Alert GCSA-08053 - MS08-032 Aggiornamento cumulativo per la protezione
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
******************************************************************
Alert ID : GCSA-08053
Data : 12 giugno 2008
Titolo : MS08-032 Aggiornamento cumulativo per la
protezione dei kill bit di ActiveX
******************************************************************
:: Descrizione del problema
Questo aggiornamento per la protezione risolve una vulnerabilita'
nell'API del motore di sintesi vocale Microsoft.
Nel file sapi.dll dei componenti di sintesi vocale esiste una
vulnerabilita' che puo' consentire l'esecuzione di codice in
modalita' remota. Un utente malintenzionato potrebbe sfruttare la
vulnerabilita' creando una pagina Web appositamente predisposta. Se
un utente visualizza la pagina Web, la vulnerabilita' potrebbe
consentire l'esecuzione di codice in modalita' remota. L'utente deve
aver attivato la funzionalita' di riconoscimento vocale in Windows.
Questo aggiornamento include inoltre un kill bit per il software
prodotto da BackWeb.
:: Software interessato
Microsoft Windows 2000 Advanced Server
Microsoft Windows 2000 Datacenter Server
Microsoft Windows 2000 Professional
Microsoft Windows 2000 Server
Microsoft Windows Server 2003 Datacenter Edition
Microsoft Windows Server 2003 Enterprise Edition
Microsoft Windows Server 2003 Standard Edition
Microsoft Windows Server 2003 Web Edition
Microsoft Windows Server 2008
Microsoft Windows Vista
Microsoft Windows XP Home Edition
Microsoft Windows XP Professional
:: Impatto
Esecuzione di codice arbitrario
Accesso al sistema
:: Soluzioni
Installare manualmente la patch elencata nel bollettino Microsoft,
oppure utilizzare uno degli strumenti di aggiornamento come:
Aggiornamenti Automatici, Windows Update, Microsoft Update,
Windows Server Update Services.
Nel bolletino in oggetto sono inoltre indicate delle soluzioni
alternative per la vulnerabilita' nell'API di sintesi vocale
:: Riferimenti
Bollettino Microsoft sulla sicurezza MS08-032:
http://www.microsoft.com/technet/security/Bulletin/MS08-032.mspx
FrSirt:
http://www.frsirt.com/english/advisories/2008/1779
Secunia:
http://secunia.com/advisories/30578/
SecurityFocus:
http://www.securityfocus.com/bid/22359
US-CERT Technical Cyber Security Alert TA08-162A
http://www.us-cert.gov/cas/techalerts/TA08-162B.html
BackWeb News:
http://backweb.com/news_events/press_releases/051608.php
CVE Mitre:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-0675
-----BEGIN PGP SIGNATURE-----
iQCVAwUBSFD51vOB+SpikaiRAQJnsQP9HxZ2XNa4+pHISPu4sEURt4diyniw3IiA
duDreWu1jpIWdafLuNbSnPVfBRz8jlTiJUU03vZlSpedS+hEt7TyMbq9v4cU5JIC
dmZfuNSV19gnXIkTUM30RvNR2hcIvXIVUuQTU5MvZLnGabUfyOXcaU7V/1s1bbkp
2kY75R5iUmA=
=qhkw
-----END PGP SIGNATURE-----
Hash: SHA1
******************************************************************
Alert ID : GCSA-08053
Data : 12 giugno 2008
Titolo : MS08-032 Aggiornamento cumulativo per la
protezione dei kill bit di ActiveX
******************************************************************
:: Descrizione del problema
Questo aggiornamento per la protezione risolve una vulnerabilita'
nell'API del motore di sintesi vocale Microsoft.
Nel file sapi.dll dei componenti di sintesi vocale esiste una
vulnerabilita' che puo' consentire l'esecuzione di codice in
modalita' remota. Un utente malintenzionato potrebbe sfruttare la
vulnerabilita' creando una pagina Web appositamente predisposta. Se
un utente visualizza la pagina Web, la vulnerabilita' potrebbe
consentire l'esecuzione di codice in modalita' remota. L'utente deve
aver attivato la funzionalita' di riconoscimento vocale in Windows.
Questo aggiornamento include inoltre un kill bit per il software
prodotto da BackWeb.
:: Software interessato
Microsoft Windows 2000 Advanced Server
Microsoft Windows 2000 Datacenter Server
Microsoft Windows 2000 Professional
Microsoft Windows 2000 Server
Microsoft Windows Server 2003 Datacenter Edition
Microsoft Windows Server 2003 Enterprise Edition
Microsoft Windows Server 2003 Standard Edition
Microsoft Windows Server 2003 Web Edition
Microsoft Windows Server 2008
Microsoft Windows Vista
Microsoft Windows XP Home Edition
Microsoft Windows XP Professional
:: Impatto
Esecuzione di codice arbitrario
Accesso al sistema
:: Soluzioni
Installare manualmente la patch elencata nel bollettino Microsoft,
oppure utilizzare uno degli strumenti di aggiornamento come:
Aggiornamenti Automatici, Windows Update, Microsoft Update,
Windows Server Update Services.
Nel bolletino in oggetto sono inoltre indicate delle soluzioni
alternative per la vulnerabilita' nell'API di sintesi vocale
:: Riferimenti
Bollettino Microsoft sulla sicurezza MS08-032:
http://www.microsoft.com/technet/security/Bulletin/MS08-032.mspx
FrSirt:
http://www.frsirt.com/english/advisories/2008/1779
Secunia:
http://secunia.com/advisories/30578/
SecurityFocus:
http://www.securityfocus.com/bid/22359
US-CERT Technical Cyber Security Alert TA08-162A
http://www.us-cert.gov/cas/techalerts/TA08-162B.html
BackWeb News:
http://backweb.com/news_events/press_releases/051608.php
CVE Mitre:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-0675
-----BEGIN PGP SIGNATURE-----
iQCVAwUBSFD51vOB+SpikaiRAQJnsQP9HxZ2XNa4+pHISPu4sEURt4diyniw3IiA
duDreWu1jpIWdafLuNbSnPVfBRz8jlTiJUU03vZlSpedS+hEt7TyMbq9v4cU5JIC
dmZfuNSV19gnXIkTUM30RvNR2hcIvXIVUuQTU5MvZLnGabUfyOXcaU7V/1s1bbkp
2kY75R5iUmA=
=qhkw
-----END PGP SIGNATURE-----