Approfondimenti sui Approfondimenti sui Microsoft Security Bulletin Microsoft Security Bulletin gennaio 2005gennaio 2005

Feliciano IntiniFeliciano IntiniAndrea PiazzaAndrea Piazza

Mauro CornelliMauro CornelliPremier Center Premier Center for Securityfor Security - Microsoft Services - Microsoft ServicesItaliaItalia

AgendaAgenda Bollettini sulla Sicurezza di gennaio 2005:Bollettini sulla Sicurezza di gennaio 2005:

MS05-001 – Vulnerability in HTML Help Could Allow Code MS05-001 – Vulnerability in HTML Help Could Allow Code Execution (890175)Execution (890175)

MS05-002 – Vulnerability in Cursor and Icon Format MS05-002 – Vulnerability in Cursor and Icon Format Handling Could Allow Remote Code Execution (891711)Handling Could Allow Remote Code Execution (891711)

MS05-003 – Vulnerability in the Indexing Service Could MS05-003 – Vulnerability in the Indexing Service Could Allow Remote Code Execution (871250)Allow Remote Code Execution (871250)

Altre informazioni sulla sicurezza:Altre informazioni sulla sicurezza: Security Update Validation ProgramSecurity Update Validation Program Malicious Software Removal ToolsMalicious Software Removal Tools Microsoft Windows AntiSpywareMicrosoft Windows AntiSpyware Prodotti fuori supporto a partire dal 01/01/2005Prodotti fuori supporto a partire dal 01/01/2005

Risorse ed EventiRisorse ed Eventi

Bollettini di SicurezzaBollettini di SicurezzaGennaio 2005Gennaio 2005

MAXIMUM MAXIMUM SEVERITYSEVERITY

BULLETIN BULLETIN NUMBERNUMBER

PRODUCTS PRODUCTS AFFECTEDAFFECTED IMPACTIMPACT

CriticalCritical MS05-001MS05-001 Microsoft WindowsMicrosoft Windows Remote Code ExecutionRemote Code Execution

CriticalCritical MS05-002MS05-002 Microsoft WindowsMicrosoft Windows Remote Code ExecutionRemote Code Execution

ImportantImportant MS05-003MS05-003 Microsoft WindowsMicrosoft Windows Remote Code ExecutionRemote Code Execution

MS05-001: IntroduzioneMS05-001: Introduzione

Vulnerability in HTML Help Could Allow Code Execution (890175)Vulnerability in HTML Help Could Allow Code Execution (890175) Livello di gravità massimoLivello di gravità massimo: Critica: Critica Software interessato dalla vulnerabilitàSoftware interessato dalla vulnerabilità: :

Microsoft Windows 2000 Service Pack 3 e Service Pack 4Microsoft Windows 2000 Service Pack 3 e Service Pack 4 Microsoft Windows XP Service Pack 1 e Service Pack 2Microsoft Windows XP Service Pack 1 e Service Pack 2 Microsoft Windows XP 64-Bit Edition Service Pack 1Microsoft Windows XP 64-Bit Edition Service Pack 1 Microsoft Windows XP 64-Bit Edition Version 2003Microsoft Windows XP 64-Bit Edition Version 2003 Microsoft Windows Server 2003Microsoft Windows Server 2003 Microsoft Windows Server 2003 64-Bit EditionMicrosoft Windows Server 2003 64-Bit Edition Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE), e Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE), e

Microsoft Windows Millennium Edition (Me)Microsoft Windows Millennium Edition (Me) Componente interessato:Componente interessato:

Internet Explorer 6.0 Service Pack 1 su Internet Explorer 6.0 Service Pack 1 su Microsoft Windows NT Server 4.0 Service Pack 6a Microsoft Windows NT Server 4.0 Service Pack 6a Microsoft Windows NT Server 4.0 Terminal Server Edition Service Pack 6Microsoft Windows NT Server 4.0 Terminal Server Edition Service Pack 6

www.microsoft.com/technet/security/bulletin/ms05-001.mspxwww.microsoft.com/technet/security/bulletin/ms05-001.mspx

MS05-001: Comprendere la MS05-001: Comprendere la vulnerabilitàvulnerabilità

HTML Help ActiveX control Cross Domain Vulnerability HTML Help ActiveX control Cross Domain Vulnerability - CAN-2004-1043- CAN-2004-1043 La vulnerabilità è causata dal processo mediante il quale La vulnerabilità è causata dal processo mediante il quale

alcune funzioni, disponibili tramite il controllo ActiveX di HTML alcune funzioni, disponibili tramite il controllo ActiveX di HTML Help, vengono convalidate dal modello di protezione tra Help, vengono convalidate dal modello di protezione tra domini di Internet Explorerdomini di Internet Explorer

Modalità di attaccoModalità di attacco Eseguibile da remotoEseguibile da remoto

Creando un’opportuna pagina Web o compromettendo un sito Creando un’opportuna pagina Web o compromettendo un sito Web per fare in modo che presenti una pagina Web dannosaWeb per fare in modo che presenti una pagina Web dannosa

Inviando una e-mail HTML opportunaInviando una e-mail HTML opportuna Attacco autenticato: NoAttacco autenticato: No Privilegi ottenibili: quelli dell’utente loggatoPrivilegi ottenibili: quelli dell’utente loggato

MS05-001: Fattori mitigantiMS05-001: Fattori mitiganti

L'hacker dovrebbe indurre le vittime L'hacker dovrebbe indurre le vittime a visitare il sito: l’attacco non può a visitare il sito: l’attacco non può essere automatizzatoessere automatizzato

Gli account configurati con privilegi Gli account configurati con privilegi limitati sono meno esposti all'attacco limitati sono meno esposti all'attacco rispetto a quelli che operano con rispetto a quelli che operano con privilegi amministrativiprivilegi amministrativi

MS05-001: Fattori mitigantiMS05-001: Fattori mitiganti L’apertura delle e-mail HTML nei Siti L’apertura delle e-mail HTML nei Siti

con Restrizioni riduce la superficie di con Restrizioni riduce la superficie di attaccoattacco Outlook Express 6, Outlook 2002, e Outlook Express 6, Outlook 2002, e

Outlook 2003 di defaultOutlook 2003 di default Outlook 98 e Outlook 2000 se è stato Outlook 98 e Outlook 2000 se è stato

installato Outlook E-mail Security installato Outlook E-mail Security Update (OESU) Update (OESU)

Outlook Express 5.5 con MS04-018Outlook Express 5.5 con MS04-018

MS05-001: Fattori mitigantiMS05-001: Fattori mitiganti Il rischio causato dalle e-mail HTML è Il rischio causato dalle e-mail HTML è

significativamente ridotto se:significativamente ridotto se: È installato MS03-040 o un successivo È installato MS03-040 o un successivo

aggiornamento cumulativo per Internet Exploreraggiornamento cumulativo per Internet Exploreree Si usa Microsoft Outlook Express 6 o successivo Si usa Microsoft Outlook Express 6 o successivo

oppure Microsoft Outlook 2000 Service Pack 2 o oppure Microsoft Outlook 2000 Service Pack 2 o successiva nella configurazione di defaultsuccessiva nella configurazione di default Oppure Microsoft Outlook 2000 pre-SP 2 con installato Oppure Microsoft Outlook 2000 pre-SP 2 con installato

Outlook E-mail Security Update nella configurazione di Outlook E-mail Security Update nella configurazione di defaultdefault

In Windows Server 2003, Internet Explorer viene In Windows Server 2003, Internet Explorer viene eseguito nella modalità Protezione avanzata, eseguito nella modalità Protezione avanzata, che riduce i rischi correlati a questa che riduce i rischi correlati a questa vulnerabilitàvulnerabilità

MS05-001: Soluzioni alternativeMS05-001: Soluzioni alternative Impostare il livello di protezione delle aree Internet e Intranet Impostare il livello di protezione delle aree Internet e Intranet

locale su "Alta“: è richiesta conferma all'esecuzione di controlli locale su "Alta“: è richiesta conferma all'esecuzione di controlli ActiveX e script attiviActiveX e script attivi

Limitare i siti Web ai soli siti attendibiliLimitare i siti Web ai soli siti attendibili Installare Outlook E-mail Security Update se si utilizza Outlook Installare Outlook E-mail Security Update se si utilizza Outlook

2000 SP1 o versione precedente2000 SP1 o versione precedente Installare l'aggiornamento descritto nel bollettino MS04-018 se si Installare l'aggiornamento descritto nel bollettino MS04-018 se si

utilizza Outlook Express 5.5 SP2utilizza Outlook Express 5.5 SP2 Leggere la posta elettronica in formato solo testo, se si utilizza Leggere la posta elettronica in formato solo testo, se si utilizza

Outlook 2002 e versioni successive o Outlook Express 6 SP1 e Outlook 2002 e versioni successive o Outlook Express 6 SP1 e versioni successive, per proteggersi dagli attacchi tramite versioni successive, per proteggersi dagli attacchi tramite messaggi di posta elettronica HTMLmessaggi di posta elettronica HTML

Disabilitare temporaneamente l’esecuzione del controllo ActiveX Disabilitare temporaneamente l’esecuzione del controllo ActiveX di HTML Help in Internet Explorer via registrydi HTML Help in Internet Explorer via registry

MS05-001: ulteriori informazioniMS05-001: ulteriori informazioni L’aggiornamento di sicurezzaL’aggiornamento di sicurezza

Impedisce che il controllo ActiveX HTML Help sia Impedisce che il controllo ActiveX HTML Help sia istanziato da contenuti esterni alla Local Machine istanziato da contenuti esterni alla Local Machine ZoneZone

La modifica può impedire il corretto funzionamento La modifica può impedire il corretto funzionamento di applicazioni Webdi applicazioni Web

I permessi possono essere attributi selettivamenteI permessi possono essere attributi selettivamente in base al sitoin base al sito In base alla zonaIn base alla zona IMPORTANTE: permettere solo siti o aree ritenuti affidabiliIMPORTANTE: permettere solo siti o aree ritenuti affidabili Fare riferimento alle FAQ nel bollettino per maggiori Fare riferimento alle FAQ nel bollettino per maggiori

dettaglidettagli

MS05-002: IntroduzioneMS05-002: Introduzione

Vulnerability in Cursor and Icon Format Handling Could Allow Vulnerability in Cursor and Icon Format Handling Could Allow Remote Code Execution (891711)Remote Code Execution (891711)

Livello di gravità massimoLivello di gravità massimo: Critica: Critica Software interessato dalla vulnerabilitàSoftware interessato dalla vulnerabilità: :

Microsoft Windows NT Server 4.0 Service Pack 6aMicrosoft Windows NT Server 4.0 Service Pack 6a Microsoft Windows NT Server 4.0 Terminal Server Edition Service Pack 6Microsoft Windows NT Server 4.0 Terminal Server Edition Service Pack 6 Microsoft Windows 2000 Service Pack 3 e Service Pack 4Microsoft Windows 2000 Service Pack 3 e Service Pack 4 Microsoft Windows XP Service Pack 1Microsoft Windows XP Service Pack 1 Microsoft Windows XP 64-Bit Edition Service Pack 1Microsoft Windows XP 64-Bit Edition Service Pack 1 Microsoft Windows XP 64-Bit Edition Version 2003Microsoft Windows XP 64-Bit Edition Version 2003 Microsoft Windows Server 2003Microsoft Windows Server 2003 Microsoft Windows Server 2003 64-Bit EditionMicrosoft Windows Server 2003 64-Bit Edition Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE), e Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE), e

Microsoft Windows Millennium Edition (Me)Microsoft Windows Millennium Edition (Me) Software non interessatoSoftware non interessato

Microsoft Windows XP Service Pack 2Microsoft Windows XP Service Pack 2 www.microsoft.com/technet/security/bulletin/ms05-002.mspxwww.microsoft.com/technet/security/bulletin/ms05-002.mspx

MS05-002: Comprendere le MS05-002: Comprendere le vulnerabilitàvulnerabilità

Cursor and Icon Format Handling Vulnerability - CAN-2004-1049Cursor and Icon Format Handling Vulnerability - CAN-2004-1049 Windows Kernel Vulnerability - CAN-2004-1305Windows Kernel Vulnerability - CAN-2004-1305

Le vulnerabilità sono causate da una convalida dei formati Le vulnerabilità sono causate da una convalida dei formati insufficiente prima della riproduzione di cursori, cursori animati e insufficiente prima della riproduzione di cursori, cursori animati e iconeicone

Modalità di attaccoModalità di attacco Creando un cursore o un’icona opportunamente malformatiCreando un cursore o un’icona opportunamente malformati

Ospitati su un’opportuna pagina Web e inducendo l'utente a visitare la Ospitati su un’opportuna pagina Web e inducendo l'utente a visitare la pagina pagina

Inseriti in un messaggio di posta elettronica dannoso e inviando il Inseriti in un messaggio di posta elettronica dannoso e inviando il messaggio a un sistema interessato.messaggio a un sistema interessato.

Attacco autenticato: NoAttacco autenticato: No

Impatti di un attacco riuscitoImpatti di un attacco riuscito Esecuzione di codice con i privilegi dell’utente loggatoEsecuzione di codice con i privilegi dell’utente loggato Negazione del servizioNegazione del servizio

MS05-002: Fattori mitigantiMS05-002: Fattori mitiganti Nell’attacco via web l'hacker dovrebbe indurre le vittime a visitare il Nell’attacco via web l'hacker dovrebbe indurre le vittime a visitare il

sitosito: l’attacco non può essere automatizzato: l’attacco non può essere automatizzato Gli account configurati con privilegi limitati sono meno esposti Gli account configurati con privilegi limitati sono meno esposti

all'attacco rispetto a quelli che operano con privilegi amministrativiall'attacco rispetto a quelli che operano con privilegi amministrativi L’apertura delle e-mail HTML nei Siti con Restrizioni riduce la L’apertura delle e-mail HTML nei Siti con Restrizioni riduce la

superficie di attaccosuperficie di attacco Outlook Express 6, Outlook 2002, e Outlook 2003 di defaultOutlook Express 6, Outlook 2002, e Outlook 2003 di default Outlook 98 e Outlook 2000 se è stato installato Outlook E-mail Security Outlook 98 e Outlook 2000 se è stato installato Outlook E-mail Security

Update (OESU) Update (OESU) Outlook Express 5.5 con MS04-018Outlook Express 5.5 con MS04-018

Il rischio causato dalle e-mail HTML è significativamente ridotto se:Il rischio causato dalle e-mail HTML è significativamente ridotto se: È installato MS03-040 o un successivo aggiornamento cumulativo per È installato MS03-040 o un successivo aggiornamento cumulativo per

IE EIE E Si usa Microsoft Outlook Express 6 o successivo oppure Microsoft Si usa Microsoft Outlook Express 6 o successivo oppure Microsoft

Outlook 2000 Service Pack 2 o successiva nella configurazione di Outlook 2000 Service Pack 2 o successiva nella configurazione di defaultdefault Oppure Microsoft Outlook 2000 pre-SP 2 con installato Outlook E-mail Oppure Microsoft Outlook 2000 pre-SP 2 con installato Outlook E-mail

Security Update nella configurazione di defaultSecurity Update nella configurazione di default Windows XP SP2 non è vulnerabileWindows XP SP2 non è vulnerabile

MS05-002: Soluzioni alternativeMS05-002: Soluzioni alternative Installare l'aggiornamento descritto nel Installare l'aggiornamento descritto nel

bollettino Microsoft sulla sicurezza MS04-018 bollettino Microsoft sulla sicurezza MS04-018 se si utilizza Outlook Express 5.5 SP2se si utilizza Outlook Express 5.5 SP2

Installare E-mail Security Update di Microsoft Installare E-mail Security Update di Microsoft Outlook se si utilizza Outlook 2000 SP1 o Outlook se si utilizza Outlook 2000 SP1 o versione precedenteversione precedente

Leggere la posta elettronica in formato solo Leggere la posta elettronica in formato solo testo, se si utilizza Outlook 2002 e versioni testo, se si utilizza Outlook 2002 e versioni successive o Outlook Express 6 SP1 e successive o Outlook Express 6 SP1 e versioni successive, per proteggersi dagli versioni successive, per proteggersi dagli attacchi tramite messaggi di posta elettronica attacchi tramite messaggi di posta elettronica HTMLHTML

MS05-003: IntroduzioneMS05-003: Introduzione Vulnerability in the Indexing Service Could Allow Remote Code Execution Vulnerability in the Indexing Service Could Allow Remote Code Execution

(871250)(871250) Livello di gravità massimoLivello di gravità massimo: Importante: Importante Software interessato dalla vulnerabilitàSoftware interessato dalla vulnerabilità: :

Microsoft Windows XP Service Pack 1 Microsoft Windows XP Service Pack 1 Microsoft Windows XP 64-Bit Edition Service Pack 1Microsoft Windows XP 64-Bit Edition Service Pack 1 Microsoft Windows XP 64-Bit Edition Version 2003Microsoft Windows XP 64-Bit Edition Version 2003 Microsoft Windows Server 2003Microsoft Windows Server 2003 Microsoft Windows Server 2003 64-Bit EditionMicrosoft Windows Server 2003 64-Bit Edition

Software non interessatoSoftware non interessato Microsoft Windows NT Server 4.0 Service PackMicrosoft Windows NT Server 4.0 Service Pack Microsoft Windows NT Server 4.0 Terminal Server Edition Service Pack 6Microsoft Windows NT Server 4.0 Terminal Server Edition Service Pack 6 Microsoft Windows 2000 Service Pack 3 e Service Pack 4Microsoft Windows 2000 Service Pack 3 e Service Pack 4 Microsoft Windows XP Service Pack 2Microsoft Windows XP Service Pack 2 Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE), and Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE), and

Microsoft Windows Millennium Edition (ME)Microsoft Windows Millennium Edition (ME) Componente interessatoComponente interessato

Indexing ServiceIndexing Service www.microsoft.com/technet/security/bulletin/ms05-003.mspxwww.microsoft.com/technet/security/bulletin/ms05-003.mspx

MS05-003: Comprendere la MS05-003: Comprendere la vulnerabilitàvulnerabilità

Indexing Service Vulnerability - CAN-2004-0897Indexing Service Vulnerability - CAN-2004-0897 La vulnerabilità è causata da come il servizio di indicizzazione La vulnerabilità è causata da come il servizio di indicizzazione

gestisce la validazione delle querygestisce la validazione delle query Modalità di attaccoModalità di attacco

Inviando una query opportunamente malformataInviando una query opportunamente malformata

Impatti di un attacco riuscitoImpatti di un attacco riuscito Esecuzione di codice con i privilegi di Local SystemEsecuzione di codice con i privilegi di Local System

NOTA: Windows 2000 non è interessato dalla vulnerabilità, ma il NOTA: Windows 2000 non è interessato dalla vulnerabilità, ma il bollettino include un aggiornamento che introduce una modifica bollettino include un aggiornamento che introduce una modifica di funzionalità anche per Windows 2000di funzionalità anche per Windows 2000

La modifica di funzionalità aumenta il livello di sicurezza del La modifica di funzionalità aumenta il livello di sicurezza del controllo ActiveX Microsoft.ISAdm.1controllo ActiveX Microsoft.ISAdm.1

MS05-003: Fattori mitigantiMS05-003: Fattori mitiganti Il servizio di indicizzazione non è abilitato di default sui Il servizio di indicizzazione non è abilitato di default sui

sistemi interessatisistemi interessati Anche quando è installato, di default il servizio di Anche quando è installato, di default il servizio di

indicizzazione non è accessibile dai servizi IISindicizzazione non è accessibile dai servizi IIS Se nessuno dei metodi di query basati su pagine Web è Se nessuno dei metodi di query basati su pagine Web è

stato abilitato manualmente, solo gli utenti autenticati stato abilitato manualmente, solo gli utenti autenticati potranno tentare di sfruttare questa vulnerabilità per potranno tentare di sfruttare questa vulnerabilità per eseguire query al file system in remotoeseguire query al file system in remoto

Sono necessarie procedure manuali per abilitare Sono necessarie procedure manuali per abilitare l'utilizzo dei servizi IIS come interfaccia Web per il l'utilizzo dei servizi IIS come interfaccia Web per il servizio di indicizzazioneservizio di indicizzazione

Se le pagine Web di query richiedono l'accesso Se le pagine Web di query richiedono l'accesso autenticato, gli utenti anonimi non avranno la autenticato, gli utenti anonimi non avranno la possibilità di sfruttare questa vulnerabilità tramite IISpossibilità di sfruttare questa vulnerabilità tramite IIS

MS05-003: Fattori mitigantiMS05-003: Fattori mitiganti Windows 2000 non è interessato da Windows 2000 non è interessato da

questa vulnerabilità (ma è questa vulnerabilità (ma è raccomandata l'installazione di raccomandata l'installazione di questo aggiornamento)questo aggiornamento)

Le configurazioni predefinite Le configurazioni predefinite standard dei firewall e le best standard dei firewall e le best practices per la configurazione dei practices per la configurazione dei firewall consentono di proteggere le firewall consentono di proteggere le reti dagli attacchi sferrati dall'esterno reti dagli attacchi sferrati dall'esterno del perimetro aziendaledel perimetro aziendale

MS05-003: Soluzioni alternativeMS05-003: Soluzioni alternative Bloccare i seguenti elementi a livello del firewall:Bloccare i seguenti elementi a livello del firewall:

Porte UDP 137 e 138 e porte TCP 139 e 445Porte UDP 137 e 138 e porte TCP 139 e 445

Utilizzare un firewall personale come Internet Utilizzare un firewall personale come Internet Connection Firewall, incluso in Windows XP e Connection Firewall, incluso in Windows XP e Windows Server 2003Windows Server 2003

Attivare il filtro TCP/IP avanzato sui sistemi che lo Attivare il filtro TCP/IP avanzato sui sistemi che lo supportano (si veda l’articolo 309798)supportano (si veda l’articolo 309798)

Bloccare le porte interessate utilizzando IPSec sui Bloccare le porte interessate utilizzando IPSec sui sistemi interessatisistemi interessati

Rimuovere il servizio di indicizzazione se non lo si Rimuovere il servizio di indicizzazione se non lo si utilizzautilizza

Modificare le pagine web in modo da bloccare le Modificare le pagine web in modo da bloccare le query con più di 60 caratteri (si veda l’articolo 890621)query con più di 60 caratteri (si veda l’articolo 890621)

Strumenti per il rilevamentoStrumenti per il rilevamento

MBSAMBSA Può essere utilizzato per individuare su quali Può essere utilizzato per individuare su quali

sistemi Windows sono richiesti i 3 aggiornamentisistemi Windows sono richiesti i 3 aggiornamenti

SUSSUS Può essere utilizzato per controllare su quali Può essere utilizzato per controllare su quali

sistemi Windows sono richiesti i 3 aggiornamentisistemi Windows sono richiesti i 3 aggiornamenti SMS 2.0 / 2003SMS 2.0 / 2003

Può essere utilizzato per controllare su quali Può essere utilizzato per controllare su quali sistemi Windows sono richiesti i 3 aggiornamentisistemi Windows sono richiesti i 3 aggiornamenti

Strumenti per il deploymentStrumenti per il deployment

SUSSUS É possibile utilizzare SUS Client (Automatic Update) É possibile utilizzare SUS Client (Automatic Update)

per distribuire tutti gli aggiornamenti di Windowsper distribuire tutti gli aggiornamenti di Windows SMSSMS

ÉÉ possibile utilizzare SMS 2.0 con SMS SUS Feature possibile utilizzare SMS 2.0 con SMS SUS Feature Pack o SMS 2003 per distribuire tutti gli Pack o SMS 2003 per distribuire tutti gli aggiornamentiaggiornamenti

Installazione degli AggiornamentiInstallazione degli Aggiornamenti

Aggiornamenti di sicurezza sostituitiAggiornamenti di sicurezza sostituiti MS05-001: nessunoMS05-001: nessuno MS05-002: MS03-045 (che non si applicava a Win98)MS05-002: MS03-045 (che non si applicava a Win98) MS05-003: nessunoMS05-003: nessuno

RiavvioRiavvio MS05-001: può MS05-001: può richiedere il riavviorichiedere il riavvio MS05-002: necessarioMS05-002: necessario MS05-003: può MS05-003: può richiedere il riavvio richiedere il riavvio

DisinstallazioneDisinstallazione Tutti e tre gli aggiornamenti possono essere rimossiTutti e tre gli aggiornamenti possono essere rimossi

Problemi notiProblemi noti MS05-001: l’articolo 890175 della Microsoft Knowledge Base MS05-001: l’articolo 890175 della Microsoft Knowledge Base

descrive i problemi noti che potrebbero verificarsi in seguito descrive i problemi noti che potrebbero verificarsi in seguito all’installazioneall’installazione

Security Update Validation Security Update Validation ProgramProgram Programma a numero chiuso per il testing degli Programma a numero chiuso per il testing degli

aggiornamenti di sicurezza prima della emissione aggiornamenti di sicurezza prima della emissione pubblicapubblica

Scopo: assicurare la qualità delle security patchScopo: assicurare la qualità delle security patch I partecipanti sono clienti Microsoft appartenenti a I partecipanti sono clienti Microsoft appartenenti a

diversi segmenti di mercato diversi segmenti di mercato I clienti coinvolti hanno approntato degli appositi I clienti coinvolti hanno approntato degli appositi

laboratori che permettono di applicare gli laboratori che permettono di applicare gli aggiornamenti in ambienti che simulano la produzioneaggiornamenti in ambienti che simulano la produzione l’aggiornamento è consentito solo in ambiente di testl’aggiornamento è consentito solo in ambiente di test l’aggiornamento in produzione avviene solo utilizzando la patch l’aggiornamento in produzione avviene solo utilizzando la patch

pubblicapubblica

Il programma è chiuso e sussiste la copertura adeguata Il programma è chiuso e sussiste la copertura adeguata sia per gli attuali partecipanti che per quelli in stand-by sia per gli attuali partecipanti che per quelli in stand-by

Malicious Software Removal Malicious Software Removal ToolTool

Strumento che consolida ed estende i singoli tool di rimozione Strumento che consolida ed estende i singoli tool di rimozione malware prodotti nel 2004 malware prodotti nel 2004

Da non confondere con un tipico prodotto AntivirusDa non confondere con un tipico prodotto Antivirus rimuove solo l’insieme dei malware più diffusirimuove solo l’insieme dei malware più diffusi

rimuove solo i malware attivi (presenti in memoria)rimuove solo i malware attivi (presenti in memoria)

non impedisce la reinfezionenon impedisce la reinfezione

Nuove versioni del tool verranno rilasciate: Nuove versioni del tool verranno rilasciate: su base mensile in corrispondenza del rilascio dei bollettinisu base mensile in corrispondenza del rilascio dei bollettini

più frequentemente se reso necessario dalla diffusione di nuove minaccepiù frequentemente se reso necessario dalla diffusione di nuove minacce

Questa prima versione rimuove:Questa prima versione rimuove: Blaster, Sasser, MyDoom, DoomJuice, Zindos, Berbew (anche noto come Blaster, Sasser, MyDoom, DoomJuice, Zindos, Berbew (anche noto come

Download.Ject), Gaobot e NachiDownload.Ject), Gaobot e Nachi

Maggiori informazioni sono disponibili nell’articolo KB 890830 Maggiori informazioni sono disponibili nell’articolo KB 890830 ((http://support.microsoft.com/kb/890830http://support.microsoft.com/kb/890830))

Malicious Software Removal Malicious Software Removal Tool Tool (2)(2)

Disponibilità: (nelle 23 lingue di Windows XP)Disponibilità: (nelle 23 lingue di Windows XP) Download dal Microsoft Download CenterDownload dal Microsoft Download Center Per gli utenti con Windows XP, come aggiornamento Per gli utenti con Windows XP, come aggiornamento

critico da Windows Update o Automatic Updatecritico da Windows Update o Automatic Update Come controllo ActiveX al sito Come controllo ActiveX al sito

www.microsoft.com/malwareremove www.microsoft.com/malwareremove Note:Note:

Il tool non è disponibile su SUS Il tool non è disponibile su SUS Il tool non è un aggiornamento di sicurezza e quindi Il tool non è un aggiornamento di sicurezza e quindi

non è supportato da MBSA non è supportato da MBSA Informazioni sul deployment del tool nelle realtà Informazioni sul deployment del tool nelle realtà

enterprise sono disponibili nell’articolo KB 891716 enterprise sono disponibili nell’articolo KB 891716 (http://support.microsoft.com/kb/891716)(http://support.microsoft.com/kb/891716)

Microsoft Windows Microsoft Windows AntiSpywareAntiSpyware

La community SpyNet™ permette di identificare nuovi spywareLa community SpyNet™ permette di identificare nuovi spyware

Il componente AutoUpdater permette di scaricare le signature Il componente AutoUpdater permette di scaricare le signature aggiornateaggiornate

Il componente System Explorers mantiene sotto controllo le aree Il componente System Explorers mantiene sotto controllo le aree Application, Internet Explorer, Networking, SystemApplication, Internet Explorer, Networking, System

L’utente viene informato delle modifiche nelle diverse areeL’utente viene informato delle modifiche nelle diverse aree

Vengono monitorati più di 50 checkpoint attraverso i quali gli Vengono monitorati più di 50 checkpoint attraverso i quali gli spyware vengono comunemente aggiunti sul PCspyware vengono comunemente aggiunti sul PC

Gli spyware noti vengono bloccati; quelli non noti causano una Gli spyware noti vengono bloccati; quelli non noti causano una notificanotifica

www.microsoft.com/spywarewww.microsoft.com/spyware

Windows AntiSpyware Windows AntiSpyware (2)(2)

Requisiti minimi di sistema:Requisiti minimi di sistema: Internet Explorer 6Internet Explorer 6 Windows 2000, Windows XP, o Windows Server™ Windows 2000, Windows XP, o Windows Server™

20032003 Leggere le Release Notes per l’utilizzo in ambito Leggere le Release Notes per l’utilizzo in ambito

Enterprise Enterprise Supporto fornito solo tramite NewsgroupSupporto fornito solo tramite Newsgroup Note:Note:

Criteri utilizzati per includere un programma nella lista degli spyware:Criteri utilizzati per includere un programma nella lista degli spyware:http://www.spynet.com/info_spywarecriteria.aspxhttp://www.spynet.com/info_spywarecriteria.aspx

Modulo per rettificare la modalità di rilevazione dei prodottiModulo per rettificare la modalità di rilevazione dei prodottihttp://www.spynet.com/vendors.aspxhttp://www.spynet.com/vendors.aspx

Prodotti fuori supporto a partire Prodotti fuori supporto a partire dal 01/01/2005dal 01/01/2005

Prodotti scaduti il 31/12/2004 Prodotti scaduti il 31/12/2004 Windows NT 4.0 (Server/Terminal Server)Windows NT 4.0 (Server/Terminal Server) Internet Information Server 4.0Internet Information Server 4.0 Proxy Server 2.0 Standard EditionProxy Server 2.0 Standard Edition Microsoft Transaction Services 2.0Microsoft Transaction Services 2.0 Microsoft Visio 2000 Microsoft Visio 2000

http://support.microsoft.com/default.aspx?http://support.microsoft.com/default.aspx?scid=fh;IT;lifecyclescid=fh;IT;lifecycle

Riepilogo delle risorse per tenersi Riepilogo delle risorse per tenersi informati sui bollettini di sicurezzainformati sui bollettini di sicurezza Preavviso sul web nell’area Technet/Security Preavviso sul web nell’area Technet/Security

www.microsoft.com/www.microsoft.com/technet/security/bulletin/advance.mspxtechnet/security/bulletin/advance.mspx Invio delle notifiche sui bollettiniInvio delle notifiche sui bollettini

http://www.microsoft.com/http://www.microsoft.com/technet/security/bulletin/notify.mspxtechnet/security/bulletin/notify.mspx Microsoft Security Notification ServiceMicrosoft Security Notification Service MS Security Notification Service: Comprehensive VersionMS Security Notification Service: Comprehensive Version

Modificate il vostro profilo Passport iscrivendovi alle newsletter Modificate il vostro profilo Passport iscrivendovi alle newsletter con il titolo indicatocon il titolo indicato

Ricezione news via RSS Ricezione news via RSS RSS Security Bulletin FeedRSS Security Bulletin Feed

http://www.microsoft.com/http://www.microsoft.com/technettechnet//securitysecurity//bulletinbulletin//secrssinfo.mspxsecrssinfo.mspx

Ricerca di un bollettinoRicerca di un bollettino www.microsoft.com/www.microsoft.com/technet/security/current.aspxtechnet/security/current.aspx

Webcast di approfondimentoWebcast di approfondimento http://www.microsoft.com/italy/technet/community/webcast/default.mspxhttp://www.microsoft.com/italy/technet/community/webcast/default.mspx

Risorse utiliRisorse utili Sito Sicurezza Sito Sicurezza

IngleseInglesehttp://www.microsoft.com/http://www.microsoft.com/securitysecurity//default.mspxdefault.mspx

ItalianoItalianohttp://www.microsoft.com/italy/security/default.mspxhttp://www.microsoft.com/italy/security/default.mspx

Security Guidance CenterSecurity Guidance Center IngleseInglese

www.microsoft.com/security/guidancewww.microsoft.com/security/guidance ItalianoItaliano

www.microsoft.com/italy/security/guidancewww.microsoft.com/italy/security/guidance Security Newsletter Security Newsletter www.microsoft.com/www.microsoft.com/

technet/security/secnews/default.mspxtechnet/security/secnews/default.mspx Windows XP Service Pack 2 Windows XP Service Pack 2

www.microsoft.com/technet/winxpsp2www.microsoft.com/technet/winxpsp2

Prossimi EventiProssimi Eventi

Registratevi per i prossimi Webcast di Registratevi per i prossimi Webcast di approfondimento sui Security Bulletinapprofondimento sui Security Bulletin Ogni venerdì successivo al 2° martedì di ogni mese Ogni venerdì successivo al 2° martedì di ogni mese

(prossimo: 11 febbraio 2005)(prossimo: 11 febbraio 2005) http://www.microsoft.com/italy/technet/community/webcast/default.mspxhttp://www.microsoft.com/italy/technet/community/webcast/default.mspx Webcast già erogati:Webcast già erogati: http://www.microsoft.com/italy/http://www.microsoft.com/italy/technettechnet/community//community/webcastwebcast//passati.mspxpassati.mspx

www.microsoft.com/security360www.microsoft.com/security360 18 gennaio 18 gennaio SpywareSpyware