Bollettino sulla sicurezza
Microsoft Security Bulletin MS00-075 - Critico
Patch disponibile per la vulnerabilità "Componente ActiveX della macchina virtuale Microsoft"
Aggiornato: 01 luglio 2009
Versione: 2.0
Pubblicato originariamente: 12 ottobre 2000
Riepilogo
Microsoft ha rilasciato una patch che elimina una vulnerabilità di sicurezza nella macchina virtuale Microsoft® (MACCHINA virtuale Microsoft). Se un operatore di siti Web malintenzionati è stato in grado di invitare un utente a visitare il suo sito, la vulnerabilità potrebbe consentire di eseguire qualsiasi azione desiderata su un computer dell'utente in visita.
Software interessato:
Le versioni della macchina virtuale Microsoft sono identificate dai numeri di build, che possono essere determinati usando lo strumento JVIEW, come descritto nelle domande frequenti. Le build seguenti della macchina virtuale Microsoft sono interessate:
- Tutte le build della serie 3000 numerate 3317 o precedenti.
Identificatore di vulnerabilità:CVE-2000-1061
Informazioni generali
Dettagli tecnici
Descrizione tecnica:
La macchina virtuale Microsoft è una macchina virtuale per l'ambiente operativo Win32®. Viene eseguito su Microsoft® Windows 95, 98, Windows Me, Windows NT 4.0 o Windows 2000. Viene fornito come parte di ogni sistema operativo e anche come parte di Microsoft Internet Explorer. La versione della macchina virtuale Microsoft fornita con Microsoft Internet Explorer 4.x e Internet Explorer 5.x contiene una vulnerabilità di sicurezza che potrebbe consentire a un applet Java, in un sito Web dannoso di eseguire qualsiasi azione desiderata sul computer dell'utente in visita.
La macchina virtuale Microsoft contiene funzionalità che consentono la creazione e la modifica dei controlli ActiveX da parte di applicazioni o applet Java. Questa funzionalità è progettata per essere disponibile solo per le applicazioni Java autonome o le applet firmate digitalmente. Tuttavia, questa vulnerabilità consente la creazione e l'uso di controlli ActiveX da una pagina Web o da un messaggio di posta elettronica basato su HTML, senza richiedere un applet firmato. Se un utente ha visitato un sito Web dannoso che ha sfruttato questa vulnerabilità, un applet Java in una delle pagine Web potrebbe eseguire qualsiasi controllo ActiveX desiderato, anche quelli contrassegnati come non sicuri per la creazione di script. In questo modo l'operatore del sito Web dannoso può eseguire qualsiasi azione desiderata nel computer dell'utente.
I siti Web inseriti nell'area Siti con restrizioni in Internet Explorer non saranno in grado di sfruttare questa vulnerabilità.
Domande frequenti
Che cos'è questo bollettino?
Microsoft Security Bulletin MS00-075 annuncia la disponibilità di una patch che elimina una vulnerabilità nella macchina virtuale Microsoft® (Microsoft VM). La vulnerabilità potrebbe consentire a un utente malintenzionato che opera un sito Web di eseguire qualsiasi azione desiderata nel computer di un utente in visita. Microsoft si impegna a proteggere le informazioni dei clienti e fornisce il bollettino per informare i clienti della vulnerabilità e di cosa possono fare.
Qual è l'ambito della vulnerabilità?
Questa vulnerabilità potrebbe consentire a un operatore del sito Web dannoso di intraprendere un'azione inappropriata nel computer di un utente che ha visitato il suo sito. In particolare, avrebbe permesso di intervenire sul computer che l'utente stesso era in grado di eseguire, ad esempio la creazione, la modifica o l'eliminazione di dati, l'invio o la ricezione di dati da un sito Web, la riformattazione del disco rigido e così via.
Gli utenti con scripting attivo o scripting di applet Java disabilitati nella propria area di sicurezza di Internet Explorer non saranno interessati da questa vulnerabilità.
Qual è la causa di questa vulnerabilità?
La macchina virtuale Microsoft contiene funzionalità per creare e usare controlli ActiveX. Per impostazione predefinita, solo un applet con firma digitale deve essere in grado di usare questa funzionalità. Tuttavia, un difetto nella macchina virtuale Microsoft potrebbe consentire a un applet senza segno di usarlo.
Si tratta di una vulnerabilità nella macchina virtuale o in ActiveX?
La vulnerabilità è un difetto della macchina virtuale Microsoft e non con un particolare controllo ActiveX o qualsiasi tecnologia ActiveX.
Qual è il significato delle applet con firma digitale in questa vulnerabilità?
Per impostazione predefinita, un applet Java con firma digitale deve essere in grado di eseguire controlli ActiveX, purché il firmatario sia attendibile dall'utente. Questo è appropriato, perché la firma digitale mostra chi possiede l'applet e dimostra che l'applet non è stato manomesso.
Questa vulnerabilità, tuttavia, consente a un applet senza segno di eseguire la stessa azione. Chiaramente, questo non è appropriato, perché in questo caso l'applet non è attendibile. Se tale applet è stato ospitato in un sito Web di un utente malintenzionato, potrebbe eseguire azioni che solo un applet attendibile dovrebbe essere in grado di eseguire.
Quali controlli ActiveX potrebbero essere eseguiti da un applet Java tramite questa vulnerabilità?
La vulnerabilità nella macchina virtuale potrebbe consentire l'uso di qualsiasi controllo ActiveX presente nel computer dell'utente o di un operatore del sito Web dannoso ospitato nel sito.
Cosa potrebbe fare un utente malintenzionato con questa vulnerabilità?
Se un operatore di siti Web malintenzionati potrebbe convincere un utente a visitare il suo sito Web, potrebbe utilizzare questa vulnerabilità nella macchina virtuale Microsoft per eseguire qualsiasi controllo ActiveX presente nel computer dell'utente in visita. In questo modo, l'utente potrebbe intraprendere qualsiasi azione. Se l'utente era in esecuzione in un contesto di sicurezza altamente limitato, potrebbe essere in grado di fare molto poco. Ma se l'utente fosse in esecuzione come amministratore locale, l'utente malintenzionato otterrebbe il controllo completo sul computer.
Perché la possibilità di eseguire qualsiasi controllo ActiveX desiderato darebbe all'utente malintenzionato il controllo completo sul computer?
Sono disponibili vari controlli ActiveX che consentono all'applicazione chiamante di eseguire praticamente qualsiasi azione desiderata. In genere, i controlli che consentono l'esecuzione di azioni pericolose non sono disponibili perché sono contrassegnati come non sicuri per lo scripting, ma questa vulnerabilità nella macchina virtuale consente agli utenti malintenzionati di sfruttare tali controlli senza restrizioni.
Si supponga che nel computer non fosse disponibile un controllo ActiveX per eseguire le operazioni desiderate dall'utente malintenzionato. Cosa poteva fare?
L'utente malintenzionato potrebbe ospitare un controllo ActiveX come applet, nel sito Web e usare questa vulnerabilità per eseguire qualsiasi azione su un computer dell'utente in visita.
Questa vulnerabilità potrebbe essere sfruttata tramite un messaggio di posta elettronica?
Un utente malintenzionato potrebbe usare un messaggio di posta elettronica in formato HTML per sfruttare questa vulnerabilità e consentire l'esecuzione di un messaggio all'interno del riquadro anteprima. Se il client di posta elettronica è configurato per l'esecuzione nell'area Siti con restrizioni, il messaggio dannoso non sarà in grado di eseguire.
Le opzioni di sicurezza in Internet Explorer sono impostate per impedire l'esecuzione di controlli ActiveX non sicuri. Questa vulnerabilità consente a un utente malintenzionato di eseguirli comunque?
Sì. La vulnerabilità non è con un controllo ActiveX dannoso, ma con la macchina virtuale Microsoft. Se lo scripting attivo o lo scripting di applet Java sono stati disabilitati nelle opzioni di sicurezza, un utente non sarebbe soggetto a questa vulnerabilità.
La rete Intranet aziendale è protetta da un firewall. In questo modo si impedisce che la vulnerabilità esegua codice nel computer?
No. Tenere presente che, per essere interessati dalla vulnerabilità, un utente deve prima visitare il sito Web di un utente malintenzionato. In tal caso, la sessione Web avrebbe avuto origine dall'interno del firewall e tutti i dati successivamente inoltrati sarebbero stati inseriti in tale sessione. In questo modo la vulnerabilità verrà sfruttata tramite il firewall.
Ricerca per categorie sapere se si dispone di una versione della macchina virtuale Microsoft con la vulnerabilità?
Il modo più semplice per indicare è controllare il software installato nel computer: se si usa Internet Explorer 4.x o Internet Explorer 5.x, si ha sicuramente una versione della macchina virtuale interessata dalla vulnerabilità. Non importa quale altro software hai installato; se internet Explorer 4.x o 5.x è installato, è presente una versione interessata della macchina virtuale.
Anche se non si usa una versione di Internet Explorer interessata dalla vulnerabilità, è comunque possibile avere una versione interessata della macchina virtuale Microsoft, perché viene fornita come parte di altri prodotti come Visual Studio. In questo caso, il corso migliore consiste nel determinare il numero di build per la versione della macchina virtuale Microsoft in uso e verificare se si ha una versione interessata.
Ricerca per categorie determinare il numero di build per la versione della macchina virtuale Microsoft?
Aprire una finestra di comando:
- In Windows NT o Windows 2000 scegliere "Start", quindi "Esegui", quindi digitare "CMD" e premere il tasto INVIO.
- In Windows 95, 98 o Windows Me scegliere "Start", quindi "Esegui", quindi digitare "COMANDO" e premere il tasto INVIO.
- Al prompt dei comandi digitare "JVIEW" e premere il tasto INVIO.
- Le informazioni sulla versione saranno a destra della riga superiore. Avrà un formato simile a "5.00.xxxx", dove "xxxx" è il numero di build. Ad esempio, se il numero di versione è 5.00.1234, il numero di build è 1234.
Ho determinato il numero di build. Ricerca per categorie dire se sono interessato?
Usare questa tabella per determinare se si dispone di una versione interessata:
Numero di build | Status |
---|---|
3317 o versioni precedenti | Interessato dalla vulnerabilità |
Tutte le altre versioni | Non interessato dalla vulnerabilità o non da una versione di macchina virtuale supportata |
Nota: tutti gli utenti che hanno una versione interessata della macchina virtuale Microsoft devono installare la nuova build di macchina virtuale.
Cosa fa la correzione?
La nuova macchina virtuale ripristina le restrizioni di sicurezza per evitare questa vulnerabilità.
Nota: questa correzione sostituisce la patch fornita in MS00-059
Dove posso ottenere la patch?
Il percorso di download per la patch è disponibile nella sezione "Disponibilità patch" del bollettino sulla sicurezza.
Ricerca per categorie usare la patch?
L'articolo della Knowledge Base Q275609 contiene istruzioni dettagliate per l'applicazione della correzione.
Come è possibile stabilire se è stata installata correttamente la patch?
L'articolo della Knowledge Base Q275609 fornisce un manifesto dei file nel pacchetto patch. Il modo più semplice per verificare che la patch sia stata installata correttamente consiste nel verificare che questi file siano presenti nel computer e avere le stesse dimensioni e le stesse date di creazione, come illustrato nell'articolo della Knowledge Base.
Che cosa fa Microsoft su questo problema?
- Microsoft ha fornito una patch che elimina la vulnerabilità.
- Microsoft ha fornito un bollettino sulla sicurezza e queste domande frequenti per fornire ai clienti una conoscenza dettagliata della vulnerabilità e della procedura per eliminarla.
- Microsoft ha inviato copie del bollettino sulla sicurezza a tutti gli abbonati al Servizio di notifica della sicurezza dei prodotti Microsoft, un servizio di posta elettronica gratuito che i clienti possono usare per rimanere aggiornati sui bollettini sulla sicurezza Microsoft.
- Microsoft ha pubblicato un articolo della Knowledge Base Q275609 spiegare in modo più dettagliato le procedure di vulnerabilità e installazione.
Dove è possibile ottenere altre informazioni sulle procedure consigliate per la sicurezza?
Il sito Web Microsoft TechNet Security è il modo migliore per ottenere informazioni sulla sicurezza Microsoft.
Ricerca per categorie ottenere supporto tecnico su questo problema?
Il Servizio Supporto Tecnico ClientiMicrosoft può fornire assistenza a questo o a qualsiasi altro problema di supporto tecnico del prodotto.
Disponibilità delle patch
Microsoft Java Virtual Machine non è più supportato. Per altre informazioni, vedere Microsoft Java Virtual Machine and Microsoft Java Virtual Machine Support .For more information, please please refer to Microsoft Java Virtual Machine Support and Microsoft Java Virtual Machine Support.
Altre informazioni:
Supporto: si tratta di una patch completamente supportata. Le informazioni su come contattare il Servizio Supporto Tecnico Clienti Microsoft sono disponibili all'indirizzo https:.
Risorse di sicurezza: il sito Web Microsoft TechNet Security fornisce informazioni aggiuntive sulla sicurezza nei prodotti Microsoft.
Declinazione di responsabilità:
Le informazioni fornite nella Microsoft Knowledge Base vengono fornite "così com'è" senza garanzia di alcun tipo. Microsoft dichiara tutte le garanzie, espresse o implicite, incluse le garanzie di commerciabilità e idoneità per uno scopo specifico. In nessun caso, Microsoft Corporation o i suoi fornitori saranno responsabili di qualsiasi danno, incluso diretto, indiretto, accidentale, consequenziale, perdita di profitti aziendali o danni speciali, anche se Microsoft Corporation o i suoi fornitori sono stati informati della possibilità di tali danni. Alcuni stati non consentono l'esclusione o la limitazione della responsabilità per danni consequenziali o accidentali, pertanto la limitazione precedente potrebbe non essere applicata.
Revisioni:
- V1.0 (12 ottobre 2000): Bollettino creato.
- V1.1 (31 ottobre 2000): Bollettino aggiornato per fornire informazioni sulle patch per le build della serie 2000.
- V1.2 (26 gennaio 2001): Bollettino aggiornato per riflettere l'aggiornamento alla versione della patch della macchina virtuale.
- V1.3 (20 luglio 2002): aggiornamento eseguito nel percorso di download.
- V1.4 (28 febbraio 2003): aggiornamento eseguito nel percorso di download.
- V2.0 (1° luglio 2009): rimozione delle informazioni di download perché Microsoft Java Virtual Machine non è più disponibile per la distribuzione da Microsoft. Per altre informazioni, vedere Disponibilità delle patch.
Costruito al 2014-04-18T13:49:36Z-07:00</https:>