Bollettino Microsoft sulla sicurezza MS03-040
Esecuzione della patch cumulativa per Internet Explorer (828750)
Data di pubblicazione originale: 3 ottobre 2003
Riepilogo
Destinatari: utenti di Microsoft Internet Explorer
Effetti della vulnerabilità: esecuzione di codice non autorizzato.
Livello di gravità: critico
Raccomandazioni: è consigliabile applicare la patch immediatamente
Bollettino per gli utenti finali: una versione per gli utenti finali di questo bollettino è disponibile all'indirizzo:
http://www.microsoft.com/security/security_bulletins/ms03-040.asp
Software interessati:
| • | Internet Explorer 5.01 |
| • | Internet Explorer 5.5 |
| • | Internet Explorer 6.0 |
| • | Internet Explorer 6.0 per Windows Server 2003 |
Informazioni generali
Dettagli tecnici |
Descrizione tecnica:
Si tratta di una patch cumulativa che include le funzionalità di tutte le patch precedenti per Internet Explorer 5.01, 5.5 e 6.0 e consente di eliminare anche le seguenti vulnerabilità scoperte di recente:
| • | Una vulnerabilità dovuta al fatto che Internet Explorer non determina correttamente un tipo di oggetto restituito da un server Web in una finestra popup. Un hacker potrebbe sfruttare questa vulnerabilità per eseguire codice arbitrario sul sistema di un utente. Inducendo l'utente a visitare un sito Web opportunamente predisposto, è possibile sfruttare la vulnerabilità senza che sia necessario alcun altro intervento. Un utente malintenzionato potrebbe inoltre creare un messaggio di posta HTML predisposto in modo da consentire lo sfruttamento di questa vulnerabilità. |
| • | Una vulnerabilità dovuta al fatto che Internet Explorer non determina correttamente un tipo di oggetto restituito da un server Web durante l'associazione dati XML. Un hacker potrebbe sfruttare questa vulnerabilità per eseguire codice arbitrario sul sistema di un utente. Inducendo l'utente a visitare un sito Web opportunamente predisposto, è possibile sfruttare la vulnerabilità senza che sia necessario alcun altro intervento. Un utente malintenzionato potrebbe inoltre creare un messaggio di posta HTML predisposto in modo da consentire lo sfruttamento di questa vulnerabilità. |
È stata apportata una modifica al metodo con cui Internet Explorer gestisce i comportamenti DHTML nell'Area Siti con restrizioni di Internet Explorer. Sfruttando una particolare vulnerabilità (ad esempio una delle due descritte in precedenza) un utente malintenzionato potrebbe indurre Internet Explorer a eseguire codice di script nel contesto di protezione dell'Area Internet oppure escogitare un attacco basato sulla la capacità di accesso agli URL di Windows Media Player (WMP). Un utente malintenzionato potrebbe inoltre creare un messaggio di posta HTML predisposto in modo da consentire lo sfruttamento di questo comportamento.
Per sfruttare questi difetti, l'autore dell'attacco deve creare un messaggio di posta HTML opportunamente predisposto e inviarlo al destinatario oppure pubblicare un sito Web che contiene una pagina appositamente progettata, quindi indurre l'utente a visitare il sito.
Come le precedenti patch cumulative per Internet Explorer, rilasciate con i bollettini MS03-004, MS03-015, MS03-020, and MS03-032, anche questa patch cumulativa impedisce l'esecuzione del metodo window.showHelp( ) nei sistemi in cui non è stato applicato l'aggiornamento di HTML Help. Se si installa il controllo HTML Help aggiornato, illustrato nell'articolo 811630 della Knowledge Base, sarà possibile utilizzare la funzionalità HTML Help anche dopo l'applicazione della patch.
Oltre ad applicare la patch per la protezione, si consiglia di installare anche l'aggiornamento di Windows Media Player descritto nell'articolo 828026 della Knowledge Base, disponibile sia in Windows Update, sia nel Microsoft Download Center per tutte le versioni supportate di Windows Media Player. Sebbene non sia una patch per la protezione, questo aggiornamento modifica il comportamento della funzionalità di Windows Media Player che effettua l'accesso agli URL, proteggendo il sistema dagli attacchi basati sul comportamento DHTML. Nello specifico, impedisce a Windows Media Player di accedere da altre aree agli URL inclusi nell'area del computer locale.
Fattori attenuanti:
| • | Per impostazione predefinita, in Windows Server 2003 Internet Explorer viene eseguito in modalità Protezione avanzata di Internet Explorer. Questa configurazione predefinita di Internet Explorer impedisce di sfruttare automaticamente la vulnerabilità. Disattivando la configurazione Protezione avanzata di Internet Explorer, verranno eliminate le misure di sicurezza che bloccano lo sfruttamento della vulnerabilità. |
| • | Per un attacco dal Web è necessario pubblicare un sito Web contenente una pagina in grado di sfruttare la vulnerabilità, poiché l'autore non può in alcun modo obbligare gli utenti a visitare un sito Web dannoso, ma deve attirare le vittime, in genere inducendole a fare clic su un collegamento al proprio sito. |
| • | Sfruttando la vulnerabilità, l'autore dell'attacco può ottenere soltanto gli stessi privilegi dell'utente. Pertanto gli utenti con account configurati in modo da disporre solo di privilegi limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi amministrativi. |
Livello di gravità:
| Internet Explorer 5.01 SP3 | Internet Explorer 5.01 SP4 | Internet Explorer 5.5 SP2 | Internet Explorer 6.0 Gold | Internet Explorer 6.0 SP1 | Internet Explorer 6.0 per Windows Server 2003 | |
Vulnerabilità relativa al tag Object nella finestra popup | Critico | Critico | Critico | Critico | Critico | Moderato |
Vulnerabilità relativa al tag Object nell'associazione dati XML | Critico | Critico | Critico | Critico | Critico | Moderato |
Livello di gravità aggregato per tutte le vulnerabilità eliminate dalla patch | Critico | Critico | Critico | Critico | Critico | Moderato |
La classificazione della gravità di cui alla tabella precedente si basa sui tipi di sistema interessati dalla vulnerabilità, sui modelli di deployment più comuni e sui potenziali effetti del problema in tali ambienti.
Identificatore della vulnerabilità:
| • | Identificatore della vulnerabilità: CAN-2003-0838 |
| • | Vulnerabilità relativa al tag Object nell'associazione dati XML: CAN-2003-0809 |
Versioni verificate:
La presenza di queste vulnerabilità è stata verificata in Internet Explorer 5.01 Service Pack 3, Internet Explorer 5.01 Service Pack 4, Internet Explorer 5.5 Service pack 2, Internet Explorer 6.0 e Internet Explorer 6.0 Service Pack 1. Le versioni precedenti non sono più supportate e potrebbero essere o meno interessate dal problema.
Domande frequenti |
Quali vulnerabilità vengono eliminate da questa patch?
Si tratta di una patch cumulativa che include le funzionalità di tutte le patch precedenti per Internet Explorer, oltre a eliminare alcune vulnerabilità scoperte di recente:
| • | Due vulnerabilità che possono essere sfruttate da un hacker per eseguire codice arbitrario nel sistema dell'utente. |
La patch introduce altre modifiche relative alla protezione?
Sì. È stata apportata una modifica al metodo con cui Internet Explorer gestisce i comportamenti DHTML nell'Area Siti con restrizioni di Internet Explorer. Sfruttando una particolare vulnerabilità (ad esempio una delle due descritte in precedenza) un utente malintenzionato potrebbe indurre Internet Explorer a eseguire codice di script nel contesto di protezione dell'Area Internet oppure escogitare un attacco basato sulla capacità di accesso agli URL di Windows Media Player (WMP). Un utente malintenzionato potrebbe inoltre creare un messaggio di posta HTML predisposto in modo da consentire lo sfruttamento di questo comportamento.
Che cosa sono i comportamenti DHTML?
I comportamenti DHTML sono componenti che aggiungono speciali funzionalità alle pagine HTML standard. Ad esempio, è possibile utilizzare i comportamenti DHTML con un tag HTML di elenco non ordinato (<ul>), in modo che sia possibile espandere e comprimere l'elenco facendo clic su un elemento. Per ulteriori informazioni sui comportamenti DHTML, fare clic qui.
Oltre ad applicare la patch, è necessario eseguire altre operazioni per assicurare la protezione del computer?
Sì. Oltre ad applicare la patch per la protezione, si consiglia di installare anche l'aggiornamento di Windows Media Player descritto nell'articolo 828026 della Knowledge Base, disponibile sia in Windows Update, sia nel Microsoft Download Center per tutte le versioni supportate di Windows Media Player. Sebbene non sia una patch per la protezione, questo aggiornamento modifica il comportamento della funzionalità di Windows Media Player che effettua l'accesso agli URL, proteggendo il sistema dagli attacchi basati sul comportamento DHTML. Nello specifico, impedisce a Windows Media Player di accedere da altre aree agli URL inclusi nell'area del computer locale.
Se si utilizza Internet Explorer in Windows Server 2003, il problema ha una portata più limitata?
Sì. Per impostazione predefinita, in Windows Server 2003 Internet Explorer viene eseguito in una modalità limitata denominata Protezione avanzata di Internet Explorer.
Che cos'è la configurazione Protezione avanzata di Internet Explorer?
La configurazione Protezione avanzata di Internet Explorer è costituita da un gruppo di impostazioni di Internet Explorer preconfigurate che riduce la probabilità che un utente o un amministratore scarichi ed esegua contenuto Web dannoso in un server. Questa configurazione riduce l'esposizione all'attacco modificando numerose impostazioni relative alla protezione, quali le impostazioni delle schede Protezione e Avanzate della finestra Opzioni Internet. Le modifiche principali includono:
| • | Il livello di protezione per l'area Internet viene impostato su Alto. Questa impostazione disattiva script, controlli ActiveX, Microsoft Virtual Machine (Microsoft VM), contenuto HTML e download di file. |
| • | Il rilevamento automatico dei siti Intranet viene disattivato. Questa impostazione assegna all'area Internet tutti i siti Web Intranet e tutti i percorsi UNC (Universal Naming Convention) non esplicitamente elencati nell'area Intranet locale. |
| • | L'installazione su richiesta e le estensioni non Microsoft per il browser vengono disattivate. Questa impostazione impedisce alle pagine Web di installare componenti automaticamente e blocca l'esecuzione delle estensioni non Microsoft. |
| • | Il contenuto multimediale viene disabilitato. Questa impostazione impedisce la riproduzione di musica, animazioni e clip video. |
Disattivando la configurazione Protezione avanzata di Internet Explorer, verranno eliminate le misure di sicurezza che bloccano lo sfruttamento della vulnerabilità. Per ulteriori informazioni sulla Protezione avanzata di Internet Explorer, leggere il documento Managing Internet Explorer Enhanced Security Configuration, disponibile all'indirizzo: http://www.microsoft.com/downloads/details.aspx?FamilyID=d41b036c-e2e1-4960-99bb-9757f7e9e31b&DisplayLang=en
Esistono configurazioni di Windows Server 2003 in cui è probabile che la modalità Protezione avanzata di Internet Explorer sia disattivata?
Sì. In caso di deployment di Windows Server 2003 come server terminal è probabile che la modalità Protezione avanzata di Internet Explorer venga disattivata per consentire agli utenti di utilizzare Internet Explorer senza limitazioni.
CAN-2003-0838: Vulnerabilità relativa al tag Object nella finestra popup
Qual è la portata o l'impatto di questa vulnerabilità?
Un difetto nelle modalità con cui Internet Explorer gestisce una specifica richiesta HTTP può consentire l'esecuzione di codice arbitrario nel contesto dell'utente connesso, nel caso in cui quest'ultimo visiti un sito controllato dall'autore dell'attacco.
Quali sono le cause di questa vulnerabilità?
La vulnerabilità è dovuta al fatto che Internet Explorer non controlla correttamente una risposta HTTP opportunamente predisposta che può essere ricevuta durante la gestione di un tag Object in una finestra di Internet Explorer creata da un comando di script Window.CreatePopup.
Qual è il problema nelle modalità di gestione del tag Object da parte di Internet Explorer?
È presente un difetto nel modo in cui Internet Explorer determina un tipo di oggetto, poiché l'applicazione non controlla in modo corretto i parametri di una risposta HTTP. La risposta può fare riferimento a un particolare tipo di file che causa la generazione dello script e quindi l'esecuzione dell'oggetto. Questo può consentire a un hacker di eseguire codice arbitrario nel computer dell'utente.
quali attacchi viene esposto il sistema a causa di questa vulnerabilità?
Sfruttando la vulnerabilità è possibile provocare l'esecuzione di codice arbitrario in Internet Explorer. L'autore dell'attacco può pertanto eseguire qualsiasi azione nel sistema dell'utente, nel contesto di protezione dell'utente connesso.
In quale modo un hacker può sfruttare questa vulnerabilità?
Un hacker può tentare di sfruttare questa vulnerabilità gestendo una pagina Web appositamente predisposta. Quando l'utente visita tale pagina Web, in Internet Explorer può verificarsi un errore che consente l'esecuzione di codice arbitrario nel contesto dell'utente. In alternativa, l'autore dell'attacco può creare un messaggio di posta HTML predisposto in modo da consentire lo sfruttamento della vulnerabilità.
Quali sono gli scopi della patch?
La patch risolve le vulnerabilità assicurando l'esecuzione dei controlli appropriati da parte di Internet Explorer alla ricezione di una risposta HTTP.
CAN-2003-0809: Vulnerabilità relativa al tag Object nell'associazione dati XML
Qual è la portata o l'impatto di questa vulnerabilità?
Un difetto nelle modalità con cui Internet Explorer gestisce una specifica richiesta HTTP può consentire l'esecuzione di codice arbitrario nel contesto dell'utente connesso, nel caso in cui quest'ultimo visiti un sito controllato dall'autore dell'attacco.
Quali sono le cause di questa vulnerabilità?
La vulnerabilità è dovuta al fatto che Internet Explorer non controlla correttamente una risposta HTTP opportunamente predisposta che può essere ricevuta durante la gestione di un tag Object in una finestra di Internet Explorer che utilizza l'associazione dati XML.
Che cos'è l'associazione dati XML?
L'associazione dati XML è un metodo che consente di associare i dati HTML di una pagina Web a un set di dati XML, ad esempio per aggiornare automaticamente i dati di una tabella HTML in caso di modifica del set di dati XML. Per ulteriori informazioni sull'associazione dati XML, fare clic qui.
Qual è il problema nelle modalità di gestione del tag Object da parte di Internet Explorer, nel caso dell'associazione dati XML?
È presente un difetto nel modo in cui Internet Explorer determina un tipo di oggetto, poiché l'applicazione non controlla in modo corretto i parametri di una risposta HTTP. La risposta può fare riferimento a un particolare tipo di file che causa la generazione dello script e quindi l'esecuzione dell'oggetto. Questo consente a un hacker di eseguire codice arbitrario nel computer dell'utente.
A quali attacchi viene esposto il sistema a causa di questa vulnerabilità?
Sfruttando la vulnerabilità è possibile provocare l'esecuzione di codice arbitrario in Internet Explorer. L'autore dell'attacco può pertanto eseguire qualsiasi azione nel sistema dell'utente, nel contesto di protezione dell'utente connesso.
In quale modo un hacker può sfruttare questa vulnerabilità?
Un hacker può tentare di sfruttare questa vulnerabilità gestendo una pagina Web appositamente predisposta. Quando l'utente visita tale pagina Web, in Internet Explorer può verificarsi un errore che consente l'esecuzione di codice arbitrario nel contesto dell'utente. In alternativa, l'autore dell'attacco può creare un messaggio di posta HTML predisposto in modo da consentire lo sfruttamento della vulnerabilità.
Quali sono gli scopi della patch?
La patch risolve le vulnerabilità assicurando l'esecuzione dei controlli appropriati da parte di Internet Explorer alla ricezione di una risposta HTTP.
Soluzioni alternative
Esistono soluzioni alternative che è possibile adottare per bloccare lo sfruttamento della vulnerabilità durante il testing della patch?
Sì. Tali soluzioni devono essere tuttavia considerate contromisure temporanee, in quanto sono intese semplicemente a impedire gli attacchi piuttosto che a risolvere la vulnerabilità sottostante. Microsoft raccomanda di installare la patch il più presto possibile.
Di seguito sono riportate le informazioni necessarie per aumentare la protezione dei computer da eventuali attacchi.
Visualizzazione di messaggi di conferma prima dell'esecuzione di controlli ActiveX nelle aree Internet e Intranet.
È possibile aumentare la protezione nei confronti di questa vulnerabilità modificando le impostazioni relative all'Area Internet in modo da visualizzare un messaggio di conferma prima dell'esecuzione di componenti ActiveX. A tale scopo, eseguire la procedura seguente:
| • | In Internet Explorer, scegliere Opzioni Internet dal menu Strumenti. |
| • | Fare clic sulla scheda Protezione. |
| • | Selezionare l'icona Internet, quindi fare clic sul pulsante Livello personalizzato. |
| • | Scorrere l'elenco visualizzato, fino alla sezione Controlli e plug-in ActiveX. |
| • | In Esegui controlli e plug-in ActiveX selezionare Chiedi conferma. |
| • | Fare clic su OK. |
| • | Selezionare l'icona Intranet locale, quindi fare clic sul pulsante Livello personalizzato. |
| • | Scorrere l'elenco visualizzato, fino alla sezione Controlli e plug-in ActiveX. |
| • | In Esegui controlli e plug-in ActiveX selezionare Chiedi conferma. |
| • | Fare clic su OK, quindi di nuovo su OK per tornare a Internet Explorer. |
Limitazione dei siti Web ai soli siti attendibili
Dopo l'impostazione della richiesta di conferma prima dell'esecuzione di plug-in e controlli ActiveX nelle aree Internet e Intranet, è possibile aggiungere i siti ritenuti attendibili all'elenco Siti attendibili di Internet Explorer. In questo modo è possibile continuare a utilizzare i siti attendibili, proteggendo al tempo stesso il sistema da quelli non attendibili. Si raccomanda di aggiungere all'elenco Siti attendibili solo i siti effettivamente ritenuti attendibili.
A tale scopo, eseguire la procedura seguente:
| • | In Internet Explorer, scegliere Opzioni Internet dal menu Strumenti. Selezionare la scheda Protezione. |
| • | Nella sezione Selezionare un'area di contenuto Web per specificare le relative impostazioni di protezione fare clic sull'icona Siti attendibili, quindi sul pulsante Siti. |
| • | Se si desidera aggiungere siti che non richiedono un canale crittografato, deselezionare la casella di controllo Richiedi verifica server (https:) per tutti i siti dell'area. |
| • | Digitare nella casella Aggiungi il sito Web all'area l'URL del sito desiderato, quindi fare clic sul pulsante Aggiungi. Ripetere la procedura per ogni sito da aggiungere all'area. |
| • | Fare due volte clic su OK per confermare le modifiche e tornare a Internet Explorer. È possibile aggiungere qualsiasi sito che si ritiene non eseguirà operazioni dannose sul computer. In particolare, si consiglia di aggiungere "*.windowsupdate.microsoft.com" (senza le virgolette), ossia il sito da cui scaricare la patch, che per l'installazione richiede l'utilizzo di un controllo ActiveX. |
Se si utilizza Outlook 2002 o Outlook Express 6.0 SP1 o versione successiva, per proteggere il computer dagli attacchi tramite posta HTML leggere i messaggi di posta elettronica in formato solo testo.
In Microsoft Outlook 2002 e Outlook Express 6.0 con Service Pack 1 o versione successiva, è possibile attivare una funzionalità che consente di visualizzare automaticamente in formato solo testo tutti i messaggi privi di firma digitale o non crittografati.
Tale impostazione non interessa i messaggi dotati di firma digitale o crittografati, che possono essere letti nei formati originali. Per informazioni sull'attivazione di tale impostazione in Outlook 2002, consultare il seguente articolo della Knowledge Base:
http://support.microsoft.com/default.aspx?scid=kb;en-us;307594
Per informazioni sull'attivazione di tale impostazione in Outlook Express 6.0, consultare il seguente articolo della Knowledge Base:
http://support.microsoft.com/?kbid=291387
La visualizzazione di una richiesta di conferma prima dell'esecuzione dei componenti ActiveX può avere effetti collaterali?
Sì. Numerosi siti Web su Internet utilizzano componenti ActiveX per offrire funzionalità aggiuntive. Un sito e-commerce o di online banking, ad esempio, può utilizzare controlli ActiveX per la visualizzazione dei menu, dei moduli d'ordine o delle situazioni dei conti correnti.
La richiesta di conferma prima dell'esecuzione dei controlli ActiveX è un'impostazione globale per tutti i siti Internet e Intranet. Se si utilizza questa soluzione alternativa, le richieste di conferma verranno visualizzate di frequente. A ogni richiesta di conferma, se si ritiene che il sito da visitare sia attendibile, fare clic su Sì per consentire l'esecuzione dei componenti ActiveX. Se non si desidera visualizzare la richiesta di conferma per tutti i siti da visitare, è possibile utilizzare la soluzione alternativa "Limitazione dei siti Web ai soli siti affidabili".
La limitazione dei siti attendibili può comportare effetti collaterali?
Sì. Nel caso in cui i controlli ActiveX siano necessari per la corretta visualizzazione, i siti non configurati come attendibili possono presentare problemi di funzionalità. Per consentire il download dei controlli ActiveX necessari per il corretto funzionamento di tali siti, è possibile aggiungerli all'Area Siti attendibili. Tuttavia, si raccomanda di aggiungere all'elenco Siti attendibili solo i siti effettivamente ritenuti attendibili.
La lettura dei messaggi di posta elettronica in formato solo testo può avere effetti collaterali?
Sì. I messaggi di posta elettronica visualizzati come testo normale non possono contenere immagini, font speciali, animazioni o altro contenuto avanzato. Inoltre:
| • | Le modifiche vengono apportate sia nel riquadro di anteprima, sia nei messaggi aperti. |
| • | Le immagini vengono convertite in allegati, per evitare che vadano perse. |
| • | Poiché nell'archivio il messaggio viene conservato in formato RTF o HTML, il modello di oggetti, utilizzato nelle soluzioni con codice personalizzato, può avere comportamenti imprevisti. |
Disponibilità della patch |
Posizioni per il download di questa patch
| • | Tutte le versioni, a eccezione di Microsoft Internet Explorer 6.0 per Windows Server 2003 |
| • |
Ulteriori informazioni sulla patch |
Piattaforma per l'installazione:
| • | Internet Explorer 5.01 eseguito in sistemi Windows 2000 con Service Pack 3 o Service Pack 4. |
| • | La patch per Internet Explorer 5.5 può essere installata nei sistemi con Internet Explorer 5.5 Service Pack 2. |
| • | La patch per Internet Explorer 6.0 può essere installata nei sistemi con Internet Explorer 6.0 Gold o Internet Explorer 6.0 Service Pack 1. |
Disponibilità nei service pack futuri:
La correzione di questi problemi verrà inclusa in Windows XP Service Pack 2 e Windows Server 2003 Service Pack 1.
Necessario riavvio: Sì. Dopo il riavvio, per accedere ai sistemi seguenti è necessario utilizzare un account di amministratore:
| • | Microsoft Windows 2000 o Microsoft Windows NT 4.0 con Internet Explorer 5.01. |
| • | Microsoft Windows 2000 con Internet Explorer 5.5. |
Possibilità di disinstallare la patch: si
Patch preesistenti: questa patch sostituisce quella indicata nel bollettino Microsoft sulla sicurezza MS03-032, anch'essa cumulativa.
Verifica dell'installazione della patch:
| • | Per verificare l'installazione della patch nel computer, aprire Internet Explorer, scegliere Informazioni su Internet Explorer dal menu ? e quindi verificare che nel campo Versioni aggiornamento sia indicato Q828750. Non è possibile utilizzare questo metodo in Windows Server 2003 o Windows XP 64-Bit Edition versione 2003, poiché il campo Versioni aggiornamento non viene aggiornato dal pacchetto per questi sistemi operativi. |
| • | Per controllare i singoli file, vedere il manifest pubblicato nell'articolo 828750 della Knowledge Base. |
Avvertenze:
Se il controllo HTML Help aggiornato, illustrato nell'articolo 811630 della Knowledge Base, non è installato, dopo l'applicazione della patch non sarà possibile utilizzare alcune delle funzionalità di HTML Help. Per ripristinare tali funzionalità, è necessario scaricare il controllo HTML Help aggiornato (811630). Se si installa l'ultima versione di HTML Help, l'apertura dei file della Guida con il metodo showHelp risentirà delle seguenti limitazioni:
| • | Per aprire una pagina Web o un file della Guida (CHM) con il metodo showHelp è possibile utilizzare solo i protocolli supportati. |
| • | Quando si apre un file della guida con showHelp, la funzione di collegamento supportata da HTML Help viene disabilitata. Il problema non si presenta invece se il file CHM viene aperto manualmente facendo doppio clic su di esso oppure mediante un'applicazione del sistema locale che utilizza l'API HTMLHELP( ). |
Localizazzione
Le versioni localizzate di questa patch sono disponibili nelle posizioni indicate nella sezione "Disponibilità della patch".
Download di altre patch di protezione:
Sono disponibili patch per altri problemi di protezione nei seguenti siti:
| • | Le patch di protezione sono disponibili nel Microsoft Download Center ed è possibile individuarle in modo semplice eseguendo una ricerca con la parola chiave "security_patch". |
| • | Le patch per i sistemi consumer sono disponibili nel sito WindowsUpdate. |
Ulteriori informazioni:
Supporto tecnico:
| • | Il problema è descritto in dettaglio nell'articolo 828750 della Microsoft Knowledge Base. Gli articoli della Microsoft Knowledge Base sono disponibili nel sito Web Microsoft Online Support. |
| • | Per usufruire dei servizi di supporto tecnico, visitare il sito Microsoft Product Support Services. Le chiamate al supporto tecnico relative alle patch di protezione sono gratuite. |
Fonti di informazioni sulla sicurezza: nella sezione dedicata alla sicurezza del sito Web Microsoft TechNet sono disponibili ulteriori informazioni sulla protezione e la sicurezza dei prodotti Microsoft.
Dichiarazione di non responsabilità:
Le informazioni disponibili nella Microsoft Knowledge Base sono fornite "come sono" senza garanzie di alcun tipo. Conseguentemente, Microsoft non rilascia alcuna garanzia, esplicita o implicita, inclusa la garanzia di commerciabilità e di idoneità per uno scopo specifico. Microsoft o i suoi fornitori non saranno, in alcun caso, responsabili per danni di qualsiasi tipo, inclusi i danni diretti, indiretti, incidentali, consequenziali, la perdita di profitti, e i danni punitivi o speciali, anche se Microsoft o i suoi fornitori siano stati informati della possibilità del verificarsi di tali danni. Alcuni stati non consentono l'esclusione o la limitazione di responsabilità per danni diretti o indiretti e, dunque, la sopracitata limitazione potrebbe non essere applicabile.
Versioni:
| • | V1.0 (3 ottobre 2003): creazione del bollettino. |