Bollettino Microsoft sulla sicurezza MS03-008

Descrizione tecnica:

Il modulo di gestione script di Windows consente ai sistemi operativi Windows di eseguire codice di script, utilizzabile per aggiungere funzionalità alle pagine Web o per automatizzare attività all'interno del sistema operativo o di un programma. Il codice di script può essere scritto in numerosi linguaggi differenti, ad esempio Visual Basic Script o JScript.

Nel modulo di gestione script di Windows è presente una vulnerabilità relativa alle modalità di elaborazione delle informazioni per i processi JScript. Un hacker può sfruttare la vulnerabilità predisponendo una pagina Web che, dopo essere stata visitata dall'utente, esegue codice non autorizzato utilizzando i privilegi dell'utente. La pagina può essere contenuta in un sito Web o inviata direttamente all'utente in un messaggio di posta elettronica.

In caso di attacco tramite posta elettronica, se l'utente utilizza Outlook Express 6.0 o Outlook 2002 nelle configurazioni predefinite, oppure Outlook 98 o 2000 in combinazione con Outlook Email Security Update, non è possibile automatizzare l'attacco e l'utente deve comunque fare clic su un URL inviato in un messaggio di posta elettronica. Se tuttavia l'utente non utilizza Outlook Express 6.0 o Outlook 2002 nelle configurazioni predefinite, oppure Outlook 98 o 2000 in combinazione con Outlook Email Security Update, l'attacco può essere attivato automaticamente senza che sia necessario fare clic su un URL contenuto in un messaggio di posta elettronica. In entrambi i casi, qualsiasi restrizione applicata ai privilegi dell'utente limita anche le capacità di attacco dello script.

Circostanze attenuanti:

Livello di gravità:

La classificazione  della gravità di cui alla tabella precedente si basa sui tipi di sistema interessati dalla vulnerabilità, sui modelli di deployment più comuni e sui potenziali effetti del problema in tali ambienti.

Identificatore della vulnerabilità: CAN-2003-0010 

Versioni testate:

Microsoft ha eseguito test in Windows 98, Windows 98 Second Edition, Windows ME, Windows NT 4.0, Windows NT 4.0 Terminal Server Edition, Windows 2000 e Windows XP per verificare se tali sistemi sono interessati da queste vulnerabilità. Le versioni precedenti non sono più supportate  e potrebbero essere o meno interessate dal problema.

Qual è la portata o l'impatto di questa vulnerabilità?
Si tratta di una vulnerabilità di sovraccarico del buffer. L'autore dell'attacco può riuscire a provocare l'esecuzione di codice non autorizzato come se avesse origine nel sistema locale.

Quali sono le cause di questa vulnerabilità?
La vulnerabilità deriva da un overflow degli heap nel modulo di gestione script di Windows per il linguaggio JScript, ovvero JScript.dll.

Che cos'è un linguaggio di script?
I linguaggi di script possono essere utilizzati per integrare funzionalità aggiuntive in pagine Web HTML o sistemi operativi, consentendo agli sviluppatori Web di impostare e memorizzare variabili, oltre che di utilizzare dati nel codice HTML. È ad esempio possibile creare script per il controllo della versione del browser utilizzato dall'utente, la convalida dell'input, l'utilizzo di applet o controlli e la comunicazione con l'utente. Gli script consentono inoltre di automatizzare le attività dei sistemi operativi Windows, ad esempio per la modifica di impostazioni o la connessione di unità di rete.

Che cos'è un modulo di gestione script?
Il modulo di gestione script di Windows è il componente del sistema operativo responsabile dell'interpretazione ed esecuzione del codice di script creato in linguaggi come JScript o VBscript.

Che cos'è JScript?
JScript è l'implementazione Microsoft delle specifiche di linguaggio ECMA 262 (ECMAScript versione 3). Si tratta di un linguaggio di script interpretato e basato su oggetti. In generale, JScript offre meno funzionalità rispetto ai linguaggi completamente orientati agli oggetti come C++. Non è ad esempio possibile sviluppare applicazioni stand-alone in JScript. Gli script JScript inoltre possono essere eseguiti solo in presenza di un interprete o "host", come Active Server Pages (ASP), Internet Explorer o Windows Script Host.

Qual è il problema relativo al modulo di gestione script di Windows per JScript?
È presente una vulnerabilità nelle modalità di elaborazione degli script da parte del modulo di gestione per JScript, che non gestisce correttamente le dimensioni di un buffer durante un'operazione di memoria.

A quali attacchi viene esposto il sistema a causa di questa vulnerabilità?
Questa vulnerabilità può consentire all'autore dell'attacco di provocare l'esecuzione di codice non autorizzato con i privilegi dell'utente sul sistema.

In quale modo un hacker può sfruttare questa vulnerabilità?
Per l'autore dell'attacco è necessario creare una pagina Web che contiene un codice di script opportunamente predisposto. A questo punto l'attacco può essere condotto in due modi. Nel primo caso, la pagina può essere inserita in un sito Web: quando un utente visita il sito, la pagina Web può avviare lo script e sfruttare la vulnerabilità. Nel secondo caso, la pagina può essere inviata come messaggio di posta elettronica in formato HTML: quando viene aperta dal destinatario, la pagina Web tenta di richiamare la funzione e sfruttare la vulnerabilità.

In caso di attacco tramite posta elettronica HTML, se l'utente utilizza Outlook Express 6.0 o Outlook 2002 nelle configurazioni predefinite, oppure Outlook 98 o 2000 in combinazione con Outlook Email Security Update, non è possibile automatizzare l'attacco e l'utente deve comunque fare clic su un URL inviato in un messaggio di posta elettronica. Se tuttavia l'utente non utilizza Outlook Express 6.0 o Outlook 2002 nelle configurazioni predefinite, oppure Outlook 98 o 2000 in combinazione con Outlook Email Security Update, l'attacco può essere attivato automaticamente senza che sia necessario fare clic su un URL contenuto in un messaggio di posta elettronica.

Quali sono gli scopi della patch?
La patch risolve la vulnerabilità correggendo la convalida dell'input per la funzione JScript interessata dal problema.

Posizioni per il download di questa patch

Le patch per tutti i sistemi operativi Windows sono disponibili tramite Windows Update o possono essere applicate manualmente utilizzando i seguenti collegamenti:

Piattaforme per l'installazione:

È possibile installare questa patch nei seguenti sistemi:

•	La patch per Windows 98 può essere installata nei sistemi con Windows 98 Gold.
•	La patch per Windows 98 SE può essere installata nei sistemi con Windows 98 SE Gold.
•	La patch per Windows ME può essere installata nei sistemi con Windows ME Gold.
•	La patch per Windows NT 4.0 può essere installata nei sistemi con Service Pack 6a.
•	La patch per Windows NT 4.0 Terminal Server Edition può essere installata nei sistemi con Windows NT 4.0 Terminal Server Edition Service Pack 6.
•	La patch per Windows 2000 può essere installata nei sistemi con Windows 2000 Service Pack 2 o Service Pack 3.
•	La patch per Windows XP può essere installata nei sistemi con Windows XP Gold o Service Pack 1.

Necessario riavvio: sì

Possibilità di disinstallare la patch: no

Patch preesistenti: nessuna

Verifica dell'installazione della patch:
Per verificare l'installazione della patch nel computer, controllare che nel Registro di sistema del computer sia stata creata la seguente chiave:

•	Windows 98, Windows 98SE e Window Me: Per verificare l'installazione della patch nel computer, utilizzare lo strumento Qfecheck.exe e controllare che vengano visualizzate le seguenti informazioni: UPD814078 Windows xx Q814078 Update dove xx è "98" per Windows 98 o Windows 98 SE, oppure "ME" per Windows ME. Per controllare i singoli file, consultare il manifest riportato nell'articolo della Knowledge Base Q814078. Per verificare l'installazione della patch nel computer, utilizzare lo strumento Qfecheck.exe e controllare che vengano visualizzate le seguenti informazioni: UPD814078 Windows xx Q814078 Update dove xx è "98" per Windows 98 o Windows 98 SE, oppure "ME" per Windows ME. Per controllare i singoli file, consultare il manifest riportato nell'articolo della Knowledge Base Q814078.
•	Windows NT 4.0: Per verificare l'installazione della patch nel computer, controllare che siano presenti nel sistema tutti i file elencati nel manifest riportato nell'articolo della Knowledge Base Q814078.
•	Windows NT 4.0 Terminal Server Edition: Per verificare l'installazione della patch nel computer, controllare che siano presenti nel sistema tutti i file elencati nel manifest riportato nell'articolo della Knowledge Base Q814078.
•	Windows 2000: Per verificare l'installazione della patch nel computer, controllare che nel Registro di sistema del computer sia stata creata la seguente chiave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP4\Q814078. Per controllare i singoli file, utilizzare le informazioni di data/ora e di versione disponibili nella seguente chiave del Registro di sistema: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP4\Q814078\Filelist.
•	Windows XP: Per verificare l'installazione della patch nel computer, controllare che nel Registro di sistema del computer sia stata creata la seguente chiave: HKLM\Software\Microsoft\Updates\Windows XP\SP2\Q814078. Per controllare i singoli file, utilizzare le informazioni di data/ora e di versione disponibili nella seguente chiave del Registro di sistema: HKLM\Software\Microsoft\Updates\Windows XP\SP2\Q814078\Filelist.

Avvertenze:

Nessuna

Localizzazione:

Le versioni localizzate di questa patch sono disponibili nelle posizioni indicate nella sezione "Disponibilità della patch".

Download di altre patch di protezione:

Sono disponibili patch per altri problemi di protezione nei seguenti siti:

•	Le patch di protezione sono disponibili nel Microsoft Download Center ed è possibile individuarle in modo semplice eseguendo una ricerca con la parola chiave "security_patch".
•	Le patch per i sistemi consumer sono disponibili nel sito Web WindowsUpdate

Top of section