Esporta (0) Stampa
Espandi tutto

Advisory Microsoft sulla sicurezza 973882

Alcune vulnerabilità in Microsoft Active Template Library (ATL)potrebbero consentire l'esecuzione di codice in modalità remota

Data di pubblicazione: martedì 28 luglio 2009 | Aggiornamento: martedì 13 ottobre 2009

Versione: 4.0

Microsoft rilascia questo advisory di protezione per fornire le informazioni sulle ricerche in corso riguardo le vulnerabilità nelle versioni pubbliche e private di Microsoft ATL (Active Template Library). Questo advisory fornisce inoltre delle linee guida per aiutare gli sviluppatori ad assicurarsi che i controlli e i componenti sviluppati non siano vulnerabili a causa dei problemi di ATL. Questo documento indica inoltre ai professionisti IT e agli utenti cosa è possibile fare per attenuare gli attacchi potenziali che utilizzano le vulnerabilità. Infine vengono delineate le ricerche di Microsoft relative al problema descritto in questo advisory. Questo advisory di protezione fornirà inoltre un elenco completo di tutti i bollettini Microsoft sulla sicurezza e degli aggiornamenti per la protezione inerenti alle vulnerabilità in ATL. La ricerca di Microsoft riguardo alle versioni private e pubbliche di ATL è in corso e verranno rilasciati aggiornamenti e guide per la protezione.

Microsoft è al corrente delle vulnerabilità di sicurezza nelle versioni pubbliche e private di ATL. ATL di Microsoft è utilizzato dagli sviluppatori di software per creare controlli o componenti per la piattaforma Windows. Le vulnerabilità descritte in questo advisory sulla sicurezza e nel bollettino Microsoft sulla sicurezza MS09-035 potrebbero causare l'intercettazione di informazioni personali o l'esecuzione di codice dannoso in modalità remota da parte di controlli e componenti sviluppati con versioni di ATL esposte alle vulnerabilità. I componenti e i controlli creati con versioni di ATL esposte a vulnerabilità potrebbero essere esposti a rischi, a causa del modo in cui ATL viene utilizzato o del codice stesso di ATL.

Linee guida per gli sviluppatori: Microsoft ha corretto i problemi negli header pubblici di ATL e ha rilasciato degli aggiornamenti per le librerie nel bollettino MS09-035 "Alcune vulnerabilità in Active Template Library di Visual Studio potrebbero consentire l'esecuzione di codice in modalità remota". Microsoft consiglia vivamente agli sviluppatori che hanno creato controlli o componenti con ATL di intraprendere immediate misure per valutare se questi sono esposti a condizioni di vulnerabilità e seguire la guida fornita per sviluppare codice sicuro. Per ulteriori informazioni sulle vulnerabilità e per la guida relativa ai problemi in ATL, consultare l'MS09-035, "Alcune vulnerabilità in Active Template Library di Visual Studio potrebbero consentire l'esecuzione di codice in modalità remota".

Linee guida per professionisti IT e utenti: Per favorire la protezione degli utenti, mentre gli sviluppatori aggiornano i propri componenti e controlli, Microsoft ha sviluppato una nuova tecnologia di protezione. Questa nuova tecnologia di protezione inclusa in Internet Explorer aiuta a proteggere gli utenti da attacchi futuri condotti sfruttando le vulnerabilità in Microsoft Active Template Library descritte in questo advisory e nel bollettino Microsoft sulla sicurezza MS09-035. Per sfruttare questa nuova tecnologia di protezione, è necessario che professionisti IT e utenti installino subito l'aggiornamento per la protezione di Internet Explorer offerto nel bollettino Microsoft sulla sicurezza MS09-034, "Aggiornamento cumulativo per la protezione di Internet Explorer".

Questo aggiornamento per la protezione consente di evitare che componenti e controlli sviluppati con versioni di ATL esposte a vulnerabilità possano essere sfruttati in Internet Explorer. Inoltre questo aggiornamento risolve altre vulnerabilità. La nuova protezione distribuita in MS09-034 contiene degli aggiornamenti per Internet Explorer 5.01, Internet Explorer 6 e Internet Explorer 6 Service Pack 1, Internet Explorer 7 e Internet Explorer 8. Queste protezioni controllano e aiutano a evitare che una delle vulnerabilità pubbliche e private di ATL possa essere sfruttata. Tra queste vulnerabilità sono comprese quelle che potrebbero fare in modo da ignorare la funzione di protezione dei kill bit di ActiveX. Queste protezioni sono progettate per difendere gli utenti da attacchi basati su Web.

Linee guida per gli utenti privati: Per favorire la protezione degli utenti, mentre gli sviluppatori aggiornano i propri componenti e controlli, Microsoft ha sviluppato una nuova tecnologia di protezione. Questa nuova tecnologia di difesa in profondità di Internet Explorer offerta dai nuovi aggiornamenti aiuta a proteggere i clienti da eventuali attacchi futuri che sfruttano le vulnerabilità in Microsoft Active Template Library descritte in questo advisory e nel Bollettino Microsoft sulla sicurezza MS09-035. Gli utenti privati iscritti agli Aggiornamenti automatici riceveranno automaticamente il nuovo aggiornamento di Internet Explorer e non devono intraprendere alcuna azione ulteriore. Gli utenti privati saranno automaticamente più protetti da attacchi futuri contro le vulnerabilità descritte in questo advisory di protezione ed nel bollettino Microsoft sulla sicurezza MS09-035.

Fattori attenuanti per i controlli e i componenti sviluppati con versioni di Microsot ATL (Active Template Library) esposte a vulnerabilità:

  • Per impostazione predefinita, la maggior parte dei controlli ActiveX non sono inclusi nell'elenco Consenti predefinito dei controlli ActiveX in Internet Explorer 7 o Internet Explorer 8, eseguiti in Windows Vista o in versioni successive di Windows. Soltanto gli utenti che hanno approvato esplicitamente i controlli vulnerabili tramite la funzione ActiveX con consenso esplicito sono esposti ai rischi derivanti da queste vulnerabilità. Tuttavia, se un cliente ha utilizzato questi controlli ActiveX in una versione precedente di Internet Explorer e ha poi effettuato l'aggiornamento a Internet Explorer 7 o 8, questi controlli ActiveX verranno attivati, anche se il cliente non li ha approvati esplicitamente tramite la funzione ActiveX con consenso esplicito.
  • Internet Explorer 8 offre un livello maggiore di protezione attivando le protezioni di memoria DEP/NX per impostazione predefinita per gli utenti di Windows XP Service Pack 3, Windows Vista Service Pack 1, Windows Vista Service Pack 2 e Windows 7.
  • Per impostazione predefinita, Internet Explorer in Windows Server 2003 e Windows Server 2008 viene eseguito in una modalità limitata denominata Protezione avanzata. La configurazione Protezione avanzata è costituita da un gruppo di impostazioni di Internet Explorer preconfigurate che riduce la probabilità che un utente o un amministratore scarichi ed esegua contenuto Web appositamente predisposto in un server. Questo è un fattore attenuante per i siti Web che non sono stati aggiunti all'area Siti attendibili di Internet Explorer. Consultare anche il documento relativo alla gestione della Protezione avanzata di Internet Explorer.
  • Per impostazione predefinita, tutte le versioni supportate di Microsoft Outlook e Microsoft Outlook Express aprono i messaggi di posta elettronica in formato HTML nell'area Siti con restrizioni. L'area Siti con restrizioni consente di ridurre gli attacchi volti a sfruttare questa vulnerabilità impedendo l'esecuzione di script attivi e l'utilizzo di controlli ActiveX durante la lettura di messaggi di posta elettronica in formato HTML. Se tuttavia si fa clic su un collegamento presente in un messaggio di posta elettronica, tale vulnerabilità potrebbe ancora sussistere con le modalità descritte nello scenario di attacco dal Web.
  • In uno scenario di attacco basato sul Web, l'utente malintenzionato potrebbe pubblicare un sito Web contenente una pagina utilizzata per sfruttare la vulnerabilità. Inoltre, i siti Web manomessi e quelli che accettano o ospitano contenuti o annunci pubblicitari forniti dagli utenti potrebbero presentare contenuti appositamente predisposti per sfruttare questa vulnerabilità. In tutti questi casi, comunque, non è in alcun modo possibile obbligare gli utenti a visitare questi siti Web. L'utente malintenzionato dovrebbe invece invogliare le vittime a visitare il sito Web, in genere inducendole a fare clic su un collegamento in un messaggio di posta elettronica o di Instant Messenger che le indirizzi al sito.
  • Sfruttando questa vulnerabilità, un utente malintenzionato può ottenere gli stessi diritti utente dell'utente locale. Gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.

Aggiornamenti relativi ad ATL:

Aggiornamento rilasciato il 13 ottobre 2009

  • Bollettino Microsoft sulla sicurezza MS09-060, "Alcune vulnerabilità nei controlli ActiveX di Microsoft Active Template Library (ATL) per Microsoft Office possono consentire l'esecuzione di codice in modalità remota," fornisce supporto per i componenti di Microsoft Office interessati dalle vulnerabilità ATL descritte nel presente advisory.

Aggiornamenti rilasciati il 25 agosto 2009

  • Windows Live Messenger 14.0.8089 è stato rilasciato per risolvere le vulnerabilità nel client di Windows Live Messenger correlate alle vulnerabilità di ATL descritte in questo advisory.
  • A questo advisory è stata aggiunta la sezione Domande frequenti sui Componenti Windows Live per comunicare la rimozione della funzionalità "Allega fotografia" di Windows Live Hotmail e per fornire dettagli sulla versione 14.0.8089 di Windows Live Messenger.

Aggiornamenti rilasciati l'11 agosto 2009

  • Il Bollettino Microsoft sulla sicurezza MS09-037, "Alcune vulnerabilità in Microsoft Active Template Library (ATL) possono consentire l'esecuzione di codice in modalità remota", fornisce supporto per i componenti Windows interessati dalle vulnerabilità ATL descritte nel presente advisory.
  • Il Bollettino Microsoft sulla sicurezza MS09-035, "Alcune vulnerabilità in Active Template Library di Visual Studio potrebbero consentire l'esecuzione di codice in modalità remota", è stato rilasciato nuovamente per offrire nuovi aggiornamenti per gli sviluppatori che utilizzano Visual Studio per creare componenti e controlli per applicazioni mobili utilizzando ATL per dispositivi Smart Device.

Aggiornamenti rilasciati il 28 luglio 2009

  • Il bollettino Microsoft sulla sicurezza MS09-035 "Alcune vulnerabilità in Active Template Library di Visual Studio potrebbero consentire l'esecuzione di codice in modalità remota" fornisce dettagli relativi alle specifiche vulnerabilità di ATL e nuovi header ATL pubblici per permettere ai fornitori di software di sviluppare componenti e controlli aggiornati. La ricerca di Microsoft ha evidenziato che esistono componenti e controlli di Microsoft e di terze parti interessati da questo problema e che questi sono presenti in tutte le edizioni supportate di Windows 2000 Service Pack 4, Windows XP, Windows Server 2003, Windows Vista e Windows Server 2008. Gli sviluppatori che hanno utilizzato versioni di ATL esposte a vulnerabilità per sviluppare controlli o componenti, dovrebbero consultare questo bollettino e intraprendere misure immediate per correggere il proprio software.
  • Il bollettino Microsoft sulla sicurezza MS09-034, "Aggiornamento cumulativo per la protezione di Internet Explorer" contiene una soluzione per evitare che componenti e controlli sviluppati utilizzando versioni di ATL esposte a vulnerabilità possano essere sfruttati in Internet Explorer. Questo bollettino si occupa inoltre di altre vulnerabilità. La nuova protezione distribuita in MS09-034 contiene degli aggiornamenti per Internet Explorer 5.01, Internet Explorer 6 e Internet Explorer 6 Service Pack 1, Internet Explorer 7 e Internet Explorer 8. Queste protezioni controllano e aiutano a evitare che una delle vulnerabilità pubbliche e private di ATL possa essere sfruttata. Tra queste vulnerabilità sono comprese quelle che potrebbero fare in modo da ignorare la funzione di protezione dei kill bit di ActiveX. Queste protezioni sono progettate per difendere gli utenti da attacchi basati su Web.
  • Microsoft non è al corrente di alcun metodo o controllo contenuto in Windows 7 che consente di eseguire attacchi tramite Internet Explorer.

Aggiornamento rilasciato il 14 luglio 2009

  • Il bollettino Microsoft sulla sicurezza MS09-032, "Aggiornamento cumulativo per la protezione dei kill bit ActiveX" ha fornito misure di protezione ActiveX (un kill bit) per impedire al controllo msvidctl di essere eseguito in Internet Explorer. L'exploit di msvidcntl è stato possibile a causa di una vulnerabilità nella versione privata di ATL. In questa specifica istanza, la vulnerabilità consente a un utente malintenzionato di danneggiare la memoria con il conseguente rischio di autorizzare l'esecuzione di codice in modalità remota. I kill bit forniti nella versione di giugno di msvidctl (MS09-032) bloccherà l'exploit pubblico qui descritto.

Informazioni generali

Scopo dell'advisory: Questo advisory è stato rilasciato per fornire agli utenti la notifica iniziale della vulnerabilità divulgata pubblicamente. Per ulteriori informazioni, consultare le sezioni Soluzioni alternative, Fattori attenuanti e Interventi consigliati di questo advisory sulla sicurezza.

Stato dell'advisory: pubblicazione dell'advisory

Raccomandazione: consultare le azioni consigliate ed eseguire le configurazioni necessarie.

RiferimentiIdentificazione
Riferimento CVE CVE-2009-0901
CVE-2009-2493
CVE-2009-2495
CVE-2008-0015
Bollettino sulla sicurezza MS09-035, "Alcune vulnerabilità in Active Template Library di Visual Studio potrebbero consentire l'esecuzione di codice in modalità remota"

MS09-034, "Aggiornamento cumulativo per la protezione di Internet Explorer"

MS09-032, "Aggiornamento cumulativo per la protezione dei kill bit ActiveX"
Articolo della Microsoft Knowledge Base MS09- 035:
Articolo della Microsoft Knowledge Base 969706

MS09-034:
Articolo della Microsoft Knowledge Base 972260

MS09-032:
Articolo della Microsoft Knowledge Base 973346

In questo advisory vengono presi in esame i seguenti prodotti software.

Software interessato
Microsoft Windows
Controlli e componenti sviluppati con versioni di Active Template Library esposte a vulnerabilità
Microsoft Live Services
Windows Live Messenger (versioni precedenti a 14.0.8089)
Funzionalità "Allega fotografia" di Windows Live Hotmail

Qual è lo scopo di questo advisory?
Microsoft è al corrente di vulnerabilità che interessando componenti e controlli sviluppati con versioni pubbliche e private di ATL (Active Template Library). L'advisory si propone di informare gli utenti degli aggiornamenti che aiutano a limitare il rischio di controlli e componenti vulnerabili, fornisce indicazioni agli sviluppatori che hanno creato controlli e componenti utilizzando versioni di ATL esposte a vulnerabilità e infine fornisce ai professionisti IT consigli su come proteggere e installare gli aggiornamenti nei loro ambienti.

Verranno rilasciati aggiornamenti futuri da parte di Microsoft per la protezione aggiuntiva relativa a questo advisory di protezione?
La ricerca di Microsoft riguardo le versioni private e pubbliche degli header di ATL è in corso e verranno rilasciati aggiornamenti e guide per la protezione.

La vulnerabilità di msvidctl (MS09-032) era legata a questo aggiornamento di ATL?
Sì, l'exploit di msvidctl è stato possibile a causa di una vulnerabilità nella versione privata di ATL. In questa specifica istanza, la vulnerabilità consente a un utente malintenzionato di danneggiare la memoria con il conseguente rischio di autorizzare l'esecuzione di codice in modalità remota. MS09-032, precedentemente rilasciato nella versione del 14 luglio, blocca gli attacchi conosciuti per msvidctl. Per ulteriori informazioni sull'exploit di msvidctl, consultare http://blogs.technet.com/srd/archive/2009/07/06/new-vulnerability-in-mpeg2tunerequest-activex-control-object-in-msvidctl-dll.aspx.

L'aggiornamento di Internet Explorer (ms09-034) protegge anche contro gli attacchi di msvidctl?
Gli aggiornamenti di Internet Explorer proteggeranno contro lo sfruttamento delle vulnerabilità conosciute delle versioni pubbliche e private di ATL, compresi gli attacchi di msvidctl.

Che cosa significa ATL?
ATL (Active Template Library) è una serie di classi C++ basate su modelli che permette di creare oggetti Component Object Model (COM) dalle dimensioni ridotte e veloci. ATL offre il supporto speciale per le principali funzionalità COM, comprese le implementazioni stock, interfacce doppie e standard per enumeratori COM, punti di connessione, interfacce di spostamento e controlli ActiveX. Per ulteriori informazioni, consultare l'articolo di MSDN, ATL.

Qual è la causa di questa vulnerabilità in ATL?
Il problema è causato in alcuni casi dal modo in cui ATL viene utilizzato. In altri casi la causa del problema risiede nel codice stesso di ATL. In questi casi, i flussi di dati potrebbero essere gestiti in maniera errata.  Ciò  potrebbe causare il danneggiamento della memoria, l'intercettazione di informazioni personali e la creazione di istanze di oggetti che ignorano i criteri di protezione. Per ulteriori informazioni sulle vulnerabilità relative ad ATL, consultare l'MS09-035, "Alcune vulnerabilità in Active Template Library di Visual Studio potrebbero consentire l'esecuzione di codice in modalità remota".

Quali sono le differenze tra le versioni pubbliche e private di Active Template Library?
La versione privata di Active Template Library viene utilizzata dagli sviluppatori di Microsoft per la creazione di controlli e componenti. Microsoft ha aggiornato tutte le versioni di Active Template Library utilizzato internamente.

La versione pubblica di Active Template Library è distribuita ai clienti tramite strumenti di sviluppo, come ad esempio Microsoft Visual Studio. Microsoft fornisce una versione aggiornata della versione pubblica di ATL tramite il bollettino Microsoft sulla sicurezza MS09-035.

Le vulnerabilità di sicurezza in ATL richiederanno aggiornamenti da parte di Microsoft e sviluppatori di terze parti?
Sì. Oltre agli aggiornamenti del bollettino già descritto in questo advisory, Microsoft sta effettuando una ricerca completa sui propri controlli e componenti. Una volta completate le ricerche, Microsoft intraprenderà un'azione appropriata per la protezione dei clienti. In base alle esigenze dei clienti, potrebbe essere necessario distribuire un aggiornamento per la protezione tramite il processo di rilascio mensile oppure un aggiornamento per la protezione integrativo.

Microsoft sta inoltre contattando gli sviluppatori di terze parti più importanti per fornire indicazioni su come identificare controlli e componenti esposti a vulnerabilità. Di conseguenza, potrebbero essere disponibili a breve aggiornamenti per la protezione per i controlli e componenti rilasciati da sviluppatori di terze parti.

In che modo verrà distribuito l'aggiornamento a Windows Live Messenger?
Dopo l'iscrizione al servizio Windows Live Messenger, il meccanismo di distribuzione di client nel servizio Windows Live Messenger chiederà agli utenti di Windows Live Messenger 8.1, Windows Live Messenger 8.5, e Windows Live Messenger 14.0 sulle versioni supportate di Windows di accettare l'aggiornamento a Windows Live Messenger 14.0.8089. Inoltre, gli utenti che desiderano scaricare subito l'aggiornamento a Windows Live Messenger 14.0.8089 possono farlo attraverso l'Area download di Windows Live. In caso contrario, agli utenti di versioni vulnerabili dei client Windows Live Messenger potrebbe non essere consentita la connessione al servizio Windows Live Messenger.

Perché Microsoft rilascia l'aggiornamento a Windows Live Messenger mediante il servizio di Windows Live Messenger e anche mediante il download?
Attualmente, Microsoft fornisce gli aggiornamenti per il client Windows Live Messenger utilizzando il servizio Windows Live Messenger perché questi servizi online hanno meccanismi di distribuzione client propri. Tuttavia, i collegamenti dell'Area download Microsoft sono disponibili anche per client specifici di Windows Live Messenger. Gli utenti che desiderano scaricare subito gli aggiornamenti possono farlo attraverso l'Area download di Windows Live.

Se questo è un aggiornamento, come è possibile individuare se la versione in uso di Windows Live Messenger è esposta alla vulnerabilità?  
Quando si tenta di accedere al servizio Windows Live Messenger, il meccanismo di distribuzione client determina automaticamente la versione client corrente e la piattaforma e, se richiesto, consiglia l'aggiornamento appropriato. Inoltre, è possibile verificare la versione client di Windows Live Messenger scegliendo ?, quindi Informazioni.

Che cosa accade se non si esegue l'aggiornamento alla versione più recente di Windows Live Messenger?
Se non si esegue l'aggiornamento a una versione non interessata di Windows Live Messenger, a seconda della propria piattaforma, a ogni accesso viene visualizzato un messaggio che richiede di eseguire l'aggiornamento. Se non si accetta l'aggiornamento, non sarà consentito l'accesso al servizio Windows Live Messenger.

Le altre applicazioni di collaborazione in tempo reale di Microsoft, come Windows Messenger o Office Communicator, sono interessate da questa vulnerabilità?
No. Le altre applicazioni di messaggistica non sono interessate poiché non contengono il componente vulnerabile.

Quando è stata rimossa la funzionalità "Allega fotografia" di Windows Live Hotmail? Questa azione ha coinciso con il lancio di una nuova funzionalità?
Microsoft ha deciso recentemente di rimuovere la funzionalità in maniera temporanea al fine di risolvere il problema. La rimozione temporanea della funzionalità non ha coinciso con il lancio di un'altra funzionalità.

Quali sono i tempi previsti per il ripristino completo della funzionalità "Allega fotografia" in tutti gli utenti Windows Live Hotmail?
Microsoft sta lavorando attivamente alla soluzione del problema. Nel frattempo, è possibile continuare ad aggiungere immagini come allegati ai propri messaggi Hotmail facendo clic su Allega e scegliendo l'immagine che si desidera includere.

Qual è la causa di questa vulnerabilità in ATL?
Il problema è causato in alcuni casi dal modo in cui ATL viene utilizzato. In altri casi la causa del problema risiede nel codice stesso di ATL. In questi casi, i flussi di dati potrebbero essere gestiti in maniera errata.  Ciò  potrebbe causare il danneggiamento della memoria, l'intercettazione di informazioni personali e la creazione di istanze di oggetti che ignorano i criteri di protezione. Per ulteriori informazioni sulle vulnerabilità relative ad ATL, consultare l'MS09-035, "Alcune vulnerabilità in Active Template Library di Visual Studio potrebbero consentire l'esecuzione di codice in modalità remota".

A quali attacchi viene esposto il sistema a causa di questa vulnerabilità?
Per i controlli e i componenti sviluppati con ATL, l'uso non sicuro di alcune macro potrebbe consentire la creazione di istanze di oggetti non consentiti che possono ignorare i criteri di protezione di ActiveX raccontati (kill bit) all'interno di Internet Explorer. Inoltre, i componenti e i controlli sviluppati con versioni di ATL esposte a vulnerabilità potrebbero consentire l'esecuzione non autorizzata di codice in modalità remota o l'intercettazione di informazioni personali. Se un utente ha effettuato l'accesso con i privilegi di amministrazione e dispone di un controllo vulnerabile sul proprio sistema, un utente malintenzionato potrebbe ottenere il controllo completo del sistema in questione. Potrebbe quindi installare programmi e visualizzare, modificare o eliminare dati oppure creare nuovi account con diritti utente completi. Gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.

Uno sviluppatore di terze parti utilizza ATL in un componente o controllo. Come è possibile determinare se un controllo o un componente è vulnerabile ed eventualmente creare un aggiornamento?  
I componenti e i controlli potrebbero essere interessati da questo problema se si verificano certe condizioni durante la fase di sviluppo. MS09-035 contiene ulteriori informazioni, esempi e indicazioni che gli sviluppatori di terze parti possono utilizzare per rilevare e correggere componenti e controlli vulnerabili.

Cosa comporta l'aggiornamento di protezione per Visual Studio?
Questi aggiornamenti risolvono le vulnerabilità in Microsoft Active Template Library (ATL) che potrebbero consentire ad un utente non autenticato collegato in remoto di eseguire codice non autorizzato su un sistema interessato. Queste vulnerabilità sono causate in alcuni casi dal modo in cui ATL viene utilizzato. In altri casi la causa del problema risiede nel codice stesso di ATL. Poiché queste vulnerabilità interessano ATL, i componenti o i controlli sviluppati utilizzando ATL potrebbero esporre gli utenti che li utilizzano al rischio di esecuzione di codice in modalità remota.

L'aggiornamento di protezione per Visual Studio aggiorna la versione vulnerabile di ATL utilizzato da Visual Studio. Questo consente agli utenti di Visual Studio di modificare e creare nuovamente i propri controlli e componenti con una versione aggiornata di ATL.

La ricerca di Microsoft ha evidenziato che esistono componenti e controlli di Microsoft e di terze parti interessati da questo problema. Quindi tutti i fornitori di software interessati dovrebbero modificare e ridistribuire i propri componenti e controlli utilizzando la versione corretta di ATL fornita col Bollettino Microsoft sulla sicurezza MS09-035.

L'aggiornamento di Internet Explorer MS09-034 protegge da tutti i componenti e controlli distribuiti con una versione vulnerabile di ATL?
Per favorire la protezione degli utenti, mentre gli sviluppatori aggiornano i propri componenti e controlli, Microsoft ha sviluppato una nuova tecnologia di protezione. Questa nuova tecnologia di protezione inclusa in Internet Explorer aiuta a proteggere gli utenti da attacchi futuri condotti sfruttando le vulnerabilità in Microsoft Active Template Library descritte in questo advisory e nel bollettino Microsoft sulla sicurezza MS09-035. Il bollettino Microsoft sulla sicurezza MS09-034, "Aggiornamento cumulativo per la protezione di Internet Explorer" contiene una soluzione per evitare che componenti e controlli sviluppati utilizzando versioni di ATL esposte a vulnerabilità possano essere sfruttati in Internet Explorer. Questo bollettino si occupa inoltre di altre vulnerabilità.

Microsoft continua a esaminare i propri controlli e componenti e aiuta gli sviluppatori di terze parti a verificare il loro software.

Cosa può fare un professionista IT per limitare l'impatto di questo problema?
Microsoft consiglia vivamente ai professionisti IT di installare subito l'aggiornamento per la protezione di Internet Explorer offerto nel bollettino Microsoft sulla sicurezza MS09-034, "Aggiornamento cumulativo per la protezione di Internet Explorer".

Quali misure può intraprendere un utente per limitare l'impatto di questo problema?
Per favorire la protezione degli utenti, mentre gli sviluppatori aggiornano i propri componenti e controlli, Microsoft ha sviluppato una nuova tecnologia di protezione. Questa nuova tecnologia di protezione inclusa in Internet Explorer aiuta a proteggere gli utenti da attacchi futuri condotti sfruttando le vulnerabilità in Microsoft Active Template Library descritte in questo advisory e nel bollettino Microsoft sulla sicurezza MS09-035. Microsoft consiglia vivamente agli utenti di attivare la funzionalità Aggiornamenti automatici e di installare subito l'aggiornamento per la protezione di Internet Explorer offerto nel bollettino Microsoft sulla sicurezza MS09-034, "Aggiornamento cumulativo per la protezione di Internet Explorer". Gli utenti privati che hanno attivato gli aggiornamenti automatici, riceveranno l'aggiornamento cumulativo di Internet Explorer e gli altri aggiornamenti per la protezione relativi a questo problema. Non sarà necessario eseguire altre operazioni.

Microsoft consiglia inoltre agli utenti privati di effettuare l'aggiornamento a Internet Explorer 8 per aumentare la propria protezione.

Qual è la causa di questo problema che potrebbe consentire di ignorare la protezione di ActiveX?
I controlli ActiveX sviluppati con metodi ATL vulnerabili potrebbe non convalidare le informazioni in modo corretto. Questo potrebbe causare il danneggiamento della memoria da parte di un controllo ActiveX o consentire a un utente malintenzionato di sfruttare un controllo ActiveX attendibile per caricarne uno non attendibile precedentemente bloccato in Internet Explorer.

La nuova protezione distribuita in MS09-034 contiene degli aggiornamenti per Internet Explorer 5.01, Internet Explorer 6 e Internet Explorer 6 Service Pack 1, Internet Explorer 7 e Internet Explorer 8 che controllano ed evitare che una delle vulnerabilità pubbliche e private di ATL possa essere sfruttata. Tra queste vulnerabilità sono comprese quelle che potrebbero fare in modo da ignorare la funzione di protezione dei kill bit di Internet Explorer. Queste protezioni sono progettate per difendere gli utenti da attacchi basati su Web.

A quali attacchi viene esposto il sistema a causa di questa funzionalità?
Un utente malintenzionato che è riuscito a sfruttare questa vulnerabilità su Windows Vista o Windows 2008 può ottenere solamente permessi come utente limitato, grazie alla Modalità protetta di Internet Explorer. Sugli altri sistemi Windows, l'utente malintenzionato potrebbe ottenere gli stessi permessi dell'utente locale. Gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.

Come può un utente malintenzionato utilizzare questa funzione?
Un utente malintenzionato potrebbe disporre di un sito Web che è progettato per ospitare un controllo ActiveX appositamente predisposto e convincere un utente a visualizzare il sito stesso. Ciò può comprendere anche siti Web manomessi e siti Web che accettano o ospitano contenuti o pubblicità forniti dagli utenti. In tutti questi casi, comunque, non è in alcun modo possibile obbligare gli utenti a visitare questi siti Web. L'utente malintenzionato dovrebbe invece convincere le vittime a visitare il sito Web, in genere inducendole a fare clic su un collegamento in un messaggio di posta elettronica o di instant messenger che lo indirizzi al sito.

Che cos'è un kill bit?
In Microsoft Internet Explorer è presente una funzionalità di protezione che consente di impedire il caricamento di un controllo ActiveX da parte del motore di rendering HTML di Internet Explorer. Per questo scopo, tale funzione imposta un valore del Registro di sistema, noto come "impostazione di kill bit". Se il kill bit è impostato, il controllo non può essere caricato, anche se è completamente installato. L'impostazione del kill bit garantisce che se un componente vulnerabile viene introdotto o reintrodotto in un sistema, non procura alcun danno.

Per ulteriori informazioni sui kill bit, vedere l'articolo della Knowledge Base 240797: Interruzione dell'esecuzione di un controllo ActiveX in Internet Explorer. Per informazioni più dettagliate sui kill bit e sul loro funzionamento in Internet Explorer consultare il seguente intervento sul blog Security Research and Defense.

Quali sono gli scopi dell'aggiornamento?
L'aggiornamento migliora il meccanismo di protezione di ActiveX fornendo la convalida quando metodi non sicuri vengono utilizzati dai controlli ActiveX (tramite header ATL vulnerabili in alcune configurazioni).

Questo aggiornamento modifica la funzionalità?
Sì. Questo aggiornamento non consente a una determinata serie di metodi ATL di essere eseguiti all'interno di Internet Explorer. L'aggiornamento limita il rischio evitare la protezione attiva, impedendo a controlli ActiveX attendibili di caricarne altri non attendibili

Questo aggiorna contiene ulteriori modifiche del software?
Sì. Questo aggiornamento contiene inoltre correzioni rapide per la protezione e altri aggiornamenti per Internet Explorer.

Questo aggiornamento riguarda tutti gli scenari relativi ai controlli ActiveX non sicuri?
No. Questo aggiornamento risolve specificamente i controlli ActiveX non attendibili/non sicuri che potrebbero essere vulnerabili a causa dei problemi di ATL descritti in questo advisory.

Microsoft continua la sua ricerca in merito a questo problema. Una volta completate le ricerche, Microsoft intraprenderà un'azione appropriata per la protezione dei clienti. In base alle esigenze dei clienti, potrebbe essere necessario distribuire un aggiornamento per la protezione tramite il processo di rilascio mensile oppure un aggiornamento per la protezione integrativo.

In che modo la Modalità protetta di Internet Explorer 7 e Internet Explorer 8 in Windows Vista e versioni successive protegge da questa vulnerabilità?
Per impostazione predefinita, Internet Explorer 7 e Internet Explorer 8 vengono eseguiti su Windows Vista in Modalità protetta nell'area di protezione Internet. La Modalità protetta riduce considerevolmente la capacità di un utente malintenzionato di scrivere, alterare o distruggere i dati sul computer dell'utente o di installare codice dannoso. La Modalità protetta utilizza i meccanismi di integrità presenti in Windows Vista e nelle versioni successive di Windows, che consentono di limitare l'accesso a processi, file e alle chiavi del Registro di sistema, impostando livelli di integrità più elevati.

Che cosa significa Protezione esecuzione programmi (DEP)?
La Protezione esecuzione programmi (DEP) è attivata per impostazione predefinita in Internet Explorer 8. DEP è progettata per aiutare a evitare gli attacchi, evitando che codice dannoso venga eseguito in una memoria che è stata contrassegnata come non eseguibile. Per ulteriori informazioni su DEP in Internet Explorer, vedere il seguente contributo: http://blogs.msdn.com/ie/archive/2008/04/08/ie8-security-part-I_3A00_-dep-nx-memory-protection.aspx.

  • Rileggere l'articolo della Microsoft Knowledge Base associato a questo advisory

    Per ottenere ulteriori informazioni sui problemi legati ad ATL, consultare l'articolo della Microsoft Knowledge Base 973882.
  • Applicazione degli aggiornamenti associati ai bollettini sulla sicurezza MS09-034 e MS09-035

    I clienti con sistemi interessati da questo problema possono scaricare gli aggiornamenti dagli articoli della Microsoft Knowledge Base 969706 e 972260. L'aggiornamento di Internet Explorer fornisce nuove soluzioni che evitano la creazione di istanze di controlli ActiveX vulnerabili all'interno di Internet Explorer 7 e 8. L'aggiornamento di Visual Studio consente agli sviluppatori di creare controlli ActiveX non affetti da queste vulnerabilità.
  • Protezione del proprio PC

    Microsoft consiglia di seguire le indicazioni disponibili in Proteggi il tuo Computer per attivare un firewall, acquisire aggiornamenti software e installare software antivirus. Per ulteriori informazioni su questi passaggi, visitare il sito Proteggi il tuo Computer.
  • Per ulteriori informazioni sulla protezione in Internet, visitare il sito Web Microsoft Security Central.
  • Aggiornamento regolare di Windows

    Si consiglia a tutti gli utenti di Windows di applicare gli ultimi aggiornamenti per la protezione Microsoft al fine di garantire la massima sicurezza del computer. Per verificare se il software è aggiornato, visitare il sito Windows Update per eseguire la scansione del computer e installare eventuali aggiornamenti ad alta priorità. Se la funzionalità Aggiornamenti automatici è attivata, gli aggiornamenti vengono inviati al computer al momento del rilascio, ma è comunque necessario assicurarsi di installarli.

Soluzioni alternative

Microsoft ha verificato le soluzioni alternative seguenti. Sebbene queste soluzioni alternative non eliminino la vulnerabilità sottostante, consentono di bloccare gli attacchi noti. Se una soluzione alternativa riduce la funzionalità, viene identificata nella sezione seguente.

Impostare il livello dell'area di protezione Internet e Intranet locale su "Alta" in modo che venga richiesta conferma dell'esecuzione di controlli ActiveX e script attivo in queste aree.

È possibile aumentare la protezione nei confronti di questa vulnerabilità modificando le impostazioni relative all'area Internet in modo da visualizzare un messaggio di conferma prima dell'esecuzione di controlli ActiveX e script attivo. Tale operazione può essere eseguita impostando la protezione del browser su Alta.

Per aumentare il livello di protezione del browser in Microsoft Internet Explorer, attenersi alla seguente procedura:

  1. Dal menu Strumenti di Internet Explorer, scegliere Opzioni Internet.
  2. Nella finestra di dialogo Opzioni Internet, fare clic sulla scheda Protezione, quindi sull'icona Internet.
  3. In Livello di protezione per l'area, spostare il dispositivo di scorrimento su Alta. Il livello di protezione per tutti i siti Web visitati viene così impostato su Alta.

Nota Se il dispositivo di scorrimento non è visibile, fare clic su Livello predefinito, quindi spostare il dispositivo di scorrimento su Alta.

Nota Con l'impostazione della protezione su Alta, alcuni siti Web potrebbero non funzionare nel modo corretto. Se si incontrano difficoltà nell'utilizzo di un sito Web dopo aver effettuato questa modifica e si è certi che il sito è sicuro, è possibile aggiungere il sito all'elenco Siti attendibili. In questo modo il sito funzionerà correttamente anche quando la protezione è impostata su Alta.

Effetto della soluzione alternativa: La visualizzazione di una richiesta di conferma prima dell'esecuzione di controlli ActiveX e di script attivo può avere effetti collaterali. Numerosi siti Web su Internet o sua una rete Intranet utilizzano ActiveX o script attivo per offrire funzionalità aggiuntive. Un sito di e-commerce o di online banking, ad esempio, può utilizzare controlli ActiveX per la visualizzazione dei menu, dei moduli d'ordine o degli estratti conto. La richiesta di conferma prima dell'esecuzione di controlli ActiveX o di script attivo è un'impostazione globale per tutti i siti Internet e Intranet. Se si utilizza questa soluzione alternativa, le richieste di conferma verranno visualizzate di frequente. A ogni richiesta di conferma, se si ritiene che il sito da visitare sia attendibile, fare clic su per consentire l'esecuzione dei controlli ActiveX o di script attivo. Se non si desidera che venga richiesta conferma per tutti i siti, utilizzare la procedura descritta in "Aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer".

Aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer

Dopo l'impostazione della richiesta di conferma prima dell'esecuzione di controlli ActiveX e script attivo nelle aree Internet e Intranet locale, è possibile aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer. In questo modo è possibile continuare a utilizzare i siti Web attendibili nel modo abituale, proteggendo al tempo stesso il sistema da eventuali attacchi dai siti non attendibili. Si raccomanda di aggiungere all'area Siti attendibili solo i siti effettivamente ritenuti attendibili.

A tale scopo, attenersi alla seguente procedura:

  1. In Internet Explorer, scegliere Opzioni Internet dal menu Strumenti e fare clic sulla scheda Protezione.
  2. Nella sezione Selezionare un'area di contenuto Web per specificare le relative impostazioni di protezione fare clic su Siti attendibili, e quindi sul pulsante Siti.
  3. Se si desidera aggiungere siti che non richiedono un canale crittografato, deselezionare la check box Richiedi verifica server (https:) per tutti i siti dell'area.
  4. Digitare nella casella Aggiungi il sito Web all'area l'URL del sito desiderato, quindi fare clic sul pulsante Aggiungi.
  5. Ripetere la procedura per ogni sito da aggiungere all'area.
  6. Fare due volte clic su OK per confermare le modifiche e tornare a Internet Explorer.

Nota È possibile aggiungere qualsiasi sito che si ritiene non eseguirà operazioni dannose sul computer. In particolare è utile aggiungere i due siti *.windowsupdate.microsoft.com e *.update.microsoft.com, ovvero i siti che ospiteranno l'aggiornamento per cui è richiesto l'utilizzo di un controllo ActiveX per l'installazione.

Configurare Internet Explorer in modo che venga richiesta conferma prima dell'esecuzione di script attivo oppure disattivare tali script nell'area di protezione Internet e Intranet locale

È possibile contribuire a una protezione più efficace del sistema dai rischi connessi a questa vulnerabilità modificando le impostazioni di Internet Explorer in modo che venga richiesta conferma prima di eseguire script attivo o vengano disattivati tali script nell'area di protezione Internet e Intranet locale. A tale scopo, attenersi alla seguente procedura:

  1. In Internet Explorer, scegliere Opzioni Internet dal menu Strumenti.
  2. Selezionare la scheda Protezione.
  3. Selezionare Internet e fare clic sul pulsante Livello personalizzato.
  4. Nella sezione Esecuzione script dell'elenco Impostazioni, selezionare Esecuzione script attivo, quindi fare clic su Chiedi conferma o Disattiva e su OK.
  5. Selezionare Intranet locale, quindi fare clic sul pulsante Livello personalizzato.
  6. Nella sezione Esecuzione script dell'elenco Impostazioni, selezionare Esecuzione script attivo, quindi fare clic su Chiedi conferma o Disattiva e su OK.
  7. Fare due volte clic su OK per tornare a Internet Explorer.

Nota Se si disattiva Esecuzione script attivo nelle aree di protezione Internet e Intranet locale, alcuni siti Web potrebbero non funzionare nel modo corretto. Se si incontrano difficoltà nell'utilizzo di un sito Web dopo aver effettuato questa modifica e si è certi che il sito è sicuro, è possibile aggiungere il sito all'elenco Siti attendibili. In questo modo il sito funzionerà correttamente.

Effetto della soluzione alternativa: La visualizzazione di una richiesta di conferma prima dell'esecuzione di script attivo può avere effetti collaterali. Numerosi siti Web su Internet o sua una rete Intranet utilizzano script attivo per offrire funzionalità aggiuntive. Un sito di e-commerce o di online banking, ad esempio, può utilizzare script attivo per la visualizzazione dei menu, dei moduli d'ordine o degli estratti conto. La richiesta di conferma prima dell'esecuzione di script attivo è un'impostazione globale per tutti i siti Internet e Intranet. Se si utilizza questa soluzione alternativa, le richieste di conferma verranno visualizzate di frequente. A ogni richiesta di conferma, se si ritiene che il sito da visitare sia attendibile, fare clic su per consentire l'esecuzione di script attivo. Se non si desidera che venga richiesta conferma per tutti i siti, utilizzare la procedura descritta in "Aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer".

Aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer

Dopo l'impostazione della richiesta di conferma prima dell'esecuzione di controlli ActiveX e script attivo nelle aree Internet e Intranet locale, è possibile aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer. In questo modo è possibile continuare a utilizzare i siti Web attendibili nel modo abituale, proteggendo al tempo stesso il sistema da eventuali attacchi dai siti non attendibili. Si raccomanda di aggiungere all'area Siti attendibili solo i siti effettivamente ritenuti attendibili.

A tale scopo, attenersi alla seguente procedura:

  1. In Internet Explorer, scegliere Opzioni Internet dal menu Strumenti e fare clic sulla scheda Protezione.
  2. Nella sezione Selezionare un'area di contenuto Web per specificare le relative impostazioni di protezione fare clic su Siti attendibili, e quindi sul pulsante Siti.
  3. Se si desidera aggiungere siti che non richiedono un canale crittografato, deselezionare la check box Richiedi verifica server (https:) per tutti i siti dell'area.
  4. Digitare nella casella Aggiungi il sito Web all'area l'URL del sito desiderato, quindi fare clic sul pulsante Aggiungi.
  5. Ripetere la procedura per ogni sito da aggiungere all'area.
  6. Fare due volte clic su OK per confermare le modifiche e tornare a Internet Explorer.

Nota È possibile aggiungere qualsiasi sito che si ritiene non eseguirà operazioni dannose sul computer. In particolare è utile aggiungere i due siti *.windowsupdate.microsoft.com e *.update.microsoft.com, ovvero i siti che ospiteranno l'aggiornamento per cui è richiesto l'utilizzo di un controllo ActiveX per l'installazione.

Altre informazioni

Risorse:

  • Per inviare un commento, compilare il modulo visitando il sito Microsoft Aiuto & Supporto: Contattaci.
  • Per usufruire dei servizi del supporto tecnico negli Stati Uniti e in Canada, visitare il sito del Security Support. Per ulteriori informazioni sulle opzioni di supporto disponibili, visitare il sito Microsoft Aiuto & Supporto.
  • I clienti internazionali possono ottenere assistenza tecnica presso le filiali Microsoft locali. Per ulteriori informazioni su come contattare Microsoft per ottenere supporto, visitare il sito per il supporto internazionale.
  • Microsoft TechNet Sicurezza fornisce ulteriori informazioni sulla protezione dei prodotti Microsoft.

Dichiarazione di non responsabilità:

Le informazioni disponibili in questo advisory sono fornite "come sono" senza garanzie di alcun tipo. Microsoft non rilascia alcuna garanzia, esplicita o implicita, inclusa la garanzia di commerciabilità e di idoneità per uno scopo specifico. Microsoft Corporation o i suoi fornitori non saranno, in alcun caso, responsabili per danni di qualsiasi tipo, inclusi i danni diretti, indiretti, incidentali, consequenziali, la perdita di profitti e i danni speciali, anche qualora Microsoft Corporation o i suoi fornitori siano stati informati della possibilità del verificarsi di tali danni. Alcuni stati non consentono l'esclusione o la limitazione di responsabilità per danni diretti o indiretti e, dunque, la sopracitata limitazione potrebbe non essere applicabile.

Versioni:

  • V1.0 (28 luglio 2009): pubblicazione dell'advisory
  • V2.0 (11 agosto 2009): Advisory rivisto per aggiungere voci negli Aggiornamenti relativi alla sezione ATL per comunicare il rilascio del Bollettino Microsoft sulla sicurezza MS09-037, "Alcune vulnerabilità in Microsoft Active Template Library (ATL) possono consentire l'esecuzione di codice in modalità remota" e il nuovo rilascio del Bollettino Microsoft sulla sicurezza MS09-035, "Alcune vulnerabilità in Active Template Library di Visual Studio potrebbero consentire l'esecuzione di codice in modalità remota", per offrire aggiornamenti aggiuntivi.
  • V3.0 (25 agosto 2009): L'advisory è stato rivisto per fornire dettagli sulla versione 14.0.8089 di Windows Live Messenger e per comunicare la rimozione della funzionalità "Allega fotografia" di Windows Live Hotmail.
  • V4.0 (13 ottobre 2009): Advisory rivisto per aggiungere una voce negli Aggiornamenti relativi alla sezione ATL per comunicare il rilascio del Bollettino Microsoft sulla sicurezza MS09-060, "Alcune vulnerabilità nei controlli ActiveX di Microsoft Active Template Library (ATL) per Microsoft Office possono consentire l'esecuzione di codice in modalità remota".

Built at 2014-04-18T01:50:00Z-07:00

Il documento è risultato utile?
(1500 caratteri rimanenti)
Grazie per i commenti inviati.
Mostra:
© 2015 Microsoft