TechNet Home > Sicurezza > Bollettini sulla sicurezza

Bollettino Microsoft sulla sicurezza MS03-023

Un sovraccarico del buffer nel convertitore HTML può consentire l'esecuzione di codice (823559)

Data di pubblicazione originale: 02 luglio 2003

Riepilogo

Destinatari: utenti di Microsoft Windows

Effetti della vulnerabilità: esecuzione di codice non autorizzato

Livello di gravità: critico

Raccomandazioni: si consiglia agli amministratori di sistema di applicare immediatamente la patch

Software interessati:

•	Microsoft Windows 98
•	Microsoft Windows 98 Second Edition
•	Microsoft Windows Me
•	Microsoft Windows NT 4.0
•	Microsoft Windows NT 4.0, Terminal Server Edition
•	Microsoft Windows 2000
•	Microsoft Windows XP
•	Microsoft Windows Server 2003

Top of section

Informazioni generali

Dettagli tecnici

Descrizione tecnica:

Tutte le versioni di Microsoft Windows offrono il supporto per la conversione di file all'interno del sistema operativo, in modo da consentire agli utenti di convertire i file da un formato all'altro. In particolare, nel sistema operativo Microsoft Windows è integrato il supporto per la conversione HTML, che permette di visualizzare, importare o salvare file in formato HTML.

Nelle modalità con cui il convertitore HTML di Microsoft Windows gestisce una richiesta di conversione durante un'operazione di copia e incolla è presente una vulnerabilità che può essere sfruttata per compromettere la sicurezza del sistema. L'invio al convertitore HTML di una richiesta opportunamente predisposta può provocare l'esecuzione di codice nel contesto dell'utente connesso al sistema.

Poiché questa funzionalità è utilizzata da Internet Explorer, l'autore dell'attacco può creare una pagina Web o un messaggio di posta elettronica HTML in grado di utilizzare il convertitore HTML per l'esecuzione di codice non autorizzato sul sistema dell'utente. L'utente può consentire a un hacker di sfruttare questa vulnerabilità semplicemente visitando il suo sito Web, senza eseguire alcuna altra operazione.

Per sfruttare la vulnerabilità, l'autore dell'attacco deve creare un messaggio di posta HTML opportunamente predisposto e inviarlo al destinatario oppure pubblicare un sito Web che contiene una pagina appositamente progettata, quindi indurre l'utente a visitare il sito.

Fattori attenuanti:

•	Per impostazione predefinita, in Windows Server 2003 Internet Explorer viene eseguito in configurazione Protezione avanzata di Internet Explorer. Questa configurazione predefinita di Internet Explorer impedisce di sfruttare automaticamente la vulnerabilità. Disattivando la configurazione Protezione avanzata di Internet Explorer, verranno eliminate le misure di sicurezza che bloccano lo sfruttamento della vulnerabilità.
•	Per un attacco dal Web è necessario pubblicare un sito Web contenente una pagina in grado di sfruttare la vulnerabilità. Se si escludono i messaggi di posta HTML, l'autore dell'attacco non può in alcun modo obbligare gli utenti a visitare un sito Web dannoso ma deve attirare le vittime, in genere inducendole a fare clic su un collegamento al proprio sito.
•	Sfruttando la vulnerabilità, l'autore dell'attacco può ottenere soltanto gli stessi privilegi dell'utente. Pertanto gli utenti con account configurati in modo da disporre solo di privilegi limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi amministrativi.

Livello di gravità:

Windows 98	Critico
Windows 98 Second Edition	Critico
Windows Me	Critico
Windows NT 4.0	Critico
Windows NT 4.0, Terminal Server Edition	Critico
Windows 2000	Critico
Windows XP	Critico
Windows Server 2003	Moderato

La classificazione della gravità di cui alla tabella precedente si basa sui tipi di sistemi interessati dalla vulnerabilità, sui modelli di deployment più comuni e sui potenziali effetti del problema in tali ambienti.

Identificatori delle vulnerabilità: CAN-2003-0469

Versioni verificate:

Microsoft ha eseguito test in Windows 98, Windows 98 Second Edition, Windows Me, Windows NT 4.0, Windows NT 4.0 Terminal Services Edition, Windows 2000, Windows XP e Windows Server 2003 per verificare se tali versioni sono interessate dalla vulnerabilità in questione. Le versioni precedenti non sono più supportate e potrebbero essere o meno interessate da questo problema.

Top of section

Domande frequenti

Qual è la portata o l'impatto di questa vulnerabilità?
Si tratta di una vulnerabilità di sovraccarico del buffer. Se l'autore dell'attacco riesce a sfruttare la vulnerabilità, ad esempio inducendo l'utente a visitare un sito sotto il proprio controllo o a leggere un messaggio di posta HTML appositamente predisposto, può utilizzare il convertitore HTML per eseguire codice non autorizzato nel contesto dell'utente connesso al sistema.

Quali sono le cause di questa vulnerabilità?
La vulnerabilità è dovuta a un buffer non controllato nel convertitore HTML che si verifica durante un'operazione di copia e incolla da una pagina Web in Internet Explorer.

Che cos'è un convertitore HTML?
Il convertitore HTML è un'estensione che consente alle applicazioni di convertire dati HTML nel formato RTF (Rich Text Format) mantenendo la formattazione e la struttura dei dati oltre al testo. Il convertitore supporta anche la conversione di dati RTF in HTML.

A quali attacchi viene esposto il sistema a causa di questa vulnerabilità?
Sfruttando questa vulnerabilità un utente malintenzionato può provocare un errore di Internet Explorer che consente di eseguire codice arbitrario. L'autore dell'attacco può pertanto eseguire qualsiasi azione nel sistema dell'utente, nel contesto di protezione dell'utente connesso.

In quale modo un hacker può sfruttare questa vulnerabilità?
Un hacker può tentare di sfruttare questa vulnerabilità gestendo una pagina Web appositamente predisposta. Quando l'utente visita tale pagina Web, in Internet Explorer può verificarsi un errore che consente l'esecuzione di codice arbitrario nel contesto dell'utente. In alternativa, l'autore dell'attacco può creare un messaggio di posta HTML predisposto in modo da consentire lo sfruttamento della vulnerabilità.

Questo significa che la vulnerabilità è dovuta a Internet Explorer?
No. La vulnerabilità è dovuta al componente sottostante di Windows per la conversione HTML. Questa funzionalità è utilizzata da Internet Explorer che pertanto espone la vulnerabilità.

Se si utilizza Internet Explorer in Windows Server 2003, il problema ha una portata più limitata?
Sì. Per impostazione predefinita, in Windows Server 2003 Internet Explorer viene eseguito in una modalità limitata denominata Protezione avanzata di Internet Explorer.

Che cos'è la configurazione Protezione avanzata di Internet Explorer?
La configurazione Protezione avanzata di Internet Explorer è costituita da un gruppo di impostazioni di Internet Explorer preconfigurate che riduce la probabilità che un utente o un amministratore scarichi ed esegua contenuto Web dannoso in un server. Questa configurazione riduce l'esposizione all'attacco modificando numerose impostazioni relative alla protezione, quali le impostazioni delle schede Protezione e Avanzate della finestra Opzioni Internet.

Le modifiche principali includono:

•	Il livello di protezione per l'area Internet viene impostato su Alto. Questa impostazione disattiva script, controlli ActiveX, Microsoft Virtual Machine (Microsoft VM), contenuto HTML e download di file.
•	Il rilevamento automatico dei siti Intranet viene disattivato. Questa impostazione assegna all'area Internet tutti i siti Web Intranet e tutti i percorsi UNC (Universal Naming Convention) non esplicitamente elencati nell'area Intranet locale.
•	L'installazione su richiesta e le estensioni non Microsoft per il browser vengono disattivate. Questa impostazione impedisce alle pagine Web di installare componenti automaticamente e blocca l'esecuzione delle estensioni non Microsoft.
•	Il contenuto multimediale viene disabilitato. Questa impostazione impedisce la riproduzione di musica, animazioni e clip video.

Disattivando la configurazione Protezione avanzata di Internet Explorer, verranno eliminate le misure di sicurezza che bloccano lo sfruttamento della vulnerabilità. Per ulteriori informazioni sulla configurazione Protezione avanzata di Internet Explorer, consultare il documento "Managing Internet Explorer Enhanced Security Configuration" disponibile all'indirizzo:
http://www.microsoft.com/downloads/details.aspx?FamilyID=d41b036c-e2e1-4960-99bb-9757f7e9e31b&DisplayLang=en

Esistono configurazioni di Windows Server 2003 in cui è probabile che la modalità Protezione avanzata di Internet Explorer sia disattivata?
Sì. In caso di deployment di Windows Server 2003 come server terminal è probabile che la modalità Protezione avanzata di Internet Explorer venga disattivata per consentire agli utenti di utilizzare Internet Explorer senza limitazioni.

Quali sono gli scopi della patch?
La patch risolve la vulnerabilità eliminando il buffer non controllato dovuto al convertitore HTML.

Soluzioni

Esistono soluzioni alternative che è possibile adottare per bloccare lo sfruttamento della vulnerabilità durante la valutazione o il testing della patch?
Sì. Benché per tutti gli utenti sia consigliabile installare la patch appena possibile, sono disponibili diverse soluzioni alternative che è possibile adottare per impedire temporaneamente lo sfruttamento della vulnerabilità.
Nota: tali soluzioni devono essere considerate contromisure temporanee, in quanto sono intese semplicemente a impedire gli attacchi piuttosto che a risolvere la vulnerabilità sottostante. Di seguito sono riportate le informazioni necessarie per la protezione dei computer dagli attacchi. In ciascuna sezione sono descritte le soluzioni utilizzabili a seconda della configurazione del sistema.

•

Modifica del nome del file HTML32.cnv

Rinominando il file HTML32.cnv è possibile impedire lo sfruttamento della vulnerabilità. Per rinominare il file, procedere come indicato di seguito:

1.	Fare clic su Start
2.	Scegliere "Esegui" dal menu visualizzato
3.	Digitare "explorer" per aprire Esplora risorse
4.	Fare clic sul pulsante Cerca sulla barra degli strumenti superiore
5.	Cercare il file "HTML32.cnv"
6.	Fare clic con il pulsante destro del mouse sul file HTML32.cnv nella finestra di ricerca
7.	Scegliere "Rinomina" dal menu visualizzato
8.	Modificare gli ultimi tre caratteri del nome del file da "cnv" in "old"

•

Disattivazione del supporto per il contenuto attivo in Internet Explorer

È possibile disattivare il supporto per il contenuto attivo eseguendo le procedure riportate nel seguente articolo della Knowledge Base: http://support.microsoft.com/default.aspx?scid=kb;it-it;154036 È necessario tenere presente che la disattivazione del supporto per il contenuto attivo in Internet Explorer influenza le funzionalità di numerosi siti Web su Internet e deve essere considerata una soluzione temporanea.

•

Limitazione dei siti Web ai soli siti affidabili Come ulteriore soluzione al problema, è possibile aggiungere i siti che si ritengono affidabili all'area Siti attendibili di Internet Explorer, dopo avere disattivato il contenuto attivo per l'area Internet. In questo modo è possibile continuare a utilizzare i siti affidabili, aumentando contemporaneamente le limitazioni per quelli non affidabili. Dopo avere distribuito la patch, sarà possibile riattivare il contenuto attivo nell'area Internet. A tale scopo, eseguire la procedura seguente:

•	Scegliere "Opzioni Internet" dal menu "Strumenti", quindi fare clic sulla scheda "Protezione".
•	Nella casella "Selezionare un'area di contenuto Web per specificare le relative impostazioni di protezione" fare clic su "Siti attendibili", quindi su "Siti".
•	Per aggiungere siti che non richiedono una connessione protetta, deselezionare la casella di controllo "Richiedi verifica server (https:) per tutti i siti compresi nell'area".
•	Nella casella "Aggiungi il sito Web all'area:" digitare l'URL del sito desiderato, quindi fare clic sul pulsante "Aggiungi". Ripetere la procedura per ogni sito da aggiungere all'area.
•	Fare due volte clic su OK per accettare le modifiche e tornare a Internet Explorer.

•

È possibile aggiungere qualsiasi sito che si ritiene non eseguirà operazioni dannose sul computer. In particolare è utile aggiungere il sito http://windowsupdate.microsoft.com, che permette di scaricare la patch e richiede per l'installazione il supporto per il contenuto attivo. Si tenga presente che in genere occorre trovare un compromesso tra semplicità di utilizzo e protezione: la scelta di una configurazione altamente protetta comporta una notevole riduzione dei rischi di attacchi da siti Web, ma rende necessario rinunciare a numerose funzionalità avanzate. Il livello adeguato di equilibrio tra semplicità di utilizzo e protezione varia a seconda dell'utente, pertanto è necessario trovare la configurazione più adatta per le specifiche esigenze. Essendo molto semplice cambiare la configurazione, è possibile provare diverse impostazioni in modo da trovare quelle più adatte, da utilizzare fino all'installazione della patch.

La modifica del nome del file HTML32.CNV può comportare effetti collaterali?
Sì. Quando si eseguono determinate operazioni in Microsoft FrontPage, è possibile che venga visualizzato il seguente errore: Impossibile eseguire il convertitore di testo c:\Programmi\File comuni\Microsoft Shared\Textconv\Html32.cnv

•	Se si sceglie il comando Inserisci file in FrontPage e si seleziona uno dei formati di file di Office, verrà visualizzato l'errore precedente.
•	Se si trascina un file di Office in una pagina .htm aperta in FrontPage, verrà visualizzato l'errore precedente.

Se è necessario utilizzare queste funzionalità, è preferibile utilizzare una delle soluzioni alternative.

•

La disattivazione del contenuto attivo può comportare effetti collaterali?
Sì. Numerosi siti Web su Internet utilizzano script per fornire funzionalità aggiuntive. Un sito e-commerce o di online banking, ad esempio, può utilizzare il contenuto attivo per la visualizzazione di menu, moduli di ordine o situazioni di conti correnti.
La disattivazione del contenuto attivo è un'impostazione globale che riguarda tutti i siti Internet. Se non si desidera disattivare il contenuto attivo per tutti i siti Internet, è possibile adottare la soluzione alternativa che utilizza l'area Siti attendibili.

•

La limitazione dei siti attendibili può comportare effetti collaterali?
Sì. In caso sia necessario il contenuto attivo per la corretta visualizzazione, le funzionalità dei siti non configurati come attendibili possono presentare dei problemi. Se vengono aggiunti all'area Siti attendibili, i siti potranno utilizzare il contenuto attivo e verranno visualizzati correttamente. È tuttavia consigliabile impostare come attendibili soltanto i siti che si ritengono effettivamente affidabili.

Top of section

Disponibilità dela patch

Posizioni per il download di questa pacth

•	Windows 98 and Windows 98 Second Edition
•	Windows Me
•	Windows NT Server 4.0
•	Windows NT Server 4.0, Terminal Server Edition
•	Windows 2000
•	Windows XP 32 bit Edition
•	Windows XP 64 bit Edition
•	Windows Server 2003 32 bit Edition
•	Windows Server 2003 64 bit Edition

Ulteriori informazioni sulla patch

Piattaforme per l'installazione:

1.	La patch per Windows 98 può essere installata nei sistemi con Windows 98 Gold.
2.	La patch per Windows 98 Second Edition può essere installata nei sistemi con Windows 98 SE Gold.
3.	La patch per Windows Me può essere installata nei sistemi con Windows Me Gold.
4.	La patch per Windows NT 4.0 può essere installata nei sistemi con Service Pack 6a.
5.	La patch per Windows NT 4.0, Terminal Server Edition può essere installata nei sistemi con Windows NT 4.0, Terminal Server Edition Service Pack 6.
6.	La patch per Windows 2000 può essere installata nei sistemi con Windows 2000 Service Pack 3 o Service Pack 4.
7.	La patch per Windows XP può essere installata nei sistemi con Windows XP Gold o Service Pack 1.
8.	La patch per Windows Server 2003 può essere installata nei sistemi con Windows Server 2003 Gold.

Disponibilità nei service pack futuri:

La correzione di questo problema sarà inclusa in Windows 2000 Service Pack 5, Windows XP Service Pack 2 e Windows Server 2003 Service Pack 1.

Necessario riavvio: no

Possibilità di disinstallare la patch: no

Patch preesistenti: nessuna

Verifica dell'installazione della patch:

•	Windows 98, Windows 98 Second Edition, Windows Me: per verificare l'installazione della patch nel computer, fare riferimento al manifest riportato nell'articolo della Knowledge Base Q823559.
•	Windows NT 4.0: per verificare l'installazione della patch nel computer, controllare che siano presenti nel sistema tutti i file elencati nel manifest riportato nell'articolo della Knowledge Base 823559.
•	Windows NT 4.0 Terminal Server Edition: per verificare l'installazione della patch nel computer, controllare che siano presenti nel sistema tutti i file elencati nel manifest riportato nell'articolo della Knowledge Base 823559.
•	Windows 2000, Windows XP, Windows Server 2003: per verificare l'installazione della patch nel computer, controllare che nel Registro di sistema del computer sia stata creata la seguente chiave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Converter\Q823559. Per verificare i singoli file, controllare le informazioni su data/ora e versione dei file riportate nel manifest pubblicato nell'articolo della Knowledge Base 823559.

Avvertenze

Nessuna

localizzazione:

Le versioni localizzate di questa patch sono disponibili nelle posizioni indicate nella sezione "Disponibilità della patch".

Download di altre patch di protezione:

Sono disponibili patch per altri problemi di protezione nei seguenti siti:

•	Le patch di protezione sono disponibili nel Microsoft Download Center ed è possibile individuarle in modo semplice eseguendo una ricerca con la parola chiave "security_patch".
•	Le patch per i sistemi consumer sono disponibili nel sito Web Windows Update.

Top of section

Ulteriori informazioni:

Supporto tecnico:

•	Il problema è descritto in dettaglio nell'articolo 823559 della Microsoft Knowledge Base. Gli articoli della Microsoft Knowledge Base sono disponibili nel sito Web Microsoft Online Support.
•	Per usufruire dei servizi di supporto tecnico, visitare il sito Microsoft Product Support Services. Le chiamate al supporto tecnico relative alle patch di protezione sono gratuite.

Fonti di informazioni sulla sicurezza: nella sezione dedicata alla sicurezza del sito Web Microsoft TechNet sono disponibili ulteriori informazioni sulla protezione e la sicurezza dei prodotti Microsoft.

Dichiarazione di non responsabilità:

Le informazioni disponibili nella Microsoft Knowledge Base sono fornite "come sono" senza garanzie di alcun tipo. Conseguentemente, Microsoft non rilascia alcuna garanzia, esplicita o implicita, inclusa la garanzia di commerciabilità e di idoneità per uno scopo specifico. Microsoft o i suoi fornitori non saranno, in alcun caso, responsabili per danni di qualsiasi tipo, inclusi i danni diretti, indiretti, incidentali, consequenziali, la perdita di profitti, e i danni punitivi o speciali, anche se Microsoft o i suoi fornitori siano stati informati della possibilità del verificarsi di tali danni. Alcuni stati non consentono l'esclusione o la limitazione di responsabilità per danni diretti o indiretti e, dunque, la sopracitata limitazione potrebbe non essere applicabile.

Versioni:

•	V1.0 (02.07.03): creazione del bollettino.

Top of section

Inizio pagina