Bollettino sulla sicurezza
Microsoft Security Bulletin MS00-059 - Critico
Patch disponibile per la vulnerabilità 'Java VM Applet'
Aggiornato: 01 luglio 2009
Versione: 2.0
Pubblicato originariamente: 21 agosto 2000
Riepilogo
Microsoft ha rilasciato una patch che elimina una vulnerabilità di sicurezza nella macchina virtuale Microsoft® (MACCHINA virtuale Microsoft). Se un operatore di siti Web malintenzionati è riuscito a inseguire un utente a visitare il suo sito, la vulnerabilità potrebbe consentire di mascherare come utente, visitare altri siti usando la sua identità e inoltrare le informazioni al suo sito.
Software interessato:
Le versioni della macchina virtuale Microsoft sono identificate dai numeri di build, che possono essere determinati usando lo strumento JVIEW, come descritto nelle domande frequenti. Le build seguenti della macchina virtuale Microsoft sono interessate:
- Tutte le build della serie 3000 numerate 3315 o precedenti.
Informazioni generali
Dettagli tecnici
Descrizione tecnica:
La macchina virtuale Microsoft è una macchina virtuale per l'ambiente operativo Win32®. Viene eseguito su Microsoft Windows® 95, 98 o Windows NT® o Windows 2000. Viene fornito come parte di ogni sistema operativo e anche come parte di Microsoft Internet Explorer. La versione della macchina virtuale Microsoft fornita con Microsoft Internet Explorer 4.x e Internet Explorer 5.x contiene una vulnerabilità di sicurezza che potrebbe consentire a un applet Java di funzionare al di fuori dei limiti impostati dalla sandbox.
Per impostazione predefinita, un applet deve essere in grado di comunicare solo con il sito Web che l'ha ospitata. Tuttavia, questa vulnerabilità consentirebbe a un applet di ignorare questa restrizione. Se un utente ha visitato un sito Web gestito da un utente malintenzionato, il sito potrebbe avviare un applet in grado di stabilire una connessione con un altro sito Web e inoltrare eventuali informazioni dalla sessione Web al sito dell'utente malintenzionato.
La sessione verrà stabilita in forma di utente in visita, anziché quella dell'utente malintenzionato. Di conseguenza, la vulnerabilità potrebbe essere usata per accedere a un sito Intranet che si trova dietro un firewall, accedere alle informazioni nell'ambito dell'utente e inoltrarlo all'utente malintenzionato. L'unico prerequisito è che l'utente malintenzionato debba conoscere o indovinare il nome del sito Intranet. Anche se l'applet sarebbe in grado di usare le credenziali dell'utente per l'autenticazione al sito, questa vulnerabilità non fornirà un modo per comprometterle.
Domande frequenti
Che cos'è questo bollettino?
Microsoft Security Bulletin MS00-059 annuncia la disponibilità di una patch che elimina una vulnerabilità nella macchina virtuale Microsoft® (Microsoft VM). La vulnerabilità potrebbe consentire a un utente malintenzionato che opera un sito Web di visitare altri siti Web in forma di utente che ha visitato il suo sito.
Qual è l'ambito della vulnerabilità?
Questa vulnerabilità consentirebbe a un operatore di siti Web malintenzionati di esplorare altri siti Web che pongono come un altro utente, uno che aveva invogliato a visitare il suo sito.
La vulnerabilità consentirebbe all'utente malintenzionato di usare l'identità dell'altro utente, ma non gli consentirebbe di compromettere le password o altre informazioni. L'utente malintenzionato avrebbe bisogno di conoscere o indovinare il nome esatto di ogni sito Web che desidera visitare; questo potrebbe essere difficile per i siti nella intranet dell'utente.
Ho sentito parlare di qualcosa di chiamato "Brown Orifice". Questa vulnerabilità è correlata?
No. "Brown Orifice" è un programma che sfrutta più vulnerabilità nelle implementazioni Java di diversi fornitori. La vulnerabilità in questione qui è diversa da quelle sfruttate da "Brown Orifice", anche se è simile nell'ambito ed effetto a uno di essi.
Tutti i programmi Java sono interessati da questa vulnerabilità?
No. Esistono due classi generali di programmi Java: applicazioni Java, ospitate nello stesso computer in cui vengono eseguite, e applet Java, ospitati in siti Web ed eseguiti nei computer dell'utente quando visitano il sito. Solo le applet Java sono interessate da questa vulnerabilità.
Poiché le applet Java non sono attendibili, vengono trattate in modo diverso rispetto alle applicazioni Java. Vengono eseguiti all'interno di una macchina virtuale che usa una "sandbox" per limitare le operazioni che possono eseguire. In generale, la sandbox è progettata per impedire a un applet Java di eseguire azioni inappropriate nel computer dell'utente. La vulnerabilità in questione in questo caso comporta un difetto nella sandbox.
Qual è la causa di questa vulnerabilità?
Per impostazione predefinita, un applet Java non firmato deve essere in grado di comunicare solo con il sito Web che l'ha ospitata. Tuttavia, un difetto nella macchina virtuale Microsoft potrebbe consentire a un applet di ignorare questa restrizione e comunicare con un altro sito Web.
Qual è il significato dell'applet firmato o meno? Le applet firmate da un utente attendibile possono comunicare con altri siti Web, perché sono codice attendibile. Tuttavia, le applet non firmate non sono attendibili e di conseguenza non dovrebbero essere in grado di eseguire tale azione. Il problema complessivo è che la vulnerabilità consente a un'applet non attendibile, ovvero un'applet non firmato, di eseguire azioni che devono essere eseguite solo da un applet attendibile.
Qual è il problema con consentire a un applet senza segno di comunicare con altri siti Web?
Se un operatore di siti Web malintenzionati potrebbe convincere un utente a visitare il suo sito Web, potrebbe creare un applet sul computer dell'utente in visita che ha sfruttato la vulnerabilità. In questo modo l'utente malintenzionato può visitare i siti Web che costituiscono l'utente in visita.
E allora? Non è possibile che l'utente malintenzionato visiti i siti Web stesso?
In alcuni casi, la vulnerabilità non conferisce alcun vantaggio all'utente malintenzionato. Ad esempio, se la sua applet ha visitato www.microsoft.com, non sarebbe di alcun valore per lui, perché il sito Web Microsoft è già aperto a chiunque voglia visitare.
Si supponga tuttavia che l'utente in visita si trovasse in una intranet aziendale. L'applet può visitare i siti nella intranet che normalmente superano la portata dell'utente malintenzionato, configurare una sessione Web e inoltrare il contenuto al sito dell'utente malintenzionato.
Perché l'applet potrebbe essere in grado di navigare nei siti Web come utente? Come imparerebbe la password?
L'applet non sarebbe in grado di apprendere la password dell'utente, ma in molti casi, in particolare nei casi Intranet, non sarebbe necessario. Molte intranet sono configurate per consentire alle credenziali di accesso dell'utente di essere sicure e passate automaticamente dal sistema operativo quando necessario da un sito Web o da un altro servizio. In questo caso, l'applet non deve essere in grado di accedere effettivamente alle credenziali per usarle. Stabilisce semplicemente una connessione con un sito Intranet e tutto il resto avviene automaticamente.
È importante notare che, anche se la vulnerabilità consente a un applet di usare le credenziali dell'utente, non consente di comprometterle. Ovvero, l'applet non può né leggere né modificare la password dell'utente. È anche importante notare che se un sito Intranet ha mai visualizzato una finestra di dialogo che richiede una password, l'applet non sarebbe in grado di rispondere. Potrebbe usare solo l'autenticazione automatica.
Che ne dici dei siti Internet? C'è qualche rischio?
Sì. Se l'utente ha un account all'indirizzo, ad esempio, un sito Web bancario e aveva memorizzato nella cache l'id utente e la password, l'applet potrebbe visitare tale sito e accedere alle informazioni personali.
La rete Intranet aziendale è protetta da un firewall. Ciò impedisce all'applet di inoltrare le informazioni al sito Web dell'utente malintenzionato?
No. Tenere presente che, per essere interessati dalla vulnerabilità, un utente deve prima visitare il sito Web di un utente malintenzionato. In tal caso, la sessione Web avrebbe avuto origine dall'interno del firewall e tutti i dati successivamente inoltrati sarebbero stati inseriti in tale sessione. In questo modo, l'applet passerà i dati attraverso il firewall.
In che modo l'utente malintenzionato sa quali siti Web visitare?
Non lo avrebbe fatto. Avrebbe bisogno di sapere o indovinare il nome di ogni sito Web Intranet o Internet che voleva che il suo applet visitasse.
L'applet può fare qualcosa di diverso da visitare i siti Web?
Sì. Oltre a poter stabilire sessioni Web (HTTP o HTTPS), l'applet potrebbe anche stabilire sessioni Telnet o FTP. Il rischio di questi protocolli, tuttavia, è molto inferiore rispetto alle sessioni Web.
È importante notare che l'applet non è riuscito a stabilire sessioni usando il file: protocollo. Ciò significa che non esiste alcuna funzionalità tramite questa vulnerabilità per visualizzare, aggiungere, modificare o eliminare file, nel computer locale o in quelli remoti.
Questa vulnerabilità potrebbe essere sfruttata accidentalmente?
No. Il set di passaggi necessari per ignorare le restrizioni della sandbox in questo caso è estremamente improbabile che si verifichi accidentalmente.
Ricerca per categorie sapere se si dispone di una versione della macchina virtuale Microsoft con la vulnerabilità?
Il modo più semplice per indicare è controllare il software installato nel computer:
- Se si usa Internet Explorer 4.x o Internet Explorer 5.x, è sicuramente disponibile una versione della macchina virtuale interessata dalla vulnerabilità. Non importa quale altro software hai installato; se internet Explorer 4.x o 5.x è installato, è presente una versione interessata della macchina virtuale.
- Anche se non si usa una versione di Internet Explorer interessata dalla vulnerabilità, è comunque possibile avere una versione interessata della macchina virtuale Microsoft, perché viene fornita come parte di altri prodotti come Visual Studio. In questo caso, il corso migliore consiste nel determinare il numero di build per la versione della macchina virtuale Microsoft in uso e verificare se si ha una versione interessata.
Ricerca per categorie determinare il numero di build per la versione della macchina virtuale Microsoft?
Aprire una finestra di comando:
- In Windows NT o Windows 2000 scegliere "Start", quindi "Esegui", quindi digitare "CMD" e premere il tasto INVIO.
- In Windows 95 o 98 scegliere "Start", quindi "Esegui", quindi digitare "COMANDO" e premere il tasto INVIO.
- Al prompt dei comandi digitare "JVIEW" e premere il tasto INVIO.
Le informazioni sulla versione saranno a destra della riga superiore. Avrà un formato simile a "5.00.xxxx", dove "xxxx" è il numero di build. Ad esempio, se il numero di versione è 5.00.1234, il numero di build è 1234.
Ho determinato il numero di build. Ricerca per categorie dire se sono interessato?
Usare questa tabella per determinare se si dispone di una versione interessata:
| Numero di build | Status |
|---|---|
| 3315 o versioni precedenti | Interessato dalla vulnerabilità |
| Tutte le altre versioni | Non interessato dalla vulnerabilità o non da una versione di macchina virtuale supportata |
Nota: tutti gli utenti che hanno una versione interessata della macchina virtuale Microsoft devono installare la nuova build di macchina virtuale.
Cosa fa la correzione?
La correzione delle varie build di macchine virtuali ripristina le restrizioni della sandbox per evitare questa vulnerabilità.
Dove posso ottenere la patch?
Il percorso di download per le nuove versioni della macchina virtuale e delle patch è disponibile nella sezione "Disponibilità patch" del bollettino sulla sicurezza.
Ricerca per categorie usare la patch?
L'articolo della Knowledge Base Q271752 contiene istruzioni dettagliate per l'applicazione della patch e le build aggiornate delle macchine virtuali.
Come è possibile stabilire se è stata installata correttamente la patch?
L'articolo della Knowledge Base Q271752 fornisce un manifesto dei file nel pacchetto patch. Il modo più semplice per verificare che la patch sia stata installata correttamente consiste nel verificare che questi file siano presenti nel computer e avere le stesse dimensioni e le stesse date di creazione, come illustrato nell'articolo della Knowledge Base.
Nota: indipendentemente dal numero di versione visualizzato da Jview, la chiave del Registro di sistema descritta nell'articolo precedente deve essere il fattore determinante per l'installazione corretta di questa patch.
Che cosa fa Microsoft su questo problema?
- Microsoft ha fornito una patch che elimina la vulnerabilità.
- Microsoft ha fornito un bollettino sulla sicurezza e queste domande frequenti per fornire ai clienti una conoscenza dettagliata della vulnerabilità e della procedura per eliminarla.
- Microsoft ha inviato copie del bollettino sulla sicurezza a tutti gli abbonati al Servizio di notifica della sicurezza dei prodotti Microsoft, un servizio di posta elettronica gratuito che i clienti possono usare per rimanere aggiornati sui bollettini sulla sicurezza Microsoft.
- Microsoft ha pubblicato un articolo della Knowledge Base Q271752 spiegare in modo più dettagliato la vulnerabilità e la procedura.
Dove è possibile ottenere altre informazioni sulle procedure consigliate per la sicurezza? Il sito Web Microsoft TechNet Security è il modo migliore per ottenere informazioni sulla sicurezza Microsoft.
Ricerca per categorie ottenere supporto tecnico su questo problema?Il Servizio Supporto Tecnico ClientiMicrosoft può fornire assistenza a questo o a qualsiasi altro problema di supporto tecnico del prodotto.
Disponibilità delle patch
Microsoft Java Virtual Machine non è più supportato. Per altre informazioni, vedere Microsoft Java Virtual Machine and Microsoft Java Virtual Machine Support .For more information, please please refer to Microsoft Java Virtual Machine Support and Microsoft Java Virtual Machine Support.
Altre informazioni:
Supporto: si tratta di una patch completamente supportata. Le informazioni su come contattare il Servizio Supporto Tecnico Clienti Microsoft sono disponibili all'indirizzo https:.
Risorse di sicurezza: il sito Web Microsoft TechNet Security fornisce informazioni aggiuntive sulla sicurezza nei prodotti Microsoft.
Declinazione di responsabilità:
Le informazioni fornite nella Microsoft Knowledge Base vengono fornite "così com'è" senza garanzia di alcun tipo. Microsoft dichiara tutte le garanzie, espresse o implicite, incluse le garanzie di commerciabilità e idoneità per uno scopo specifico. In nessun caso, Microsoft Corporation o i suoi fornitori saranno responsabili di qualsiasi danno, incluso diretto, indiretto, accidentale, consequenziale, perdita di profitti aziendali o danni speciali, anche se Microsoft Corporation o i suoi fornitori sono stati informati della possibilità di tali danni. Alcuni stati non consentono l'esclusione o la limitazione della responsabilità per danni consequenziali o accidentali, pertanto la limitazione precedente potrebbe non essere applicata.
Revisioni:
- V1.0 (21 agosto 2000): Bollettino creato.
- V1.1 (26 gennaio 2001): Bollettino aggiornato per riflettere l'aggiornamento alla versione della patch della macchina virtuale.
- V1.2 (20 luglio 2002): aggiornamento eseguito per il percorso di download.
- V1.3 (28 febbraio 2003): aggiornamento eseguito per il percorso di download.
- V2.0 (1° luglio 2009): rimozione delle informazioni di download perché Microsoft Java Virtual Machine non è più disponibile per la distribuzione da Microsoft. Per altre informazioni, vedere Disponibilità delle patch.
Costruito al 2014-04-18T13:49:36Z-07:00</https:>