Bollettino Microsoft sulla sicurezza MS09-043 – Critico: Alcune vulnerabilità in Microsoft Office Web Components possono consentire l'esecuzione di codice in modalità remota (957638)

Riepilogo

Questo aggiornamento per la protezione risolve numerose vulnerabilità di Microsoft Office Web Components che possono consentire l'esecuzione di codice in modalità remota durante l'apertura di una pagina Web appositamente predisposta. Tali vulnerabilità sono state segnalate a Microsoft privatamente. Sfruttando queste vulnerabilità, un utente malintenzionato può ottenere gli stessi diritti utente dell'utente locale. Pertanto, gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.

Questo aggiornamento per la protezione è considerato di livello critico per tutte le edizioni supportate di Microsoft Office XP, Microsoft Office 2003, Microsoft Office 2000 Web Components, Microsoft Office XP Web Components, Microsoft Office 2003 Web Components, Microsoft Office 2003 Web Components per Microsoft Office System 2007, Microsoft Internet Security and Acceleration Server 2004 Standard Edition, Microsoft Internet Security and Acceleration Server 2004 Enterprise Edition, Microsoft Internet Security and Acceleration Server 2006, Microsoft BizTalk Server 2002, Microsoft Visual Studio .NET 2003 e Microsoft Office Small Business Accounting 2006. Per ulteriori informazioni, vedere la sottosezione Software interessato e Software non interessato all'interno della presente sezione.

L'aggiornamento per la protezione risolve le vulnerabilità gestendo correttamente l'allocazione della memoria quando il controllo ActiveX viene utilizzato in Internet Explorer, correggendo la logica della convalida per i metodi del controllo ActiveX di Office Web Components ed eseguendo una convalida aggiuntiva dei parametri. Per ulteriori informazioni sulle vulnerabilità, cercare la voce specifica nella sottosezione Domande frequenti della sezione Informazioni sulle vulnerabilità.

Questo aggiornamento per la protezione risolve anche la vulnerabilità descritta nell'Advisory Microsoft sulla sicurezza 973472. Gli aggiornamenti per la protezione illustrati nel presente bollettino non sono correlati alle vulnerabilità descritte nell'Advisory Microsoft sulla sicurezza 973882.

Raccomandazione. Microsoft consiglia di applicare l'aggiornamento immediatamente.

Problemi noti. L'articolo della Microsoft Knowledge Base 957638 descrive i problemi attualmente conosciuti che gli utenti potrebbero riscontrare installando questo aggiornamento per la protezione. L'articolo illustra inoltre le soluzioni consigliate in grado di risolvere questi problemi. Quando i problemi noti e le soluzioni consigliate si riferiscono solo a determinate versioni di questo software, nell'articolo vengono forniti collegamenti ad altri articoli.

Top of section

Software interessato e Software non interessato

Il seguente software è stato sottoposto a test per determinare quali versioni o edizioni siano interessate. Le altre versioni o edizioni non sono interessate dalla vulnerabilità o sono al termine del ciclo di vita del supporto. Per informazioni sulla disponibilità del supporto per la versione o l'edizione del software in uso, visitare il sito Web Ciclo di vita del supporto Microsoft.

Software interessato

Office Suite e altri software interessati	Livello massimo di impatto sulla protezione	Livello di gravità aggregato	Bollettini sostituiti da questo aggiornamento
Applicazioni Microsoft Office
Microsoft Office XP Service Pack 3 (KB947320)	Esecuzione di codice in modalità remota	Critico	MS08-017
Microsoft Office 2003 Service Pack 3 (KB947319)	Esecuzione di codice in modalità remota	Critico	Nessuno
Microsoft Office Web Components
Microsoft Office 2000 Web Components Service Pack 3 (KB947320)	Esecuzione di codice in modalità remota	Critico	MS08-017
Microsoft Office XP Web Components Service Pack 3 (KB947320)	Esecuzione di codice in modalità remota	Critico	MS08-017
Microsoft Office 2003 Web Components Service Pack 3 (KB947319)	Esecuzione di codice in modalità remota	Critico	Nessuno
Microsoft Office 2003 Web Components Service Pack 1 per Microsoft Office System 2007** (KB947318)	Esecuzione di codice in modalità remota	Critico	Nessuno
Microsoft Internet Security and Acceleration Server
Microsoft Internet Security and Acceleration Server 2004 Standard Edition Service Pack 3* (KB947826)	Esecuzione di codice in modalità remota	Critico	Nessuno
Microsoft Internet Security and Acceleration Server 2004 Enterprise Edition Service Pack 3 (KB947826)	Esecuzione di codice in modalità remota	Critico	Nessuno
Microsoft Internet Security and Acceleration Server 2006 Standard Edition Service Pack 1 (KB947826)	Esecuzione di codice in modalità remota	Critico	Nessuno
Microsoft Internet Security and Acceleration Server 2006 Enterprise Edition Service Pack 1 (KB947826)	Esecuzione di codice in modalità remota	Critico	Nessuno
Altro software Microsoft
Microsoft BizTalk Server 2002 (KB971388)	Esecuzione di codice in modalità remota	Critico	MS08-017
Microsoft Visual Studio .NET 2003 Service Pack 1 (KB969172)	Esecuzione di codice in modalità remota	Critico	MS08-017
Microsoft Office Small Business Accounting 2006 (KB968377)	Esecuzione di codice in modalità remota	Critico	Nessuno

*Microsoft ISA Server 2004 Standard Edition viene fornito come prodotto autonomo. Microsoft ISA Server 2004 Standard Edition viene anche fornito come componente di Windows Small Business Server 2003 Premium Edition Service Pack 1 e Windows Small Business Server 2003 R2 Premium Edition.

**SQL Server 2008 e Microsoft Forefront Threat Management Gateway Medium Business Edition ridistribuiscono il componente interessato di Office 2003 Web Components per Microsoft Office System 2007. L'aggiornamento per il componente Office 2003 Web Components di Microsoft Office System 2007 rileva la necessità di aggiornare SQL Server 2008 e Microsoft Forefront Threat Management Gateway Medium Business Edition e offre l'aggiornamento ai clienti.

Software non interessato

Office e altri software
2007 Microsoft Office Suite Service Pack 1 e 2007 Microsoft Office Suite Service Pack 2
Microsoft Office 2004 per Mac
Microsoft Office 2008 per Mac
Visualizzatore di Microsoft Office PowerPoint 2003
Microsoft Office Word Viewer 2003
Microsoft Office Word Viewer 2003 Service Pack 3
Microsoft Office Excel Viewer 2003
Microsoft Office Excel Viewer 2003 Service Pack 3
Microsoft Office Excel Viewer
Microsoft Office Power Point Viewer 2007
Microsoft Office PowerPoint Viewer 2007 Service Pack 1
Pacchetto di compatibilità Microsoft Office per i file in formato Word, Excel e PowerPoint 2007 Service Pack 1 e pacchetto di compatibilità Microsoft Office per i file in formato Word, Excel e PowerPoint 2007 Service Pack 2
Microsoft Internet Security and Acceleration Server 2000 Service Pack 2*
Microsoft BizTalk Server 2004
Microsoft BizTalk Server 2006
Microsoft BizTalk Server 2009
Microsoft Visual Studio 2005
Microsoft Visual Studio 2005 Service Pack 1
Microsoft Visual Studio 2008
Microsoft Visual Studio 2008 Service Pack 1
Microsoft Visual Studio 2010

*Microsoft Internet Security and Acceleration Server 2000 Service Pack 2 non risulta interessato poiché la versione precedente di OWC, MS08-017, imposta il kill bit necessario per impedire lo sfruttamento della vulnerabilità.

Top of section

Domande frequenti sull'aggiornamento per la protezione

Perché Microsoft ha rilasciato di nuovo questo bollettino in data 27 ottobre 2009?
Microsoft ha rilasciato di nuovo questo bollettino per offrire nuovamente l'aggiornamento per Microsoft Office 2003 Service Pack 3 e per Microsoft Office 2003 Web Components Service Pack 3 per risolvere un problema di rilevamento quando Microsoft Office Access Runtime 2003 viene installato. Si tratta di una modifica che riguarda esclusivamente il rilevamento; non sono state effettuate modifiche ai file binari. I clienti che hanno già aggiornato i propri sistemi non devono reinstallare questo aggiornamento.

Come è possibile stabilire quali versioni di OWC sono ancora supportate e con quali versioni di Office sono state fornite?
Esistono tre versioni di Office Web Components:

•	Office 2000 Web Components
•	Office XP Web Components
•	Office 2003 Web Components

Ogni versione è stata resa disponibile come download dal Web ed inclusa nei CD della corrispondente versione di Microsoft Office. Inoltre, ogni versione è stata nuovamente rilasciata assieme alla versione successiva di Office. Una versione di Office 2000 Web Components era dunque disponibile sui CD di Office XP, mentre una versione di Office XP Web Components sui CD di Office 2003. Office 2003 Web Components non è stato invece rilasciato sui CD di Office 2007. È stato però reso disponibile sul Web e incluso in Microsoft Office Project Server 2007. Sebbene queste successive versioni abbiano lo stesso nome e le stesse funzionalità della versione originale, per motivi tecnici, vale a dire per organizzare l'aggiornamento delle patch in maniera più efficace, sono considerate dei prodotti separati.

Ogni versione di OWC (incluse le versioni successive) viene supportata assieme alla versione di Office con cui è stata fornita. La versione di Office 2000 Web Components che è stata fornita con Office 2000 godeva dunque del supporto "Extended" fino a quando il periodo di disponibilità del supporto per Office 2000 è terminato in data 14 luglio 2009. La versione di Office 2000 Web Components che è stata fornita con Office XP godrà tuttavia del supporto "Extended" fino al termine del periodo di disponibilità del supporto per Office XP in data 12 luglio 2011. La stessa regola vale per le altre versioni di OWC. La tabella riportata di seguito indica le principali date di supporto e i luoghi di rilascio di tutte le versioni di OWC:

Versione OWC	Luogo di rilascio	Termine del supporto "Mainstream"	Termine del supporto "Extended"
OWC 2000 (versione di Office 2000)	CD di Office 2000, Web	Il supporto "Mainstream" è terminato.	Il supporto "Extended" è terminato.
OWC 2000 (versione di Office XP)	CD di Office XP	Il supporto "Mainstream" è terminato.	12/07/2011
OWC XP (versione di Office XP)	CD di Office XP, Web	Il supporto "Mainstream" è terminato.	12/07/2011
OWC XP (versione di Office 2003)	CD di Office 2003	Il supporto "Mainstream" è terminato.	08/04/2014
OWC 2003 (versione di Office 2003)	CD di Office 2003, Web (versioni 1-3)	Il supporto "Mainstream" è terminato.	08/04/2014
OWC 2003 (versione di Office System 2007)	CD di Project Server 2007, Web (versione 4)	10/04/2012	11/04/2017

Per ulteriori informazioni sul ciclo di vita del supporto per i prodotti Microsoft Office, consultare la pagina relativa ai prodotti Office sul sito Guida e supporto tecnico Microsoft.

Dove si trova la sezione Informazioni sui file?
Fare riferimento alle tabelle contenute nella sezione Distribuzione dell'aggiornamento per la protezione per individuare la sezione Informazioni sui file.

Perché questo aggiornamento affronta diverse vulnerabilità di protezione segnalate?
L'aggiornamento supporta diverse vulnerabilità perché le modifiche necessarie per risolvere tali problemi si trovano in file correlati. Anziché dover installare diversi aggiornamenti quasi identici, è possibile installare solo il presente aggiornamento.

L'aggiornamento include modifiche di funzionalità relative alla sicurezza?
Per le versioni interessate di ISA Server, l'aggiornamento imposta il kill bit per tutti i CLSID di OWC bloccando i vettori di attacco conosciuti all'interno di Internet Explorer. Questa operazione non compromette la funzionalità di ISA Server.

Se si utilizza una versione precedente del software discusso nel presente bollettino, che cosa è necessario fare?
I prodotti software elencati in questo bollettino sono stati sottoposti a test per determinare quali versioni sono interessate dalla vulnerabilità. Le altre versioni sono al termine del ciclo di vita del supporto. Per informazioni sulla disponibilità del supporto per la versione del software in uso, visitare il sito Web Ciclo di vita del supporto Microsoft.

Per evitare di esporre i propri sistemi a potenziali vulnerabilità, si raccomanda ai clienti che utilizzano versioni precedenti del software di eseguire quanto prima la migrazione a versioni supportate. Per ulteriori informazioni sul ciclo di vita dei prodotti Windows, visitare il sito Web Ciclo di vita del supporto Microsoft. Per ulteriori informazioni sul periodo di supporto esteso per gli aggiornamenti per la protezione di queste versioni o edizioni del software, visitare il sito Web del Servizio Supporto Tecnico Clienti Microsoft.

I clienti che hanno ancora la necessità di servizi di supporto per versioni precedenti sono invitati a contattare il loro rappresentante del team Microsoft, il responsabile tecnico dei rapporti con i clienti oppure il rappresentante del partner Microsoft appropriato per informazioni sui servizi di supporto personalizzati. I clienti che non dispongono di un contratto Alliance, Premier o Authorized possono contattare le filiali Microsoft locali. Per informazioni sui contatti, visitare il sito Web Microsoft Worldwide, selezionare il Paese desiderato e fare clic su Go per visualizzare un elenco di numeri telefonici. Quando si effettua la chiamata, richiedere di parlare con il responsabile locale delle vendite per i servizi di supporto Premier. Per ulteriori informazioni, vedere le domande frequenti sul ciclo di vita del supporto per i sistemi operativi Windows.

Top of section

Livelli di gravità e identificatori della vulnerabilità

I seguenti livelli di gravità presuppongono il livello massimo di impatto potenziale della vulnerabilità. Per informazioni relative al rischio, entro 30 giorni dalla pubblicazione del presente bollettino sulla sicurezza, di sfruttamento della vulnerabilità in relazione al livello di gravità e all'impatto sulla protezione, vedere l'Exploitability Index nel riepilogo dei bollettini di agosto. Per ulteriori informazioni, vedere Microsoft Exploitability Index.

Livelli di gravità delle vulnerabilità e livello massimo di impatto sulla protezione per il software interessato
Software interessato	Vulnerabilità legata all'allocazione della memoria in Office Web Components - CVE-2009-0562	Vulnerabilità legata al danneggiamento dell'heap in Office Web Components - CVE-2009-2496	Vulnerabilità legata allo script HTML in Office Web Components - CVE-2009-1136	Vulnerabilità legata all'overflow del buffer in Office Web Components - CVE-2009-1534	Livello di gravità aggregato
Applicazioni Microsoft Office
Microsoft Office XP Service Pack 3	Critico Esecuzione di codice in modalità remota	Critico Esecuzione di codice in modalità remota	Critico Esecuzione di codice in modalità remota	Critico Esecuzione di codice in modalità remota	Critico
Microsoft Office 2003 Service Pack 3	Critico Esecuzione di codice in modalità remota	Critico Esecuzione di codice in modalità remota	Critico Esecuzione di codice in modalità remota	Non applicabile	Critico
Microsoft Office Web Components
Microsoft Office 2000 Web Components Service Pack 3	Non applicabile	Non applicabile	Non applicabile	Critico Esecuzione di codice in modalità remota	Critico
Microsoft Office XP Web Components Service Pack 3	Critico Esecuzione di codice in modalità remota	Critico Esecuzione di codice in modalità remota	Critico Esecuzione di codice in modalità remota	Critico Esecuzione di codice in modalità remota	Critico
Microsoft Office 2003 Web Components Service Pack 3	Critico Esecuzione di codice in modalità remota	Critico Esecuzione di codice in modalità remota	Critico Esecuzione di codice in modalità remota	Non applicabile	Critico
Microsoft Office 2003 Web Components Service Pack 1 per 2007 Microsoft Office System	Critico Esecuzione di codice in modalità remota	Critico Esecuzione di codice in modalità remota	Critico Esecuzione di codice in modalità remota	Non applicabile	Critico
Microsoft Internet Security and Acceleration Server
Microsoft Internet Security and Acceleration Server 2004 Standard Edition Service Pack 3	Critico Esecuzione di codice in modalità remota	Critico Esecuzione di codice in modalità remota	Critico Esecuzione di codice in modalità remota	Non applicabile	Critico
Microsoft Internet Security and Acceleration Server 2004 Enterprise Edition Service Pack 3	Critico Esecuzione di codice in modalità remota	Critico Esecuzione di codice in modalità remota	Critico Esecuzione di codice in modalità remota	Non applicabile	Critico
Microsoft Internet Security and Acceleration Server 2006 Standard Edition Service Pack 1	Critico Esecuzione di codice in modalità remota	Critico Esecuzione di codice in modalità remota	Critico Esecuzione di codice in modalità remota	Non applicabile	Critico
Microsoft Internet Security and Acceleration Server 2006 Enterprise Edition Service Pack 1	Critico Esecuzione di codice in modalità remota	Critico Esecuzione di codice in modalità remota	Critico Esecuzione di codice in modalità remota	Non applicabile	Critico
Altro software Microsoft
Microsoft BizTalk Server 2002	Non applicabile	Non applicabile	Non applicabile	Critico Esecuzione di codice in modalità remota	Critico
Microsoft Visual Studio .NET 2003 Service Pack 1	Non applicabile	Non applicabile	Non applicabile	Critico Esecuzione di codice in modalità remota	Critico
Microsoft Office Small Business Accounting 2006	Critico Esecuzione di codice in modalità remota	Critico Esecuzione di codice in modalità remota	Critico Esecuzione di codice in modalità remota	Non applicabile	Critico

Top of section

Vulnerabilità legata all'allocazione della memoria in Office Web Components - CVE-2009-0562

Nel controllo ActiveX di Office Web Components è stata riscontrata una vulnerabilità che può consentire l'esecuzione di codice in modalità remota. Un utente malintenzionato potrebbe sfruttare la vulnerabilità creando una pagina Web dannosa. Se un utente visualizza la pagina Web, la vulnerabilità potrebbe consentire l'esecuzione di codice in modalità remota. Sfruttando questa vulnerabilità, un utente malintenzionato può ottenere gli stessi diritti utente dell'utente connesso.

Per visualizzare questa vulnerabilità come voce standard nell'elenco CVE, vedere il codice CVE-2009-0562.

Fattori attenuanti della vulnerabilità legata all'allocazione della memoria in Office Web Components - CVE-2009-0562

Per fattore attenuante si intende un'impostazione, una configurazione comune o una procedura consigliata generica esistente in uno stato predefinito in grado di ridurre la gravità nello sfruttamento di una vulnerabilità. I seguenti fattori attenuanti possono essere utili per l'utente:

•	Per impostazione predefinita, Internet Explorer in Windows Server 2003 e 2008 viene eseguito in una modalità limitata denominata Protezione avanzata. Questa modalità consente di ridurre i rischi correlati a questa vulnerabilità. Per ulteriori informazioni sulla Protezione avanzata di Internet Explorer, consultare la sezione Domande frequenti di questo aggiornamento per la protezione.
•	Per impostazione predefinita, la posta elettronica in formato HTML viene aperta con le limitazioni previste per l'area Siti con restrizioni in Outlook Express 6, Outlook 2002 e Outlook 2003. La posta elettronica in formato HTML viene aperta con le limitazioni previste per l'area Siti con restrizioni anche in Outlook 2000, dopo l'installazione dell'aggiornamento della protezione della posta elettronica di Microsoft Outlook. In Outlook Express 5.5 Service Pack 2, i messaggi di posta elettronica in formato HTML vengono aperti con le limitazioni previste per l'area Siti con restrizioni se è stato installato il bollettino sulla sicurezza Microsoft MS04-018. L'area Siti con restrizioni consente di ridurre gli attacchi volti a sfruttare questa vulnerabilità impedendo l'utilizzo dei controlli ActiveX durante la lettura di posta elettronica in formato HTML. Tuttavia, se si fa clic su un collegamento presente in un messaggio di posta elettronica, tale vulnerabilità potrebbe ancora sussistere con le modalità descritte nello scenario di attacco dal Web.
•	In uno scenario di attacco basato sul Web, l'utente malintenzionato potrebbe pubblicare un sito Web contenente una pagina utilizzata per sfruttare la vulnerabilità. Inoltre, i siti Web manomessi e quelli che accettano o ospitano contenuti o annunci pubblicitari forniti dagli utenti potrebbero presentare contenuti appositamente predisposti per sfruttare questa vulnerabilità. In tutti questi casi, comunque, non è in alcun modo possibile obbligare gli utenti a visitare questi siti Web. L'utente malintenzionato dovrebbe invece invogliare le vittime a visitare il sito Web, in genere inducendole a fare clic su un collegamento in un messaggio di posta elettronica o di Instant Messenger che le indirizzi al sito.
•	Sfruttando questa vulnerabilità, un utente malintenzionato può ottenere gli stessi diritti utente dell'utente locale. Pertanto, gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.

Top of section

Soluzioni alternative per la vulnerabilità legata all'allocazione della memoria in Office Web Components - CVE-2009-0562

Per soluzione alternativa si intende un'impostazione o una modifica nella configurazione che non elimina la vulnerabilità sottostante, ma consente di bloccare gli attacchi noti prima di applicare l'aggiornamento. Microsoft ha verificato le seguenti soluzioni alternative e segnala nel corso della discussione se tali soluzioni riducono la funzionalità:

•

Non consentire l'esecuzione della libreria di Office Web Components in Internet Explorer.

È possibile impedire che la libreria di Office Web Components venga eseguito in Internet Explorer impostando il kill bit per il controllo nel Registro di sistema.

Avvertenza L'utilizzo non corretto dell'Editor del Registro di sistema potrebbe causare problemi tali da rendere necessaria la reinstallazione del sistema operativo. Microsoft non garantisce la risoluzione di problemi dovuti a un utilizzo non corretto dell'Editor del Registro di sistema. È quindi necessario utilizzare questo strumento con grande attenzione. Per informazioni sulla modifica del Registro di sistema, vedere l'argomento relativo alla modifica delle chiavi e dei valori nella Guida dell'Editor del Registro di sistema (Regedit.exe) o gli argomenti relativi all'aggiunta ed eliminazione di informazioni nel Registro di sistema nonché alla modifica dei dati del Registro di sistema (Regedt32.exe).

Nota Prima di modificare il Registro di sistema, è consigliabile eseguirne il backup.

Nota Questa operazione viene eseguita dal pacchetto di aggiornamento di ISA Server. Questo aggiornamento per ISA Server non contiene file binari.

Per ulteriori informazioni su come impedire l'esecuzione di un controllo in Office Web Components, vedere l'articolo della Microsoft Knowledge Base 240797. Seguire la procedura descritta per creare un valore Compatibility Flags nel Registro di sistema in modo da impedire l'esecuzione della libreria di Office Web Components.

Nota Gli identificatori di classe e i file corrispondenti in cui sono contenuti gli oggetti della libreria sono riportati nella sottosezione "Quali sono gli scopi dell'aggiornamento?" nella sezione Domande frequenti

•

Per impostare il kill bit per il controllo CLSID con il valore {0002E543-0000-0000-C000-000000000046} e {0002E55B-0000-0000-C000-000000000046}, incollare il seguente testo in un editor di testo come Blocco note. Successivamente, salvare il file utilizzando l'estensione di nome file reg.

Editor del Registro di sistema di Windows versione 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{0002E543-0000-0000-C000-000000000046}]
"Compatibility Flags"=dword:00000400

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{0002E55B-0000-0000-C000-000000000046}]
"Compatibility Flags"=dword:00000400

Questo file .reg può essere applicato a singoli sistemi facendo doppio clic su di esso. Inoltre, può essere applicato in domini diversi utilizzando i Criteri di gruppo. Per ulteriori informazioni sui Criteri di gruppo, visitare i seguenti siti Web Microsoft:

•	Insieme di Criteri di gruppo
•	Che cos'è un Editor oggetti Criteri di gruppo?
•	Strumenti e impostazioni principali di Criteri di gruppo

Nota È necessario riavviare Internet Explorer per rendere operative queste modifiche.

Impatto della soluzione alternativa: Se il kill bit è impostato, non sarà più possibile utilizzare la funzionalità del foglio di calcolo elettronico OWC all'interno del controllo ActiveX di Office Web Components in Internet Explorer, Microsoft Office o in qualsiasi altra applicazione che gli onori i kill bit. Questo non interessa il funzionamento standard di Microsoft Office e la maggior parte degli utenti non noterà alcun cambiamento dopo l'impostazione del kill bit. OWC è principalmente utilizzato da applicazioni Web, incluse applicazioni aziendali interne, compreso l'accesso Microsoft Office Project Web Access e il componente aggiuntivo di Office 2003: Web Parts and Components. Potrebbe essere anche utilizzato in alcune soluzioni VBA all'interno di Microsoft Office. Una volta impostato il kill bit, queste applicazioni non potranno utilizzare alcuna funzionalità basata sul controllo dei fogli di calcolo elettronico OWC all'interno del controllo ActiveX di Office Web Components.

Per annullare il risultato della soluzione alternativa: è possibile annullare il risultato della soluzione alternativa seguendo questa procedura:

Avvertenza L'utilizzo non corretto dell'Editor del Registro di sistema potrebbe causare problemi tali da rendere necessaria la reinstallazione del sistema operativo. Microsoft non garantisce la risoluzione di problemi dovuti a un utilizzo non corretto dell'Editor del Registro di sistema. È quindi necessario utilizzare questo strumento con grande attenzione. Per informazioni sulla modifica del Registro di sistema, vedere l'argomento relativo alla modifica delle chiavi e dei valori nella Guida dell'Editor del Registro di sistema (Regedit.exe) o gli argomenti relativi all'aggiunta ed eliminazione di informazioni nel Registro di sistema nonché alla modifica dei dati del Registro di sistema (Regedt32.exe).

Nota Prima di modificare il Registro di sistema, è consigliabile eseguirne il backup.

•

Per annullare il kill bit per il controllo CLSID con il valore {0002E543-0000-0000-C000-000000000046} e {0002E55B-0000-0000-C000-000000000046}, incollare il seguente testo in un editor di testo come Blocco note. Successivamente, salvare il file utilizzando l'estensione di nome file reg.

Editor del Registro di sistema di Windows versione 5.00

CLSID_OWC10_Spreadsheet, {0002E541-0000-0000-C000-000000000046}[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{0002E543-0000-0000-C000-000000000046}]

CLSID_OWC11_Spreadsheet, {0002E559-0000-0000-C000-000000000046}[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{0002E55B-0000-0000-C000-000000000046}]

•

Annullare la registrazione della libreria di Office Web Components

Nota Questa operazione non ha esito positivo su un computer ISA Server dal momento che:

•	Office Web Components è installato nella directory di programma di ISA Server ("%ProgramFiles%\Microsoft ISA Server" per impostazione predefinita);
•	Office Web Components viene registrato nuovamente dal meccanismo dei processi di rapporto di ISA Server ogni volta che viene eseguito un processo di rapporto.

Avvertenza L'utilizzo non corretto dell'Editor del Registro di sistema potrebbe causare problemi tali da rendere necessaria la reinstallazione del sistema operativo. Microsoft non garantisce la risoluzione di problemi dovuti a un utilizzo non corretto dell'Editor del Registro di sistema. È quindi necessario utilizzare questo strumento con grande attenzione. Per informazioni sulla modifica del Registro di sistema, vedere l'argomento relativo alla modifica delle chiavi e dei valori nella Guida dell'Editor del Registro di sistema (Regedit.exe) o gli argomenti relativi all'aggiunta ed eliminazione di informazioni nel Registro di sistema nonché alla modifica dei dati del Registro di sistema (Regedt32.exe).

Nota Prima di modificare il Registro di sistema, è consigliabile eseguirne il backup.

•	Per OWC 10, digitare quanto segue al prompt dei comandi e selezionare Esegui: Regsvr32.exe /u "C:\Program Files\Common Files\Microsoft Shared\Web Components\10\owc10.dll"
•	Per OWC 11, digitare quanto segue al prompt dei comandi e selezionare Esegui: Regsvr32.exe /u "C:\Program Files\Common Files\Microsoft Shared\Web Components\11\owc11.dll"

Impatto della soluzione alternativa: Le applicazioni che richiedono Office Web Components non funzioneranno.

Per annullare il risultato della soluzione alternativa: Per registrare nuovamente Office Web Components, attenersi alla seguente procedura:

•	Per OWC 10, digitare quanto segue al prompt dei comandi e selezionare Esegui: Regsvr32.exe "C:\Program Files\Common Files\Microsoft Shared\Web Components\10\owc10.dll"
•	Per OWC 11, digitare quanto segue al prompt dei comandi e selezionare Esegui: Regsvr32.exe "C:\Program Files\Common Files\Microsoft Shared\Web Components\11\owc11.dll"

•

Limitare i siti Web ai soli siti attendibili

Dopo l'impostazione della richiesta di conferma prima dell'esecuzione di controlli ActiveX e script attivo nelle aree Internet e Intranet locale, è possibile aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer. In questo modo è possibile continuare a utilizzare i siti Web attendibili nel modo abituale, proteggendo al tempo stesso il sistema da eventuali attacchi dai siti non attendibili. Si raccomanda di aggiungere all'area Siti attendibili solo i siti effettivamente ritenuti attendibili.

A tale scopo, attenersi alla seguente procedura:

1.	In Internet Explorer, scegliere Opzioni Internet dal menu Strumenti e fare clic sulla scheda Protezione.
2.	Nella sezione Selezionare un'area di contenuto Web per specificare le relative impostazioni di protezione fare clic su Siti attendibili, quindi sul pulsante Siti.
3.	Se si desidera aggiungere siti che non richiedono un canale crittografato, deselezionare la check box Richiedi verifica server (https:) per tutti i siti dell'area.
4.	Digitare nella casella Aggiungi il sito Web all'area l'URL del sito desiderato, quindi fare clic sul pulsante Aggiungi.
5.	Ripetere la procedura per ogni sito da aggiungere all'area.
6.	Fare due volte clic su OK per confermare le modifiche e tornare a Internet Explorer.

È possibile aggiungere qualsiasi sito che si ritiene non eseguirà operazioni dannose sul computer. In particolare è utile aggiungere i due siti "*.windowsupdate.microsoft.com" e "*.update.microsoft.com" (senza le virgolette). ovvero il sito da cui scaricare l'aggiornamento, che per l'installazione richiede l'utilizzo di un controllo ActiveX.

•

Impostare il livello dell'area di protezione Internet e Intranet locale su "Alta" in modo che venga richiesta la conferma dell'esecuzione dei controlli ActiveX in queste aree

È possibile aumentare la protezione nei confronti di queste vulnerabilità modificando le impostazioni relative all'Area Internet in modo da visualizzare un messaggio di conferma prima dell'esecuzione dei controlli ActiveX. Tale operazione può essere eseguita impostando la protezione del browser su Alta.

Per aumentare il livello di protezione del browser in Microsoft Internet Explorer, attenersi alla seguente procedura:

1.	Dal menu Strumenti di Internet Explorer, scegliere Opzioni Internet.
2.	Nella finestra di dialogo Opzioni Internet, fare clic sulla scheda Protezione, quindi sull'icona Internet.
3.	In Livello di protezione per l'area, spostare il dispositivo di scorrimento su Alta. Il livello di protezione per tutti i siti Web visitati viene così impostato su Alta.

Nota Se il dispositivo di scorrimento non è visibile, fare clic su Livello predefinito, quindi spostare il dispositivo di scorrimento su Alta.

Nota Con l'impostazione della protezione su Alta, alcuni siti Web potrebbero non funzionare nel modo corretto. Se si incontrano difficoltà nell'utilizzo di un sito Web dopo aver effettuato questa modifica e si è certi che il sito è sicuro, è possibile aggiungere il sito all'elenco Siti attendibili. In questo modo il sito funzionerà correttamente anche quando la protezione è impostata su Alta.

Top of section

Domande frequenti sulla vulnerabilità legata all'allocazione della memoria in Office Web Components - CVE-2009-0562

Qual è la portata o l'impatto di questa vulnerabilità?
Si tratta di una vulnerabilità legata all'esecuzione di codice in modalità remota. Sfruttando questa vulnerabilità, un utente malintenzionato potrebbe assumere il pieno controllo del sistema interessato. Potrebbe quindi installare programmi e visualizzare, modificare o eliminare dati oppure creare nuovi account con diritti utente completi. Pertanto, gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.

Quali sono le cause di questa vulnerabilità?
Quando il controllo ActiveX viene utilizzato in Internet Explorer, può danneggiare lo stato del sistema in modo tale da consentire a un utente malintenzionato di eseguire codice non autorizzato.

Che cos'è Office Web Components?
Microsoft Office Web Components è una raccolta di controlli COM (Component Object Model) per la pubblicazione di fogli di calcolo, diagrammi e database nel Web e per la visualizzazione dei componenti pubblicati nel Web.

A quali attacchi viene esposto il sistema a causa di questa vulnerabilità?
Se un utente è connesso con privilegi di amministrazione, un utente malintenzionato può assumere il controllo completo del sistema interessato. Potrebbe quindi installare programmi e visualizzare, modificare o eliminare dati oppure creare nuovi account con diritti utente completi. Pertanto, gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.

In che modo un utente malintenzionato può sfruttare questa vulnerabilità?
Un utente malintenzionato può sfruttare la vulnerabilità pubblicando un sito Web appositamente progettato per richiamare il controllo ActiveX tramite Internet Explorer. Ciò può comprendere anche siti Web manomessi e siti Web che accettano o ospitano contenuti o pubblicità forniti dagli utenti. Questi siti Web possono includere contenuti appositamente predisposti in grado di sfruttare questa vulnerabilità. In tutti questi casi, comunque, non è in alcun modo possibile obbligare gli utenti a visitare questi siti Web. L'utente malintenzionato dovrebbe invece convincere le vittime a visitare il sito Web, in genere inducendole a fare clic su un collegamento in un messaggio di posta elettronica o di Instant Messenger che le indirizzi al sito. Potrebbe inoltre far visualizzare contenuti Web appositamente predisposti utilizzando banner pubblicitari o altre modalità di invio di contenuti Web ai sistemi interessati.

Quali sono i sistemi principalmente interessati da questa vulnerabilità?
Questa vulnerabilità può essere sfruttata per l'esecuzione di azioni dannose solo se un utente è connesso al sistema e visita un sito Web. Pertanto, i sistemi maggiormente a rischio sono quelli in cui Internet Explorer viene utilizzato frequentemente, come le workstation o i server terminal. I server potrebbero essere maggiormente a rischio se gli amministratori consentono agli utenti di accedere ai server ed eseguire programmi. Tuttavia, le procedure consigliate scoraggiano fortemente questa attribuzione di privilegi.

Se si utilizza Internet Explorer per Windows Server 2003 o per Windows Server 2008, il problema ha una portata più limitata?
Sì. Per impostazione predefinita, Internet Explorer in Windows Server 2003 e Windows Server 2008 viene eseguito in una modalità limitata denominata Protezione avanzata. La configurazione Protezione avanzata è costituita da un gruppo di impostazioni di Internet Explorer preconfigurate che riduce la probabilità che un utente o un amministratore scarichi ed esegua contenuto Web appositamente predisposto in un server. Questo è un fattore attenuante per i siti Web che non sono stati aggiunti all'area Siti attendibili di Internet Explorer. Consultare anche il documento relativo alla gestione della Protezione avanzata di Internet Explorer.

Che cos'è la funzione ActiveX con consenso esplicito in Windows Internet Explorer 7?
Windows Internet Explorer 7 comprende una funzione ActiveX con consenso esplicito in base alla quale quasi tutti i controlli ActiveX preinstallati sono disattivati per impostazione predefinita. Nella Barra informazioni viene richiesta la conferma agli utenti prima che questi possano creare un'istanza di un controllo ActiveX precedentemente installato e non ancora utilizzato in Internet. In questo modo, l'utente può consentire o negare l'accesso valutando singolarmente i controlli. Per ulteriori informazioni relative a questa e ad altre nuove funzioni, vedere la pagina delle funzioni di Windows Internet Explorer 7.

Quali sono gli scopi dell'aggiornamento?
L'aggiornamento risolve la vulnerabilità gestendo correttamente l'allocazione della memoria quando il controllo ActiveX viene utilizzato in Internet Explorer.

Per le versioni interessate di ISA Server, l'aggiornamento imposta il kill bit per tutti i CLSID di OWC bloccando i vettori di attacco conosciuti all'interno di Internet Explorer. Questa operazione non compromette la funzionalità di ISA Server.

Al momento del rilascio di questo bollettino le informazioni sulla vulnerabilità erano disponibili pubblicamente?
No. Microsoft ha ricevuto informazioni sulla vulnerabilità da fonti private.

Al momento del rilascio di questo bollettino erano già stati segnalati attacchi basati sullo sfruttamento di questa vulnerabilità?
No. Al momento della pubblicazione del presente bollettino, Microsoft non aveva ricevuto alcuna segnalazione in merito allo sfruttamento di questa vulnerabilità a scopo di attacco, né dell'esistenza di un codice di prova pubblicato.

Top of section

Vulnerabilità legata al danneggiamento dell'heap in Office Web Components - CVE-2009-2496

Nel controllo ActiveX di Office Web Components è stata riscontrata una vulnerabilità che può consentire l'esecuzione di codice in modalità remota. Un utente malintenzionato potrebbe sfruttare la vulnerabilità creando una pagina Web dannosa. Se un utente visualizza la pagina Web, la vulnerabilità potrebbe consentire l'esecuzione di codice in modalità remota. Sfruttando questa vulnerabilità, un utente malintenzionato può ottenere gli stessi diritti utente dell'utente connesso.

Per visualizzare questa vulnerabilità come voce standard nell'elenco CVE, vedere il codice CVE-2009-2496.

Fattori attenuanti della vulnerabilità legata al danneggiamento dell'heap in Office Web Components - CVE-2009-2496

Per fattore attenuante si intende un'impostazione, una configurazione comune o una procedura consigliata generica esistente in uno stato predefinito in grado di ridurre la gravità nello sfruttamento di una vulnerabilità. I seguenti fattori attenuanti possono essere utili per l'utente:

•	Per impostazione predefinita, Internet Explorer in Windows Server 2003 e 2008 viene eseguito in una modalità limitata denominata Protezione avanzata. Questa modalità consente di ridurre i rischi correlati a questa vulnerabilità. Per ulteriori informazioni sulla Protezione avanzata di Internet Explorer, consultare la sezione Domande frequenti di questo aggiornamento per la protezione.
•	Per impostazione predefinita, la posta elettronica in formato HTML viene aperta con le limitazioni previste per l'area Siti con restrizioni in Outlook Express 6, Outlook 2002 e Outlook 2003. Le stesse limitazioni sono valide per Outlook 98 e Outlook 2000, se è stato installato Outlook E-mail Security Update. In Outlook Express 5.5 Service Pack 2, i messaggi di posta elettronica in formato HTML vengono aperti con le limitazioni previste per l'area Siti con restrizioni se è stato installato il bollettino sulla sicurezza Microsoft MS04-018. L'area Siti con restrizioni consente di ridurre gli attacchi volti a sfruttare questa vulnerabilità impedendo l'utilizzo dei controlli ActiveX durante la lettura di posta elettronica in formato HTML. Tuttavia, se si fa clic su un collegamento presente in un messaggio di posta elettronica, tale vulnerabilità potrebbe ancora sussistere con le modalità descritte nello scenario di attacco dal Web.
•	In uno scenario di attacco basato sul Web, l'utente malintenzionato potrebbe pubblicare un sito Web contenente una pagina utilizzata per sfruttare la vulnerabilità. Inoltre, i siti Web manomessi e quelli che accettano o ospitano contenuti o annunci pubblicitari forniti dagli utenti potrebbero presentare contenuti appositamente predisposti per sfruttare questa vulnerabilità. In tutti questi casi, comunque, non è in alcun modo possibile obbligare gli utenti a visitare questi siti Web. L'utente malintenzionato dovrebbe invece invogliare le vittime a visitare il sito Web, in genere inducendole a fare clic su un collegamento in un messaggio di posta elettronica o di Instant Messenger che le indirizzi al sito.
•	Sfruttando questa vulnerabilità, un utente malintenzionato può ottenere gli stessi diritti utente dell'utente locale. Pertanto, gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.

Top of section

Soluzioni alternative per la vulnerabilità legata al danneggiamento dell'heap in Office Web Components - CVE-2009-2496

Per soluzione alternativa si intende un'impostazione o una modifica nella configurazione che non elimina la vulnerabilità sottostante, ma consente di bloccare gli attacchi noti prima di applicare l'aggiornamento. Microsoft ha verificato le seguenti soluzioni alternative e segnala nel corso della discussione se tali soluzioni riducono la funzionalità:

•

Non consentire l'esecuzione della libreria di Office Web Components in Internet Explorer.

È possibile impedire che la libreria di Office Web Components venga eseguito in Internet Explorer impostando il kill bit per il controllo nel Registro di sistema.

Avvertenza L'utilizzo non corretto dell'Editor del Registro di sistema potrebbe causare problemi tali da rendere necessaria la reinstallazione del sistema operativo. Microsoft non garantisce la risoluzione di problemi dovuti a un utilizzo non corretto dell'Editor del Registro di sistema. È quindi necessario utilizzare questo strumento con grande attenzione. Per informazioni sulla modifica del Registro di sistema, vedere l'argomento relativo alla modifica delle chiavi e dei valori nella Guida dell'Editor del Registro di sistema (Regedit.exe) o gli argomenti relativi all'aggiunta ed eliminazione di informazioni nel Registro di sistema nonché alla modifica dei dati del Registro di sistema (Regedt32.exe).

Nota Prima di modificare il Registro di sistema, è consigliabile eseguirne il backup.

Nota Questa operazione viene eseguita dal pacchetto di aggiornamento di ISA Server. Questo aggiornamento per ISA Server non contiene file binari.

Per ulteriori informazioni su come impedire l'esecuzione di un controllo in Office Web Components, vedere l'articolo della Microsoft Knowledge Base 240797. Seguire la procedura descritta per creare un valore Compatibility Flags nel Registro di sistema in modo da impedire l'esecuzione della libreria di Office Web Components.

Nota Gli identificatori di classe e i file corrispondenti in cui sono contenuti gli oggetti della libreria sono riportati nella sottosezione "Quali sono gli scopi dell'aggiornamento?" nella sezione Domande frequenti

•

Per impostare il kill bit per il controllo CLSID con il valore {0002E541-0000-0000-C000-000000000046} e {0002E559-0000-0000-C000-000000000046}, incollare il seguente testo in un editor di testo come Blocco note. Successivamente, salvare il file utilizzando l'estensione di nome file reg.

Editor del Registro di sistema di Windows versione 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{0002E541-0000-0000-C000-000000000046}]
"Compatibility Flags"=dword:00000400

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{0002E559-0000-0000-C000-000000000046}]
"Compatibility Flags"=dword:00000400

Questo file .reg può essere applicato a singoli sistemi facendo doppio clic su di esso. Inoltre, può essere applicato in domini diversi utilizzando i Criteri di gruppo. Per ulteriori informazioni sui Criteri di gruppo, visitare i seguenti siti Web Microsoft:

•	Insieme di Criteri di gruppo
•	Che cos'è un Editor oggetti Criteri di gruppo?
•	Strumenti e impostazioni principali di Criteri di gruppo

Nota È necessario riavviare Internet Explorer per rendere operative queste modifiche.

Impatto della soluzione alternativa: Se il kill bit è impostato, non sarà più possibile utilizzare la funzionalità del foglio di calcolo elettronico OWC all'interno del controllo ActiveX di Office Web Components in Internet Explorer, Microsoft Office o in qualsiasi altra applicazione che gli onori i kill bit. Questo non interessa il funzionamento standard di Microsoft Office e la maggior parte degli utenti non noterà alcun cambiamento dopo l'impostazione del kill bit. OWC è principalmente utilizzato da applicazioni Web, incluse applicazioni aziendali interne, compreso l'accesso Microsoft Office Project Web Access e il componente aggiuntivo di Office 2003: Web Parts and Components. Potrebbe essere anche utilizzato in alcune soluzioni VBA all'interno di Microsoft Office. Una volta impostato il kill bit, queste applicazioni non potranno utilizzare alcuna funzionalità basata sul controllo dei fogli di calcolo elettronico OWC all'interno del controllo ActiveX di Office Web Components.

Per annullare il risultato della soluzione alternativa: è possibile annullare il risultato della soluzione alternativa seguendo questa procedura:

Avvertenza L'utilizzo non corretto dell'Editor del Registro di sistema potrebbe causare problemi tali da rendere necessaria la reinstallazione del sistema operativo. Microsoft non garantisce la risoluzione di problemi dovuti a un utilizzo non corretto dell'Editor del Registro di sistema. È quindi necessario utilizzare questo strumento con grande attenzione. Per informazioni sulla modifica del Registro di sistema, vedere l'argomento relativo alla modifica delle chiavi e dei valori nella Guida dell'Editor del Registro di sistema (Regedit.exe) o gli argomenti relativi all'aggiunta ed eliminazione di informazioni nel Registro di sistema nonché alla modifica dei dati del Registro di sistema (Regedt32.exe).

Nota Prima di modificare il Registro di sistema, è consigliabile eseguirne il backup.

•

Per annullare il kill bit per il controllo CLSID con il valore {0002E541-0000-0000-C000-000000000046} e {0002E559-0000-0000-C000-000000000046}, incollare il seguente testo in un editor di testo come Blocco note. Successivamente, salvare il file utilizzando l'estensione di nome file reg.

Editor del Registro di sistema di Windows versione 5.00

CLSID_OWC10_Spreadsheet, {0002E541-0000-0000-C000-000000000046}[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{0002E541-0000-0000-C000-000000000046}]

CLSID_OWC11_Spreadsheet, {0002E559-0000-0000-C000-000000000046}[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{0002E559-0000-0000-C000-000000000046}]

•

Annullare la registrazione della libreria di Office Web Components

Nota Questa operazione non ha esito positivo su un computer ISA Server dal momento che:

•	Office Web Components è installato nella directory di programma di ISA Server ("%ProgramFiles%\Microsoft ISA Server" per impostazione predefinita);
•	Office Web Components viene registrato nuovamente dal meccanismo dei processi di rapporto di ISA Server ogni volta che viene eseguito un processo di rapporto.

Avvertenza L'utilizzo non corretto dell'Editor del Registro di sistema potrebbe causare problemi tali da rendere necessaria la reinstallazione del sistema operativo. Microsoft non garantisce la risoluzione di problemi dovuti a un utilizzo non corretto dell'Editor del Registro di sistema. È quindi necessario utilizzare questo strumento con grande attenzione. Per informazioni sulla modifica del Registro di sistema, vedere l'argomento relativo alla modifica delle chiavi e dei valori nella Guida dell'Editor del Registro di sistema (Regedit.exe) o gli argomenti relativi all'aggiunta ed eliminazione di informazioni nel Registro di sistema nonché alla modifica dei dati del Registro di sistema (Regedt32.exe).

Nota Prima di modificare il Registro di sistema, è consigliabile eseguirne il backup.

•	Per OWC 10, digitare quanto segue al prompt dei comandi e selezionare Esegui: Regsvr32.exe /u "C:\Program Files\Common Files\Microsoft Shared\Web Components\10\owc10.dll"
•	Per OWC 11, digitare quanto segue al prompt dei comandi e selezionare Esegui: Regsvr32.exe /u "C:\Program Files\Common Files\Microsoft Shared\Web Components\11\owc11.dll"

Impatto della soluzione alternativa: Le applicazioni che richiedono Office Web Components non funzioneranno.

Per annullare il risultato della soluzione alternativa: Per registrare nuovamente Office Web Components, attenersi alla seguente procedura:

•	Per OWC 10, digitare quanto segue al prompt dei comandi e selezionare Esegui: Regsvr32.exe "C:\Program Files\Common Files\Microsoft Shared\Web Components\10\owc10.dll"
•	Per OWC 11, digitare quanto segue al prompt dei comandi e selezionare Esegui: Regsvr32.exe "C:\Program Files\Common Files\Microsoft Shared\Web Components\11\owc11.dll"

•

Limitare i siti Web ai soli siti attendibili

Dopo l'impostazione della richiesta di conferma prima dell'esecuzione di controlli ActiveX e script attivo nelle aree Internet e Intranet locale, è possibile aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer. In questo modo è possibile continuare a utilizzare i siti Web attendibili nel modo abituale, proteggendo al tempo stesso il sistema da eventuali attacchi dai siti non attendibili. Si raccomanda di aggiungere all'area Siti attendibili solo i siti effettivamente ritenuti attendibili.

A tale scopo, attenersi alla seguente procedura:

1.	In Internet Explorer, scegliere Opzioni Internet dal menu Strumenti e fare clic sulla scheda Protezione.
2.	Nella sezione Selezionare un'area di contenuto Web per specificare le relative impostazioni di protezione fare clic su Siti attendibili, quindi sul pulsante Siti.
3.	Se si desidera aggiungere siti che non richiedono un canale crittografato, deselezionare la check box Richiedi verifica server (https:) per tutti i siti dell'area.
4.	Digitare nella casella Aggiungi il sito Web all'area l'URL del sito desiderato, quindi fare clic sul pulsante Aggiungi.
5.	Ripetere la procedura per ogni sito da aggiungere all'area.
6.	Fare due volte clic su OK per confermare le modifiche e tornare a Internet Explorer.

È possibile aggiungere qualsiasi sito che si ritiene non eseguirà operazioni dannose sul computer. In particolare è utile aggiungere i due siti "*.windowsupdate.microsoft.com" e "*.update.microsoft.com" (senza le virgolette). ovvero il sito da cui scaricare l'aggiornamento, che per l'installazione richiede l'utilizzo di un controllo ActiveX.

•

Impostare il livello dell'area di protezione Internet e Intranet locale su "Alta" in modo che venga richiesta la conferma dell'esecuzione dei controlli ActiveX in queste aree

È possibile aumentare la protezione nei confronti di queste vulnerabilità modificando le impostazioni relative all'Area Internet in modo da visualizzare un messaggio di conferma prima dell'esecuzione dei controlli ActiveX. Tale operazione può essere eseguita impostando la protezione del browser su Alta.

Per aumentare il livello di protezione del browser in Microsoft Internet Explorer, attenersi alla seguente procedura:

1.	Dal menu Strumenti di Internet Explorer, scegliere Opzioni Internet.
2.	Nella finestra di dialogo Opzioni Internet, fare clic sulla scheda Protezione, quindi sull'icona Internet.
3.	In Livello di protezione per l'area, spostare il dispositivo di scorrimento su Alta. Il livello di protezione per tutti i siti Web visitati viene così impostato su Alta.

Nota Se il dispositivo di scorrimento non è visibile, fare clic su Livello predefinito, quindi spostare il dispositivo di scorrimento su Alta.

Nota Con l'impostazione della protezione su Alta, alcuni siti Web potrebbero non funzionare nel modo corretto. Se si incontrano difficoltà nell'utilizzo di un sito Web dopo aver effettuato questa modifica e si è certi che il sito è sicuro, è possibile aggiungere il sito all'elenco Siti attendibili. In questo modo il sito funzionerà correttamente anche quando la protezione è impostata su Alta.

Top of section

Domande frequenti sulla vulnerabilità legata al danneggiamento dell'heap in Office Web Components - CVE-2009-2496

Qual è la portata o l'impatto di questa vulnerabilità?
Si tratta di una vulnerabilità legata all'esecuzione di codice in modalità remota. Sfruttando questa vulnerabilità, un utente malintenzionato potrebbe assumere il pieno controllo del sistema interessato. Potrebbe quindi installare programmi e visualizzare, modificare o eliminare dati oppure creare nuovi account con diritti utente completi. Pertanto, gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.

Quali sono le cause di questa vulnerabilità?
Quando un controllo ActiveX viene utilizzato in Internet Explorer, i metodi del controllo non eseguono una convalida dei parametri sufficiente. Ciò può causare un overflow dell'heap e consentire a un utente malintenzionato di eseguire codice non autorizzato.

Che cos'è Office Web Components?
Microsoft Office Web Components è una raccolta di controlli COM (Component Object Model) per la pubblicazione di fogli di calcolo, diagrammi e database nel Web e per la visualizzazione dei componenti pubblicati nel Web.

A quali attacchi viene esposto il sistema a causa di questa vulnerabilità?
Se un utente è connesso con privilegi di amministrazione, un utente malintenzionato può assumere il controllo completo del sistema interessato. Potrebbe quindi installare programmi e visualizzare, modificare o eliminare dati oppure creare nuovi account con diritti utente completi. Pertanto, gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.

In che modo un utente malintenzionato può sfruttare questa vulnerabilità?
Un utente malintenzionato può sfruttare la vulnerabilità pubblicando un sito Web appositamente progettato per richiamare il controllo ActiveX tramite Internet Explorer. Ciò può comprendere anche siti Web manomessi e siti Web che accettano o ospitano contenuti o pubblicità forniti dagli utenti. Questi siti Web possono includere contenuti appositamente predisposti in grado di sfruttare questa vulnerabilità. In tutti questi casi, comunque, non è in alcun modo possibile obbligare gli utenti a visitare questi siti Web. L'utente malintenzionato dovrebbe invece convincere le vittime a visitare il sito Web, in genere inducendole a fare clic su un collegamento in un messaggio di posta elettronica o di Instant Messenger che le indirizzi al sito. Potrebbe inoltre far visualizzare contenuti Web appositamente predisposti utilizzando banner pubblicitari o altre modalità di invio di contenuti Web ai sistemi interessati.

Quali sono i sistemi principalmente interessati da questa vulnerabilità?
Questa vulnerabilità può essere sfruttata per l'esecuzione di azioni dannose solo se un utente è connesso al sistema e visita un sito Web. Pertanto, i sistemi maggiormente a rischio sono quelli in cui Internet Explorer viene utilizzato frequentemente, come le workstation o i server terminal. I server potrebbero essere maggiormente a rischio se gli amministratori consentono agli utenti di accedere ai server ed eseguire programmi. Tuttavia, le procedure consigliate scoraggiano fortemente questa attribuzione di privilegi.

Se si utilizza Internet Explorer per Windows Server 2003 o per Windows Server 2008, il problema ha una portata più limitata?
Sì. Per impostazione predefinita, Internet Explorer in Windows Server 2003 e Windows Server 2008 viene eseguito in una modalità limitata denominata Protezione avanzata. La configurazione Protezione avanzata è costituita da un gruppo di impostazioni di Internet Explorer preconfigurate che riduce la probabilità che un utente o un amministratore scarichi ed esegua contenuto Web appositamente predisposto in un server. Questo è un fattore attenuante per i siti Web che non sono stati aggiunti all'area Siti attendibili di Internet Explorer. Consultare anche il documento relativo alla gestione della Protezione avanzata di Internet Explorer.

Che cos'è la funzione ActiveX con consenso esplicito in Windows Internet Explorer 7?
Windows Internet Explorer 7 comprende una funzione ActiveX con consenso esplicito in base alla quale quasi tutti i controlli ActiveX preinstallati sono disattivati per impostazione predefinita. Nella Barra informazioni viene richiesta la conferma agli utenti prima che questi possano creare un'istanza di un controllo ActiveX precedentemente installato e non ancora utilizzato in Internet. In questo modo, l'utente può consentire o negare l'accesso valutando singolarmente i controlli. Per ulteriori informazioni relative a questa e ad altre nuove funzioni, vedere la pagina delle funzioni di Windows Internet Explorer 7.

Quali sono gli scopi dell'aggiornamento?
L'aggiornamento risolve la vulnerabilità correggendo la logica di convalida utilizzata dai metodi del controllo ActiveX di Office Web Components.

Per le versioni interessate di ISA Server, l'aggiornamento imposta il kill bit per tutti i CLSID di OWC bloccando i vettori di attacco conosciuti all'interno di Internet Explorer.

Al momento del rilascio di questo bollettino le informazioni sulla vulnerabilità erano disponibili pubblicamente?
No. Microsoft ha ricevuto informazioni sulla vulnerabilità da fonti private.

Al momento del rilascio di questo bollettino erano già stati segnalati attacchi basati sullo sfruttamento di questa vulnerabilità?
No. Al momento della pubblicazione del presente bollettino, Microsoft non aveva ricevuto alcuna segnalazione in merito allo sfruttamento di questa vulnerabilità a scopo di attacco, né dell'esistenza di un codice di prova pubblicato.

Top of section

Vulnerabilità legata allo script HTML in Office Web Components - CVE-2009-1136

Nel controllo ActiveX di Office Web Components è stata riscontrata una vulnerabilità che può consentire l'esecuzione di codice in modalità remota. Un utente malintenzionato potrebbe sfruttare la vulnerabilità creando una pagina Web dannosa. Se un utente visualizza la pagina Web, la vulnerabilità potrebbe consentire l'esecuzione di codice in modalità remota. Sfruttando questa vulnerabilità, un utente malintenzionato può ottenere gli stessi diritti utente dell'utente connesso.

Per visualizzare questa vulnerabilità come voce standard nell'elenco CVE, vedere il codice CVE-2009-1136.

Fattori attenuanti della vulnerabilità legata allo script HTML in Office Web Components - CVE-2009-1136

Per fattore attenuante si intende un'impostazione, una configurazione comune o una procedura consigliata generica esistente in uno stato predefinito in grado di ridurre la gravità nello sfruttamento di una vulnerabilità. I seguenti fattori attenuanti possono essere utili per l'utente:

•	Per impostazione predefinita, Internet Explorer in Windows Server 2003 e 2008 viene eseguito in una modalità limitata denominata Protezione avanzata. Questa modalità consente di ridurre i rischi correlati a questa vulnerabilità. Per ulteriori informazioni sulla Protezione avanzata di Internet Explorer, consultare la sezione Domande frequenti di questo aggiornamento per la protezione.
•	Per impostazione predefinita, la posta elettronica in formato HTML viene aperta con le limitazioni previste per l'area Siti con restrizioni in Outlook Express 6, Outlook 2002 e Outlook 2003. Le stesse limitazioni sono valide per Outlook 98 e Outlook 2000, se è stato installato Outlook E-mail Security Update. In Outlook Express 5.5 Service Pack 2, i messaggi di posta elettronica in formato HTML vengono aperti con le limitazioni previste per l'area Siti con restrizioni se è stato installato il bollettino sulla sicurezza Microsoft MS04-018. L'area Siti con restrizioni consente di ridurre gli attacchi volti a sfruttare questa vulnerabilità impedendo l'utilizzo dei controlli ActiveX durante la lettura di posta elettronica in formato HTML. Tuttavia, se si fa clic su un collegamento presente in un messaggio di posta elettronica, tale vulnerabilità potrebbe ancora sussistere con le modalità descritte nello scenario di attacco dal Web.
•	In uno scenario di attacco basato sul Web, l'utente malintenzionato potrebbe pubblicare un sito Web contenente una pagina utilizzata per sfruttare la vulnerabilità. Inoltre, i siti Web manomessi e quelli che accettano o ospitano contenuti o annunci pubblicitari forniti dagli utenti potrebbero presentare contenuti appositamente predisposti per sfruttare questa vulnerabilità. In tutti questi casi, comunque, non è in alcun modo possibile obbligare gli utenti a visitare questi siti Web. L'utente malintenzionato dovrebbe invece invogliare le vittime a visitare il sito Web, in genere inducendole a fare clic su un collegamento in un messaggio di posta elettronica o di Instant Messenger che le indirizzi al sito.
•	Sfruttando questa vulnerabilità, un utente malintenzionato può ottenere gli stessi diritti utente dell'utente locale. Pertanto, gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.

Top of section

Soluzioni alternative per la vulnerabilità legata allo script HTML in Office Web Components - CVE-2009-1136

Per soluzione alternativa si intende un'impostazione o una modifica nella configurazione che non elimina la vulnerabilità sottostante, ma consente di bloccare gli attacchi noti prima di applicare l'aggiornamento. Microsoft ha verificato le seguenti soluzioni alternative e segnala nel corso della discussione se tali soluzioni riducono la funzionalità:

•

Non consentire l'esecuzione della libreria di Office Web Components in Internet Explorer.

È possibile impedire che la libreria di Office Web Components venga eseguito in Internet Explorer impostando il kill bit per il controllo nel Registro di sistema.

Avvertenza L'utilizzo non corretto dell'Editor del Registro di sistema potrebbe causare problemi tali da rendere necessaria la reinstallazione del sistema operativo. Microsoft non garantisce la risoluzione di problemi dovuti a un utilizzo non corretto dell'Editor del Registro di sistema. È quindi necessario utilizzare questo strumento con grande attenzione. Per informazioni sulla modifica del Registro di sistema, vedere l'argomento relativo alla modifica delle chiavi e dei valori nella Guida dell'Editor del Registro di sistema (Regedit.exe) o gli argomenti relativi all'aggiunta ed eliminazione di informazioni nel Registro di sistema nonché alla modifica dei dati del Registro di sistema (Regedt32.exe).

Nota Prima di modificare il Registro di sistema, è consigliabile eseguirne il backup.

Nota Questa operazione viene eseguita dal pacchetto di aggiornamento di ISA Server. Questo aggiornamento per ISA Server non contiene file binari.

Per ulteriori informazioni su come impedire l'esecuzione di un controllo in Office Web Components, vedere l'articolo della Microsoft Knowledge Base 240797. Seguire la procedura descritta per creare un valore Compatibility Flags nel Registro di sistema in modo da impedire l'esecuzione della libreria di Office Web Components.

Nota Gli identificatori di classe e i file corrispondenti in cui sono contenuti gli oggetti della libreria sono riportati nella sottosezione "Quali sono gli scopi dell'aggiornamento?" nella sezione Domande frequenti

•

Per impostare il kill bit per il controllo CLSID con il valore {0002E541-0000-0000-C000-000000000046} e {0002E559-0000-0000-C000-000000000046}, incollare il seguente testo in un editor di testo come Blocco note. Successivamente, salvare il file utilizzando l'estensione di nome file reg.

Editor del Registro di sistema di Windows versione 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{0002E541-0000-0000-C000-000000000046}]
"Compatibility Flags"=dword:00000400

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{0002E559-0000-0000-C000-000000000046}]
"Compatibility Flags"=dword:00000400

Questo file .reg può essere applicato a singoli sistemi facendo doppio clic su di esso. Inoltre, può essere applicato in domini diversi utilizzando i Criteri di gruppo. Per ulteriori informazioni sui Criteri di gruppo, visitare i seguenti siti Web Microsoft:

•	Insieme di Criteri di gruppo
•	Che cos'è un Editor oggetti Criteri di gruppo?
•	Strumenti e impostazioni principali di Criteri di gruppo

Nota È necessario riavviare Internet Explorer per rendere operative queste modifiche.

Impatto della soluzione alternativa: Se il kill bit è impostato, non sarà più possibile utilizzare la funzionalità del foglio di calcolo elettronico OWC all'interno del controllo ActiveX di Office Web Components in Internet Explorer, Microsoft Office o in qualsiasi altra applicazione che gli onori i kill bit. Questo non interessa il funzionamento standard di Microsoft Office e la maggior parte degli utenti non noterà alcun cambiamento dopo l'impostazione del kill bit. OWC è principalmente utilizzato da applicazioni Web, incluse applicazioni aziendali interne, compreso l'accesso Microsoft Office Project Web Access e il componente aggiuntivo di Office 2003: Web Parts and Components. Potrebbe essere anche utilizzato in alcune soluzioni VBA all'interno di Microsoft Office. Una volta impostato il kill bit, queste applicazioni non potranno utilizzare alcuna funzionalità basata sul controllo dei fogli di calcolo elettronico OWC all'interno del controllo ActiveX di Office Web Components.

Per annullare il risultato della soluzione alternativa: è possibile annullare il risultato della soluzione alternativa seguendo questa procedura:

Avvertenza L'utilizzo non corretto dell'Editor del Registro di sistema potrebbe causare problemi tali da rendere necessaria la reinstallazione del sistema operativo. Microsoft non garantisce la risoluzione di problemi dovuti a un utilizzo non corretto dell'Editor del Registro di sistema. È quindi necessario utilizzare questo strumento con grande attenzione. Per informazioni sulla modifica del Registro di sistema, vedere l'argomento relativo alla modifica delle chiavi e dei valori nella Guida dell'Editor del Registro di sistema (Regedit.exe) o gli argomenti relativi all'aggiunta ed eliminazione di informazioni nel Registro di sistema nonché alla modifica dei dati del Registro di sistema (Regedt32.exe).

Nota Prima di modificare il Registro di sistema, è consigliabile eseguirne il backup.

•

Per annullare il kill bit per il controllo CLSID con il valore {0002E541-0000-0000-C000-000000000046} e {0002E559-0000-0000-C000-000000000046}, incollare il seguente testo in un editor di testo come Blocco note. Successivamente, salvare il file utilizzando l'estensione di nome file reg.

Editor del Registro di sistema di Windows versione 5.00

CLSID_OWC10_Spreadsheet, {0002E541-0000-0000-C000-000000000046}[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{0002E541-0000-0000-C000-000000000046}]

CLSID_OWC11_Spreadsheet, {0002E559-0000-0000-C000-000000000046}[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{0002E559-0000-0000-C000-000000000046}]

•

Annullare la registrazione della libreria di Office Web Components

Nota Questa operazione non ha esito positivo su un computer ISA Server dal momento che:

•	Office Web Components è installato nella directory di programma di ISA Server ("%ProgramFiles%\Microsoft ISA Server" per impostazione predefinita);
•	Office Web Components viene registrato nuovamente dal meccanismo dei processi di rapporto di ISA Server ogni volta che viene eseguito un processo di rapporto.

Avvertenza L'utilizzo non corretto dell'Editor del Registro di sistema potrebbe causare problemi tali da rendere necessaria la reinstallazione del sistema operativo. Microsoft non garantisce la risoluzione di problemi dovuti a un utilizzo non corretto dell'Editor del Registro di sistema. È quindi necessario utilizzare questo strumento con grande attenzione. Per informazioni sulla modifica del Registro di sistema, vedere l'argomento relativo alla modifica delle chiavi e dei valori nella Guida dell'Editor del Registro di sistema (Regedit.exe) o gli argomenti relativi all'aggiunta ed eliminazione di informazioni nel Registro di sistema nonché alla modifica dei dati del Registro di sistema (Regedt32.exe).

Nota Prima di modificare il Registro di sistema, è consigliabile eseguirne il backup.

•	Per OWC 10, digitare quanto segue al prompt dei comandi e selezionare Esegui: Regsvr32.exe /u "C:\Program Files\Common Files\Microsoft Shared\Web Components\10\owc10.dll"
•	Per OWC 11, digitare quanto segue al prompt dei comandi e selezionare Esegui: Regsvr32.exe /u "C:\Program Files\Common Files\Microsoft Shared\Web Components\11\owc11.dll"

Impatto della soluzione alternativa: Le applicazioni che richiedono Office Web Components non funzioneranno.

Per annullare il risultato della soluzione alternativa: Per registrare nuovamente Office Web Components, attenersi alla seguente procedura:

•	Per OWC 10, digitare quanto segue al prompt dei comandi e selezionare Esegui: Regsvr32.exe "C:\Program Files\Common Files\Microsoft Shared\Web Components\10\owc10.dll"
•	Per OWC 11, digitare quanto segue al prompt dei comandi e selezionare Esegui: Regsvr32.exe "C:\Program Files\Common Files\Microsoft Shared\Web Components\11\owc11.dll"

•

Limitare i siti Web ai soli siti attendibili

Dopo l'impostazione della richiesta di conferma prima dell'esecuzione di controlli ActiveX e script attivo nelle aree Internet e Intranet locale, è possibile aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer. In questo modo è possibile continuare a utilizzare i siti Web attendibili nel modo abituale, proteggendo al tempo stesso il sistema da eventuali attacchi dai siti non attendibili. Si raccomanda di aggiungere all'area Siti attendibili solo i siti effettivamente ritenuti attendibili.

A tale scopo, attenersi alla seguente procedura:

1.	In Internet Explorer, scegliere Opzioni Internet dal menu Strumenti e fare clic sulla scheda Protezione.
2.	Nella sezione Selezionare un'area di contenuto Web per specificare le relative impostazioni di protezione fare clic su Siti attendibili, quindi sul pulsante Siti.
3.	Se si desidera aggiungere siti che non richiedono un canale crittografato, deselezionare la check box Richiedi verifica server (https:) per tutti i siti dell'area.
4.	Digitare nella casella Aggiungi il sito Web all'area l'URL del sito desiderato, quindi fare clic sul pulsante Aggiungi.
5.	Ripetere la procedura per ogni sito da aggiungere all'area.
6.	Fare due volte clic su OK per confermare le modifiche e tornare a Internet Explorer.

È possibile aggiungere qualsiasi sito che si ritiene non eseguirà operazioni dannose sul computer. In particolare è utile aggiungere i due siti "*.windowsupdate.microsoft.com" e "*.update.microsoft.com" (senza le virgolette). ovvero il sito da cui scaricare l'aggiornamento, che per l'installazione richiede l'utilizzo di un controllo ActiveX.

•

Impostare il livello dell'area di protezione Internet e Intranet locale su "Alta" in modo che venga richiesta la conferma dell'esecuzione dei controlli ActiveX in queste aree

È possibile aumentare la protezione nei confronti di queste vulnerabilità modificando le impostazioni relative all'Area Internet in modo da visualizzare un messaggio di conferma prima dell'esecuzione dei controlli ActiveX. Tale operazione può essere eseguita impostando la protezione del browser su Alta.

Per aumentare il livello di protezione del browser in Microsoft Internet Explorer, attenersi alla seguente procedura:

1.	Dal menu Strumenti di Internet Explorer, scegliere Opzioni Internet.
2.	Nella finestra di dialogo Opzioni Internet, fare clic sulla scheda Protezione, quindi sull'icona Internet.
3.	In Livello di protezione per l'area, spostare il dispositivo di scorrimento su Alta. Il livello di protezione per tutti i siti Web visitati viene così impostato su Alta.

Nota Se il dispositivo di scorrimento non è visibile, fare clic su Livello predefinito, quindi spostare il dispositivo di scorrimento su Alta.

Nota Con l'impostazione della protezione su Alta, alcuni siti Web potrebbero non funzionare nel modo corretto. Se si incontrano difficoltà nell'utilizzo di un sito Web dopo aver effettuato questa modifica e si è certi che il sito è sicuro, è possibile aggiungere il sito all'elenco Siti attendibili. In questo modo il sito funzionerà correttamente anche quando la protezione è impostata su Alta.

Top of section

Domande frequenti sulla vulnerabilità legata allo script HTML in Office Web Components - CVE-2009-1136

Qual è la portata o l'impatto di questa vulnerabilità?
Si tratta di una vulnerabilità legata all'esecuzione di codice in modalità remota. Sfruttando questa vulnerabilità, un utente malintenzionato potrebbe assumere il pieno controllo del sistema interessato. Potrebbe quindi installare programmi e visualizzare, modificare o eliminare dati oppure creare nuovi account con diritti utente completi. Pertanto, gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.

Quali sono le cause di questa vulnerabilità?
Quando viene utilizzato in Internet Explorer, il controllo ActiveX non gestisce correttamente i valori dei parametri e può danneggiare lo stato del sistema in modo tale da consentire a un utente malintenzionato di eseguire codice non autorizzato.

Che cos'è Office Web Components?
Microsoft Office Web Components è una raccolta di controlli COM (Component Object Model) per la pubblicazione di fogli di calcolo, diagrammi e database nel Web e per la visualizzazione dei componenti pubblicati nel Web.

A quali attacchi viene esposto il sistema a causa di questa vulnerabilità?
Se un utente è connesso con privilegi di amministrazione, un utente malintenzionato può assumere il controllo completo del sistema interessato. Potrebbe quindi installare programmi e visualizzare, modificare o eliminare dati oppure creare nuovi account con diritti utente completi. Pertanto, gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.

In che modo un utente malintenzionato può sfruttare questa vulnerabilità?
Un utente malintenzionato può sfruttare la vulnerabilità pubblicando un sito Web appositamente progettato per richiamare il controllo ActiveX tramite Internet Explorer. Ciò può comprendere anche siti Web manomessi e siti Web che accettano o ospitano contenuti o pubblicità forniti dagli utenti. Questi siti Web possono includere contenuti appositamente predisposti in grado di sfruttare questa vulnerabilità. In tutti questi casi, comunque, non è in alcun modo possibile obbligare gli utenti a visitare questi siti Web. L'utente malintenzionato dovrebbe invece convincere le vittime a visitare il sito Web, in genere inducendole a fare clic su un collegamento in un messaggio di posta elettronica o di Instant Messenger che le indirizzi al sito. Potrebbe inoltre far visualizzare contenuti Web appositamente predisposti utilizzando banner pubblicitari o altre modalità di invio di contenuti Web ai sistemi interessati.

Quali sono i sistemi principalmente interessati da questa vulnerabilità?
Questa vulnerabilità può essere sfruttata per l'esecuzione di azioni dannose solo se un utente è connesso al sistema e visita un sito Web. Pertanto, i sistemi maggiormente a rischio sono quelli in cui Internet Explorer viene utilizzato frequentemente, come le workstation o i server terminal. I server potrebbero essere maggiormente a rischio se gli amministratori consentono agli utenti di accedere ai server ed eseguire programmi. Tuttavia, le procedure consigliate scoraggiano fortemente questa attribuzione di privilegi.

Se si utilizza Internet Explorer per Windows Server 2003 o per Windows Server 2008, il problema ha una portata più limitata?
Sì. Per impostazione predefinita, Internet Explorer in Windows Server 2003 e Windows Server 2008 viene eseguito in una modalità limitata denominata Protezione avanzata. La configurazione Protezione avanzata è costituita da un gruppo di impostazioni di Internet Explorer preconfigurate che riduce la probabilità che un utente o un amministratore scarichi ed esegua contenuto Web appositamente predisposto in un server. Questo è un fattore attenuante per i siti Web che non sono stati aggiunti all'area Siti attendibili di Internet Explorer. Consultare anche il documento relativo alla gestione della Protezione avanzata di Internet Explorer.

Che cos'è la funzione ActiveX con consenso esplicito in Windows Internet Explorer 7?
Windows Internet Explorer 7 comprende una funzione ActiveX con consenso esplicito in base alla quale quasi tutti i controlli ActiveX preinstallati sono disattivati per impostazione predefinita. Nella Barra informazioni viene richiesta la conferma agli utenti prima che questi possano creare un'istanza di un controllo ActiveX precedentemente installato e non ancora utilizzato in Internet. In questo modo, l'utente può consentire o negare l'accesso valutando singolarmente i controlli. Per ulteriori informazioni relative a questa e ad altre nuove funzioni, vedere la pagina delle funzioni di Windows Internet Explorer 7.

Quali sono gli scopi dell'aggiornamento?
L'aggiornamento per la protezione risolve la vulnerabilità eseguendo una convalida aggiuntiva dei parametri.

Per le versioni interessate di ISA Server, l'aggiornamento imposta il kill bit per tutti i CLSID di OWC bloccando i vettori di attacco conosciuti all'interno di Internet Explorer. Questa operazione non compromette la funzionalità di ISA Server.

Al momento del rilascio di questo bollettino le informazioni sulla vulnerabilità erano disponibili pubblicamente?
Sebbene il report iniziale sia stato fornito mediante segnalazione responsabile, la vulnerabilità è stata divulgata pubblicamente in seguito da parti separate. Il presente bollettino sulla sicurezza risolve questa vulnerabilità, nonché altri problemi scoperti tramite ricerche interne. Questa vulnerabilità è stata descritta nell'advisory Microsoft sulla sicurezza 973472.

Al momento del rilascio di questo bollettino erano già stati segnalati attacchi basati sullo sfruttamento di questa vulnerabilità?
Sì. Microsoft è a conoscenza di un limitato numero di attacchi che tentano di utilizzare questa vulnerabilità.

Top of section

Vulnerabilità legata all'overflow del buffer in Office Web Components - CVE-2009-1534

Nel controllo ActiveX di Office Web Components è stata riscontrata una vulnerabilità che può consentire l'esecuzione di codice in modalità remota. Un utente malintenzionato potrebbe sfruttare la vulnerabilità creando una pagina Web dannosa. Se un utente visualizza la pagina Web, la vulnerabilità potrebbe consentire l'esecuzione di codice in modalità remota. Sfruttando questa vulnerabilità, un utente malintenzionato può ottenere gli stessi diritti utente dell'utente connesso.

Per visualizzare questa vulnerabilità come voce standard nell'elenco CVE, vedere il codice CVE-2009-1534.

Fattori attenuanti della vulnerabilità legata all'overflow del buffer in Office Web Components - CVE-2009-1534

Per fattore attenuante si intende un'impostazione, una configurazione comune o una procedura consigliata generica esistente in uno stato predefinito in grado di ridurre la gravità nello sfruttamento di una vulnerabilità. I seguenti fattori attenuanti possono essere utili per l'utente:

•	Per impostazione predefinita, Internet Explorer in Windows Server 2003 e 2008 viene eseguito in una modalità limitata denominata Protezione avanzata. Questa modalità consente di ridurre i rischi correlati a questa vulnerabilità. Per ulteriori informazioni sulla Protezione avanzata di Internet Explorer, consultare la sezione Domande frequenti di questo aggiornamento per la protezione.
•	Per impostazione predefinita, la posta elettronica in formato HTML viene aperta con le limitazioni previste per l'area Siti con restrizioni in Outlook Express 6, Outlook 2002 e Outlook 2003. Le stesse limitazioni sono valide per Outlook 98 e Outlook 2000, se è stato installato Outlook E-mail Security Update. In Outlook Express 5.5 Service Pack 2, i messaggi di posta elettronica in formato HTML vengono aperti con le limitazioni previste per l'area Siti con restrizioni se è stato installato il bollettino sulla sicurezza Microsoft MS04-018. L'area Siti con restrizioni consente di ridurre gli attacchi volti a sfruttare questa vulnerabilità impedendo l'utilizzo dei controlli ActiveX durante la lettura di posta elettronica in formato HTML. Tuttavia, se si fa clic su un collegamento presente in un messaggio di posta elettronica, tale vulnerabilità potrebbe ancora sussistere con le modalità descritte nello scenario di attacco dal Web.
•	In uno scenario di attacco basato sul Web, l'utente malintenzionato potrebbe pubblicare un sito Web contenente una pagina utilizzata per sfruttare la vulnerabilità. Inoltre, i siti Web manomessi e quelli che accettano o ospitano contenuti o annunci pubblicitari forniti dagli utenti potrebbero presentare contenuti appositamente predisposti per sfruttare questa vulnerabilità. In tutti questi casi, comunque, non è in alcun modo possibile obbligare gli utenti a visitare questi siti Web. L'utente malintenzionato dovrebbe invece invogliare le vittime a visitare il sito Web, in genere inducendole a fare clic su un collegamento in un messaggio di posta elettronica o di Instant Messenger che le indirizzi al sito.
•	Sfruttando questa vulnerabilità, un utente malintenzionato può ottenere gli stessi diritti utente dell'utente locale. Pertanto, gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.

Top of section

Soluzioni alternative per la vulnerabilità legata all'overflow del buffer in Office Web Components - CVE-2009-1534

Per soluzione alternativa si intende un'impostazione o una modifica nella configurazione che non elimina la vulnerabilità sottostante, ma consente di bloccare gli attacchi noti prima di applicare l'aggiornamento. Microsoft ha verificato le seguenti soluzioni alternative e segnala nel corso della discussione se tali soluzioni riducono la funzionalità:

•

Non consentire l'esecuzione della libreria di Office Web Components in Internet Explorer.

È possibile impedire che la libreria di Office Web Components venga eseguito in Internet Explorer impostando il kill bit per il controllo nel Registro di sistema.

Avvertenza L'utilizzo non corretto dell'Editor del Registro di sistema potrebbe causare problemi tali da rendere necessaria la reinstallazione del sistema operativo. Microsoft non garantisce la risoluzione di problemi dovuti a un utilizzo non corretto dell'Editor del Registro di sistema. È quindi necessario utilizzare questo strumento con grande attenzione. Per informazioni sulla modifica del Registro di sistema, vedere l'argomento relativo alla modifica delle chiavi e dei valori nella Guida dell'Editor del Registro di sistema (Regedit.exe) o gli argomenti relativi all'aggiunta ed eliminazione di informazioni nel Registro di sistema nonché alla modifica dei dati del Registro di sistema (Regedt32.exe).

Nota Prima di modificare il Registro di sistema, è consigliabile eseguirne il backup.

Nota Questa operazione viene eseguita dal pacchetto di aggiornamento di ISA Server. Questo aggiornamento per ISA Server non contiene file binari.

Per ulteriori informazioni su come impedire l'esecuzione di un controllo in Office Web Components, vedere l'articolo della Microsoft Knowledge Base 240797. Seguire la procedura descritta per creare un valore Compatibility Flags nel Registro di sistema in modo da impedire l'esecuzione della libreria di Office Web Components.

Nota Gli identificatori di classe e i file corrispondenti in cui sono contenuti gli oggetti della libreria sono riportati nella sottosezione "Quali sono gli scopi dell'aggiornamento?" nella sezione Domande frequenti

•

Per impostare il kill bit per il controllo CLSID con il valore {0002E512-0000-0000-C000-000000000046}, incollare il seguente testo in un editor di testo come Blocco note. Successivamente, salvare il file utilizzando l'estensione di nome file reg.

Editor del Registro di sistema di Windows versione 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{0002E512-0000-0000-C000-000000000046}]
"Compatibility Flags"=dword:00000400

Questo file .reg può essere applicato a singoli sistemi facendo doppio clic su di esso. Inoltre, può essere applicato in domini diversi utilizzando i Criteri di gruppo. Per ulteriori informazioni sui Criteri di gruppo, visitare i seguenti siti Web Microsoft:

•	Insieme di Criteri di gruppo
•	Che cos'è un Editor oggetti Criteri di gruppo?
•	Strumenti e impostazioni principali di Criteri di gruppo

Nota È necessario riavviare Internet Explorer per rendere operative queste modifiche.

Impatto della soluzione alternativa: Se il kill bit è impostato, non sarà più possibile utilizzare la funzionalità del foglio di calcolo elettronico OWC all'interno del controllo ActiveX di Office Web Components in Internet Explorer, Microsoft Office o in qualsiasi altra applicazione che gli onori i kill bit. Questo non interessa il funzionamento standard di Microsoft Office e la maggior parte degli utenti non noterà alcun cambiamento dopo l'impostazione del kill bit. OWC è principalmente utilizzato da applicazioni Web, incluse applicazioni aziendali interne, compreso l'accesso Microsoft Office Project Web Access e il componente aggiuntivo di Office 2003: Web Parts and Components. Potrebbe essere anche utilizzato in alcune soluzioni VBA all'interno di Microsoft Office. Una volta impostato il kill bit, queste applicazioni non potranno utilizzare alcuna funzionalità basata sul controllo dei fogli di calcolo elettronico OWC all'interno del controllo ActiveX di Office Web Components.

Per annullare il risultato della soluzione alternativa: è possibile annullare il risultato della soluzione alternativa seguendo questa procedura:

Avvertenza L'utilizzo non corretto dell'Editor del Registro di sistema potrebbe causare problemi tali da rendere necessaria la reinstallazione del sistema operativo. Microsoft non garantisce la risoluzione di problemi dovuti a un utilizzo non corretto dell'Editor del Registro di sistema. È quindi necessario utilizzare questo strumento con grande attenzione. Per informazioni sulla modifica del Registro di sistema, vedere l'argomento relativo alla modifica delle chiavi e dei valori nella Guida dell'Editor del Registro di sistema (Regedit.exe) o gli argomenti relativi all'aggiunta ed eliminazione di informazioni nel Registro di sistema nonché alla modifica dei dati del Registro di sistema (Regedt32.exe).

Nota Prima di modificare il Registro di sistema, è consigliabile eseguirne il backup.

•

Per annullare il kill bit per il controllo CLSID con il valore {0002E512-0000-0000-C000-000000000046}, incollare il seguente testo in un editor di testo come Blocco note. Successivamente, salvare il file utilizzando l'estensione di nome file reg.

Editor del Registro di sistema di Windows versione 5.00

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{0002E512-0000-0000-C000-000000000046}]

•

Annullare la registrazione della libreria di Office Web Components

Nota Questa operazione non ha esito positivo su un computer ISA Server dal momento che:

•	Office Web Components è installato nella directory di programma di ISA Server ("%ProgramFiles%\Microsoft ISA Server" per impostazione predefinita);
•	Office Web Components viene registrato nuovamente dal meccanismo dei processi di rapporto di ISA Server ogni volta che viene eseguito un processo di rapporto.

Avvertenza L'utilizzo non corretto dell'Editor del Registro di sistema potrebbe causare problemi tali da rendere necessaria la reinstallazione del sistema operativo. Microsoft non garantisce la risoluzione di problemi dovuti a un utilizzo non corretto dell'Editor del Registro di sistema. È quindi necessario utilizzare questo strumento con grande attenzione. Per informazioni sulla modifica del Registro di sistema, vedere l'argomento relativo alla modifica delle chiavi e dei valori nella Guida dell'Editor del Registro di sistema (Regedit.exe) o gli argomenti relativi all'aggiunta ed eliminazione di informazioni nel Registro di sistema nonché alla modifica dei dati del Registro di sistema (Regedt32.exe).

Nota Prima di modificare il Registro di sistema, è consigliabile eseguirne il backup.

•	Per Office 2000, digitare quanto segue al prompt dei comandi e selezionare Esegui: Regsvr32.exe /u "C:\Program Files\Microsoft Office\Office\msowc.dll"
•	Per Office XP, digitare quanto segue al prompt dei comandi e selezionare Esegui: Regsvr32.exe /u "C:\Program Files\Microsoft Office\Office10\msowc.dll"

Impatto della soluzione alternativa: Le applicazioni che richiedono Office Web Components non funzioneranno.

Per annullare il risultato della soluzione alternativa: Per registrare nuovamente Office Web Components, attenersi alla seguente procedura:

•	Per Office 2000, digitare quanto segue al prompt dei comandi e selezionare Esegui: Regsvr32.exe "C:\Program Files\Microsoft Office\Office\msowc.dll"
•	Per Office XP, digitare quanto segue al prompt dei comandi e selezionare Esegui: Regsvr32.exe "C:\Program Files\Microsoft Office\Office10\msowc.dll

•

Limitare i siti Web ai soli siti attendibili

Dopo l'impostazione della richiesta di conferma prima dell'esecuzione di controlli ActiveX e script attivo nelle aree Internet e Intranet locale, è possibile aggiungere i siti ritenuti attendibili all'area Siti attendibili di Internet Explorer. In questo modo è possibile continuare a utilizzare i siti Web attendibili nel modo abituale, proteggendo al tempo stesso il sistema da eventuali attacchi dai siti non attendibili. Si raccomanda di aggiungere all'area Siti attendibili solo i siti effettivamente ritenuti attendibili.

A tale scopo, attenersi alla seguente procedura:

1.	In Internet Explorer, scegliere Opzioni Internet dal menu Strumenti e fare clic sulla scheda Protezione.
2.	Nella sezione Selezionare un'area di contenuto Web per specificare le relative impostazioni di protezione fare clic su Siti attendibili, quindi sul pulsante Siti.
3.	Se si desidera aggiungere siti che non richiedono un canale crittografato, deselezionare la check box Richiedi verifica server (https:) per tutti i siti dell'area.
4.	Digitare nella casella Aggiungi il sito Web all'area l'URL del sito desiderato, quindi fare clic sul pulsante Aggiungi.
5.	Ripetere la procedura per ogni sito da aggiungere all'area.
6.	Fare due volte clic su OK per confermare le modifiche e tornare a Internet Explorer.

È possibile aggiungere qualsiasi sito che si ritiene non eseguirà operazioni dannose sul computer. In particolare è utile aggiungere i due siti "*.windowsupdate.microsoft.com" e "*.update.microsoft.com" (senza le virgolette). ovvero il sito da cui scaricare l'aggiornamento, che per l'installazione richiede l'utilizzo di un controllo ActiveX.

•

Impostare il livello dell'area di protezione Internet e Intranet locale su "Alta" in modo che venga richiesta la conferma dell'esecuzione dei controlli ActiveX in queste aree

È possibile aumentare la protezione nei confronti di queste vulnerabilità modificando le impostazioni relative all'Area Internet in modo da visualizzare un messaggio di conferma prima dell'esecuzione dei controlli ActiveX. Tale operazione può essere eseguita impostando la protezione del browser su Alta.

Per aumentare il livello di protezione del browser in Microsoft Internet Explorer, attenersi alla seguente procedura:

1.	Dal menu Strumenti di Internet Explorer, scegliere Opzioni Internet.
2.	Nella finestra di dialogo Opzioni Internet, fare clic sulla scheda Protezione, quindi sull'icona Internet.
3.	In Livello di protezione per l'area, spostare il dispositivo di scorrimento su Alta. Il livello di protezione per tutti i siti Web visitati viene così impostato su Alta.

Nota Se il dispositivo di scorrimento non è visibile, fare clic su Livello predefinito, quindi spostare il dispositivo di scorrimento su Alta.

Nota Con l'impostazione della protezione su Alta, alcuni siti Web potrebbero non funzionare nel modo corretto. Se si incontrano difficoltà nell'utilizzo di un sito Web dopo aver effettuato questa modifica e si è certi che il sito è sicuro, è possibile aggiungere il sito all'elenco Siti attendibili. In questo modo il sito funzionerà correttamente anche quando la protezione è impostata su Alta.

Top of section

Domande frequenti sulla vulnerabilità legata all'overflow del buffer in Office Web Components - CVE-2009-1534