Bollettino sulla sicurezza
Microsoft Security Bulletin MS05-022 - Critico
La vulnerabilità in MSN Messenger potrebbe causare l'esecuzione di codice remoto (896597)
Pubblicato: 12 aprile 2005 | Aggiornato: 21 gennaio 2009
Versione: 2.0
Riepilogo
Chi deve leggere questo documento: Clienti che usano MSN Messenger
Impatto della vulnerabilità: esecuzione di codice remoto
Valutazione massima gravità: critico
Raccomandazione: i clienti devono applicare immediatamente l'aggiornamento.
Sostituzione degli aggiornamenti della sicurezza: questo bollettino sostituisce un aggiornamento della sicurezza precedente. Per l'elenco completo, vedere la sezione domande frequenti di questo bollettino.
Avvertenze: Nessuno
Percorsi di download degli aggiornamenti software e della sicurezza testati:
Software interessato:
- MSN Messenger 6.2 - Scaricare l'aggiornamento
Software non interessato:
- MSN Messenger 7.0
Il software in questo elenco è stato testato per determinare se le versioni sono interessate. Altre versioni non includono più il supporto degli aggiornamenti della sicurezza o potrebbero non essere interessate. Per determinare il ciclo di vita del supporto per il prodotto e la versione, visitare il sito Web supporto tecnico Microsoft Lifecycle.
Informazioni generali
Schema riepilogativo
Sintesi:
Questo aggiornamento risolve una vulnerabilità appena individuata e segnalata privatamente. La vulnerabilità è documentata nella sezione "Dettagli vulnerabilità" di questo bollettino.
Un utente malintenzionato che ha sfruttato correttamente questa vulnerabilità potrebbe assumere il controllo completo di un sistema interessato. L'utente malintenzionato potrebbe quindi installare programmi e visualizzare, modificare o eliminare dati, oppure creare nuovi account con diritti utente completi.
Classificazioni di gravità e identificatori di vulnerabilità:
| Identificatori di vulnerabilità | Impatto della vulnerabilità | MSN Messenger 6.2 |
|---|---|---|
| Vulnerabilità di MSN Messenger - CAN-2005-0562 | Esecuzione di codice remoto\ | Critico\ |
| Gravità aggregata di tutte le vulnerabilità | Critico\ |
Questa valutazione si basa sui tipi di sistemi interessati dalla vulnerabilità, sui relativi modelli di distribuzione tipici e sull'effetto che l'exploit della vulnerabilità avrebbe su di essi.
Domande frequenti relative a questo aggiornamento della sicurezza
Perché questo bollettino è stato rivisto il 21 gennaio 2009?
Microsoft ha rivisto questo bollettino per sostituire il collegamento di download per MSN Messenger 6.2 con il collegamento bollettino a MS07-054, "Vulnerabilità in MSN Messenger e Windows Live Messenger potrebbe consentire l'esecuzione di codice remoto (942099)." Questo collegamento di download è stato reso obsoleto da un aggiornamento richiesto, a seconda del sistema operativo, per MSN Messenger 6.2 in MS07-054. Infatti, MS07-054 elenca altre versioni di MSN Messenger e Window Live Messenger 8.0 come software interessato. Gli utenti possono eseguire l'aggiornamento prima dell'accesso a uno dei servizi usando i collegamenti di download forniti in MS07-054. Gli utenti che non hanno eseguito l'aggiornamento a versioni non vulnerabili di MSN Messenger o Windows Live Messenger verranno richiesti rispettivamente dal servizio MSN Messenger o Windows Live Messenger al momento dell'accesso.
Quali aggiornamenti sostituisce questa versione?
Questo aggiornamento della sicurezza sostituisce un aggiornamento della sicurezza precedente. L'ID del bollettino di sicurezza e i sistemi operativi interessati sono elencati nella tabella seguente:
| ID bollettino | MSN Messenger 6.2 |
|---|---|
| MS05-009 | Sostituito\ |
È possibile usare Microsoft Baseline Security Analyzer (MBSA) per determinare se questo aggiornamento è necessario?
No. MBSA non supporta MSN Messenger e non rileverà se l'aggiornamento è necessario per il software interessato. Tuttavia, Microsoft ha sviluppato una versione di Enterprise Update Scanning Tool (EST) che aiuterà i clienti a determinare se è necessario l'aggiornamento della sicurezza MSN Messenger.
Per informazioni dettagliate sui programmi attualmente non rilevati da MBSA, vedere l'articolo 306460 della Microsoft Knowledge Base. Per altre informazioni su MBSA, visitare il sito Web MBSA.
Che cos'è EnterpriseUpdate Scanning Tool (EST)?
Nell'ambito di un impegno continuo a fornire strumenti di rilevamento per gli aggiornamenti della sicurezza di classe bollettino, Microsoft offre uno strumento di rilevamento autonomo ogni volta che Microsoft Baseline Security Analyzer (MBSA) e Office Detection Tool (ODT) non è in grado di rilevare se l'aggiornamento è necessario per un ciclo di rilascio MSRC. Questo strumento autonomo è denominato Enterprise Update Scanning Tool (EST) ed è progettato per gli amministratori aziendali. Quando viene creata una versione di Enterprise Update Scanning Tool per un bollettino specifico, i clienti possono eseguire lo strumento da un'interfaccia della riga di comando e visualizzare i risultati del file di output XML. Per aiutare i clienti a usare meglio lo strumento, verrà fornita una documentazione dettagliata con lo strumento . È disponibile anche una versione dello strumento che offre un'esperienza integrata per gli amministratori SMS.
È possibile usare una versione diEnterpriseUpdate Scanning Tool (EST) per determinare se questo aggiornamento è necessario?
Sì. Microsoft ha creato una versione dell'EST che determinerà se è necessario applicare questo aggiornamento. Per altre informazioni sulla versione dell'EST rilasciata questo mese, vedere il seguente sito Web Microsoft. Per informazioni più dettagliate sulla distribuzione della versione est rilasciata questo mese, vedere il seguente sito Web Microsoft.
È disponibile anche una versione di questo strumento che i clienti SMS possono ottenere dal seguente sito Web Microsoft. Questo strumento può anche essere disponibile per i clienti SMS dal sito Web SMS.
È possibile usare Systems Management Server (SMS) per determinare se questo aggiornamento è necessario?
No. SMS usa MBSA per il rilevamento e questo aggiornamento non viene rilevato da MBSA. Per informazioni sugli SMS, visitare il sito Web SMS.
Tuttavia, esiste una versione dell'EST che i clienti SMS possono ottenere che offrono un'esperienza integrata per gli amministratori SMS dal seguente sito Web Microsoft.
Lo strumento di inventario degli aggiornamenti della sicurezza è necessario per rilevare Microsoft Windows e altri prodotti Microsoft interessati. Per altre informazioni sulle limitazioni dello strumento di inventario degli aggiornamenti della sicurezza, vedere l'articolo della Microsoft Knowledge Base 306460
Per altre informazioni sugli SMS, visitare il sito Web SMS.
È possibile distribuire questo aggiornamento usando la funzionalità Inventario e distribuzione software di SMS.
Dettagli della vulnerabilità
Vulnerabilità di MSN Messenger - CAN-2005-0562:
Esiste una vulnerabilità di esecuzione remota del codice in MSN Messenger che potrebbe consentire a un utente malintenzionato che ha sfruttato correttamente questa vulnerabilità per assumere il controllo completo del sistema interessato.
Fattori di mitigazione per la vulnerabilità di MSN Messenger - CAN-2005-0562:
MSN Messenger, per impostazione predefinita, non consente alle persone anonime di inviare messaggi. Un utente malintenzionato dovrà prima invogliare l'utente ad aggiungerli all'elenco dei contatti.
Soluzioni alternative per la vulnerabilità di MSN Messenger - CAN-2005-0562:
Microsoft ha testato le soluzioni alternative seguenti. Anche se queste soluzioni alternative non correggeranno la vulnerabilità sottostante, consentono di bloccare i vettori di attacco noti. Quando una soluzione alternativa riduce la funzionalità, viene identificata nella sezione seguente.
Esaminare tutti i contatti attualmente presenti nell'elenco contatti e rimuovere o bloccare eventuali contatti che non si conoscono, non considerare attendibili o non sono più necessari.
Non accettare di accettare trasferimenti di file dai contatti che non si conoscono o non si considerano attendibili.
Bloccare l'accesso a MSN Messenger e Web Messenger in un ambiente aziendale.
Bloccare l'accesso alla porta in uscita 1863 nell'ambiente aziendale. Nota: il servizio MSN Messenger è connesso tramite la porta 1863 quando viene stabilita una connessione diretta. Quando non è possibile stabilire una connessione diretta, il servizio MSN Messenger è connesso tramite la porta 80.
Bloccare l'accesso HTTP alle gateway.messenger.hotmail.com. Se si vuole bloccare l'accesso a MSN Web Messenger, sarà necessario bloccare anche l'accesso HTTP a webmessenger.msn.com.
Impatto della soluzione alternativa: i client MSN Messenger non saranno in grado di connettersi alla rete MSN Messenger
Domande frequenti sulla vulnerabilità di MSN Messenger - CAN-2005-0562:
La versione beta di MSN Messenger 7.0 è interessata da questa vulnerabilità?
Sì. Questa vulnerabilità è stata segnalata dopo il rilascio della versione beta di MSN Messenger 7.0. I clienti che eseguono la versione beta 7.0 su MSN Messenger sono invitati a eseguire l'aggiornamento alla versione rilasciata del software che non è vulnerabile**.**
Qual è l'ambito della vulnerabilità?
Si tratta di una vulnerabilità di esecuzione remota del codice. Un utente malintenzionato che ha sfruttato correttamente questa vulnerabilità potrebbe assumere il controllo completo di un sistema interessato.
Che cosa causa la vulnerabilità?
MSN Messenger ha la possibilità di eseguire il rendering e visualizzare i file nel formato di immagine GIF. Un'immagine GIF in formato non valido con altezza e larghezza non corretta potrebbe non essere elaborata correttamente da MSN Messenger.
Che cos'è GIF?
GIF è l'acronimo di Graphic Interchange Format( Formato interscambio grafico). Si tratta di una tavolozza dei colori 256 più vecchia che era più compatibile con le schede video a 8 bit. Da allora è stato sostituito in gran parte dal formato di grafica PNG e TIF.
Cosa può fare un utente malintenzionato che usa la vulnerabilità?
Un utente malintenzionato che ha sfruttato correttamente questa vulnerabilità potrebbe assumere il controllo completo del sistema interessato**.**
Chi potrebbe sfruttare la vulnerabilità?
Un utente malintenzionato probabilmente cercherà di sfruttare questa vulnerabilità convincendo un utente ad aggiungerlo all'elenco dei contatti e inviando un'emoticon o un'immagine visualizzata appositamente creata**.**
Quali sistemi sono principalmente a rischio dalla vulnerabilità?
Le workstation e i server terminal sono principalmente a rischio. I server potrebbero essere più a rischio se agli utenti che non dispongono di credenziali amministrative sufficienti è possibile accedere ai server ed eseguire programmi. Tuttavia, le procedure consigliate sconsigliano vivamente di consentire questo**.**
Windows 98, Windows 98 Second Edition o Windows Millennium Edition sono interessati in modo critico da questa vulnerabilità?
Sì. I clienti che eseguono una versione interessata di MSN Messenger devono installare la versione aggiornata di MSN Messenger.
Cosa fa l'aggiornamento?
L'aggiornamento rimuove la vulnerabilità modificando il modo in cui MSN Messenger convalida i file GIF prima di elaborarli.
Quando è stato pubblicato questo bollettino sulla sicurezza, questa vulnerabilità è stata divulgata pubblicamente?
No. Microsoft ha ricevuto informazioni su questa vulnerabilità tramite la divulgazione responsabile.
In che modo questa vulnerabilità è correlata alla vulnerabilità di elaborazione PNG corretta da MS05-009?
Entrambe le vulnerabilità hanno interessato i formati grafici. Tuttavia, questo aggiornamento risolve una nuova vulnerabilità in un tipo diverso di formato grafico non risolto come parte di MS05-009. MS05-009 consente di proteggersi dalla vulnerabilità descritta nel bollettino, ma non risolve questa nuova vulnerabilità. Questo aggiornamento sostituisce MS05-009 per MSN Messenger.
Informazioni sull'aggiornamento della sicurezza
Software interessato:
Per informazioni sull'aggiornamento della sicurezza specifico per il software interessato, fare clic sul collegamento appropriato:
MSN Messenger 6.2
Prerequisiti Questo aggiornamento della sicurezza richiede MSN Messenger 6.2.
Requisito di riavvio
Questo aggiornamento potrebbe richiedere il riavvio del computer.
Informazioni sulla rimozione
Non è possibile disinstallare questo aggiornamento.
Verifica dell'installazione dell'aggiornamento
Per verificare che un aggiornamento della sicurezza sia installato in un sistema interessato, seguire questa procedura:
All'interno di MSN Messenger, fare clic su ? e quindi su.
Controllare il numero di versione.
Se il numero di versione legge 6.2.0208 o versione successiva, l'aggiornamento è stato installato correttamente.
Altre informazioni
Riconoscimenti
Microsoft ringrazia quanto segue per collaborare a proteggere i clienti:
- Hongzhou Zhou per segnalare la vulnerabilità di MSN Messenger (CAN-2005-0562).
Recupero di altri Aggiornamenti di sicurezza:
Aggiornamenti per altri problemi di sicurezza sono disponibili nelle posizioni seguenti:
- Gli aggiornamenti della sicurezza sono disponibili nell'Area download Microsoft. È possibile trovarli più facilmente eseguendo una ricerca di parole chiave per "security_patch".
- Aggiornamenti per le piattaforme consumer sono disponibili all'indirizzo Sito Web di Windows Update.
Supporto:
- I clienti negli Stati Uniti e in Canada possono ricevere supporto tecnico dai servizi di supporto tecnico Microsoft all'indirizzo 1-866-PCSAFETY. Non sono previsti addebiti per le chiamate di supporto associate agli aggiornamenti della sicurezza.
- I clienti internazionali possono ricevere supporto dalle filiali Microsoft locali. Non è previsto alcun addebito per il supporto associato agli aggiornamenti della sicurezza. Per altre informazioni su come contattare Microsoft per i problemi di supporto, visitare il sito Web del supporto internazionale.
Risorse di sicurezza:
- Il sito Web Microsoft TechNet Security fornisce informazioni aggiuntive sulla sicurezza nei prodotti Microsoft.
- Microsoft Software Update Services
- Microsoft Baseline Security Analyzer (MBSA)
- Windows Update
- Catalogo di Windows Update: per altre informazioni sul catalogo di Windows Update, vedere l'articolo della Microsoft Knowledge Base 323166.
- Office Update
Software Update Services:
Usando Microsoft Software Update Services (SUS), gli amministratori possono distribuire rapidamente e in modo affidabile gli aggiornamenti critici e gli aggiornamenti della sicurezza più recenti ai server basati su Windows 2000 e Windows Server 2003 e ai sistemi desktop che eseguono Windows 2000 Professional o Windows XP Professional.
Per altre informazioni su come distribuire questo aggiornamento della sicurezza tramite Software Update Services, visitare il sito Web di Software Update Services.
Server di gestione dei sistemi:
Microsoft Systems Management Server (SMS) offre una soluzione aziendale altamente configurabile per la gestione degli aggiornamenti. Usando SMS, gli amministratori possono identificare i sistemi basati su Windows che richiedono aggiornamenti della sicurezza e possono eseguire la distribuzione controllata di questi aggiornamenti in tutta l'azienda con interruzioni minime agli utenti finali. Per altre informazioni su come gli amministratori possono usare SMS 2003 per distribuire gli aggiornamenti della sicurezza, visitare il sito Web di gestione delle patch di sicurezza SMS 2003. Gli utenti SMS 2.0 possono anche usare Software Aggiornamenti Service Feature Pack per distribuire gli aggiornamenti della sicurezza. Per informazioni sugli SMS, visitare il sito Web SMS.
Nota SMS usa Microsoft Baseline Security Analyze, Microsoft Office Detection Tool e Enterprise Update Scanning Tool per fornire un ampio supporto per il rilevamento e la distribuzione degli aggiornamenti del bollettino sulla sicurezza. Alcuni aggiornamenti software potrebbero non essere rilevati da questi strumenti. Amministrazione istrator può usare le funzionalità di inventario dell'SMS in questi casi per indirizzare gli aggiornamenti a sistemi specifici. Per altre informazioni su questa procedura, visitare il sito Web seguente. Alcuni aggiornamenti della sicurezza richiedono diritti amministrativi dopo un riavvio del sistema. Amministrazione istrators possono usare lo strumento di distribuzione dei diritti elevati (disponibile nel Feature Pack di Amministrazione istration SMS 2003 e nel Feature Pack di Amministrazione istration SMS 2.0) per installare questi aggiornamenti.
Declinazione di responsabilità:
Le informazioni fornite nella Microsoft Knowledge Base vengono fornite "così com'è" senza garanzia di alcun tipo. Microsoft dichiara tutte le garanzie, espresse o implicite, incluse le garanzie di commerciabilità e idoneità per uno scopo specifico. In nessun caso, Microsoft Corporation o i suoi fornitori saranno responsabili di qualsiasi danno, incluso diretto, indiretto, accidentale, consequenziale, perdita di profitti aziendali o danni speciali, anche se Microsoft Corporation o i suoi fornitori sono stati informati della possibilità di tali danni. Alcuni stati non consentono l'esclusione o la limitazione della responsabilità per danni consequenziali o accidentali, pertanto la limitazione precedente potrebbe non essere applicata.
Revisioni:
- V1.0 (12 aprile 2005): Bollettino pubblicato
- V1.1 (11 maggio 2005): Bollettino aggiornato con informazioni corrette sulla versione del file per MSN Messenger 6.2
- V2.0 (21 gennaio 2009): Bollettino aggiornato. Sostituito il collegamento di download per MSN Messenger 6.2 con il collegamento del bollettino a MS07-054. Gli utenti possono usare il collegamento di download specifico in MS07-054 per eseguire l'aggiornamento oppure accedere al servizio MSN Messenger per accettare l'aggiornamento richiesto.
Costruito al 2014-04-18T13:49:36Z-07:00