MS01-055: È possibile esporre o alterare dati di cookie di Internet Explorer tramite l'inserimento di script

Questo articolo è stato precedentemente pubblicato con il codice di riferimento I312461
Questo articolo è stato archiviato. L’articolo, quindi, viene offerto “così come è” e non verrà più aggiornato.
Sintomi
In Internet Explorer versioni 5.5 e 6 è stato rilevato un potenziale problema di protezione che potrebbe consentire a un utente non autorizzato di creare un URL attraverso il quale un sito Web potrebbe accedere senza autorizzazione ai cookie archiviati nel computer e quindi (potenzialmente) modificare i valori in essi contenuti. Poiché alcuni siti Web utilizzano i cookie archiviati nel computer per memorizzare informazioni riservate, è inoltre possibile che vengano esposte informazioni personali.

Affinché si verifichi questa violazione della protezione è tuttavia necessario che l'utente faccia clic su un URL contenuto in una pagina ospitata nel sito Web dell'utente non autorizzato oppure su un URL incorporato in messaggio di posta elettronica HTML inviato dall'utente non autorizzato. Non può verificarsi automaticamente senza l'interazione dell'utente.

Fattori attenuanti

  • L'utente deve essere innanzitutto indotto a visitare un sito Web pericoloso o ad aprire un messaggio di posta elettronica in formato HTML contenente l'URL dannoso. L'utente deve quindi decidere di fare clic sull'URL dannoso.
  • Gli utenti che hanno eseguito l'aggiornamento della protezione di Microsoft Outlook non sono soggetti agli attacchi condotti tramite posta elettronica.
  • Analogamente, non sono soggetti agli attacchi condotti tramite posta elettronica gli utenti che in Outlook Express hanno impostato l'utilizzo dell'area Siti con restrizioni. Si noti che questa è l'impostazione predefinita di Microsoft Outlook Express 6.
Risoluzione
IMPORTANTE: per il corretto funzionamento di questa correzione è necessario che i domini che utilizzano cookie MUST contengano solo caratteri alfanumerici (o '-' o '.') nel nome di dominio. In caso contrario, i cookie potrebbero funzionare in modo errato.

Internet Explorer 6

Microsoft ha messo attualmente a disposizione una correzione destinata esclusivamente alla correzione del problema descritto in questo articolo, che dovrà quindi essere utilizzata solo per i computer suscettibili di un'aggressione da parte di utenti malintenzionati. Per determinare il livello di rischio cui è soggetto il computer, valutarne attentamente il grado di accessibilità fisica, la connessione di rete e a Internet e altri fattori. Fare riferimento a Microsoft Security Bulletin per informazioni su come eseguire questo accertamento (informazioni in lingua inglese). È possibile che la correzione d'errore verrà sottoposta ad altre verifiche in momenti successivi, allo scopo di migliorare ulteriormente la qualità del prodotto. Se il computer è a rischio, si consiglia di applicare la correzione d'errore immediatamente. In caso contrario si consiglia di attendere la versione successiva del Service Pack di Internet Explorer 6 contenente tale correzione.

Per risolvere subito il problema, scaricare la correzione come indicato di seguito oppure contattare il Servizio Supporto Tecnico Microsoft. Per un elenco completo dei servizi di supporto Microsoft e informazioni sui costi di assistenza, visitare il seguente sito Web:

NOTA: in casi particolari, le spese normalmente addebitate per le chiamate al Servizio Supporto Clienti potrebbero essere annullate qualora un addetto del Supporto tecnico Microsoft dovesse determinare che uno specifico aggiornamento risolverà il problema. I normali costi dell'assistenza verranno applicati per eventuali ulteriori domande e problemi che non dovessero rientrare nello specifico aggiornamento in questione.

La patch di aggiornamento della protezione datata 13 dicembre 2001 è stata sostituita dalla seguente patch (gli articoli con prefisso "Q" contengono informazioni in inglese):
316059 MS02-005: February 11, 2002, Cumulative Patch for Internet Explorer
La patch di aggiornamento della protezione datata 13 dicembre 2001 è disponibile sul seguente sito Web Microsoft (informazioni in lingua inglese):

Internet Explorer 5.5

Microsoft ha messo attualmente a disposizione una correzione destinata esclusivamente alla correzione del problema descritto in questo articolo, che dovrà quindi essere utilizzata solo per i computer suscettibili di un'aggressione da parte di utenti malintenzionati. Per determinare il livello di rischio cui è soggetto il computer, valutarne attentamente il grado di accessibilità fisica, la connessione di rete e a Internet e altri fattori. Fare riferimento a Microsoft Security Bulletin per informazioni su come eseguire questo accertamento (informazioni in lingua inglese). È possibile che la correzione d'errore verrà sottoposta ad altre verifiche in momenti successivi, allo scopo di migliorare ulteriormente la qualità del prodotto. Se il computer è a rischio, si consiglia di applicare la correzione d'errore immediatamente. In caso contrario si consiglia di attendere la versione successiva del Service Pack di Internet Explorer 5.5 contenente tale correzione.

Per risolvere subito il problema, scaricare la correzione come indicato di seguito oppure contattare il Servizio Supporto Tecnico Microsoft. Per un elenco completo dei servizi di supporto Microsoft e informazioni sui costi di assistenza, visitare il seguente sito Web:

NOTA: in casi particolari, le spese normalmente addebitate per le chiamate al Servizio Supporto Clienti potrebbero essere annullate qualora un addetto del Supporto tecnico Microsoft dovesse determinare che uno specifico aggiornamento risolverà il problema. I normali costi dell'assistenza verranno applicati per eventuali ulteriori domande e problemi che non dovessero rientrare nello specifico aggiornamento in questione.

La patch di aggiornamento della protezione datata 13 dicembre 2001 è stata sostituita dalla seguente patch (gli articoli con prefisso "Q" contengono informazioni in inglese):
316059 MS02-005: February 11, 2002, Cumulative Patch for Internet Explorer
La patch di aggiornamento della protezione datata 13 dicembre 2001 è disponibile sul seguente sito Web Microsoft (informazioni in lingua inglese):
NOTA: per impedire il riavvio del computer durante l'installazione della patch, eseguire Q312461.exe con l'opzione "/r:n." (senza virgolette).
Workaround
Per risolvere il problema, è possibile disattivare l'esecuzione dello script attivo e le aree Intranet in Internet Explorer. Per impedire che la violazione si verifichi quando si utilizza la funzionalità di rendering HTML di Outlook Express, è necessario impostare in Outlook Express l'utilizzo dell'area Siti con restrizioni.

Disattivazione dell'esecuzione dello script attivo in Internet Explorer

  1. Avviare Internet Explorer.
  2. ScegliereOpzioni Internetdal menuStrumenti.
  3. Nella schedaProtezionefare clic suLivello personalizzato.
  4. Nella casellaImpostazioniselezionareDisattivainEsecuzione script attivoeEsecuzione script delle applet Java.
  5. ScegliereOK, quindi nuovamenteOK.
NOTA: se si disattiva l'esecuzione dello script attivo in Internet Explorer e si utilizza Microsoft Outlook Web Access (OWA) come client di posta elettronica, è possibile che alcune funzionalità OWA non funzionino correttamente. Per mantenere la piena funzionalità di OWA, non disattivare l'esecuzione dello script attivo in Internet Explorer.

Attivare siti con restrizioni in Outlook Express

  1. Avviare Outlook Express.
  2. ScegliereOpzionidal menuStrumenti.
  3. Nella schedaProtezionefare clic suArea Siti con restrizioni (massima protezione), quindi scegliereOK.
NOTA: per abilitare siti disattivati, o la cui funzionalità è stata modificata con la disattivazione dello script attivo, è possibile aggiungerli all'area Siti attendibili. Tutti i siti aggiunti all'area Siti attendibili ne assumono le relative impostazioni di protezione. Per effettuare questa operazione:
  1. Avviare Internet Explorer.
  2. ScegliereOpzioni Internetdal menuStrumenti, quindi scegliere la schedaProtezione.
  3. SelezionareSiti attendibili, quindi scegliereSiti.
  4. Digitare il nome della pagina Web da elencare come sito attendibile, quindi scegliereAggiungi. Ripetere la procedura per ogni pagina Web da aggiungere all'elenco.
  5. Dopo aver aggiunto all'elenco tutte le pagine Web desiderate, scegliereOK, quindi nuovamenteOK.
Status

Internet Explorer 6

Microsoft ha confermato che questo problema potrebbe comportare rischi di protezione in Microsoft Internet Explorer 6.

Internet Explorer 5.5

Microsoft ha confermato che questo problema potrebbe comportare rischi di protezione in Microsoft Internet Explorer 5.5.
Informazioni
Per ulteriori informazioni su questo problema di protezione, visitare il seguente sito Web Microsoft (informazioni in lingua inglese):
security_patch
Proprietà

ID articolo: 312461 - Ultima revisione: 01/12/2015 19:17:43 - Revisione: 4.0

Microsoft Internet Explorer 5.5 Service Pack 2, Microsoft Internet Explorer 5.5 Service Pack 2, Microsoft Internet Explorer 5.5 Service Pack 2, Microsoft Internet Explorer 5.5 Service Pack 2, Microsoft Internet Explorer 5.5 Service Pack 2, Microsoft Internet Explorer 5.5, Microsoft Outlook Express 6.0, Microsoft Outlook Express 6.0, Microsoft Outlook Express 6.0, Microsoft Outlook Express 6.0, Microsoft Outlook Express 6.0, Microsoft Internet Explorer 6.0

  • kbnosurvey kbarchive kbbug kbfix kbsecvulnerability kbinterop kbie600presp1fix kbenv kbnetwork kbsecurity kbie550presp3fix kbsechack KB312461
Feedback