Bollettino Microsoft sulla sicurezza MS07-016

In uno scenario di attacco basato sul Web, un utente malintenzionato potrebbe pubblicare un sito contenente una pagina appositamente predisposta per sfruttare questa vulnerabilità. Inoltre, siti Web che accettano o ospitano contenuti forniti dagli utenti o server di siti Web e annunci pubblicitari manomessi possono includere contenuti appositamente predisposti in grado di sfruttare questa vulnerabilità. L'utente malintenzionato dovrebbe invece invogliare le vittime a visitare il sito Web, in genere inducendole a fare clic su un collegamento in un messaggio di posta elettronica o di Instant Messenger che le indirizzi al sito.

Sfruttando questa vulnerabilità, un utente malintenzionato può ottenere gli stessi diritti utente dell'utente locale. Pertanto, gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.

Per impostazione predefinita, tutte le versioni supportate di Microsoft Outlook e Microsoft Outlook Express aprono i messaggi di posta elettronica in formato HTML nell'area Siti con restrizioni. L'area Siti con restrizioni consente di ridurre il numero di attacchi volti a sfruttare questa vulnerabilità impedendo l'esecuzione di script attivi e l'utilizzo di controlli ActiveX durante la lettura di posta elettronica in formato HTML. Tuttavia, se si fa clic su un collegamento presente in un messaggio di posta elettronica, tale vulnerabilità potrebbe ancora sussistere nello scenario di attacco dal Web.

Per impostazione predefinita, in Windows Server 2003 Internet Explorer viene eseguito in una modalità limitata denominata Protezione avanzata. Il livello di protezione per l'area Internet viene così impostato su Alta. Questo è un fattore attenuante per i siti Web che non sono stati aggiunti all'area Siti attendibili di Internet Explorer. Vedere la sottosezione Domande frequenti nella sezione dedicata a questa vulnerabilità per ulteriori informazioni sulla Protezione avanzata di Internet Explorer.

Gli oggetti COM di cui non deve essere creata un'istanza in Internet Explorer non sono inclusi nell'elenco Consenti predefinito per i controlli ActiveX di Windows Internet Explorer 7. I clienti che eseguono Windows Internet Explorer 7 con le impostazioni predefinite non sono pertanto esposti finché tali oggetti COM non vengono attivati tramite la funzione ActiveX con consenso esplicito nell'area Internet. I clienti che eseguono l'aggiornamento a Windows Internet Explorer 7 e hanno attivato questi oggetti COM in versioni precedenti di Internet Explorer, li troveranno attivati anche in Windows Internet Explorer 7. Per ulteriori informazioni sulla funzione ActiveX con consenso esplicito e su come aggiungere i controlli ActiveX all'elenco pre-approvato, vedere la documentazione del prodotto.

Windows Internet Explorer 7 in Windows Vista non è interessato da questa vulnerabilità.

Configurare Internet Explorer in modo che venga richiesta conferma prima dell'esecuzione dei controlli ActiveX oppure disattivare tali controlli nell'area di protezione Internet e Intranet locale

La modifica delle impostazioni di Internet Explorer in modo che venga richiesta conferma prima di eseguire i controlli ActiveX assicura la protezione del computer da questa vulnerabilità. A tale scopo, attenersi alla seguente procedura:

Effetto della soluzione alternativa: La visualizzazione di una richiesta di conferma prima dell'esecuzione di controlli ActiveX può avere effetti collaterali. Numerosi siti Web su Internet utilizzano componenti ActiveX per offrire funzionalità aggiuntive. Un sito di e-commerce o di online banking, ad esempio, può utilizzare controlli ActiveX per la visualizzazione dei menu, dei moduli d'ordine o degli estratti conto. La richiesta di conferma prima dell'esecuzione dei controlli ActiveX è un'impostazione globale per tutti i siti Internet e Intranet. Se si utilizza questa soluzione alternativa, le richieste di conferma verranno visualizzate di frequente. A ogni richiesta di conferma, se si ritiene che il sito da visitare sia attendibile, fare clic su Sì per consentire l'esecuzione dei controlli ActiveX. Se non si desidera che venga richiesta conferma per tutti i siti, utilizzare la procedura descritta in "Aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer".

Aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer.

Dopo l'impostazione della richiesta di conferma prima dell'esecuzione di controlli ActiveX e script attivo nelle aree Internet e Intranet locale, è possibile aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer. In questo modo è possibile continuare a utilizzare i siti Web attendibili nel modo abituale, proteggendo al tempo stesso il sistema da eventuali attacchi dai siti non attendibili. Si raccomanda di aggiungere all'area Siti attendibili solo i siti effettivamente ritenuti attendibili.

A tale scopo, attenersi alla seguente procedura:

Nota È possibile aggiungere qualsiasi sito che si ritiene non eseguirà operazioni dannose sul computer. In particolare è utile aggiungere i due siti "*.windowsupdate.microsoft.com" e "*.update.microsoft.com" (senza le virgolette), ovvero i siti che ospiteranno l'aggiornamento per cui è richiesto l'utilizzo di un controllo ActiveX per l'installazione.

Impostare il livello dell'area di protezione Internet e Intranet locale su "Alta" in modo che venga richiesta conferma dell'esecuzione di controlli ActiveX e script attivo in queste aree

La modifica delle impostazioni relative all'area di protezione Internet in modo che venga richiesta conferma prima di eseguire i controlli ActiveX assicura la protezione del computer da questa vulnerabilità. Tale operazione può essere eseguita impostando la protezione del browser su Alta.

Per aumentare il livello di protezione del browser in Microsoft Internet Explorer, attenersi alla seguente procedura:

Nota Se il dispositivo di scorrimento non è visibile, fare clic su Livello predefinito, quindi spostare il dispositivo di scorrimento su Alta.

Nota Con l'impostazione della protezione su Alta, alcuni siti Web potrebbero non funzionare nel modo corretto. Se si incontrano difficoltà nell'utilizzo di un sito Web dopo aver effettuato questa modifica e si è certi che il sito è sicuro, è possibile aggiungere il sito all'elenco Siti attendibili. In questo modo il sito funzionerà correttamente anche quando la protezione è impostata su Alta.

Effetto della soluzione alternativa: La visualizzazione di una richiesta di conferma prima dell'esecuzione di controlli ActiveX può avere effetti collaterali. Numerosi siti Web su Internet utilizzano componenti ActiveX per offrire funzionalità aggiuntive. Un sito di e-commerce o di online banking, ad esempio, può utilizzare controlli ActiveX per la visualizzazione dei menu, dei moduli d'ordine o degli estratti conto. La richiesta di conferma prima dell'esecuzione dei controlli ActiveX è un'impostazione globale per tutti i siti Internet e Intranet. Se si utilizza questa soluzione alternativa, le richieste di conferma verranno visualizzate di frequente. A ogni richiesta di conferma, se si ritiene che il sito da visitare sia attendibile, fare clic su Sì per consentire l'esecuzione dei controlli ActiveX. Se non si desidera che venga richiesta conferma per tutti i siti, utilizzare la procedura descritta in "Aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer".

Aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer.

Dopo l'impostazione della richiesta di conferma prima dell'esecuzione di controlli ActiveX e script attivo nelle aree Internet e Intranet locale, è possibile aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer. In questo modo è possibile continuare a utilizzare i siti Web attendibili nel modo abituale, proteggendo al tempo stesso il sistema da eventuali attacchi dai siti non attendibili. Si raccomanda di aggiungere all'area Siti attendibili solo i siti effettivamente ritenuti attendibili.

A tale scopo, attenersi alla seguente procedura:

Nota È possibile aggiungere qualsiasi sito che si ritiene non eseguirà operazioni dannose sul computer. In particolare è utile aggiungere i due siti "*.windowsupdate.microsoft.com" e "*.update.microsoft.com" (senza le virgolette), ovvero i siti che ospiteranno l'aggiornamento per cui è richiesto l'utilizzo di un controllo ActiveX per l'installazione.

Non consentire l'esecuzione degli oggetti COM in Internet Explorer

È possibile disattivare i tentativi di creare un'istanza di un oggetto COM in Internet Explorer impostando il kill bit per il controllo nel Registro di sistema.

Avvertenza L'utilizzo non corretto dell'Editor del Registro di sistema potrebbe causare problemi tali da rendere necessaria la reinstallazione del sistema operativo. Microsoft non garantisce la risoluzione di problemi dovuti a un utilizzo non corretto dell'Editor del Registro di sistema. È quindi necessario utilizzare questo strumento con grande attenzione.

Per ulteriori informazioni su come impedire l'esecuzione di un controllo in Internet Explorer, vedere l'articolo della Microsoft Knowledge Base 240797. Seguire la procedura descritta e creare un valore Compatibility Flags nel Registro di sistema in modo da impedire la creazione di un'istanza dell'oggetto COM in Internet Explorer.

Per impostare il kill bit per il controllo CLSID con il valore {XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}, incollare il seguente testo in un editor di testo come Blocco note. Successivamente, salvare il file utilizzando l'estensione di nome file .reg.

Editor del Registro di sistema di Windows versione 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{ XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX }]
"Compatibility Flags"=dword:00000400

Questo file .reg può essere applicato a singoli sistemi facendo doppio clic su di esso. Inoltre, può essere applicato in domini diversi utilizzando i Criteri di gruppo. Per ulteriori informazioni sui Criteri di gruppo, visitare i seguenti siti Web Microsoft:

Insieme di Criteri di gruppo

Che cos'è un Editor oggetti Criteri di gruppo?

Strumenti e impostazioni principali di Criteri di gruppo

Nota È necessario riavviare Internet Explorer per rendere operative queste modifiche.

Gli identificatori di classe e i file corrispondenti in cui sono contenuti gli oggetti COM vengono riportati in "Quali sono gli scopi dell'aggiornamento?" nella sezione "Domande frequenti sulla vulnerabilità legata al danneggiamento della memoria con la creazione di istanze di oggetti COM - CVE-2006-4697".

Effetto della soluzione alternativa: Non esiste alcun effetto se non si prevede l'uso dell'oggetto COM in Internet Explorer.

La protezione per l'area Internet viene impostata su Alta. Questa impostazione disattiva gli script, i componenti ActiveX, il contenuto HTML di Microsoft Virtual Machine (Microsoft VM) e il download di file.

Il rilevamento automatico dei siti Intranet viene disattivato. Questa impostazione assegna all'area Internet tutti i siti Web Intranet e tutti i percorsi UNC (Universal Naming Convention) non esplicitamente elencati nell'area Intranet locale.

L'installazione su richiesta e le estensioni non Microsoft per il browser vengono disattivate. Questa impostazione impedisce alle pagine Web di installare componenti automaticamente e blocca l'esecuzione delle estensioni non Microsoft.

Il contenuto multimediale viene disabilitato. Questa impostazione impedisce la riproduzione di musica, animazioni e clip video.

In uno scenario di attacco basato sul Web, l'utente malintenzionato potrebbe pubblicare un sito Web contenente una pagina utilizzata per sfruttare la vulnerabilità. Inoltre, siti Web che accettano o ospitano contenuti forniti dagli utenti o server di siti Web e annunci pubblicitari manomessi possono includere contenuti appositamente predisposti in grado di sfruttare questa vulnerabilità. L'utente malintenzionato dovrebbe invece invogliare le vittime a visitare il sito Web, in genere inducendole a fare clic su un collegamento in un messaggio di posta elettronica o di Instant Messenger che le indirizzi al sito.

Sfruttando questa vulnerabilità, un utente malintenzionato può ottenere gli stessi diritti utente dell'utente locale. Pertanto, gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.

Per impostazione predefinita, tutte le versioni supportate di Microsoft Outlook e Microsoft Outlook Express aprono i messaggi di posta elettronica in formato HTML nell'area Siti con restrizioni. L'area Siti con restrizioni consente di ridurre il numero di attacchi volti a sfruttare questa vulnerabilità impedendo l'esecuzione di script attivi e l'utilizzo di controlli ActiveX durante la lettura di posta elettronica in formato HTML. Tuttavia, se si fa clic su un collegamento presente in un messaggio di posta elettronica, tale vulnerabilità potrebbe ancora sussistere nello scenario di attacco dal Web.

Per impostazione predefinita, in Windows Server 2003 Internet Explorer viene eseguito in una modalità limitata denominata Protezione avanzata. Il livello di protezione per l'area Internet viene così impostato su Alta. Questo è un fattore attenuante per i siti Web che non sono stati aggiunti all'area Siti attendibili di Internet Explorer. Vedere la sottosezione Domande frequenti nella sezione dedicata a questa vulnerabilità per ulteriori informazioni sulla Protezione avanzata di Internet Explorer.

Gli oggetti COM di cui non deve essere creata un'istanza in Internet Explorer non sono inclusi nell'elenco Consenti predefinito per i controlli ActiveX di Windows Internet Explorer 7. I clienti che eseguono Windows Internet Explorer 7 con le impostazioni predefinite non sono pertanto esposti finché tali oggetti COM non vengono attivati tramite la funzione ActiveX con consenso esplicito nell'area Internet. I clienti che eseguono l'aggiornamento a Windows Internet Explorer 7 e hanno attivato questi oggetti COM in versioni precedenti di Internet Explorer, li troveranno attivati anche in Windows Internet Explorer 7. Per ulteriori informazioni sulla funzione ActiveX con consenso esplicito e su come aggiungere i controlli ActiveX all'elenco pre-approvato, vedere la documentazione del prodotto.

Windows Internet Explorer 7 in Windows Vista non è interessato da questa vulnerabilità.

Configurare Internet Explorer in modo che venga richiesta conferma prima dell'esecuzione dei controlli ActiveX oppure disattivare tali controlli nell'area di protezione Internet e Intranet locale

La modifica delle impostazioni di Internet Explorer in modo che venga richiesta conferma prima di eseguire i controlli ActiveX assicura la protezione del computer da questa vulnerabilità. A tale scopo, attenersi alla seguente procedura:

Effetto della soluzione alternativa: La visualizzazione di una richiesta di conferma prima dell'esecuzione di controlli ActiveX può avere effetti collaterali. Numerosi siti Web su Internet utilizzano componenti ActiveX per offrire funzionalità aggiuntive. Un sito di e-commerce o di online banking, ad esempio, può utilizzare controlli ActiveX per la visualizzazione dei menu, dei moduli d'ordine o degli estratti conto. La richiesta di conferma prima dell'esecuzione dei controlli ActiveX è un'impostazione globale per tutti i siti Internet e Intranet. Se si utilizza questa soluzione alternativa, le richieste di conferma verranno visualizzate di frequente. A ogni richiesta di conferma, se si ritiene che il sito da visitare sia attendibile, fare clic su Sì per consentire l'esecuzione dei controlli ActiveX. Se non si desidera che venga richiesta conferma per tutti i siti, utilizzare la procedura descritta in "Aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer".

Aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer.

Dopo l'impostazione della richiesta di conferma prima dell'esecuzione di controlli ActiveX e script attivo nelle aree Internet e Intranet locale, è possibile aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer. In questo modo è possibile continuare a utilizzare i siti Web attendibili nel modo abituale, proteggendo al tempo stesso il sistema da eventuali attacchi dai siti non attendibili. Si raccomanda di aggiungere all'area Siti attendibili solo i siti effettivamente ritenuti attendibili.

A tale scopo, attenersi alla seguente procedura:

Nota È possibile aggiungere qualsiasi sito che si ritiene non eseguirà operazioni dannose sul computer. In particolare è utile aggiungere i due siti "*.windowsupdate.microsoft.com" e "*.update.microsoft.com" (senza le virgolette), ovvero i siti che ospiteranno l'aggiornamento per cui è richiesto l'utilizzo di un controllo ActiveX per l'installazione.

Impostare il livello dell'area di protezione Internet e Intranet locale su "Alta" in modo che venga richiesta conferma dell'esecuzione di controlli ActiveX e script attivo in queste aree

La modifica delle impostazioni relative all'area di protezione Internet in modo che venga richiesta conferma prima di eseguire i controlli ActiveX assicura la protezione del computer da questa vulnerabilità. Tale operazione può essere eseguita impostando la protezione del browser su Alta.

Per aumentare il livello di protezione del browser in Microsoft Internet Explorer, attenersi alla seguente procedura:

Nota Se il dispositivo di scorrimento non è visibile, fare clic su Livello predefinito, quindi spostare il dispositivo di scorrimento su Alta.

Nota Con l'impostazione della protezione su Alta, alcuni siti Web potrebbero non funzionare nel modo corretto. Se si incontrano difficoltà nell'utilizzo di un sito Web dopo aver effettuato questa modifica e si è certi che il sito è sicuro, è possibile aggiungere il sito all'elenco Siti attendibili. In questo modo il sito funzionerà correttamente anche quando la protezione è impostata su Alta.

Effetto della soluzione alternativa: La visualizzazione di una richiesta di conferma prima dell'esecuzione di controlli ActiveX può avere effetti collaterali. Numerosi siti Web su Internet utilizzano componenti ActiveX per offrire funzionalità aggiuntive. Un sito di e-commerce o di online banking, ad esempio, può utilizzare controlli ActiveX per la visualizzazione dei menu, dei moduli d'ordine o degli estratti conto. La richiesta di conferma prima dell'esecuzione dei controlli ActiveX è un'impostazione globale per tutti i siti Internet e Intranet. Se si utilizza questa soluzione alternativa, le richieste di conferma verranno visualizzate di frequente. A ogni richiesta di conferma, se si ritiene che il sito da visitare sia attendibile, fare clic su Sì per consentire l'esecuzione dei controlli ActiveX. Se non si desidera che venga richiesta conferma per tutti i siti, utilizzare la procedura descritta in "Aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer".

Aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer.

Dopo l'impostazione della richiesta di conferma prima dell'esecuzione di controlli ActiveX e script attivo nelle aree Internet e Intranet locale, è possibile aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer. In questo modo è possibile continuare a utilizzare i siti Web attendibili nel modo abituale, proteggendo al tempo stesso il sistema da eventuali attacchi dai siti non attendibili. Si raccomanda di aggiungere all'area Siti attendibili solo i siti effettivamente ritenuti attendibili.

A tale scopo, attenersi alla seguente procedura:

Nota È possibile aggiungere qualsiasi sito che si ritiene non eseguirà operazioni dannose sul computer. In particolare è utile aggiungere i due siti "*.windowsupdate.microsoft.com" e "*.update.microsoft.com" (senza le virgolette), ovvero i siti che ospiteranno l'aggiornamento per cui è richiesto l'utilizzo di un controllo ActiveX per l'installazione.

Non consentire l'esecuzione degli oggetti COM in Internet Explorer

È possibile disattivare i tentativi di creare un'istanza di un oggetto COM in Internet Explorer impostando il kill bit per il controllo nel Registro di sistema.

Avvertenza L'utilizzo non corretto dell'Editor del Registro di sistema potrebbe causare problemi tali da rendere necessaria la reinstallazione del sistema operativo. Microsoft non garantisce la risoluzione di problemi dovuti a un utilizzo non corretto dell'Editor del Registro di sistema. È quindi necessario utilizzare questo strumento con grande attenzione.

Per ulteriori informazioni su come impedire l'esecuzione di un controllo in Internet Explorer, vedere l'articolo della Microsoft Knowledge Base 240797. Seguire la procedura descritta e creare un valore Compatibility Flags nel Registro di sistema in modo da impedire la creazione di un'istanza dell'oggetto COM in Internet Explorer.

Per impostare il kill bit per il controllo CLSID con il valore {XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}, incollare il seguente testo in un editor di testo come Blocco note. Successivamente, salvare il file utilizzando l'estensione di nome file .reg.

Editor del Registro di sistema di Windows versione 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{ XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX }]
"Compatibility Flags"=dword:00000400

Questo file .reg può essere applicato a singoli sistemi facendo doppio clic su di esso. Inoltre, può essere applicato in domini diversi utilizzando i Criteri di gruppo. Per ulteriori informazioni sui Criteri di gruppo, visitare i seguenti siti Web Microsoft:

Insieme di Criteri di gruppo

Che cos'è un Editor oggetti Criteri di gruppo?

Strumenti e impostazioni principali di Criteri di gruppo

Nota È necessario riavviare Internet Explorer per rendere operative queste modifiche.

Gli identificatori di classe e i file corrispondenti in cui sono contenuti gli oggetti COM vengono riportati in "Quali sono gli scopi dell'aggiornamento?" nella sezione "Domande frequenti sulla vulnerabilità legata al danneggiamento della memoria con la creazione di istanze di oggetti COM - CVE-2006-4697".

Effetto della soluzione alternativa: Non esiste alcun effetto se non si prevede l'uso dell'oggetto COM in Internet Explorer.

La protezione per l'area Internet viene impostata su Alta. Questa impostazione disattiva gli script, i componenti ActiveX, il contenuto HTML di Microsoft Virtual Machine (Microsoft VM) e il download di file.

Il rilevamento automatico dei siti Intranet viene disattivato. Questa impostazione assegna all'area Internet tutti i siti Web Intranet e tutti i percorsi UNC (Universal Naming Convention) non esplicitamente elencati nell'area Intranet locale.

L'installazione su richiesta e le estensioni non Microsoft per il browser vengono disattivate. Questa impostazione impedisce alle pagine Web di installare componenti automaticamente e blocca l'esecuzione delle estensioni non Microsoft.

Il contenuto multimediale viene disabilitato. Questa impostazione impedisce la riproduzione di musica, animazioni e clip video.

In uno scenario di attacco dal Web, un utente malintenzionato dovrebbe pubblicare un server FTP che rinvii le risposte del server FTP appositamente predisposte al fine di sfruttare la vulnerabilità. Non è in alcun modo possibile obbligare gli utenti a visitare il sito del server FTP. L'utente malintenzionato dovrebbe invece invogliare le vittime a visitare il sito Web, in genere inducendole a fare clic su un collegamento in un messaggio di posta elettronica o di Instant Messenger che le indirizzi al sito.

Sfruttando questa vulnerabilità, un utente malintenzionato può ottenere gli stessi diritti utente dell'utente locale. Pertanto, gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.

Per impostazione predefinita, tutte le versioni supportate di Microsoft Outlook e Microsoft Outlook Express aprono i messaggi di posta elettronica in formato HTML nell'area Siti con restrizioni. L'area Siti con restrizioni consente di ridurre gli attacchi volti a sfruttare questa vulnerabilità impedendo l'esecuzione di script attivi e l'utilizzo di controlli ActiveX durante la lettura di posta elettronica in formato HTML. Tuttavia, se si fa clic su un collegamento presente in un messaggio di posta elettronica, tale vulnerabilità potrebbe ancora sussistere nello scenario di attacco dal Web.

Nota Non è stato stabilito che questa vulnerabilità possa essere sfruttata senza utilizzare Esecuzione script attivo che, tuttavia, aumenta notevolmente le possibilità che un utente malintenzionato riesca a sfruttare la vulnerabilità. Questa vulnerabilità è stata associata quindi a un livello di gravità Critico in Windows Server 2003.

Per impostazione predefinita, in Windows Server 2003 Internet Explorer viene eseguito in una modalità limitata denominata Protezione avanzata. Il livello di protezione per l'area Internet viene così impostato su Alta. Questo è un fattore attenuante per i siti Web che non sono stati aggiunti all'area Siti attendibili di Internet Explorer. Vedere la sottosezione Domande frequenti nella sezione dedicata a questa vulnerabilità per ulteriori informazioni sulla Protezione avanzata di Internet Explorer.

Se si utilizza Outlook 2002 e versioni successive o Outlook Express 6 SP1 e versioni successive, leggere la posta elettronica in formato testo normale per proteggersi dagli attacchi tramite messaggi e-mail in formato HTML.

Gli utenti di Microsoft Outlook 2002 che hanno installato Microsoft Office XP Service Pack 1 o versione successiva e gli utenti di Microsoft Outlook Express 6 che hanno installato Internet Explorer 6 Service Pack 1 o versione successiva possono attivare questa impostazione e visualizzare automaticamente in formato testo normale tutti i messaggi privi di firma digitale o non crittografati.

Tale impostazione non interessa i messaggi dotati di firma digitale o crittografati, che possono essere letti nei formati originali. Per ulteriori informazioni sull'attivazione di questa impostazione in Outlook 2002, vedere l'articolo della Microsoft Knowledge Base 307594.

Per ulteriori informazioni sull'attivazione di questa impostazione in Outlook Express 6, vedere l'articolo della Microsoft Knowledge Base 291387.

Effetto della soluzione alternativa: I messaggi e-mail visualizzati in formato testo normale non possono includere immagini, tipi di carattere speciali, animazioni o altri contenuti avanzati. Inoltre:

La protezione per l'area Internet viene impostata su Alta. Questa impostazione disattiva gli script, i componenti ActiveX, il contenuto HTML di Microsoft Virtual Machine (Microsoft VM) e il download di file.

Il rilevamento automatico dei siti Intranet viene disattivato. Questa impostazione assegna all'area Internet tutti i siti Web Intranet e tutti i percorsi UNC (Universal Naming Convention) non esplicitamente elencati nell'area Intranet locale.

L'installazione su richiesta e le estensioni non Microsoft per il browser vengono disattivate. Questa impostazione impedisce alle pagine Web di installare componenti automaticamente e blocca l'esecuzione delle estensioni non Microsoft.

Il contenuto multimediale viene disabilitato. Questa impostazione impedisce la riproduzione di musica, animazioni e clip video.