Bollettino sulla sicurezza
Microsoft Security Bulletin MS01-055 - Critico
13 novembre 2001 Patch cumulativa per Internet Explorer
Pubblicato: 8 novembre 2001 | Aggiornato: 13 giugno 2003
Versione: 2.3
Pubblicato originariamente: 08 novembre 2001
Aggiornato: 13 giugno 2003
Riepilogo
Chi deve leggere questo bollettino:
Clienti che usano Microsoft® Internet Explorer
Impatto della vulnerabilità:
Esposizione e modifica dei dati nei cookie.
Valutazione massima gravità:
Critico
Raccomandazione:
I clienti che eseguono Internet Explorer 5.5 o 6.0 devono applicare la patch.
Software interessato:
- Microsoft Internet Explorer 5.5
- Microsoft Internet Explorer 6.0
Informazioni generali
Dettagli tecnici
Descrizione tecnica:
Il 8 novembre 2001 Microsoft ha rilasciato la versione originale di questo bollettino. In esso, abbiamo dettagliato una procedura di lavoro che i clienti potrebbero implementare per proteggersi da una vulnerabilità divulgata pubblicamente. Il 13 novembre 2001 è stata rilasciata una patch che, se applicata, elimina tutte le vulnerabilità note che interessano Internet Explorer 5.5 e Internet Explorer 6. Abbiamo quindi ampliato l'ambito del bollettino per discutere tutte le vulnerabilità degli indirizzi delle patch. I clienti che hanno disabilitato lo scripting attivo in base alla versione originale di questo bollettino possono riabilitarlo dopo l'installazione di questa patch.
Oltre a eliminare tutte le vulnerabilità descritte in precedenza che interessano Internet Explorer 5.5 Service Pack 2 e Internet Explorer 6, la patch elimina anche tre nuove vulnerabilità individuate:
- I primi due implicano il modo in cui Internet Explorer gestisce i cookie tra domini. Anche se i difetti sottostanti non sono completamente correlati, l'ambito è esattamente lo stesso - in ogni caso, un utente malintenzionato potrebbe potenzialmente creare un URL che consentirebbe loro di ottenere l'accesso non autorizzato ai cookie di un utente e potenzialmente modificare i valori contenuti in essi. Poiché alcuni siti Web archiviano informazioni riservate nei cookie di un utente, ciò potrebbe consentire la compromissione delle informazioni personali. Entrambe le vulnerabilità possono essere sfruttate ospitando URL appositamente creati in una pagina Web o inviandoli alla vittima in un messaggio di posta elettronica HTML.
- La terza vulnerabilità è una nuova variante di una vulnerabilità descritta nel bollettino sulla sicurezza Microsoft MS01-051 che influisce sul modo in cui Internet Explorer gestisce gli URL che includono indirizzi IP senza punti. Se un sito Web è stato specificato usando un formato IP senza punti (ad esempio, https://031713501415 anziché https://207.46.131.13), e la richiesta è stata formattata in modo non corretto, Internet Explorer non riconoscerebbe che il sito fosse un sito Internet. Il sito viene invece trattato come sito Intranet e le pagine aperte nel sito nell'area Intranet anziché come area corretta. In questo modo il sito può essere eseguito con un numero inferiore di restrizioni di sicurezza rispetto a quanto appropriato. Questa vulnerabilità non influisce su Internet Explorer 6.
Fattori di mitigazione:
Vulnerabilità di gestione dei cookie:
- Per sfruttare entrambe le vulnerabilità, l'utente malintenzionato dovrà invogliare l'utente a visitare un sito Web specifico o aprire un messaggio di posta elettronica HTML contenente l'URL in formato non valido.
- Outlook Email Security Update (incluso nell'ambito di Outlook 2002 in Office XP) proteggerà l'utente dallo scenario di attacco inviato tramite posta elettronica.
- Gli utenti che hanno impostato Outlook Express per l'utilizzo dell'area "Siti con restrizioni" non sono interessati dallo scenario di attacco inviato dalla posta elettronica, perché l'area "Siti con restrizioni" imposta script attivi su disabilitato. Si noti che questa è l'impostazione predefinita per Outlook Express 6.0. Gli utenti di Outlook Express 6.0 devono verificare che lo scripting attivo sia ancora disabilitato nell'area Siti con restrizioni.
Vulnerabilità dello spoofing della zona:
- Le impostazioni predefinite nell'area Intranet differiscono solo in alcuni modi rispetto a quelli dell'area Internet. Le differenze vengono enumerate nelle domande frequenti in MS01-051, ma nessuna consente l'esecuzione di azioni distruttive.
Valutazione gravità:
Vulnerabilità di gestione dei cookie:
| Server Internet | Server Intranet | Sistemi client | |
|---|---|---|---|
| Internet Explorer 5.5 | Moderato | Moderato | Critico |
| Internet Explorer 6.0 | Moderato | Moderato | Critico |
Variante della vulnerabilità spoofing della zona:
| Server Internet | Server Intranet | Sistemi client | |
|---|---|---|---|
| Internet Explorer 5.5 | Moderato | Moderato | Moderato |
Gravità aggregata di tutte le vulnerabilità eliminate dalla patch:
| Server Internet | Server Intranet | Sistemi client | |
|---|---|---|---|
| Internet Explorer 5.5 | Moderato | Moderato | Critico |
| Internet Explorer 6.0 | Moderato | Moderato | Critico |
La valutazione precedente si basa sui tipi di sistemi interessati dalla vulnerabilità, sui modelli di distribuzione tipici e sull'effetto che l'exploit della vulnerabilità avrebbe su di essi. Nel caso delle vulnerabilità di gestione dei cookie, gli scenari di attacco potrebbero essere impediti o richiedere un'azione dell'utente per avere esito positivo; tuttavia, sono valutate critiche a causa della potenziale divulgazione di informazioni personali. Nel caso della vulnerabilità spoofing della zona, anche un attacco riuscito non consente alcuna modifica di firma nei privilegi in condizioni predefinite.
Identificatori di vulnerabilità:
Prima vulnerabilità di gestione dei cookie: CAN-2001-0722
Seconda vulnerabilità di gestione dei cookie: CAN-2001-0723
Variante della vulnerabilità spoofing della zona: CAN-2001-0724
Versioni testate:
La tabella seguente indica quali delle versioni attualmente supportate di Internet Explorer sono interessate dalle vulnerabilità. Le versioni di Internet Explorer precedenti alla 5.01 Service Pack 2 non sono più idonee per il supporto degli hotfix . Internet Explorer 5.01 SP2 è supportato solo tramite i Service Pack di Windows® 2000 e i pacchetti di rollup della sicurezza.
| Internet Explorer 5.01 SP2 | Internet Explorer 5.5 SP1 | Internet Explorer 5.5 SP2 | INTERNET EXPLORER 6.0 | |
|---|---|---|---|---|
| Prima vulnerabilità di gestione dei cookie: | Sì | Sì | Sì | Sì |
| Seconda vulnerabilità di gestione dei cookie: | No | Sì | Sì | Sì |
| Vulnerabilità spoofing della zona: | Sì | Sì | Sì | No |
Domande frequenti
Perché Microsoft rilascerà questo bollettino?
La versione originale del bollettino ha consigliato ai clienti di una procedura alternativa che poteva essere usata durante lo sviluppo di una patch. La patch è stata completata e questo bollettino è stato aggiornato per consigliare ai clienti la disponibilità e per discutere di altre vulnerabilità eliminate.
Quali vulnerabilità vengono eliminate da questa patch?
Questa patch, se installata, elimina tutte le vulnerabilità di sicurezza note che interessano Internet Explorer 5.5 e 6.0. Oltre a eliminare tutte le vulnerabilità descritte in precedenza che interessano queste versioni, elimina anche tre nuove vulnerabilità.
- Due vulnerabilità che coinvolgono la gestione dei cookie.
- Una variante appena individuata di una vulnerabilità descritta in Bollettini sulla sicurezza MS01-051 , incluse le varianti appena individuate della vulnerabilità spoofing della zona.
Qual è l'ambito delle prime due vulnerabilità?
Le prime due vulnerabilità hanno essenzialmente lo stesso ambito, anche se sono due difetti separati. Un sito Web dannoso con un URL non valido potrebbe leggere o potenzialmente modificare il contenuto dei cookie di un utente, che potrebbe contenere informazioni personali. Inoltre, è possibile modificare il contenuto del cookie.
Per sfruttare la vulnerabilità, un utente malintenzionato dovrà invogliare l'utente a visitare una determinata pagina Web o inviare un messaggio HTML all'utente. Tuttavia, quest'ultimo attacco sarebbe stato bloccato se l'utente aveva installato l'aggiornamento della posta elettronica di Outlook o stava eseguendo Outlook 2002, che include l'aggiornamento per impostazione predefinita.
Quali sono le cause di queste vulnerabilità?
La vulnerabilità risulta a causa di un difetto nel modo in cui Internet Explorer identifica la pagina Web che l'utente sta visitando, quando si determinano quali cookie il sito deve essere in grado di accedere.
Che cosa sono i cookie?
Un cookie è un piccolo file di dati archiviato nel sistema di un utente da un sito Web e che contiene informazioni che consentono al sito di personalizzarne il comportamento per l'utente. Ad esempio, un sito Web che vende scarpe potrebbe utilizzare un cookie per registrare il fatto che quando si visita il sito, si acquistano sempre scarpe atletiche. Questo permetterebbe al sito di portarti direttamente alla sezione delle scarpe atletiche quando lo visiti.
Cosa impedisce a un sito Web di accedere ai cookie di un altro sito?
Ogni cookie nel sistema indica il sito che lo ha creato e, per impostazione predefinita, Internet Explorer consentirà solo al sito di accedere al cookie. Le due vulnerabilità di sicurezza risultano perché in determinate condizioni è possibile che un sito Web ignori questa protezione e accinga ai cookie creati da altri siti.
Che tipo di informazioni potrebbero ottenere qualcuno se hanno eseguito l'accesso ai cookie sul mio sistema?
Dipenderebbe da quali informazioni sono state archiviate nei cookie. La maggior parte dei siti non archivia i dati personali all'interno dei cookie. Ad esempio, nell'esempio precedente, il sito Web potrebbe avere un database che contiene informazioni sulle preferenze delle scarpe dei clienti e potrebbe archiviare solo i dati nel cookie che indica quale voce di database cercare. In questo caso, non importa se un utente malintenzionato possa accedere al cookie, perché non rivelerebbe alcuna informazione.
D'altra parte, se un sito ha archiviato le informazioni personali nel cookie, ad esempio, nell'esempio precedente, se il sito ha archiviato la preferenza della scarpa direttamente nel cookie - un utente malintenzionato che ha eseguito l'accesso potrebbe compromettere le informazioni personali
In che modo un utente malintenzionato può eseguire un attacco usando una di queste vulnerabilità?
Un utente malintenzionato potrebbe tentare di sfruttare questa vulnerabilità ospitando una pagina con un URL creato in modo dannoso o inviando alla vittima un messaggio di posta elettronica HTML con un URL creato in modo analogo.
Nel caso in cui l'utente malintenzionato ospitasse una pagina Web, avrebbe modo di costringermi a visitare il sito?
L'utente malintenzionato non poteva costringerti a visitare il suo sito. Invece, avrebbe bisogno di invogliarti a eseguire un'azione che causerebbe la visita al sito. Esistono tuttavia diverse azioni che possono essere usate per eseguire questa operazione, dalla visita a un sito Web che reindirizza l'utente all'autore dell'attacco, all'apertura di un messaggio di posta elettronica HTML che ha fatto riferimento al sito dell'utente malintenzionato.
Nel caso in cui l'utente malintenzionato mi ha inviato un messaggio di posta elettronica HTML, semplicemente aprendo la posta mi permetterebbe di essere attaccato?
Sì. È possibile che un utente malintenzionato possa creare un messaggio di posta elettronica HTML in modo da sfruttare una di queste vulnerabilità all'apertura della posta elettronica. Tuttavia, vale la pena notare che l'aggiornamento della sicurezza della posta elettronica di Outlook, se installato, impedirebbe l'esito positivo di questo attacco. L'aggiornamento è incluso nell'ambito di Outlook 2002.
Ho sentito che Internet Explorer 5.01 non è interessato dalla vulnerabilità originale di gestione dei cookie, è vero?
Anche se Internet Explorer 5.01 non è supportato dagli hotfix, è stato testato e rilevato che non è interessato da questa vulnerabilità in tutte le versioni (gold, SP1 e SP2)
Quando è stata rilasciata la versione originale del bollettino, ho disabilitato Lo scripting attivo. Posso riattivarlo ora?
Sì. In tal caso, eseguire la procedura seguente:
- Scegliere Opzioni Internet dal menu Strumenti, fare clic sulla scheda Sicurezza e quindi su Livello personalizzato.
- Nella casella Impostazioni scorrere verso il basso fino alla sezione Scripting e fare clic su Abilita in "Scripting attivo" e "Scripting of Java applets".
- Fare clic su OK e quindi di nuovo su OK.
Io sono un amministratore di rete. Come è possibile riabilitare lo scripting attivo nell'organizzazione?
Per riabilitare lo scripting attivo su larga scala di rete, è necessario apportare una modifica del Registro di sistema nei computer client. È possibile eseguire questa operazione in due modi: creando un file INS di configurazione automatica usando Gestione profili e quindi applicandolo o tramite SMS o uno script di accesso.
Sarà necessario modificare le impostazioni in due chiavi del Registro di sistema:
- HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Impostazioni\Zones
- HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Impostazioni\Zones
In ogni chiave "Zone" sono presenti cinque sottochiavi diverse, ognuna delle quali controlla una zona di sicurezza diversa. I nomi delle chiavi sono 0-4.
- 0 = Il computer
- 1 = Intranet locale
- 2 = Siti attendibili
- 3 = Internet
- 4 = Siti con restrizioni
In ogni chiave del numero di zona è presente un valore DWORD che regola lo scripting attivo all'interno di tale zona. Il nome di questa chiave è "1400". L'impostazione del valore di questa chiave su "0" abilita lo scripting attivo; impostandolo su "3" lo disabilita. Le modifiche alle impostazioni HKCU diventano effettive immediatamente. Tuttavia, è molto probabile che le impostazioni HKLM richiedano un riavvio.
Che cosa fa la patch?
La patch elimina le vulnerabilità implementando un controllo di dominio appropriato durante la gestione dei cookie.
Qual è l'ambito della terza vulnerabilità?
La terza vulnerabilità è una nuova variante dello spoofing di zona discussa nel bollettino sulla sicurezza Microsoft MS01-051. Potrebbe consentire a un sito Web di intraprendere azioni che non dovrebbero essere in grado di intraprendere sui sistemi degli utenti in visita. In particolare, potrebbe consentire al sito Web di ingannare Internet Explorer nel trattarlo come se si trovasse nella intranet dell'utente, ottenendo così la possibilità di usare impostazioni di sicurezza meno restrittive di quanto siano appropriate. Un utente potrebbe essere interessato da questa vulnerabilità passando al sito Web di un utente malintenzionato o aprendo un messaggio HTML da un utente malintenzionato.
Se le impostazioni di sicurezza sono state lasciate nelle impostazioni predefinite, i privilegi aggiuntivi che il sito Web otterrebbe non consentirebbe comunque di eseguire alcuna azione distruttiva. Il rischio maggiore di questa vulnerabilità si verificherebbe nel caso in cui l'utente avesse dato ai siti Intranet una latitudine aggiuntiva.
Esistono differenze tra questa vulnerabilità e quella descritta in MS01-051?
La nuova variante è esattamente uguale a quella originale, ad eccezione del modo specifico in cui potrebbe essere sfruttata.
Disponibilità delle patch
Percorsi di download per questa patch
- Microsoft Internet Explorer 5.5 e 6.0:
https:
Informazioni aggiuntive su questa patch
Piattaforme di installazione:
- La patch di Internet Explorer 5.5 può essere installata in Internet Explorer 5.5 Service Pack 2.
- La patch IE 6 può essere installata in Internet Explorer 6 Gold.
Inclusione nei Service Pack futuri:
La correzione per questo problema verrà inclusa in Internet Explorer 5.5 Service Pack 3 e IE 6 Service Pack 1.
Riavvio necessario: Sì
Patch sostituite:MS01-051.
Verifica dell'installazione delle patch:
- Per verificare che la patch sia stata installata nel computer, aprire Internet Explorer, selezionare Guida, quindi selezionare Informazioni su Internet Explorer e verificare che Q312461 sia elencato nel campo Versioni di aggiornamento.
- Per verificare i singoli file, usare il manifesto della patch fornito negli articoli della Knowledge Base Q312461.
Avvertenze:
None
Localizzazione:
Le versioni localizzate di questa patch sono in fase di sviluppo. Al termine, saranno disponibili nelle posizioni descritte in "Recupero di altre patch di sicurezza".
Recupero di altre patch di sicurezza:
Le patch per altri problemi di sicurezza sono disponibili nelle posizioni seguenti:
- Le patch di sicurezza sono disponibili nell'Area download Microsoft e possono essere trovate più facilmente eseguendo una ricerca di parole chiave "security_patch".
- Le patch per le piattaforme consumer sono disponibili nel sito Web WindowsUpdate .
Altre informazioni:
Riconoscimenti
Microsoft ringrazia Marc Slemko per segnalare uno dei problemi di gestione dei cookie e collaborare con Microsoft per proteggere i clienti.
Supporto:
- L'articolo della Microsoft Knowledge Base Q312461 illustra questo problema e sarà disponibile circa 24 ore dopo il rilascio di questo bollettino. Gli articoli della Knowledge Base sono disponibili nel sito Web del supporto online Microsoft.
- Il supporto tecnico è disponibile in Servizi supporto tecnico Microsoft. Non sono previsti addebiti per le chiamate di supporto associate alle patch di sicurezza.
Risorse di sicurezza: il sito Web Microsoft TechNet Security fornisce informazioni aggiuntive sulla sicurezza nei prodotti Microsoft.
Declinazione di responsabilità:
Le informazioni fornite nella Microsoft Knowledge Base vengono fornite "così com'è" senza garanzia di alcun tipo. Microsoft dichiara tutte le garanzie, espresse o implicite, incluse le garanzie di commerciabilità e idoneità per uno scopo specifico. In nessun caso, Microsoft Corporation o i suoi fornitori saranno responsabili di qualsiasi danno, incluso diretto, indiretto, accidentale, consequenziale, perdita di profitti aziendali o danni speciali, anche se Microsoft Corporation o i suoi fornitori sono stati informati della possibilità di tali danni. Alcuni stati non consentono l'esclusione o la limitazione della responsabilità per danni consequenziali o accidentali, pertanto la limitazione precedente potrebbe non essere applicata.
Revisioni:
- V1.0 (8 novembre 2001): Bollettino creato.
- V2.0 (13 novembre 2001): Bollettino aggiornato con informazioni sulla patch e per discutere l'inclusione di correzioni per ulteriori vulnerabilità di gestione dei cookie e una variante del problema di spoofing della zona.
- V2.1 (21 novembre 2001): Bollettino aggiornato con classificazione di gravità rivista per riflettere la potenziale divulgazione di informazioni personali da parte delle vulnerabilità di gestione dei cookie.
- V2.2 (08 febbraio 2002): aggiornato con tabella contenente informazioni sulla vulnerabilità per Internet Explorer 5.01 SP2 in Windows 2000, Internet Explorer 5.5 SP1, Internet Explorer 5.5SP2 e Internet Explorer 6.0.
- V2.3 (13 giugno 2003): collegamenti di download aggiornati a Windows Update.
Costruito al 2014-04-18T13:49:36Z-07:00</https:>