Alert GCSA-09053 - Vulnerabilita' in Microsoft Video ActiveX Control
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
******************************************************************
Alert ID : GCSA-09053
Data : 7 luglio 2009
Titolo : Vulnerabilita' in Microsoft Video ActiveX Control (972890)
******************************************************************
:: Descrizione del problema
E' stata scoperta una nuova vulnerabilita' nel sistema operativo
Microsoft Windows che potrebbe essere sfruttata da un attaccante
remoto per compromettere un sistema vulnerabile.
La vulnerabilita' e' causata da un errore presente nel controllo
ActiveX per lo streaming video (msvidctl.dll) e potrebbe essere
sfruttata per causare condizioni di stack overflow attraverso
contenuti video appositamente predisposti.
:: Software interessato
Microsoft Windows Server 2003 Datacenter Edition
Microsoft Windows Server 2003 Enterprise Edition
Microsoft Windows Server 2003 Standard Edition
Microsoft Windows Server 2003 Web Edition
Microsoft Windows Storage Server 2003
Microsoft Windows XP Home Edition
Microsoft Windows XP Professional
:: Impatto
Compromissione del sistema
Esecuzione di codice arbitrario
:: Soluzioni
Non e' ancora disponibile una soluzione definitiva per la correzione
della vulnerabilita' ma sono state fornite all'interno dell'avviso
delle istruzioni (workaround) per bloccare i possibili veicoli di
attacco.
Consultare l'approfondimento proposto nell'articolo Microsoft
Knowledge Base http://support.microsoft.com/kb/972890 per eseguire
automaticamente le correzioni con l'applicazione "Microsoft Fix it".
:: Riferimenti
Microsoft Security Advisory (972890)
http://www.microsoft.com/technet/security/advisory/972890.mspx
The Microsoft Security Response Center (MSRC)
http://blogs.technet.com/msrc/
US-CERT - Technical Cyber Security Alert TA09-187A
http://www.us-cert.gov/cas/techalerts/TA09-187A.html
Secunia - Ms DirectShow MPEG2TuneRequest ActiveX Control Buffer Overflow
http://secunia.com/advisories/35683/
Securityfocus
http://www.securityfocus.com/bid/35558
Mitre's CVE ID
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0015
-----BEGIN PGP SIGNATURE-----
iQCVAwUBSlRecvOB+SpikaiRAQIuUwQArqBxVcCSMAmcdTNuBNGsKKteFeGPVD8J
YNpgD6Dy3K2eRVnXmrth+47FB5pmaD/vbTsBbJQeXK5LGvenhMi5W3fdek48i0bA
sDyIyBLEDdqXhCoV9wwpa6wW+fzWB1BYch+8AjpVC6p85UJ0hko5+lS3DRSm/2kN
DG+xRCw9U2w=
=4bkX
-----END PGP SIGNATURE-----
Hash: SHA1
******************************************************************
Alert ID : GCSA-09053
Data : 7 luglio 2009
Titolo : Vulnerabilita' in Microsoft Video ActiveX Control (972890)
******************************************************************
:: Descrizione del problema
E' stata scoperta una nuova vulnerabilita' nel sistema operativo
Microsoft Windows che potrebbe essere sfruttata da un attaccante
remoto per compromettere un sistema vulnerabile.
La vulnerabilita' e' causata da un errore presente nel controllo
ActiveX per lo streaming video (msvidctl.dll) e potrebbe essere
sfruttata per causare condizioni di stack overflow attraverso
contenuti video appositamente predisposti.
:: Software interessato
Microsoft Windows Server 2003 Datacenter Edition
Microsoft Windows Server 2003 Enterprise Edition
Microsoft Windows Server 2003 Standard Edition
Microsoft Windows Server 2003 Web Edition
Microsoft Windows Storage Server 2003
Microsoft Windows XP Home Edition
Microsoft Windows XP Professional
:: Impatto
Compromissione del sistema
Esecuzione di codice arbitrario
:: Soluzioni
Non e' ancora disponibile una soluzione definitiva per la correzione
della vulnerabilita' ma sono state fornite all'interno dell'avviso
delle istruzioni (workaround) per bloccare i possibili veicoli di
attacco.
Consultare l'approfondimento proposto nell'articolo Microsoft
Knowledge Base http://support.microsoft.com/kb/972890 per eseguire
automaticamente le correzioni con l'applicazione "Microsoft Fix it".
:: Riferimenti
Microsoft Security Advisory (972890)
http://www.microsoft.com/technet/security/advisory/972890.mspx
The Microsoft Security Response Center (MSRC)
http://blogs.technet.com/msrc/
US-CERT - Technical Cyber Security Alert TA09-187A
http://www.us-cert.gov/cas/techalerts/TA09-187A.html
Secunia - Ms DirectShow MPEG2TuneRequest ActiveX Control Buffer Overflow
http://secunia.com/advisories/35683/
Securityfocus
http://www.securityfocus.com/bid/35558
Mitre's CVE ID
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0015
-----BEGIN PGP SIGNATURE-----
iQCVAwUBSlRecvOB+SpikaiRAQIuUwQArqBxVcCSMAmcdTNuBNGsKKteFeGPVD8J
YNpgD6Dy3K2eRVnXmrth+47FB5pmaD/vbTsBbJQeXK5LGvenhMi5W3fdek48i0bA
sDyIyBLEDdqXhCoV9wwpa6wW+fzWB1BYch+8AjpVC6p85UJ0hko5+lS3DRSm/2kN
DG+xRCw9U2w=
=4bkX
-----END PGP SIGNATURE-----