TechNet Home > Sicurezza > Bollettini sulla sicurezza

Riepilogo dei bollettini Microsoft sulla sicurezza - Giugno 2005

Data di pubblicazione: 14 giugno 2005
Versione: 1.0

Una versione per gli utenti finali di questo documento è disponibile presso il seguente sito Web.

Protezione dei PC: per informazioni su come assicurare la protezione dei PC, visitare gli indirizzi seguenti:

•	Informazioni per gli utenti finali: visitare il sito Web Proteggi il tuo PC.
•	Informazioni per i professionisti IT: visitare il sito Web Security Guidance Center.

Strategie per la gestione degli aggiornamenti: per ulteriori informazioni sulle procedure consigliate da Microsoft per l'applicazione degli aggiornamenti per la protezione, consultare la Guida Microsoft alla gestione delle patch di sicurezza.

IT Pro Security Zone Community: visitando il sito Web IT Pro Security Zone è possibile ottenere informazioni su come migliorare la protezione e ottimizzare l'infrastruttura IT utilizzata, nonché discutere con altri professionisti IT le varie problematiche relative alla sicurezza.

Servizio di notifica sulla sicurezza Microsoft: per ricevere automaticamente una notifica tramite posta elettronica ogni volta che viene rilasciato un bollettino Microsoft sulla sicurezza, è possibile abbonarsi al servizio di notifica sulla sicurezza Microsoft.

Riepilogo

Questo bollettino include gli aggiornamenti per alcune vulnerabilità scoperte di recente, elencate di seguito in ordine di gravità.

Critico (3)

Identificatore del bollettino	Bollettino Microsoft sulla sicurezza MS05-025
Titolo del bollettino	Aggiornamento cumulativo per la protezione di Internet Explorer (883939)
Riepilogo	In Internet Explorer esistono alcune vulnerabilità, la più severa delle quali può consentire a un utente malintenzionato di assumere il controllo completo di un sistema interessato.
Livello di gravità massimo	Critico
Effetti della vulnerabilità	Esecuzione di codice in modalità remota
Software interessato	Windows, Internet Explorer. Per ulteriori informazioni, vedere la sezione "Software interessato e posizioni per il download".

Identificatore del bollettino	Bollettino Microsoft sulla sicurezza MS05-026
Titolo del bollettino	Una vulnerabilità nella Guida HTML può consentire l'esecuzione di codice in modalità remota (896358)
Riepilogo	Nella Guida HTML esiste una vulnerabilità che può consentire a un utente malintenzionato di assumere il controllo completo di un sistema interessato.
Livello di gravità massimo	Critico
Effetti della vulnerabilità	Esecuzione di codice in modalità remota
Software interessato	Windows. Per ulteriori informazioni, vedere la sezione "Software interessato e posizioni per il download".

Identificatore del bollettino	Bollettino Microsoft sulla sicurezza MS05-027
Titolo del bollettino	Una vulnerabilità in SMB (Server Message Block) può consentire l'esecuzione di codice in modalità remota (896422)
Riepilogo	In Windows esiste una vulnerabilità che può consentire a un utente malintenzionato di assumere il controllo completo di un sistema interessato. Per sfruttare la vulnerabilità è necessario che l'utente malintenzionato sia autenticato.
Livello di gravità massimo	Critico
Effetti della vulnerabilità	Esecuzione di codice in modalità remota
Software interessato	Windows. Per ulteriori informazioni, vedere la sezione "Software interessato e posizioni per il download".

Top of section

Importante (4)

Identificatore del bollettino	Bollettino Microsoft sulla sicurezza MS05-028
Titolo del bollettino	Una vulnerabilità nel servizio Web Client può consentire l'esecuzione di codice in remoto(896426)
Riepilogo	Nel servizio Web Client di Windows esiste una vulnerabilità che può consentire a un utente malintenzionato di assumere il controllo completo di un sistema interessato. Per sfruttare la vulnerabilità, è necessario disporre di credenziali di accesso valide ed essere in grado di accedere al sistema in locale.
Livello di gravità massimo	Importante
Effetti della vulnerabilità	Esecuzione di codice in remoto nel sistema locale
Software interessato	Windows. Per ulteriori informazioni, vedere la sezione "Software interessato e posizioni per il download".

Identificatore del bollettino	Bollettino Microsoft sulla sicurezza MS05-029
Titolo del bollettino	Una vulnerabilità in Outlook Web Access per Exchange Server 5.5 può consentire attacchi di Cross-Site Scripting (895179)
Riepilogo	In Outlook Web Access per Microsoft Exchange esiste una vulnerabilità di Cross-Site Scripting che potrebbe essere sfruttata da un utente malintenzionato per indurre un utente a eseguire uno script dannoso in Outlook Web Access.
Livello di gravità massimo	Importante
Effetti della vulnerabilità	Esecuzione di codice in modalità remota
Software interessato	Exchange. Per ulteriori informazioni, vedere la sezione "Software interessato e posizioni per il download".

Identificatore del bollettino	Bollettino Microsoft sulla sicurezza MS05-030
Titolo del bollettino	Aggiornamento cumulativo per la protezione di Outlook Express (897715)
Riepilogo	In Outlook Express esiste una vulnerabilità che può consentire a un utente malintenzionato di assumere il controllo completo di un sistema interessato. Per sfruttare la vulnerabilità è necessaria l'interazione dell'utente; inoltre l'autore dell'attacco dovrebbe riuscire a indurre l'utente a connettersi a un server delle news (NTTP) appositamente predisposto.
Livello di gravità massimo	Importante
Effetti della vulnerabilità	Esecuzione di codice in modalità remota
Software interessato	Windows. Per ulteriori informazioni, vedere la sezione "Software interessato e posizioni per il download".

Identificatore del bollettino	Bollettino Microsoft sulla sicurezza MS05-031
Titolo del bollettino	Una vulnerabilità in Interactive Training per Microsoft Windows può consentire l'esecuzione di codice in modalità remota (898458)
Riepilogo	In Windows esiste una vulnerabilità che può consentire a un utente malintenzionato di assumere il controllo completo di un sistema interessato. Interactive Training per Microsoft Windows non viene installato per impostazione predefinita.
Livello di gravità massimo	Importante
Effetti della vulnerabilità	Esecuzione di codice in modalità remota
Software interessato	Windows, Interactive Training. Per ulteriori informazioni, vedere la sezione "Software interessato e posizioni per il download".

Top of section

Moderato (3)

Identificatore del bollettino	Bollettino Microsoft sulla sicurezza MS05-032
Titolo del bollettino	Una vulnerabilità in Microsoft Agent può consentire attacchi di spoofing (890046)
Riepilogo	In Microsoft Agent esiste una vulnerabilità che può consentire a un utente malintenzionato di eseguire lo spoofing di contenuti Internet attendibili. Per sfruttare questa vulnerabilità, un utente malintenzionato dovrebbe in primo luogo riuscire a convincere l'utente a visitare un sito dannoso.
Livello di gravità massimo	Moderato
Effetti della vulnerabilità	Spoofing
Software interessato	Windows. Per ulteriori informazioni, vedere la sezione "Software interessato e posizioni per il download".

Identificatore del bollettino	Bollettino Microsoft sulla sicurezza MS05-033
Titolo del bollettino	Una vulnerabilità nel client Telnet può consentire l'intercettazione di informazioni personali (896428)
Riepilogo	Nel client Telnet di Windows esiste una vulnerabilità che potrebbe consentire a un utente malintenzionato di recuperare informazioni imprevedibili da un sistema interessato. Per sfruttare la vulnerabilità è necessaria l'interazione dell'utente; inoltre l'autore dell'attacco dovrebbe riuscire a indurre l'utente a connettersi a un server Telnet appositamente predisposto.
Livello di gravità massimo	Moderato
Effetti della vulnerabilità	accesso a informazioni personali
Software interessato	Windows Services for Unix. Per ulteriori informazioni, vedere la sezione "Software interessato e posizioni per il download".

Identificatore del bollettino	Bollettino Microsoft sulla sicurezza MS05-034
Titolo del bollettino	Aggiornamento cumulativo per la sicurezza in ISA Server 2000 (899753)
Riepilogo	In Microsoft ISA Server 2000 sono presenti alcune vulnerabilità che possono consentire a un utente malintenzionato di aggirare la funzionalità di filtraggio pacchetti e recuperare informazioni imprevedibili dalla cache di un ISA Server o da un sistema dietro al server ISA.
Livello di gravità massimo	Moderato
Effetti della vulnerabilità	Acquisizione di privilegi più elevati
Software interessato	ISA Server. Per ulteriori informazioni, vedere la sezione "Software interessato e posizioni per il download".

Top of section

Software interessato e posizioni per il download

Come utilizzare questa tabella

È possibile utilizzare questa tabella per individuare gli aggiornamenti per la protezione che è necessario installare. Esaminare tutti i programmi e i componenti elencati per verificare se è necessario applicare i relativi aggiornamenti per la protezione. Per ogni programma o componente elencato sono riportati l'effetto della vulnerabilità e un collegamento al relativo aggiornamento.

Un numero tra parentesi quadre [x] indica che è presente una nota che fornisce ulteriori informazioni sul problema. Tutte le note sono riportate sotto la tabella.

Software interessato e posizioni per il download dei bollettini da MS05-025 a MS05-029

	Dettagli	Dettagli	Dettagli	Dettagli	Dettagli
Identificatore del bollettino	MS05-025	MS05-026	MS05-027	MS05-028	MS05-029
Livello di gravità massimo	Critico	Critico	Critico	Importante	Importante
Software Windows interessato:
Windows Server 2003	[1]	Critico	Critico	Moderato
Windows Server 2003 Service Pack 1	[1]	Importante	Critico
Microsoft Windows Server 2003 per sistemi basati su Itanium	[1]	Critico	Critico	Moderato
Microsoft Windows Server 2003 con Service Pack 1 per sistemi basati su Itanium		Importante	Critico
Microsoft Windows Server 2003 x64 Edition	[1]	Importante	Critico
Windows XP Service Pack 1	[1]	Critico	Critico	Importante
Windows XP Service Pack 2	[1]	Critico	Critico
Microsoft Windows XP 64-Bit Edition Service Pack 1 (Itanium)	[1]	Critico	Critico	Importante
Microsoft Windows XP 64-Bit Edition versione 2003 (Itanium)	[1]	Critico	Critico	Importante
Microsoft Windows XP Professional x64 Edition	[1]	Critico	Critico
Windows 2000 Service Pack 3	[1]	Critico	Critico
Windows 2000 Service Pack 4	[1]	Critico	Critico
Windows Millennium Edition (Me)	[3]	[3]
Windows 98 Second Edition (SE)	[3]	[3]
Windows 98	[3]	[3]

Componenti di Windows interessati dalla vulnerabilità:
Internet Explorer 5.01 Service Pack 3 in Microsoft Windows 2000 Service Pack 3	Critico
Internet Explorer 5.01 Service Pack 4 in Microsoft Windows 2000 Service Pack 4	Critico
Internet Explorer 5.5 Service Pack 2 su Windows Millennium Edition (ME):	[3]
Internet Explorer 6 Service Pack 1 in Microsoft Windows 2000 Service Pack 3, in Microsoft Windows 2000 Service Pack 4 e Microsoft Windows XP Service Pack 1	Critico
Internet Explorer 6 Service Pack 1 in Microsoft Windows 98, in Microsoft Windows 98 SE e Microsoft Windows Millennium Edition	[3]
Internet Explorer 6 Service Pack 1 per Microsoft Windows XP 64-Bit Edition Service Pack 1 (Itanium)	Critico
Internet Explorer 6 per Windows XP Service Pack 2	Critico
Internet Explorer 6 per Windows Server 2003 e Windows Server 2003 Service Pack 1	Critico
Internet Explorer 6 per Microsoft Windows XP 64-Bit Edition versione 2003 (Itanium), Microsoft Windows Server 2003 per sistemi basati su Itanium e Microsoft Windows Server 2003 con SP1 per sistemi basati su Itanium	Critico
Internet Explorer 6 per Microsoft Windows Server 2003 x64 Edition e Microsoft Windows XP Professional x64 Edition:	Critico

Software Exchange interessato:
Exchange 5.5 Service Pack 4					Importante

Top of section

Software interessato e posizioni per il download dei bollettini da MS05-030 a MS05-034

	Dettagli	Dettagli	Dettagli	Dettagli	Dettagli
Identificatore del bollettino	MS05-030	MS05-031	MS05-032	MS05-033	MS05-034
Livello di gravità massimo	Importante	Importante	Moderato	Moderato	Moderato
Software Windows interessato:
Windows Server 2003	[1]	[1]	Basso
Windows Server 2003 Service Pack 1		[1]	Basso
Microsoft Windows Server 2003 per sistemi basati su Itanium	[1]	[1]	Basso
Microsoft Windows Server 2003 con Service Pack 1 per sistemi basati su Itanium		[1]	Basso
Microsoft Windows Server 2003 x64 Edition		[1]	Basso
Windows XP Service Pack 1	[1]	[1]	Moderato	Moderato
Windows XP Service Pack 2		[1]	Moderato	Moderato
Microsoft Windows XP 64-Bit Edition Service Pack 1 (Itanium)	[1]	[1]	Moderato	Moderato
Microsoft Windows XP 64-Bit Edition versione 2003 (Itanium)	[1]	[1]	Moderato	Moderato
Microsoft Windows XP Professional x64 Edition		[1]	Moderato	Moderato
Windows 2000 Service Pack 3		[1]	Moderato
Windows 2000 Service Pack 4	[1]	[1]	Moderato
Windows Millennium Edition (Me)	[2]	[2]	[2]
Windows 98 Second Edition (SE)	[2]	[2]	[2]
Windows 98	[2]	[2]	[2]

Componenti di Windows interessati dalla vulnerabilità:
Outlook Express 5.5 Service Pack 2 in Microsoft Windows 2000 Service Pack 3 e Microsoft Windows 2000 Service Pack 4	Importante
Outlook Express 6 Service Pack 1 in Microsoft Windows 2000 Service Pack 3, in Microsoft Windows 2000 Service Pack 4 e Microsoft Windows XP Service Pack 1	Importante
Outlook Express 6 Service Pack 1 per Microsoft Windows XP 64-Bit Edition Service Pack 1 (Itanium)	Importante
Outlook Express 6 per Windows Server 2003	Importante
Outlook Express 6 per Microsoft Windows XP 64-Bit Edition versione 2003 (Itanium)	Importante
Microsoft Windows Server 2003 per sistemi basati su Itanium	Importante
Step-by-Step Interactive Training		Importante
Step-by-Step Interactive Training in sistemi basati su Itanium		Importante
Step-by-Step Interactive Training in sistemi basati su x64		Importante

Altri prodotti Microsoft interessati:
Microsoft Windows Services for UNIX 2.2				Moderato
Microsoft Windows Services for UNIX 3.0				Moderato
Microsoft Windows Services for UNIX 3.5				Moderato
ISA Server 2000 Service Pack 2					Moderato

Top of section

[1] È disponibile un aggiornamento della protezione per questo sistema operativo. Per ulteriori dettagli, vedere il componente interessato dalla vulnerabilità, Microsoft Internet Explorer, Step-by-Step Interactive Training o Outlook Express nella tabella e il relativo bollettino sulla sicurezza.

[2] Questo sistema operativo è esposto alla vulnerabilità, ma non in modo critico. Gli aggiornamenti per la protezione relativi ai problemi non critici non sono in genere disponibili per questo sistema operativo. Per ulteriori informazioni sui criteri del ciclo di vita del supporto Microsoft per questo sistema operativo, visitare il seguente sito Web. Per ulteriori informazioni, vedere il relativo bollettino sulla sicurezza.

[3] Nell'ambito del presente bollettino sono disponibili aggiornamenti per la protezione critici per queste piattaforme che è possibile scaricare dal sito Web Windows Update.

Top of section

Deployment

Software Update Services:

Microsoft Software Update Services (SUS) consente agli amministratori di eseguire in modo rapido e affidabile il deployment dei più recenti aggiornamenti critici e per la protezione sia nei server basati su Windows 2000 e Windows Server 2003, sia nei computer desktop che eseguono Windows 2000 Professional o Windows XP Professional.

Per ulteriori informazioni su come eseguire il deployment di questo aggiornamento per la protezione con Software Update Services, visitare il sito Web Software Update Services.

Systems Management Server:

Microsoft Systems Management Server (SMS) offre una soluzione aziendale altamente configurabile per la gestione degli aggiornamenti. Tramite SMS gli amministratori possono identificare i sistemi Windows che richiedono gli aggiornamenti per la protezione ed eseguire il deployment controllato di tali aggiornamenti in tutta l'azienda, riducendo al minimo le eventuali interruzioni del lavoro degli utenti finali. Per ulteriori informazioni sull'utilizzo di SMS 2003 per il deployment degli aggiornamenti per la protezione, visitare il sito Web SMS 2003 Security Patch Management. Gli utenti di SMS 2.0 possono inoltre utilizzare Software Updates Service Feature Pack per semplificare il deployment degli aggiornamenti per la protezione. Per informazioni su SMS, visitare il sito Web SMS.

Nota SMS utilizza Microsoft Baseline Security Analyzer e lo strumento di rilevamento di Microsoft Office per offrire il più ampio supporto possibile per il rilevamento e il deployment degli aggiornamenti inclusi nei bollettini sulla sicurezza. Alcuni aggiornamenti non possono essere tuttavia rilevati tramite questi strumenti. In questi casi, per applicare gli aggiornamenti a computer specifici è possibile utilizzare le funzionalità di inventario di SMS. Per ulteriori informazioni su questa procedura, visitare il seguente sito Web. Per alcuni aggiornamenti per la protezione può essere necessario disporre di diritti amministrativi ed eseguire il riavvio del sistema. Per installare tali aggiornamenti è possibile utilizzare lo strumento Elevated Rights Deployment Tool, disponibile in SMS 2003 Administration Feature Pack e in SMS 2.0 Administration Feature Pack.

QChain.exe e Update.exe:

Lo strumento della riga di comando QChain.exe permette di concatenare in modo sicuro più aggiornamenti per la protezione. Il termine concatenamento indica la possibilità di installare più aggiornamenti senza riavviare il computer dopo ogni aggiornamento. Lo strumento Update.exe, utilizzato negli aggiornamenti descritti in questo bollettino, dispone di funzionalità di concatenamento incorporate. Se si utilizza Windows 2000 Service Pack 2 o versione successiva, Windows XP o Windows Server 2003, non è necessario utilizzare QChain.exe per concatenare gli aggiornamenti. Qchain.exe supporta comunque il concatenamento anche di questi aggiornamenti di Windows, per consentire agli amministratori di creare uno script di distribuzione coerente per tutte le piattaforme. Per ulteriori informazioni su Qchain, visitare il seguente sito Web.

Microsoft Baseline Security Analyzer:

Microsoft Baseline Security Analyzer (MBSA) consente di eseguire la scansione di sistemi locali e remoti, al fine di rilevare eventuali aggiornamenti di protezione mancanti, nonché i più comuni errori di configurazione della protezione. Per ulteriori informazioni su MBSA, visitare il sito Web Microsoft Baseline Security Analyzer.

Top of section

Altre informazioni:

Ringraziamenti

Microsoft ringrazia i seguenti utenti per aver collaborato con noi al fine di proteggere i sistemi dei clienti:

•	Mark Dowd di ISS X-Force per aver segnalato un problema descritto nel bollettino MS05-025.
•	Mark Litchfield di Next Generation Security Software Ltd. per aver segnalato un problema descritto nel bollettino MS05-025.
•	Thor Larholm di PivX Solutions, Inc. per aver segnalato un problema descritto nel bollettino MS05-025.
•	UK National Infrastructure Security Co-ordination Centre (NISCC) per aver segnalato un problema descritto nel bollettino MS05-025.
•	Peter Winter-Smith di Next Generation Security Software Ltd. per aver segnalato un problema descritto nel bollettino MS05-026.
•	eEye Digital Security per aver segnalato un problema descritto nel bollettino MS05-026.
•	Qualys per aver segnalato un problema descritto nel bollettino MS05-027.
•	Mark Litchfield di Next Generation Security Software Ltd. per aver segnalato un problema descritto nel bollettino MS05-028.
•	Gaël Delalleau di iDEFENSE per aver segnalato un problema descritto nel bollettino MS05-029.
•	iDEFENSE per aver segnalato i problemi descritti nei bollettini MS05-030, MS05-031 e MS05-033.
•	Michael Krax per aver segnalato un problema descritto nel bollettino MS05-032.
•	Steve Orrin di Watchfire per aver segnalato un problema descritto nel bollettino MS05-034.
•	Han Valk per aver segnalato un problema descritto nel bollettino MS05-034.

Download di altri aggiornamenti per la protezione:

Sono disponibili aggiornamenti per altri problemi di protezione nei seguenti siti:

•	Gli aggiornamenti per la protezione sono disponibili nell'Area download Microsoft ed è possibile individuarli in modo semplice eseguendo una ricerca con la parola chiave "security_patch".
•	Gli aggiornamenti per i sistemi consumer sono disponibili nel sito Web Windows Update.

Supporto tecnico:

•	Per usufruire dei servizi del supporto tecnico, visitare il sito del Supporto tecnico Microsoft. Le chiamate al supporto tecnico relative agli aggiornamenti per la protezione sono gratuite.
•	I clienti internazionali possono ottenere assistenza tecnica presso le filiali Microsoft locali. Gli interventi di assistenza relativi agli aggiornamenti per la protezione sono gratuiti. Per ulteriori informazioni su come contattare Microsoft per ottenere supporto, visitare il sito Web del supporto internazionale.

Fonti di informazioni sulla sicurezza:

•	Nel sito Web Sicurezza di Microsoft TechNet sono disponibili ulteriori informazioni sulla protezione e la sicurezza dei prodotti Microsoft.
•	Microsoft Software Update Services
•	Microsoft Baseline Security Analyzer (MBSA)
•	Windows Update
•	Catalogo di Windows Update. Per ulteriori informazioni sul catalogo di Windows Update, vedere l'articolo 323166 della Microsoft Knowledge Base.
•	Office Update

Dichiarazione di non responsabilità:

Le informazioni disponibili nella Microsoft Knowledge Base sono fornite "come sono" senza garanzie di alcun tipo. Conseguentemente, Microsoft non rilascia alcuna garanzia, esplicita o implicita, inclusa la garanzia di commerciabilità e di idoneità per uno scopo specifico. Microsoft Corporation o i suoi fornitori non saranno, in alcun caso, responsabili per danni di qualsiasi tipo, inclusi i danni diretti, indiretti, incidentali, consequenziali, la perdita di profitti e i danni speciali, anche qualora Microsoft Corporation o i suoi fornitori siano stati informati della possibilità del verificarsi di tali danni. Alcuni stati non consentono l'esclusione o la limitazione di responsabilità per danni diretti o indiretti e, dunque, la sopracitata limitazione potrebbe non essere applicabile.

Versioni:

•	V1.0 (14 giugno 2005): pubblicazione del bollettino

Top of section

Inizio pagina