MS06-061: Possibile esecuzione di codice in modalitÓ remota a causa di vulnerabilitÓ in Microsoft XML Core Services

Traduzione articoli Traduzione articoli
Identificativo articolo: 924191 - Visualizza i prodotti a cui si riferisce l?articolo.
Espandi tutto | Chiudi tutto

In questa pagina

INTRODUZIONE

╚ stato rilasciato il Bollettino Microsoft sulla sicurezza MS06-061 che contiene tutte le informazioni relative all'aggiornamento della protezione, incluse le informazioni relative ai file e le opzioni di distribuzione. Per visualizzare il testo completo del Bollettino Microsoft sulla sicurezza, visitare uno dei seguenti siti Web Microsoft:

Informazioni sul service pack

Questo problema Ŕ stato corretto per la prima volta in Microsoft Office 2003 Service Pack 3. Per risolvere il problema Ŕ necessario ottenere la versione pi¨ recente del service pack per Office 2003. Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
870924 Come ottenere il service pack pi¨ recente per Office 2003

Problemi noti con questo aggiornamento della protezione

  • Se sono installate pi¨ versioni di Microsoft XML Parser o di Microsoft XML Core Services (MSXML), potrebbe essere necessario installare pi¨ pacchetti per questo aggiornamento della protezione. Se inoltre si installa una versione di MSXML dopo avere installato questo aggiornamento della protezione, potrebbe essere necessario installare un altro pacchetto per questo aggiornamento della protezione. Per ulteriori informazioni sulle diverse versioni di MSXML disponibili o incluse con i prodotti Microsoft o con gli aggiornamenti del software, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
    269238 Elenco delle versioni del parser Microsoft XML (MSXML)
  • Dopo avere installato la versione originale dell'aggiornamento della protezione 924191 per Windows 2000 Service Pack 4, Ŕ possibile che il bit di interruzione ("kill bit") per i CLSID di Microsoft XML Parser (MSXML) versione 2.6 venga erroneamente impostato su 0x00000190 (400) anzichÚ su 0x00000400 (1024). Per risolvere questo problema, in data 19/10/2006 Microsoft ha rilasciato una nuova versione di questo aggiornamento della protezione.

    Nota Il nuovo aggiornamento della protezione rilasciato il 19/10/2006 non aggiorna correttamente le informazioni sulla versione visualizzate in Installazione applicazioni se in precedenza Ŕ stato installato l'aggiornamento della protezione originale per Windows 2000. Il numero di versione dovrebbe essere aggiornato in 0061014.135844, mentre le informazioni sulla versione continuano a essere visualizzate come 20060915.123522. Il problema pu˛ essere ignorato, in quanto in questo scenario il bit di interruzione viene aggiornato correttamente nel Registro di sistema per i CLSID di MSXML versione 2.6.
  • Dopo avere installato questo aggiornamento della protezione, non Ŕ possibile utilizzare Microsoft XML Parser versione 2.6 in Microsoft Internet Explorer. Si tratta di un comportamento legato alla progettazione del prodotto. Il pacchetto di aggiornamento della protezione 924191 imposta il bit di interruzione per questa versione di MSXML, impedendo l'esecuzione del componente in Internet Explorer.

    Nota Gli sviluppatori che utilizzano in un'applicazione gli ID di programma (ProgID) dipendenti da MSXML 2.6 devono aggiornarli affinchÚ venga utilizzato MSXML 3.0.

    Codice di esempio che utilizza un ProgID dipendente da MSXML 2.6
    var o = new ActiveXObject("Msxml2.DOMDocument.2.6");
    Codice di esempio aggiornato che utilizza un ProgID dipendente da MSXML 3.0
    var o = new ActiveXObject("Msxml2.DOMDocument.3.0");
    I pacchetti di aggiornamento della protezione 924191 relativi a questa versione impostano il bit di interruzione per i CLSID di Microsoft XML Parser (MSXML) versione 2.6 elencati nella tabella seguente.
    Riduci questa tabellaEspandi questa tabella
    GUIDNome simbolico
    f5078f22-c551-11d3-89b9-0000f81fe221CLSID_XMLDocument26
    f5078f1b-c551-11d3-89b9-0000f81fe221CLSID_DOMDocument26
    f5078f1c-c551-11d3-89b9-0000f81fe221CLSID_FreeThreadedDOMDocument26
    f5078f1d-c551-11d3-89b9-0000f81fe221CLSID_XMLSchemaCache26
    f5078f1e-c551-11d3-89b9-0000f81fe221CLSID_XMLHTTP26
    f5078f21-c551-11d3-89b9-0000f81fe221CLSID_XSLTemplate26
    f5078f1f-c551-11d3-89b9-0000f81fe221CLSID_DSOControl26
    f5078f20-c551-11d3-89b9-0000f81fe221CLSID_XMLParser26
    f5078f28-c551-11d3-89b9-0000f81fe221CLSID_Viewer26
    f5078f29-c551-11d3-89b9-0000f81fe221CLSID_BufferedMoniker26
    f5078f26-c551-11d3-89b9-0000f81fe221CLSID_XSLPatternFactory26
  • I pacchetti di aggiornamento della protezione 925672 e 925673 per MSXML 4.0 Service Pack 2 (SP2) e MSXML 6.0 sono pacchetti di installazione completi che possono essere utilizzati per installare MSXML 4.0 SP2 o MSXML 6.0 in un computer in cui non sia stata installata una versione precedente di MSXML 4.0 o di MSXML 6.0. ╚ inoltre possibile utilizzare questi pacchetti per aggiornare un'installazione esistente di MSXML 4.0, MSXML 4.0 SP1, o MSXML 6.0.
  • Se nel computer Ŕ giÓ installata una versione precedente di MSXML 4.0 SP2 o di MSXML 6.0, in Windows Update e Microsoft Update vengono forniti soltanto i pacchetti di aggiornamento 925672 e 925673. Se nel computer non Ŕ installata una versione precedente di MSXML 4.0 SP2 o MSXML 6.0, scaricare e installare questi pacchetti dall'Area Download Microsoft.
  • Se nel computer Ŕ installato MSXML 4.0 o MSXML 4.0 SP1, in Windows Update e Microsoft Update non viene fornito il pacchetto di aggiornamento 925672. Per aggiornare MSXML 4.0 o MSXML 4.0 SP1, utilizzare uno dei metodi elencati di seguito.
  • Nelle seguenti tabelle sono elencati i file installati dai pacchetti di aggiornamento della protezione 925672 e 925673 per MSXML 4.0 SP2 e MSXML 6.0.

    MSXML 6.0 non Ŕ installato
    Riduci questa tabellaEspandi questa tabella
    Nome file Versione Data Ora Dimensioni
    Msxml6.dll 6.0.3888.0 01/09/2006 12.081,27 MB
    Msxml6r.dll 6.0.3883.0 19/07/2006 10.55 84,6 KB
    MSXML 6.0 Ŕ installato
    Riduci questa tabellaEspandi questa tabella
    Nome file Versione Data Ora Dimensioni
    Msxml6.dll 6.0.3888.0 01/09/2006 12.081,27 MB
    MSXML 4.0 non Ŕ installato
    Riduci questa tabellaEspandi questa tabella
    Nome file Versione Data Ora Dimensioni
    Msxml4.dll 4.20.9839.0 12/09/2006 5.51 1216 KB
    Msxml4r.dll 4.10.9404.0 12/07/2006 5.49 80,5 KB
    Nota Questo aggiornamento della protezione viene installato sia nella cartella %SystemRoot%\System32 sia nella cartella side-by-side.

    MSXML 4.0 Ŕ installato
    Riduci questa tabellaEspandi questa tabella
    Nome file Versione Data Ora Dimensioni
    Msxml4.dll 4.20.9839.0 12/09/2006 5.531,18 MB
    Nota Questo aggiornamento della protezione viene installato sia nella cartella %SystemRoot%\System32 sia nella cartella side-by-side.
  • Quando si rimuove l'aggiornamento della protezione 925673 per MSXML 6.0, il componente MSXML 6.0 viene completamente rimosso dal computer.
  • Il pacchetto di aggiornamento della protezione 925672 per MSXML 4.0 SP2 non supporta la rimozione completa del componente MSXML 4.0, in quanto questa versione di MSXML viene installata in modalitÓ side-by-side. Per aggirare il problema, attenersi alla seguente procedura:
    1. Utilizzare Installazione applicazioni per rimuovere l'aggiornamento della protezione 925672.
    2. Eliminare il file MSXML4.dll dalla cartella %SystemRoot%\System32.
    3. Utilizzare Installazione applicazioni per ripristinare MSXML 4.0.
    Le versioni precedenti del file Msxml4.dll e del file Msxml4r.dll vengono ripristinate sia nella cartella %SystemRoot%\System32 sia nella cartella side-by-side.
  • I pacchetti di aggiornamento della protezione per MSXML 3.0 aggiornano solo il file MSXML3.dll. I file di risorse per questa versione non vengono aggiornati.
  • Dopo l'installazione di questo aggiornamento della protezione, Ŕ possibile che si verifichi un comportamento imprevisto nelle applicazioni di Microsoft Commerce Server 2002 Business Desk. Per ulteriori informazioni su questo problema, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
    926509 Possibile comportamento imprevisto quando si accede alle applicazioni Commerce Server Business Desk dopo avere aggiornato il computer con i pi¨ recenti aggiornamenti della protezione

Pacchetti aggiuntivi per questo aggiornamento della protezione

I pacchetti di aggiornamento della protezione relativi a questa versione utilizzano questo numero dell'articolo della Microsoft Knowledge Base (924191) e i seguenti numeri degli articoli della Microsoft Knowledge Base.
  • 925673 MS06-061: Aggiornamento della protezione per Microsoft XML Core Services 6.0
  • 925672 MS06-061: Aggiornamento della protezione per Microsoft XML Core Services 4.0 SP2
  • 924424 Descrizione dell'aggiornamento della protezione per Office 2003: 10 ottobre 2006

ProprietÓ

Identificativo articolo: 924191 - Ultima modifica: martedý 11 dicembre 2007 - Revisione: 6.3
Le informazioni in questo articolo si applicano a:
  • Microsoft XML Parser 3.0
  • Microsoft XML Core Services 4.0
  • Microsoft XML Core Services 6.0
  • Microsoft Windows 2000 Advanced Server SP4
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Professional SP4
  • Microsoft Windows 2000 Server SP4
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003 R2 Datacenter Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Datacenter x64 Edition
  • Microsoft Windows Server 2003 R2 Enterprise Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Enterprise x64 Edition
  • Microsoft Windows Server 2003 R2 Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003 R2 Standard x64 Edition
  • Microsoft Windows Server 2003 Service Pack 1
  • Microsoft Windows Server 2003 Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Media Center Edition 2005
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows XP Service Pack 1
  • Microsoft Windows XP Service Pack 2
  • Microsoft Windows XP Tablet PC Edition 2005
  • Microsoft Windows XP Tablet PC Edition Service Pack 2 (SP2)
  • Microsoft Office 2003 (tutte le edizioni)
  • Microsoft BackOffice Small Business Server 2000 Service Pack 1
Chiavi:á
kbwinserv2003sp2fix kboffice2003presp3fix kbwin2000presp5fix kbwinserv2003presp2fix kbwinxppresp3fix kbexpertisebeginner kbqfe kbsecurity kbsecbulletin kbsecvulnerability kbbug kbfix kbpubtypekc KB924191
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com