Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Errore nella Guida di Windows Me e nel Supporto tecnico potrebbe abilitare l'esecuzione del codice (812709)
Pubblicato: 26 febbraio 2003
Versione: 1.0
Pubblicato originariamente: 26 febbraio 2003
Riepilogo
Chi deve leggere questo bollettino: Clienti che usano Microsoft® Windows® Me.
Impatto della vulnerabilità: eseguire il codice di scelta dell'utente malintenzionato
Valutazione massima gravità: critico
Raccomandazione: i clienti devono installare immediatamente la patch.
Bollettino dell'utente finale: una versione dell'utente finale di questo bollettino è disponibile all'indirizzo: https:
Software interessato:
- Microsoft Windows Me
Informazioni generali
Dettagli tecnici
Descrizione tecnica:
Help and Support Center offre una funzionalità centralizzata tramite la quale gli utenti possono ottenere assistenza su una varietà di argomenti. Ad esempio, fornisce documentazione sul prodotto, assistenza per determinare la compatibilità hardware, l'accesso a Windows Update, la Guida online di Microsoft e altre informazioni. Gli utenti e i programmi possono eseguire collegamenti URL a Guida e Supporto tecnico usando il prefisso "hcp://" in un collegamento URL anziché "https://".
Una vulnerabilità di sicurezza è presente nella versione di Windows Me di Help and Support Center e restituisce i risultati perché il gestore URL per il prefisso "hcp://" contiene un buffer deselezionato.
Un utente malintenzionato potrebbe sfruttare la vulnerabilità creando un URL su cui, quando si fa clic dall'utente, eseguirà il codice della scelta dell'utente malintenzionato nel contesto di sicurezza computer locale. L'URL può essere ospitato in una pagina Web o inviato direttamente all'utente tramite posta elettronica. Nello scenario basato sul Web, in cui un utente ha quindi fatto clic sull'URL ospitato in un sito Web, un utente malintenzionato potrebbe avere la possibilità di leggere o avviare file già presenti nel computer locale. Nel caso di un attacco inviato tramite posta elettronica, se l'utente utilizza Outlook Express 6.0 o Outlook 2002 nelle configurazioni predefinite oppure Outlook 98 o 2000 insieme all'aggiornamento della sicurezza della posta elettronica di Outlook, non è stato possibile automatizzare un attacco e l'utente dovrà comunque fare clic su un URL inviato tramite posta elettronica. Tuttavia, se l'utente non utilizza Outlook Express 6.0 o Outlook 2002 nelle configurazioni predefinite oppure Outlook 98 o 2000 in combinazione con Outlook Email Security Update, l'autore dell'attacco potrebbe causare un attacco automaticamente senza che l'utente deve fare clic su un URL contenuto in un messaggio di posta elettronica.
Fattori di mitigazione:
- Impossibile avviare automaticamente la funzione Guida e Supporto tecnico in Outlook Express o Outlook se l'utente esegue Internet Explorer 6.0 Service Pack 1.
- Affinché un attacco riesca, l'utente deve visitare un sito Web sotto il controllo dell'utente malintenzionato o ricevere un messaggio di posta elettronica HTML dall'utente malintenzionato.
- Lo sfruttamento automatico della vulnerabilità da parte di un messaggio di posta elettronica HTML verrebbe bloccato da Outlook Express 6.0 e Outlook 2002 nelle configurazioni predefinite e da Outlook 98 e 2000 se utilizzato insieme all'aggiornamento della sicurezza della posta elettronica di Outlook.
Valutazione gravità:
| Windows Me | Critico |
La valutazione precedente si basa sui tipi di sistemi interessati dalla vulnerabilità, sui modelli di distribuzione tipici e sull'effetto che l'exploit della vulnerabilità avrebbe su di essi.
Identificatore di vulnerabilità:CAN-2003-0009
Versioni testate:
Microsoft ha testato Windows Me e Windows XP per valutare se sono interessati da queste vulnerabilità. Le versioni precedenti di Windows non contengono il codice in questione e non sono interessate da questa vulnerabilità.
Domande frequenti
Qual è l'ambito della vulnerabilità?
Si tratta di una vulnerabilità di sovraccarico del buffer. Un utente malintenzionato che ha sfruttato correttamente questa vulnerabilità potrebbe causare l'esecuzione del codice della propria scelta come se fosse stato originato nel computer locale. Tale codice potrebbe fornire all'utente malintenzionato la possibilità di eseguire qualsiasi azione desiderata nel computer, inclusa l'aggiunta, l'eliminazione o la modifica di dati nel sistema o l'esecuzione di qualsiasi codice scelto dall'utente malintenzionato.
Che cosa causa la vulnerabilità?
La vulnerabilità risulta a causa di un buffer non selezionato nel gestore URL per Guida e Supporto tecnico.
Informazioni su Help eSupportCenter
Guida e supporto tecnico (HSC) è una funzionalità di Windows che fornisce assistenza su un'ampia gamma di argomenti. Ad esempio, HSC consente agli utenti di ottenere informazioni sulle funzionalità di Windows, scaricare e installare gli aggiornamenti software, determinare se un particolare dispositivo hardware è compatibile con Windows, ottenere assistenza da Microsoft e così via.
Cosa c'è di sbagliato con Help eSupportCenter?
Il gestore URL HSC ha una funzione che consente l'apertura delle pagine usando il prefisso "hcp://". Tuttavia, questa funzione non controlla correttamente i parametri dell'input ricevuto. Di conseguenza, un buffer viene deselezionato e può consentire a un utente malintenzionato di creare un URL che potrebbe consentire l'esecuzione del codice.
Che cos'è un gestore URL?
Un gestore URL consente a un'applicazione di registrare un nuovo tipo di URL che, quando richiamato da una pagina Web, avvia automaticamente l'applicazione. Ad esempio, quando Outlook 2002 è installato in un sistema, registra "outlook://" come gestore URL personalizzato. È quindi possibile richiamare Outlook digitando questo URL in Internet Explorer, nella casella "Esegui" o facendo clic su un collegamento ipertestuale.
Nel caso di Guida e Supporto tecnico, il prefisso URL personalizzato è "hcp://".
Cosa potrebbe fare questa vulnerabilità per consentire a un utente malintenzionato di eseguire?
Questa vulnerabilità potrebbe consentire a un utente malintenzionato di causare l'esecuzione del codice scelto dall'utente malintenzionato con privilegi aggiuntivi nel sistema. Ciò potrebbe consentire all'utente malintenzionato di aggiungere, eliminare o modificare i dati nel sistema o intraprendere qualsiasi altra azione della scelta dell'utente malintenzionato.
In che modo un utente malintenzionato potrebbe sfruttare questa vulnerabilità?
L'utente malintenzionato dovrà costruire una pagina Web che avvia un URL appositamente creato. L'attacco potrebbe quindi procedere tramite uno dei due vettori. Nel primo caso, l'utente malintenzionato potrebbe ospitare la pagina Web in un sito Web; quando un utente ha visitato il sito, la pagina Web tenterebbe di avviare l'URL e sfruttare la vulnerabilità. Nel secondo, l'autore dell'attacco potrebbe inviare la pagina Web come posta HTML. Dopo l'apertura da parte del destinatario, la pagina Web potrebbe tentare di richiamare la funzione e sfruttare la vulnerabilità.
Nello scenario di posta HTML, se l'utente utilizza Outlook Express 6.0 o Outlook 2002 nelle configurazioni predefinite oppure Outlook 98 o 2000 insieme all'aggiornamento della sicurezza della posta elettronica di Outlook, non è stato possibile automatizzare un attacco e l'utente dovrà comunque fare clic su un URL inviato tramite posta elettronica. Tuttavia, se l'utente non utilizza Outlook Express 6.0 o Outlook 2002 nelle configurazioni predefinite oppure Outlook 98 o 2000 in combinazione con Outlook Email Security Update, l'autore dell'attacco potrebbe causare un attacco automaticamente senza che l'utente deve fare clic su un URL contenuto in un messaggio di posta elettronica.
Che cosa fa la patch?
La patch risolve la vulnerabilità correggendo il buffer non selezionato nel gestore URL.
Disponibilità delle patch
Percorsi di download per questa patch
Microsoft Windows Me:
Informazioni aggiuntive su questa patch
Piattaforme di installazione:
Questa patch può essere installata nei sistemi che eseguono Windows Me Gold
Riavvio necessario: Sì
È possibile disinstallare patch: No
Patch sostituite: Nessuno.
Verifica dell'installazione delle patch:
Per verificare che la patch sia stata installata nel computer, usare lo strumento Qfecheck.exe e verificare che la visualizzazione includa le informazioni seguenti:
UPD812709 Windows Me Q812709 Update
Per verificare i singoli file, consultare il manifesto del file nell'articolo della Knowledge Base 812709.
Avvertenze:
None
Localizzazione:
Le versioni localizzate di questa patch sono disponibili nelle posizioni descritte in "Disponibilità patch".
Recupero di altre patch di sicurezza:
Le patch per altri problemi di sicurezza sono disponibili nelle posizioni seguenti:
- Le patch per le piattaforme consumer sono disponibili nel sito Web WindowsUpdate
Altre informazioni:
Riconoscimenti
Microsoft grazieWarning e Fozzy da The Hackademy per segnalare questo problema a noi e collaborare con noi per proteggere i clienti.
Supporto:
- L'articolo della Microsoft Knowledge Base 812709 illustra questo problema e sarà disponibile circa 24 ore dopo il rilascio di questo bollettino. Gli articoli della Knowledge Base sono disponibili nel sito Web del supporto online Microsoft.
- Il supporto tecnico è disponibile in Servizi supporto tecnico Microsoft. Non sono previsti addebiti per le chiamate di supporto associate alle patch di sicurezza.
Risorse di sicurezza: il sito Web Microsoft TechNet Security fornisce informazioni aggiuntive sulla sicurezza nei prodotti Microsoft.
Declinazione di responsabilità:
Le informazioni fornite nella Microsoft Knowledge Base vengono fornite "così com'è" senza garanzia di alcun tipo. Microsoft dichiara tutte le garanzie, espresse o implicite, incluse le garanzie di commerciabilità e idoneità per uno scopo specifico. In nessun caso, Microsoft Corporation o i suoi fornitori saranno responsabili di qualsiasi danno, incluso diretto, indiretto, accidentale, consequenziale, perdita di profitti aziendali o danni speciali, anche se Microsoft Corporation o i suoi fornitori sono stati informati della possibilità di tali danni. Alcuni stati non consentono l'esclusione o la limitazione della responsabilità per danni consequenziali o accidentali, pertanto la limitazione precedente potrebbe non essere applicata.
Revisioni:
- V1.0 (26 febbraio 2003): Bollettino creato.
Costruito al 2014-04-18T13:49:36Z-07:00</https:>