MS03-006: Un problema di protezione in Guida in linea e supporto tecnico di Windows Millennium Edition potrebbe consentire l'esecuzione di codice dannoso

Tramite Guida e in linea e supporto tecnico è disponibile una funzionalità centralizzata attraverso la quale gli utenti possono ottenere assistenza su vari argomenti. Consente, ad esempio, di accedere alla documentazione del prodotto, a informazioni per determinare la compatibilità dell'hardware, a Windows Update, a informazioni di assistenza fornite da Microsoft e altre risorse. Utilizzando il prefisso "hcp://" anziché "http://" in un URL, sia gli utenti che i programmi possono accedere ai collegamenti di Guida in linea e supporto tecnico.

Nella versione di Guida in linea e supporto tecnico di Windows Millennium Edition (ME) è tuttavia presente un problema di protezione. Ciò è dovuto al fatto che il gestore degli URL per il prefisso "hcp://" contiene un buffer non controllato.

Un operatore malintenzionato potrebbe sfruttare questa vulnerabilità per creare un URL che, se utilizzato dall'utente, può eseguire codice dannoso scelto dall'hacker nel contesto di protezione del computer locale. L'URL potrebbe trovarsi in un sito Web o inviato direttamente all'utente tramite la posta elettronica. Nello scenario basato sul Web, in cui l'utente fa clic sull'URL in un sito Web, l'operatore malintenzionato può essere in grado di leggere o eseguire file già presenti nel computer locale. In un attacco tramite posta elettronica, se l'utente utilizza la configurazione predefinita di Microsoft Outlook Express 6.0 o Microsoft Outlook 2002 oppure se utilizza Microsoft Outlook 98 o Microsoft Outlook 2000 insieme all'aggiornamento per la protezione della posta elettronica di Outlook disponibile sul seguente sito Web , l'attacco non potrà avvenire automaticamente e l'utente dovrebbe fare clic sull'URL ricevuto tramite posta elettronica per attivare l'esecuzione del codice dannoso. Se tuttavia non si utilizza la configurazione predefinita di Outlook Express 6.0 o Outlook 2002 oppure Outlook 98 o Outlook 2000 con l'aggiornamento per la protezione della posta elettronica di Outlook, l'operatore malintenzionato potrà attivare l'attacco automaticamente senza che l'utente debba fare clic sull'URL contenuto in un messaggio di posta elettronica.

Fattori attenuanti

• La funzione Guida in linea e supporto tecnico non può essere avviata automaticamente in Outlook Express o Outlook se è in esecuzione Microsoft Internet Explorer 6.0 Service Pack 1 (SP1). Per ulteriori informazioni sulle modalità per scaricare Internet Explorer 6.0 SP1, fare clic sul numero dell'articolo della Knowledge Base riportato di seguito:
  328548  (http://support.microsoft.com/kb/328548/IT/ ) How to Obtain the Latest Service Pack for Internet Explorer 6
• Perché un attacco venga portato a termine, l'utente deve visitare un sito Web controllato da un operatore malintenzionato o ricevere un messaggio di posta elettronica in formato HTML da tale operatore.
• La possibilità che un problema di vulnerabilità venga sfruttato automaticamente da un messaggio di posta elettronica in HTML è bloccata da Outlook Express 6.0 e Outlook 2002 nelle relative configurazioni predefinite e anche da Outlook 98 e Outlook 2000 se utilizzati con l'aggiornamento per la protezione della posta elettronica di Outlook:
  http://office.microsoft.com/italy/downloads/2000/Out2ksec.aspx (http://office.microsoft.com/italy/downloads/2000/Out2ksec.aspx)

Per risolvere il problema, installare il pacchetto "812709: Aggiornamento di protezione (Windows ME)" dalla sezione degli aggiornamenti critici sul seguente sito Web Microsoft Windows Update:

Gli amministratori possono scaricare l'aggiornamento e distribuirlo a più computer visitando il seguente sito Web Microsoft: Se si desidera ottenere l'aggiornamento e installarlo in un secondo momento su uno o più computer, cercare il seguente ID dell'articolo (812709) utilizzando Opzioni di ricerca avanzate nel catalogo di Windows Update. Per ulteriori informazioni su come scaricare gli aggiornamenti dal catalogo di Windows Update, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:

Informazioni di installazione

Prerequisiti

Non esistono prerequisiti per l'installazione di questo tipo di aggiornamento.

Requisiti per il riavvio

È necessario riavviare il computer una volta applicato l'aggiornamento.

Stato degli aggiornamenti precedenti

Questo aggiornamento non sostituisce altri aggiornamenti.

Parametri del programma di installazione

Questo aggiornamento supporta i seguenti parametri di installazione:

• /Q: modalità non interattiva per pacchetto.
• /T:percorso completo: specifica la cartella di lavoro temporanea.
• /C: consente l'estrazione dei file solo nella cartella specificata se utilizzato insieme al parametro /T.
• /C:Cmd: ignora il comando Install definito dall'autore.

Ad esempio, per installare l'aggiornamento senza intervento dell'utente, utilizzare la seguente riga di comando:

Informazioni sui file

La versione in lingua inglese di questa correzione ha gli attributi di file elencati nella tabella seguente (o successivi). Date e ore elencate di seguito sono espresse in UTC. Quando si visualizzano le informazioni sul file, l'ora viene convertita in ora locale. Per calcolare la differenza tra l'ora UTC e quella locale, utilizzare la scheda Fuso orario dello strumento Data e ora del Pannello di controllo. I file riportati di seguito vengono copiati nella cartella %Windir%\PCHealth\Helpctr\Binaries: Nota A causa delle dipendenze fra i file, è possibile che questo aggiornamento contenga ulteriori file.

Microsoft ha confermato che questo problema può determinare una certa vulnerabilità nelle funzioni di protezione dei prodotti Microsoft elencati all'inizio di questo articolo.