Alert GCSA-08032 - MS08-019 Vulnerabilita' in Microsoft Visio (949032)
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
******************************************************************
Alert ID : GCSA-08032
Data : 09 aprile 2008
Titolo : MS08-019 Vulnerabilita' in Microsoft Visio (949032)
******************************************************************
:: Descrizione del problema
Sono state individuate due vulnerabilita' in Microsoft Visio
che potrebbero consentire l'esecuzione di codice arbitrario
se un utente apre un file opportunamente artefatto.
1) Errore durante l'elaborazione degli object header di un
file Visio.
2) Errore di validazione nell'allocazione della memoria
durante il caricamento di un disegno AutoCAD (.DXF)
artefatto.
:: Software interessato
Office XP SP2 (Visio 2002 SP2)(KB947896)
Office 2003 SP2 (Visio 2003 SP2)(KB947650)
Office 2003 SP3 (Visio 2003 SP3)(KB947650)
2007 Microsoft Office System (Visio 2007)(KB947590)
2007 Microsoft Office System SP1 (Visio 2007 SP1)(KB947590)
:: Impatto
Esecuzione remota di codice arbitrario
Conquista del controllo completo sul sistema
Installazione di programmi
Lettura, modifica e cancellazione di dati
Creazione di nuovi account
:: Soluzioni
Installare manualmente la patch elencata nel bollettino Microsoft,
oppure utilizzare uno degli strumenti di aggiornamento come:
Aggiornamenti Automatici, Windows Update, Microsoft Update,
Windows Server Update Services.
:: Riferimenti
Microsoft Security Bulletin
http://www.microsoft.com/technet/security/bulletin/MS08-019.mspx
Microsoft Knowledge Base
http://support.microsoft.com/kb/949032
Microsoft Update
https://update.microsoft.com/microsoftupdate/
Mitre's CVE ID
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1089
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1090
Secunia advisories
http://secunia.com/advisories/29691/
FrSIRT
http://www.frsirt.com/english/advisories/2008/1143
Securityfocus Bugtraq ID
http://www.securityfocus.com/bid/28555
http://www.securityfocus.com/bid/28556
SANS Internet Storm Center
http://isc.sans.org/diary.html?storyid=4264
-----BEGIN PGP SIGNATURE-----
iQCVAwUBR/y4BPOB+SpikaiRAQJ29gQAqYLXvLrLECior2t0UCeZp/JO2rrCC4VG
2Qs+obKNkapycU6FcY5zKu8f9uu2pUSUoXk5DBoiF/jUmFxWcbSSl9iMJQZ7YSFM
+7KmfGdJMnxsCi4p1XritpoF2+n9TTRKsjBiq5ydKvfNIjDSxA5CGBBg62wsqNJU
w6Jt4VT0mM8=
=ClR1
-----END PGP SIGNATURE-----
Hash: SHA1
******************************************************************
Alert ID : GCSA-08032
Data : 09 aprile 2008
Titolo : MS08-019 Vulnerabilita' in Microsoft Visio (949032)
******************************************************************
:: Descrizione del problema
Sono state individuate due vulnerabilita' in Microsoft Visio
che potrebbero consentire l'esecuzione di codice arbitrario
se un utente apre un file opportunamente artefatto.
1) Errore durante l'elaborazione degli object header di un
file Visio.
2) Errore di validazione nell'allocazione della memoria
durante il caricamento di un disegno AutoCAD (.DXF)
artefatto.
:: Software interessato
Office XP SP2 (Visio 2002 SP2)(KB947896)
Office 2003 SP2 (Visio 2003 SP2)(KB947650)
Office 2003 SP3 (Visio 2003 SP3)(KB947650)
2007 Microsoft Office System (Visio 2007)(KB947590)
2007 Microsoft Office System SP1 (Visio 2007 SP1)(KB947590)
:: Impatto
Esecuzione remota di codice arbitrario
Conquista del controllo completo sul sistema
Installazione di programmi
Lettura, modifica e cancellazione di dati
Creazione di nuovi account
:: Soluzioni
Installare manualmente la patch elencata nel bollettino Microsoft,
oppure utilizzare uno degli strumenti di aggiornamento come:
Aggiornamenti Automatici, Windows Update, Microsoft Update,
Windows Server Update Services.
:: Riferimenti
Microsoft Security Bulletin
http://www.microsoft.com/technet/security/bulletin/MS08-019.mspx
Microsoft Knowledge Base
http://support.microsoft.com/kb/949032
Microsoft Update
https://update.microsoft.com/microsoftupdate/
Mitre's CVE ID
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1089
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1090
Secunia advisories
http://secunia.com/advisories/29691/
FrSIRT
http://www.frsirt.com/english/advisories/2008/1143
Securityfocus Bugtraq ID
http://www.securityfocus.com/bid/28555
http://www.securityfocus.com/bid/28556
SANS Internet Storm Center
http://isc.sans.org/diary.html?storyid=4264
-----BEGIN PGP SIGNATURE-----
iQCVAwUBR/y4BPOB+SpikaiRAQJ29gQAqYLXvLrLECior2t0UCeZp/JO2rrCC4VG
2Qs+obKNkapycU6FcY5zKu8f9uu2pUSUoXk5DBoiF/jUmFxWcbSSl9iMJQZ7YSFM
+7KmfGdJMnxsCi4p1XritpoF2+n9TTRKsjBiq5ydKvfNIjDSxA5CGBBg62wsqNJU
w6Jt4VT0mM8=
=ClR1
-----END PGP SIGNATURE-----