MS09-029

Alcune vulnerabilità nel motore per caratteri Embedded OpenType possono consentire l'esecuzione di codice in modalità remota (961371)

Questo aggiornamento per la protezione risolve due vulnerabilità nel motore per caratteri Embedded OpenType (EOT), componente di Microsoft Windows. Tali vulnerabilità sono state segnalate privatamente. Le vulnerabilità possono consentire l'esecuzione di codice in modalità remota. Sfruttando una di queste vulnerabilità, un utente malintenzionato può assumere il controllo completo del sistema interessato in maniera remota. Potrebbe quindi installare programmi e visualizzare, modificare o eliminare dati oppure creare nuovi account con diritti utente completi. Gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.

MS09-028

Alcune vulnerabilità in Microsoft DirectShow possono consentire l'esecuzione di codice in modalità remota (971633)

Questo aggiornamento per la protezione risolve una vulnerabilità divulgata pubblicamente e due vulnerabilità segnalate privatamente di Microsoft DirectShow. Tali vulnerabilità possono consentire l'esecuzione di codice in modalità remota al momento dell'apertura di un file multimediale QuickTime appositamente predisposto. Sfruttando questa vulnerabilità, un utente malintenzionato può ottenere gli stessi diritti utente dell'utente locale. Gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.

MS09-032

Aggiornamento cumulativo per la protezione dei kill bit di ActiveX (973346)

Questo aggiornamento per la protezione risolve una vulnerabilità di del controllo ActiveX Microsoft Video che è stata segnalata privatamente. Tale vulnerabilità può consentire l'esecuzione di codice in modalità remota se un utente visualizza una pagina Web appositamente predisposta con Internet Explorer che utilizza il controllo ActiveX. Gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.

MS09-033

Una vulnerabilità in Virtual PC e Virtual Server può consentire l'acquisizione di privilegi più elevati (969856)

Questo aggiornamento per la protezione risolve una vulnerabilità di Microsoft Virtual PC e Microsoft Virtual Server che è stata segnalata privatamente. Un utente malintenzionato che sfrutti questa vulnerabilità potrebbe eseguire codice non autorizzato e acquisire il controllo completo del sistema operativo guest interessato. Potrebbe quindi installare programmi e visualizzare, modificare o eliminare dati oppure creare nuovi account con diritti utente completi.

MS09-031

Una vulnerabilità di Microsoft ISA Server 2006 può consentire l'acquisizione di privilegi più elevati (970953)

Quest'aggiornamento per la protezione risolve una vulnerabilità segnalata privatamente n Microsoft Internet Security and Acceleration (ISA) Server 2006. La vulnerabilità può consentire l'acquisizione di privilegi più elevati se un utente malintenzionato riesce ad agire per conto di un account utente amministrativo per un server ISA configurato per l'autenticazione Radius One Time Password (OTP) e per la delega dell'autenticazione con la delega vincolata Kerberos.

MS09-030

Una vulnerabilità in Microsoft Publisher può consentire l'esecuzione di codice in modalità remota (969516)

Questo aggiornamento per la protezione risolve una vulnerabilità segnalata privatamente in Microsoft Office Publisher che può consentire l'esecuzione di codice in modalità remota se un utente apre un file Publisher appositamente predisposto. Sfruttando questa vulnerabilità, un utente malintenzionato potrebbe assumere il pieno controllo del sistema interessato. Potrebbe quindi installare programmi e visualizzare, modificare o eliminare dati oppure creare nuovi account con diritti utente completi. Gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.

MS09-018

Alcune vulnerabilità in Active Directory possono consentire l'esecuzione di codice in modalità remota (971055)

Questo aggiornamento per la protezione risolve due vulnerabilità segnalate privatamente nelle implementazioni di Active Directory in Microsoft Windows 2000 Server e Windows Server 2003 e di Active Directory Application Mode (ADAM) se installato in Windows XP Professional e Windows Server 2003. La vulnerabilità con gli effetti più gravi sulla protezione può consentire l'esecuzione di codice in modalità remota. Sfruttando questa vulnerabilità, un utente malintenzionato potrebbe assumere il pieno controllo in remoto del sistema interessato. Potrebbe quindi installare programmi e visualizzare, modificare o eliminare dati oppure creare nuovi account con diritti utente completi. Le configurazioni predefinite standard dei firewall e le procedure consigliate per la configurazione dei firewall consentono di proteggere le reti dagli attacchi sferrati dall'esterno del perimetro aziendale. È consigliabile che i sistemi connessi a Internet abbiano un numero minimo di porte esposte.

Critico
Esecuzione di codice in modalità remota

È necessario il riavvio

Microsoft Windows

MS09-022

Alcune vulnerabilità nello spooler di stampa di Windows possono consentire l'esecuzione di codice in modalità remota (961501)

Questo aggiornamento per la protezione risolve tre vulnerabilità relative allo spooler di stampa di Windows, che sono state segnalate privatamente. La più grave di queste vulnerabilità può consentire l'esecuzione di codice in modalità remota se un server interessato ha ricevuto una richiesta RPC appositamente predisposta. Le configurazioni predefinite standard dei firewall e le procedure consigliate per la configurazione dei firewall consentono di proteggere le reti dagli attacchi sferrati dall'esterno del perimetro aziendale. È consigliabile che i sistemi connessi a Internet abbiano un numero minimo di porte esposte.

Critico
Esecuzione di codice in modalità remota

È necessario il riavvio

Microsoft Windows

MS09-019

Aggiornamento cumulativo per la protezione di Internet Explorer (969897)

Questo aggiornamento per la protezione risolve sette vulnerabilità segnalate privatamente a Microsoft e una vulnerabilità divulgata pubblicamente relative a Internet Explorer. La vulnerabilità con gli effetti più gravi sulla protezione può consentire l'esecuzione di codice in modalità remota se un utente visualizza una pagina Web appositamente predisposta in Internet Explorer. Gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.

Critico
Esecuzione di codice in modalità remota

È necessario il riavvio

Microsoft Windows, Internet Explorer

MS09-027

Alcune vulnerabilità di Microsoft Office possono consentire l'esecuzione di codice in modalità remota (969514)

Questo aggiornamento per la protezione risolve due vulnerabilità che possono consentire l'esecuzione di codice in modalità remota al momento dell'apertura di un file Word appositamente predisposto. Tali vulnerabilità sono state segnalate a Microsoft privatamente. Sfruttando queste vulnerabilità, un utente malintenzionato può assumere il pieno controllo del sistema interessato. Potrebbe quindi installare programmi e visualizzare, modificare o eliminare dati oppure creare nuovi account con diritti utente completi.

Critico
Esecuzione di codice in modalità remota

Può richiedere il riavvio

Microsoft Office

MS09-021

Alcune vulnerabilità di Microsoft Office Excel possono consentire l'esecuzione di codice in modalità remota (969462)

Questo aggiornamento per la protezione risolve diverse vulnerabilità segnalate privatamente che possono consentire l'esecuzione di codice in modalità remota al momento dell'apertura di un file Excel appositamente predisposto che contiene un oggetto record non valido. Sfruttando una di queste vulnerabilità, un utente malintenzionato potrebbe assumere il controllo completo del sistema interessato. Potrebbe quindi installare programmi e visualizzare, modificare o eliminare dati oppure creare nuovi account con diritti utente completi.

Critico
Esecuzione di codice in modalità remota

Può richiedere il riavvio

Microsoft Office

MS09-024

Una vulnerabilità presente nei convertitori di Microsoft Works può consentire l'esecuzione di codice in modalità remota (957632)

Questo aggiornamento per la protezione risolve una vulnerabilità segnalata privatamente nel convertitore di Microsoft Works. La vulnerabilità può consentire l'esecuzione di codice in modalità remota se un utente apre un file di Works appositamente predisposto. Sfruttando questa vulnerabilità, un utente malintenzionato può ottenere gli stessi diritti utente dell'utente locale. Gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.

Critico
Esecuzione di codice in modalità remota

Può richiedere il riavvio

Microsoft Office

MS09-026

Una vulnerabilità in RPC può consentire l'acquisizione di privilegi più elevati (970238)

Questo aggiornamento per la protezione risolve una vulnerabilità legata alla funzionalità RPC (Remote Procedure Call) di Windows per cui il motore di marshalling RPC non aggiorna correttamente il proprio stato interno. Questa vulnerabilità è stata divulgata pubblicamente. La vulnerabilità può consentire a un utente malintenzionato di eseguire codice arbitrario e di assumere il controllo completo di un sistema interessato. Le edizioni supportate di Microsoft Windows non sono fornite con server o client RPC soggetti allo sfruttamento di questa vulnerabilità. In una configurazione predefinita, gli utenti non possono subire un attacco volto a sfruttare questa vulnerabilità. Tuttavia, la vulnerabilità è presente nel runtime di esecuzione di Microsoft Windows RPC e può interessare applicazioni RPC di terze parti.

Importante
Acquisizione di privilegi più elevati

È necessario il riavvio

Microsoft Windows

MS09- 025

Alcune vulnerabilità del kernel di Windows possono consentire l'acquisizione di privilegi più elevati (968537)

Questo aggiornamento per la protezione risolve due vulnerabilità divulgate pubblicamente e due vulnerabilità segnalate privatamente nel kernel di Windows che possono consentire l'acquisizione di privilegi più elevati. Sfruttando una di queste vulnerabilità, un utente malintenzionato può eseguire codice arbitrario e assumere il controllo completo del sistema interessato. Potrebbe quindi installare programmi e visualizzare, modificare o eliminare dati oppure creare nuovi account con diritti utente completi. Per sfruttare tali vulnerabilità, è necessario disporre di credenziali di accesso valide ed essere in grado di accedere in locale. Tali vulnerabilità non possono essere sfruttate in remoto o da utenti anonimi.

Importante
Acquisizione di privilegi più elevati

È necessario il riavvio

Microsoft Windows

MS09-020

Alcune vulnerabilità in Internet Information Services (IIS) possono consentire l'acquisizione di privilegi più elevati (970483)

Questo aggiornamento per la protezione risolve una vulnerabilità divulgata pubblicamente e una vulnerabilità segnalata privatamente in Microsoft Internet Information Services (IIS). Alcune vulnerabilità possono consentire l'acquisizione di privilegi più elevati nel momento in cui un utente malintenzionato invia una richiesta HTTP appositamente predisposta a un sito Web che richiede autenticazione. Le vulnerabilità consentono a un utente malintenzionato di ignorare la configurazione di IIS che specifica il tipo di autenticazione consentito, ma non la verifica dell'elenco di controllo di accesso basato su file system (ACL), necessaria per stabilire se un file è accessibile da un dato utente. Lo sfruttamento di queste vulnerabilità limita comunque le autorizzazioni ottenute dall'utente malintenzionato a quelle concesse all'account utente anonimo dagli ACL del file system.

Importante
Acquisizione di privilegi più elevati

È necessario il riavvio

Microsoft Windows

MS09-023

Una vulnerabilità in Ricerca di Windows può consentire l'intercettazione di informazioni personali (963093)

Questo aggiornamento per la protezione risolve una vulnerabilità di Ricerca di Windows che è stata segnalata privatamente. La vulnerabilità può consentire l'intercettazione di informazioni personali se un utente esegue una ricerca che restituisce un file appositamente predisposto come primo risultato o se l'utente visualizza in anteprima un file appositamente predisposto dai risultati della ricerca. Per impostazione predefinita, il componente Ricerca di Windows non è preinstallato in Microsoft Windows XP e Windows Server 2003. È un componente facoltativo disponibile per il download. Il componente Ricerca di Windows installato nelle edizioni supportate di Windows Vista e Windows Server 2008 non è interessato da questa vulnerabilità.

Moderato
Intercettazione di informazioni personali

È necessario il riavvio

Microsoft Windows

Luca Viscardi ci presenta in anteprima un nuovissimo prodotto in grado di trasmettere il segnle video dei decoder sky o dtt sulla nostra rete domestica .il nuovo hava streambox è ci offre anche la possibilità di vedere la propria tv a molti kilometri di distanza dal nostro divano, via internet

é solo uno l'avviso di sicurezza microsoft questo mese:
vediamol:

MS09-017

Alcune vulnerabilità di Microsoft Office PowerPoint possono consentire l'esecuzione di codice in modalità remota (967340)

L'aggiornamento per la protezione risolve una vulnerabilità divulgata pubblicamente e diverse vulnerabilità segnalate privatamente in Microsoft Office PowerPoint, che potrebbero consentire l'esecuzione di codice in modalità remota se un utente apre un file di PowerPoint appositamente predisposto. Sfruttando una di queste vulnerabilità, un utente malintenzionato potrebbe assumere il controllo completo del sistema interessato. Potrebbe quindi installare programmi e visualizzare, modificare o eliminare dati oppure creare nuovi account con diritti utente completi. Gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.

Questo aggiornamento per la protezione risolve due vulnerabilità divulgate pubblicamente e due vulnerabilità segnalate privatamente, che sono state riscontrate in Microsoft WordPad e nei convertitori di testo di Microsoft Office. Tali vulnerabilità possono consentire l'esecuzione di codice in modalità remota durante l'apertura di un file appositamente predisposto in WordPad o in Microsoft Office Word. Si raccomanda di non aprire file di Microsoft Office, RTF, Write o WordPerfect provenienti da fonti non attendibili utilizzando versioni interessate di WordPad o di Microsoft Office Word.

MS09-013

Alcune vulnerabilità in Windows HTTP Services possono consentire l'esecuzione di codice in modalità remota (960803)

Questo aggiornamento per la protezione risolve una vulnerabilità divulgata pubblicamente e due vulnerabilità segnalate privatamente di Microsoft Windows HTTP Services (WinHTTP). La vulnerabilità più grave può consentire l'esecuzione di codice in modalità remota. Sfruttando questa vulnerabilità, un utente malintenzionato potrebbe assumere il pieno controllo del sistema interessato. Potrebbe quindi installare programmi e visualizzare, modificare o eliminare dati oppure creare nuovi account con diritti utente completi. Gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.

MS09-011

Una vulnerabilità in Microsoft DirectShow può consentire l'esecuzione di codice in modalità remota (961373)

Questo aggiornamento per la protezione risolve una vulnerabilità di Microsoft DirectX che è stata segnalata privatamente. Tale vulnerabilità può consentire l'esecuzione di codice in modalità remota al momento dell'apertura di un file MJPEG appositamente predisposto. Sfruttando questa vulnerabilità, un utente malintenzionato potrebbe assumere il pieno controllo del sistema interessato. Potrebbe quindi installare programmi e visualizzare, modificare o eliminare dati oppure creare nuovi account con diritti utente completi. Gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.

MS09-014

Aggiornamento cumulativo per la protezione di Internet Explorer (963027)

Questo aggiornamento per la protezione risolve quattro vulnerabilità segnalate privatamente a Microsoft e due vulnerabilità divulgate pubblicamente relative a Internet Explorer. Queste vulnerabilità possono consentire l'esecuzione di codice in modalità remota se un utente visualizza una pagina Web appositamente predisposta con Internet Explorer o si collega al server di un utente malintenzionato mediante protocollo HTTP. Gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.

Sono 8 nel mese di aprile gli avvisi di sicurezza microsoft. vediamoli nel dettaglio:

MS09-009

Alcune vulnerabilità di Microsoft Office Excel possono consentire l'esecuzione di codice in modalità remota (968557)

Il presente aggiornamento per la protezione risolve una vulnerabilità segnalata privatamente e divulgata pubblicamente. La vulnerabilità può consentire l'esecuzione di codice in modalità remota durante l'apertura di un file di Excel appositamente predisposto. Sfruttando queste vulnerabilità, un utente malintenzionato potrebbe assumere il pieno controllo del sistema interessato. Potrebbe quindi installare programmi e visualizzare, modificare o eliminare dati oppure creare nuovi account con diritti utente completi. Gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.

MS09-012

Alcune vulnerabilità di Windows possono consentire l'acquisizione di privilegi più elevati (959454)

Questo aggiornamento per la protezione risolve quattro vulnerabilità di Microsoft Windows che sono state divulgate pubblicamente. Tali vulnerabilità possono consentire l'acquisizione di privilegi più elevati se un utente malintenzionato riesce ad accedere al sistema e a eseguire un'applicazione appositamente predisposta. Per sfruttare questa vulnerabilità l'utente malintenzionato deve essere in grado di eseguire codice sul computer locale. Sfruttando una di queste vulnerabilità, l'utente malintenzionato può assumere il controllo completo del sistema interessato.

MS09-016

Alcune vulnerabilità in Microsoft ISA Server e Forefront Threat Management Gateway (Medium Business Edition) possono causare attacchi di tipo Denial of Service (961759)

Questo aggiornamento per la protezione risolve una vulnerabilità segnalata privatamente e una vulnerabilità divulgata pubblicamente di Microsoft Internet Security and Acceleration (ISA) Server e Microsoft Forefront Threat Management Gateway (TMG), Medium Business Edition (MBE). Queste vulnerabilità possono causare attacchi di tipo Denial of Service, se un utente malintenzionato invia un pacchetto di rete appositamente predisposto al sistema interessato. Possono inoltre provocare l'intercettazione di informazioni personali, nel momento in cui un utente seleziona un URL dannoso o visita un sito Web il cui contenuto è controllato dall'utente malintenzionato.

MS09-015

Una vulnerabilità di varia natura in SearchPath può consentire l'acquisizione di privilegi più elevati (959426)

Questo aggiornamento per la protezione risolve una vulnerabilità divulgata pubblicamente della funzione SearchPath di Windows che può consentire l'acquisizione di privilegi più elevati, se un utente scarica un file appositamente predisposto in una posizione specifica e apre quindi un'applicazione in grado di caricare il file in determinate circostanze.

MS09-006

Alcune vulnerabilità del kernel di Windows possono consentire l'esecuzione di codice in modalità remota (958690)

Questo aggiornamento per la protezione risolve diverse vulnerabilità del kernel di Windows, che sono state segnalate privatamente a Microsoft. La più grave di tali vulnerabilità può consentire l'esecuzione di codice in modalità remota se un utente visualizza un file di immagine EMF o WMF appositamente predisposto all'interno di un sistema interessato.

MS09-007

Una vulnerabilità presente in SChannel può consentire attacchi di spoofing (960225)

Questo aggiornamento per la protezione risolve una vulnerabilità del pacchetto di protezione Canale sicuro (SChannel) di Windows, che è stata segnalata privatamente. Tale vulnerabilità può consentire attacchi di spoofing se un utente malintenzionato ottiene l'accesso al certificato utilizzato da un utente finale per l'autenticazione. I clienti sono interessati da questa vulnerabilità solo se il componente chiave pubblico del certificato utilizzato per l'autenticazione viene intercettato dall'utente malintenzionato con altri mezzi.

MS09-008

Alcune vulnerabilità presenti nei server DNS e WINS possono consentire attacchi di spoofing (962238)

Questo aggiornamento per la protezione risolve due vulnerabilità segnalate privatamente a Microsoft e due vulnerabilità divulgate pubblicamente relative ai server DNS Windows e WINS Windows. Tali vulnerabilità possono consentire a un utente malintenzionato remoto di reindirizzare il traffico di rete tra sistemi in Internet a sistemi scelti dall'utente malintenzionato.

Per fare cià sarà necessario utilizzare la funzione reg. la funzione reg ha varie varianti, in base alle operazioni da compiere sul registro di sistema.
La prima funzione che vedremo è la funzione reg add la cui funzione è quella di aggiungere una nuova chiave di registro. la sintasi del comando è la seguente.

reg add nome chiave
/v nome valore
/t tipo di dato
/d dato

Potremo poi consultare il valore della chiave, tramite il comando reg query, utilizzabile nel seguente modo_

reg query nome chiave

Una altra funzione molto utile è la funzione reg save la cui prerogativa è quella di dalvare il valore di una chiave di registro in un file , che in genere ha estensione .hiv.
Il comando ha la seguente sintassi:

reg save nome chiave "percorso del file"

Ovviamente avremo anche un comando per ripristinare il valore della chiave (non rispristinare la chiave stessa) che sarà il comando reg restore

reg restore nome chiave "percorso del file"

Per copiare il valore di una chiave in un altra potremo usare il comando reg copy che svolge tale funzione in questo modo:

reg copy nome chiave1 nome chiave 2

per poter poi confrontare due chiavi di registro utilizzeremo il comando reg compare

reg comparenome chiave1 nome chiave 2

Save Desktop Icon Layout
Restore Desktop Icon Layout

Una volta disposte le icone secondo le nostre esigenze dovremo solo cliccare su Save Desktop Icon Layout in modo da poter ripristinare la loro disposizione, in ceso di bisogno, cliccando semplicemente su Restore Desktop Icon Layout

Sono 4 gli avvisi di sicurezza in questo mese . vediamoli :

MS09-002

Aggiornamento cumulativo per la protezione di Internet Explorer (961260)

Questo aggiornamento per la protezione risolve due vulnerabilità segnalate privatamente. Queste vulnerabilità possono consentire l'esecuzione di codice in modalità remota se un utente visualizza una pagina Web appositamente predisposta con Internet Explorer. Gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.

Microsoft Windows, Internet Explorer

MS09-003

Alcune vulnerabilità in Microsoft Exchange possono consentire l'esecuzione di codice in modalità remota (959239)

Questo aggiornamento per la protezione di livello critico risolve due vulnerabilità segnalate privatamente di Microsoft Exchange Server. La prima vulnerabilità può consentire l'esecuzione di codice in modalità remota se un messaggio TNEF appositamente predisposto viene inviato a un server Microsoft Exchange. Sfruttando questa vulnerabilità, un utente malintenzionato può assumere il controllo completo del sistema interessato con privilegi di account del servizio Exchange Server. La seconda vulnerabilità può consentire un attacco di tipo Denial of Service se un comando MAPI appositamente predisposto viene inviato a un server Microsoft Exchange. Sfruttando questa vulnerabilità, un utente malintenzionato può causare il blocco del Servizio Supervisore sistema di Microsoft Exchange e di altri servizi che utilizzano il provider EMSMDB32.

Microsoft Exchange Server

MS09-004

Una vulnerabilità in Microsoft SQL Server può consentire l'esecuzione di codice in modalità remota (959420)

Questo aggiornamento per la protezione risolve una vulnerabilità di Microsoft SQL Server che è stata segnalata privatamente. La vulnerabilità può consentire l'esecuzione di codice in modalità remota se utenti non attendibili accedono a un sistema interessato o se si verifica un attacco SQL injection nel sistema interessato. I sistemi che eseguono SQL Server 7.0 Service Pack 4, SQL Server 2005 Service Pack 3 e SQL Server 2008 non sono interessati dal problema.

Microsoft SQL Server

MS09-005

Alcune vulnerabilità di Microsoft Office Visio possono consentire l'esecuzione di codice in modalità remota (957634)

Questo aggiornamento per la protezione risolve tre vulnerabilità segnalate privatamente di Microsoft Office Visio che potrebbero consentire l'esecuzione di codice in modalità remota se un utente apre un file Visio appositamente predisposto. Sfruttando questa vulnerabilità, un utente malintenzionato potrebbe assumere il pieno controllo del sistema interessato. Potrebbe quindi installare programmi e visualizzare, modificare o eliminare dati oppure creare nuovi account con diritti utente completi. Gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.

HKEY_CURRENT_USER

Memorizza le impostazioni per l'utente corrente

HKEY_LOCAL_MACHINE

Memorizza le impostazioni di confiugurazione a livello di sistema

HKEY_CLASSES_ROOT

Memorizza le impostazioni di confiugurazioni per le applicazioni e i file.
Assicura che venga aperta l'applicazione corretta quando si accede al file.

HKEY_USERS

Memorizza le impostazioni dell'utente predefiniti e di altri utenti per profilo

HKEY_CURRENT_CONFIG

Memorizza le impostazioni sul profilo hardware utilizzato.

Nelle chiavi di registro possono essere inseriti valori di vario tipo.
Nello specifico abbiamo:

REG_BINARY

Identifica un valore binario, tale valorre saranno visualizzatin con base 16 (esadecimale)

REG_SZ

Identifica un valore di stringa che contiene cioè una sequenza di caratteri

REG_DWORD

Identifica un valore di caratteri esadecimali con una lunghjezza massima di 4 byte

REG_MULTI_SZ

Identifica un valore di stringa multiplo

REG_EXPAND_SZ

Identifica un valore di stringa espandibile. questo tipo di valore viene generalmente usato per indicare percorsi di directory