Alert GCSA-08026 - MS08-017 Vulnerabilita' in Microsoft Office Web
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
******************************************************************
Alert ID : GCSA-08026
Data : 12 marzo 2008
Titolo : MS08-017 Vulnerabilita' in Microsoft Office Web Components (933103)
******************************************************************
:: Descrizione del problema
Sono stati individuati due difetti in Office Web Components
che potrebbero generare errori di corruzione della memoria
durante l'analisi di comndi di esecuzione creati ad hoc.
Un agressore puo' sfruttarle inducendo l'utente a visitire
un sito web malevolo.
:: Software interessato
Office 2000 SP3 (Office Web Components 2000)
Office XP SP3 (Office Web Components 2000)
Visual Studio .NET 2002 SP1 (Office Web Components 2000)
Visual Studio .NET 2003 SP1 (Office Web Components 2000)
BizTalk Server 2000 (Office Web Components 2000)
BizTalk Server 2002 (Office Web Components 2000)
Commerce Server 2000 (Office Web Components 2000)
Internet Security and Acceleration Server 2000 SP2 (Office Web Components 2000)
:: Impatto
Esecuzione remota di codice arbitrario
Conquista del controllo completo sul sistema
Installazione di programmi
Lettura, modifica e cancellazione di dati
Creazione di nuovi account
:: Soluzioni
Installare manualmente la patch elencata nel bollettino Microsoft,
oppure utilizzare uno degli strumenti di aggiornamento come:
Aggiornamenti Automatici, Windows Update, Microsoft Update,
Windows Server Update Services.
:: Riferimenti
Microsoft Security Bulletin
http://www.microsoft.com/technet/security/bulletin/MS08-017.mspx
Microsoft Knowledge Base
http://support.microsoft.com/kb/933103
Microsoft Update
https://update.microsoft.com/microsoftupdate/
Mitre's CVE ID
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-4695
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-1201
Secunia advisories
http://secunia.com/advisories/29328/
FrSIRT
http://www.frsirt.com/english/advisories/2008/0849
Securityfocus Bugtraq ID
http://www.securityfocus.com/bid/28135
http://www.securityfocus.com/bid/28136
SANS Internet Storm Center
http://isc.sans.org/diary.html?storyid=4124&rss
-----BEGIN PGP SIGNATURE-----
iQCVAwUBR9evY/OB+SpikaiRAQJMOAQApKA4ZDAYmG4j7OUxhJwmo9MRVhVfIwEQ
9nEWR0tS7yjpyXgmZ5i9neJuy8rFAIiBSMVOrAhjfLwSGSH3XxHysWGZS6cWh0Jd
dpFFUyCUi+vwHX6uS0sS2E+wOLEuNsQh3ONz5NNci7KptudqKDhIEnJTLpvVnMVV
syr3JziG9/Y=
=7bDD
-----END PGP SIGNATURE-----
Hash: SHA1
******************************************************************
Alert ID : GCSA-08026
Data : 12 marzo 2008
Titolo : MS08-017 Vulnerabilita' in Microsoft Office Web Components (933103)
******************************************************************
:: Descrizione del problema
Sono stati individuati due difetti in Office Web Components
che potrebbero generare errori di corruzione della memoria
durante l'analisi di comndi di esecuzione creati ad hoc.
Un agressore puo' sfruttarle inducendo l'utente a visitire
un sito web malevolo.
:: Software interessato
Office 2000 SP3 (Office Web Components 2000)
Office XP SP3 (Office Web Components 2000)
Visual Studio .NET 2002 SP1 (Office Web Components 2000)
Visual Studio .NET 2003 SP1 (Office Web Components 2000)
BizTalk Server 2000 (Office Web Components 2000)
BizTalk Server 2002 (Office Web Components 2000)
Commerce Server 2000 (Office Web Components 2000)
Internet Security and Acceleration Server 2000 SP2 (Office Web Components 2000)
:: Impatto
Esecuzione remota di codice arbitrario
Conquista del controllo completo sul sistema
Installazione di programmi
Lettura, modifica e cancellazione di dati
Creazione di nuovi account
:: Soluzioni
Installare manualmente la patch elencata nel bollettino Microsoft,
oppure utilizzare uno degli strumenti di aggiornamento come:
Aggiornamenti Automatici, Windows Update, Microsoft Update,
Windows Server Update Services.
:: Riferimenti
Microsoft Security Bulletin
http://www.microsoft.com/technet/security/bulletin/MS08-017.mspx
Microsoft Knowledge Base
http://support.microsoft.com/kb/933103
Microsoft Update
https://update.microsoft.com/microsoftupdate/
Mitre's CVE ID
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-4695
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-1201
Secunia advisories
http://secunia.com/advisories/29328/
FrSIRT
http://www.frsirt.com/english/advisories/2008/0849
Securityfocus Bugtraq ID
http://www.securityfocus.com/bid/28135
http://www.securityfocus.com/bid/28136
SANS Internet Storm Center
http://isc.sans.org/diary.html?storyid=4124&rss
-----BEGIN PGP SIGNATURE-----
iQCVAwUBR9evY/OB+SpikaiRAQJMOAQApKA4ZDAYmG4j7OUxhJwmo9MRVhVfIwEQ
9nEWR0tS7yjpyXgmZ5i9neJuy8rFAIiBSMVOrAhjfLwSGSH3XxHysWGZS6cWh0Jd
dpFFUyCUi+vwHX6uS0sS2E+wOLEuNsQh3ONz5NNci7KptudqKDhIEnJTLpvVnMVV
syr3JziG9/Y=
=7bDD
-----END PGP SIGNATURE-----