Bollettino Microsoft sulla sicurezza MS05-035

Non aprire o salvare file di Microsoft Word ricevuti da fonti non attendibili.
Questa vulnerabilità può essere sfruttata quando un utente apre un file.

Qual è la portata o l'impatto di questa vulnerabilità?
Si tratta di una vulnerabilità legata all'esecuzione di codice in modalità remota. Se un utente è connesso con privilegi di amministrazione, un utente malintenzionato che sfrutti questa vulnerabilità può assumere il controllo completo del sistema interessato, riuscendo quindi a installare programmi e visualizzare, modificare o eliminare dati oppure creare nuovi account con diritti utente completi. Pertanto, gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione. Per poter sfruttare questa vulnerabilità è tuttavia necessaria l'interazione dell'utente.

Quali sono le cause di questa vulnerabilità?
Un buffer non controllato nel processo utilizzato dal software interessato per elaborare i caratteri.

A quali attacchi viene esposto il sistema a causa di questa vulnerabilità?
Sfruttando questa vulnerabilità, un utente malintenzionato può ottenere gli stessi diritti utente dell'utente locale. Pertanto, gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.

Quali capacità sono necessarie per sfruttare questa vulnerabilità?
Qualsiasi utente in grado di indurre qualcuno ad aprire un documento creato appositamente potrebbe tentare di sfruttare tali vulnerabilità.

In quale modo un utente malintenzionato può sfruttare questa vulnerabilità?
Un utente malintenzionato può tentare di sfruttare la vulnerabilità inviando un documento appositamente predisposto e inducendo l'utente ad aprirlo. Se l'utente apre il file, nel software interessato può verificarsi un errore che consente l'esecuzione di codice non autorizzato.

È possibile sfruttare la vulnerabilità automaticamente attraverso un messaggio di posta elettronica?
No. Per sfruttare la vulnerabilità, è necessario che un utente apra un documento appositamente predisposto dall'utente malintenzionato. La visualizzazione di un messaggio di posta elettronica non consente di sfruttare la vulnerabilità, anche se Microsoft Word è stato impostato come editor di posta elettronica predefinito per Microsoft Outlook.

Quali sono gli scopi dell'aggiornamento?
L'aggiornamento elimina la vulnerabilità modificando il modo in cui il software interessato convalida la lunghezza di un messaggio prima di passarlo al buffer allocato.

Quali sono i sistemi principalmente interessati da questa vulnerabilità?
I sistemi più esposti sono le workstation e i server terminal. I server sono a rischio solo se agli utenti privi di credenziali amministrative sufficienti è consentito di accedere ai server e di eseguire programmi. Tuttavia, le procedure consigliate scoraggiano fortemente questa attribuzione di privilegi.

Al momento del rilascio di questo bollettino le informazioni sulla vulnerabilità erano disponibili pubblicamente?
No. Microsoft ha ricevuto informazioni sulla vulnerabilità da fonti private. Secondo le informazioni in possesso di Microsoft, al momento della pubblicazione del presente bollettino, l'esistenza di questa vulnerabilità non era stata ancora divulgata pubblicamente.

Importante: Prima di installare l'aggiornamento, assicurarsi che siano soddisfatti i requisiti seguenti:

Per ulteriori informazioni su come determinare la versione di Office installata nel computer in uso, vedere l'articolo della Microsoft Knowledge Base 255275.

Disponibilità nei service pack futuri:

La correzione per il problema illustrato potrebbe essere inclusa in un service pack futuro.

Necessità di riavvio

Per ridurre le probabilità di dover effettuare un riavvio, interrompere tutti i servizi interessati e chiudere tutte le applicazioni che potrebbero utilizzare i file interessati prima di installare l'aggiornamento per la protezione. Per ulteriori informazioni sui motivi della richiesta di riavvio del sistema, vedere l'articolo della Microsoft Knowledge Base 887012.

Informazioni per la rimozione

Dopo avere installato l'aggiornamento, non sarà possibile rimuoverlo. Per ripristinare un'installazione presente prima dell'installazione dell'aggiornamento, rimuovere l'applicazione e quindi reinstallarla dal CD originale.

Sito Web Office Update

Per l'installazione degli aggiornamenti client di Microsoft Office 2000 si consiglia di utilizzare il sito Web Office Update. Tramite tale sito Web viene rilevata l'installazione di Office presente nel computer in uso e viene visualizzato un messaggio che indica che cosa è necessario installare affinché la versione di Office in uso sia completamente aggiornata.

Per avviare il rilevamento degli aggiornamenti necessari per il computer in uso, visitare il sito Web Office Update e fare clic su Esegui rilevamento automatico aggiornamenti. Al termine dell'operazione di rilevamento, verrà visualizzato un elenco degli aggiornamenti consigliati affinché venga approvato. Scegliere Accetto, avvia installazione per completare il processo.

L'installazione manuale di questo aggiornamento è descritta in dettaglio nella sezione successiva.

Informazioni per l'installazione

Questo aggiornamento per la protezione supporta le seguenti opzioni del programma di installazione:

Nota Queste opzioni non funzionano necessariamente con tutti gli aggiornamenti. Se un'opzione non è disponibile, la funzionalità è necessaria per installare l'aggiornamento in modo corretto. Inoltre, l'utilizzo dell'opzione /n:v non è supportato e può determinare l'impossibilità di riavviare il sistema. Se l'installazione non viene eseguita, contattare il supporto tecnico per informazioni sul problema.

Per ulteriori informazioni sulle opzioni del programma di installazione supportate, vedere l'articolo della Microsoft Knowledge Base 197147.

Informazioni per la distribuzione delle versioni client

Nota Se l'aggiornamento per la protezione è già installato nel computer, verrà visualizzato il seguente messaggio di errore: L'aggiornamento è già stato installato oppure fa parte di un aggiornamento già installato.

Informazioni sui file necessari per l'installazione della versione client

I file della versione inglese di questo aggiornamento per la protezione presentano gli attributi riportati nella tabella che segue. Le date e le ore dei file indicati nella tabella sono espressi utilizzando l'ora UTC (Coordinated Universal Time). Al momento della visualizzazione, tali informazioni verranno convertite nella data e nell'ora locali. Per informazioni sulle differenze fra l'ora UTC e l'ora locale, utilizzare la scheda Fuso orario dello strumento Data e ora del Pannello di controllo.

Word 2000:

Verifica dell'applicazione dell'aggiornamento

Se l'applicazione è stata installata da una postazione server, l'amministratore del server dovrà installare l'aggiornamento amministrativo nel server e quindi distribuirlo al computer in uso.

Informazioni per l'installazione

Le seguenti opzioni del programma di installazione sono importanti per le installazioni amministrative perché consentono all'amministratore di personalizzare il modo in cui i file vengono estratti dall'aggiornamento per la protezione.

Per ulteriori informazioni sulle opzioni del programma di installazione supportate, vedere l'articolo della Microsoft Knowledge Base 197147.

Informazioni per la distribuzione della versione amministrativa

Per aggiornare un'installazione amministrativa esistente, attenersi alla procedura che segue:

[percorso\nome del file EXE] /c /t:C:\AdminUpdate

Nota  Facendo doppio clic sul file con estensione exe, il file con estensione msp non viene estratto, ma viene applicato l'aggiornamento al computer locale. Per aggiornare un'immagine amministrativa è necessario estrarre dapprima il file con estensione msp.

msiexec /a Percorso amm\File MSI /p C:\adminUpdate\File MSP SHORTFILENAMES=TRUE

dove Percorso amm rappresenta il percorso dell'installazione amministrativa dell'applicazione (ad esempio C:\Office2000), File MSI rappresenta il pacchetto database con estensione msi per l'applicazione (ad esempio Data1.msi) e File MSP rappresenta il nome dell'aggiornamento amministrativo (ad esempio SHAREDff.msp).

Nota È possibile aggiungere alla riga di comando l'opzione /qb+ se non si desidera visualizzare le finestre di dialogo Installazione amministrativa e Contratto di licenza con l'utente finale.

L'installazione amministrativa è stata aggiornata. Sarà quindi necessario aggiornare le workstation le cui applicazioni erano state installate in origine da questa installazione amministrativa. Per effettuare questa operazione, consultare la sezione Informazioni per la distribuzione nelle workstation. Tutte le nuove versioni che saranno installate d'ora in poi da questa installazione amministrativa includeranno l'aggiornamento.

Avviso Tutte le workstation le cui applicazioni erano state installate in origine da questa installazione amministrativa prima dell'installazione dell'aggiornamento non potranno utilizzare l'installazione amministrativa per attività quali riparazione di Office e aggiunta di nuove funzionalità fino a quando non saranno eseguite le operazioni descritte nella sezione Informazioni per la distribuzione nelle workstation.

Informazioni per la distribuzione nelle workstation

Per distribuire l'aggiornamento nelle workstation client, fare clic su Start, quindi scegliere Esegui. Digitare il comando seguente nella casella Apri:

msiexec /i Percorso amm\File MSI /qb REINSTALL=Elenco funzionalità REINSTALLMODE=vomu

dove Percorso amm rappresenta il percorso dell'installazione amministrativa dell'applicazione (ad esempio C:\Office2000), File MSI rappresenta il pacchetto database con estensione msi per l'applicazione (ad esempio Data1.msi) ed Elenco funzionalità rappresenta l'elenco di nomi, per il quale è attiva la distinzione tra maiuscole e minuscole, delle funzionalità da reinstallare per l'aggiornamento. Per installare tutte le funzionalità, utilizzare il comando REINSTALL=ALL oppure installare le funzionalità seguenti:

Nota Gli amministratori responsabili degli ambienti gestiti possono trovare tutte le risorse necessarie per la distribuzione degli aggiornamenti di Office all'interno di un'organizzazione nel sito Web Office Admin Update Center. Nella home page di questo sito Web consultare la sezione Update Strategies relativa alla versione del software che si sta aggiornando. La documentazione di Windows Installer fornisce ulteriori informazioni sui parametri supportati da Windows Installer.

Informazioni sui file necessari per l'installazione amministrativa

I file della versione inglese di questo aggiornamento per la protezione presentano gli attributi riportati nella tabella che segue. Le date e le ore dei file indicati nella tabella sono espressi utilizzando l'ora UTC (Coordinated Universal Time). Al momento della visualizzazione, tali informazioni verranno convertite nella data e nell'ora locali. Per informazioni sulle differenze fra l'ora UTC e l'ora locale, utilizzare la scheda Fuso orario dello strumento Data e ora del Pannello di controllo.

Office 2000:

Verifica dell'applicazione dell'aggiornamento

Importante: Prima di installare l'aggiornamento, assicurarsi che siano soddisfatti i requisiti seguenti:

Per ulteriori informazioni sulla procedura per determinare la versione di Office XP installata nel computer in uso, vedere l'articolo della Microsoft Knowledge Base 291331.

Disponibilità nei service pack futuri:

La correzione per il problema illustrato verrà inclusa in un service pack futuro.

Necessità di riavvio

Per ridurre le probabilità di dover effettuare un riavvio, interrompere tutti i servizi interessati e chiudere tutte le applicazioni che potrebbero utilizzare i file interessati prima di installare l'aggiornamento per la protezione. Per ulteriori informazioni sui motivi della richiesta di riavvio del sistema, vedere l'articolo della Microsoft Knowledge Base 887012.

Informazioni per la rimozione

Per rimuovere questo aggiornamento per la protezione, utilizzare lo strumento Installazione applicazioni del Pannello di controllo.

Nota La disinstallazione dell'aggiornamento potrebbe non essere disponibile da Installazione applicazioni nel Pannello di controllo. Esistono diverse possibili cause per questo problema.

Per ulteriori informazioni sulla rimozione, vedere l'articolo della Microsoft Knowledge Base 903771

Sito Web Microsoft Update

Questo aggiornamento sarà disponibile mediante Microsoft Update solo per Word 2002. Microsoft Update consolida gli aggiornamenti forniti da Windows Update e Office Update in un'unica posizione e consente di scegliere l'invio e l'installazione automatici degli aggiornamenti ad alta priorità. Per l'installazione degli aggiornamenti client di Microsoft Office XP, si consiglia di utilizzare il sito Web Microsoft Update. Tale sito Web rileva automaticamente l'installazione presente nel computer in uso e visualizza un messaggio che indica esattamente quali componenti è necessario avere per assicurarsi che l'installazione esistente sia aggiornata.

Per avviare il rilevamento degli aggiornamenti necessari per il computer in uso, visitare il sito Web Microsoft Update. È possibile scegliere tra le opzioni Rapido (scelta consigliata) o Personalizzato. Al termine dell'operazione di rilevamento, verrà visualizzato un elenco degli aggiornamenti consigliati affinché venga approvato. Fare clic su Installa aggiornamenti o Verifica e installa aggiornamenti per completare il processo.

L'installazione manuale di questo aggiornamento è descritta in dettaglio nella sezione successiva.

Informazioni per l'installazione

Questo aggiornamento per la protezione supporta le seguenti opzioni del programma di installazione:

Nota Queste opzioni non funzionano necessariamente con tutti gli aggiornamenti. Se un'opzione non è disponibile, la funzionalità è necessaria per installare l'aggiornamento in modo corretto. Inoltre, l'utilizzo dell'opzione /n:v non è supportato e può determinare l'impossibilità di riavviare il sistema. Se l'installazione non viene eseguita, contattare il supporto tecnico per informazioni sul problema.

Per ulteriori informazioni sulle opzioni del programma di installazione supportate, vedere l'articolo della Microsoft Knowledge Base 197147.

Informazioni per la distribuzione delle versioni client

Nota Se l'aggiornamento per la protezione è già installato nel computer, verrà visualizzato il seguente messaggio di errore: L'aggiornamento è già stato installato oppure fa parte di un aggiornamento già installato.

Informazioni sui file necessari per l'installazione della versione client

I file della versione inglese di questo aggiornamento per la protezione presentano gli attributi riportati nella tabella che segue. Le date e le ore dei file indicati nella tabella sono espressi utilizzando l'ora UTC (Coordinated Universal Time). Al momento della visualizzazione, tali informazioni verranno convertite nella data e nell'ora locali. Per informazioni sulle differenze fra l'ora UTC e l'ora locale, utilizzare la scheda Fuso orario dello strumento Data e ora del Pannello di controllo.

Word 2002:

Verifica dell'applicazione dell'aggiornamento

Se l'applicazione è stata installata da una postazione server, l'amministratore del server dovrà installare l'aggiornamento amministrativo nel server e quindi distribuirlo al computer in uso.

Informazioni per l'installazione

Le seguenti opzioni del programma di installazione sono importanti per le installazioni amministrative perché consentono all'amministratore di personalizzare il modo in cui i file vengono estratti dall'aggiornamento per la protezione.

Per ulteriori informazioni sulle opzioni del programma di installazione supportate, vedere l'articolo della Microsoft Knowledge Base 197147.

Informazioni per la distribuzione della versione amministrativa

Per aggiornare un'installazione amministrativa esistente, attenersi alla procedura che segue:

[percorso\nome del file EXE] /c /t:C:\AdminUpdate

Nota  Facendo doppio clic sul file con estensione exe, il file con estensione msp non viene estratto, ma viene applicato l'aggiornamento al computer locale. Per aggiornare un'immagine amministrativa è necessario estrarre dapprima il file con estensione msp.

msiexec /a Percorso amm\File MSI /p C:\adminUpdate\File MSP SHORTFILENAMES=TRUE

dove Percorso amm rappresenta il percorso dell'installazione amministrativa dell'applicazione (ad esempio C:\Office2003), File MSI rappresenta il pacchetto database con estensione msi per l'applicazione (ad esempio Data1.msi) e File MSP rappresenta il nome dell'aggiornamento amministrativo (ad esempio SHAREDff.msp).

Nota È possibile aggiungere alla riga di comando l'opzione /qb+ se non si desidera visualizzare le finestre di dialogo Installazione amministrativa e Contratto di licenza con l'utente finale.

L'installazione amministrativa è stata aggiornata. Sarà quindi necessario aggiornare le workstation le cui applicazioni erano state installate in origine da questa installazione amministrativa. Per effettuare questa operazione, consultare la sezione Informazioni per la distribuzione nelle workstation. Tutte le nuove versioni che saranno installate d'ora in poi da questa installazione amministrativa includeranno l'aggiornamento.

Avviso Tutte le workstation le cui applicazioni erano state installate in origine da questa installazione amministrativa prima dell'installazione dell'aggiornamento non potranno utilizzare l'installazione amministrativa per attività quali riparazione di Office e aggiunta di nuove funzionalità fino a quando non saranno eseguite le operazioni descritte nella sezione Informazioni per la distribuzione nelle workstation.

Informazioni per la distribuzione nelle workstation

Per distribuire l'aggiornamento nelle workstation client, fare clic su Start, quindi scegliere Esegui. Digitare il comando seguente nella casella Apri:

msiexec /i Percorso amm\File MSI /qb REINSTALL=Elenco funzionalità REINSTALLMODE=vomu

dove Percorso amm rappresenta il percorso dell'installazione amministrativa dell'applicazione (ad esempio C:\OfficeXP), File MSI rappresenta il pacchetto database con estensione msi per l'applicazione (ad esempio Data1.msi) ed Elenco funzionalità rappresenta l'elenco di nomi (per il quale è attiva la distinzione tra maiuscole e minuscole) delle funzionalità da reinstallare per l'aggiornamento. Per installare tutte le funzionalità, utilizzare il comando REINSTALL=ALL oppure installare le funzionalità seguenti:

Nota Gli amministratori responsabili degli ambienti gestiti possono trovare tutte le risorse necessarie per la distribuzione degli aggiornamenti di Office all'interno di un'organizzazione nel sito Web Office Admin Update Center. Nella home page di questo sito Web consultare la sezione Update Strategies relativa alla versione del software che si sta aggiornando. La documentazione di Windows Installer fornisce ulteriori informazioni sui parametri supportati da Windows Installer.

Informazioni sui file necessari per l'installazione amministrativa

I file della versione inglese di questo aggiornamento per la protezione presentano gli attributi riportati nella tabella che segue. Le date e le ore dei file indicati nella tabella sono espressi utilizzando l'ora UTC (Coordinated Universal Time). Al momento della visualizzazione, tali informazioni verranno convertite nella data e nell'ora locali. Per informazioni sulle differenze fra l'ora UTC e l'ora locale, utilizzare la scheda Fuso orario dello strumento Data e ora del Pannello di controllo.

Word 2002:

Verifica dell'applicazione dell'aggiornamento