MS03-040: Patch cumulativa per Internet Explorer dell'ottobre 2003

Identificativo articolo: 828750 - Visualizza i prodotti a cui si riferisce l?articolo.

Aggiornamenti tecnici

  • 1 ottobre 2003: data pubblicazione originale.
  • 15 ottobre 2003: è stata aggiornata la sezione "Prerequisiti" per indicare che è possibile installare la patch di protezione in Windows NT Workstation 4.0 SP6a e Windows 2000 SP2.
Espandi tutto | Chiudi tutto

In questa pagina

Sintomi

Si tratta di una patch cumulativa per Microsoft Internet Explorer che comprende le funzioni incluse in tutte le patch rilasciate in precedenza per Internet Explorer 5.01, 5.5 e 6. Questa patch di protezione contiene inoltre le correzioni per le seguenti vulnerabilità identificate di recente:
  • Vulnerabilità che si verifica perché Internet Explorer non determina correttamente un tipo di oggetto restituito da un server Web in una finestra popup. Un utente malintenzionato che sappia sfruttare a proprio vantaggio questa vulnerabilità potrebbe pertanto eseguire programmi arbitrari nel computer in uso. La semplice visita al sito Web dell'utente malintenzionato potrebbe rendere il computer vulnerabile senza che l'utente compia alcuna particolare operazione. Un utente malintenzionato potrebbe inoltre creare un messaggio di posta elettronica HTML per tentare di sfruttare la vulnerabilità.
  • Vulnerabilità che si verifica perché Internet Explorer non determina correttamente un tipo di oggetto restituito da un server Web durante l'associazione dati XML. Un utente malintenzionato che sappia sfruttare a proprio vantaggio questa vulnerabilità potrebbe pertanto eseguire programmi arbitrari nel computer in uso. La semplice visita al sito Web dell'utente malintenzionato potrebbe rendere il computer vulnerabile senza che l'utente compia alcuna particolare operazione. Un utente malintenzionato potrebbe inoltre creare un messaggio di posta elettronica HTML per tentare di sfruttare la vulnerabilità.
Microsoft ha modificato il metodo con cui Internet Explorer gestisce i comportamenti DHTML (Dynamic Hypertext Markup Language, HTML dinamico) nell'area Siti con restrizioni in Internet Explorer. Un utente malintenzionato che sappia sfruttare a proprio vantaggio un'altra vulnerabilità potrebbe fare in modo che Internet Explorer esegua il codice dello script nel contesto di protezione dell'area Internet. Per eseguire un attacco potrebbe inoltre essere utilizzata la funzionalità di Microsoft Windows Media Player che consente di aprire indirizzi Web (o URL) nell'area del computer locale da un'altra area. È inoltre possibile che venga creato un messaggio di posta elettronica HTML che sfrutti questo comportamento.

L'utente malintenzionato dovrà creare un messaggio di posta elettronica HTML appositamente formattato e inviarlo all'utente. In alternativa potrebbe disporre di un sito Web dannoso contenente una pagina Web per sfruttare queste vulnerabilità. L'utente malintenzionato dovrebbe quindi convincere l'utente a visitare tale sito.

Come la precedente patch cumulativa per Internet Explorer rilasciata con il Bollettino Microsoft sulla sicurezza MS03-032
(http://www.microsoft.com/italy/technet/security/bulletin/MS03-032.mspx)
(822925), questa patch cumulativa interromperà il funzionamento del metodo window.showHelp se non è stato applicato l'aggiornamento per la Guida HTML. Se è stato installato il controllo aggiornato per la Guida HTML disponibile nell'articolo 811630 della Microsoft Knowledge Base, sarà comunque possibile continuare a utilizzare la funzionalità della Guida HTML dopo l'applicazione di questa patch di protezione. Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
811630
(http://support.microsoft.com/kb/811630/ )
Aggiornamento della Guida HTML per limitare la funzionalità quando viene richiamata con il metodo window.showHelp( )
Oltre all'applicazione di questa patch di protezione, Microsoft consiglia di installare anche l'aggiornamento per Windows Media Player descritto nell'articolo 828026 della Microsoft Knowledge Base. Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
828026
(http://support.microsoft.com/kb/828026/ )
Aggiornamento per il comportamento del comando di script URL di Windows Media Player
L'aggiornamento è disponibile nel sito Web Windows Update e nell'Area download Microsoft per tutte le versioni supportate di Windows Media Player. Sebbene non si tratti di una patch di protezione, l'aggiornamento include una modifica alla funzionalità di Windows Media Player che consente di aprire gli indirizzi Web. Questa modifica contribuisce alla protezione dagli attacchi basati sul comportamento DHTML. In particolare l'aggiornamento limita le funzionalità di Windows Media Player che consentono di aprire indirizzi Web nell'area del computer locale da un'altra area.

Fattori attenuanti

  • Per impostazione predefinita, Internet Explorer in Windows Server 2003 viene eseguito in modalità di protezione avanzata. Questa configurazione predefinita di Internet Explorer contribuisce a bloccare questo tipo di attacchi. Se la funzionalità Protezione avanzata di Internet Explorer venisse disattivata, verrebbero rimosse le misure messe in atto per impedire che venga sfruttata questa vulnerabilità.
  • Nello scenario di attacco basato sul Web, l'utente malintenzionato dovrebbe disporre di un sito Web contenente una pagina Web per utilizzare queste vulnerabilità. L'utente malintenzionato non può comunque indurre un utente a visitare automaticamente un sito Web dannoso se non mediante il vettore del messaggio di posta elettronica HTML. Dovrà invece attirare l'utente in quel sito, di solito inducendolo a fare clic su un collegamento.
  • Ciò consentirebbe all'utente malintenzionato di agire con le stesse credenziali dell'utente. Account configurati con poche credenziali sul computer corrono rischi inferiori rispetto ad account che dispongono delle credenziali per amministratori.
Note
  • Come la precedente patch di protezione cumulativa per Internet Explorer rilasciata con il Bollettino Microsoft sulla sicurezza MS03-032 (822925), questa patch di protezione cumulativa consente anche di impostare il "kill bit" sui seguenti controlli ActiveX:
    Riduci questa tabellaEspandi questa tabella
    DescrizioneNome fileCLSIDRiferimento
    Controllo Guida HTMLHhctrl.ocxADB880A6-D8FF-11CF-9377-00AA003B7A11323255
    (http://support.microsoft.com/kb/323255/ )
    Controllo Plugin ActiveXPlugin.ocx06DD38D3-D187-11CF-A80D-00C04FD74AD8813489
    (http://support.microsoft.com/kb/813489/ )
    Controllo visualizzatore file DirectXXWeb.ocx{970C7E08-05A7-11D0-89AA-00A0C9054129}810202
    (http://support.microsoft.com/kb/810202/ )
    Rapporto bug di Microsoft WindowsBR549.dll{167701E3-FDCF-11D0-A48E-006097C549FF}822925
    (http://support.microsoft.com/kb/822925/ )
    Per ulteriori informazioni sul "kill bit", fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
    240797
    (http://support.microsoft.com/kb/240797/ )
    Interruzione dell'esecuzione di un controllo ActiveX in Internet Explorer
  • Poiché con questa patch di protezione viene impostato il "kill bit" sul controllo della Guida HTML Microsoft, è possibile che si riscontrino collegamenti interrotti nella Guida in linea se non si è installato il controllo aggiornato della Guida HTML disponibile nell'articolo 811630 della Microsoft Knowledge Base. Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
    811630
    (http://support.microsoft.com/kb/811630/ )
    Aggiornamento della Guida HTML per limitare la funzionalità quando viene richiamata con il metodo window.showHelp( )
  • Come la precedente patch cumulativa per Internet Explorer rilasciata con il Bollettino Microsoft sulla sicurezza MS03-032 (822925), questa patch di protezione cumulativa interromperà il funzionamento del metodo window.showHelp se non è stato applicato l'aggiornamento per la Guida HTML. Se è stato installato il controllo aggiornato per la Guida HTML disponibile nell'articolo 811630 della Microsoft Knowledge Base, sarà comunque possibile continuare a utilizzare la funzionalità della Guida HTML dopo l'applicazione di questo aggiornamento. Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
    811630
    (http://support.microsoft.com/kb/811630/ )
    Aggiornamento della Guida HTML per limitare la funzionalità quando viene richiamata con il metodo window.showHelp( )
Torna all'inizio | Invia suggerimenti

Risoluzione

Informazioni sui service pack

Per risolvere il problema, procurarsi il service pack più recente per Microsoft Windows XP. Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
322389
(http://support.microsoft.com/kb/322389/ )
Come ottenere il service pack più recente per Windows XP

Informazioni sull'aggiornamento rapido (hotfix)

Informazioni sul download

Per scaricare e installare l'aggiornamento, visitare il seguente sito Web Microsoft Windows Update e installare l'aggiornamento critico 828750:
http://update.microsoft.com
(http://update.microsoft.com)
Gli amministratori possono scaricare questo aggiornamento dall'Area download Microsoft o dal catalogo di Microsoft Windows Update per distribuirlo su più computer. Se si desidera installare l'aggiornamento in un secondo momento su uno o più computer, cercare il seguente ID dell'articolo utilizzando la funzionalità di ricerca avanzata del catalogo di Windows Update. Per ulteriori informazioni su come scaricare gli aggiornamenti dal catalogo di Windows Update, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
323166
(http://support.microsoft.com/kb/323166/ )
Download di aggiornamenti e driver dal catalogo di Windows Update o di Microsoft Update
Per scaricare questo aggiornamento dall'Area download Microsoft, visitare il seguente sito Web Microsoft (informazioni in lingua inglese):
http://www.microsoft.com/windows/ie/ie6/downloads/critical/828750/default.mspx
(http://www.microsoft.com/windows/ie/ie6/downloads/critical/828750/default.mspx)
Per ulteriori informazioni sul download di file di supporto Microsoft, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
119591
(http://support.microsoft.com/kb/119591/ )
Come ottenere file di supporto Microsoft dai servizi online
Il file è stato controllato e non contiene virus. Microsoft ha utilizzato il software antivirus più recente disponibile al momento della data di pubblicazione del file. Il file è salvato su server protetti che impediscono modifiche non autorizzate.

Informazioni sull'installazione

Per l'installazione di questo aggiornamento, è necessario accedere al sistema come amministratore. Per scaricare e installare l'aggiornamento, visitare il sito Web Windows Update, quindi installare l'aggiornamento critico 828750:
http://update.microsoft.com
(http://update.microsoft.com)
Per installare una versione scaricata di questo aggiornamento, eseguire il pacchetto dell'aggiornamento critico 828750 scaricato, utilizzando i parametri del programma di installazione appropriati. Gli amministratori possono distribuire questo aggiornamento utilizzando Microsoft Software Update Services (SUS). Per ulteriori informazioni relative ai servizi SUS, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
810796
(http://support.microsoft.com/kb/810796/ )
White Paper: Panoramica di Software Update Services
Per verificare l'installazione di questo aggiornamento, utilizzare lo strumento Microsoft Baseline Security Analyzer (MBSA). Per ulteriori informazioni su MBSA, visitare il seguente sito Web Microsoft (informazioni in lingua inglese):
http://www.microsoft.com/technet/security/tools/mbsahome.mspx
(http://www.microsoft.com/technet/security/tools/mbsahome.mspx)
È possibile verificare l'installazione di questo aggiornamento anche utilizzando uno dei seguenti metodi:
  • Verificare che Q828750 sia elencato nel campo Versioni aggiornamento della finestra di dialogo Informazioni su Internet Explorer. Non è possibile utilizzare questo metodo in Windows Server 2003 o in Windows XP 64-Bit Edition versione 2003 poiché il pacchetto non aggiorna il campo Versioni aggiornamento per queste versioni di Windows.
  • Confrontare le versioni dei file aggiornati presenti nel computer con i file elencati nella sezione "Informazioni sui file" di questo articolo.
  • Verificare l'esistenza delle seguenti voci nel Registro di sistema.
    • Windows Server 2003 e Windows XP 64-Bit Edition versione 2003:

      Verificare che il valore DWORD
      Installed
      con valore dati 1 sia visualizzato nella seguente chiave del Registro di sistema:
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Hotfix\KB828750
    • Tutte le altre versioni di Windows:

      Verificare che il valore DWORD
      IsInstalled
      con valore dati 1 sia visualizzato nella seguente chiave del Registro di sistema:
      HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components\{96543d59-497a-4801-a1f3-5936aacaf7b1}

Prerequisiti

Microsoft ha eseguito i test delle versioni di Windows e di Internet Explorer elencate in questo articolo al fine di valutare se sono interessate da queste vulnerabilità e per verificare che l'aggiornamento qui descritto consenta di risolvere tali problemi.

Per installare le versioni di questo aggiornamento per Internet Explorer 6 per Windows Server 2003, è necessario che sia in esecuzione Internet Explorer 6 (versione 6.00.3790.0000) in Windows Server 2003 (32 o 64 bit) o in Windows XP 64-Bit Edition versione 2003.

Per installare le versioni di questo aggiornamento per Internet Explorer 6 Service Pack 1 (SP1), è necessario che sia in esecuzione Internet Explorer 6 SP1 (versione 6.00.2800.1106) in Windows XP 64-Bit Edition versione 2002, Windows XP SP1, Windows XP, Windows 2000 Service Pack 4 (SP4), Windows 2000 Service Pack 3 (SP3), Windows 2000 Service Pack 2 (SP2), Windows NT Workstation e Server 4.0 Service Pack 6a (SP6a), Windows NT Server 4.0 Terminal Server Edition SP6 oppure Windows Millennium Edition.

Per installare la versione di questo aggiornamento per Internet Explorer 6 è necessario che sia in esecuzione Internet Explorer 6 (versione 6.00.2600.0000) in Windows XP.

Per installare la versione di questo aggiornamento per Internet Explorer 5.5, è necessario che sia in esecuzione Internet Explorer 5.5 Service Pack 2 (versione 5.50.4807.2300) in Windows 2000 SP4, Windows 2000 SP3, Windows 2000 SP2, Windows NT Workstation e Server 4.0 SP6a, Windows NT Server 4.0 Terminal Server Edition SP6 oppure Windows Millennium Edition.

Per installare la versione di questo aggiornamento di Internet Explorer 5.01, è necessario che sia in esecuzione Internet Explorer 5.01 Service Pack 4 (versione 5.00.3700.1000) in Windows 2000 SP4 o Internet Explorer 5.01 Service Pack 3 (versione 5.00.3502.1000) in Windows 2000 SP3.

Nota Le versioni di Windows e di Internet Explorer che non sono elencate in questo articolo sono nella fase estesa del ciclo di vita del prodotto o non sono più supportate. Sebbene sia possibile installare alcuni pacchetti di aggiornamento descritti in questo articolo in tali versioni di Windows e di Internet Explorer, Microsoft non ha verificato queste versioni al fine di valutare se sono interessate dalle vulnerabilità indicate o per confermare che l'aggiornamento qui descritto consenta di risolvere tali problemi. Microsoft consiglia di effettuare l'aggiornamento a una versione supportata di Windows e di Internet Explorer, quindi di applicare l'aggiornamento corretto. Se è in esecuzione una versione di Windows o di Internet Explorer attualmente nella fase estesa del ciclo di vita del prodotto e si dispone di un contratto di supporto esteso, rivolgersi al gestore degli account tecnici (TAM, Technical Account Manager) o al consulente per lo sviluppo delle applicazioni (ADC, Applications Development Consultant) per informazioni sull'aggiornamento della configurazione in uso.

Per ulteriori informazioni su come determinare la versione di Internet Explorer in esecuzione, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
164539
(http://support.microsoft.com/kb/164539/ )
Individuazione della versione di Internet Explorer in uso
Per ulteriori informazioni sui cicli di supporto per i componenti di Windows, visitare il seguente sito Web Microsoft (informazioni in lingua inglese):
http://support.microsoft.com/gp/lifeselectwin
(http://support.microsoft.com/gp/lifeselectwin)
Per ulteriori informazioni su come ottenere Internet Explorer 6 SP1, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
328548
(http://support.microsoft.com/kb/328548/ )
Come ottenere il service pack più recente per Internet Explorer 6
Per ulteriori informazioni su come ottenere il service pack più recente per Internet Explorer 5.5, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
276369
(http://support.microsoft.com/kb/276369/ )
Come ottenere l'ultimo service pack per Internet Explorer 5.5
Per ulteriori informazioni su come ottenere Internet Explorer 5.01 SP3, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
267954
(http://support.microsoft.com/kb/267954/ )
Come ottenere il service pack più recente per Internet Explorer 5.01

Richiesta di riavvio

Per completare l'installazione delle versioni di questo aggiornamento per Internet Explorer 6 è necessario riavviare il computer. Per installare le versioni di questo aggiornamento per Internet Explorer 5.01 e Internet Explorer 5.5, è necessario riavviare il computer e accedere come amministratore per completare l'installazione in computer che eseguono Windows NT 4.0 e Windows 2000.
Torna all'inizio | Invia suggerimenti

Stato degli aggiornamenti precedenti

L'aggiornamento sostituisce la patch MS03-032: Patch cumulativa per Internet Explorer dell'agosto 2003 (822925).

Parametri del programma di installazione

Le versioni di questa patch di protezione per Windows Server 2003, incluso Windows XP 64-Bit Edition versione 2003, supportano i seguenti parametri del programma di installazione:
  • /?: consente di visualizzare l'elenco dei parametri di installazione.
  • /u: consente di utilizzare la modalità automatica.
  • /f: consente di forzare la chiusura degli altri programmi all'arresto del computer.
  • /n: consente di non eseguire il backup dei file per la disinstallazione.
  • /o: consente di sovrascrivere i file OEM senza chiedere previa conferma all'utente.
  • /z: consente di non riavviare il computer al termine dell'installazione.
  • /q: consente di utilizzare la modalità non interattiva (senza intervento dell'utente).
  • /l: consente di visualizzare l'elenco degli aggiornamenti rapidi (hotfix) installati.
  • /x: consente di estrarre i file senza eseguire il programma di installazione.
Per installare, ad esempio, la patch di protezione per Windows Server 2003 32-Bit senza alcun intervento da parte dell'utente, utilizzare il seguente comando:
windowsserver2003-kb828750-x86-ita.exe /u /q
Per installare questa patch di protezione senza imporre il riavvio del computer al termine dell'installazione, utilizzare la seguente riga di comando:
windowsserver2003-kb828750-x86-ita.exe /z
Nota È possibile combinare queste opzioni in un unico comando.

Per informazioni sulla distribuzione di questa patch di protezione mediante Software Update Services, visitare il seguente sito Web Microsoft:
http://www.microsoft.com/italy/windowsserversystem/sus/susoverview.mspx
(http://www.microsoft.com/italy/windowsserversystem/sus/susoverview.mspx)
Gli altri pacchetti di aggiornamento per questa patch di protezione supportano i seguenti parametri:
  • /q: consente di utilizzare la modalità non interattiva, in cui non è visualizzato alcun messaggio durante l'estrazione dei file.
  • /q:u: consente di utilizzare la modalità non interattiva utente, in cui è possibile visualizzare alcune finestre di dialogo.
  • /q:a: consente di utilizzare la modalità non interattiva amministratore, in cui non viene visualizzata alcuna finestra di dialogo all'utente.
  • /t: percorso: consente di specificare il percorso della cartella temporanea utilizzata dal programma di installazione o della cartella di destinazione per l'estrazione dei file, quando si utilizza il parametro /c.
  • /c: consente di estrarre i file senza installarli. Se il parametro /t: percorso non viene specificato, verrà richiesto di indicare una cartella di destinazione.
  • /c: percorso: consente di specificare il percorso e il nome del file inf o exe di installazione.
  • /r:n: consente di non riavviare mai il computer dopo l'installazione.
  • /r:i: consente di richiedere all'utente di riavviare il computer se è necessario un riavvio, salvo quando viene utilizzato con il parametro /q:a.
  • /r:a: consente di imporre il riavvio del computer dopo l'installazione.
  • /r:s: consente di riavviare il computer dopo l'installazione senza previa richiesta.
  • /n:v: consente di evitare la verifica della versione. Utilizzare questo parametro con cautela durante l'installazione dell'aggiornamento di qualsiasi versione di Internet Explorer.
Per installare ad esempio l'aggiornamento senza alcun intervento da parte dell'utente, impedendo il riavvio del computer una volta terminata l'installazione, utilizzare il seguente comando:
q828750.exe /q:a /r:n

Informazioni sui file

La versione in lingua inglese di questa patch di protezione ha gli attributi di file elencati nella tabella seguente (o successivi). Date e ore elencate di seguito sono espresse in UTC. Quando si visualizzano le informazioni sui file, l'ora viene convertita in ora locale. Per calcolare la differenza tra l'ora UTC e quella locale, utilizzare la scheda Fuso orario dello strumento Data e ora del Pannello di controllo.

I file riportati di seguito vengono installati nella cartella %Windir%\System in Windows 98 Seconda Edizione e Windows Millennium Edition. Vengono installati nella cartella %Windir%\System32 in Windows NT 4.0, Windows 2000, Windows XP e Windows Server 2003.
Internet Explorer 6 (32 bit) per Windows Server 2003
   Data        Ora    Versione     Dimensione  Nome file
   -------------------------------------------------------
   RTMQFE
   22/09/2003  19.11  6.0.3790.89   2.917.888  Mshtml.dll
   22/09/2003  19.11  6.0.3790.85   1.394.176  Shdocvw.dll
   22/09/2003  19.11  6.0.3790.84     509.440  Urlmon.dll
   RTMGDR
   22/09/2003  19.14  6.0.3790.88   2.917.888  Mshtml.dll
   22/09/2003  19.14  6.0.3790.85   1.394.176  Shdocvw.dll
   22/09/2003  19.14  6.0.3790.84     509.440  Urlmon.dll
Internet Explorer 6 (64 bit) per Windows Server 2003 versioni a 64 bit e Windows XP 64-Bit Edition versione 2003
   Data        Ora    Versione     Dimensione  Nome file     Piattaforma
   ---------------------------------------------------------------------
   RTMQFE
   22/09/2003  19.06  6.0.3790.89   8.210.944  Mshtml.dll    IA-64
   22/09/2003  19.06  6.0.3790.89   3.359.232  Shdocvw.dll   IA-64
   22/09/2003  19.06  6.0.3790.87   1.271.808  Urlmon.dll    IA-64
   22/09/2003  19.11  6.0.3790.89   2.917.888  Wmshtml.dll   x86
   22/09/2003  19:11  6.0.3790.85   1.394.176  Wshdocvw.dll  x86
   22/09/2003  19.11  6.0.3790.84     509.440  Wurlmon.dll   x86
   RTMGDR
   22/09/2003  19.10  6.0.3790.88   8.210.944  Mshtml.dll    IA-64
   22/09/2003  19.10  6.0.3790.85   3.359.744  Shdocvw.dll   IA-64
   22/09/2003  19.10  6.0.3790.87   1.271.808  Urlmon.dll    IA-64
   22/09/2003  19.14  6.0.3790.88   2.917.888  Wmshtml.dll   x86
   22/09/2003  19.14  6.0.3790.85   1.394.176  Wshdocvw.dll  x86
   22/09/2003  19.14  6.0.3790.84     509.440  Wurlmon.dll   x86
Internet Explorer 6 SP1 (32 bit) per Windows XP SP1, Windows XP, Windows 2000 SP3, Windows 2000 SP4, Windows NT 4.0 SP6a, Windows Millennium Edition e Windows 98 Seconda Edizione
   Data        Ora    Versione       Dimensione  Nome file
   ---------------------------------------------------------
   18/09/2003  22.28  6.0.2800.1264   2.793.984  Mshtml.dll
   23/05/2003  17.15  6.0.2800.1203   1.338.880  Shdocvw.dll
   13/07/2003  20.05  6.0.2800.1226     395.264  Shlwapi.dll
   10/09/2003  11.48  6.0.2800.1259     444.928  Urlmon.dll
Internet Explorer 6 SP1 (64 bit) per Windows XP 64-Bit Edition versione 2002
   Data        Ora    Versione       Dimensione  Nome file    Piattaforma
   ----------------------------------------------------------------------
   18/09/2003  21.16  6.0.2800.1264   9.079.808  Mshtml.dll   IA-64
   23/05/2003  16.39  6.0.2800.1203   3.648.000  Shdocvw.dll  IA-64
   13/07/2003  19.27  6.0.2800.1226   1.095.168  Shlwapi.dll  IA-64
   10/09/2003  11.51  6.0.2800.1259   1.412.608  Urlmon.dll   IA-64
Internet Explorer 6 (32 bit) per Windows XP
   Data        Ora    Versione       Dimensione  Nome file
   ---------------------------------------------------------
   18/09/2003  21.51  6.0.2733.1800   2.763.264  Mshtml.dll
   11/07/2003  14.59  6.0.2722.900       34.304  Pngfilt.dll
   05/03/2002  00.09  6.0.2715.400      548.864  Shdoclc.dll
   22/05/2003  22.49  6.0.2729.2200   1.336.320  Shdocvw.dll
   11/07/2003  14.59  6.0.2730.1200     391.168  Shlwapi.dll
   11/07/2003  14.59  6.0.2715.400      109.568  Url.dll
   10/09/2003  11.38  6.0.2733.1000     442.880  Urlmon.dll
   06/06/2002  17.38  6.0.2718.400      583.168  Wininet.dll
Internet Explorer 5.5 SP2 per Windows 2000 SP4, Windows 2000 SP3, Windows NT 4.0 SP6a, Windows Millennium Edition e Windows 98 Seconda Edizione
   Data        Ora    Versione       Dimensione  Nome file
   ---------------------------------------------------------
   18/09/2003  21.26  5.50.4933.1800  2.759.952  Mshtml.dll
   17/10/2002  00.01  5.50.4922.900      48.912  Pngfilt.dll
   22/05/2003  23.09  5.50.4929.2200  1.149.200  Shdocvw.dll
   12/06/2003  20.24  5.50.4930.1200    300.816  Shlwapi.dll
   05/03/2002  01.53  5.50.4915.500      84.240  Url.dll
   10/09/2003  11.31  5.50.4933.1000    408.848  Urlmon.dll
   06/06/2002  21.27  5.50.4918.600     481.552  Wininet.dll
Internet Explorer 5.01 per Windows 2000 SP4 e Windows 2000 SP3
   Data        Ora    Versione       Dimensione  Nome file
   ---------------------------------------------------------
   18/09/2003  20.36  5.0.3809.1800   2.282.768  Mshtml.dll
   12/06/2003  23.15  5.0.3806.1200      48.912  Pngfilt.dll
   12/06/2003  23.08  5.0.3806.1200   1.099.536  Shdocvw.dll
   12/06/2003  23.07  5.0.3806.1200     279.824  Shlwapi.dll
   05/03/2002  01.53  5.50.4915.500      84.240  Url.dll
   10/09/2003  11.22  5.0.3809.1000     409.360  Urlmon.dll
   12/06/2003  23.16  5.0.3806.1200     445.200  Wininet.dll
Note
  • Quando si installa questa patch di protezione in un computer basato su Windows Server 2003 o in un computer basato su Windows XP 64-Bit Edition versione 2003, il programma di installazione controlla che nessuno dei file aggiornati nel computer sia stato aggiornato in precedenza da un aggiornamento rapido (hotfix) Microsoft. Se in precedenza è stato installato un aggiornamento rapido (hotfix) per uno di questi file, il programma di installazione copia i file RTMQFE nel computer. In caso contrario, nel computer vengono copiati i file RTMGDR. Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
    824994
    (http://support.microsoft.com/kb/824994/ )
    Descrizione del contenuto di un pacchetto di aggiornamento di Windows Server 2003
  • A causa delle dipendenze fra i file e dei requisiti relativi all'installazione o alla rimozione, è possibile che questi pacchetti di aggiornamento contengano ulteriori file.

Informazioni sulla rimozione

Per rimuovere questo aggiornamento, utilizzare lo strumento Installazione applicazioni nel Pannello di controllo. Fare clic su Internet Explorer Q828750, quindi scegliere Cambia/Rimuovi (oppure Aggiungi/Rimuovi).

In Windows Server 2003 e Windows XP 64-Bit Edition versione 2003 gli amministratori di sistema possono utilizzare l'utilità Spuninst.exe per rimuovere questa patch di protezione. L'utilità Spuninst.exe si trova nella cartella %Windir%\$NTUninstallKB828750$\Spuninst e supporta i seguenti parametri di installazione:
  • /?: consente di visualizzare l'elenco dei parametri di installazione.
  • /u: consente di utilizzare la modalità automatica.
  • /f: consente di forzare la chiusura degli altri programmi all'arresto del computer.
  • /z: consente di non riavviare il computer al termine dell'installazione.
  • /q: consente di utilizzare la modalità non interattiva (senza intervento dell'utente).
Per tutte le altre versioni di Windows, gli amministratori di sistema possono utilizzare l'utilità Ieuninst.exe per rimuovere l'aggiornamento. Questa patch di protezione consente di installare l'utilità Ieuninst.exe nella cartella %Windir% e supporta i seguenti parametri della riga di comando:
  • /?: consente di visualizzare l'elenco dei parametri supportati.
  • /z: consente di non riavviare il computer al termine dell'installazione.
  • /q: consente di utilizzare la modalità non interattiva (senza intervento dell'utente).
Per rimuovere, ad esempio, questo aggiornamento in modalità non interattiva, utilizzare il seguente comando:
c:\windows\ieuninst /q c:\windows\inf\q828750.inf
Nota Per questo comando si presuppone che Windows sia installato nella cartella C:\Windows.
Torna all'inizio | Invia suggerimenti

Workaround

Queste soluzioni sono misure temporanee poiché consentono solo di bloccare i percorsi di attacco, senza però correggere la vulnerabilità sottostante. Microsoft incoraggia l'installazione della patch di protezione appena possibile.

Nelle soluzioni indicate di seguito vengono fornite informazioni utili per proteggere il computer da attacchi esterni.
  • Richiesta di conferma prima di eseguire i controlli ActiveX nelle aree Internet e Intranet

    È possibile contribuire alla protezione da questa vulnerabilità modificando le impostazioni per l'area di protezione di Internet affinché venga chiesta una conferma prima dell'esecuzione di componenti ActiveX. Per effettuare questa operazione, attenersi alla seguente procedura:
    1. In Internet Explorer scegliere Opzioni Internet dal menu Strumenti.
    2. Scegliere la scheda Protezione.
    3. Fare clic sull'area Internet, quindi su Livello personalizzato.
    4. In corrispondenza di Esegui controlli e plug-in ActiveX selezionare Chiedi conferma.
    5. Scegliere OK.
    6. Fare clic sull'area Intranet locale, quindi su Livello personalizzato.
    7. In corrispondenza di Esegui controlli e plug-in ActiveX selezionare Chiedi conferma.
    8. Scegliere OK, quindi nuovamente OK per tornare a Internet Explorer.
  • Limitazione dell'accesso solo ai siti Web attendibili

    Una volta configurato Internet Explorer in modo che venga chiesta conferma prima di eseguire i controlli ActiveX nelle aree Internet e Intranet locale, è possibile aggiungere i siti ritenuti attendibili in un apposito elenco. In questo modo sarà possibile continuare a utilizzare normalmente i siti Web senza rischiare di incorrere nella vulnerabilità descritta in questo articolo correlati all'accesso a siti non affidabili. Per effettuare questa operazione, attenersi alla seguente procedura:
    1. In Internet Explorer scegliere Opzioni Internet dal menu Strumenti.
    2. Scegliere la scheda Protezione.
    3. Fare clic sull'area Siti attendibili, quindi su Siti.
    4. Per aggiungere siti che non richiedono un canale crittografato, deselezionare la casella di controllo Richiedi verifica server (https:) per tutti i siti dell'area.
    5. Digitare l'indirizzo Web (o URL) di un sito considerato attendibile nella casella Aggiungi il sito Web all'area, quindi fare clic su Aggiungi. Ripetere l'operazione per tutti i siti da aggiungere nell'area Siti attendibili.
    6. Scegliere OK, quindi nuovamente OK per accettare le modifiche e tornare a Internet Explorer. È possibile aggiungere tutti i siti considerati non pericolosi per il computer. Ad esempio il sito "http://update.microsoft.com". Si tratta del sito Microsoft in cui è disponibile la patch di protezione descritta in questo articolo. Questo sito impiega un controllo ActiveX per installare la patch di protezione.
  • In Microsoft Outlook 2002 o Microsoft Outlook Express 6 SP1 o versioni successive, leggere i messaggi di posta elettronica come file di solo testo per proteggere il computer dal vettore di attacco costituito dai messaggi HTML

    Se si utilizza Outlook 2002 o Outlook Express 6 SP1 o versioni successive, è possibile attivare una funzionalità che consente di visualizzare tutti i messaggi di posta elettronica che non dispongono di crittografia o firma digitale come testo normale. Questa impostazione non ha effetto sui messaggi di posta elettronica con crittografia o firma digitale, che possono essere visualizzati nei formati originali. Per ulteriori informazioni sull'utilizzo di questa impostazione in Outlook 2002, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
    307594
    (http://support.microsoft.com/kb/307594/ )
    OL2002: Gli utenti visualizzano la posta elettronica non protetta come testo normale
    Per ulteriori informazioni sull'utilizzo di questa impostazione in Outlook Express 6, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
    291387
    (http://support.microsoft.com/kb/291387/ )
    Utilizzo delle funzionalità di protezione antivirus in Outlook Express 6
Torna all'inizio | Invia suggerimenti

Status

Microsoft ha confermato che questo problema si verifica con i prodotti elencati nella sezione "Si applica a..." di questo articolo.

Internet Explorer 6

Questo problema è stato corretto per la prima volta in Microsoft Windows XP Service Pack 2.
Torna all'inizio | Invia suggerimenti

Informazioni

Per ulteriori informazioni su questa patch di protezione, vedere il seguente Bollettino Microsoft sulla sicurezza:
http://www.microsoft.com/italy/technet/security/bulletin/MS03-040.mspx
(http://www.microsoft.com/italy/technet/security/bulletin/MS03-040.mspx)

Problemi noti

  • Per rimuovere correttamente (disinstallare) più di un aggiornamento cumulativo per Internet Explorer in un computer in cui è in esecuzione Windows Server 2003 o Windows XP 64-Bit Edition versione 2003, è necessario rimuovere gli aggiornamenti nello stesso ordine in cui sono stati installati. Se, ad esempio, si installa l'aggiornamento 818529, quindi 828750, sarà necessario rimuovere l'aggiornamento 828750 prima di 818529.
  • In un computer che esegue Windows XP, Windows 2000, Windows NT 4.0, Windows Millennium Edition o Windows 98 Seconda Edizione, dopo la rimozione dell'aggiornamento critico 818750, non è possibile rimuovere gli aggiornamenti cumulativi precedenti per Internet Explorer, ad esempio 818529. Si tratta di un comportamento legato alla progettazione del prodotto. La rimozione è supportata solo per l'ultimo aggiornamento cumulativo installato.
  • Per ulteriori informazioni sui problemi noti che possono verificarsi quando si installa questo aggiornamento, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
    325192
    (http://support.microsoft.com/kb/325192/ )
    Problemi successivi all'installazione degli aggiornamenti di Internet Explorer o Windows
Torna all'inizio | Invia suggerimenti

Proprietà

Identificativo articolo: 828750 - Ultima modifica: martedì 17 maggio 2011 - Revisione: 14.0
Le informazioni in questo articolo si applicano a:
  • Microsoft Internet Explorer 6.0
  • Microsoft Internet Explorer 5.5
Chiavi: 
kbhotfixserver atdownload kbwinxpsp2fix kbsecbulletin kbsecvulnerability kbsecurity kbwin2000presp5fix kbwinxppresp2fix kbwinserv2003presp1fix kbqfe kbfix kbbug KB828750
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.
Torna all'inizio | Invia suggerimenti

Invia suggerimenti

 
Torna all'inizioTorna all'inizio