Aggiornamento della protezione, 16 agosto 2000
Questo aggiornamento include diversi aggiornamenti per la protezione di Internet Explorer, resi disponibili dopo l'uscita di Windows ME, ed è discusso nel Microsoft Security Bulletin MS00-055. Eseguendo il download sarà possibile risolvere le vulnerabilità "Scriptlet Rendering" e "Frame Domain Verification" e varie altre vulnerabilità di Internet Explorer.
Questo aggiornamento consente di risolvere le seguenti vulnerabilità:
- Vulnerabilità “Scriptlet Rendering”. Il controllo ActiveX® che viene utilizzato per richiamare gli scriptlet è essenzialmente un motore di rendering per HTML. Tuttavia, esegue il rendering di qualsiasi tipo di file e non solo dei file HTML. Ciò può costituire un'opportunità per un operatore di siti Web malintenzionato, che potrebbe inserire informazioni di script false in un file di sistema di Internet Explorer e quindi utilizzare lo scriptlet per eseguire il rendering del file. In questo caso lo script verrebbe eseguito nell'area del computer locale e quindi potrebbe accedere ai file presenti nel file system locale dell'utente.
- Una nuova variante della vulnerabilità “Frame Domain Verification”. La vulnerabilità Frame
Domain Verification interessa due funzioni che non applicano in modo corretto la separazione nella stessa finestra di frame che risiedono in domini diversi. La nuova variante interessa un'ulteriore funzione che presenta lo stesso difetto.
La nuova variante interessa un'ulteriore funzione che presenta lo stesso difetto. A causa di questa vulnerabilità un operatore di siti Web malintenzionato potrebbe aprire due frame, uno nel dominio del sito Web e uno nel file system locale dell'utente e far sì che quest'ultimo frame passi informazioni all'altro.
Per poter sfruttare entrambe le vulnerabilità, un operatore di siti Web malintenzionato dovrebbe conoscere o indovinare il nome e il percorso esatti di ogni file che desidera visualizzare. Anche in questa ipotesi, tuttavia, potrebbe visualizzare solo i tipi di file che è possibile aprire nella finestra di un browser, quindi file txt o doc, ma non exe o dat. Se il sito Web è inserito in un'area in cui Active Scripting non è attivato, non è possibile sfruttare queste vulnerabilità.
Per ulteriori informazioni su queste vulnerabilità, vedere il Microsoft Security Bulletin MS00-055 (informazioni in lingua inglese).
Questo aggiornamento consente inoltre di tutelarsi contro varie altre vulnerabilità trattate in precedenti Security Bulletin. In specifico, applicando questo aggiornamento si correggono le vulnerabilità trattate nei Microsoft Security Bulletin: MS00-033, MS00-039, MS00-049 e, solo per Internet Explorer 5.5, MS00-042
(informazioni in lingua inglese).
Requisiti del sistema
Questo aggiornamento si applica a Windows Millenium Edition (Windows ME).
Informazioni preliminari
Per completare l'installazione è necessario riavviare il computer.
Non è disponibile una procedura di disinstallazione.