Alert GCSA-08077 - Vulnerabilita' in Microsoft Excel (MS08-043)
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
******************************************************************
Alert ID : GCSA-08077
Data : 13 agosto 2008
Titolo : Vulnerabilita' in Microsoft Excel (MS08-043)
******************************************************************
:: Descrizione del problema
Description:
Sono state riscontrate multiple vulnerabilita' in Microsoft Excel, che
potrebbero essere sfruttate per ottenere informazioni sensibili o per
compromettere un sistema che ne sia affetto.
La prima vulnerabilita' e' dovuta ad un errore di corruzione della memoria
durante l'elaborazione di valori index mentre file Excel vengono caricati in
memoria, e potrebbe essere sfruttata per eseguire codice arbitrario.
La seconda vulnerabilita' e' dovuta ad un errore di corruzione della memoria
durante l'elaborazione di un array index mentre file Excel vengono caricati in
memoria, e potrebbe essere sfruttata per eseguire codice arbitrario.
La terza vulnerabilita' e' dovuta ad un errore di corruzione della memoria
durante l'elaborazione di valori record mentre file Excel vengono caricati in
memoria, e potrebbe essere sfruttata per eseguire codice arbitrario.
La quarta vulnerabilita' e' dovuta alla non appropriata eliminazione della
stringa password da parte di Excel quando il file ".xlsx" viene configurato
per non registrare le credenziali, e potrebbe essere sfruttata per ottenere
l'accesso a dati protetti da password su una sorgente di dati remota.
:: Piattaforme e software interessati
- - Microsoft Excel 2000
- - Microsoft Excel 2002
- - Microsoft Excel 2003
- - Microsoft Excel Viewer 2003
- - Microsoft Office 2000
- - Microsoft Office 2003 Professional Edition
- - Microsoft Office 2003 Small Business Edition
- - Microsoft Office 2003 Standard Edition
- - Microsoft Office 2003 Student and Teacher Edition
- - Microsoft Office 2004 per Mac
- - Microsoft Office 2007
- - Microsoft Office 2008 per Mac
- - Microsoft Office Compatibility Pack per Word, Excel, e PowerPoint 2007 File Formats
- - Microsoft Office Excel 2007
- - Microsoft Office Excel Viewer 2007
- - Microsoft Office XP
:: Impatto
- - accesso ad informazioni sensibili
:: Soluzioni
Applicare le patch
Excel 2000 SP3:
http://www.microsoft.com/downloads/details.aspx?FamilyId=4bf8688e-e5b9-4e53-a1a1-8cf1acfdb80b
Excel 2002 SP3:
http://www.microsoft.com/downloads/details.aspx?FamilyId=9BBF7550-F5C4-4B9B-BD86-1E7BE6C42EB5
Excel 2003 SP2:
http://www.microsoft.com/downloads/details.aspx?FamilyId=fc612e9a-bdf3-4952-8ada-0de5a50973f0
Excel 2003 SP3:
http://www.microsoft.com/downloads/details.aspx?FamilyId=fc612e9a-bdf3-4952-8ada-0de5a50973f0
Excel 2007:
http://www.microsoft.com/downloads/details.aspx?FamilyId=2753e8d6-e156-49ef-af2d-4c521c808ffd
Excel 2007 SP1:
http://www.microsoft.com/downloads/details.aspx?FamilyId=2753e8d6-e156-49ef-af2d-4c521c808ffd
Microsoft Office Excel Viewer 2003:
http://www.microsoft.com/downloads/details.aspx?FamilyId=d7ed9e75-15f2-4950-98b3-93023ba0f4c1
Microsoft Office Excel Viewer 2003 SP3:
http://www.microsoft.com/downloads/details.aspx?FamilyId=d7ed9e75-15f2-4950-98b3-93023ba0f4c1
Microsoft Office Excel Viewer:
http://www.microsoft.com/downloads/details.aspx?FamilyId=b574d906-7f09-49b0-80bf-e84dee8c4583
Microsoft Office Compatibility Pack per Word, Excel, e PowerPoint 2007 File
Formats:
http://www.microsoft.com/downloads/details.aspx?FamilyId=7afdae9b-9c74-4af7-9844-0e54221ea3b9
Microsoft Office Compatibility Pack per Word, Excel, e PowerPoint 2007 File
Formats SP1:
http://www.microsoft.com/downloads/details.aspx?FamilyId=7afdae9b-9c74-4af7-9844-0e54221ea3b9
Microsoft Office 2004 per Mac:
http://www.microsoft.com/downloads/details.aspx?FamilyId=EBD3AF0C-3F62-4D18-BF45-881655683B
Microsoft Office 2008 per Mac:
http://www.microsoft.com/downloads/details.aspx?FamilyId=9515C70D-BE80-4ADE-856A-EA542F7D84E1
:: Riferimenti
Microsoft:
http://www.microsoft.com/technet/security/Bulletin/MS08-043.mspx
Secunia:
http://secunia.com/advisories/31454/
FrSirt:
http://www.frsirt.com/english/advisories/2008/2347
CVE Mitre:
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-3003
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-3004
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-3005
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-3006
-----BEGIN PGP SIGNATURE-----
iQCVAwUBSKLezPOB+SpikaiRAQJFJgQA0D+45kx9/ybHy/BxUmA9ASkvwKbWdYoI
8HT9nWbT9aqFBlCdvPVN+MLlmmb/532fnBPi+Y030Butt5G8JZ7yJZXr8eOgAWNy
U069sA6QC8f/NRvgP0Ddx1ldEDo+8EsiIeef7I0UMfUGWbqh+tuVNCn+v4NmXpEU
uO05Xq5bgX0=
=OMV8
-----END PGP SIGNATURE-----
Hash: SHA1
******************************************************************
Alert ID : GCSA-08077
Data : 13 agosto 2008
Titolo : Vulnerabilita' in Microsoft Excel (MS08-043)
******************************************************************
:: Descrizione del problema
Description:
Sono state riscontrate multiple vulnerabilita' in Microsoft Excel, che
potrebbero essere sfruttate per ottenere informazioni sensibili o per
compromettere un sistema che ne sia affetto.
La prima vulnerabilita' e' dovuta ad un errore di corruzione della memoria
durante l'elaborazione di valori index mentre file Excel vengono caricati in
memoria, e potrebbe essere sfruttata per eseguire codice arbitrario.
La seconda vulnerabilita' e' dovuta ad un errore di corruzione della memoria
durante l'elaborazione di un array index mentre file Excel vengono caricati in
memoria, e potrebbe essere sfruttata per eseguire codice arbitrario.
La terza vulnerabilita' e' dovuta ad un errore di corruzione della memoria
durante l'elaborazione di valori record mentre file Excel vengono caricati in
memoria, e potrebbe essere sfruttata per eseguire codice arbitrario.
La quarta vulnerabilita' e' dovuta alla non appropriata eliminazione della
stringa password da parte di Excel quando il file ".xlsx" viene configurato
per non registrare le credenziali, e potrebbe essere sfruttata per ottenere
l'accesso a dati protetti da password su una sorgente di dati remota.
:: Piattaforme e software interessati
- - Microsoft Excel 2000
- - Microsoft Excel 2002
- - Microsoft Excel 2003
- - Microsoft Excel Viewer 2003
- - Microsoft Office 2000
- - Microsoft Office 2003 Professional Edition
- - Microsoft Office 2003 Small Business Edition
- - Microsoft Office 2003 Standard Edition
- - Microsoft Office 2003 Student and Teacher Edition
- - Microsoft Office 2004 per Mac
- - Microsoft Office 2007
- - Microsoft Office 2008 per Mac
- - Microsoft Office Compatibility Pack per Word, Excel, e PowerPoint 2007 File Formats
- - Microsoft Office Excel 2007
- - Microsoft Office Excel Viewer 2007
- - Microsoft Office XP
:: Impatto
- - accesso ad informazioni sensibili
:: Soluzioni
Applicare le patch
Excel 2000 SP3:
http://www.microsoft.com/downloads/details.aspx?FamilyId=4bf8688e-e5b9-4e53-a1a1-8cf1acfdb80b
Excel 2002 SP3:
http://www.microsoft.com/downloads/details.aspx?FamilyId=9BBF7550-F5C4-4B9B-BD86-1E7BE6C42EB5
Excel 2003 SP2:
http://www.microsoft.com/downloads/details.aspx?FamilyId=fc612e9a-bdf3-4952-8ada-0de5a50973f0
Excel 2003 SP3:
http://www.microsoft.com/downloads/details.aspx?FamilyId=fc612e9a-bdf3-4952-8ada-0de5a50973f0
Excel 2007:
http://www.microsoft.com/downloads/details.aspx?FamilyId=2753e8d6-e156-49ef-af2d-4c521c808ffd
Excel 2007 SP1:
http://www.microsoft.com/downloads/details.aspx?FamilyId=2753e8d6-e156-49ef-af2d-4c521c808ffd
Microsoft Office Excel Viewer 2003:
http://www.microsoft.com/downloads/details.aspx?FamilyId=d7ed9e75-15f2-4950-98b3-93023ba0f4c1
Microsoft Office Excel Viewer 2003 SP3:
http://www.microsoft.com/downloads/details.aspx?FamilyId=d7ed9e75-15f2-4950-98b3-93023ba0f4c1
Microsoft Office Excel Viewer:
http://www.microsoft.com/downloads/details.aspx?FamilyId=b574d906-7f09-49b0-80bf-e84dee8c4583
Microsoft Office Compatibility Pack per Word, Excel, e PowerPoint 2007 File
Formats:
http://www.microsoft.com/downloads/details.aspx?FamilyId=7afdae9b-9c74-4af7-9844-0e54221ea3b9
Microsoft Office Compatibility Pack per Word, Excel, e PowerPoint 2007 File
Formats SP1:
http://www.microsoft.com/downloads/details.aspx?FamilyId=7afdae9b-9c74-4af7-9844-0e54221ea3b9
Microsoft Office 2004 per Mac:
http://www.microsoft.com/downloads/details.aspx?FamilyId=EBD3AF0C-3F62-4D18-BF45-881655683B
Microsoft Office 2008 per Mac:
http://www.microsoft.com/downloads/details.aspx?FamilyId=9515C70D-BE80-4ADE-856A-EA542F7D84E1
:: Riferimenti
Microsoft:
http://www.microsoft.com/technet/security/Bulletin/MS08-043.mspx
Secunia:
http://secunia.com/advisories/31454/
FrSirt:
http://www.frsirt.com/english/advisories/2008/2347
CVE Mitre:
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-3003
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-3004
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-3005
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-3006
-----BEGIN PGP SIGNATURE-----
iQCVAwUBSKLezPOB+SpikaiRAQJFJgQA0D+45kx9/ybHy/BxUmA9ASkvwKbWdYoI
8HT9nWbT9aqFBlCdvPVN+MLlmmb/532fnBPi+Y030Butt5G8JZ7yJZXr8eOgAWNy
U069sA6QC8f/NRvgP0Ddx1ldEDo+8EsiIeef7I0UMfUGWbqh+tuVNCn+v4NmXpEU
uO05Xq5bgX0=
=OMV8
-----END PGP SIGNATURE-----