Alert GCSA-07051 - Vulnerabilita' in Microsoft Visio (MS07-030)
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
******************************************************************
Alert ID : GCSA-07051
Data : 13 giugno 2007
Titolo : Vulnerabilita' in Microsoft Visio (MS07-030)
******************************************************************
:: Descrizione del problema:
Sono state scoperte due vulnerabilita' che affligono il prodotto
Microsoft Visio, e che rendono possibile l'esecuzione di codice
arbitrario in modalita' remota:
1) Difetto di validazione durante la gestione del campo
'numero di versione'
2) Difetto nella gestione di oggetti compressi
entrambe possono essere sfruttate per corrompere la memoria
per mezzo di un file Visio (.VSD, VSS, or .VST) costruito
appositamente.
Per compiere attacchi un aggressore deve indurre l'utente
ad aprire, per esempio, un allegato di posta elettonica o
a visitare un sito Web dannoso contenente pagine
appositamente predisposte.
:: Software interessato:
Microsoft Visio 2002 Service Pack 2
Microsoft Visio 2003 Service Pack 2
Microsoft Office 2003
:: Impatto:
Esecuzione di codice da remoto
Compromissione del sistema
:: Soluzioni:
Scaricare ed applicare la patch elencata nel seguente bollettino Microsoft,
oppure utilizzare uno degli strumenti di aggiornamento Microsoft come:
Aggiornamenti Automatici, Windows Update, Microsoft Update,
Windows Server Update Services, Systems Management Server.
:: Riferimenti:
Microsoft Security Bulletin (MS07-030)
http://www.microsoft.com/italy/technet/security/bulletin/MS07-030.mspx
Microsoft Knowledge Base
http://support.microsoft.com/kb/931280
http://support.microsoft.com/kb/927051
Microsoft Update
https://update.microsoft.com/microsoftupdate/
Mitre's CVE ID:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-0934
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-0936
Secunia Advisories
http://secunia.com/advisories/25619/
FrSIRT
http://www.frsirt.com/english/advisories/2007/2150
-----BEGIN PGP SIGNATURE-----
iQCVAwUBRm/oLfOB+SpikaiRAQJoggQAgI/CIfFY6eBkg/9H6LcK3iaC6PtE6ha2
Xr25FTuVmws3rX5x4vZ5GsYVwp+ZavvUCAwPlINBloDhl4fd8r9Hj+KfKRFqsUiC
ySEv82bZZzByhwsCkBYUwcUobFvQE2xHDdIOwHpQV8iI5Z/slHEBPktQKFZgl5gv
xXXm+05I1fk=
=XTEf
-----END PGP SIGNATURE-----
Hash: SHA1
******************************************************************
Alert ID : GCSA-07051
Data : 13 giugno 2007
Titolo : Vulnerabilita' in Microsoft Visio (MS07-030)
******************************************************************
:: Descrizione del problema:
Sono state scoperte due vulnerabilita' che affligono il prodotto
Microsoft Visio, e che rendono possibile l'esecuzione di codice
arbitrario in modalita' remota:
1) Difetto di validazione durante la gestione del campo
'numero di versione'
2) Difetto nella gestione di oggetti compressi
entrambe possono essere sfruttate per corrompere la memoria
per mezzo di un file Visio (.VSD, VSS, or .VST) costruito
appositamente.
Per compiere attacchi un aggressore deve indurre l'utente
ad aprire, per esempio, un allegato di posta elettonica o
a visitare un sito Web dannoso contenente pagine
appositamente predisposte.
:: Software interessato:
Microsoft Visio 2002 Service Pack 2
Microsoft Visio 2003 Service Pack 2
Microsoft Office 2003
:: Impatto:
Esecuzione di codice da remoto
Compromissione del sistema
:: Soluzioni:
Scaricare ed applicare la patch elencata nel seguente bollettino Microsoft,
oppure utilizzare uno degli strumenti di aggiornamento Microsoft come:
Aggiornamenti Automatici, Windows Update, Microsoft Update,
Windows Server Update Services, Systems Management Server.
:: Riferimenti:
Microsoft Security Bulletin (MS07-030)
http://www.microsoft.com/italy/technet/security/bulletin/MS07-030.mspx
Microsoft Knowledge Base
http://support.microsoft.com/kb/931280
http://support.microsoft.com/kb/927051
Microsoft Update
https://update.microsoft.com/microsoftupdate/
Mitre's CVE ID:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-0934
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-0936
Secunia Advisories
http://secunia.com/advisories/25619/
FrSIRT
http://www.frsirt.com/english/advisories/2007/2150
-----BEGIN PGP SIGNATURE-----
iQCVAwUBRm/oLfOB+SpikaiRAQJoggQAgI/CIfFY6eBkg/9H6LcK3iaC6PtE6ha2
Xr25FTuVmws3rX5x4vZ5GsYVwp+ZavvUCAwPlINBloDhl4fd8r9Hj+KfKRFqsUiC
ySEv82bZZzByhwsCkBYUwcUobFvQE2xHDdIOwHpQV8iI5Z/slHEBPktQKFZgl5gv
xXXm+05I1fk=
=XTEf
-----END PGP SIGNATURE-----