Bollettino Microsoft sulla sicurezza MS03-014

Descrizione tecnica:

MHTML (acronimo di MIME Encapsulation of Aggregate HTML) è uno standard Internet che definisce la struttura MIME (Multipurpose Internet Mail Extensions) utilizzata per inviare contenuto HTML nel corpo dei messaggi di posta elettronica. Il gestore URL MHTML di Windows, incluso in Outlook Express, fornisce un tipo di URL (MHTML://) che è possibile utilizzare sul computer locale per aprire documenti MHTML dalla riga di comando, scegliendo Esegui dal menu Start, utilizzando Esplora risorse oppure da Internet Explorer.

Il gestore URL MHTML presenta una vulnerabilità che consente di aprire e visualizzare all'interno di una pagina di Internet Explorer qualsiasi file che possa essere visualizzato come testo. È pertanto possibile definire un URL che faccia riferimento a un file di testo memorizzato nel computer locale e visualizzare tale file come HTML. Poiché il file risiede nel computer locale, viene visualizzato nell'area di protezione del computer locale e, come tutti i file aperti in tale area, è soggetto a minori limitazioni rispetto a quelli aperti in altre aree di protezione.

Servendosi di questo metodo, un utente malintenzionato può tentare di definire un URL da inserire in un sito Web o da inviare per posta elettronica. In caso di attacco dal Web, dopo il clic da parte dell'utente sul collegamento contenuto nel sito Web, l'autore dell'attacco ha la possibilità di leggere o avviare file presenti sul computer locale. In caso di attacco tramite posta elettronica, se l'utente utilizza Outlook Express 6.0 o Outlook 2002 nelle configurazioni predefinite, oppure Outlook 98 o 2000 in combinazione con Outlook Email Security Update, non è possibile automatizzare l'attacco e l'utente deve comunque fare clic su un collegamento inviato in un messaggio di posta elettronica. Se tuttavia l'utente non utilizza Outlook Express 6.0 o Outlook 2002 nelle configurazioni predefinite, oppure Outlook 98 o 2000 in combinazione con Outlook Email Security Update, l'attacco può essere attivato automaticamente senza che sia necessario fare clic su un URL contenuto in un messaggio di posta elettronica. In entrambi i casi, qualsiasi restrizione applicata ai privilegi dell'utente limita anche le capacità di attacco dello script.

L'aggiornamento indicato nel Bollettino Microsoft sulla sicurezza MS03-004, Patch cumulativa per Internet Explorer, contribuisce a impedire all'autore dell'attacco di caricare file sul computer di un utente e di passare parametri a un file eseguibile. Ciò significa che l'autore dell'attacco può avviare solo i programmi già presenti nel computer, di cui deve conoscere il percorso, e non può passare parametri per l'esecuzione del programma.

Poiché MHTML è uno standard per lo scambio di contenuto HTML nei messaggi di posta elettronica, la funzione di gestione degli URL MHTML è stata implementata in Outlook Express. Sebbene il contenuto MHTML possa essere visualizzato anche in Internet Explorer, la funzione MHTML non è stata implementata separatamente in Internet Explorer e il contenuto MHTML viene visualizzato utilizzando Outlook Express.

Fattori attenuanti:

Livello di gravità

La classificazione della gravità di cui alla tabella precedente si basa sui tipi di sistemi interessati dalla vulnerabilità, sui modelli di deployment più comuni e sui potenziali effetti del problema in tali ambienti.

Identificatore della vulnerabilità:CAN-2002-0980 

Versioni testate:

La presenza di queste vulnerabilità è stata verificata sia in Internet Explorer versioni 5.01 SP3, 5.5 SP2, 6.0 Gold e 6.0 SP1, sia in Outlook Express versioni 5.5 SP2, 6.0 Gold e 6.0 SP1. Le versioni di Internet Explorer precedenti alla 5.01 Service Pack 3 non sono più supportate per gli aggiornamenti rapidi. Per ulteriori informazioni sul ciclo di vita dei componenti di Windows, visitare: http://microsoft.com/windows/lifecycle/desktop/consumer/components.mspx

Qual è la portata o l'impatto di questa vulnerabilità?
Sfruttando la vulnerabilità, l'autore dell'attacco può leggere file o avviare programmi nell'area di protezione del computer locale dell'utente.

Se un hacker riesce a indurre un utente a visitare il proprio sito contenente un documento MHTML, può sfruttare questa vulnerabilità per leggere file o avviare file eseguibili presenti nel computer dell'utente.

Nel Bollettino Microsoft sulla sicurezza MS03-004 viene descritta una vulnerabilità che può essere sfruttata da un hacker per caricare file nel sistema locale di un utente. Se si applica la patch illustrata in tale bollettino, l'impatto della nuova vulnerabilità illustrata nel presente documento risulta notevolmente ridotto. In questo caso, infatti, l'autore dell'attacco non può trasferire alcun programma nel sistema locale dell'utente, ma solo richiamare un programma già presente in tale sistema, né passare parametri a un file eseguibile.

Quali sono le caratteristiche di MHTML?
MHTML (acronimo di MIME Encapsulation of Aggregate HTML Documents) è uno standard Internet che definisce la struttura MIME (Multipurpose Internet Mail Extensions) utilizzata per inviare contenuto HTML nel corpo dei messaggi di posta elettronica. Il gestore URL MHTML ha il compito creare pacchetti di contenuto HTML da inserire nei messaggi di posta elettronica, utilizzando un formato comune per l'incapsulamento dei vari file associati a un documento HTML.

MHTML crea un'istantanea della pagina HTML corrente e la archivia per consentirne l'invio tramite posta elettronica o la visualizzazione non in linea in Internet Explorer. Ad esempio, in Internet Explorer è possibile salvare una pagina Web in un singolo file scegliendo "Salva con nome" dal menu "File" e selezionando "Archivio Web, file unico" dalla casella di riepilogo a discesa "Salva come". In questo modo la pagina Web viene salvata in un unico file con formato MHTL. Questa funzionalità è illustrata in dettaglio nell'articolo 221787 della Microsoft Knowledge Base.

Quali sono le caratteristiche di HTML?
HTML (acronimo di Hyper Text Markup Language) consente di creare documenti che possono essere utilizzati in più piattaforme. Una delle sue caratteristiche più importanti è costituita dalla possibilità di riprodurre un documento composto da risorse distinte, come immagini, file audio, e così via, che vengono inserite nel testo.

In cosa consiste il problema dell'implementazione del formato MHTML?
Il gestore URL MHTML è in grado di trattare qualsiasi tipo di file come se fosse un file HTML. Ad esempio, se si apre un file .txt utilizzando il protocollo MHTML, il testo viene visualizzato come se si trattasse di un file HTML. Questo costituisce una vulnerabilità a livello di sicurezza, perché alcuni tipi di file, come i file di testo, vengono in genere considerati sicuri e possono essere aperti da una pagina Web nell'area di protezione del computer locale. Se un file di questo tipo contiene uno script, quest'ultimo può essere eseguito con i privilegi associati all'area di protezione del computer locale, anziché con quelli del sito Web.

Che cosa sono le aree di protezione Internet?
Internet Explorer utilizza le aree di protezione per suddividere in categorie, o aree, i contenuti in linea, in base ai relativi livelli di attendibilità. È possibile assegnare domini Web specifici a determinate aree, a seconda del livello di attendibilità attribuito ai rispettivi contenuti. Le funzionalità del contenuto Web vengono pertanto limitate in base alle impostazioni specificate per l'area corrispondente.

Per impostazione predefinita, la maggior parte dei domini Internet viene inserita nell'area Internet, per la quale sono disponibili impostazioni e limitazioni che è possibile configurare in modo da impedire a script e ad altro codice attivo di ottenere l'accesso alle risorse del computer locale.

Che cos'è l'area del computer locale?
L'are del computer locale è un'area implicita utilizzata per il contenuto presente nel computer dell'utente. Per quest'area sono impostate limitazioni decisamente inferiori, che consentono a script e codice attivo di accedere al contenuto del sistema locale e modificarlo. Per impostazione predefinita, i file memorizzati nel computer locale vengono inseriti nell'area del computer locale.

Che cos'è un gestore URL?
Un gestore URL consente a un'applicazione di registrare un nuovo tipo di URL che, quando viene richiamato da una pagina Web, avvia automaticamente l'applicazione. Nel corso dell'installazione di Outlook 2002, ad esempio, viene registrato "outlook://" come gestore URL personalizzato, in modo da consentire di richiamare Outlook digitando questo URL in Internet Explorer, nella finestra di dialogo "Esegui" o facendo clic su un collegamento. Nel caso di MHTML, vene utilizzato l'URL "mhtml://".

Quali sono le cause di questa vulnerabilità? Questa vulnerabilità deriva dal fatto che il componente di Outlook Express che visualizza le pagine codificate in formato MHTML contiene un bug che consente di visualizzare come pagine HTML anche file in formato diverso da MHTML. Tale bug consente pertanto di visualizzare qualsiasi file contenente testo, come i file .txt, o script.

A quali attacchi viene esposto il sistema a causa di questa vulnerabilità?
Un utente malintenzionato potrebbe utilizzare il gestore URL MHTML per visualizzare come pagina HTML un file presente nel computer dell'utente. Se l'autore dell'attacco riesce a trasferire nel computer dell'utente un file .txt contenente uno script dannoso, può tentare di utilizzare il gestore URL MHTML per aprirlo come file HTML, causandone l'esecuzione. Agli script eseguiti nell'area di protezione del computer locale viene solitamente attribuito un livello di attendibilità superiore, rispetto a quelli eseguiti nell'area Internet, che vengono in genere scaricati e richiamati da un sito Web.

Se tuttavia è stata applicata la patch illustrata nel Bollettino Microsoft sulla sicurezza MS03-004, l'autore dell'attacco non può trasferire file nel sistema locale dell'utente, né passare parametri a un file eseguibile, ma solamente eseguire file già presenti in tale sistema.

In quale modo un hacker può sfruttare questa vulnerabilità? Un utente malintenzionato può cercare di sfruttare questa vulnerabilità creando un URL che utilizza il formato MHTML e inducendo l'utente a visitare il sito Web che lo contiene, in genere inviando tale URL in un messaggio di posta elettronica. Se l'autore dell'attacco conosce il percorso di un file contenente uno script dannoso oppure ha avuto la possibilità di collocare uno script dannoso in una posizione nota del computer dell'utente, può eseguire tale script in una pagina HTML.

Questa correzione consente di risolvere il problema della modalità di visualizzazione delle pagine Web. Perché il bollettino è intitolato "Patch cumulativa per Outlook Express"?
MHTML è uno standard Internet progettato per l'invio di contenuto HTML nel corpo dei messaggi di posta elettronica, insieme a tutte le risorse a cui viene fatto riferimento da tale contenuto. La funzione MHTML è stata pertanto implementata in Outlook Express e, quando è necessario visualizzare una pagina MHTML in Internet Explorer, quest'ultimo utilizza la funzionalità MHTML di Outlook Express, poiché il gestore URL MHTML non è stato implementato separatamente in Internet Explorer.

Poiché la vulnerabilità si trova in Outlook Express, nella patch contenente la correzione per tale vulnerabilità sono state incluse anche tutte le correzioni per Outlook Express rilasciate in precedenza.

Quindi, anche se riguarda la modalità di visualizzazione di determinate pagine Web, questa vulnerabilità non interessa Internet Explorer?
No, perché Internet Explorer non visualizza direttamente i file MHTML. Poiché MHTML è progettato per lo scambio di contenuto HTML nei messaggi di posta elettronica, il gestore URL MHTML è stato implementato in Outlook Express, non in Internet Explorer.

La patch è necessaria anche se non si utilizza Outlook Express per leggere la posta elettronica?
Sì. Poiché il gestore URL utilizzato per i file MHTML si trova di fatto in Outlook Express, è necessario installare la patch anche se non si utilizza Outlook Express per leggere la posta elettronica.

Quali sono gli scopi della patch?
La patch elimina la vulnerabilità impedendo alla funzionalità MHTML di leggere tipi di file diversi da .MHT o .MHTML, le estensioni associate ai file in formato MHTML.

Posizioni per il download di questa patch

Piattaforme per l'installazione:

È possibile installare la patch nei seguenti sistemi:

•	È possibile installare la patch per Outolook Express 5.5 SP2 nei sistemi Windows 2000 con Service Pack 3.
•	È possibile installare la patch per Outolook Express 6.0 nei sistemi che utilizzano Windows XP Gold.
•	È possibile installare la patch per Outolook Express 6.0 SP1 nei sistemi che utilizzano Windows XP con Service Pack 1.

Disponibilità nei service pack futuri:

La correzione di questo problema sarà inclusa in Internet Explorer 6.0 Service Pack 2.

Necessario riavvio: no

Possibilità di disinstallare la patch: Per disinstallare la patch, utilizzare lo strumento Installazione applicazioni nel Pannello di controllo. Fare clic su Outlook Express Update Q330994, quindi fare clic su Cambia/Rimuovi (oppure Aggiungi/Rimuovi).

Patch preesistenti: questa patch cumulativa per Outlook Express include le correzioni illustrate nel Bollettino Microsoft sulla sicurezza MS02-058.

Verifica dell'installazione della patch:

•	Per verificare l'installazione della patch nel computer, aprire Internet Explorer, scegliere Informazioni su Internet Explorer dal menu ? e quindi verificare che nel campo Versioni aggiornamento sia indicato Q330994.
•	Per controllare i singoli file, vedere il manifest pubblicato nell'articolo della Knowledge Base 330994.

Avvertenze:

Nessuna

Localizzazione:

Le versioni localizzate di questa patch sono disponibili nelle posizioni indicate nella sezione "Disponibilità della patch".

Download di altre patch di protezione:

Sono disponibili patch per altri problemi di protezione nei seguenti siti:

•	Le patch di protezione sono disponibili nel Microsoft Download Center ed è possibile individuarle in modo semplice eseguendo una ricerca con la parola chiave "security_patch".
•	Le patch per i sistemi consumer sono disponibili nel sito Web Windows Update.

Top of section