Alert GCSA-07091 - Vulnerabilita' in MS Visual Studio (MS07-052)
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
*****************************************************************************
Alert ID : GCSA-07091
Data : 12 Settembre 2007
Titolo : Vulnerabilita' in MS Visual Studio (MS07-052)
*****************************************************************************
:: Descrizione del problema:
E' stato rilasciato il bollettino di sicurezza MS07-052 per risolvere
una vulnerabilita' presente in Visual Studio e causata dal modo in
cui Crystal Reports gestisce i file RPT non validi. Un utente
malintenzionato potrebbe sfruttare la vulnerabilita' inviando ad un
utente un file RPT non valido come allegato a un messaggio di posta
elettronica oppure ospitando il file in un sito Web dannoso o
manomesso.
Sfruttando questa vulnerabilita', un utente malintenzionato puo'
ottenere gli stessi diritti utente dell'utente locale. Gli utenti
con account configurati in modo da disporre solo di diritti limitati
sono esposti all'attacco in misura inferiore rispetto a quelli che
operano con privilegi di amministrazione.
:: Sistemi interessati:
Visual Studio .NET 2002 Service Pack 1
Visual Studio .NET 2003
Visual Studio .NET 2003 Service Pack 1
Visual Studio 2005
Visual Studio 2005 Service Pack 1
:: Impatto:
Esecuzione di codice in modalita' remota
:: Soluzione:
Applicare l'aggiornamento di sicurezza associato al bolletino
MS07-052 disponibile al sito Microsoft
http://www.microsoft.com/technet/security/bulletin/ms07-052.mspx
:: Riferimenti:
Microsoft:
http://www.microsoft.com/technet/security/bulletin/ms07-052.mspx
US-CERT - Technical Cyber Security Alert TA07-254A
http://www.us-cert.gov/cas/techalerts/TA07-254A.html
Secunia:
http://secunia.com/advisories/26754/
FrSirt:
http://www.frsirt.com/english/advisories/2007/3114
CIAC - Computer Incident Advisory Capability
http://www.ciac.org/ciac/bulletins/r-341.shtml
Mitre's CVE ID:
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-6133
-----BEGIN PGP SIGNATURE-----
iQCVAwUBRuftb/OB+SpikaiRAQLILgP+IZPnuwbTBSbq7SN95LVgVVUYqg5pmaqo
dAf2aBVZpCv7pap85A/7QtJrwXRL1FGfY6e/8EFw2RG27YbralYDLEo1DtuVYd6t
yv5Rinq9hWktzrTFoEoP6EAud6yFOzvyF4lq34jQ9LdJEtd54moPqOzCFNBtfMi3
ZbKrFpUpAQg=
=0Ksz
-----END PGP SIGNATURE-----
Hash: SHA1
*****************************************************************************
Alert ID : GCSA-07091
Data : 12 Settembre 2007
Titolo : Vulnerabilita' in MS Visual Studio (MS07-052)
*****************************************************************************
:: Descrizione del problema:
E' stato rilasciato il bollettino di sicurezza MS07-052 per risolvere
una vulnerabilita' presente in Visual Studio e causata dal modo in
cui Crystal Reports gestisce i file RPT non validi. Un utente
malintenzionato potrebbe sfruttare la vulnerabilita' inviando ad un
utente un file RPT non valido come allegato a un messaggio di posta
elettronica oppure ospitando il file in un sito Web dannoso o
manomesso.
Sfruttando questa vulnerabilita', un utente malintenzionato puo'
ottenere gli stessi diritti utente dell'utente locale. Gli utenti
con account configurati in modo da disporre solo di diritti limitati
sono esposti all'attacco in misura inferiore rispetto a quelli che
operano con privilegi di amministrazione.
:: Sistemi interessati:
Visual Studio .NET 2002 Service Pack 1
Visual Studio .NET 2003
Visual Studio .NET 2003 Service Pack 1
Visual Studio 2005
Visual Studio 2005 Service Pack 1
:: Impatto:
Esecuzione di codice in modalita' remota
:: Soluzione:
Applicare l'aggiornamento di sicurezza associato al bolletino
MS07-052 disponibile al sito Microsoft
http://www.microsoft.com/technet/security/bulletin/ms07-052.mspx
:: Riferimenti:
Microsoft:
http://www.microsoft.com/technet/security/bulletin/ms07-052.mspx
US-CERT - Technical Cyber Security Alert TA07-254A
http://www.us-cert.gov/cas/techalerts/TA07-254A.html
Secunia:
http://secunia.com/advisories/26754/
FrSirt:
http://www.frsirt.com/english/advisories/2007/3114
CIAC - Computer Incident Advisory Capability
http://www.ciac.org/ciac/bulletins/r-341.shtml
Mitre's CVE ID:
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-6133
-----BEGIN PGP SIGNATURE-----
iQCVAwUBRuftb/OB+SpikaiRAQLILgP+IZPnuwbTBSbq7SN95LVgVVUYqg5pmaqo
dAf2aBVZpCv7pap85A/7QtJrwXRL1FGfY6e/8EFw2RG27YbralYDLEo1DtuVYd6t
yv5Rinq9hWktzrTFoEoP6EAud6yFOzvyF4lq34jQ9LdJEtd54moPqOzCFNBtfMi3
ZbKrFpUpAQg=
=0Ksz
-----END PGP SIGNATURE-----