Bollettino Microsoft sulla sicurezza MS05-001
Una vulnerabilità in HTML Help può consentire l'esecuzione di codice non autorizzato (890175)
Data di pubblicazione: 11 gennaio 2005
Versione: 1.0
Riepilogo
Destinatari: clienti che utilizzano Microsoft Windows
Effetti della vulnerabilità: esecuzione di codice in modalità remota
Livello di gravità massimo: critico
Raccomandazioni: è consigliabile applicare immediatamente l'aggiornamento.
Aggiornamenti per la protezione sostituiti: nessuno
Avvertenze: L'articolo 890175 della Microsoft Knowledge Base descrive i problemi attualmente conosciuti che potrebbero verificarsi quando si installa questo aggiornamento per la protezione. L'articolo illustra inoltre le soluzioni consigliate in grado di risolvere questi problemi.
Per impostazione predefinita, Windows NT Server 4.0 e Windows NT 4.0 Terminal Server Edition non sono interessati dalla vulnerabilità. Tuttavia, se è stato installato Internet Explorer 6.0 Service Pack 1, che è la sola versione di Internet Explorer supportata da Windows NT Server 4.0 e Windows NT 4.0 Terminal Server Edition, il componente interessato dalla vulnerabilità sarà presente nel sistema. È disponibile un aggiornamento per queste configurazioni: vedere il download di Internet Explorer 6 Service Pack 1 nella sezione Componenti interessati.
Software verificato e posizioni per il download dell'aggiornamento per la protezione:
Software interessato:
| • | Microsoft Windows 2000 Service Pack 3 e Microsoft Windows 2000 Service Pack 4 – Download dell'aggiornamento |
| • | Microsoft Windows XP Service Pack 1 e Microsoft Windows XP Service Pack 2 - Download dell'aggiornamento |
| • | Microsoft Windows XP 64-Bit Edition Service Pack 1 – Download dell'aggiornamento |
| • | Microsoft Windows XP 64-Bit Edition versione 2003 – Download dell'aggiornamento |
| • | Microsoft Windows Server 2003 – Download dell'aggiornamento |
| • | Microsoft Windows Server 2003 64-Bit Edition – Download dell'aggiornamento |
| • | Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE) e Microsoft Windows Millennium Edition (Me) – Per informazioni dettagliate su questi sistemi operativi, consultare la sezione Domande frequenti di questo bollettino. |
Software non interessato:
| • | Microsoft Windows NT Server 4.0 Service Pack 6a |
| • | Microsoft Windows NT Server 4.0 Terminal Server Edition Service Pack 6 |
Componenti di Microsoft Windows testati:
Componenti interessati:
| • | Internet Explorer 6.0 Service Pack 1 installato in Microsoft Windows NT Server 4.0 Service Pack 6a o Microsoft Windows NT Server 4.0 Terminal Server Edition Service Pack 6 – Download dell'aggiornamento |
I prodotti software inclusi nell'elenco sono stati sottoposti a test per determinare se tali versioni sono interessate dalla vulnerabilità. Le altre versioni non includono più il supporto degli aggiornamenti per la protezione o potrebbero non essere interessate dal problema. Per informazioni sulla disponibilità del supporto per il prodotto e la versione in uso, visitare il sito Web di Microsoft Ciclo di vita del supporto.
Informazioni generali
Riepilogo |
Riepilogo:
L'aggiornamento risolve una vulnerabilità scoperta di recente e segnalata pubblicamente a Microsoft. Esiste una vulnerabilità del controllo ActiveX di HTML Help in Windows che può consentire l'intercettazione di informazioni personali o l'esecuzione di codice in modalità remota in un sistema interessato. Tale vulnerabilità è descritta nella sezione Dettagli della vulnerabilità del presente bollettino.
Se un utente è connesso con privilegi amministrativi, un hacker che riesca a sfruttare questa vulnerabilità potrebbe assumere il controllo completo del sistema interessato, riuscendo a installare programmi e a visualizzare, modificare o eliminare dati oppure a creare nuovi account con privilegi amministrativi. Pertanto, gli utenti con account configurati in modo da disporre solo di privilegi limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi amministrativi.
Microsoft consiglia di installare l'aggiornamento immediatamente.
Livelli di gravità e identificatore della vulnerabilità:
| Identificatore della vulnerabilità | Effetti della vulnerabilità | Windows 98, 98 SE, ME | Windows NT 4.0 | Windows 2000 | Windows XP | Windows Server 2003 |
Vulnerabilità del controllo ActiveX di HTML Help relativa al modello di protezione tra domini - CAN-2004-1043 | Esecuzione di codice in modalità remota | Critico | Critico | Critico | Critico | Moderato |
La classificazione della gravità si basa sui tipi di sistemi interessati dalla vulnerabilità, sui modelli di distribuzione più comuni e sui potenziali effetti del problema in tali ambienti.
Domande frequenti relative a questo aggiornamento per la protezione |
L'aggiornamento include modifiche alle funzionalità?
Questo aggiornamento per la protezione impedisce la creazione di un'istanza del controllo ActiveX di HTML Help nel contenuto HTML proveniente dall'esterno dell’area Computer locale. La modifica potrebbe impedire il funzionamento corretto di alcuni tipi di applicazioni basate sul Web. Per risolvere il problema, l'utente o l'amministratore può scegliere di abilitare questa funzione per i singoli siti. In alternativa, è possibile abilitare questa funzione per un'area determinata, ad esempio l’area Intranet locale o l'area Siti attendibili.
Per maggiori informazioni su come consentire la visualizzazione di contenuti HTML Help ritenuti affidabili da parte di siti esterni all’area Computer Locale consultare l'articolo della Microsoft Knowledge Base 892675. Fare riferimento anche alla domanda frequente “È possibile abilitare contenuti affidabili di HTML Help esterni all’area Computer locale” in questo bollettino di sicurezza.
È possibile abilitare contenuti affidabili di HTML Help esterni all’area Computer locale?
Sì. È possibile abilitare contenuti di HTML Help esterni all’area Computer locale e consentire a siti o aree di protezione specifici di riprodurre i contenuti di HTML Help. A tal fine, creare una o entrambe le seguenti chiavi di registro.
Avvertenza Quando si effettua questa operazione, è necessario essere molto selettivi e consentire solo i siti o le aree di protezione che si ritengono affidabili.
Avvertenza L'utilizzo non corretto dell'Editor del Registro di sistema potrebbe causare problemi tali da rendere necessaria la reinstallazione del sistema operativo. Microsoft non garantisce la risoluzione di problemi dovuti a un utilizzo non corretto dell'Editor del Registro di sistema. È quindi necessario utilizzare questo strumento con grande attenzione.
Per consentire il rendering di contenuti di HTML Help di siti specifici:
1. | Fare clic sul pulsante Start, scegliere Esegui, digitare Regedit nella casella Apri e fare clic su OK. |
2. | Individuare e selezionare la seguente sottochiave del Registro di sistema: |
3. | Scegliere Nuovo dal menu Modifica, quindi fare clic su Chiave. |
4. | Digitare HHRestrictions e premere INVIO. |
5. | Fare clic con il pulsante destro del mouse sulla sottochiave HHRestrictions, scegliere Nuovo, quindi fare clic su Valore stringa. |
6. | Digitare UrlAllowList e premere INVIO. |
7. | Fare clic con il pulsante destro del mouse sulla sottochiave UrlAllowList, quindi fare clic su Modifica. |
8. | Aggiungere i prefissi URL come elenco delimitato da punto e virgola nel campo Dati valore, quindi premere INVIO. |
Per consentire il rendering dei contenuti di HTML Help di tutti i siti di un'area specifica:
1. | Fare clic sul pulsante Start, scegliere Esegui, digitare Regedit nella casella Apri e fare clic su OK. |
2. | Individuare e selezionare la seguente sottochiave del Registro di sistema: |
3. | Scegliere Nuovo dal menu Modifica, quindi fare clic su Chiave. |
4. | Digitare HHRestrictions e premere INVIO. |
5. | Fare clic con il pulsante destro del mouse sulla sottochiave HHRestrictions, scegliere Nuovo, quindi fare clic su Valore DWORD. |
6. | Digitare MaxAllowedZone e premere INVIO. |
7. | Fare clic con il pulsante destro del mouse sulla sottochiave MaxAllowedZone, quindi fare clic su Modifica. |
8. | Modificare il campo Dati valore immettendo un numero compreso tra 0 e 4, quindi premere INVIO. |
Nota Il campo Dati valore di questa sottochiave è impostato su 0 (zero) per impostazione predefinita. Vedere i significati attribuiti ai diversi valori nella tabella seguente.
MaxAllowedZone | Area Computer locale | Area Intranet locale | Area Siti attendibili | Area Internet | Area Siti con restrizioni |
0 | Consentito | Bloccato | Bloccato | Bloccato | Bloccato |
1 | Consentito | Consentito | Bloccato | Bloccato | Bloccato |
2 | Consentito | Consentito | Consentito | Bloccato | Bloccato |
3 | Consentito | Consentito | Consentito | Consentito | Bloccato |
4 | Consentito | Consentito | Consentito | Consentito | Consentito |
Il supporto esteso per Windows 98, Windows 98 Second Edition e Windows Millennium Edition influisce in qualche modo sul rilascio di aggiornamenti per la protezione per questi sistemi operativi?
Microsoft rilascerà aggiornamenti per la protezione esclusivamente per problemi critici. I problemi di protezione non critici non vengono affrontati in questa fase del supporto. Per ulteriori informazioni sui criteri del ciclo di vita del supporto Microsoft per questi sistemi operativi, visitare il seguente sito Web.
Il livello di gravità della vulnerabilità descritta in questo bollettino per la protezione è critico per Windows 98, Windows 98 Second Edition o Windows Millennium Edition?
Sì. Windows 98, Windows 98 Second Edition e Windows Millennium Edition sono interessati dalla vulnerabilità in modo critico. Nell'ambito del presente bollettino è disponibile un aggiornamento per la protezione di importanza critica per queste piattaforme che può essere scaricato dal sito Web Windows Update. Per ulteriori informazioni sui livelli di gravità, visitare il seguente sito Web.
Nota Gli aggiornamenti per le versioni localizzate di Microsoft Windows 98 e Microsoft Windows 98 Second Edition non supportate da Windows Update (sloveno, slovacco e tailandese) sono disponibili per il download nella seguente area download.
Il periodo di disponibilità del supporto esteso per gli aggiornamenti della protezione per Microsoft Windows NT 4.0 Workstation Service Pack 6a o Windows 2000 Service Pack 2 è terminato il 30 giugno 2004. Che cosa è necessario fare?
Come segnalato in precedenza, il ciclo di vita del supporto per i sistemi Windows NT 4.0 Workstation Service Pack 6a e Windows 2000 Service Pack 2 è terminato. Tuttavia Microsoft ha esteso il periodo di supporto fino al 30 giugno 2004.
Per evitare di esporre i propri sistemi a potenziali vulnerabilità, si raccomanda ai clienti che utilizzano ancora queste versioni dei sistemi operativi di eseguire quanto prima la migrazione a versioni supportate. Per ulteriori informazioni sul ciclo di vita dei prodotti Windows, visitare il sito Web di Microsoft Ciclo di vita del supporto. Per ulteriori informazioni sul periodo di supporto esteso degli aggiornamenti per la protezione relativi a queste versioni di sistemi operativi, visitare il sito del Supporto Tecnico di Microsoft Italia.
I clienti che hanno ancora la necessità di servizi di supporto per Windows NT Workstation 4.0 SP6a sono invitati a contattare il loro rappresentante del team Microsoft o il responsabile tecnico dei rapporti con i clienti oppure il rappresentante del partner Microsoft appropriato per informazioni sui servizi di supporto personalizzati. I clienti che non dispongono di un contratto Alliance, Premier o Authorized possono contattare le filiali Microsoft locali. Per informazioni sui contatti, visitare il sito Web Microsoft Worldwide, selezionare il Paese desiderato e fare clic su Go per visualizzare un elenco di numeri telefonici. Quando si effettua la chiamata, richiedere di parlare con il responsabile locale delle vendite per i servizi di supporto Premier.
Per ulteriori informazioni, vedere le domande frequenti sul ciclo di vita del supporto per i sistemi operativi Windows.
Il periodo di disponibilità del supporto esteso per gli aggiornamenti per la protezione per Windows XP è terminato il 30 settembre 2004.
La versione originale di Windows XP, comunemente definita versione Windows XP Gold o Windows XP Release to Manufacturing (RTM), ha raggiunto la fine del suo ciclo di supporto esteso degli aggiornamenti per la protezione il 30 settembre 2004.
Per evitare di esporre i propri sistemi a potenziali vulnerabilità future, si raccomanda ai clienti che ancora utilizzano questa versione del sistema operativo di eseguire quanto prima la migrazione a una versione supportata. Per ulteriori informazioni sul ciclo di vita dei prodotti Windows Service Pack, visitare il sito Web di Microsoft Ciclo di vita del supporto. Per ulteriori informazioni sul ciclo di vita dei prodotti Windows, visitare il sito Web di Microsoft Ciclo di vita del supporto.
Per ulteriori informazioni, vedere le domande frequenti sul ciclo di vita del supporto per i sistemi operativi Windows.
Il periodo di disponibilità del supporto esteso per gli aggiornamenti per la protezione di Windows NT 4.0 Server è terminato il 31 dicembre 2004. Tuttavia in questo bollettino è incluso un aggiornamento per la protezione per questa versione del sistema operativo. Come è possibile?
Come segnalato in precedenza, il ciclo di vita del supporto per i sistemi Windows NT 4.0 Server Service Pack 6a e Windows NT 4.0 Server Terminal Server Edition Service Pack 6 è terminato. Tuttavia, il ciclo di vita del prodotto è terminato da poco. In questo caso, gran parte degli interventi necessari per risolvere la vulnerabilità sono stati completati prima di questa data. Microsoft ha quindi deciso di rilasciare gli aggiornamenti per la protezione anche per questa versione del sistema operativo nell'ambito del presente bollettino sulla sicurezza.
Microsoft non prevede di procedere allo stesso modo per eventuali vulnerabilità future che possano riguardare questa versione del sistema operativo, tuttavia si riserva il diritto di produrre degli aggiornamenti e renderli disponibili, se necessario. Per evitare di esporre i propri sistemi a potenziali vulnerabilità future, si raccomanda ai clienti che ancora utilizzano questa versione del sistema operativo di eseguire quanto prima la migrazione a una versione supportata. Per ulteriori informazioni sul ciclo di vita dei prodotti Windows Service Pack, visitare il sito Web di Microsoft Ciclo di vita del supporto. Per ulteriori informazioni sul ciclo di vita dei prodotti Windows, visitare il sito Web di Microsoft Ciclo di vita del supporto.
Per ulteriori informazioni, vedere le domande frequenti sul ciclo di vita del supporto per i sistemi operativi Windows.
Se si utilizza Internet Explorer in Windows Server 2003, il problema ha una portata più limitata?
Sì. Per impostazione predefinita, in Windows Server 2003 Internet Explorer viene eseguito in una modalità limitata denominata Protezione avanzata di Internet Explorer. Questa modalità consente di ridurre l’impatto del problema.
Che cos'è la Protezione avanzata di Internet Explorer?
La Protezione avanzata di Internet Explorer è costituita da un gruppo di impostazioni di Internet Explorer preconfigurate che riduce la probabilità che un utente o un amministratore scarichi ed esegua contenuto Web dannoso in un server. Questa configurazione riduce l'esposizione all'attacco modificando numerose impostazioni relative alla protezione, quali le impostazioni delle schede Protezione e Avanzate della finestra di dialogo Opzioni Internet. Le principali modifiche includono quanto segue:
| • | Il livello di protezione per l'area Internet viene impostato su Alto. Mediante questa impostazione vengono disattivati gli script, i controlli ActiveX, il contenuto HTML di Microsoft Java Virtual Machine (MSJVM) e i download dei file. |
| • | Il rilevamento automatico dei siti Intranet viene disattivato. Questa impostazione assegna all'area Internet tutti i siti Web Intranet e tutti i percorsi UNC (Universal Naming Convention) non esplicitamente elencati nell'area Intranet locale. |
| • | L'installazione su richiesta e le estensioni non Microsoft per il browser vengono disattivate. Questa impostazione impedisce alle pagine Web di installare componenti automaticamente e blocca l'esecuzione delle estensioni non Microsoft. |
| • | Il contenuto multimediale viene disabilitato. Questa impostazione impedisce la riproduzione di musica, animazioni e clip video. |
Se si utilizza Internet Explorer in Windows XP Service Pack 2, il problema ha una portata più limitata?
No. Sebbene Internet Explorer in Windows XP Service Pack 2 includa alcune modifiche alle modalità di riproduzione di contenuti HTML nell'area Computer locale, l’impatto del problema non viene ridotto.
È possibile utilizzare Microsoft Baseline Security Analyzer (MBSA) per verificare se è necessario installare questo aggiornamento?
Sì. MBSA consente di verificare se questo aggiornamento è necessario. Per ulteriori informazioni su MBSA, visitare il sito Web MBSA.
Nota A partire dal 20 aprile 2004, per il file Mssecure.xml utilizzato in MBSA 1.1.1 e nelle versioni precedenti non sono più disponibili aggiornamenti contenenti i dati relativi ai nuovi bollettini sulla sicurezza. Le scansioni eseguite con MBSA 1.1.1 o con le versioni precedenti non saranno pertanto complete dopo tale data. È consigliabile eseguire l'aggiornamento a MBSA 1.2.1 perché questa versione è in grado di rilevare gli aggiornamenti per la protezione in modo più accurato e supporta inoltre prodotti aggiuntivi. MBSA 1.2.1 è disponibile per il download nel sito Web MBSA. Per ulteriori informazioni sul supporto di MBSA, visitare il sito Web delle domande frequenti su Microsoft Baseline Security Analyzer (MBSA) 1.2.1.
È possibile utilizzare Systems Management Server (SMS) per verificare se è necessario installare questo aggiornamento?
Sì. SMS consente di individuare questo aggiornamento per la protezione e di eseguirne la distribuzione. Per ulteriori informazioni su SMS, visitare il sito Web SMS.
Per il rilevamento delle versioni di Microsoft Windows e degli altri prodotti Microsoft interessati, è richiesto Security Update Inventory Tool. Per ulteriori informazioni sulle limitazioni di Security Update Inventory Tool, consultare l'articolo della Microsoft Knowledge Base 306460.
Dettagli della vulnerabilità |
Vulnerabilità del controllo ActiveX di HTML Help relativa al modello di protezione tra domini - CAN-2004-1043: |
La vulnerabilità del controllo ActiveX di HTML Help relativa al modello di protezione tra domini può consentire l'intercettazione di informazioni personali o l'esecuzione di codice in modalità remota in un sistema interessato. Un hacker potrebbe sfruttare la vulnerabilità creando una pagina Web appositamente predisposta in grado di consentire potenzialmente l'esecuzione di codice in modalità remota, se un utente visita la pagina dannosa. Se la vulnerabilità viene sfruttata può consentire a un hacker di assumere il controllo completo del sistema interessato.
Fattori attenuanti della vulnerabilità del controllo ActiveX di HTML Help relativa al modello di protezione tra domini - CAN-2004-1043: |
| • | In uno scenario di attacco dal Web, l'hacker dovrebbe pubblicare un sito Web contenente una pagina appositamente predisposta per sfruttare la vulnerabilità. Potrebbe inoltre tentare di compromettere un sito Web per fare in modo che presenti una pagina Web dannosa. Poiché non è in alcun modo possibile obbligare gli utenti a visitare un sito Web, l'hacker dovrebbe invogliare le vittime a visitare il sito, in genere inducendole a fare clic su un collegamento che le indirizzi al sito appositamente creato o manomesso. | ||||||
| • | Se il pirata informatico riesce a sfruttare la vulnerabilità, può ottenere gli stessi privilegi dell'utente. Pertanto, gli utenti con account configurati in modo da disporre solo di privilegi limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi amministrativi. | ||||||
| • | Per impostazione predefinita, la posta elettronica in formato HTML viene aperta con le limitazioni previste per l'area Siti con restrizioni in Outlook Express 6, Outlook 2002 e Outlook 2003. La posta elettronica in formato HTML viene aperta con le limitazioni previste per l'area Siti con restrizioni anche in Outlook 2000, dopo l'installazione dell'aggiornamento per la protezione della posta elettronica di Microsoft Outlook. In Outlook Express 5.5 Service Pack 2, i messaggi di posta elettronica in formato HTML vengono aperti con le limitazioni previste per l'area Siti con restrizioni se è stato installato il bollettino sulla sicurezza Microsoft MS04-018. L'area Siti con restrizioni consente di ridurre gli attacchi mirati a sfruttare la vulnerabilità. Le probabilità di subire un attacco tramite la posta elettronica in formato HTML possono essere drasticamente ridotte adottando le misure di protezione seguenti:
| ||||||
| • | Per impostazione predefinita, in Windows Server 2003 Internet Explorer viene eseguito in una modalità limitata denominata Protezione avanzata di Internet Explorer. Questa modalità consente di ridurre i rischi correlati a questa vulnerabilità. Vedere la sezione Domande frequenti relativa a questo aggiornamento per la protezione per ulteriori informazioni sulla Protezione avanzata di Internet Explorer. |
Soluzioni alternative per la vulnerabilità del controllo ActiveX di HTML Help relativa al modello di protezione tra domini - CAN-2004-1043: |
Microsoft ha verificato le soluzioni alternative seguenti. Sebbene queste soluzioni alternative non eliminino la vulnerabilità sottostante, consentono di bloccare gli attacchi noti. Se una soluzione alternativa riduce la funzionalità, viene identificata di seguito.
| • | Impostare il livello di protezione delle aree di protezione Internet e Intranet locale su "Alta" in modo che venga richiesta conferma dell'esecuzione di controlli ActiveX e script attivi nelle aree Internet e Intranet locale. È possibile aumentare la protezione nei confronti di queste vulnerabilità modificando le impostazioni relative all'area Internet in modo da visualizzare un messaggio di conferma prima dell'esecuzione di controlli ActiveX e script attivi. Tale operazione può essere eseguita impostando la protezione del browser su Alta. Per aumentare il livello di protezione del browser in Microsoft Internet Explorer:
Nota Se il dispositivo di scorrimento non è visibile, fare clic su Livello predefinito, quindi spostare il dispositivo di scorrimento su Alta. Nota Con l'impostazione della protezione su Alta, alcuni siti Web potrebbero non funzionare nel modo corretto. Se si incontrano difficoltà nell'utilizzo di un sito Web dopo aver effettuato questa modifica e si è certi che il sito è sicuro, è possibile aggiungere il sito all'elenco Siti attendibili. In questo modo il sito funzionerà correttamente anche in presenza dell'impostazione di protezione elevata. In alternativa, è possibile modificare le impostazioni per ricevere una richiesta di conferma prima dell'esecuzione dei controlli ActiveX seguendo questa procedura:
Effetto della soluzione: la visualizzazione di una richiesta di conferma prima dell'esecuzione di controlli ActiveX può avere effetti collaterali. Numerosi siti Web su Internet utilizzano componenti ActiveX per offrire funzionalità aggiuntive. Un sito di e-commerce o di online banking, ad esempio, può utilizzare controlli ActiveX per la visualizzazione dei menu, dei moduli d'ordine o degli estratti conto. La richiesta di conferma prima dell'esecuzione dei controlli ActiveX è un'impostazione globale per tutti i siti Internet e Intranet. Se si utilizza questa soluzione alternativa, le richieste di conferma verranno visualizzate di frequente. A ogni richiesta di conferma, se si ritiene che il sito da visitare sia attendibile, fare clic su Sì per consentire l'esecuzione dei controlli ActiveX. Se non si desidera visualizzare la richiesta di conferma per tutti i siti da visitare, è possibile utilizzare la soluzione alternativa "Limitare i siti Web ai soli siti attendibili". |
| • | Limitare i siti Web ai soli siti attendibili. Dopo l'impostazione della richiesta di conferma prima dell'esecuzione di controlli ActiveX e script attivi nelle aree Internet e Intranet locale, è possibile aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer. In questo modo è possibile continuare a utilizzare i siti Web attendibili nel modo abituale, proteggendo al tempo stesso il sistema da eventuali attacchi dai siti non attendibili. Si raccomanda di aggiungere all'area Siti attendibili solo i siti effettivamente ritenuti attendibili. A tale scopo, eseguire la procedura seguente:
È possibile aggiungere qualsiasi sito che si ritiene non eseguirà operazioni dannose sul computer. In particolare, si consiglia di aggiungere "*.windowsupdate.microsoft.com" (senza le virgolette), ovvero il sito da cui scaricare l'aggiornamento, che per l'installazione richiede l'utilizzo di un controllo ActiveX. |
| • | Installare l'aggiornamento per la protezione della posta elettronica di Microsoft Outlook se si utilizza Outlook 2000 SP1 o versione precedente. Per impostazione predefinita, la posta elettronica in formato HTML viene aperta con le limitazioni previste per l'area Siti con restrizioni in Outlook Express 6, Outlook 2002 e Outlook 2003. La posta elettronica in formato HTML viene aperta con le limitazioni previste per l'area Siti con restrizioni anche in Outlook 2000, dopo l'installazione dell'aggiornamento per la protezione della posta elettronica di Microsoft Outlook. I clienti che utilizzano uno qualsiasi dei prodotti indicati sono solo limitatamente esposti ad attacchi tramite posta elettronica mirati a sfruttare la vulnerabilità, a meno che non facciano clic su un collegamento dannoso presente in un messaggio di posta elettronica. | ||||||
| • | Installare l'aggiornamento descritto nel bollettino Microsoft sulla sicurezza MS04-018 se si utilizza Outlook Express 5.5 SP2. In Outlook Express 5.5 Service Pack 2, i messaggi di posta elettronica in formato HTML vengono aperti con le limitazioni previste per l'area Siti con restrizioni se è stato installato il bollettino sulla sicurezza Microsoft MS04-018. I clienti che utilizzano uno qualsiasi dei prodotti indicati sono solo limitatamente esposti ad attacchi tramite posta elettronica mirati a sfruttare la vulnerabilità, a meno che non facciano clic su un collegamento dannoso presente in un messaggio di posta elettronica. | ||||||
| • | Leggere la posta elettronica in formato testo normale, se si utilizza Outlook 2002 e versioni successive o Outlook Express 6 SP1 e versioni successive, per proteggersi dagli attacchi tramite messaggi di posta elettronica HTML. Gli utenti di Outlook 2002 che hanno installato Office XP Service Pack 1 o versione successiva e gli utenti di Outlook Express 6 che hanno installato Internet Explorer 6 Service Pack 1 possono attivare questa impostazione e visualizzare automaticamente in formato solo testo tutti i messaggi privi di firma digitale o non crittografati. Tale impostazione non interessa i messaggi dotati di firma digitale o crittografati, che possono essere letti nei formati originali. Per ulteriori informazioni sull'attivazione di questa impostazione in Outlook 2002, vedere l'articolo della Microsoft Knowledge Base 307594. Per ulteriori informazioni sull'attivazione di questa impostazione in Outlook Express 6, vedere l'articolo della Microsoft Knowledge Base 291387. Effetto della soluzione: I messaggi di posta elettronica visualizzati come testo normale non possono includere immagini, caratteri speciali, animazioni o altro contenuto avanzato. Inoltre:
| ||||||
| • | Disabilitare temporaneamente l’esecuzione del controllo ActiveX di HTML Help in Internet Explorer. E’ possibile proteggersi da questa vulnerabilità disabilitando temporaneamente l’esecuzione del controllo ActiveX di HTML Help in Internet Explorer impostando il kill bit per il controllo. Avvertenza L'utilizzo non corretto dell'Editor del Registro di sistema potrebbe causare problemi tali da rendere necessaria la reinstallazione del sistema operativo. Microsoft non garantisce la risoluzione di problemi dovuti a un utilizzo non corretto dell'Editor del Registro di sistema. È quindi necessario utilizzare questo strumento con grande attenzione. Il CLSID di un controllo ActiveX è un GUID per quel controllo. E’ possibile prevenire l’esecuzione di un controllo ActiveX in Internet Explorer impostando il kill bit in modo tale che il controllo non sia mai chiamato da Internet Explorer. Il kill bit è uno specifico valore per il valore DWORD Compatibility Flags per il controllo ActiveX nel registry. Il CLSID per il controllo ActiveX di HTML Help è {41B23C28-488E-4E5C-ACE2-BB0BBABE99E8}. Per maggiori informazioni su come impedire l’esecuzione di controlli ActiveX in Internet Explorer, vedere l'articolo della Microsoft Knowledge Base 240797. Nota Se si utilizza questa soluzione alternativa, è necessario rimuovere questa modifica del registro eliminando lo stesso valore Compatibility Flags dal registro. Ciò va fatto dopo aver applicato questo aggiornamento di sicurezza per riottenere la normale funzionalità fornita dal controllo ActiveX di HTML Help. Impatto della soluzione: Disabilitare il controllo ActiveX di HTML Help impedisce ad Internet Explorer di istanziare il controllo. Questa configurazione può causare problemi di compatibilità. Esempi di questi problemi sono:
|
Domande frequenti relative alla vulnerabilità del controllo ActiveX di HTML Help relativa al modello di protezione tra domini - CAN-2004-1043: |
Qual è la portata o l'impatto di questa vulnerabilità?
Si tratta di una vulnerabilità del modello di protezione tra domini che potrebbe consentire l'intercettazione di informazioni personali o l'esecuzione di codice remoto. Se un utente è connesso con privilegi amministrativi, un hacker che riesca a sfruttare questa vulnerabilità potrebbe assumere il controllo completo del sistema interessato, riuscendo a installare programmi e a visualizzare, modificare o eliminare dati oppure a creare nuovi account con privilegi amministrativi. Pertanto, gli utenti con account configurati in modo da disporre solo di privilegi limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi amministrativi.
Quali sono le cause di questa vulnerabilità?
La vulnerabilità è causata dal processo mediante il quale alcune funzioni, disponibili tramite il controllo ActiveX di HTML Help, vengono convalidate dal modello di protezione tra domini di Internet Explorer.
Che cos'è HTML Help?
Microsoft HTML Help è il sistema standard per la creazione di guide in linea nella piattaforma Windows. Il controllo ActiveX di HTML Help è un programma utilizzato per l'inserimento delle funzionalità di spostamento all'interno della guida e relative alle finestre secondarie in un file HTML. Per ulteriori informazioni sul controllo ActiveX di HTML Help, vedere la documentazione del prodotto.
Che cos'è il modello di protezione tra domini diversi implementato da Internet Explorer?
Una delle principali funzioni di protezione di un browser è garantire che le finestre controllate da diversi siti Web non possano interferire l'una con l'altra o accedere ai rispettivi dati, senza tuttavia impedire l'interazione tra finestre di uno stesso sito. Per distinguere questi due differenti tipi di finestre del browser, viene utilizzato il concetto di "dominio". Un dominio rappresenta un confine di protezione: tutte le finestre aperte all'interno dello stesso dominio possono interagire, mentre quelle di altri domini non possono. Il modello di protezione tra domini diversi fa parte dell'architettura di protezione che impedisce la reciproca interferenza tra finestre in domini differenti.
Un semplice esempio di dominio è costituito dai siti Web. Se si visita il sito http://www.wingtiptoys.com e si apre un'altra finestra sul sito http://www.wingtiptoys.com/security, le due finestre possono interagire perché appartengono allo stesso dominio, ovvero http://www.wingtiptoys.com. Se però si visita il sito http://www.wingtiptoys.com e si apre un'altra finestra su un diverso sito Web, il modello di protezione tra domini mantiene le due finestre separate. Analogamente, anche il file system del computer locale costituisce un dominio. Dal sito http://www.wingtiptoys.com, ad esempio, potrebbe essere aperta una finestra in cui viene visualizzato un file sul disco rigido del computer. Tuttavia, poiché il file system locale appartiene a un dominio diverso rispetto al sito Web, il modello di protezione tra domini impedisce a quest'ultimo di accedere al contenuto del file visualizzato.
Il modello di protezione tra domini di Internet Explorer può essere configurato utilizzando le impostazioni relative alle aree di protezione di Internet Explorer.
Che cosa sono le aree di protezione di Internet Explorer?
Le aree di protezione di Internet Explorer fanno parte di un sistema che suddivide il contenuto in linea in categorie o aree in base alla relativa attendibilità. È possibile assegnare domini Web specifici a determinate aree, a seconda del livello di attendibilità attribuito ai rispettivi contenuti. Le funzionalità del contenuto Web vengono pertanto limitate in base ai criteri specificati per l'area corrispondente. Per impostazione predefinita, la maggior parte dei domini Internet viene inserita nell'area Internet, il cui criterio di protezione predefinito impedisce agli script e ad altro codice attivo di ottenere l'accesso alle risorse del computer locale.
A quali attacchi viene esposto il sistema a causa di questa vulnerabilità?
Se un hacker riuscisse a sfruttare questa vulnerabilità potrebbe eseguire codice di script dannoso nell'area di protezione Computer locale di Internet Explorer. In questo modo un hacker potrebbe assumere il controllo completo di un sistema interessato.
In quale modo un hacker può sfruttare questa vulnerabilità?
La vulnerabilità può essere sfruttata creando una pagina Web opportunamente predisposta e inducendo l'utente a visitarla oppure tentando di compromettere un sito Web per fare in modo che presenti una pagina Web dannosa. Quando l'utente visita la pagina, l'hacker può accedere a informazioni da altri siti Web o a file locali presenti nel sistema oppure eseguire script dannosi come utente connesso.
Quali sono i sistemi principalmente interessati da questa vulnerabilità?
Questa vulnerabilità può essere sfruttata per l'esecuzione di azioni dannose solo quando l'utente visita un sito Web. Pertanto, i sistemi maggiormente a rischio sono quelli in cui Internet Explorer viene utilizzato frequentemente, come le workstation degli utenti o i server terminal. Nei sistemi che non vengono comunemente utilizzati per visitare siti Web, come la maggior parte dei server, il livello di rischio è ridotto.
Windows 98, Windows 98 Second Edition e Windows Millennium Edition sono interessati dalla vulnerabilità in modo critico?
Sì. Windows 98, Windows 98 Second Edition e Windows Millennium Edition sono interessati dalla vulnerabilità in modo critico. Nell'ambito del presente bollettino è disponibile un aggiornamento per la protezione di importanza critica per queste piattaforme che può essere scaricato dal sito Web Windows Update. Per ulteriori informazioni sui livelli di gravità, visitare il seguente sito Web.
Nota Gli aggiornamenti per le versioni localizzate di Microsoft Windows 98 e Microsoft Windows 98 Second Edition non supportate da Windows Update (sloveno, slovacco e tailandese) sono disponibili per il download nella seguente area download.
Quali sono gli scopi dell'aggiornamento?
Questo aggiornamento per la protezione impedisce la creazione di un'istanza del controllo ActiveX di HTML Help nel contenuto HTML proveniente dall'esterno dell’area Computer locale.
Al momento del rilascio di questo bollettino le informazioni sulla vulnerabilità erano disponibili pubblicamente?
Sì. Le informazioni sulla vulnerabilità sono state divulgate pubblicamente. Questa vulnerabilità è stata identificata con il codice CAN-2004-1043.
Al momento del rilascio di questo bollettino erano già stati segnalati attacchi basati sullo sfruttamento di questa vulnerabilità?
Sì. Al momento del rilascio di questo bollettino, erano già stati segnalati attacchi basati sullo sfruttamento di questa vulnerabilità.
L'applicazione di questo aggiornamento per la protezione consente di proteggere gli utenti da eventuale codice di prova pubblicato che tenti di sfruttare la vulnerabilità?
Sì. L'aggiornamento per la protezione affronta la vulnerabilità attualmente sfruttata. Questa vulnerabilità è stata identificata con il codice CAN-2004-1043.
Informazioni sull'aggiornamento per la protezione |
Piattaforme e prerequisiti per l'installazione:
Per informazioni sull'aggiornamento per la protezione specifico per la piattaforma utilizzata, fare clic sul collegamento corrispondente:
Windows Server 2003 (tutte le versioni) |
Prerequisiti
Per questo aggiornamento per la protezione, è richiesta la versione definitiva di Windows Server 2003.
Disponibilità nei service pack futuri:
la correzione di questo problema verrà inclusa in Windows Server 2003 Service Pack 1.
Informazioni per l'installazione
Questo aggiornamento per la protezione supporta le seguenti opzioni del programma di installazione:
/help Visualizza le opzioni della riga di comando
Modalità di installazione
/quiet Modalità non interattiva (senza interazioni con l'utente o visualizzazione di messaggi e richieste)
/passive Modalità automatica (solo indicatore di stato)
/uninstall Disinstalla il pacchetto
Opzioni di riavvio
/norestart Non richiede il riavvio del sistema al termine dell'installazione
/forcerestart Esegue il riavvio del sistema dopo l'installazione
Opzioni speciali
/l Visualizza un elenco degli aggiornamenti rapidi o dei pacchetti di aggiornamento di Windows installati
/o Sovrascrive i file OEM senza richiedere conferma
/n Non esegue il backup dei file necessari per la disinstallazione
/f Impone la chiusura delle altre applicazioni all'arresto del computer
/extract Estrae i file senza avviare il programma di installazione
Nota È possibile combinare queste opzioni in un unico comando. Per garantire la compatibilità con le versioni precedenti, l'aggiornamento per la protezione supporta anche le opzioni del programma di installazione utilizzate dalla versione precedente dell'utilità di installazione. Per ulteriori informazioni sulle opzioni supportate dal programma di installazione, vedere l'articolo della Microsoft Knowledge Base 262841.
Informazioni per il deployment
Per installare l'aggiornamento per la protezione senza l'intervento dell'utente, immettere la riga seguente al prompt dei comandi di Windows Server 2003:
Windowsserver2003-kb890175-x86-enu /passive /quiet
Per installare l'aggiornamento per la protezione senza imporre il riavvio del sistema, immettere la riga seguente al prompt dei comandi di Windows Server 2003:
Windowsserver2003-kb890175-x86-enu /norestart
Per ulteriori informazioni su come eseguire il deployment di questo aggiornamento della protezione con Software Update Services, visitare il sito Web Software Update Services.
Necessità di riavvio
In alcuni casi, l'aggiornamento non richiede il riavvio del computer. Il programma di installazione arresta i servizi necessari, applica l'aggiornamento, quindi riavvia i servizi. Tuttavia, se per una ragione qualsiasi non è possibile arrestare i servizi richiesti, o se i file richiesti sono in uso, sarà necessario riavviare il sistema. In questo caso, viene visualizzato un messaggio in cui si indica di riavviare il sistema.
Informazioni per la rimozione
Per rimuovere questo aggiornamento, utilizzare Installazione applicazioni dal Pannello di controllo.
Gli amministratori di sistema possono inoltre rimuovere l'aggiornamento per la protezione mediante l'utilità Spuninst.exe, disponibile nella cartella %Windir%\$NTUninstallKB890175$\Spuninst. L'utilità Spuninst.exe supporta le seguenti opzioni del programma di installazione:
/?: visualizza l'elenco delle opzioni del programma di installazione.
/u: utilizza la modalità automatica.
/f: impone la chiusura delle altre applicazioni all'arresto del computer.
/z: non esegue il riavvio del sistema al termine dell'installazione.
/q: utilizza la modalità non interattiva.
Informazioni sui file
I file della versione inglese di questo aggiornamento presentano gli attributi riportati nella tabella che segue (o valori successivi). Le date e le ore dei file indicati nella tabella sono espressi utilizzando l'ora UTC (Coordinated Universal Time). Al momento della visualizzazione, tali informazioni verranno convertite nella data e nell'ora locali. Per informazioni sulle differenze fra l'ora UTC e l'ora locale, utilizzare la scheda Fuso orario dello strumento Data/Ora del Pannello di controllo.
Windows Server 2003 Enterprise Edition, Windows Server 2003 Standard Edition, Windows Server 2003 Web Edition e Windows Server 2003 Datacenter Edition:
| Nome file | Versione | Data | Ora | Dimensione | Cartella |
Hhctrl.ocx | 5.2.3790.233 | 19-nov-2004 | 00:53 | 512.512 | RTMGDR |
Hhctrl.ocx | 5.2.3790.233 | 19-nov-2004 | 00:55 | 512.512 | RTMQFE |
Windows Server 2003 64-Bit Enterprise Edition e Windows Server 2003 64-Bit Datacenter Edition:
| Nome file | Versione | Data | Ora | Dimensione | Cartella |
Hhctrl.ocx | 5.2.3790.233 | 18-nov-2004 | 22:44 | 1.526.784 | RTMGDR |
Whhctrl.ocx | 5.2.3790.233 | 19-nov-2004 | 00:53 | 512.512 | RTMGDR\WOW |
Hhctrl.ocx | 5.2.3790.233 | 18-nov-2004 | 22:43 | 1.526.784 | RTMQFE |
Whhctrl.ocx | 5.2.3790.233 | 19-nov-2004 | 00:55 | 512.512 | RTMQFE WOW |
Nota Quando si installa questo aggiornamento per la protezione in Windows Server 2003 o Windows XP 64-Bit Edition versione 2003, il programma di installazione verifica se i file da aggiornare nel sistema sono stati precedentemente aggiornati mediante una correzione Microsoft. Se uno di questi file è stato aggiornato mediante l'installazione di una correzione precedente, il programma di installazione copia nel sistema i file della cartella RTMQFE. In caso contrario, copia nel sistema i file della cartella RTMGDR. Per ulteriori informazioni, vedere l'articolo della Microsoft Knowledge Base 824994.
Verifica dell'installazione dell'aggiornamento
| • | Microsoft Baseline Security Analyzer Per verificare che un aggiornamento per la protezione sia installato nel sistema interessato, è possibile utilizzare lo strumento Microsoft Baseline Security Analyzer (MBSA). Questo strumento consente di eseguire la scansione di sistemi locali e remoti, al fine di rilevare eventuali aggiornamenti di protezione mancanti, nonché i più comuni errori di configurazione della protezione. Per ulteriori informazioni su MBSA, visitare il sito Web Microsoft Baseline Security Analyzer. | ||||||||||
| • | Verifica della versione dei file Nota Poiché esistono diverse versioni di Microsoft Windows, le operazioni descritte di seguito potrebbero risultare diverse nel computer in uso. In tal caso, consultare la documentazione del prodotto per eseguire tutti i passaggi.
|
| • | Controllo delle chiavi del Registro di sistema Per verificare i file installati dell'aggiornamento per la protezione, è anche possibile esaminare le seguenti chiavi del Registro di sistema: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows Server 2003\SP1\KB890175\Filelist Nota Questa chiave del Registro di sistema potrebbe non contenere un elenco completo dei file installati. Inoltre, se un amministratore o un OEM integra o esegue lo slipstreaming dell'aggiornamento per la protezione 890175 nei file di origine dell'installazione di Windows, è possibile che questa chiave del Registro di sistema non venga creata correttamente. |
Windows XP (tutte le versioni) |
Nota L'aggiornamento per la protezione per Windows XP 64-Bit Edition versione 2003 è identico all'aggiornamento per la protezione per Windows Server 2003 64-Bit Edition.
Prerequisiti
Per questo aggiornamento per la protezione, è richiesta la versione definitiva di Windows XP Service Pack 1 (SP1) o Windows XP Service Pack 2. Per ulteriori informazioni, vedere l'articolo della Microsoft Knowledge Base 322389.
Disponibilità nei service pack futuri:
La correzione di questo problema verrà inclusa in un service pack futuro.
Informazioni per l'installazione
Questo aggiornamento per la protezione supporta le seguenti opzioni del programma di installazione:
/help Visualizza le opzioni della riga di comando
Modalità di installazione
/quiet Modalità non interattiva (senza interazioni con l'utente o visualizzazione di messaggi e richieste)
/passive Modalità automatica (solo indicatore di stato)
/uninstall Disinstalla il pacchetto
Opzioni di riavvio
/norestart Non richiede il riavvio del sistema al termine dell'installazione
/forcerestart Esegue il riavvio del sistema dopo l'installazione
Opzioni speciali
/l Visualizza un elenco degli aggiornamenti rapidi o dei pacchetti di aggiornamento di Windows installati
/o Sovrascrive i file OEM senza richiedere conferma
/n Non esegue il backup dei file necessari per la disinstallazione
/f Impone la chiusura delle altre applicazioni all'arresto del computer
/extract Estrae i file senza avviare il programma di installazione
Nota È possibile combinare queste opzioni in un unico comando. Per garantire la compatibilità con le versioni precedenti, l'aggiornamento per la protezione supporta anche le opzioni del programma di installazione utilizzate dalla versione precedente dell'utilità di installazione. Per ulteriori informazioni sulle opzioni supportate dal programma di installazione, vedere l'articolo della Microsoft Knowledge Base 262841.
Informazioni per il deployment
Per installare l'aggiornamento per la protezione senza l'intervento dell'utente, immettere la riga seguente al prompt dei comandi di Windows XP:
Windowsxp-kb890175-x86-enu /passive /quiet
Per installare l'aggiornamento per la protezione senza imporre il riavvio del sistema, immettere la riga seguente al prompt dei comandi di Windows XP:
Windowsxp-kb890175-x86-enu /norestart
Per ulteriori informazioni su come eseguire il deployment di questo aggiornamento della protezione con Software Update Services, visitare il sito Web Software Update Services.
Necessità di riavvio
In alcuni casi, l'aggiornamento non richiede il riavvio del computer. Il programma di installazione arresta i servizi necessari, applica l'aggiornamento, quindi riavvia i servizi. Tuttavia, se per una ragione qualsiasi non è possibile arrestare i servizi richiesti, o se i file richiesti sono in uso, sarà necessario riavviare il sistema. In questo caso, viene visualizzato un messaggio in cui si indica di riavviare il sistema.
Informazioni per la rimozione
Per rimuovere questo aggiornamento per la protezione, utilizzare lo strumento Installazione applicazioni del Pannello di controllo.
Gli amministratori di sistema possono inoltre rimuovere l'aggiornamento per la protezione mediante l'utilità Spuninst.exe, disponibile nella cartella %Windir%\$NTUninstallKB890175$\Spuninst. L'utilità Spuninst.exe supporta le seguenti opzioni del programma di installazione:
/?: visualizza l'elenco delle opzioni del programma di installazione.
/u: utilizza la modalità automatica.
/f: impone la chiusura delle altre applicazioni all'arresto del computer.
/z: non esegue il riavvio del sistema al termine dell'installazione.
/q: utilizza la modalità non interattiva.
Informazioni sui file
I file della versione inglese di questo aggiornamento presentano gli attributi riportati nella tabella che segue (o valori successivi). Le date e le ore dei file indicati nella tabella sono espressi utilizzando l'ora UTC (Coordinated Universal Time). Al momento della visualizzazione, tali informazioni verranno convertite nella data e nell'ora locali. Per informazioni sulle differenze fra l'ora UTC e l'ora locale, utilizzare la scheda Fuso orario dello strumento Data/Ora del Pannello di controllo.
Windows XP Home Edition Service Pack 1, Windows XP Professional Service Pack 1, Windows XP Tablet PC Edition, Windows XP Media Center Edition, Windows XP Home Edition Service Pack 2, Windows XP Professional Service Pack 2, Windows XP Tablet PC Edition 2005 e Windows XP Media Center Edition 2005:
| Nome file | Versione | Data | Ora | Dimensione | Cartella |
Hhctrl.ocx | 5.2.3790.1280 | 02-dic-2004 | 18:35 | 539.648 | SP2QFE |
Hhctrl.ocx | 5.2.3790.1280 | 01-dic-2004 | 05:19 | 539.648 | SP2GDR |
Hhctrl.ocx | 5.2.3790.233 | 02-dic-2004 | 19:15 | 512.512 | SP1QFE |
Windows XP 64-Bit Edition Service Pack 1:
| Nome file | Versione | Data | Ora | Dimensione | Cartella |
Hhctrl.ocx | 5.2.3790.233 | 19-nov-2004 | 21:37 | 1.526.784 | SP1QFE |
Whhctrl.ocx | 5.2.3790.233 | 19-nov-2004 | 21:34 | 512.512 | SP1QFE\WOW |
Windows XP 64-Bit Edition versione 2003:
| Nome file | Versione | Data | Ora | Dimensione | Cartella |
Hhctrl.ocx | 5.2.3790.233 | 18-nov-2004 | 22:44 | 1.526.784 | RTMGDR |
Whhctrl.ocx | 5.2.3790.233 | 19-nov-2004 | 00:53 | 512.512 | RTMGDR\WOW |
Hhctrl.ocx | 5.2.3790.233 | 18-nov-2004 | 22:43 | 1.526.784 | RTMQFE |
Whhctrl.ocx | 5.2.3790.233 | 19-nov-2004 | 00:55 | 512.512 | RTMQFE\WOW |
Note Le versioni di questo aggiornamento per la protezione per Windows XP e Windows XP 64-Bit Edition versione 2003 sono disponibili in pacchetti dual-mode, contenenti file sia per la versione originale di Windows XP Service Pack 1 (SP1) che per Windows XP Service Pack 2 (SP2). Per ulteriori informazioni sui pacchetti dual-mode, vedere l'articolo della Microsoft Knowledge Base 328848.
Quando si installa l'aggiornamento per la protezione di Windows XP 64-Bit Edition versione 2003, il programma di installazione verifica se i file da aggiornare nel sistema sono stati precedentemente aggiornati mediante una correzione Microsoft. Se uno di questi file è stato aggiornato mediante l'installazione di una correzione precedente, il programma di installazione copia nel sistema i file della cartella RTMQFE. In caso contrario, copia nel sistema i file della cartella RTMGDR. Per ulteriori informazioni, vedere l'articolo della Microsoft Knowledge Base 824994.
Verifica dell'installazione dell'aggiornamento
| • | Microsoft Baseline Security Analyzer Per verificare che un aggiornamento per la protezione sia installato nel sistema interessato, è possibile utilizzare lo strumento Microsoft Baseline Security Analyzer (MBSA). Questo strumento consente di eseguire la scansione di sistemi locali e remoti, al fine di rilevare eventuali aggiornamenti di protezione mancanti, nonché i più comuni errori di configurazione della protezione. Per ulteriori informazioni su MBSA, visitare il sito Web Microsoft Baseline Security Analyzer. | ||||||||||
| • | Verifica della versione dei file Nota Poiché esistono diverse versioni di Microsoft Windows, le operazioni descritte di seguito potrebbero risultare diverse nel computer in uso. In tal caso, consultare la documentazione del prodotto per eseguire tutti i passaggi.
|
| • | Controllo delle chiavi del Registro di sistema Per verificare i file installati dell'aggiornamento per la protezione, è anche possibile esaminare le seguenti chiavi del Registro di sistema: Per Windows XP Home Edition Service Pack 1, Windows XP Professional Service Pack 1, Windows XP Tablet PC Edition, Windows XP Media Center Edition, Windows XP Home Edition Service Pack 2, Windows XP Professional Service Pack 2, Windows XP Tablet PC Edition 2005 e Windows XP Media Center Edition 2005: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP3\KB890175\Filelist Per Windows XP 64-Bit Edition versione 2003: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows Server 2003\SP1\KB890175\Filelist Nota Queste chiavi del Registro di sistema potrebbero non contenere un elenco completo dei file installati. Inoltre, se un amministratore o un OEM integra o esegue lo slipstreaming dell'aggiornamento per la protezione 890175 nei file di origine dell'installazione di Windows, è possibile che queste chiavi del Registro di sistema non vengano create correttamente. |
Windows 2000 (tutte le versioni) |
Prerequisiti
Per installare questo aggiornamento per la protezione in Windows 2000, è richiesto Service Pack 3 (SP3) o Service Pack 4 (SP4).
I prodotti software elencati sono stati sottoposti a test per determinare se tali versioni sono interessate dalla vulnerabilità. Le altre versioni non includono più il supporto degli aggiornamenti per la protezione o potrebbero non essere interessate dal problema. Per informazioni sulla disponibilità del supporto per il prodotto e la versione in uso, visitare il sito Web di Microsoft Ciclo di vita del supporto.
Per ulteriori informazioni su come ottenere la versione più recente del service pack, vedere l'articolo della Microsoft Knowledge Base 260910.
Disponibilità nei service pack futuri:
la correzione di questo problema verrà inclusa in un rollup di aggiornamento futuro.
Informazioni per l'installazione
Questo aggiornamento per la protezione supporta le seguenti opzioni del programma di installazione:
/help Visualizza le opzioni della riga di comando
Modalità di installazione
/quiet Modalità non interattiva (senza interazioni con l'utente o visualizzazione di messaggi e richieste)
/passive Modalità automatica (solo indicatore di stato)
/uninstall Disinstalla il pacchetto
Opzioni di riavvio
/norestart Non richiede il riavvio del sistema al termine dell'installazione
/forcerestart Esegue il riavvio del sistema dopo l'installazione
Opzioni speciali
/l Visualizza un elenco degli aggiornamenti rapidi o dei pacchetti di aggiornamento di Windows installati
/o Sovrascrive i file OEM senza richiedere conferma
/n Non esegue il backup dei file necessari per la disinstallazione
/f Impone la chiusura delle altre applicazioni all'arresto del computer
/extract Estrae i file senza avviare il programma di installazione
Nota È possibile combinare queste opzioni in un unico comando. Per garantire la compatibilità con le versioni precedenti, l'aggiornamento per la protezione supporta anche le opzioni del programma di installazione utilizzate dalla versione precedente dell'utilità di installazione. Per ulteriori informazioni sulle opzioni supportate dal programma di installazione, vedere l'articolo della Microsoft Knowledge Base 262841.
Informazioni per il deployment
Per installare l'aggiornamento per la protezione senza l'intervento dell'utente, immettere la seguente riga al prompt dei comandi di Windows 2000 Service Pack 3 e Windows 2000 Service Pack 4:
Windows2000-kb890175-x86-enu /passive /quiet
Per installare l'aggiornamento per la protezione senza imporre il riavvio del sistema, immettere la seguente riga al prompt dei comandi di Windows 2000 Service Pack 3 e Windows 2000 Service Pack 4:
Windows2000-kb890175-x86-enu /norestart
Per ulteriori informazioni su come eseguire il deployment di questo aggiornamento della protezione con Software Update Services, visitare il sito Web Software Update Services.
Necessità di riavvio
In alcuni casi, l'aggiornamento non richiede il riavvio del computer. Il programma di installazione arresta i servizi necessari, applica l'aggiornamento, quindi riavvia i servizi. Tuttavia, se per una ragione qualsiasi non è possibile arrestare i servizi richiesti, o se i file richiesti sono in uso, sarà necessario riavviare il sistema. In questo caso, viene visualizzato un messaggio in cui si indica di riavviare il sistema.
Informazioni per la rimozione
Per rimuovere questo aggiornamento per la protezione, utilizzare lo strumento Installazione applicazioni del Pannello di controllo.
Gli amministratori di sistema possono inoltre rimuovere l'aggiornamento per la protezione mediante l'utilità Spuninst.exe, disponibile nella cartella %Windir%\$NTUninstallKB890175$\Spuninst. L'utilità Spuninst.exe supporta le seguenti opzioni del programma di installazione:
/?: visualizza l'elenco delle opzioni del programma di installazione.
/u: utilizza la modalità automatica.
/f: impone la chiusura delle altre applicazioni all'arresto del computer.
/z: non esegue il riavvio del sistema al termine dell'installazione.
/q: utilizza la modalità non interattiva.
Informazioni sui file
I file della versione inglese di questo aggiornamento presentano gli attributi riportati nella tabella che segue (o valori successivi). Le date e le ore dei file indicati nella tabella sono espressi utilizzando l'ora UTC (Coordinated Universal Time). Al momento della visualizzazione, tali informazioni verranno convertite nella data e nell'ora locali. Per informazioni sulle differenze fra l'ora UTC e l'ora locale, utilizzare la scheda Fuso orario dello strumento Data/Ora del Pannello di controllo.
Nota Le informazioni relative a data, ora, nome file o dimensioni potrebbero essere modificate durante l'installazione. Per informazioni su come verificare la corretta esecuzione dell'installazione, vedere la sezione "Verifica dell'installazione dell'aggiornamento".
Windows 2000 Service Pack 3 e Windows 2000 Service Pack 4:
| Nome file | Versione | Data | Ora | Dimensione |
Hhctrl.ocx | 5.2.3790.233 | 22-nov-2004 | 06:20 | 512.512 |
Verifica dell'installazione dell'aggiornamento
| • | Microsoft Baseline Security Analyzer Per verificare che un aggiornamento per la protezione sia installato nel sistema interessato, è possibile utilizzare lo strumento Microsoft Baseline Security Analyzer (MBSA). Questo strumento consente di eseguire la scansione di sistemi locali e remoti, al fine di rilevare eventuali aggiornamenti di protezione mancanti, nonché i più comuni errori di configurazione della protezione. Per ulteriori informazioni su MBSA, visitare il sito Web Microsoft Baseline Security Analyzer. | ||||||||||
| • | Verifica della versione dei file Nota Poiché esistono diverse versioni di Microsoft Windows, le operazioni descritte di seguito potrebbero risultare diverse nel computer in uso. In tal caso, consultare la documentazione del prodotto per eseguire tutti i passaggi.
|
| • | Controllo delle chiavi del Registro di sistema Per verificare i file installati dall'aggiornamento per la protezione, è anche possibile esaminare la seguente chiave del Registro di sistema: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP5\KB890175\Filelist Nota Questa chiave del Registro di sistema potrebbe non contenere un elenco completo dei file installati. Inoltre, quando un amministratore o un OEM integra o esegue lo slipstreaming dell'aggiornamento per la protezione 890175 nei file di origine dell'installazione di Windows, è possibile che questa chiave del Registro di sistema non venga creata correttamente. |
Windows NT 4.0 (tutte le versioni) |
Prerequisiti
Per questo aggiornamento per la protezione, è richiesto Windows NT Server 4.0 Service Pack 6a (SP6a) o Windows NT Server 4.0, Terminal Server Edition Service Pack 6 (SP6).
I prodotti software elencati sono stati sottoposti a test per determinare se tali versioni sono interessate dalla vulnerabilità. Le altre versioni non includono più il supporto degli aggiornamenti per la protezione o potrebbero non essere interessate dal problema. Per informazioni sulla disponibilità del supporto per il prodotto e la versione in uso, visitare il sito Web di Microsoft Ciclo di vita del supporto.
Per ulteriori informazioni su come ottenere la versione più recente del service pack, vedere l'articolo della Microsoft Knowledge Base 152734.
Informazioni per l'installazione
Questo aggiornamento per la protezione supporta le seguenti opzioni del programma di installazione:
/q : specifica la modalità automatica o evita la visualizzazione delle richieste di conferma quando i file vengono estratti. Le richieste di conferma visualizzate durante l'installazione di Windows Update non vengono eliminate.
/q:u : specifica la modalità senza intervento dell'utente, che prevede la visualizzazione di alcune finestre di dialogo all'utente.
/q:a : specifica la modalità senza intervento dell'amministratore, che non determina la visualizzazione all'utente di alcuna finestra di dialogo.
/c:<percorso UNC> specifica il percorso e il nome del file con estensione inf o exe del programma di installazione.
/r:n : non provoca il riavvio del computer dopo l'installazione.
/r:a : provoca sempre il riavvio del computer dopo l'installazione.
/r:s : provoca il riavvio del computer dopo l'installazione senza chiedere conferma all'utente.
/T:<percorso directory: specifica la cartella di destinazione per l'estrazione dei file.
Nota È possibile combinare queste opzioni in un unico comando. Per ulteriori informazioni sulle opzioni supportate dal programma di installazione, vedere l'articolo della Microsoft Knowledge Base 197147.
Informazioni per il deployment
Per installare l'aggiornamento per la protezione senza l'intervento dell'utente, immettere la riga seguente al prompt dei comandi:
Windowsnt4-kb890175-x86-enu /q;a
Per installare l'aggiornamento per la protezione senza imporre il riavvio del sistema, immettere la riga seguente al prompt dei comandi:
Windowsnt4-kb890175-x86-enu /r:n
Per ulteriori informazioni su come eseguire il deployment di questo aggiornamento della protezione con Software Update Services, visitare il sito Web Software Update Services.
Necessità di riavvio
In alcuni casi, l'aggiornamento non richiede il riavvio del computer. Il programma di installazione arresta i servizi necessari, applica l'aggiornamento, quindi riavvia i servizi. Tuttavia, se per una ragione qualsiasi non è possibile arrestare i servizi richiesti, o se i file richiesti sono in uso, sarà necessario riavviare il sistema. In questo caso, viene visualizzato un messaggio in cui si indica di riavviare il sistema.
Informazioni per la rimozione
Per rimuovere questo aggiornamento per la protezione, utilizzare lo strumento Installazione applicazioni del Pannello di controllo.
Oppure
Fare clic sul pulsante Start, scegliere Esegui, digitare "RunDll32 advpack.dll,LaunchINFSectionEx %Windir%\$NTUninstallQ840315$\840315UP.INF,updfiles,,64" (senza virgolette), quindi fare clic su OK.
Informazioni sui file
I file della versione inglese di questo aggiornamento presentano gli attributi riportati nella tabella che segue (o valori successivi). Le date e le ore dei file indicati nella tabella sono espressi utilizzando l'ora UTC (Coordinated Universal Time). Al momento della visualizzazione, tali informazioni verranno convertite nella data e nell'ora locali. Per informazioni sulle differenze fra l'ora UTC e l'ora locale, utilizzare la scheda Fuso orario dello strumento Data/Ora del Pannello di controllo.
Nota Le informazioni relative a data, ora, nome file o dimensioni potrebbero essere modificate durante l'installazione. Per informazioni su come verificare la corretta esecuzione dell'installazione, vedere la sezione "Verifica dell'installazione dell'aggiornamento".
Windows NT Server 4.0 e Windows NT Server 4.0 Terminal Server Edition:
| Nome file | Versione | Data | Ora | Dimensione |
Hhctrl.ocx | 5.2.3790.233 | 02-dic-2004 | 19:15 | 512.512 |
Verifica dell'installazione dell'aggiornamento
| • | Microsoft Baseline Security Analyzer Per verificare che un aggiornamento per la protezione sia installato nel sistema interessato, è possibile utilizzare lo strumento Microsoft Baseline Security Analyzer (MBSA). Questo strumento consente di eseguire la scansione di sistemi locali e remoti, al fine di rilevare eventuali aggiornamenti di protezione mancanti, nonché i più comuni errori di configurazione della protezione. Per ulteriori informazioni su MBSA, visitare il sito Web Microsoft Baseline Security Analyzer. | ||||||||||
| • | Verifica della versione dei file Nota Poiché esistono diverse versioni di Microsoft Windows, le operazioni descritte di seguito potrebbero risultare diverse nel computer in uso. In tal caso, consultare la documentazione del prodotto per eseguire tutti i passaggi.
|
| • | Controllo delle chiavi del Registro di sistema Per verificare i file installati dall'aggiornamento per la protezione, è anche possibile esaminare la seguente chiave del Registro di sistema: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Hotfix\Q890175 Nota Questa chiave del Registro di sistema potrebbe non contenere un elenco completo dei file installati. Inoltre, quando un amministratore o un OEM integra o esegue lo slipstreaming dell'aggiornamento per la protezione 890175 nei file di origine dell'installazione di Windows, è possibile che questa chiave del Registro di sistema non venga creata correttamente. |
Download di altri aggiornamenti per la protezione:
Sono disponibili aggiornamenti per altri problemi di protezione nei seguenti siti:
| • | Gli aggiornamenti per la protezione sono disponibili nell'Area download Microsoft ed è possibile individuarli in modo semplice eseguendo una ricerca con la parola chiave "security_patch". |
| • | Gli aggiornamenti per i sistemi consumer sono disponibili nel sito Web Windows Update. |
Supporto tecnico:
| • | Per usufruire dei servizi del supporto tecnico negli Stati Uniti e in Canada, visitare il sito del Supporto Tecnico Microsoft. Le chiamate al supporto tecnico relative agli aggiornamenti per la protezione sono gratuite. |
| • | I clienti internazionali possono ottenere assistenza tecnica presso le filiali Microsoft locali. Gli interventi di assistenza relativi agli aggiornamenti di protezione sono gratuiti. Per ulteriori informazioni su come contattare Microsoft per ottenere supporto, visitare il sito Web del supporto internazionale. |
Fonti di informazioni sulla sicurezza:
| • | Nella sezione dedicata alla sicurezza del sito Web Microsoft TechNet sono disponibili ulteriori informazioni sulla protezione e la sicurezza dei prodotti Microsoft. |
| • | |
| • | |
| • | |
| • | Catalogo di Windows Update: per ulteriori informazioni sul catalogo di Windows Update, vedere l'articolo della Microsoft Knowledge Base 323166. |
| • |
Software Update Services:
Microsoft Software Update Services (SUS) consente agli amministratori di eseguire in modo rapido e affidabile il deployment dei più recenti aggiornamenti critici e per la protezione sia nei server basati su Windows 2000 e Windows Server 2003 sia nei computer desktop che eseguono Windows 2000 Professional o Windows XP Professional.
Per ulteriori informazioni su come eseguire il deployment di questo aggiornamento della protezione con Software Update Services, visitare il sito Web Software Update Services.
Systems Management Server:
Microsoft Systems Management Server (SMS) offre una soluzione aziendale altamente configurabile per la gestione degli aggiornamenti. Tramite SMS gli amministratori possono identificare i sistemi Windows che richiedono gli aggiornamenti per la protezione ed eseguire il deployment controllato di tali aggiornamenti in tutta l'azienda, riducendo al minimo le eventuali interruzioni del lavoro degli utenti finali. Per ulteriori informazioni sull'utilizzo di SMS 2003 per la distribuzione degli aggiornamenti per la protezione, visitare il sito Web SMS 2003 Security Patch Management. Gli utenti di SMS 2.0 possono inoltre utilizzare Software Updates Service Feature Pack per semplificare il deployment degli aggiornamenti per la protezione. Per ulteriori informazioni su SMS, visitare il sito Web SMS.
Nota SMS utilizza Microsoft Baseline Security Analyzer e lo strumento di rilevamento di Microsoft Office per offrire il più ampio supporto possibile per il rilevamento e la distribuzione degli aggiornamenti inclusi nei bollettini sulla sicurezza. Alcuni aggiornamenti non possono essere tuttavia rilevati tramite questi strumenti. In questi casi, per applicare gli aggiornamenti a computer specifici è possibile utilizzare le funzionalità di inventario di SMS. Per ulteriori informazioni su questa procedura, visitare il seguente sito Web. Per alcuni aggiornamenti per la protezione può essere necessario disporre di diritti amministrativi ed eseguire il riavvio del sistema. Per installare tali aggiornamenti è possibile utilizzare lo strumento Elevated Rights Deployment Tool, disponibile in SMS 2003 Administration Feature Pack e in SMS 2.0 Administration Feature Pack.
Dichiarazione di non responsabilità:
Le informazioni disponibili nella Microsoft Knowledge Base sono fornite "come sono" senza garanzie di alcun tipo. Conseguentemente, Microsoft non rilascia alcuna garanzia, esplicita o implicita, inclusa la garanzia di commerciabilità e di idoneità per uno scopo specifico. Microsoft Corporation o i suoi fornitori non saranno, in alcun caso, responsabili per danni di qualsiasi tipo, inclusi i danni diretti, indiretti, incidentali, consequenziali, la perdita di profitti e i danni speciali, anche qualora Microsoft Corporation o i suoi fornitori siano stati informati della possibilità del verificarsi di tali danni. Alcuni stati non consentono l'esclusione o la limitazione di responsabilità per danni diretti o indiretti e, dunque, la sopracitata limitazione potrebbe non essere applicabile.
Versioni:
| • | V1.0 (11 gennaio 2005): pubblicazione del bollettino |