Alert GCSA-08045 - MS08-026 Vulnerabilita' in Microsoft Word (951207)
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
******************************************************************
Alert ID : GCSA-08045
Data : 14 maggio 2008
Titolo : MS08-026 Vulnerabilita' in Microsoft Word (951207)
******************************************************************
:: Descrizione del problema
Sono state individuate due vulnerabilita' in Microsoft Word che
potrebbero essere sfruttate da un utente malintenzionato per causare
condizioni di denial of service o prendere il completo controllo di
un sistema vulnerabile.
La prima vulnerabilita' e' dovuta ad un errore di gestione della
memoria durante la gestione di file rtf (Rich Text Format)
appositamente predisposti. Lo sfruttamento della vulnerabilita'
potrebbe consentire l'esecuzione di codice in modalit remota
se un utente apre in Word un file rtf appositamente predisposto con
stringhe non valide o visualizza in anteprima un file rtf
appositamente predisposto con stringhe non valide nei messaggi di
posta elettronica.
La seconda vulnerabilita' e' dovuta ad un errore di corruzione della
memoria che si verifica durante l'elaborazione di un file Word
appositamente predisposto contenente un valore CSS non valido.
Sfruttando questa vulnerabilit, un utente malintenzionato potrebbe
assumere il pieno controllo del sistema interessato.
:: Software interessato
Microsoft Office 2000
Microsoft Office 2003 Professional Edition
Microsoft Office 2003 Small Business Edition
Microsoft Office 2003 Standard Edition
Microsoft Office 2003 Student and Teacher Edition
Microsoft Office 2004 for Mac
Microsoft Office 2007
Microsoft Office 2008 for Mac
Microsoft Office Compatibility Pack for Word, Excel, e
PowerPoint 2007 File Formats
Microsoft Office Word 2007
Microsoft Office XP
Microsoft Word 2000
Microsoft Word 2002
Microsoft Word 2003
Microsoft Word Viewer 2003
:: Impatto
Esecuzione di codice arbitrario
Acesso al sistema
:: Soluzioni
Installare manualmente la patch elencata nel bollettino Microsoft,
oppure utilizzare uno degli strumenti di aggiornamento come:
Aggiornamenti Automatici, Windows Update, Microsoft Update,
Windows Server Update Services.
:: Riferimenti
Bollettino Microsoft sulla sicurezza MS08-026:
http://www.microsoft.com/technet/security/Bulletin/MS08-026.mspx
SecurityFocus:
http://www.securityfocus.com/bid/29105
http://www.securityfocus.com/bid/29104
Secunia:
http://secunia.com/advisories/30143/
FrSirt:
http://www.frsirt.com/english/advisories/2008/1504
iDefense Labs:
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=700
ZDI:
http://www.zerodayinitiative.com/advisories/ZDI-08-023/
US-CERT VU#543907:
http://www.kb.cert.org/vuls/id/543907
CVE Mitre:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1091
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1434
-----BEGIN PGP SIGNATURE-----
iQCVAwUBSCrl1vOB+SpikaiRAQJZIwQAv6uCBeDmS30uG5sTuk5RtEcbXhbuhj4N
SS7o1Oe8UGuhF8vpylQ6V9dbIcdGYJ+CMrbl1g3QnYuyyUhzT4fFeVs8g8WRVyZR
TrLOCHTxl4MjZWRfmgPBIaABbg11PhstYEeNsvX7X6o/L3rppCXimaWEW6qgj+6v
vdF++LSbzLA=
=gkeg
-----END PGP SIGNATURE-----
Hash: SHA1
******************************************************************
Alert ID : GCSA-08045
Data : 14 maggio 2008
Titolo : MS08-026 Vulnerabilita' in Microsoft Word (951207)
******************************************************************
:: Descrizione del problema
Sono state individuate due vulnerabilita' in Microsoft Word che
potrebbero essere sfruttate da un utente malintenzionato per causare
condizioni di denial of service o prendere il completo controllo di
un sistema vulnerabile.
La prima vulnerabilita' e' dovuta ad un errore di gestione della
memoria durante la gestione di file rtf (Rich Text Format)
appositamente predisposti. Lo sfruttamento della vulnerabilita'
potrebbe consentire l'esecuzione di codice in modalit remota
se un utente apre in Word un file rtf appositamente predisposto con
stringhe non valide o visualizza in anteprima un file rtf
appositamente predisposto con stringhe non valide nei messaggi di
posta elettronica.
La seconda vulnerabilita' e' dovuta ad un errore di corruzione della
memoria che si verifica durante l'elaborazione di un file Word
appositamente predisposto contenente un valore CSS non valido.
Sfruttando questa vulnerabilit, un utente malintenzionato potrebbe
assumere il pieno controllo del sistema interessato.
:: Software interessato
Microsoft Office 2000
Microsoft Office 2003 Professional Edition
Microsoft Office 2003 Small Business Edition
Microsoft Office 2003 Standard Edition
Microsoft Office 2003 Student and Teacher Edition
Microsoft Office 2004 for Mac
Microsoft Office 2007
Microsoft Office 2008 for Mac
Microsoft Office Compatibility Pack for Word, Excel, e
PowerPoint 2007 File Formats
Microsoft Office Word 2007
Microsoft Office XP
Microsoft Word 2000
Microsoft Word 2002
Microsoft Word 2003
Microsoft Word Viewer 2003
:: Impatto
Esecuzione di codice arbitrario
Acesso al sistema
:: Soluzioni
Installare manualmente la patch elencata nel bollettino Microsoft,
oppure utilizzare uno degli strumenti di aggiornamento come:
Aggiornamenti Automatici, Windows Update, Microsoft Update,
Windows Server Update Services.
:: Riferimenti
Bollettino Microsoft sulla sicurezza MS08-026:
http://www.microsoft.com/technet/security/Bulletin/MS08-026.mspx
SecurityFocus:
http://www.securityfocus.com/bid/29105
http://www.securityfocus.com/bid/29104
Secunia:
http://secunia.com/advisories/30143/
FrSirt:
http://www.frsirt.com/english/advisories/2008/1504
iDefense Labs:
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=700
ZDI:
http://www.zerodayinitiative.com/advisories/ZDI-08-023/
US-CERT VU#543907:
http://www.kb.cert.org/vuls/id/543907
CVE Mitre:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1091
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1434
-----BEGIN PGP SIGNATURE-----
iQCVAwUBSCrl1vOB+SpikaiRAQJZIwQAv6uCBeDmS30uG5sTuk5RtEcbXhbuhj4N
SS7o1Oe8UGuhF8vpylQ6V9dbIcdGYJ+CMrbl1g3QnYuyyUhzT4fFeVs8g8WRVyZR
TrLOCHTxl4MjZWRfmgPBIaABbg11PhstYEeNsvX7X6o/L3rppCXimaWEW6qgj+6v
vdF++LSbzLA=
=gkeg
-----END PGP SIGNATURE-----