MS03-040: Patch cumulativa per Internet Explorer dell'ottobre 2003

Aggiornamenti tecnici

  • 1 ottobre 2003: data pubblicazione originale.
  • 15 ottobre 2003: è stata aggiornata la sezione "Prerequisiti" per indicare che è possibile installare la patch di protezione in Windows NT Workstation 4.0 SP6a e Windows 2000 SP2.

Sintomi

Si tratta di una patch cumulativa per Microsoft Internet Explorer che comprende le funzioni incluse in tutte le patch rilasciate in precedenza per Internet Explorer 5.01, 5.5 e 6. Questa patch di protezione contiene inoltre le correzioni per le seguenti vulnerabilità identificate di recente:
  • Vulnerabilità che si verifica perché Internet Explorer non determina correttamente un tipo di oggetto restituito da un server Web in una finestra popup. Un utente malintenzionato che sappia sfruttare a proprio vantaggio questa vulnerabilità potrebbe pertanto eseguire programmi arbitrari nel computer in uso. La semplice visita al sito Web dell'utente malintenzionato potrebbe rendere il computer vulnerabile senza che l'utente compia alcuna particolare operazione. Un utente malintenzionato potrebbe inoltre creare un messaggio di posta elettronica HTML per tentare di sfruttare la vulnerabilità.
  • Vulnerabilità che si verifica perché Internet Explorer non determina correttamente un tipo di oggetto restituito da un server Web durante l'associazione dati XML. Un utente malintenzionato che sappia sfruttare a proprio vantaggio questa vulnerabilità potrebbe pertanto eseguire programmi arbitrari nel computer in uso. La semplice visita al sito Web dell'utente malintenzionato potrebbe rendere il computer vulnerabile senza che l'utente compia alcuna particolare operazione. Un utente malintenzionato potrebbe inoltre creare un messaggio di posta elettronica HTML per tentare di sfruttare la vulnerabilità.
Microsoft ha modificato il metodo con cui Internet Explorer gestisce i comportamenti DHTML (Dynamic Hypertext Markup Language, HTML dinamico) nell'area Siti con restrizioni in Internet Explorer. Un utente malintenzionato che sappia sfruttare a proprio vantaggio un'altra vulnerabilità potrebbe fare in modo che Internet Explorer esegua il codice dello script nel contesto di protezione dell'area Internet. Per eseguire un attacco potrebbe inoltre essere utilizzata la funzionalità di Microsoft Windows Media Player che consente di aprire indirizzi Web (o URL) nell'area del computer locale da un'altra area. È inoltre possibile che venga creato un messaggio di posta elettronica HTML che sfrutti questo comportamento.

L'utente malintenzionato dovrà creare un messaggio di posta elettronica HTML appositamente formattato e inviarlo all'utente. In alternativa potrebbe disporre di un sito Web dannoso contenente una pagina Web per sfruttare queste vulnerabilità. L'utente malintenzionato dovrebbe quindi convincere l'utente a visitare tale sito.

Come la precedente patch cumulativa per Internet Explorer rilasciata con il Bollettino Microsoft sulla sicurezza
MS03-032 (822925), questa patch cumulativa interromperà il funzionamento del metodo window.showHelp se non è stato applicato l'aggiornamento per la Guida HTML. Se è stato installato il controllo aggiornato per la Guida HTML disponibile nell'articolo 811630 della Microsoft Knowledge Base, sarà comunque possibile continuare a utilizzare la funzionalità della Guida HTML dopo l'applicazione di questa patch di protezione.
Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
811630 Aggiornamento della Guida HTML per limitare la funzionalità quando viene richiamata con il metodo window.showHelp( )

Oltre all'applicazione di questa patch di protezione, Microsoft consiglia di installare anche l'aggiornamento per Windows Media Player descritto nell'articolo 828026 della Microsoft Knowledge Base.
Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
828026 Aggiornamento per il comportamento del comando di script URL di Windows Media Player

L'aggiornamento è disponibile nel sito Web Windows Update e nell'Area download Microsoft per tutte le versioni supportate di Windows Media Player. Sebbene non si tratti di una patch di protezione, l'aggiornamento include una modifica alla funzionalità di Windows Media Player che consente di aprire gli indirizzi Web. Questa modifica contribuisce alla protezione dagli attacchi basati sul comportamento DHTML. In particolare l'aggiornamento limita le funzionalità di Windows Media Player che consentono di aprire indirizzi Web nell'area del computer locale da un'altra area.

Fattori attenuanti

  • Per impostazione predefinita, Internet Explorer in Windows Server 2003 viene eseguito in modalità di protezione avanzata. Questa configurazione predefinita di Internet Explorer contribuisce a bloccare questo tipo di attacchi. Se la funzionalità Protezione avanzata di Internet Explorer venisse disattivata, verrebbero rimosse le misure messe in atto per impedire che venga sfruttata questa vulnerabilità.
  • Nello scenario di attacco basato sul Web, l'utente malintenzionato dovrebbe disporre di un sito Web contenente una pagina Web per utilizzare queste vulnerabilità. L'utente malintenzionato non può comunque indurre un utente a visitare automaticamente un sito Web dannoso se non mediante il vettore del messaggio di posta elettronica HTML. Dovrà invece attirare l'utente in quel sito, di solito inducendolo a fare clic su un collegamento.
  • Ciò consentirebbe all'utente malintenzionato di agire con le stesse credenziali dell'utente. Account configurati con poche credenziali sul computer corrono rischi inferiori rispetto ad account che dispongono delle credenziali per amministratori.
Note
  • Come la precedente patch di protezione cumulativa per Internet Explorer rilasciata con il Bollettino Microsoft sulla sicurezza MS03-032 (822925), questa patch di protezione cumulativa consente anche di impostare il "kill bit" sui seguenti controlli ActiveX:
    DescrizioneNome fileCLSIDRiferimento
    Controllo Guida HTMLHhctrl.ocxADB880A6-D8FF-11CF-9377-00AA003B7A11323255
    Controllo Plugin ActiveXPlugin.ocx06DD38D3-D187-11CF-A80D-00C04FD74AD8813489
    Controllo visualizzatore file DirectXXWeb.ocx{970C7E08-05A7-11D0-89AA-00A0C9054129}810202
    Rapporto bug di Microsoft WindowsBR549.dll{167701E3-FDCF-11D0-A48E-006097C549FF}822925
    Per ulteriori informazioni sul "kill bit", fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
    240797 Interruzione dell'esecuzione di un controllo ActiveX in Internet Explorer

  • Poiché con questa patch di protezione viene impostato il "kill bit" sul controllo della Guida HTML Microsoft, è possibile che si riscontrino collegamenti interrotti nella Guida in linea se non si è installato il controllo aggiornato della Guida HTML disponibile nell'articolo 811630 della Microsoft Knowledge Base.
    Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
    811630 Aggiornamento della Guida HTML per limitare la funzionalità quando viene richiamata con il metodo window.showHelp( )
  • Come la precedente patch cumulativa per Internet Explorer rilasciata con il Bollettino Microsoft sulla sicurezza MS03-032 (822925), questa patch di protezione cumulativa interromperà il funzionamento del metodo window.showHelp se non è stato applicato l'aggiornamento per la Guida HTML. Se è stato installato il controllo aggiornato per la Guida HTML disponibile nell'articolo 811630 della Microsoft Knowledge Base, sarà comunque possibile continuare a utilizzare la funzionalità della Guida HTML dopo l'applicazione di questo aggiornamento.
    Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
    811630 Aggiornamento della Guida HTML per limitare la funzionalità quando viene richiamata con il metodo window.showHelp( )

Risoluzione

Informazioni sui service pack

Per risolvere il problema, procurarsi il service pack più recente per Microsoft Windows XP. Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
322389 Come ottenere il service pack più recente per Windows XP

Informazioni sull'aggiornamento rapido (hotfix)

Informazioni sul download

Per scaricare e installare l'aggiornamento, visitare il seguente sito Web Microsoft Windows Update e installare l'aggiornamento critico 828750: Gli amministratori possono scaricare questo aggiornamento dall'Area download Microsoft o dal catalogo di Microsoft Windows Update per distribuirlo su più computer. Se si desidera installare l'aggiornamento in un secondo momento su uno o più computer, cercare il seguente ID dell'articolo utilizzando la funzionalità di ricerca avanzata del catalogo di Windows Update.

Per ulteriori informazioni su come scaricare gli aggiornamenti dal catalogo di Windows Update, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
323166 Download di aggiornamenti e driver dal catalogo di Windows Update o di Microsoft Update

Per scaricare questo aggiornamento dall'Area download Microsoft, visitare il seguente sito Web Microsoft (informazioni in lingua inglese): Per ulteriori informazioni sul download di file di supporto Microsoft, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
119591 Come ottenere file di supporto Microsoft dai servizi online
Il file è stato controllato e non contiene virus. Microsoft ha utilizzato il software antivirus più recente disponibile al momento della data di pubblicazione del file. Il file è salvato su server protetti che impediscono modifiche non autorizzate.

Informazioni sull'installazione

Per l'installazione di questo aggiornamento, è necessario accedere al sistema come amministratore. Per scaricare e installare l'aggiornamento, visitare il sito Web Windows Update, quindi installare l'aggiornamento critico 828750: Per installare una versione scaricata di questo aggiornamento, eseguire il pacchetto dell'aggiornamento critico 828750 scaricato, utilizzando i parametri del programma di installazione appropriati. Gli amministratori possono distribuire questo aggiornamento utilizzando Microsoft Software Update Services (SUS).
Per ulteriori informazioni relative ai servizi SUS, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
810796 White Paper: Panoramica di Software Update Services

Per verificare l'installazione di questo aggiornamento, utilizzare lo strumento Microsoft Baseline Security Analyzer (MBSA). Per ulteriori informazioni su MBSA, visitare il seguente sito Web Microsoft (informazioni in lingua inglese): È possibile verificare l'installazione di questo aggiornamento anche utilizzando uno dei seguenti metodi:
  • Verificare che Q828750 sia elencato nel campo
    Versioni aggiornamento della finestra di dialogo
    Informazioni su Internet Explorer. Non è possibile utilizzare questo metodo in Windows Server 2003 o in Windows XP 64-Bit Edition versione 2003 poiché il pacchetto non aggiorna il campo Versioni aggiornamento per queste versioni di Windows.
  • Confrontare le versioni dei file aggiornati presenti nel computer con i file elencati nella sezione "Informazioni sui file" di questo articolo.
  • Verificare l'esistenza delle seguenti voci nel Registro di sistema.
    • Windows Server 2003 e Windows XP 64-Bit Edition versione 2003:

      Verificare che il valore DWORD
      Installed con valore dati 1 sia visualizzato nella seguente chiave del Registro di sistema:
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Hotfix\KB828750
    • Tutte le altre versioni di Windows:

      Verificare che il valore DWORD IsInstalled con valore dati 1 sia visualizzato nella seguente chiave del Registro di sistema:
      HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components\{96543d59-497a-4801-a1f3-5936aacaf7b1}

Prerequisiti

Microsoft ha eseguito i test delle versioni di Windows e di Internet Explorer elencate in questo articolo al fine di valutare se sono interessate da queste vulnerabilità e per verificare che l'aggiornamento qui descritto consenta di risolvere tali problemi.

Per installare le versioni di questo aggiornamento per Internet Explorer 6 per Windows Server 2003, è necessario che sia in esecuzione Internet Explorer 6 (versione 6.00.3790.0000) in Windows Server 2003 (32 o 64 bit) o in Windows XP 64-Bit Edition versione 2003.

Per installare le versioni di questo aggiornamento per Internet Explorer 6 Service Pack 1 (SP1), è necessario che sia in esecuzione Internet Explorer 6 SP1 (versione 6.00.2800.1106) in Windows XP 64-Bit Edition versione 2002, Windows XP SP1, Windows XP, Windows 2000 Service Pack 4 (SP4), Windows 2000 Service Pack 3 (SP3), Windows 2000 Service Pack 2 (SP2), Windows NT Workstation e Server 4.0 Service Pack 6a (SP6a), Windows NT Server 4.0 Terminal Server Edition SP6 oppure Windows Millennium Edition.

Per installare la versione di questo aggiornamento per Internet Explorer 6 è necessario che sia in esecuzione Internet Explorer 6 (versione 6.00.2600.0000) in Windows XP.

Per installare la versione di questo aggiornamento per Internet Explorer 5.5, è necessario che sia in esecuzione Internet Explorer 5.5 Service Pack 2 (versione 5.50.4807.2300) in Windows 2000 SP4, Windows 2000 SP3, Windows 2000 SP2, Windows NT Workstation e Server 4.0 SP6a, Windows NT Server 4.0 Terminal Server Edition SP6 oppure Windows Millennium Edition.

Per installare la versione di questo aggiornamento di Internet Explorer 5.01, è necessario che sia in esecuzione Internet Explorer 5.01 Service Pack 4 (versione 5.00.3700.1000) in Windows 2000 SP4 o Internet Explorer 5.01 Service Pack 3 (versione 5.00.3502.1000) in Windows 2000 SP3.

Nota Le versioni di Windows e di Internet Explorer che non sono elencate in questo articolo sono nella fase estesa del ciclo di vita del prodotto o non sono più supportate. Sebbene sia possibile installare alcuni pacchetti di aggiornamento descritti in questo articolo in tali versioni di Windows e di Internet Explorer, Microsoft non ha verificato queste versioni al fine di valutare se sono interessate dalle vulnerabilità indicate o per confermare che l'aggiornamento qui descritto consenta di risolvere tali problemi. Microsoft consiglia di effettuare l'aggiornamento a una versione supportata di Windows e di Internet Explorer, quindi di applicare l'aggiornamento corretto. Se è in esecuzione una versione di Windows o di Internet Explorer attualmente nella fase estesa del ciclo di vita del prodotto e si dispone di un contratto di supporto esteso, rivolgersi al gestore degli account tecnici (TAM, Technical Account Manager) o al consulente per lo sviluppo delle applicazioni (ADC, Applications Development Consultant) per informazioni sull'aggiornamento della configurazione in uso.

Per ulteriori informazioni su come determinare la versione di Internet Explorer in esecuzione, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
164539 Individuazione della versione di Internet Explorer in uso

Per ulteriori informazioni sui cicli di supporto per i componenti di Windows, visitare il seguente sito Web Microsoft (informazioni in lingua inglese): Per ulteriori informazioni su come ottenere Internet Explorer 6 SP1, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
328548 Come ottenere il service pack più recente per Internet Explorer 6

Per ulteriori informazioni su come ottenere il service pack più recente per Internet Explorer 5.5, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
276369 Come ottenere l'ultimo service pack per Internet Explorer 5.5

Per ulteriori informazioni su come ottenere Internet Explorer 5.01 SP3, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
267954 Come ottenere il service pack più recente per Internet Explorer 5.01

Richiesta di riavvio

Per completare l'installazione delle versioni di questo aggiornamento per Internet Explorer 6 è necessario riavviare il computer. Per installare le versioni di questo aggiornamento per Internet Explorer 5.01 e Internet Explorer 5.5, è necessario riavviare il computer e accedere come amministratore per completare l'installazione in computer che eseguono Windows NT 4.0 e Windows 2000.

Stato degli aggiornamenti precedenti

L'aggiornamento sostituisce la patch MS03-032: Patch cumulativa per Internet Explorer dell'agosto 2003 (822925).

Parametri del programma di installazione

Le versioni di questa patch di protezione per Windows Server 2003, incluso Windows XP 64-Bit Edition versione 2003, supportano i seguenti parametri del programma di installazione:
  • /?: consente di visualizzare l'elenco dei parametri di installazione.
  • /u: consente di utilizzare la modalità automatica.
  • /f: consente di forzare la chiusura degli altri programmi all'arresto del computer.
  • /n: consente di non eseguire il backup dei file per la disinstallazione.
  • /o: consente di sovrascrivere i file OEM senza chiedere previa conferma all'utente.
  • /z: consente di non riavviare il computer al termine dell'installazione.
  • /q: consente di utilizzare la modalità non interattiva (senza intervento dell'utente).
  • /l: consente di visualizzare l'elenco degli aggiornamenti rapidi (hotfix) installati.
  • /x: consente di estrarre i file senza eseguire il programma di installazione.
Per installare, ad esempio, la patch di protezione per Windows Server 2003 32-Bit senza alcun intervento da parte dell'utente, utilizzare il seguente comando:
windowsserver2003-kb828750-x86-ita.exe /u /q
Per installare questa patch di protezione senza imporre il riavvio del computer al termine dell'installazione, utilizzare la seguente riga di comando:
windowsserver2003-kb828750-x86-ita.exe /z
Nota È possibile combinare queste opzioni in un unico comando.


Per informazioni sulla distribuzione di questa patch di protezione mediante Software Update Services, visitare il seguente sito Web Microsoft: Gli altri pacchetti di aggiornamento per questa patch di protezione supportano i seguenti parametri:
  • /q: consente di utilizzare la modalità non interattiva, in cui non è visualizzato alcun messaggio durante l'estrazione dei file.
  • /q:u: consente di utilizzare la modalità non interattiva utente, in cui è possibile visualizzare alcune finestre di dialogo.
  • /q:a: consente di utilizzare la modalità non interattiva amministratore, in cui non viene visualizzata alcuna finestra di dialogo all'utente.
  • /t:
    percorso
    : consente di specificare il percorso della cartella temporanea utilizzata dal programma di installazione o della cartella di destinazione per l'estrazione dei file, quando si utilizza il parametro /c.
  • /c: consente di estrarre i file senza installarli. Se il parametro /t:
    percorso
    non viene specificato, verrà richiesto di indicare una cartella di destinazione.
  • /c:
    percorso
    : consente di specificare il percorso e il nome del file inf o exe di installazione.
  • /r:n: consente di non riavviare mai il computer dopo l'installazione.
  • /r:i: consente di richiedere all'utente di riavviare il computer se è necessario un riavvio, salvo quando viene utilizzato con il parametro /q:a.
  • /r:a: consente di imporre il riavvio del computer dopo l'installazione.
  • /r:s: consente di riavviare il computer dopo l'installazione senza previa richiesta.
  • /n:v: consente di evitare la verifica della versione. Utilizzare questo parametro con cautela durante l'installazione dell'aggiornamento di qualsiasi versione di Internet Explorer.
Per installare ad esempio l'aggiornamento senza alcun intervento da parte dell'utente, impedendo il riavvio del computer una volta terminata l'installazione, utilizzare il seguente comando:
q828750.exe /q:a /r:n

Informazioni sui file

La versione in lingua inglese di questa patch di protezione ha gli attributi di file elencati nella tabella seguente (o successivi). Date e ore elencate di seguito sono espresse in UTC. Quando si visualizzano le informazioni sui file, l'ora viene convertita in ora locale. Per calcolare la differenza tra l'ora UTC e quella locale, utilizzare la scheda Fuso orario dello strumento Data e ora del Pannello di controllo.


I file riportati di seguito vengono installati nella cartella %Windir%\System in Windows 98 Seconda Edizione e Windows Millennium Edition. Vengono installati nella cartella %Windir%\System32 in Windows NT 4.0, Windows 2000, Windows XP e Windows Server 2003.
Internet Explorer 6 (32 bit) per Windows Server 2003

Data Ora Versione Dimensione Nome file
-------------------------------------------------------
RTMQFE
22/09/2003 19.11 6.0.3790.89 2.917.888 Mshtml.dll
22/09/2003 19.11 6.0.3790.85 1.394.176 Shdocvw.dll
22/09/2003 19.11 6.0.3790.84 509.440 Urlmon.dll
RTMGDR
22/09/2003 19.14 6.0.3790.88 2.917.888 Mshtml.dll
22/09/2003 19.14 6.0.3790.85 1.394.176 Shdocvw.dll
22/09/2003 19.14 6.0.3790.84 509.440 Urlmon.dll
Internet Explorer 6 (64 bit) per Windows Server 2003 versioni a 64 bit e Windows XP 64-Bit Edition versione 2003

Data Ora Versione Dimensione Nome file Piattaforma
---------------------------------------------------------------------
RTMQFE
22/09/2003 19.06 6.0.3790.89 8.210.944 Mshtml.dll IA-64
22/09/2003 19.06 6.0.3790.89 3.359.232 Shdocvw.dll IA-64
22/09/2003 19.06 6.0.3790.87 1.271.808 Urlmon.dll IA-64
22/09/2003 19.11 6.0.3790.89 2.917.888 Wmshtml.dll x86
22/09/2003 19:11 6.0.3790.85 1.394.176 Wshdocvw.dll x86
22/09/2003 19.11 6.0.3790.84 509.440 Wurlmon.dll x86
RTMGDR
22/09/2003 19.10 6.0.3790.88 8.210.944 Mshtml.dll IA-64
22/09/2003 19.10 6.0.3790.85 3.359.744 Shdocvw.dll IA-64
22/09/2003 19.10 6.0.3790.87 1.271.808 Urlmon.dll IA-64
22/09/2003 19.14 6.0.3790.88 2.917.888 Wmshtml.dll x86
22/09/2003 19.14 6.0.3790.85 1.394.176 Wshdocvw.dll x86
22/09/2003 19.14 6.0.3790.84 509.440 Wurlmon.dll x86
Internet Explorer 6 SP1 (32 bit) per Windows XP SP1, Windows XP, Windows 2000 SP3, Windows 2000 SP4, Windows NT 4.0 SP6a, Windows Millennium Edition e Windows 98 Seconda Edizione

Data Ora Versione Dimensione Nome file
---------------------------------------------------------
18/09/2003 22.28 6.0.2800.1264 2.793.984 Mshtml.dll
23/05/2003 17.15 6.0.2800.1203 1.338.880 Shdocvw.dll
13/07/2003 20.05 6.0.2800.1226 395.264 Shlwapi.dll
10/09/2003 11.48 6.0.2800.1259 444.928 Urlmon.dll
Internet Explorer 6 SP1 (64 bit) per Windows XP 64-Bit Edition versione 2002

Data Ora Versione Dimensione Nome file Piattaforma
----------------------------------------------------------------------
18/09/2003 21.16 6.0.2800.1264 9.079.808 Mshtml.dll IA-64
23/05/2003 16.39 6.0.2800.1203 3.648.000 Shdocvw.dll IA-64
13/07/2003 19.27 6.0.2800.1226 1.095.168 Shlwapi.dll IA-64
10/09/2003 11.51 6.0.2800.1259 1.412.608 Urlmon.dll IA-64
Internet Explorer 6 (32 bit) per Windows XP

Data Ora Versione Dimensione Nome file
---------------------------------------------------------
18/09/2003 21.51 6.0.2733.1800 2.763.264 Mshtml.dll
11/07/2003 14.59 6.0.2722.900 34.304 Pngfilt.dll
05/03/2002 00.09 6.0.2715.400 548.864 Shdoclc.dll
22/05/2003 22.49 6.0.2729.2200 1.336.320 Shdocvw.dll
11/07/2003 14.59 6.0.2730.1200 391.168 Shlwapi.dll
11/07/2003 14.59 6.0.2715.400 109.568 Url.dll
10/09/2003 11.38 6.0.2733.1000 442.880 Urlmon.dll
06/06/2002 17.38 6.0.2718.400 583.168 Wininet.dll
Internet Explorer 5.5 SP2 per Windows 2000 SP4, Windows 2000 SP3, Windows NT 4.0 SP6a, Windows Millennium Edition e Windows 98 Seconda Edizione

Data Ora Versione Dimensione Nome file
---------------------------------------------------------
18/09/2003 21.26 5.50.4933.1800 2.759.952 Mshtml.dll
17/10/2002 00.01 5.50.4922.900 48.912 Pngfilt.dll
22/05/2003 23.09 5.50.4929.2200 1.149.200 Shdocvw.dll
12/06/2003 20.24 5.50.4930.1200 300.816 Shlwapi.dll
05/03/2002 01.53 5.50.4915.500 84.240 Url.dll
10/09/2003 11.31 5.50.4933.1000 408.848 Urlmon.dll
06/06/2002 21.27 5.50.4918.600 481.552 Wininet.dll
Internet Explorer 5.01 per Windows 2000 SP4 e Windows 2000 SP3

Data Ora Versione Dimensione Nome file
---------------------------------------------------------
18/09/2003 20.36 5.0.3809.1800 2.282.768 Mshtml.dll
12/06/2003 23.15 5.0.3806.1200 48.912 Pngfilt.dll
12/06/2003 23.08 5.0.3806.1200 1.099.536 Shdocvw.dll
12/06/2003 23.07 5.0.3806.1200 279.824 Shlwapi.dll
05/03/2002 01.53 5.50.4915.500 84.240 Url.dll
10/09/2003 11.22 5.0.3809.1000 409.360 Urlmon.dll
12/06/2003 23.16 5.0.3806.1200 445.200 Wininet.dll
Note
  • Quando si installa questa patch di protezione in un computer basato su Windows Server 2003 o in un computer basato su Windows XP 64-Bit Edition versione 2003, il programma di installazione controlla che nessuno dei file aggiornati nel computer sia stato aggiornato in precedenza da un aggiornamento rapido (hotfix) Microsoft. Se in precedenza è stato installato un aggiornamento rapido (hotfix) per uno di questi file, il programma di installazione copia i file RTMQFE nel computer. In caso contrario, nel computer vengono copiati i file RTMGDR.
    Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
    824994 Descrizione del contenuto di un pacchetto di aggiornamento di Windows Server 2003
  • A causa delle dipendenze fra i file e dei requisiti relativi all'installazione o alla rimozione, è possibile che questi pacchetti di aggiornamento contengano ulteriori file.

Informazioni sulla rimozione

Per rimuovere questo aggiornamento, utilizzare lo strumento Installazione applicazioni nel Pannello di controllo. Fare clic su
Internet Explorer Q828750, quindi scegliere
Cambia/Rimuovi (oppure Aggiungi/Rimuovi).


In Windows Server 2003 e Windows XP 64-Bit Edition versione 2003 gli amministratori di sistema possono utilizzare l'utilità Spuninst.exe per rimuovere questa patch di protezione. L'utilità Spuninst.exe si trova nella cartella %Windir%\$NTUninstallKB828750$\Spuninst e supporta i seguenti parametri di installazione:
  • /?: consente di visualizzare l'elenco dei parametri di installazione.
  • /u: consente di utilizzare la modalità automatica.
  • /f: consente di forzare la chiusura degli altri programmi all'arresto del computer.
  • /z: consente di non riavviare il computer al termine dell'installazione.
  • /q: consente di utilizzare la modalità non interattiva (senza intervento dell'utente).
Per tutte le altre versioni di Windows, gli amministratori di sistema possono utilizzare l'utilità Ieuninst.exe per rimuovere l'aggiornamento. Questa patch di protezione consente di installare l'utilità Ieuninst.exe nella cartella %Windir% e supporta i seguenti parametri della riga di comando:
  • /?: consente di visualizzare l'elenco dei parametri supportati.
  • /z: consente di non riavviare il computer al termine dell'installazione.
  • /q: consente di utilizzare la modalità non interattiva (senza intervento dell'utente).
Per rimuovere, ad esempio, questo aggiornamento in modalità non interattiva, utilizzare il seguente comando:
c:\windows\ieuninst /q c:\windows\inf\q828750.inf
Nota Per questo comando si presuppone che Windows sia installato nella cartella C:\Windows.

Workaround

Queste soluzioni sono misure temporanee poiché consentono solo di bloccare i percorsi di attacco, senza però correggere la vulnerabilità sottostante. Microsoft incoraggia l'installazione della patch di protezione appena possibile.

Nelle soluzioni indicate di seguito vengono fornite informazioni utili per proteggere il computer da attacchi esterni.
  • Richiesta di conferma prima di eseguire i controlli ActiveX nelle aree Internet e Intranet

    È possibile contribuire alla protezione da questa vulnerabilità modificando le impostazioni per l'area di protezione di Internet affinché venga chiesta una conferma prima dell'esecuzione di componenti ActiveX. Per effettuare questa operazione, attenersi alla seguente procedura:
    1. In Internet Explorer scegliere Opzioni Internet dal menu Strumenti.
    2. Scegliere la scheda
      Protezione.
    3. Fare clic sull'area Internet, quindi su Livello personalizzato.
    4. In corrispondenza di Esegui controlli e plug-in ActiveX selezionare Chiedi conferma.
    5. Scegliere OK.
    6. Fare clic sull'area Intranet locale, quindi su Livello personalizzato.
    7. In corrispondenza di Esegui controlli e plug-in ActiveX selezionare Chiedi conferma.
    8. Scegliere OK, quindi nuovamente
      OK per tornare a Internet Explorer.
  • Limitazione dell'accesso solo ai siti Web attendibili

    Una volta configurato Internet Explorer in modo che venga chiesta conferma prima di eseguire i controlli ActiveX nelle aree Internet e Intranet locale, è possibile aggiungere i siti ritenuti attendibili in un apposito elenco. In questo modo sarà possibile continuare a utilizzare normalmente i siti Web senza rischiare di incorrere nella vulnerabilità descritta in questo articolo correlati all'accesso a siti non affidabili. Per effettuare questa operazione, attenersi alla seguente procedura:
    1. In Internet Explorer scegliere Opzioni Internet dal menu Strumenti.
    2. Scegliere la scheda
      Protezione.
    3. Fare clic sull'area Siti attendibili, quindi su Siti.
    4. Per aggiungere siti che non richiedono un canale crittografato, deselezionare la casella di controllo Richiedi verifica server (https:) per tutti i siti dell'area.
    5. Digitare l'indirizzo Web (o URL) di un sito considerato attendibile nella casella Aggiungi il sito Web all'area, quindi fare clic su Aggiungi. Ripetere l'operazione per tutti i siti da aggiungere nell'area Siti attendibili.
    6. Scegliere OK, quindi nuovamente
      OK per accettare le modifiche e tornare a Internet Explorer. È possibile aggiungere tutti i siti considerati non pericolosi per il computer. Ad esempio il sito "http://update.microsoft.com". Si tratta del sito Microsoft in cui è disponibile la patch di protezione descritta in questo articolo. Questo sito impiega un controllo ActiveX per installare la patch di protezione.
  • In Microsoft Outlook 2002 o Microsoft Outlook Express 6 SP1 o versioni successive, leggere i messaggi di posta elettronica come file di solo testo per proteggere il computer dal vettore di attacco costituito dai messaggi HTML

    Se si utilizza Outlook 2002 o Outlook Express 6 SP1 o versioni successive, è possibile attivare una funzionalità che consente di visualizzare tutti i messaggi di posta elettronica che non dispongono di crittografia o firma digitale come testo normale. Questa impostazione non ha effetto sui messaggi di posta elettronica con crittografia o firma digitale, che possono essere visualizzati nei formati originali.
    Per ulteriori informazioni sull'utilizzo di questa impostazione in Outlook 2002, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
    307594 OL2002: Gli utenti visualizzano la posta elettronica non protetta come testo normale

    Per ulteriori informazioni sull'utilizzo di questa impostazione in Outlook Express 6, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
    291387 Utilizzo delle funzionalità di protezione antivirus in Outlook Express 6

Status

Microsoft ha confermato che questo problema si verifica con i prodotti elencati nella sezione "Si applica a..." di questo articolo.

Internet Explorer 6

Questo problema è stato corretto per la prima volta in Microsoft Windows XP Service Pack 2.

Informazioni

Per ulteriori informazioni su questa patch di protezione, vedere il seguente Bollettino Microsoft sulla sicurezza:

Problemi noti

  • Per rimuovere correttamente (disinstallare) più di un aggiornamento cumulativo per Internet Explorer in un computer in cui è in esecuzione Windows Server 2003 o Windows XP 64-Bit Edition versione 2003, è necessario rimuovere gli aggiornamenti nello stesso ordine in cui sono stati installati. Se, ad esempio, si installa l'aggiornamento 818529, quindi 828750, sarà necessario rimuovere l'aggiornamento 828750 prima di 818529.
  • In un computer che esegue Windows XP, Windows 2000, Windows NT 4.0, Windows Millennium Edition o Windows 98 Seconda Edizione, dopo la rimozione dell'aggiornamento critico 818750, non è possibile rimuovere gli aggiornamenti cumulativi precedenti per Internet Explorer, ad esempio 818529. Si tratta di un comportamento legato alla progettazione del prodotto. La rimozione è supportata solo per l'ultimo aggiornamento cumulativo installato.
  • Per ulteriori informazioni sui problemi noti che possono verificarsi quando si installa questo aggiornamento, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
    325192 Problemi successivi all'installazione degli aggiornamenti di Internet Explorer o Windows

Proprietà

ID articolo: 828750 - Ultima revisione: 17 mag 2011 - Revisione: 1

Feedback