Microsoft Security Bulletin MS09-035, "Vulnerabilità in Visual Studio Active Template Library potrebbe consentire l'esecuzione di codice remoto, " per offrire aggiornamenti aggiuntivi.
  • V3.0 (25 agosto 2009): avviso modificato per fornire dettagli sulla versione di Windows Live Messenger 14.0.8089 e per comunicare la rimozione della funzionalità "Allega foto" di Windows Live Hotmail.
  • V4.0 (13 ottobre 2009): avviso modificato per aggiungere una voce nella sezione Aggiornamenti correlata ad ATL per comunicare il rilascio del bollettino microsoft sulla sicurezza MS09-060, "Vulnerabilità nei controlli Active Template Library (ATL) di Microsoft ActiveX per Microsoft Office potrebbe consentire l'esecuzione di codice remoto".

Costruito al 2014-04-18T13:49:36Z-07:00