MS12-006: Possibile divulgazione di informazioni a causa di un problema di sicurezza in SSL/TLS: 10 gennaio 2012

Traduzione articoli Traduzione articoli
Identificativo articolo: 2643584 - Visualizza i prodotti a cui si riferisce l?articolo.
Espandi tutto | Chiudi tutto

In questa pagina

INTRODUZIONE

╚ stato rilasciato il Bollettino Microsoft sulla sicurezza MS12-006. Per visualizzare il testo completo dei Bollettini Microsoft sulla sicurezza, visitare uno dei seguenti siti Web Microsoft:

Come ottenere assistenza e supporto tecnico per questo aggiornamento della sicurezza

Guida all'installazione degli aggiornamenti: Supporto per Microsoft Update

Soluzioni per la sicurezza dei professionisti IT: Supporto e risoluzione dei problemi relativi alla sicurezza TechNet

Proteggere il computer che esegue Windows da virus e malware: Soluzione virus e Centro sicurezza

Supporto locale a seconda del paese: Supporto multilingue

Correzione automatica

Sono disponibili le due soluzioni Fix it di seguito indicate.
  • Soluzione Fix it per TLS (Transport Layer Security) 1.1 in Internet Explorer: Tale soluzione attiva TLS 1.1, che non Ŕ interessato da questa vulnerabilitÓ, in Windows Internet Explorer. Agli utenti tipici si consiglia di installare questa soluzione Fix it.
  • Soluzione Fix it per TLS 1.1 sui server basati su Windows: Tale soluzione attiva TLS 1.1, che non Ŕ interessato da questa vulnerabilitÓ.
Le soluzioni Fix it descritte in questa sezione non sostituiscono alcun aggiornamento della sicurezza. Si consiglia di installare sempre gli aggiornamenti della sicurezza pi¨ recenti. Queste soluzioni Fix it, tuttavia, possono essere applicate in alcuni casi come soluzione alternativa.

Per ulteriori informazioni sulle soluzioni alternative, vedere il bollettino Microsoft sulla sicurezza MS12-006:
http://technet.microsoft.com/it-it/security/bulletin/ms12-006
Il bollettino fornisce ulteriori informazioni in merito al problema e include:
  • i casi in cui Ŕ possibile applicare o disattivare la soluzione alternativa
  • i fattori attenuanti
  • Soluzioni alternative
  • Domande frequenti
In particolare, per visualizzare queste informazioni, ricercare la sezione Informazioni sulla vulnerabilitÓ, quindi espandere Soluzioni alternative sotto il paragrafo Protocolli di vulnerabilitÓ SSL e TLS - CVE-2011-3389.

Soluzione Fix it per TLS 1.1 in Internet Explorer

Per attivare o disattivare la soluzione Fix it, fare clic sul pulsante Fix it o sul collegamento sotto l'intestazione Attiva oppure Disattiva. Fare clic su Esegui nella finestra di dialogo Download file e seguire le istruzioni della procedura guidata Fix it.
Riduci questa tabellaEspandi questa tabella
AbilitareDisabilitare
Correggi problema
Microsoft Fix it 50773
Correggi problema
Microsoft Fix it 50772

Note

  • Queste procedure guidate sono disponibili solo in lingua inglese. Le correzioni automatiche, tuttavia, funzionano anche per versioni di Windows in altre lingue.
  • Se non si sta utilizzando il computer che presenta il problema, Ŕ possibile salvare la correzione automatica su un'unitÓ flash o su un CD ed eseguirla sul computer interessato dal problema.

Soluzione Fix it per TLS 1.1 in server basati su Windows

Per attivare o disattivare la soluzione Fix it, fare clic sul pulsante Fix it o sul collegamento sotto l'intestazione Attiva oppure Disattiva. Fare clic su Esegui nella finestra di dialogo Download file e seguire le istruzioni della procedura guidata Fix it.
Riduci questa tabellaEspandi questa tabella
AbilitaDisattivazione
Correggi problema
Microsoft Fix it 50774
Correggi problema
Microsoft Fix it 50775

Noteá

  • Queste procedure guidate sono disponibili solo in lingua inglese. Le correzioni automatiche, tuttavia, funzionano anche per versioni di Windows in altre lingue.
  • Se non si sta utilizzando il computer che presenta il problema, Ŕ possibile salvare la correzione automatica su un'unitÓ flash o su un CD ed eseguirla sul computer interessato dal problema.

Problemi noti con questo aggiornamento della sicurezza

Dopo aver installato l'aggiornamento della sicurezza, potrebbero verificarsi degli errori di autenticazione o perdita di connettivitÓ per alcuni server HTTPS. Il problema si verifica perchÚ questo aggiornamento della sicurezza modifica le modalitÓ di invio dei record ai server HTTPS.á

Per disabilitare o riabilitare temporaneamente questo aggiornamento della sicurezza, fare clic sul pulsante o sul collegamento Fix it nell'intestazione Disabilita l'aggiornamento della sicurezza oppure nell'intestazione Riabilita l'aggiornamento della sicurezza. Fare clic su Esegui nella finestra di dialogo Download file e seguire le istruzioni della correzione guidata.
Riduci questa tabellaEspandi questa tabella
Disabilitare l'aggiornamento della sicurezza Riabilitare l'aggiornamento della sicurezza
Correggi problema
Microsoft Fix it 50824
Correggi problema
Microsoft Fix it 50825
Noteá
  • Queste procedure guidate sono disponibili solo in lingua inglese. Le correzioni automatiche, tuttavia, funzionano anche per versioni di Windows in altre lingue.
  • Se non si sta utilizzando il computer che presenta il problema, Ŕ possibile salvare la correzione automatica su un'unitÓ flash o su un CD ed eseguirla sul computer interessato dal problema.
Nella tabella che segue sono illustrati i valori applicati dalle soluzioni Fix it alla voce del Registro di sistema SendExtraRecord di tipo DWORD:
Riduci questa tabellaEspandi questa tabella
Intestazione Valore applicato alla voce SendExtraRecord
Disabilitare l'aggiornamento della sicurezza 2
Riabilitare l'aggiornamento della sicurezza 0
Nota L'impostazione SendExtraRecord verrÓ inclusa in future versioni di Windows.

Problemi noti e informazioni aggiuntive su questo aggiornamento della sicurezza

Gli articoli seguenti contengono ulteriori informazioni su questo aggiornamento della sicurezza in relazione alle versioni del prodotto singolo. Gli articoli possono contenere informazioni sui problemi noti. In tal caso, il problema noto Ŕ elencato sotto ogni collegamento dell'articolo:
  • 2585542 MS12-006: Descrizione dell'aggiornamento della sicurezza per Webio, Winhttp e schannel in Windows: 10 gennaio 2012
  • 2638806 MS12-006: Descrizione dell'aggiornamento della sicurezza per Winhttp in Windows Server 2003 e in Windows XP Professional x64 Edition: 10 gennaio 2012

Informazioni sul Registro di sistema

Non consigliato Si consiglia di non utilizzare la seguente procedura per disabilitare questo aggiornamento della sicurezza. Tuttavia, questa procedura viene fornita per scenari in cui potrebbero essere utilizzate applicazioni non compatibili con questo aggiornamento della sicurezza, le quali consentono di suddividere i record SSL per tutte le applicazioni.

Importante In questa sezione, metodo o attivitÓ viene spiegato come modificare il Registro di sistema. Tenere presente che un'errata modifica del Registro di sistema pu˛ causare seri problemi. Attenersi scrupolosamente, quindi, alla procedura indicata. Per maggiore sicurezza, eseguire una copia di backup del Registro di sistema prima di modificarlo. In tal modo, sarÓ possibile ripristinarlo in caso di problemi. Per ulteriori informazioni sull'esecuzione del backup o del ripristino del Registro di sistema, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
322756 Esecuzione del backup e del ripristino del Registro di sistema in Windows


Per impostazione predefinita, questo aggiornamento della sicurezza imposta la modalitÓ consenso esplicito a livello di schannel, a causa dei possibili problemi di compatibilitÓ dell'applicazione. Per disabilitare questo aggiornamento della sicurezza per tutte le applicazioni a livello di sistema, aggiungere un valore DWORD denominato SendExtraRecord con valore 2 alla seguente sottochiave del Registro di sistema:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL
Per aggiungere questa voce del Registro di sistema schannel, attenersi alla seguente procedura:
  1. Fare clic sul pulsante Start, scegliere Esegui, digitare regedit nella casella Apri, quindi scegliere OK.
  2. Individuare e selezionare la seguente sottochiave del Registro di sistema:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL
  3. Scegliere Nuovo dal menu Modifica, quindi fare clic su Valore DWORD.
  4. Digitare SendExtraRecord per il nome del valore DWORD, quindi premere INVIO.
  5. Fare clic con il pulsante destro del mouse su SendExtraRecord e scegliere Modifica.
  6. Nella casella Dati valore, digitare 2 per disabilitare la divisione di record in schannel, quindi scegliere OK.
  7. Chiudere l'editor del Registro di sistema.
Questa voce del Registro di sistema pu˛ avere valori, che forniscono diverse modalitÓ di esecuzione:
Riduci questa tabellaEspandi questa tabella
Valore Reg-key Descrizione
0Per impostazione predefinita, schannel Ŕ incluso nella "ModalitÓ consenso esplicito" Ci˛ significa che questo aggiornamento della sicurezza funziona per tutti i chiamanti che inviano il contrassegno di sicurezza a schannel. La voce di Registro di sistema schannel "SendExtraRecord" non verrÓ creata dal pacchetto di sicurezza. Di conseguenza, in assenza di una voce di Registro di sistema schannel, il sistema esegue questa modalitÓ. Se viene creata questa chiave del Registro di sistema e viene impostato il valore su 0, schannel verrÓ eseguito nuovamente in questa modalitÓ.

Questa impostazione produce lo stesso effetto di quando si crea questa voce di Registro di sistema. Le applicazioni che inviano un contrassegno di sicurezza a schannel durante l'inizializzazione della sessione eserciteranno solo il percorso di codice sicuro corretto. Per altre applicazioni, non verrÓ apportata alcuna modifica nel comportamento di schannel.

Questo aggiornamento della sicurezza consente di risolvere i livelli dell'applicazione coinvolti nell'esplorazione del Web tramite Internet Explorer per inviare un contrassegno di sicurezza, cosý da proteggere gli scenari di utilizzo del browser.

Nota In Windows Server 2003, per proteggere le applicazioni client HTTP che utilizzano API WinHTTP, Ŕ necessario che sia installato l'aggiornamento della sicurezza 2638806. Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
2638806 MS12-006: Descrizione dell'aggiornamento della sicurezza per Winhttp in Windows Server 2003 e in Windows XP Professional x64 Edition: 10 gennaio 2012
1 L'impostazione del valore su 1 significa "abilitato per tutti". Ci˛ esclude la necessitÓ che i chiamanti inviino il contrassegno, e schannel dividerÓ tutti i record SSL. Quando questo valore Ŕ impostato, non Ŕ necessario effettuare modifiche alle applicazioni. Per qualsiasi dubbio in merito alla sicurezza del proprio sistema, Ŕ possibile attivare questa chiave del Registro di sistema per migliore la sicurezza.
2 L'impostazione del valore su 2 significa "disabilitato per tutti". Ci˛ significa che schannel non dividerÓ i record per le chiamate di crittografia realizzate dall'applicazione. Questa modalitÓ non supporta il contrassegno Sicuro inviato dall'applicazione.
In base alle verifiche interne, abbiamo scoperto che non Ŕ possibile impostare il valore di Registro di sistema su 1 a causa di una possibile interruzione di troppi scenari in un'azienda. Tuttavia, se ne sconsiglia l'utilizzo agli utenti.

Problemi noti con l'abilitazione della voce di Registro di sistema SendExtraRecord

  • L'impostazione del valore di Registro di sistema SendExtraRecord su 1 aumenta la divisione di record in ogni chiamata per crittografare i dati in schannel. Questo problema si verifica indipendentemente dall'invio del contrassegno di sicurezza da parte del chiamante durante l'inizializzazione della sessione.
  • Molte applicazioni che utilizzano schannel vengono scritte in modo tale da far presupporre al ricevente che i dati dell'applicazione saranno compressi in un unico pacchetto. Ci˛ si verifica anche se l'applicazione chiama schannel per la decrittografia. Le applicazioni ignorano un contrassegno impostato da schannel. Il contrassegno segnala all'applicazione la presenza di pi¨ dati da decrittare e da rilevare dal ricevente. Questo metodo non si attiene alla procedura descritta in MSDN sull'utilizzo di schannel. PoichÚ l'aggiornamento della sicurezza aumenta la divisione di record, le applicazioni vengono interrotte.
  • Applicazioni non corrette includono prodotti Microsoft e componenti della posta in arrivo. Di seguito sono riportati alcuni esempi di scenari riguardo possibili interruzioni quando il valore di Registro di sistema SendExtraRecord Ŕ impostato su 1:
    • Tutti i prodotti SQL e le applicazioni incorporate in SQL.
    • Terminal Server con Network Level Authentication (NLA) attivata. Per impostazione predefinita, NLA Ŕ abilitata in Windows Vista e nelle versioni successive di Windows.
    • Alcuni scenari di servizio RRAS (Routing Remote Access Service).

L'impostazione del valore di Registro di sistema SendExtraRecord su 1 aumenta la divisione di record sicuri per tutte le applicazioni che utilizzano Windows TLS/SSL. Tuttavia, Ŕ probabile che questa impostazione presenti problemi di compatibilitÓ delle applicazioni. Di conseguenza si consiglia di configurare TLS 1.1 e TLS 1.2 invece di utilizzare questa impostazione del Registro di sistema. TLS 1.1 e TLS 1.2 non sono esposti al problema.

Se un utente intende utilizzare questa impostazione del Registro di sistema, si consiglia di eseguire una verifica accurata della compatibilitÓ delle applicazioni prima di implementarle. Tra i prodotti comuni interessati da questa impostazione sono inclusi i prodotti Microsoft SQL, Windows Terminal Server e Windows Remote Access Server.

Domande frequenti

D: Cosa pu˛ fare Microsoft per facilitare la correzione dell'applicazione sul lato server?
A: Assicurarsi che l'applicazione possa gestire la frammentazione dei record di applicazione SSL/TLS, come descritto nei seguenti RFC:
Nota: questo Ŕ un articolo a "PUBBLICAZIONE RAPIDA", creato direttamente all'interno dell'organizzazione di supporto Microsoft. Le informazioni contenute nel presente documento vengono fornite "cosý come sono" in risposta alle problematiche riscontrate. A causa della rapiditÓ con cui vengono resi disponibili, i materiali possono contenere errori di battitura e sono soggetti a modifica senza preavviso, in qualsiasi momento. Per altre considerazioni, vedere le Condizioni per l'utilizzo.

ProprietÓ

Identificativo articolo: 2643584 - Ultima modifica: martedý 22 aprile 2014 - Revisione: 5.0
Le informazioni in questo articolo si applicano a:
  • Windows 7 Service Pack 1áalle seguenti piattaforme
    • Windows 7 Enterprise
    • Windows 7 Home Premium
    • Windows 7 Professional
    • Windows 7 Ultimate
    • Windows 7 Home Basic
  • Windows 7 Enterprise
  • Windows 7 Home Premium
  • Windows 7 Professional
  • Windows 7 Ultimate
  • Windows 7 Home Basic
  • Windows Server 2008 R2 Service Pack 1áalle seguenti piattaforme
    • Windows Server 2008 R2 Datacenter
    • Windows Server 2008 R2 Enterprise
    • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 Service Pack 2áalle seguenti piattaforme
    • Windows Server 2008 Datacenter
    • Windows Server 2008 Enterprise
    • Windows Server 2008 Standard
    • Windows Web Server 2008
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Microsoft Windows Server 2003 Service Pack 2áalle seguenti piattaforme
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter x64 Edition
    • Microsoft Windows Server 2003, Enterprise x64 Edition
    • Microsoft Windows Server 2003, Standard x64 Edition
    • Microsoft Windows XP Professional x64 Edition
Chiavi:á
atdownload kbfix kbbug kbexpertiseinter kbsecurity kbsecbulletin kbsecvulnerability kbsurveynew KB2643584
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com