Alert GCSA-08047 - MS08-028 Vulnerabilita' in Microsoft Jet Engine
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
******************************************************************
Alert ID : GCSA-08047
Data : 14 maggio 2008
Titolo : MS08-028 Vulnerabilita' in Microsoft Jet Engine
******************************************************************
:: Descrizione del problema
E' stata individuata in Microsoft Jet Engine una vulnerabilita' di
tipo buffer overflow dovuta ad un errore di validazione dell'input
durante l'elaborazione di dati forniti dall'utente.
Un utente malintenzionato puo' sfruttare questa vulnerabilita'
creando una query di database appositamente formulata e inviandola a
un'applicazione che utilizza Jet in un sistema interessato.
Sfruttando questa vulnerabilita', un utente malintenzionato potrebbe
assumere il pieno controllo del sistema interessato.
:: Software interessato
Modulo di gestione di database Microsoft Jet 4.0 nei sistemi:
- Microsoft Windows 2000 Service Pack 4
- Windows XP Service Pack 2
- Windows XP Professional x64 Edition
- Windows Server 2003 Service Pack 1
- Windows Server 2003 x64 Edition
- Windows Server 2003 con SP1 per sistemi basati su Itanium
:: Impatto
Esecuzione di codice arbitrario
Acesso al sistema
Denial of Service
:: Soluzioni
Installare manualmente la patch elencata nel bollettino Microsoft,
oppure utilizzare uno degli strumenti di aggiornamento come:
Aggiornamenti Automatici, Windows Update, Microsoft Update,
Windows Server Update Services.
:: Riferimenti
Bollettino Microsoft sulla sicurezza MS08-028:
http://www.microsoft.com/technet/security/Bulletin/MS08-028.mspx
Microsoft Security Advisory (950627)
http://www.microsoft.com/technet/security/advisory/950627.mspx
MSRC Blog: Microsoft Security Advisory (950627)
http://blogs.technet.com/msrc/archive/2008/03/24/update-msrc-blog-microsoft-security-advisory-950627.aspx
SecurityFocus:
http://www.securityfocus.com/bid/26468
US-CERT - Vulnerability Note VU#936529
http://www.kb.cert.org/vuls/id/936529
CVE Mitre:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-6026
-----BEGIN PGP SIGNATURE-----
iQCVAwUBSCrpyvOB+SpikaiRAQKtBwQAxxqjeZFP+emx+0qYS/gLkzazlhdHhLs0
sY8aZEUaPUBN8nxLCk/uaRM0J/7e1Rq5IewYMe6Haf70ZQQkv0fq4h13WT4wI3oj
CS8TbvYHnMXtkpjrmdP/qrLfvrVAXFpvMPg/enLDe1Oc3kpnpDcLZPhpZbhR/NOI
kWNncmYw9EQ=
=86Gt
-----END PGP SIGNATURE-----
Hash: SHA1
******************************************************************
Alert ID : GCSA-08047
Data : 14 maggio 2008
Titolo : MS08-028 Vulnerabilita' in Microsoft Jet Engine
******************************************************************
:: Descrizione del problema
E' stata individuata in Microsoft Jet Engine una vulnerabilita' di
tipo buffer overflow dovuta ad un errore di validazione dell'input
durante l'elaborazione di dati forniti dall'utente.
Un utente malintenzionato puo' sfruttare questa vulnerabilita'
creando una query di database appositamente formulata e inviandola a
un'applicazione che utilizza Jet in un sistema interessato.
Sfruttando questa vulnerabilita', un utente malintenzionato potrebbe
assumere il pieno controllo del sistema interessato.
:: Software interessato
Modulo di gestione di database Microsoft Jet 4.0 nei sistemi:
- Microsoft Windows 2000 Service Pack 4
- Windows XP Service Pack 2
- Windows XP Professional x64 Edition
- Windows Server 2003 Service Pack 1
- Windows Server 2003 x64 Edition
- Windows Server 2003 con SP1 per sistemi basati su Itanium
:: Impatto
Esecuzione di codice arbitrario
Acesso al sistema
Denial of Service
:: Soluzioni
Installare manualmente la patch elencata nel bollettino Microsoft,
oppure utilizzare uno degli strumenti di aggiornamento come:
Aggiornamenti Automatici, Windows Update, Microsoft Update,
Windows Server Update Services.
:: Riferimenti
Bollettino Microsoft sulla sicurezza MS08-028:
http://www.microsoft.com/technet/security/Bulletin/MS08-028.mspx
Microsoft Security Advisory (950627)
http://www.microsoft.com/technet/security/advisory/950627.mspx
MSRC Blog: Microsoft Security Advisory (950627)
http://blogs.technet.com/msrc/archive/2008/03/24/update-msrc-blog-microsoft-security-advisory-950627.aspx
SecurityFocus:
http://www.securityfocus.com/bid/26468
US-CERT - Vulnerability Note VU#936529
http://www.kb.cert.org/vuls/id/936529
CVE Mitre:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-6026
-----BEGIN PGP SIGNATURE-----
iQCVAwUBSCrpyvOB+SpikaiRAQKtBwQAxxqjeZFP+emx+0qYS/gLkzazlhdHhLs0
sY8aZEUaPUBN8nxLCk/uaRM0J/7e1Rq5IewYMe6Haf70ZQQkv0fq4h13WT4wI3oj
CS8TbvYHnMXtkpjrmdP/qrLfvrVAXFpvMPg/enLDe1Oc3kpnpDcLZPhpZbhR/NOI
kWNncmYw9EQ=
=86Gt
-----END PGP SIGNATURE-----