MS01-055: Č possibile esporre o alterare dati di cookie di Internet Explorer tramite l'inserimento di script

Traduzione articoli Traduzione articoli
Identificativo articolo: 312461 - Visualizza i prodotti a cui si riferisce l?articolo.
Questo articolo č stato precedentemente pubblicato con il codice di riferimento I312461
Espandi tutto | Chiudi tutto

In questa pagina

Sintomi

In Internet Explorer versioni 5.5 e 6 č stato rilevato un potenziale problema di protezione che potrebbe consentire a un utente non autorizzato di creare un URL attraverso il quale un sito Web potrebbe accedere senza autorizzazione ai cookie archiviati nel computer e quindi (potenzialmente) modificare i valori in essi contenuti. Poiché alcuni siti Web utilizzano i cookie archiviati nel computer per memorizzare informazioni riservate, č inoltre possibile che vengano esposte informazioni personali.

Affinché si verifichi questa violazione della protezione č tuttavia necessario che l'utente faccia clic su un URL contenuto in una pagina ospitata nel sito Web dell'utente non autorizzato oppure su un URL incorporato in messaggio di posta elettronica HTML inviato dall'utente non autorizzato. Non puō verificarsi automaticamente senza l'interazione dell'utente.

Fattori attenuanti

  • L'utente deve essere innanzitutto indotto a visitare un sito Web pericoloso o ad aprire un messaggio di posta elettronica in formato HTML contenente l'URL dannoso. L'utente deve quindi decidere di fare clic sull'URL dannoso.
  • Gli utenti che hanno eseguito l'aggiornamento della protezione di Microsoft Outlook non sono soggetti agli attacchi condotti tramite posta elettronica.
  • Analogamente, non sono soggetti agli attacchi condotti tramite posta elettronica gli utenti che in Outlook Express hanno impostato l'utilizzo dell'area Siti con restrizioni. Si noti che questa č l'impostazione predefinita di Microsoft Outlook Express 6.

Risoluzione

IMPORTANTE: per il corretto funzionamento di questa correzione č necessario che i domini che utilizzano cookie MUST contengano solo caratteri alfanumerici (o '-' o '.') nel nome di dominio. In caso contrario, i cookie potrebbero funzionare in modo errato.

Internet Explorer 6

Microsoft ha messo attualmente a disposizione una correzione destinata esclusivamente alla correzione del problema descritto in questo articolo, che dovrā quindi essere utilizzata solo per i computer suscettibili di un'aggressione da parte di utenti malintenzionati. Per determinare il livello di rischio cui č soggetto il computer, valutarne attentamente il grado di accessibilitā fisica, la connessione di rete e a Internet e altri fattori. Fare riferimento a Microsoft Security Bulletin per informazioni su come eseguire questo accertamento (informazioni in lingua inglese). Č possibile che la correzione d'errore verrā sottoposta ad altre verifiche in momenti successivi, allo scopo di migliorare ulteriormente la qualitā del prodotto. Se il computer č a rischio, si consiglia di applicare la correzione d'errore immediatamente. In caso contrario si consiglia di attendere la versione successiva del Service Pack di Internet Explorer 6 contenente tale correzione.

Per risolvere subito il problema, scaricare la correzione come indicato di seguito oppure contattare il Servizio Supporto Tecnico Microsoft. Per un elenco completo dei servizi di supporto Microsoft e informazioni sui costi di assistenza, visitare il seguente sito Web:

http://support.microsoft.com
NOTA: in casi particolari, le spese normalmente addebitate per le chiamate al Servizio Supporto Clienti potrebbero essere annullate qualora un addetto del Supporto tecnico Microsoft dovesse determinare che uno specifico aggiornamento risolverā il problema. I normali costi dell'assistenza verranno applicati per eventuali ulteriori domande e problemi che non dovessero rientrare nello specifico aggiornamento in questione.

La patch di aggiornamento della protezione datata 13 dicembre 2001 č stata sostituita dalla seguente patch (gli articoli con prefisso "Q" contengono informazioni in inglese):
316059 MS02-005: February 11, 2002, Cumulative Patch for Internet Explorer
La patch di aggiornamento della protezione datata 13 dicembre 2001 č disponibile sul seguente sito Web Microsoft (informazioni in lingua inglese):
http://www.microsoft.com/windows/ie/downloads/critical/q313675/default.asp

Internet Explorer 5.5

Microsoft ha messo attualmente a disposizione una correzione destinata esclusivamente alla correzione del problema descritto in questo articolo, che dovrā quindi essere utilizzata solo per i computer suscettibili di un'aggressione da parte di utenti malintenzionati. Per determinare il livello di rischio cui č soggetto il computer, valutarne attentamente il grado di accessibilitā fisica, la connessione di rete e a Internet e altri fattori. Fare riferimento a Microsoft Security Bulletin per informazioni su come eseguire questo accertamento (informazioni in lingua inglese). Č possibile che la correzione d'errore verrā sottoposta ad altre verifiche in momenti successivi, allo scopo di migliorare ulteriormente la qualitā del prodotto. Se il computer č a rischio, si consiglia di applicare la correzione d'errore immediatamente. In caso contrario si consiglia di attendere la versione successiva del Service Pack di Internet Explorer 5.5 contenente tale correzione.

Per risolvere subito il problema, scaricare la correzione come indicato di seguito oppure contattare il Servizio Supporto Tecnico Microsoft. Per un elenco completo dei servizi di supporto Microsoft e informazioni sui costi di assistenza, visitare il seguente sito Web:

http://support.microsoft.com
NOTA: in casi particolari, le spese normalmente addebitate per le chiamate al Servizio Supporto Clienti potrebbero essere annullate qualora un addetto del Supporto tecnico Microsoft dovesse determinare che uno specifico aggiornamento risolverā il problema. I normali costi dell'assistenza verranno applicati per eventuali ulteriori domande e problemi che non dovessero rientrare nello specifico aggiornamento in questione.

La patch di aggiornamento della protezione datata 13 dicembre 2001 č stata sostituita dalla seguente patch (gli articoli con prefisso "Q" contengono informazioni in inglese):
316059 MS02-005: February 11, 2002, Cumulative Patch for Internet Explorer
La patch di aggiornamento della protezione datata 13 dicembre 2001 č disponibile sul seguente sito Web Microsoft (informazioni in lingua inglese):
http://www.microsoft.com/windows/ie/downloads/critical/q313675/default.asp

NOTA: per impedire il riavvio del computer durante l'installazione della patch, eseguire Q312461.exe con l'opzione "/r:n." (senza virgolette).

Workaround

Per risolvere il problema, č possibile disattivare l'esecuzione dello script attivo e le aree Intranet in Internet Explorer. Per impedire che la violazione si verifichi quando si utilizza la funzionalitā di rendering HTML di Outlook Express, č necessario impostare in Outlook Express l'utilizzo dell'area Siti con restrizioni.

Disattivazione dell'esecuzione dello script attivo in Internet Explorer

  1. Avviare Internet Explorer.
  2. Scegliere Opzioni Internet dal menu Strumenti.
  3. Nella scheda Protezione fare clic su Livello personalizzato.
  4. Nella casella Impostazioni selezionare Disattiva in Esecuzione script attivo e Esecuzione script delle applet Java.
  5. Scegliere OK, quindi nuovamente OK.
NOTA: se si disattiva l'esecuzione dello script attivo in Internet Explorer e si utilizza Microsoft Outlook Web Access (OWA) come client di posta elettronica, č possibile che alcune funzionalitā OWA non funzionino correttamente. Per mantenere la piena funzionalitā di OWA, non disattivare l'esecuzione dello script attivo in Internet Explorer.

Attivare siti con restrizioni in Outlook Express

  1. Avviare Outlook Express.
  2. Scegliere Opzioni dal menu Strumenti.
  3. Nella scheda Protezione fare clic su Area Siti con restrizioni (massima protezione), quindi scegliere OK.
NOTA: per abilitare siti disattivati, o la cui funzionalitā č stata modificata con la disattivazione dello script attivo, č possibile aggiungerli all'area Siti attendibili. Tutti i siti aggiunti all'area Siti attendibili ne assumono le relative impostazioni di protezione. Per effettuare questa operazione:
  1. Avviare Internet Explorer.
  2. Scegliere Opzioni Internet dal menu Strumenti, quindi scegliere la scheda Protezione.
  3. Selezionare Siti attendibili, quindi scegliere Siti.
  4. Digitare il nome della pagina Web da elencare come sito attendibile, quindi scegliere Aggiungi. Ripetere la procedura per ogni pagina Web da aggiungere all'elenco.
  5. Dopo aver aggiunto all'elenco tutte le pagine Web desiderate, scegliere OK, quindi nuovamente OK.

Status

Internet Explorer 6

Microsoft ha confermato che questo problema potrebbe comportare rischi di protezione in Microsoft Internet Explorer 6.

Internet Explorer 5.5

Microsoft ha confermato che questo problema potrebbe comportare rischi di protezione in Microsoft Internet Explorer 5.5.

Informazioni

Per ulteriori informazioni su questo problema di protezione, visitare il seguente sito Web Microsoft (informazioni in lingua inglese):
http://www.microsoft.com/security/bulletins/ms01-055.asp

Proprietā

Identificativo articolo: 312461 - Ultima modifica: lunedė 11 febbraio 2008 - Revisione: 4.0
Le informazioni in questo articolo si applicano a
  • Microsoft Internet Explorer 5.5 Service Pack 2
  • Microsoft Internet Explorer 5.5 Service Pack 2
  • Microsoft Internet Explorer 5.5 Service Pack 2
  • Microsoft Internet Explorer 5.5 Service Pack 2
  • Microsoft Internet Explorer 5.5 Service Pack 2
  • Microsoft Internet Explorer 5.5
  • Microsoft Outlook Express 6.0
  • Microsoft Outlook Express 6.0
  • Microsoft Outlook Express 6.0
  • Microsoft Outlook Express 6.0
  • Microsoft Outlook Express 6.0
  • Microsoft Internet Explorer 6.0 alle seguenti piattaforme
    • Microsoft Windows XP Home Edition
    • Microsoft Windows XP Professional
    • Microsoft Windows XP Media Center Edition
    • Microsoft Windows XP Tablet PC Edition
    • Microsoft Windows 2000 Advanced Server
    • Microsoft Windows 2000 Datacenter Server
    • Microsoft Windows 2000 Professional Edition
    • Microsoft Windows 2000 Server
    • Microsoft Windows NT Server 4.0 Standard Edition
    • Microsoft Windows NT Server 4.0, Terminal Server Edition
    • Microsoft Windows NT Workstation 4.0 Developer Edition
    • Microsoft Windows Millennium Edition
    • Microsoft Windows 98 Second Edition
    • Microsoft Windows 98 Standard Edition
Chiavi: 
kbbug kbfix kbsecvulnerability kbinterop kbie600presp1fix kbenv kbnetwork kbsecurity kbie550presp3fix kbsechack KB312461
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com