Condividi tramite


Bollettino sulla sicurezza

Microsoft Security Bulletin MS09-035 - Moderate

Le vulnerabilità in Visual Studio Active Template Library potrebbero consentire l'esecuzione di codice remoto (969706)

Pubblicato: 28 luglio 2009 | Aggiornamento: 12 gennaio 2010

Versione: 3.0

Informazioni generali

Schema riepilogativo

Questo aggiornamento della sicurezza risolve diverse vulnerabilità segnalate privatamente nelle versioni pubbliche di Microsoft Active Template Library (ATL) incluse in Visual Studio. Questo aggiornamento della sicurezza è destinato specificamente agli sviluppatori di componenti e controlli. Gli sviluppatori che compilano e ridistribuino componenti e controlli che usano ATL devono installare l'aggiornamento fornito in questo bollettino e seguire le indicazioni fornite per creare e distribuire ai clienti, ai componenti e ai controlli che non sono vulnerabili alle vulnerabilità descritte in questo bollettino sulla sicurezza.

Questo bollettino sulla sicurezza illustra le vulnerabilità che potrebbero consentire l'esecuzione di codice remoto se un utente ha caricato un componente o un controllo compilato con le versioni vulnerabili di ATL.

Mentre la maggior parte dei Bollettini sulla sicurezza Microsoft illustra il rischio di una vulnerabilità per un prodotto specifico, questo bollettino sulla sicurezza illustra le vulnerabilità che possono essere presenti nei prodotti creati con ATL. Pertanto, questo aggiornamento della sicurezza è valutato Moderate per tutte le edizioni supportate di Microsoft Visual Studio .NET 2003, Microsoft Visual Studio 2005, Microsoft Visual Studio 2008, Microsoft Visual C++ 2005 Redistributable Package e Microsoft Visual C++ 2008 Redistributable Package.

Per altre informazioni sull'impatto di e soluzioni alternative e mitigazioni per controlli e componenti che potrebbero essere vulnerabili a questi problemi, vedere Microsoft Security Advisory (973882).

Per altre informazioni, vedere la sottosezione, Affected e Non-Affected Software, in questa sezione.

L'aggiornamento della sicurezza risolve le vulnerabilità modificando le intestazioni ATL in modo che i componenti e i controlli compilati usando le intestazioni possano inizializzare in modo sicuro da un flusso di dati. Per altre informazioni sulle vulnerabilità, vedere la sottosezione Domande frequenti per la voce di vulnerabilità specifica nella sezione successiva Informazioni sulla vulnerabilità.

Elemento consigliato. Gli sviluppatori che hanno compilato componenti e controlli che usano ATL devono scaricare questo aggiornamento e ricompilare i relativi componenti e controlli seguendo le indicazioni fornite nell'articolo MSDN seguente.

La maggior parte dei clienti di Visual Studio che hanno abilitato l'aggiornamento automatico riceverà questo aggiornamento automaticamente e riceverà l'ATL aggiornato. Tuttavia, come indicato in precedenza, saranno necessari passaggi aggiuntivi per aggiornare controlli e componenti potenzialmente vulnerabili. I clienti che non hanno abilitato l'aggiornamento automatico devono verificare la disponibilità di aggiornamenti e installare questo aggiornamento manualmente. Per informazioni sulle opzioni di configurazione specifiche nell'aggiornamento automatico, vedere l'articolo della Microsoft Knowledge Base 294871.

Per gli amministratori e le installazioni aziendali o gli utenti finali che vogliono installare manualmente questo aggiornamento della sicurezza, Microsoft consiglia ai clienti di applicare immediatamente l'aggiornamento usando il software di gestione degli aggiornamenti o controllando la disponibilità di aggiornamenti tramite il servizio Microsoft Update .

Vedere anche la sezione Strumenti di rilevamento e distribuzione e indicazioni, più avanti in questo bollettino.

Problemi noti.L'articolo della Microsoft Knowledge Base 969706 documenta i problemi attualmente noti che i clienti potrebbero riscontrare durante l'installazione di questo aggiornamento della sicurezza. L'articolo illustra anche le soluzioni consigliate per questi problemi.

Software interessato e non interessato

Il software seguente è stato testato per determinare quali versioni o edizioni sono interessate. Altre versioni o edizioni superano il ciclo di vita del supporto o non sono interessate. Per determinare il ciclo di vita del supporto per la versione o l'edizione del software, visitare supporto tecnico Microsoft Ciclo di vita.

Software interessato

Software Impatto massimo sulla sicurezza Valutazione della gravità aggregata Bollettini sostituiti da questo aggiornamento
Microsoft Visual Studio .NET 2003 Service Pack 1\ (KB971089) Esecuzione di codice remoto Moderato MS07-012
Microsoft Visual Studio 2005 Service Pack 1\ (KB971090) Esecuzione di codice remoto Moderato None
Microsoft Visual Studio 2005 Service Pack 1*\ (KB973673) Esecuzione di codice remoto Moderato None
Microsoft Visual Studio 2005 Service Pack 1 a 64 bit hosted Visual C++ Tools\ (KB973830) Esecuzione di codice remoto Moderato None
Windows Embedded CE 6.0**\ (KB974616) Esecuzione di codice remoto Moderato None
Microsoft Visual Studio 2008\ (KB971091) Esecuzione di codice remoto Moderato None
Microsoft Visual Studio 2008*\ (KB973674) Esecuzione di codice remoto Moderato None
Microsoft Visual Studio 2008 Service Pack 1\ (KB971092) Esecuzione di codice remoto Moderato None
Microsoft Visual Studio 2008 Service Pack 1*\ (KB973675) Esecuzione di codice remoto Moderato None
Microsoft Visual C++ 2005 Service Pack 1 Redistributable Package\ (KB973544) Esecuzione di codice remoto Moderato None
Microsoft Visual C++ 2008 Redistributable Package\ (KB973551) Esecuzione di codice remoto Moderato None
Microsoft Visual C++ 2008 Service Pack 1 Redistributable Package\ (KB973552) Esecuzione di codice remoto Moderato None

*Per le applicazioni per dispositivi mobili che usano ATL per dispositivi intelligenti

**Installa l'aggiornamento mensile di Windows Embedded CE 6.0 (dicembre 2009). Questo pacchetto di aggiornamento è disponibile solo nell'Area download Microsoft.

Perché questo bollettino è stato ripubblicato il 12 gennaio 2010?
Microsoft ha rilasciato questo bollettino per aggiungere Windows Embedded CE 6.0 al software interessato. L'aggiornamento per Windows Embedded CE 6.0 (KB974616) è un aggiornamento cumulativo disponibile solo nell'Area download Microsoft. I clienti che usano la piattaforma Windows Embedded CE 6.0 devono prendere in considerazione l'applicazione dell'aggiornamento cumulativo. Nessun altro pacchetto di aggiornamento è interessato da questa nuova versione.

Perché questo bollettino è stato rivisto l'8 settembre 2009? 
Questo bollettino è stato modificato per comunicare che la sezione Problemi noti relativi a questo aggiornamento della sicurezza nell'articolo della Microsoft Knowledge Base associato 969706 è stata modificata per modificare il numero di problemi noti KB974223 in KB974479, per offrire un aggiornamento non della sicurezza per risolvere il problema. Gli utenti di Microsoft Visual Studio 2008 Service Pack 1 che non hanno installato l'aggiornamento della sicurezza descritto in questo bollettino riceveranno automaticamente sia l'aggiornamento della sicurezza che l'aggiornamento non della sicurezza tramite Microsoft Update. Gli utenti di Microsoft Visual Studio 2008 Service Pack 1 che hanno già installato l'aggiornamento della sicurezza verranno offerti automaticamente tramite Windows Update. Gli utenti di Microsoft Visual Studio 2008 Service Pack 1 che hanno già installato l'aggiornamento della sicurezza non devono reinstallare l'aggiornamento della sicurezza e devono installare solo l'aggiornamento non della sicurezza se riscontrano i problemi descritti in KB974479.

Perché questo bollettino è stato ripubblicato il 11 agosto 2009?
Microsoft ha rilasciato nuovamente questo bollettino per offrire nuovi aggiornamenti per le piattaforme seguenti:

  • Microsoft Visual Studio 2005 Service Pack 1 (KB973673)
  • Microsoft Visual Studio 2008 (KB973674)
  • Microsoft Visual Studio 2008 Service Pack 1 (KB973675)

I nuovi aggiornamenti della sicurezza sono destinati agli sviluppatori che usano Visual Studio per creare componenti e controlli per le applicazioni per dispositivi mobili tramite ATL per smart devices. Tutti gli sviluppatori di Visual Studio devono installare questi nuovi aggiornamenti in modo che possano usare Visual Studio per creare componenti e controlli non vulnerabili ai problemi segnalati.

Per altre informazioni su questo problema noto, vedere l'articolo della Microsoft Knowledge Base 969706.

Perché questo bollettino è stato rivisto il 4 agosto 2009? 
Questo bollettino è stato modificato per comunicare che la sezione Problemi noti relativi a questo aggiornamento della sicurezza nell'articolo della Microsoft Knowledge Base associata 969706 stata modificata e che la logica di rilevamento degli aggiornamenti per KB973923 e KB973924 è stata modificata per correggere un problema di nuova offerta del pacchetto. La logica di rilevamento originale ha determinato se l'aggiornamento deve essere installato controllando di confermare che l'aggiornamento non è già stato installato. I pacchetti Ridistribuibili di Visual C++ (KB973544, KB973551, KB973552), disponibili nell'Area download Microsoft, sono un superset completo dei pacchetti di aggiornamento ATL corrispondenti (KB973923, KB973924), disponibili solo da Microsoft Update. I clienti che hanno installato la versione aggiornata del pacchetto Visual C++ Redistributable non devono installare i pacchetti di aggiornamento ATL corrispondenti. L'account delle modifiche di rilevamento per questo e non offre nuovamente i pacchetti di aggiornamento ATL quando è già installata la versione fissa corrispondente dell'aggiornamento Ridistribuibile di Visual C++. È stata aggiunta anche una nuova voce a questa sezione Domande frequenti correlate a questo aggiornamento della sicurezza per chiarire la differenza tra i pacchetti Ridistribuibili di Visual C++ e gli altri aggiornamenti di Visual Studio. Le aziende che non usano Microsoft Update per la distribuzione degli aggiornamenti che devono distribuire gli aggiornamenti offerti da questo bollettino con altri mezzi possono scaricare e distribuire i pacchetti ridistribuibili di Visual C++ completi, poiché si tratta di un superset completo dei pacchetti di aggiornamento ATL corrispondenti.

Qual è la differenza tra i pacchetti Ridistribuibili di Visual C++ e gli altri aggiornamenti di Visual Studio? 
I pacchetti Ridistribuibili di Visual C++ sono versioni complete di questo prodotto che possono essere ridistribuite da chiunque disponga delle applicazioni. I clienti che devono spedire Visual C++ Redistributable devono raccogliere questi pacchetti e aggregarli o concatenarli nelle configurazioni. Gli altri aggiornamenti di Visual Studio sono disponibili per i clienti che in precedenza hanno installato una versione precedente del prodotto Visual C++ Redistributable o hanno installato il prodotto Visual Studio. Questi pacchetti di aggiornamento vengono offerti ai clienti solo tramite Microsoft Update e saranno applicabili solo se è presente una versione precedente di Visual C++ Redistributable o Visual Studio.

Perché l'Area download Microsoft aggiorna i numeri kb per i pacchetti Ridistribuibili di Visual C++ differisce dai numeri DI KB di aggiornamento SMS, SCCM, WSUS e MU? 
Le versioni complete dei pacchetti ridistribuibili fissi di Visual C++ 2005 e 2008 (KB973544, KB973551 e KB973552) sono elencate nell'Area download Microsoft solo perché sono versioni complete dei prodotti. Gli aggiornamenti elencati in SMS, SCCM, WSUS e MU (KB973923, KB9739234) sono aggiornamenti solo per i clienti che hanno installato versioni vulnerabili dei pacchetti ridistribuibili di Visual C++. Questi aggiornamenti non sono le versioni nell'area download. Microsoft non consiglia ai clienti di ridistribuire qualsiasi versione diversa dalle versioni complete che possono essere scaricate dall'Area download Microsoft (KB973544, KB973551 e KB973552).

Perché questo aggiornamento della sicurezza è stato rilasciato fuori banda? 
Questo aggiornamento della sicurezza viene rilasciato fuori banda per risolvere i problemi divulgati in Avviso di sicurezza Microsoft (973882), "Le vulnerabilità in Microsoft Active Template Library (ATL) potrebbero consentire l'esecuzione di codice remoto".

In che modo questo bollettino si riferisce alle vulnerabilità descritte in Microsoft Security Advisory (973882)?
Questo bollettino risolve le vulnerabilità nella versione pubblica di Active Template Library (ATL). Le vulnerabilità nella versione privata di ATL sono descritte in Microsoft Security Advisory (973882).

Se si tratta di vulnerabilità di esecuzione di codice remoto, perché questo bollettino è valutato solo moderate? 
Questo bollettino è valutato moderate perché Microsoft Visual Studio, per impostazione predefinita, non è interessato da queste vulnerabilità. I controlli e i componenti compilati usando l'ATL interessato sono vulnerabili e, se interessati, vengono valutati critical o moderate a seconda del tipo di vulnerabilità presente nel controllo o nel componente.

Gli utenti di Visual Studio sono interessati direttamente da queste vulnerabilità? 
No. L'esistenza di Visual Studio nel sistema non rende l'utente vulnerabile a questo problema.

L'aggiornamento associato a questo bollettino è destinato agli sviluppatori che creano componenti e controlli in modo che possano usare Visual Studio per creare componenti e controlli non vulnerabili ai problemi segnalati. Solo i componenti e i controlli vulnerabili sviluppati con una versione ATL interessata sono interessati da questo problema. Gli sviluppatori che hanno compilato o ridistribuito componenti e controlli compilati con le versioni interessate di ATL devono installare l'aggiornamento fornito in questo bollettino e seguire i passaggi forniti per assicurarsi che i relativi componenti e controlli non contengano le vulnerabilità descritte in questo bollettino.

Quali versioni della libreria ActiveTemplate sono interessate da queste vulnerabilità?
Sono interessate le versioni 7.0, 7.1, 8.0 e 9.0. Tutte le altre versioni non sono supportate.

Quali versioni di Visual Studio sono interessate?
Vedere Software interessato e non interessato, in questo bollettino sulla sicurezza Microsoft.

Questo aggiornamento della sicurezza è correlato a MS09-034, rilasciato anche come aggiornamento fuori banda? 
Sì. Microsoft Security Bulletin MS09-034, "Aggiornamento cumulativo della sicurezza per Internet Explorer", include una mitigazione che consente di impedire che i componenti e i controlli creati usando l'ATL vulnerabile vengano sfruttati in Internet Explorer, oltre a risolvere più vulnerabilità non correlate. Le nuove protezioni avanzate offerte in MS09-034 includono aggiornamenti a Internet Explorer 5.01, Internet Explorer 6 e Internet Explorer 6 Service Pack 1, Internet Explorer 7 e Internet Explorer 8, che monitorano e impediscono il corretto sfruttamento di tutte le vulnerabilità ATL pubbliche e private note, incluse le vulnerabilità che potrebbero causare il bypass della funzionalità di sicurezza dei bit di attacco di ActiveX. Queste protezioni sono progettate per proteggere i clienti da attacchi basati sul Web.

Se è stato installato l'aggiornamento MS09-034, è comunque necessario installare questo aggiornamento? 
Questo aggiornamento della sicurezza è destinato specificamente agli sviluppatori di componenti e controlli. Gli sviluppatori che hanno compilato o ridistribuito componenti e controlli compilati con le versioni interessate di Active Template Library devono installare l'aggiornamento fornito in questo bollettino e seguire i passaggi forniti per assicurarsi che i relativi componenti e controlli non contengano le vulnerabilità descritte in questo bollettino.

Se è stato installato l'aggiornamento MS09-034, è comunque necessario installare componenti e controlli aggiuntivi gestiti da Microsoft o da terze parti che risolevano le vulnerabilità descritte in Microsoft Security Advisory 973882 e microsoft Security Bulletin MS09-035? 
La mitigazione ms09-034 di Internet Explorer non risolve le vulnerabilità sottostanti all'interno di determinati componenti e controlli sviluppati con Active Template Library. Microsoft consiglia agli sviluppatori di seguire le indicazioni fornite in questo bollettino per modificare e ricompilare tutti i componenti e i controlli interessati dalle vulnerabilità descritte in questo bollettino.

Dove sono i dettagli delle informazioni sul file? 
Per informazioni dettagliate sul percorso delle informazioni sui file, vedere le tabelle di riferimento nella sezione Distribuzione aggiornamenti della sicurezza.

Che cos'è ATL?
La libreria ATL (Active Template Library) è costituita da una serie di classi C++ basate su modelli che consentono di creare oggetti COM (Component Object Model) rapidi e di piccole dimensioni. Include un supporto speciale per le principali funzionalità COM, tra cui implementazioni predefinite, interfacce duali, interfacce dell'enumeratore standard, punti di connessione, interfacce a scomparsa e controllo ActiveX. Per altre informazioni, vedere l'articolo MSDN seguente.

I componenti e i controlli di terze parti sono interessati da questo problema?
Alcuni componenti e controlli di terze parti possono essere interessati da questo problema se determinate condizioni sono state soddisfatte durante la compilazione dei componenti e dei controlli. Microsoft consiglia agli sviluppatori di seguire le indicazioni fornite in questo bollettino per modificare e ricompilare tutti i componenti e i controlli interessati dalle vulnerabilità descritte in questo bollettino.

Io sono uno sviluppatore di applicazioni di terze parti e uso ATL nei componenti e nei controlli. I componenti e i controlli sono vulnerabili e, in tal caso, come aggiornarli? 
Per istruzioni su come determinare se i componenti e i controlli sono vulnerabili e su come aggiornarli, vedere l'articolo MSDN seguente.

Perché questo aggiornamento risolve diverse vulnerabilità di sicurezza segnalate? 
Questo aggiornamento contiene il supporto per diverse vulnerabilità perché le modifiche necessarie per risolvere questi problemi si trovano nei file correlati. Invece di dover installare più aggiornamenti quasi uguali, i clienti devono installare solo questo aggiornamento.

Uso una versione precedente del software discussa in questo bollettino sulla sicurezza. Cosa devo fare? 
Il software interessato elencato in questo bollettino è stato testato per determinare quali versioni sono interessate. Altre versioni hanno superato il ciclo di vita del supporto. Per determinare il ciclo di vita del supporto per il rilascio del software, visitare supporto tecnico Microsoft Ciclo di vita.

Deve essere una priorità per i clienti che dispongono di versioni precedenti del software per eseguire la migrazione alle versioni supportate per evitare potenziali esposizione alle vulnerabilità. Per altre informazioni sul ciclo di vita del prodotto Windows, visitare supporto tecnico Microsoft Ciclo di vita. Per altre informazioni sul periodo di supporto degli aggiornamenti della sicurezza estesa per queste versioni o edizioni software, visitare Il Servizio Supporto Tecnico Clienti Microsoft.

I clienti che richiedono supporto personalizzato per le versioni precedenti devono contattare il rappresentante del team dell'account Microsoft, il proprio Account Manager tecnico o il rappresentante partner Microsoft appropriato per le opzioni di supporto personalizzate. I clienti senza contratto Alliance, Premier o Authorized possono contattare l'ufficio vendite Microsoft locale. Per informazioni di contatto, visitare Microsoft Worldwide Information, selezionare il paese e quindi fare clic su Vai per visualizzare un elenco di numeri di telefono. Quando chiami, chiedi di parlare con il responsabile vendite premier support locale. Per altre informazioni, vedere Domande frequenti sul ciclo di vita del supporto del prodotto del sistema operativo Windows.

Io sono uno sviluppatore e ho domande su questo problema che non sono documentati in questo bollettino sulla sicurezza Microsoft. Cosa posso fare?
Nell'ambito della risposta a questo problema, Microsoft fornisce contenuti per sviluppatori specializzati e collegamenti ai forum per ottenere risposte alle domande dalle risorse Microsoft e dalla community per sviluppatori Microsoft. Per altre informazioni, vedere l'articolo MSDN seguente.

Informazioni sulla vulnerabilità

Classificazioni di gravità e identificatori di vulnerabilità

Le classificazioni di gravità seguenti presuppongono il potenziale impatto massimo della vulnerabilità. Per informazioni sulla probabilità, entro 30 giorni dal rilascio del bollettino sulla sicurezza, della sfruttabilità della vulnerabilità in relazione alla classificazione di gravità e all'impatto sulla sicurezza, vedere l'indice di exploit nel riepilogo del bollettino di luglio. Per altre informazioni, vedere Microsoft Exploitability Index.

Software interessato Vulnerabilità dell'oggetto ATL non inizializzato - CVE-2009-0901 Vulnerabilità di inizializzazione DI ATL COM - CVE-2009-2493 Vulnerabilità della stringa NULL ATL - CVE-2009-2495 Valutazione della gravità aggregata
Microsoft Visual Studio .NET 2003 Service Pack 1 Modera \ Esecuzione di codice remoto Modera \ Esecuzione di codice remoto Modera \ Divulgazione di informazioni Moderato
Microsoft Visual Studio 2005 Service Pack 1 Modera \ Esecuzione di codice remoto Modera \ Esecuzione di codice remoto Modera \ Divulgazione di informazioni Moderato
Microsoft Visual Studio 2005 Service Pack 1 a 64 bit Hosted Visual C++ Tools Modera \ Esecuzione di codice remoto Modera \ Esecuzione di codice remoto Modera \ Divulgazione di informazioni Moderato
Windows Embedded CE 6.0 Modera \ Esecuzione di codice remoto Modera \ Esecuzione di codice remoto Modera \ Divulgazione di informazioni Moderato
Microsoft Visual Studio 2008 Modera \ Esecuzione di codice remoto Modera \ Esecuzione di codice remoto Modera \ Divulgazione di informazioni Moderato
Microsoft Visual Studio 2008 Service Pack 1 Non applicabile Modera \ Esecuzione di codice remoto Modera \ Divulgazione di informazioni Moderato
Pacchetto ridistribuibile di Microsoft Visual C++ 2005 Service Pack 1 Modera \ Esecuzione di codice remoto Modera \ Esecuzione di codice remoto Modera \ Divulgazione di informazioni Moderato
Pacchetto ridistribuibile di Microsoft Visual C++ 2008 Modera \ Esecuzione di codice remoto Modera \ Esecuzione di codice remoto Modera \ Divulgazione di informazioni Moderato
Pacchetto ridistribuibile di Microsoft Visual C++ 2008 Service Pack 1 Modera \ Esecuzione di codice remoto Modera \ Esecuzione di codice remoto Modera \ Divulgazione di informazioni Moderato

Vulnerabilità dell'oggetto ATL non inizializzato - CVE-2009-0901

Esiste una vulnerabilità di esecuzione remota del codice in Microsoft Active Template Library (ATL) a causa di un problema nelle intestazioni ATL che potrebbero consentire a un utente malintenzionato di forzare la chiamata di VariantClear su un variant che non è stato inizializzato correttamente. Per questo motivo, l'utente malintenzionato può controllare cosa accade quando VariantClear viene chiamato durante la gestione di un errore fornendo un flusso danneggiato. Questa vulnerabilità interessa direttamente i sistemi con componenti e controlli installati che sono stati compilati usando Visual Studio ATL. Questo problema potrebbe consentire a un utente remoto non autenticato di eseguire l'esecuzione di codice remoto in un sistema interessato. Un utente malintenzionato potrebbe sfruttare la vulnerabilità creando una pagina Web appositamente creata. Quando un utente visualizza la pagina Web, la vulnerabilità potrebbe consentire l'esecuzione remota del codice.

Per visualizzare questa vulnerabilità come voce standard nell'elenco Vulnerabilità ed esposizioni comuni, vedere CVE-2009-0901.

Fattori di mitigazione per la vulnerabilità dell'oggetto ATL non inizializzato - CVE-2009-0901

La mitigazione si riferisce a un'impostazione, a una configurazione comune o a una procedura consigliata generale, esistente in uno stato predefinito, che potrebbe ridurre la gravità dello sfruttamento di una vulnerabilità. I fattori di mitigazione seguenti possono essere utili nella situazione:

  • Per impostazione predefinita, Visual Studio come prodotto non è vulnerabile a questo problema. Al contrario, i componenti e i controlli creati con le versioni vulnerabili di ATL potrebbero essere vulnerabili.
  • I fattori e le soluzioni alternative per i componenti e i controlli potenzialmente vulnerabili sono descritti in Microsoft Security Advisory (973882).

Soluzioni alternative per la vulnerabilità dell'oggetto ATL non inizializzato - CVE-2009-0901

La soluzione alternativa si riferisce a un'impostazione o a una modifica della configurazione che non corregge la vulnerabilità sottostante, ma che consente di bloccare i vettori di attacco noti prima di applicare l'aggiornamento. Microsoft ha testato le soluzioni alternative e gli stati seguenti nella discussione se una soluzione alternativa riduce le funzionalità:

Domande frequenti sulla vulnerabilità dell'oggetto ATL non inizializzato - CVE-2009-0901

Qual è l'ambito della vulnerabilità? 
Questa vulnerabilità interessa direttamente i sistemi con componenti e controlli vulnerabili installati che sono stati compilati usando le versioni interessate di MICROSOFT ATL.

Si tratta di una vulnerabilità di esecuzione remota del codice. Ad esempio, la vulnerabilità potrebbe consentire l'esecuzione di codice remoto se l'utente visita una pagina Web appositamente creata con Internet Explorer che crea un'istanza di un componente o un controllo vulnerabile. Un utente malintenzionato che ha sfruttato correttamente questa vulnerabilità potrebbe ottenere gli stessi diritti utente dell'utente connesso.

Se un utente è connesso con diritti utente amministrativi, un utente malintenzionato che ha sfruttato correttamente questa vulnerabilità potrebbe assumere il controllo completo di un sistema interessato. L'utente malintenzionato potrebbe quindi installare programmi e visualizzare, modificare o eliminare dati, oppure creare nuovi account con diritti utente completi. Gli utenti con account che dispongono di diritti utente limitati per il sistema in uso risultano meno esposti degli utenti che operano con diritti amministrativi.

Che cosa causa la vulnerabilità? 
La vulnerabilità deriva da un problema nelle intestazioni ATL che potrebbero consentire a un utente malintenzionato di chiamare VariantClear() su una variante che non è stata inizializzata correttamente. Per gli sviluppatori che hanno creato un componente o un controllo usando ATL in questo modo, il componente o il controllo risultante possono consentire l'esecuzione remota del codice nel contesto dell'utente connesso.

Cosa può fare un utente malintenzionato che usa la vulnerabilità? 
Se un utente ha un controllo vulnerabile sul sistema e un utente malintenzionato ignora le mitigazioni descritte in Avviso di sicurezza Microsoft (973882), un utente malintenzionato potrebbe assumere il controllo completo del sistema interessato. L'utente malintenzionato potrebbe quindi installare programmi e visualizzare, modificare o eliminare dati, oppure creare nuovi account con diritti utente completi. Gli utenti con account che dispongono di diritti utente limitati per il sistema in uso risultano meno esposti degli utenti che operano con diritti amministrativi.

In che modo un utente malintenzionato potrebbe sfruttare la vulnerabilità? 
Un utente malintenzionato potrebbe ospitare un sito Web appositamente creato progettato per sfruttare questa vulnerabilità tramite Internet Explorer tentando di sfruttare un controllo vulnerabile e quindi convincere un utente a visualizzare il sito Web. Ciò può includere anche siti Web compromessi e siti Web che accettano o ospitano contenuti o annunci forniti dall'utente. Questi siti Web possono contenere contenuti appositamente creati che potrebbero sfruttare questa vulnerabilità. In tutti i casi, tuttavia, un utente malintenzionato dovrà individuare un controllo vulnerabile e costringere gli utenti a visitare questi siti Web. A tale scopo, un utente malintenzionato dovrà convincere gli utenti a visitare il sito Web, in genere facendogli clic su un collegamento in un messaggio di posta elettronica o in una richiesta di Instant Messenger che porta gli utenti al sito Web dell'utente malintenzionato. Potrebbe anche essere possibile visualizzare contenuti Web appositamente creati usando annunci banner o utilizzando altri metodi per distribuire contenuti Web ai sistemi interessati.

Quali sistemi sono principalmente a rischio dalla vulnerabilità? 
Le workstation e i server terminal sono principalmente a rischio. I server potrebbero essere più a rischio se agli utenti che non devono avere autorizzazioni amministrative sufficienti è consentito accedere ai server e a eseguire programmi. Tuttavia, le procedure consigliate sconsigliano vivamente di consentire questo problema.

Cosa fa l'aggiornamento? 
L'aggiornamento risolve il problema assicurando che VariantClear() possa essere chiamato solo sulle varianti inizializzate e fornisce versioni aggiornate di ATL che consentono agli sviluppatori di risolvere questo problema in controlli potenzialmente vulnerabili.

Quando è stato pubblicato questo bollettino sulla sicurezza, questa vulnerabilità è stata divulgata pubblicamente? 
No. Microsoft ha ricevuto informazioni su questa vulnerabilità tramite la divulgazione responsabile. Microsoft non aveva ricevuto alcuna informazione per indicare che questa vulnerabilità era stata divulgata pubblicamente quando questo bollettino sulla sicurezza è stato originariamente pubblicato.

Quando è stato emesso questo bollettino sulla sicurezza, Microsoft ha ricevuto eventuali segnalazioni che questa vulnerabilità è stata sfruttata? 
No. Microsoft non aveva ricevuto alcuna informazione per indicare che questa vulnerabilità era stata usata pubblicamente per attaccare i clienti e non aveva visto alcun esempio di codice di verifica pubblicato quando questo bollettino sulla sicurezza è stato originariamente pubblicato.

Vulnerabilità di inizializzazione DI ATL COM - CVE-2009-2493

Esiste una vulnerabilità di esecuzione remota del codice in Microsoft Active Template Library (ATL) a causa di problemi nelle intestazioni ATL che gestiscono la creazione di istanze di un oggetto dai flussi di dati. Questa vulnerabilità interessa direttamente i sistemi con componenti e controlli installati che sono stati compilati usando Visual Studio ATL. Per i componenti e i controlli creati usando ATL, l'utilizzo non sicuro di OleLoadFromStream potrebbe consentire la creazione di istanze di oggetti arbitrari che possono ignorare i criteri di sicurezza correlati, ad esempio i bit di terminazione in Internet Explorer. Questo problema potrebbe consentire a un utente remoto non autenticato di eseguire l'esecuzione di codice remoto in un sistema interessato. Un utente malintenzionato potrebbe sfruttare la vulnerabilità creando una pagina Web appositamente creata. Quando un utente visualizza la pagina Web, la vulnerabilità potrebbe consentire l'esecuzione remota del codice.

Per visualizzare questa vulnerabilità come voce standard nell'elenco Vulnerabilità ed esposizioni comuni, vedere CVE-2009-2493.

Fattori di mitigazione per la vulnerabilità di inizializzazione DI ATL COM - CVE-2009-2493

La mitigazione si riferisce a un'impostazione, a una configurazione comune o a una procedura consigliata generale, esistente in uno stato predefinito, che potrebbe ridurre la gravità dello sfruttamento di una vulnerabilità. I fattori di mitigazione seguenti possono essere utili nella situazione:

  • Per impostazione predefinita, Visual Studio come prodotto non è vulnerabile a questo problema. Al contrario, i componenti e i controlli creati con le versioni vulnerabili di ATL potrebbero essere vulnerabili.
  • I fattori e le soluzioni alternative per i componenti e i controlli potenzialmente vulnerabili sono descritti in Microsoft Security Advisory (973882).

Soluzioni alternative per la vulnerabilità di inizializzazione COM ATL - CVE-2009-2493

La soluzione alternativa si riferisce a un'impostazione o a una modifica della configurazione che non corregge la vulnerabilità sottostante, ma che consente di bloccare i vettori di attacco noti prima di applicare l'aggiornamento. Microsoft ha testato le soluzioni alternative e gli stati seguenti nella discussione se una soluzione alternativa riduce le funzionalità:

Domande frequenti sulla vulnerabilità di inizializzazione COM ATL - CVE-2009-2493

Qual è l'ambito della vulnerabilità? 
Questa vulnerabilità interessa direttamente i sistemi con componenti e controlli installati che sono stati compilati usando Visual Studio ATL.

Si tratta di una vulnerabilità di esecuzione remota del codice. La vulnerabilità potrebbe consentire l'esecuzione di codice remoto se l'utente visita una pagina Web appositamente creata con Internet Explorer, creando un'istanza di un componente o di un controllo vulnerabile. Un utente malintenzionato che ha sfruttato correttamente questa vulnerabilità potrebbe ottenere gli stessi diritti utente dell'utente connesso.

Se un utente è connesso con diritti utente amministrativi, un utente malintenzionato che ha sfruttato correttamente questa vulnerabilità potrebbe assumere il controllo completo di un sistema interessato. L'utente malintenzionato potrebbe quindi installare programmi e visualizzare, modificare o eliminare dati, oppure creare nuovi account con diritti utente completi. Gli utenti con account che dispongono di diritti utente limitati per il sistema in uso risultano meno esposti degli utenti che operano con diritti amministrativi.

Che cosa causa la vulnerabilità? 
La vulnerabilità deriva dai problemi nelle intestazioni ATL che gestiscono la creazione di istanze di un oggetto dai flussi di dati. Per i componenti e i controlli compilati con ATL, l'utilizzo non sicuro di OleLoadFromStream potrebbe consentire la creazione di istanze di oggetti arbitrari che possono ignorare determinati criteri di sicurezza correlati.

Cosa può fare un utente malintenzionato che usa la vulnerabilità? 
Se un utente ha un controllo vulnerabile sul proprio sistema e un utente malintenzionato ignora le mitigazioni descritte in Avviso di sicurezza Microsoft (973882), se l'utente è connesso con diritti utente amministrativi un utente malintenzionato potrebbe assumere il controllo completo del sistema interessato. L'utente malintenzionato potrebbe quindi installare programmi e visualizzare, modificare o eliminare dati, oppure creare nuovi account con diritti utente completi. Gli utenti con account che dispongono di diritti utente limitati per il sistema in uso risultano meno esposti degli utenti che operano con diritti amministrativi.

In che modo un utente malintenzionato potrebbe sfruttare la vulnerabilità? 
Un utente malintenzionato potrebbe ospitare un sito Web appositamente creato progettato per sfruttare questa vulnerabilità tramite Internet Explorer tentando di sfruttare un controllo vulnerabile e quindi convincere un utente a visualizzare il sito Web. Ciò può includere anche siti Web compromessi e siti Web che accettano o ospitano contenuti o annunci forniti dall'utente. Questi siti Web possono contenere contenuti appositamente creati che potrebbero sfruttare questa vulnerabilità. In tutti i casi, tuttavia, un utente malintenzionato dovrà individuare un controllo vulnerabile e costringere gli utenti a visitare questi siti Web. A tale scopo, un utente malintenzionato dovrà convincere gli utenti a visitare il sito Web, in genere facendogli clic su un collegamento in un messaggio di posta elettronica o in una richiesta di Instant Messenger che porta gli utenti al sito Web dell'utente malintenzionato. Potrebbe anche essere possibile visualizzare contenuti Web appositamente creati usando annunci banner o utilizzando altri metodi per distribuire contenuti Web ai sistemi interessati.

Quali sistemi sono principalmente a rischio dalla vulnerabilità? 
Le workstation e i server terminal sono principalmente a rischio. I server potrebbero essere più a rischio se agli utenti che non devono avere autorizzazioni amministrative sufficienti è consentito accedere ai server e a eseguire programmi. Tuttavia, le procedure consigliate sconsigliano vivamente di consentire questo problema.

Cosa fa l'aggiornamento? 
L'aggiornamento risolve la vulnerabilità correggendo il modo in cui ATL gestisce l'istanza di oggetti dal flusso di dati e fornendo versioni aggiornate di ATL che consentono agli sviluppatori di risolvere questo problema in controlli potenzialmente vulnerabili.

Quando è stato pubblicato questo bollettino sulla sicurezza, questa vulnerabilità è stata divulgata pubblicamente? 
No. Microsoft ha ricevuto informazioni su questa vulnerabilità tramite la divulgazione responsabile. Microsoft non aveva ricevuto alcuna informazione per indicare che questa vulnerabilità era stata divulgata pubblicamente quando questo bollettino sulla sicurezza è stato originariamente pubblicato.

Quando è stato emesso questo bollettino sulla sicurezza, Microsoft ha ricevuto eventuali segnalazioni che questa vulnerabilità è stata sfruttata? 
No. Microsoft non aveva ricevuto alcuna informazione per indicare che questa vulnerabilità era stata usata pubblicamente per attaccare i clienti e non aveva visto alcun esempio di codice di verifica pubblicato quando questo bollettino sulla sicurezza è stato originariamente pubblicato.

Vulnerabilità della stringa NULL ATL - CVE-2009-2495

Esiste una vulnerabilità di divulgazione di informazioni in Microsoft Active Template Library (ATL) che potrebbe consentire la lettura di una stringa senza un carattere NULL di terminazione. Un utente malintenzionato potrebbe manipolare questa stringa per leggere dati aggiuntivi oltre la fine della stringa e quindi divulgare informazioni in memoria. Questa vulnerabilità interessa direttamente i sistemi con componenti e controlli installati che sono stati compilati usando Visual Studio ATL. Un utente malintenzionato che ha sfruttato correttamente questa vulnerabilità potrebbe eseguire un componente dannoso o un controllo che potrebbe divulgare informazioni, inoltrare i dati utente a terze parti o accedere a tutti i dati sui sistemi interessati accessibili all'utente connesso. Si noti che questa vulnerabilità non consentirebbe a un utente malintenzionato di eseguire codice o di elevare direttamente i diritti utente, ma potrebbe essere usata per produrre informazioni che potrebbero essere usate per tentare di compromettere ulteriormente il sistema interessato.

Per visualizzare questa vulnerabilità come voce standard nell'elenco Vulnerabilità ed esposizioni comuni, vedere CVE-2009-2495.

Fattori di mitigazione per la vulnerabilità delle stringhe Null ATL - CVE-2009-2495

La mitigazione si riferisce a un'impostazione, a una configurazione comune o a una procedura consigliata generale, esistente in uno stato predefinito, che potrebbe ridurre la gravità dello sfruttamento di una vulnerabilità. I fattori di mitigazione seguenti possono essere utili nella situazione:

  • Per impostazione predefinita, Visual Studio come prodotto non è vulnerabile a questo problema. Al contrario, i componenti e i controlli creati con le versioni vulnerabili di ATL potrebbero essere vulnerabili.
  • I fattori e le soluzioni alternative per i componenti e i controlli potenzialmente vulnerabili sono descritti in Microsoft Security Advisory (973882).

Soluzioni alternative per la vulnerabilità delle stringhe Null ATL - CVE-2009-2495

La soluzione alternativa si riferisce a un'impostazione o a una modifica della configurazione che non corregge la vulnerabilità sottostante, ma che consente di bloccare i vettori di attacco noti prima di applicare l'aggiornamento. Microsoft ha testato le soluzioni alternative e gli stati seguenti nella discussione se una soluzione alternativa riduce le funzionalità:

Domande frequenti sulla vulnerabilità delle stringhe Null ATL - CVE-2009-2495

Qual è l'ambito della vulnerabilità? 
Questa vulnerabilità interessa direttamente i sistemi con componenti e controlli installati che sono stati compilati usando Visual Studio ATL.

Si tratta di una vulnerabilità di divulgazione di informazioni. Un utente malintenzionato che ha sfruttato correttamente questa vulnerabilità potrebbe eseguire un componente dannoso o un controllo che potrebbe divulgare informazioni, inoltrare i dati utente a terze parti o accedere a tutti i dati sui sistemi interessati accessibili all'utente connesso. Si noti che questa vulnerabilità non consente a un utente malintenzionato di eseguire codice o di elevare direttamente i diritti utente, ma può essere usata per produrre informazioni utili che potrebbero essere usate per tentare di compromettere ulteriormente il sistema interessato.

Che cosa causa la vulnerabilità? 
La vulnerabilità deriva da un problema nelle intestazioni ATL che potrebbero consentire la lettura di una stringa senza byte NULL finali. Un utente malintenzionato potrebbe manipolare questa stringa per leggere dati aggiuntivi oltre la fine della stringa e quindi divulgare informazioni in memoria.

Cosa può fare un utente malintenzionato che usa la vulnerabilità? 
Un utente malintenzionato che ha sfruttato correttamente questa vulnerabilità potrebbe accedere a tutti i dati disponibili per l'utente connesso.

In che modo un utente malintenzionato potrebbe sfruttare la vulnerabilità? 
Se un utente ha un controllo vulnerabile sul proprio sistema e un utente malintenzionato ignora le mitigazioni descritte in Avviso di sicurezza Microsoft (973882), un utente malintenzionato potrebbe leggere informazioni in memoria nel sistema interessato.

Quali sistemi sono principalmente a rischio dalla vulnerabilità? 
Le workstation e i server terminal sono principalmente a rischio. I server potrebbero essere più a rischio se agli utenti che non devono avere autorizzazioni amministrative sufficienti è consentito accedere ai server e a eseguire programmi. Tuttavia, le procedure consigliate sconsigliano vivamente di consentire questo problema.

Cosa fa l'aggiornamento? 
L'aggiornamento risolve la vulnerabilità applicando l'allocazione corretta del buffer durante la lettura di un flusso e fornendo versioni aggiornate di ATL che consentono agli sviluppatori di risolvere questo problema in controlli potenzialmente vulnerabili.

Quando è stato pubblicato questo bollettino sulla sicurezza, questa vulnerabilità è stata divulgata pubblicamente? 
No. Microsoft ha ricevuto informazioni su questa vulnerabilità tramite la divulgazione responsabile. Microsoft non aveva ricevuto alcuna informazione per indicare che questa vulnerabilità era stata divulgata pubblicamente quando questo bollettino sulla sicurezza è stato originariamente pubblicato.

Quando è stato emesso questo bollettino sulla sicurezza, Microsoft ha ricevuto eventuali segnalazioni che questa vulnerabilità è stata sfruttata? 
No. Microsoft non aveva ricevuto alcuna informazione per indicare che questa vulnerabilità era stata usata pubblicamente per attaccare i clienti e non aveva visto alcun esempio di codice di verifica pubblicato quando questo bollettino sulla sicurezza è stato originariamente pubblicato.

Aggiorna informazioni

Strumenti e linee guida per il rilevamento e la distribuzione

Le linee guida per il rilevamento e la distribuzione seguenti forniscono informazioni su come assicurarsi che le versioni di Visual Studio in questo bollettino sulla sicurezza siano state aggiornate con intestazioni ATL che risolltino le vulnerabilità descritte in precedenza.

Gestire gli aggiornamenti software e della sicurezza necessari per la distribuzione nei server, nei sistemi desktop e mobili dell'organizzazione. Per altre informazioni, vedere TechNet Update Management Center. Il sito Web Microsoft TechNet Security fornisce informazioni aggiuntive sulla sicurezza nei prodotti Microsoft.

Gli aggiornamenti della sicurezza sono disponibili in Microsoft Update e Windows Update. Gli aggiornamenti della sicurezza sono disponibili anche nell'Area download Microsoft. È possibile trovarli più facilmente eseguendo una ricerca di parole chiave per "aggiornamento della sicurezza".

Infine, è possibile scaricare gli aggiornamenti della sicurezza dal Catalogo di Microsoft Update. Microsoft Update Catalog fornisce un catalogo ricercabile di contenuto reso disponibile tramite Windows Update e Microsoft Update, inclusi gli aggiornamenti della sicurezza, i driver e i Service Pack. Eseguendo una ricerca usando il numero di bollettino di sicurezza (ad esempio, "MS07-036"), è possibile aggiungere tutti gli aggiornamenti applicabili al carrello (incluse lingue diverse per un aggiornamento) e scaricare nella cartella di propria scelta. Per altre informazioni sul catalogo di Microsoft Update, vedere domande frequenti sul catalogo di Microsoft Update.

Nota A partire dal 1° agosto 2009, Microsoft interromperà il supporto per Office Update e Office Update Inventory Tool. Per continuare a ottenere gli aggiornamenti più recenti per i prodotti Microsoft Office, usare Microsoft Update. Per altre informazioni, vedere Informazioni su Microsoft Office Update: Domande frequenti.

Linee guida per il rilevamento e la distribuzione

Microsoft fornisce indicazioni per il rilevamento e la distribuzione per gli aggiornamenti della sicurezza. Queste indicazioni contengono raccomandazioni e informazioni che consentono ai professionisti IT di comprendere come usare vari strumenti per il rilevamento e la distribuzione degli aggiornamenti della sicurezza. Per altre informazioni, vedere l'articolo della Microsoft Knowledge Base 961747.

Microsoft Baseline Security Analyzer

Microsoft Baseline Security Analyzer (MBSA) consente agli amministratori di analizzare i sistemi locali e remoti per individuare gli aggiornamenti della sicurezza mancanti e le configurazioni comuni della sicurezza. Per altre informazioni su MBSA, vedere Microsoft Baseline Security Analyzer.

Nella tabella seguente viene fornito il riepilogo del rilevamento MBSA per questo aggiornamento della sicurezza.

Software MBSA 2.1
Microsoft Visual Studio .NET 2003 Service Pack 1 No
Microsoft Visual Studio 2005 Service Pack 1
Microsoft Visual Studio 2005 Service Pack 1 a 64 bit Hosted Visual C++ Tools
Microsoft Visual Studio 2008
Microsoft Visual Studio 2008 Service Pack 1
Pacchetto ridistribuibile di Microsoft Visual C++ 2005 Service Pack 1
Pacchetto ridistribuibile di Microsoft Visual C++ 2008
Pacchetto ridistribuibile di Microsoft Visual C++ 2008 Service Pack 1

Per altre informazioni su MBSA 2.1, vedere Domande frequenti su MBSA 2.1.

Windows Server Update Services

Utilizzando Windows Server Update Services (WSUS), gli amministratori possono distribuire gli aggiornamenti critici e gli aggiornamenti della sicurezza più recenti per i sistemi operativi Windows 2000 e versioni successive, Office XP e versioni successive, Exchange Server 2003 e SQL Server 2000. Per altre informazioni su come distribuire questo aggiornamento della sicurezza con Windows Server Update Services, visitare il sito Web di Windows Server Update Services.

Server di gestione dei sistemi

La tabella seguente fornisce il riepilogo di rilevamento e distribuzione SMS per questo aggiornamento della sicurezza.

Software SMS 2.0 SMS 2003 con SUSFP SMS 2003 con ITMU Configuration Manager 2007
Microsoft Visual Studio .NET 2003 Service Pack 1 No No
Microsoft Visual Studio 2005 Service Pack 1 No No
Microsoft Visual Studio 2005 Service Pack 1 a 64 bit Hosted Visual C++ Tools No No
Microsoft Visual Studio 2008 No No
Microsoft Visual Studio 2008 Service Pack 1 No No
Pacchetto ridistribuibile di Microsoft Visual C++ 2005 Service Pack 1 No No
Pacchetto ridistribuibile di Microsoft Visual C++ 2008 No No
Pacchetto ridistribuibile di Microsoft Visual C++ 2008 Service Pack 1 No No

Per SMS 2.0 e SMS 2003, sms SUS Feature Pack (SUSFP), che include security update inventory Tool (SUIT), può essere usato da SMS per rilevare gli aggiornamenti della sicurezza. Vedere anche Download per Systems Management Server 2.0.

Per SMS 2003, lo strumento di inventario SMS 2003 per Microsoft Aggiornamenti (ITMU) può essere usato da SMS per rilevare gli aggiornamenti della sicurezza offerti da Microsoft Update e supportati da Windows Server Update Services. Per altre informazioni su SMS 2003 ITMU, vedere SMS 2003 Inventory Tool for Microsoft Aggiornamenti. SMS 2003 può anche usare Microsoft Office Inventory Tool per rilevare gli aggiornamenti necessari per microsoft app Office licazioni. Per altre informazioni sullo strumento di inventario di Office e altri strumenti di analisi, vedere SMS 2003 Software Update Scanning Tools. Vedere anche Download per Systems Management Server 2003.

System Center Configuration Manager 2007 usa WSUS 3.0 per il rilevamento degli aggiornamenti. Per altre informazioni su Configuration Manager 2007 Software Update Management, visitare System Center Configuration Manager 2007.

Per altre informazioni sugli SMS, visitare il sito Web SMS.

Per informazioni più dettagliate, vedere l'articolo della Microsoft Knowledge Base 910723: elenco riepilogo delle linee guida per il rilevamento mensile e la distribuzione.

Analizzatore di compatibilità degli aggiornamenti e Application Compatibility Toolkit

Aggiornamenti spesso scrivere negli stessi file e nelle stesse impostazioni del Registro di sistema necessarie per l'esecuzione delle applicazioni. Ciò può attivare incompatibilità e aumentare il tempo necessario per distribuire gli aggiornamenti della sicurezza. È possibile semplificare i test e convalidare gli aggiornamenti di Windows rispetto alle applicazioni installate con i componenti dell'analizzatore di compatibilità degli aggiornamenti inclusi in Application Compatibility Toolkit 5.0.

Application Compatibility Toolkit (ACT) contiene gli strumenti e la documentazione necessari per valutare e attenuare i problemi di compatibilità delle applicazioni prima di distribuire Microsoft Windows Vista, Windows Update, Microsoft Security Update o una nuova versione di Windows Internet Explorer nell'ambiente in uso.

Distribuzione degli aggiornamenti della sicurezza

Software interessato

Per informazioni sull'aggiornamento della sicurezza specifico per il software interessato, fare clic sul collegamento appropriato:

Microsoft Visual Studio .NET 2003 Service Pack 1

Tabella di riferimento

La tabella seguente contiene le informazioni sull'aggiornamento della sicurezza per questo software. In questa sezione sono disponibili informazioni aggiuntive nella sottosezione Informazioni sulla distribuzione.

Inclusione nei Service Pack futuri Visual Studio .NET 2003 Service Pack 2
Distribuzione
Installazione senza intervento dell'utente VS7.1sp1-KB971089-X86 /q
Installazione senza riavvio VS7.1sp1-KB971089-X86 /norestart
Aggiornare il file di log VS7.1SP1-KB971089-X86-intl-msi.0.log\ VS7.1SP1-KB971089-X86-intl-wrapper.log
Ulteriori informazioni Per il rilevamento e la distribuzione, vedere la sezione precedente Strumenti di rilevamento e distribuzione e indicazioni.
Requisito di riavvio
Riavvio obbligatorio? In alcuni casi, questo aggiornamento non richiede un riavvio. Se vengono usati i file necessari, questo aggiornamento richiederà un riavvio. Se si verifica questo comportamento, viene visualizzato un messaggio che indica di riavviare.
Con patch a caldo Non applicabile
Informazioni sulla rimozione Usare lo strumento Installazione applicazioni in Pannello di controllo.
Informazioni sui file Vedere l'articolo della Microsoft Knowledge Base 971089
Verifica della chiave del Registro di sistema HKEY_LOCAL_MACHINE\Software\Microsoft\Aggiornamenti\Visual Studio\7.1\M971089\ "Installato" = dword:1

Informazioni sulla distribuzione

Installazione dell'aggiornamento

È possibile installare l'aggiornamento dal collegamento di download appropriato nella sezione Software interessato e non interessato. Se l'applicazione è stata installata da un percorso server, l'amministratore del server deve invece aggiornare il percorso del server con l'aggiornamento amministrativo e distribuirlo nel sistema.

Questo aggiornamento della sicurezza richiede che Windows Installer 3.1 o versione successiva sia installato nel sistema.

Per installare la versione 3.1 o successiva di Windows Installer, visitare uno dei siti Web Microsoft seguenti:

Questo aggiornamento della sicurezza supporta le opzioni di installazione seguenti.

Switch Descrizione
/? o /h o /help Finestra di dialogo Visualizza utilizzo.
Modalità di installazione ** **
/q[n b r f] Imposta il livello dell'interfaccia utente\ n - Nessuna interfaccia utente\ b - Interfaccia utente di base\ r - Interfaccia utente ridotta\ f - Interfaccia utente completa
/quiet Uguale a /q
/passive Uguale a /qb
Opzioni di installazione ** **
/extract [directory] Estrarre il pacchetto nella directory specificata.
/uninstall o /u Disinstallare questo aggiornamento.
/addsource o /as Specifica il percorso di origine del file MSI del prodotto. Questa opzione può essere usata quando si installa l'aggiornamento viene visualizzato un prompt per inserire il supporto di origine dell'installazione per il prodotto. Ad esempio:\ <aggiornare il file eseguibile> /addsource "C:\Product MSI\Visual Studio\enu\vs_setup.msi" /addsource "C:\Product MSI\Net\Netfx.msi"
Opzioni di riavvio ** **
/norestart Non riavviare dopo il completamento dell'installazione
/promptrestart Richiede all'utente il riavvio, se necessario
/forcerestart Riavviare il computer dopo l'installazione, se necessario (ad esempio, se un file è bloccato o in uso)
Opzioni di registrazione ** **
/l[i w e a r u c m o p v x + ! *] <LogFile> i - Messaggi di stato\ w - Avvisi non irreversibili\ e - Tutti i messaggi di errore\ a - Start up of actions\ r - Action-specific records\ u - User requests\ c - Initial UI parameters\ m - Out-of-memory or fatal exit information\ o - Out-of-disk-space messages\ p - Terminal properties\ v - Verbose output\ x - Extra debugging information\ + - Append to existing log file\ ! - Scaricare ogni riga nel log\ * - Registrare tutte le informazioni, ad eccezione delle opzioni v e x
/log <LogFile> Equivalente a /l* <LogFile>
/sendreport Inviare i dati di installazione per questo aggiornamento a Microsoft come report Watson. Non vengono inviate informazioni personali.

Nota È possibile combinare queste opzioni in un unico comando. Per la compatibilità con le versioni precedenti, l'aggiornamento della sicurezza supporta anche molte delle opzioni di installazione usate dalla versione precedente del programma di installazione. Per altre informazioni sulle opzioni di installazione supportate, vedere questo articolo di Microsoft MSDN.

Rimozione dell'aggiornamento

Per rimuovere questo aggiornamento della sicurezza, usare lo strumento Installazione applicazioni in Pannello di controllo.

Verifica che l'aggiornamento sia stato applicato

  • Microsoft Baseline Security Analyzer
    Per verificare che un aggiornamento della sicurezza sia stato applicato a un sistema interessato, è possibile usare lo strumento Microsoft Baseline Security Analyzer (MBSA). Per altre informazioni, vedere la sezione Strumenti di rilevamento e distribuzione e linee guida, più indietro in questo bollettino.

  • Verifica della versione dei file
    Nota Poiché sono disponibili diverse versioni e edizioni di Microsoft Windows, i passaggi seguenti potrebbero essere diversi nel sistema. In caso affermativo, vedere la documentazione del prodotto per completare questi passaggi.

    1. Fare clic su Start e quindi su Cerca.

    2. Nel riquadro Risultati ricerca fare clic su Tutti i file e le cartelle in Cerca complementare.

    3. Nella casella Tutto o parte del nome file digitare un nome file dalla tabella di informazioni file appropriata e quindi fare clic su Cerca.

    4. Nell'elenco dei file fare clic con il pulsante destro del mouse su un nome file dalla tabella di informazioni file appropriata e quindi scegliere Proprietà.
      Nota A seconda dell'edizione del sistema operativo o dei programmi installati nel sistema, alcuni dei file elencati nella tabella delle informazioni sui file potrebbero non essere installati.

    5. Nella scheda Versione determinare la versione del file installato nel sistema confrontandola con la versione documentata nella tabella di informazioni file appropriata.
      Nota Attributi diversi dalla versione del file possono cambiare durante l'installazione. Il confronto di altri attributi di file con le informazioni nella tabella delle informazioni sui file non è un metodo supportato per verificare che l'aggiornamento sia stato applicato. Inoltre, in alcuni casi, i file possono essere rinominati durante l'installazione. Se le informazioni sul file o sulla versione non sono presenti, usare uno degli altri metodi disponibili per verificare l'installazione degli aggiornamenti.

Microsoft Visual Studio 2005 Service Pack 1

Tabella di riferimento

La tabella seguente contiene le informazioni sull'aggiornamento della sicurezza per questo software. In questa sezione sono disponibili informazioni aggiuntive nella sottosezione Informazioni sulla distribuzione.

Inclusione nei Service Pack futuri L'aggiornamento per questo problema verrà incluso in Visual Studio 2005 Service Pack 2
Distribuzione
Installazione senza intervento dell'utente Per Microsoft Visual Studio 2005 Service Pack 1 (KB971090):\ VS80sp1-KB971090-X86-intl /qn\ \ For Microsoft Visual Studio 2005 Service Pack 1 (KB973673):\ VS80sp1--\ KB973673-X86-intl /qn\ \ For Microsoft Visual Studio 2005 Service Pack 1 a 64 bit Hosted Visual C++ Tools (KB973830):\ VS80sp1-KB973830-ia64-intl /qn
Installazione senza riavvio Per Microsoft Visual Studio 2005 Service Pack 1 (KB971090):\ VS80sp1-KB971090-X86-intl /norestart\ \ For Microsoft Visual Studio 2005 Service Pack 1 (KB973673):\ VS80sp1--\VS80sp1 KB973673-X86-intl /norestart\ \ For Microsoft Visual Studio 2005 Service Pack 1 a 64 bit Hosted Visual C++ Tools (KB973830):\ VS80sp1-KB973830-ia64-intl /norestart
Aggiornare il file di log Non applicabile
Ulteriori informazioni Per il rilevamento e la distribuzione, vedere la sezione precedente Strumenti di rilevamento e distribuzione e indicazioni.\ \ Per le funzionalità che è possibile installare in modo selettivo, vederela sottosezione Office Features for Amministrazione istrative Installations in questa sezione.
Requisito di riavvio
Riavvio obbligatorio? In alcuni casi, questo aggiornamento non richiede un riavvio. Se vengono usati i file necessari, questo aggiornamento richiederà un riavvio. Se si verifica questo comportamento, viene visualizzato un messaggio che indica di riavviare.
Con patch a caldo Non applicabile
Informazioni sulla rimozione Usare lo strumento Installazione applicazioni in Pannello di controllo.
Informazioni sui file Per Microsoft Visual Studio 2005 Service Pack 1 (KB971090):\ Vedere Microsoft Knowledge Base Article 971090\ \ For Microsoft Visual Studio 2005 Service Pack 1 (KB973673):\ See Microsoft Knowledge Base Article 973673\ \ For Microsoft Visual Studio 2005 Service Pack 1 64-bit Hosted Visual C++ Tools (KB973830):\ See Microsoft Knowledge Base Article 973830
Verifica della chiave del Registro di sistema Per Microsoft Visual Studio 2005 Service Pack 1 (KB971090):\ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Aggiornamenti\Microsoft Visual Studio 2005 Professional Edition - ENU\KB971090\ "Installed" = dword:1\ \ For Microsoft Visual Studio 2005 Service Pack 1 a 64 bit Hosted Visual C++ Tools (KB973830):\ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Aggiornamenti\Microsoft Visual Studio 2005 Professional Edition - ENU\KB973830\ "Installato" = dword:1
Verifica del codice prodotto Per Microsoft Visual Studio 2005 Service Pack 1 (KB973673):\ {837b34e3-7c30-493c-8f6a-2b0f04e2912c}\ \ Per istruzioni su come verificare l'installazione usando i codici di prodotto, vedere l'articolo della Microsoft Knowledge Base 974653.

Informazioni sulla distribuzione

Installazione dell'aggiornamento

È possibile installare l'aggiornamento dal collegamento di download appropriato nella sezione Software interessato e non interessato. Se l'applicazione è stata installata da un percorso server, l'amministratore del server deve invece aggiornare il percorso del server con l'aggiornamento amministrativo e distribuirlo nel sistema. Per altre informazioni sui punti di installazione Amministrazione istrative, vedere le informazioni sul punto di installazione di Office Amministrazione istrative nella sottosezione Strumenti di rilevamento e distribuzione e Linee guida.

Questo aggiornamento della sicurezza richiede l'installazione di Windows Installer 2.0 o versione successiva nel sistema. Tutte le versioni supportate di Windows includono Windows Installer 2.0 o versione successiva.

Per installare la versione più recente di Windows Installer, visitare il seguente sito Web Microsoft:

Per altre informazioni sulla terminologia visualizzata in questo bollettino, ad esempio l'hotfix, vedere l'articolo della Microsoft Knowledge Base 824684.

Questo aggiornamento della sicurezza supporta le opzioni di installazione seguenti.

Switch Descrizione
/? o /h o /help Finestra di dialogo Visualizza utilizzo.
Modalità di installazione ** **
/q[n b r f] Imposta il livello dell'interfaccia utente\ n - Nessuna interfaccia utente\ b - Interfaccia utente di base\ r - Interfaccia utente ridotta\ f - Interfaccia utente completa
/quiet Uguale a /q
/passive Uguale a /qb
Opzioni di installazione ** **
/extract [directory] Estrarre il pacchetto nella directory specificata.
/uninstall o /u Disinstallare questo aggiornamento.
/addsource o /as Specifica il percorso di origine del file MSI del prodotto. Questa opzione può essere usata quando si installa l'aggiornamento viene visualizzato un prompt per inserire il supporto di origine dell'installazione per il prodotto. Ad esempio:\ <aggiornare il file eseguibile> /addsource "C:\Product MSI\Visual Studio\enu\vs_setup.msi" /addsource "C:\Product MSI\Net\Netfx.msi"
Opzioni di riavvio ** **
/norestart Non riavviare dopo il completamento dell'installazione
/promptrestart Richiede all'utente il riavvio, se necessario
/forcerestart Riavviare sempre il computer dopo l'installazione
Opzioni di registrazione ** **
/l[i w e a r u c m o p v x + ! *] <LogFile> i - Messaggi di stato\ w - Avvisi non irreversibili\ e - Tutti i messaggi di errore\ a - Start up of actions\ r - Action-specific records\ u - User requests\ c - Initial UI parameters\ m - Out-of-memory or fatal exit information\ o - Out-of-disk-space messages\ p - Terminal properties\ v - Verbose output\ x - Extra debugging information\ + - Append to existing log file\ ! - Scaricare ogni riga nel log\ * - Registrare tutte le informazioni, ad eccezione delle opzioni v e x
/log <LogFile> Equivalente a /l* <LogFile>
/sendreport Inviare i dati di installazione per questo aggiornamento a Microsoft come report Watson. Non vengono inviate informazioni personali.

Nota È possibile combinare queste opzioni in un unico comando. Per la compatibilità con le versioni precedenti, l'aggiornamento della sicurezza supporta anche molte delle opzioni di installazione usate dalla versione precedente del programma di installazione. Per altre informazioni sulle opzioni di installazione supportate, vedere l'articolo della Microsoft Knowledge Base 262841.

Rimozione dell'aggiornamento

Per rimuovere questo aggiornamento della sicurezza, usare lo strumento Installazione applicazioni in Pannello di controllo.

Nota Quando si rimuove questo aggiornamento, potrebbe essere richiesto di inserire il CD di Microsoft Office 2007 nell'unità CD. Inoltre, potrebbe non essere possibile disinstallare l'aggiornamento dallo strumento Installazione applicazioni in Pannello di controllo. Esistono diverse cause possibili per questo problema. Per altre informazioni sulla rimozione, vedere l'articolo della Microsoft Knowledge Base 903771.

Verifica che l'aggiornamento sia stato applicato

  • Microsoft Baseline Security Analyzer
    Per verificare che un aggiornamento della sicurezza sia stato applicato a un sistema interessato, è possibile usare lo strumento Microsoft Baseline Security Analyzer (MBSA). Vedere l'intestazione "Microsoft Baseline Security Analyzer" nella sezione Microsoft Detection and Deployment Tools and Guidance (Strumenti di rilevamento e distribuzione Microsoft).

  • Verifica della versione dei file
    Nota Poiché sono disponibili diverse versioni e edizioni di Microsoft Windows, i passaggi seguenti potrebbero essere diversi nel sistema. In caso affermativo, vedere la documentazione del prodotto per completare questi passaggi.

    1. Fare clic su Start e quindi su Cerca.

    2. Nel riquadro Risultati ricerca fare clic su Tutti i file e le cartelle in Cerca complementare.

    3. Nella casella Tutto o parte del nome file digitare un nome file dalla tabella di informazioni file appropriata e quindi fare clic su Cerca.

    4. Nell'elenco dei file fare clic con il pulsante destro del mouse su un nome file dalla tabella di informazioni file appropriata e quindi scegliere Proprietà.
      Nota A seconda dell'edizione del sistema operativo o dei programmi installati nel sistema, alcuni dei file elencati nella tabella delle informazioni sui file potrebbero non essere installati.

    5. Nella scheda Versione determinare la versione del file installato nel sistema confrontandola con la versione documentata nella tabella di informazioni file appropriata.
      Nota Attributi diversi dalla versione del file possono cambiare durante l'installazione. Il confronto di altri attributi di file con le informazioni nella tabella delle informazioni sui file non è un metodo supportato per verificare che l'aggiornamento sia stato applicato. Inoltre, in alcuni casi, i file possono essere rinominati durante l'installazione. Se le informazioni sul file o sulla versione non sono presenti, usare uno degli altri metodi disponibili per verificare l'installazione degli aggiornamenti.

Microsoft Visual Studio 2008 e Microsoft Visual Studio 2008 Service Pack 1

Tabella di riferimento

La tabella seguente contiene le informazioni sull'aggiornamento della sicurezza per questo software. In questa sezione sono disponibili informazioni aggiuntive nella sottosezione Informazioni sulla distribuzione.

Inclusione nei Service Pack futuri L'aggiornamento per questo problema verrà incluso in Visual Studio 2008 Service Pack 2
Distribuzione
Installazione senza intervento dell'utente Per Microsoft Visual Studio 2008 (KB971091):\ VS90-KB971091-x86 /q\ \ Per Microsoft Visual Studio 2008 (KB973674):\ VS90-KB973674-x86 /q\ \ Per Microsoft Visual Studio 2008 Service Pack 1 (KB971092):\ VS90-KB971092-x86 /q\ \ Per Microsoft Visual Studio 2008 Service Pack 1 (KB973675):\ VS90-KB973675-x86 /q
Installazione senza riavvio Per Microsoft Visual Studio 2008 (KB971091):\ VS90-KB971091-x86 /norestart\ \ Per Microsoft Visual Studio 2008 (KB973674):\ VS90-KB973674-x86 /norestart\ \ Per Microsoft Visual Studio 2008 Service Pack 1 (KB971092):\ VS90-KB971092-x86 /norestart\ \ For Microsoft Visual Studio 2008 Service Pack 1 (KB973675):\ VS90-KB973675-x86 /norestart
Aggiornare il file di log Non applicabile
Ulteriori informazioni Per il rilevamento e la distribuzione, vedere la sezione precedente Strumenti di rilevamento e distribuzione e indicazioni.\ \ Per le funzionalità che è possibile installare in modo selettivo, vederela sottosezione Office Features for Amministrazione istrative Installations in questa sezione.
Requisito di riavvio
Riavvio obbligatorio? In alcuni casi, questo aggiornamento non richiede un riavvio. Se vengono usati i file necessari, questo aggiornamento richiederà un riavvio. Se si verifica questo comportamento, viene visualizzato un messaggio che indica di riavviare.
Con patch a caldo Non applicabile
Informazioni sulla rimozione Usare lo strumento Installazione applicazioni in Pannello di controllo.
Informazioni sui file Per Microsoft Visual Studio 2008 (KB971091):\ Vedere l'articolo della Microsoft Knowledge Base 971091\ \ Per Microsoft Visual Studio 2008 (KB973674):\ Vedere l'articolo della Microsoft Knowledge Base 973674\ \ Per Microsoft Visual Studio 2008 Service Pack 1 (KB971092):\ Vedere l'articolo della Microsoft Knowledge Base 971092\ \ Per Microsoft Visual Studio 2008 Service Pack 1 (KB973675):\ Vedere l'articolo della Microsoft Knowledge Base 973675
Verifica della chiave del Registro di sistema Per Microsoft Visual Studio 2008 (KB971091):\ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Aggiornamenti\Microsoft Visual Studio Team System 2008 Team Suite - ENU\KB971091\ "ThisVersionInstalled" = REG_SZ:"Y"\ \ Per Microsoft Visual Studio 2008 Service Pack 1 (KB971092):\ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Aggiornamenti\Microsoft Visual Studio Team System 2008 Team Suite - ENU\KB971092\ "ThisVersionInstalled" = REG_SZ:"Y"
Verifica del codice prodotto Per Microsoft Visual Studio 2008 (KB973674):\ {E503B4BF-F7BB-3D5F-8BC8-F694B1CFF942}\ \ For Microsoft Visual Studio 2008 Service Pack 1 (KB973675):\ {1F1C2DFC-2D24-3E06-BCB8-725134ADF989}\ \ Per istruzioni su come verificare l'installazione usando codici di prodotto, vedere l'articolo della Microsoft Knowledge Base 974653.

Informazioni sulla distribuzione

Installazione dell'aggiornamento

È possibile installare l'aggiornamento dal collegamento di download appropriato nella sezione Software interessato e non interessato. Se l'applicazione è stata installata da un percorso server, l'amministratore del server deve invece aggiornare il percorso del server con l'aggiornamento amministrativo e distribuirlo nel sistema. Per altre informazioni sui punti di installazione Amministrazione istrative, vedere le informazioni sul punto di installazione di Office Amministrazione istrative nella sottosezione Strumenti di rilevamento e distribuzione e Linee guida.

Questo aggiornamento della sicurezza richiede l'installazione di Windows Installer 2.0 o versione successiva nel sistema. Tutte le versioni supportate di Windows includono Windows Installer 2.0 o versione successiva.

Per installare la versione più recente di Windows Installer, visitare il seguente sito Web Microsoft:

Per altre informazioni sulla terminologia visualizzata in questo bollettino, ad esempio l'hotfix, vedere l'articolo della Microsoft Knowledge Base 824684.

Questo aggiornamento della sicurezza supporta le opzioni di installazione seguenti.

Switch Descrizione
/? o /h o /help Finestra di dialogo Visualizza utilizzo.
Modalità di installazione ** **
/q[n b r f] Imposta il livello dell'interfaccia utente\ n - Nessuna interfaccia utente\ b - Interfaccia utente di base\ r - Interfaccia utente ridotta\ f - Interfaccia utente completa
/quiet Uguale a /q
/passive Uguale a /qb
Opzioni di installazione ** **
/extract [directory] Estrarre il pacchetto nella directory specificata.
/uninstall o /u Disinstallare questo aggiornamento.
/addsource o /as Specifica il percorso di origine del file MSI del prodotto. Questa opzione può essere usata quando si installa l'aggiornamento viene visualizzato un prompt per inserire il supporto di origine dell'installazione per il prodotto. Ad esempio:\ <aggiornare il file eseguibile> /addsource "C:\Product MSI\Visual Studio\enu\vs_setup.msi" /addsource "C:\Product MSI\Net\Netfx.msi"
Opzioni di riavvio ** **
/norestart Non riavviare dopo il completamento dell'installazione
/promptrestart Richiede all'utente il riavvio, se necessario
/forcerestart Riavviare sempre il computer dopo l'installazione
Opzioni di registrazione ** **
/l[i w e a r u c m o p v x + ! *] <LogFile> i - Messaggi di stato\ w - Avvisi non irreversibili\ e - Tutti i messaggi di errore\ a - Start up of actions\ r - Action-specific records\ u - User requests\ c - Initial UI parameters\ m - Out-of-memory or fatal exit information\ o - Out-of-disk-space messages\ p - Terminal properties\ v - Verbose output\ x - Extra debugging information\ + - Append to existing log file\ ! - Scaricare ogni riga nel log\ * - Registrare tutte le informazioni, ad eccezione delle opzioni v e x
/log <LogFile> Equivalente a /l* <LogFile>
/sendreport Inviare i dati di installazione per questo aggiornamento a Microsoft come report Watson. Non vengono inviate informazioni personali.

Nota È possibile combinare queste opzioni in un unico comando. Per la compatibilità con le versioni precedenti, l'aggiornamento della sicurezza supporta anche molte delle opzioni di installazione usate dalla versione precedente del programma di installazione. Per altre informazioni sulle opzioni di installazione supportate, vedere l'articolo della Microsoft Knowledge Base 262841.

Rimozione dell'aggiornamento

Per rimuovere questo aggiornamento della sicurezza, usare lo strumento Installazione applicazioni in Pannello di controllo.

Nota Quando si rimuove questo aggiornamento, potrebbe essere richiesto di inserire il CD di Microsoft Office 2007 nell'unità CD. Inoltre, potrebbe non essere possibile disinstallare l'aggiornamento dallo strumento Installazione applicazioni in Pannello di controllo. Esistono diverse cause possibili per questo problema. Per altre informazioni sulla rimozione, vedere l'articolo della Microsoft Knowledge Base 903771.

Verifica che l'aggiornamento sia stato applicato

  • Microsoft Baseline Security Analyzer
    Per verificare che un aggiornamento della sicurezza sia stato applicato a un sistema interessato, è possibile usare lo strumento Microsoft Baseline Security Analyzer (MBSA). Vedere l'intestazione "Microsoft Baseline Security Analyzer" nella sezione Microsoft Detection and Deployment Tools and Guidance (Strumenti di rilevamento e distribuzione Microsoft).

  • Verifica della versione dei file
    Nota Poiché sono disponibili diverse versioni e edizioni di Microsoft Windows, i passaggi seguenti potrebbero essere diversi nel sistema. In caso affermativo, vedere la documentazione del prodotto per completare questi passaggi.

    1. Fare clic su Start e quindi su Cerca.

    2. Nel riquadro Risultati ricerca fare clic su Tutti i file e le cartelle in Cerca complementare.

    3. Nella casella Tutto o parte del nome file digitare un nome file dalla tabella di informazioni file appropriata e quindi fare clic su Cerca.

    4. Nell'elenco dei file fare clic con il pulsante destro del mouse su un nome file dalla tabella di informazioni file appropriata e quindi scegliere Proprietà.
      Nota A seconda dell'edizione del sistema operativo o dei programmi installati nel sistema, alcuni dei file elencati nella tabella delle informazioni sui file potrebbero non essere installati.

    5. Nella scheda Versione determinare la versione del file installato nel sistema confrontandola con la versione documentata nella tabella di informazioni file appropriata.
      Nota Attributi diversi dalla versione del file possono cambiare durante l'installazione. Il confronto di altri attributi di file con le informazioni nella tabella delle informazioni sui file non è un metodo supportato per verificare che l'aggiornamento sia stato applicato. Inoltre, in alcuni casi, i file possono essere rinominati durante l'installazione. Se le informazioni sul file o sulla versione non sono presenti, usare uno degli altri metodi disponibili per verificare l'installazione degli aggiornamenti.

Pacchetto ridistribuibile di Microsoft Visual C++ 2005 Service Pack 1

Tabella di riferimento

La tabella seguente contiene le informazioni sull'aggiornamento della sicurezza per questo software. In questa sezione sono disponibili informazioni aggiuntive nella sottosezione Informazioni sulla distribuzione.

Inclusione nei Service Pack futuri L'aggiornamento per questo problema verrà incluso in Visual Studio 2005 Service Pack 2
Distribuzione
Installazione senza intervento dell'utente Per Microsoft Visual C++ 2005 Service Pack 1 Redistributable Package (x86):\ vcredist_x86 /q\ \ Per Microsoft Visual C++ 2005 Service Pack 1 Redistributable Package (x64):\ vcredist_x64 /q\ \ Per Microsoft Visual C++ 2005 Service Pack 1 Redistributable Package (IA64):\ vcredist_ia64 /q
Installazione senza riavvio Per Microsoft Visual C++ 2005 Service Pack 1 Redistributable Package (x86):\ vcredist_x86 /r:n\ \ Per Microsoft Visual C++ 2005 Service Pack 1 Redistributable Package (x64):\ vcredist_x64 /r:n\ \ Per Microsoft Visual C++ 2005 Service Pack 1 Redistributable Package (IA64):\ vcredist_ia64 /r:n
Aggiornare il file di log Non applicabile
Ulteriori informazioni Per il rilevamento e la distribuzione, vedere la sezione precedente, Strumenti di rilevamento e distribuzione e indicazioni
Requisito di riavvio
Riavvio obbligatorio? Questo aggiornamento non richiede un riavvio.
Con patch a caldo Non applicabile
Informazioni sulla rimozione Usare lo strumento Installazione applicazioni in Pannello di controllo.
Informazioni sui file Vedere l'articolo della Microsoft Knowledge Base 973544
Verifica della chiave del Registro di sistema HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DevDiv\VC\Servicing\8.0\RED\1033\ "Installed" = dword:1

Informazioni sulla distribuzione

Installazione dell'aggiornamento

È possibile installare l'aggiornamento dal collegamento di download appropriato nella sezione Software interessato e non interessato. Se l'applicazione è stata installata da un percorso server, l'amministratore del server deve invece aggiornare il percorso del server con l'aggiornamento amministrativo e distribuirlo nel sistema. Per altre informazioni sui punti di installazione Amministrazione istrative, vedere le informazioni sul punto di installazione di Office Amministrazione istrative nella sottosezione Strumenti di rilevamento e distribuzione e Linee guida.

Questo aggiornamento della sicurezza richiede l'installazione di Windows Installer 2.0 o versione successiva nel sistema. Tutte le versioni supportate di Windows includono Windows Installer 2.0 o versione successiva.

Per installare la versione più recente di Windows Installer, visitare il seguente sito Web Microsoft:

Per altre informazioni sulla terminologia visualizzata in questo bollettino, ad esempio l'hotfix, vedere l'articolo della Microsoft Knowledge Base 824684.

Questo aggiornamento della sicurezza supporta le opzioni di installazione seguenti.

Switch Descrizione
/? Visualizza le opzioni della riga di comando.
Modalità di installazione
/q[:u :a] /q - Specifica la modalità non interattiva o elimina le richieste.\ /q:u - Specifica la modalità utente non interattiva, che presenta alcune finestre di dialogo all'utente.\ /q:a - Specifica la modalità amministratore-non interattiva, che non presenta alcuna finestra di dialogo all'utente.
Opzioni di installazione
/C Estrae i file senza installarli. Se /t: percorso non specificato, viene richiesto di specificare una cartella di destinazione.
/T:path Specifica la cartella di destinazione per l'estrazione dei file.
/C:path Specifica il percorso UNC e il nome del file setup inf o .exe.
/n:v Nessun controllo della versione: installare il pacchetto su qualsiasi versione precedente.
Opzioni di riavvio
/r:n Non riavvia mai il computer dopo l'installazione.
/r:i Richiede all'utente di riavviare il computer se è necessario un riavvio, tranne quando viene usato con /q:a.
/r:a Riavvia sempre il computer dopo l'installazione.
/r:s Riavvia il computer dopo l'installazione senza chiedere conferma all'utente.

Nota È possibile combinare queste opzioni in un unico comando. Per la compatibilità con le versioni precedenti, l'aggiornamento della sicurezza supporta anche molte delle opzioni di installazione usate dalla versione precedente del programma di installazione. Per altre informazioni sulle opzioni di installazione supportate, vedere l'articolo della Microsoft Knowledge Base 262841.

Rimozione dell'aggiornamento

Per rimuovere questo aggiornamento della sicurezza, usare lo strumento Installazione applicazioni in Pannello di controllo.

Nota Quando si rimuove questo aggiornamento, potrebbe essere richiesto di inserire il CD di Microsoft Office 2007 nell'unità CD. Inoltre, potrebbe non essere possibile disinstallare l'aggiornamento dallo strumento Installazione applicazioni in Pannello di controllo. Esistono diverse cause possibili per questo problema. Per altre informazioni sulla rimozione, vedere l'articolo della Microsoft Knowledge Base 903771.

Verifica che l'aggiornamento sia stato applicato

  • Microsoft Baseline Security Analyzer
    Per verificare che un aggiornamento della sicurezza sia stato applicato a un sistema interessato, è possibile usare lo strumento Microsoft Baseline Security Analyzer (MBSA). Vedere l'intestazione "Microsoft Baseline Security Analyzer" nella sezione Microsoft Detection and Deployment Tools and Guidance (Strumenti di rilevamento e distribuzione Microsoft).

  • Verifica della versione dei file
    Nota Poiché sono disponibili diverse versioni e edizioni di Microsoft Windows, i passaggi seguenti potrebbero essere diversi nel sistema. In caso affermativo, vedere la documentazione del prodotto per completare questi passaggi.

    1. Fare clic su Start e quindi su Cerca.

    2. Nel riquadro Risultati ricerca fare clic su Tutti i file e le cartelle in Cerca complementare.

    3. Nella casella Tutto o parte del nome file digitare un nome file dalla tabella di informazioni file appropriata e quindi fare clic su Cerca.

    4. Nell'elenco dei file fare clic con il pulsante destro del mouse su un nome file dalla tabella di informazioni file appropriata e quindi scegliere Proprietà.
      Nota A seconda dell'edizione del sistema operativo o dei programmi installati nel sistema, alcuni dei file elencati nella tabella delle informazioni sui file potrebbero non essere installati.

    5. Nella scheda Versione determinare la versione del file installato nel sistema confrontandola con la versione documentata nella tabella di informazioni file appropriata.
      Nota Attributi diversi dalla versione del file possono cambiare durante l'installazione. Il confronto di altri attributi di file con le informazioni nella tabella delle informazioni sui file non è un metodo supportato per verificare che l'aggiornamento sia stato applicato. Inoltre, in alcuni casi, i file possono essere rinominati durante l'installazione. Se le informazioni sul file o sulla versione non sono presenti, usare uno degli altri metodi disponibili per verificare l'installazione degli aggiornamenti.

Microsoft Visual C++ 2008 Redistributable Package e Microsoft Visual C++ 2008 Service Pack 1 Redistributable Package

Tabella di riferimento

La tabella seguente contiene le informazioni sull'aggiornamento della sicurezza per questo software. In questa sezione sono disponibili informazioni aggiuntive nella sottosezione Informazioni sulla distribuzione.

Inclusione nei Service Pack futuri L'aggiornamento per questo problema verrà incluso in Visual Studio 2008 Service Pack 2
Distribuzione
Installazione senza intervento dell'utente Per Microsoft Visual C++ 2008 Redistributable Package e Microsoft Visual C++ 2008 Service Pack 1 Redistributable Package (x86):\ vcredist_x86 /q\ \ Per Microsoft Visual C++ 2008 Redistributable Package e Microsoft Visual C++ 2008 Redistributable Package e Microsoft Visual C++ Service Pack 2008 1 Redistributable Package (x64):\ vcredist_x64 /q\ \ Per Microsoft Visual C++ 2008 Redistributable Package e Microsoft Visual C++ 2008 Service Pack 1 Redistributable Package (IA64):\ vcredist_ia64 /q
Installazione senza riavvio Per Microsoft Visual C++ 2008 Redistributable Package e Microsoft Visual C++ 2008 Service Pack 1 Redistributable Package (x86):\ vcredist_x86 /r:n\ \ Per Microsoft Visual C++ 2008 Redistributable Package e Microsoft Visual C++ 2 Service Pack 008 1 Redistributable Package (x64):\ vcredist_x64 /r:n\ \ Per Microsoft Visual C++ 2008 Redistributable Package e Microsoft Visual C++ 2008 Service Pack 1 Redistributable Package (IA64):\ vcredist_ia64 /r:n
Aggiornare il file di log Non applicabile
Ulteriori informazioni Per il rilevamento e la distribuzione, vedere la sezione precedente, Strumenti di rilevamento e distribuzione e indicazioni
Requisito di riavvio
Riavvio obbligatorio? Questo aggiornamento non richiede un riavvio.
Con patch a caldo Non applicabile
Informazioni sulla rimozione Usare lo strumento Installazione applicazioni in Pannello di controllo.
Informazioni sui file Vedere l'articolo della Microsoft Knowledge Base 973552
Verifica della chiave del Registro di sistema HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DevDiv\VC\Servicing\9.0\RED\1033\ "Installed" = dword:1

Informazioni sulla distribuzione

Installazione dell'aggiornamento

È possibile installare l'aggiornamento dal collegamento di download appropriato nella sezione Software interessato e non interessato. Se l'applicazione è stata installata da un percorso server, l'amministratore del server deve invece aggiornare il percorso del server con l'aggiornamento amministrativo e distribuirlo nel sistema. Per altre informazioni sui punti di installazione Amministrazione istrative, vedere le informazioni sul punto di installazione di Office Amministrazione istrative nella sottosezione Strumenti di rilevamento e distribuzione e Linee guida.

Questo aggiornamento della sicurezza richiede l'installazione di Windows Installer 2.0 o versione successiva nel sistema. Tutte le versioni supportate di Windows includono Windows Installer 2.0 o versione successiva.

Per installare la versione più recente di Windows Installer, visitare il seguente sito Web Microsoft:

Per altre informazioni sulla terminologia visualizzata in questo bollettino, ad esempio l'hotfix, vedere l'articolo della Microsoft Knowledge Base 824684.

Questo aggiornamento della sicurezza supporta le opzioni di installazione seguenti.

Switch Descrizione
/? Visualizza le opzioni della riga di comando.
Modalità di installazione
/q[:u :a] /q - Specifica la modalità non interattiva o elimina le richieste.\ /q:u - Specifica la modalità utente non interattiva, che presenta alcune finestre di dialogo all'utente.\ /q:a - Specifica la modalità amministratore-non interattiva, che non presenta alcuna finestra di dialogo all'utente.
Opzioni di installazione
/C Estrae i file senza installarli. Se /t: percorso non specificato, viene richiesto di specificare una cartella di destinazione.
/T:path Specifica la cartella di destinazione per l'estrazione dei file.
/C:path Specifica il percorso UNC e il nome del file setup inf o .exe.
/n:v Nessun controllo della versione: installare il pacchetto su qualsiasi versione precedente.
Opzioni di riavvio
/r:n Non riavvia mai il computer dopo l'installazione.
/r:i Richiede all'utente di riavviare il computer se è necessario un riavvio, tranne quando viene usato con /q:a.
/r:a Riavvia sempre il computer dopo l'installazione.
/r:s Riavvia il computer dopo l'installazione senza chiedere conferma all'utente.

Nota È possibile combinare queste opzioni in un unico comando. Per la compatibilità con le versioni precedenti, l'aggiornamento della sicurezza supporta anche molte delle opzioni di installazione usate dalla versione precedente del programma di installazione. Per altre informazioni sulle opzioni di installazione supportate, vedere l'articolo della Microsoft Knowledge Base 262841.

Rimozione dell'aggiornamento

Per rimuovere questo aggiornamento della sicurezza, usare lo strumento Installazione applicazioni in Pannello di controllo.

Nota Quando si rimuove questo aggiornamento, potrebbe essere richiesto di inserire il CD di Microsoft Office 2007 nell'unità CD. Inoltre, potrebbe non essere possibile disinstallare l'aggiornamento dallo strumento Installazione applicazioni in Pannello di controllo. Esistono diverse cause possibili per questo problema. Per altre informazioni sulla rimozione, vedere l'articolo della Microsoft Knowledge Base 903771.

Verifica che l'aggiornamento sia stato applicato

  • Microsoft Baseline Security Analyzer
    Per verificare che un aggiornamento della sicurezza sia stato applicato a un sistema interessato, è possibile usare lo strumento Microsoft Baseline Security Analyzer (MBSA). Vedere l'intestazione "Microsoft Baseline Security Analyzer" nella sezione Microsoft Detection and Deployment Tools and Guidance (Strumenti di rilevamento e distribuzione Microsoft).

  • Verifica della versione dei file
    Nota Poiché sono disponibili diverse versioni e edizioni di Microsoft Windows, i passaggi seguenti potrebbero essere diversi nel sistema. In caso affermativo, vedere la documentazione del prodotto per completare questi passaggi.

    1. Fare clic su Start e quindi su Cerca.

    2. Nel riquadro Risultati ricerca fare clic su Tutti i file e le cartelle in Cerca complementare.

    3. Nella casella Tutto o parte del nome file digitare un nome file dalla tabella di informazioni file appropriata e quindi fare clic su Cerca.

    4. Nell'elenco dei file fare clic con il pulsante destro del mouse su un nome file dalla tabella di informazioni file appropriata e quindi scegliere Proprietà.
      Nota A seconda dell'edizione del sistema operativo o dei programmi installati nel sistema, alcuni dei file elencati nella tabella delle informazioni sui file potrebbero non essere installati.

    5. Nella scheda Versione determinare la versione del file installato nel sistema confrontandola con la versione documentata nella tabella di informazioni file appropriata.
      Nota Attributi diversi dalla versione del file possono cambiare durante l'installazione. Il confronto di altri attributi di file con le informazioni nella tabella delle informazioni sui file non è un metodo supportato per verificare che l'aggiornamento sia stato applicato. Inoltre, in alcuni casi, i file possono essere rinominati durante l'installazione. Se le informazioni sul file o sulla versione non sono presenti, usare uno degli altri metodi disponibili per verificare l'installazione degli aggiornamenti.

Altre informazioni

Riconoscimenti

Microsoft ringrazia quanto segue per collaborare a proteggere i clienti:

  • David Dewey di IBM ISS X-Force per segnalare la vulnerabilità dell'oggetto ATL non inizializzato (CVE-2009-0901)
  • Ryan Smith di VeriSign iDefense Labs per la segnalazione della vulnerabilità di inizializzazione COM ATL (CVE-2009-2493)
  • Ryan Smith di VeriSign iDefense Labs per la segnalazione della vulnerabilità atl null stringhe (CVE-2009-2495)

Microsoft Active Protections Program (MAPP)

Per migliorare le protezioni di sicurezza per i clienti, Microsoft fornisce informazioni sulle vulnerabilità ai principali provider di software di sicurezza in anticipo di ogni versione mensile dell'aggiornamento della sicurezza. I provider di software di sicurezza possono quindi usare queste informazioni sulla vulnerabilità per fornire protezioni aggiornate ai clienti tramite il software o i dispositivi di sicurezza, ad esempio antivirus, sistemi di rilevamento delle intrusioni basati sulla rete o sistemi di prevenzione delle intrusioni basati su host. Per determinare se le protezioni attive sono disponibili dai provider di software di sicurezza, visitare i siti Web delle protezioni attive forniti dai partner del programma, elencati in Microsoft Active Protections Program (MAPP).

Supporto tecnico

  • I clienti negli Stati Uniti e in Canada possono ricevere supporto tecnico dal supporto per la sicurezza o da 1-866-PCSAFETY. Non sono previsti addebiti per le chiamate di supporto associate agli aggiornamenti della sicurezza. Per altre informazioni sulle opzioni di supporto disponibili, vedere Guida e supporto tecnico Microsoft.
  • I clienti internazionali possono ricevere supporto dalle filiali Microsoft locali. Non è previsto alcun addebito per il supporto associato agli aggiornamenti della sicurezza. Per altre informazioni su come contattare Microsoft per i problemi di supporto, visitare il sito Web del supporto internazionale.

Dichiarazione di non responsabilità

Le informazioni fornite nella Microsoft Knowledge Base vengono fornite "così com'è" senza garanzia di alcun tipo. Microsoft dichiara tutte le garanzie, espresse o implicite, incluse le garanzie di commerciabilità e idoneità per uno scopo specifico. In nessun caso, Microsoft Corporation o i suoi fornitori saranno responsabili di qualsiasi danno, incluso diretto, indiretto, accidentale, consequenziale, perdita di profitti aziendali o danni speciali, anche se Microsoft Corporation o i suoi fornitori sono stati informati della possibilità di tali danni. Alcuni stati non consentono l'esclusione o la limitazione della responsabilità per danni consequenziali o accidentali, pertanto la limitazione precedente potrebbe non essere applicata.

Revisioni

  • V1.0 (28 luglio 2009): Bollettino pubblicato.
  • V1.1 (4 agosto 2009): sono state aggiunte nuove voci alla sezione Domande frequenti correlate a questo aggiornamento della sicurezza, per comunicare che i problemi noti relativi a questo aggiornamento della sicurezza nell'articolo della Microsoft Knowledge Base associato 969706 sono stati aggiornati e che la logica di rilevamento degli aggiornamenti per KB973923 e KB973924 è stata modificata per correggere un problema di ri-offerta del pacchetto e per chiarire la differenza tra i pacchetti Ridistribuibili di Visual C++ e gli altri Aggiornamenti di Visual Studio.
  • V2.0 (11 agosto 2009): Bollettino rilasciato per offrire nuovi aggiornamenti per Microsoft Visual Studio 2005 Service Pack 1 (KB973673), Microsoft Visual Studio 2008 (KB973674) e Microsoft Visual Studio 2008 Service Pack 1 (KB973675), per gli sviluppatori che usano Visual Studio per creare componenti e controlli per applicazioni mobili che usano ATL per dispositivi intelligenti.
  • V2.1 (12 agosto 2009): aggiornata la tabella Software interessato per elencare MS07-012 come sostituito dall'aggiornamento per Microsoft Visual Studio .NET 2003 Service Pack 1; è stata aggiunta una nuova voce alla sezione Domande frequenti correlate a questo aggiornamento della sicurezza per chiarire perché l'Area download Microsoft aggiorna i numeri kb per i pacchetti ridistribuibili di Visual C++ differisce dai numeri SMS, SCCM, WSUS e MU update KB; corretti i requisiti di riavvio durante il bollettino; aggiunte voci di verifica del codice prodotto alle tabelle di riferimento per la distribuzione degli aggiornamenti per Microsoft Visual Studio 2005 Service Pack 1, e Microsoft Visual Studio 2008 e Microsoft Visual Studio 2008 Service Pack 1; ed eseguito modifiche varie.
  • V2.2 (19 agosto 2009): aggiunta di un collegamento all'articolo della Microsoft Knowledge Base 974653 per fornire istruzioni sull'uso dei codici prodotto per verificare l'installazione degli aggiornamenti per Microsoft Visual Studio 2005 Service Pack 1 e Microsoft Visual Studio 2008 e Microsoft Visual Studio 2008 Service Pack 1.
  • V2.3 (8 settembre 2009): aggiunta di una nuova voce alla sezione Domande frequenti correlate a questo aggiornamento della sicurezza per comunicare che l'articolo della Microsoft Knowledge Base 969706 è stato modificato per modificare il problema noto KB974223 a KB974479, per offrire un aggiornamento non della sicurezza per risolvere il problema.
  • V3.0 (12 gennaio 2010): Questo bollettino è stato rilasciato per aggiungere Windows Embedded CE 6.0 al software interessato. Il nuovo aggiornamento per Windows Embedded CE 6.0 (KB974616) è disponibile solo nell'Area download Microsoft. I clienti che usano la piattaforma Windows Embedded CE 6.0 devono prendere in considerazione l'applicazione dell'aggiornamento. Nessun altro pacchetto di aggiornamento è interessato da questa nuova versione.

Costruito al 2014-04-18T13:49:36Z-07:00