Vulnerabilita’ multiple in Microsoft Office
Descrizione del problema
Sono state riscontrate vulnerabilita’ multiple in Microsoft Office che
potrebbero essere sfruttata per compromettere un sistema che ne sia affetto.
Queste vulnerabilita’ sono causate da errori di corruzione della memoria
durante l’elaborazione di file EPS (Encapsulated PostScript), o immagini PICT,
BMP o WPG (WordPerfect Graphics) appositamente predisposti, e potrebbero
essere sfruttate per arrestare un’applicazione che ne sia affetta o eseguire
codice arbitrario inducendo l’utente ad aprire file Office malevoli.
:: Piattaforme e software interessati
- – Microsoft Office 2000
- – Microsoft Office 2003 Professional Edition
- – Microsoft Office 2003 Small Business Edition
- – Microsoft Office 2003 Standard Edition
- – Microsoft Office 2003 Student and Teacher Edition
- – Microsoft Office File Converter Pack
- – Microsoft Office XP
- – Microsoft Project 2002
- – Microsoft Works 8.x
:: Impatto
- – Esecuzione remota di codice arbitrario
:: Soluzioni
Applicare le patch
Microsoft Office 2000 SP3:
http://www.microsoft.com
Microsoft Office XP SP3:
http://www.microsoft.com
Microsoft Office 2003 SP2 (SP3 non e’ affetto):
http://www.microsoft.com
Microsoft Office Project 2002 SP1:
http://www.microsoft.com
Microsoft Office Converter Pack:
http://www.microsoft.com
Microsoft Works 8:
http://www.microsoft.com
:: Riferimenti
Microsoft:
http://www.microsoft.com
FrSirt:
http://www.frsirt.com
Secunia:
http://secunia.com/advisories/31336/
CVE Mitre:
CVE-2008-3018
CVE-2008-3019
CVE-2008-3020
CVE-2008-3021
CVE-2008-3460
Vulnerabilita’ in Microsoft Excel (MS08-043)
Descrizione del problema
Description:
Sono state riscontrate multiple vulnerabilita’ in Microsoft Excel, che
potrebbero essere sfruttate per ottenere informazioni sensibili o per
compromettere un sistema che ne sia affetto.
La prima vulnerabilita’ e’ dovuta ad un errore di corruzione della memoria
durante l’elaborazione di valori index mentre file Excel vengono caricati in
memoria, e potrebbe essere sfruttata per eseguire codice arbitrario.
La seconda vulnerabilita’ e’ dovuta ad un errore di corruzione della memoria
durante l’elaborazione di un array index mentre file Excel vengono caricati in
memoria, e potrebbe essere sfruttata per eseguire codice arbitrario.
La terza vulnerabilita’ e’ dovuta ad un errore di corruzione della memoria
durante l’elaborazione di valori record mentre file Excel vengono caricati in
memoria, e potrebbe essere sfruttata per eseguire codice arbitrario.
La quarta vulnerabilita’ e’ dovuta alla non appropriata eliminazione della
stringa password da parte di Excel quando il file “.xlsx” viene configurato
per non registrare le credenziali, e potrebbe essere sfruttata per ottenere
l’accesso a dati protetti da password su una sorgente di dati remota.
:: Impatto
- – accesso ad informazioni sensibili
:: Soluzioni
Applicare le patch
Excel 2000 SP3:
http://www.microsoft.com
Excel 2002 SP3:
http://www.microsoft.com
Excel 2003 SP2:
http://www.microsoft.com
Excel 2003 SP3:
http://www.microsoft.com
Excel 2007:
http://www.microsoft.com
Excel 2007 SP1:
http://www.microsoft.com
Microsoft Office Excel Viewer 2003:
http://www.microsoft.com
Microsoft Office Excel Viewer 2003 SP3:
http://www.microsoft.com
Microsoft Office Excel Viewer:
http://www.microsoft.com
Microsoft Office Compatibility Pack per Word, Excel, e PowerPoint 2007 File Formats:
http://www.microsoft.com
Microsoft Office Compatibility Pack per Word, Excel, e PowerPoint 2007 File Formats SP1:
http://www.microsoft.com
Microsoft Office 2004 per Mac:
http://www.microsoft.com
Microsoft Office 2008 per Mac:
http://www.microsoft.com
:: Riferimenti
Microsoft:
http://www.microsoft.com
Secunia:
http://secunia.com
FrSirt:
http://www.frsirt.com
CVE Mitre:
CVE-2008-3003
CVE-2008-3004
CVE-2008-3005
CVE-2008-3006
Vulnerabilita’ in Microsoft Word (MS08-042)
Descrizione del problema
E’ stata riscontrata una vulnerabilita’ in Microsoft Word che potrebbe
essere sfruttata per compromettere un sistema che ne sia affetto.
Questa vulnerabilita’ e’ dovuta ad un errore durante l’elaborazione
dei valori di smart tag, e potrebbe essere sfruttata per provocare
corruzione di memoria attraverso documenti appositamente predisposti.
:: Piattaforme e software interessati
- – Microsoft Office 2003 Professional Edition
- – Microsoft Office 2003 Small Business Edition
- – Microsoft Office 2003 Standard Edition
- – Microsoft Office 2003 Student and Teacher Edition
- – Microsoft Office XP
- – Microsoft Word 2002
- – Microsoft Word 2003
:: Impatto
- – Esecuzione remota di codice arbitrario;
- – Possibile comprmissione del sistema.
:: Soluzioni
Applicare le patch
Microsoft Word 2002 SP3:
http://www.microsoft.com
Microsoft Word 2003 SP2:
http://www.microsoft.com
Microsoft Word 2003 SP3:
http://www.microsoft.com
:: Riferimenti
Microsoft:
http://www.microsoft.com
http://www.microsoft.com
Secunia:
http://secunia.com/advisories/30975/
CVE Mitre:
CVE-2008-2244
Vulnerabilita’ in Snapshot Viewer per Microsoft
Si tratta di :Sicurezza
Descrizione del problema
E’ stata riscontrata una vulnerabilita’ in Snapshot Viewer per Microsoft
Access che potrebbe essere sfruttata per compromettere un sistema che ne sia
affetto.
Questa vulnerabilita’ e’ dovuta ad una race condition nel controllo ActiveX
snapview.ocx durante l’impostazione delle propriet “SnapshotPath” e
“CompressedPath”, e potrebbe essere sfruttata per effettuare il download
automatico di file in locazioni arbitrarie su un sistema utente, quando, ad
esempio, un utente visita una pagina web malevola.
:: Piattaforme e software interessati
- – Microsoft Access 2000
- – Microsoft Access 2002
- – Microsoft Access 2003
- – Microsoft Access Snapshot Viewer
- – Microsoft Office 2000
- – Microsoft Office 2003 Professional Edition
- – Microsoft Office 2003 Small Business Edition
- – Microsoft Office 2003 Standard Edition
- – Microsoft Office 2003 Student and Teacher Edition
- – Microsoft Office XP
:: Impatto
- – Esecuzione remota di codice arbitrario;
- – Possibile comprmissione del sistema.
:: Soluzioni
Applicare le patch
Snapshot Viewer per Microsoft Access:
Microsoft sta ancora lavorando sulla patch per questo prodotto. Come workaround settare il kill-bit per il controllo ActiveX.
Microsoft Office Access 2000 SP3:
http://www.microsoft.com
Microsoft Office Access 2002 SP3:
http://www.microsoft.com/
Microsoft Office Access 2003 SP2/SP3:
http://www.microsoft.com/
:: Riferimenti
Microsoft:
http://www.microsoft.com/
http://www.microsoft.com/
http://blogs.technet.com/
Secunia:
http://secunia.com/advisories/30883/
US-CERT VU#837785:
http://www.kb.cert.org/vuls/id/837785
CVE Mitre:
http://www.cve.mitre.org
G.Carlo Pozzo Evidence Facto Director Internet VerifyCenter s.p.a 2002-2008
Si tratta di :Bufale e Hoax
E’ arrivata questa buffa segnalazione
dove si evince che certo Carlo Pozzo della Evidence Facto Director Internet VerifyCenter s.p.a (un nome più adatto poteva essere cassate and cassate) scrive ai clienti, non si sa di che per informare che stanno effettuando i dovuti accertamenti sul nostro sistema informatico, ma un terzo che cosa deve accertare, boh ?
La missiva dice che l’indirizzo e-mail è stato segnalato da terzi per non dire che è stato sgraffignato con qualche spam bot, o fregato da qualche lista, per continuare poi questo sedicente “facto director” titolo pomposo ma di nessun significato ci avvisa che probabilmente siamo in una lista degli indagati di agosto 2008 ed è nostro interesse controllare se il nostro nominativo è in questa lista, ma a quale lista e sopratutto se è stato proprio questo “facto director” o meglio chissà la segretaria del factor bohh alla fine non si capisce a cosa si riferisca e non si dice dove reperire questa lista non si fa nessun cenno ad altro, per finire veniamo invitati a dichiarare la nostra innocenza non si sa per quale motivo ma secondo il facto director nel nostro computer c’è traccia di materiale contraffatto e illegale e dunque dobbiamo agire e discolparci.. perchè il facto director altrimenti potrebbe indagare ancora e ancora… chissà se questo factor dispone di superpoteri chissà…
Per concludere mi sembra una mail scritta da un ragazzino o da gente immatura che così facendo si crede figa, e vuole prendere in giro a qualxcuno ma chiunque capisce che si tratta di una grande grossa bufala una vera bufala e della peggior specie… non meritava nemmeno di essere su hoax.it ma ogni tanto qualche cavolata ce la concediamo…
di seguito riporto il testo della mail per la vostra gioia
Gentile Cliente, stiamo eseguendo i dovuti accertamenti sul suo sistema informatico, il suo indirizzo email ci è stato segnalato da terzi come fruitore di materiale scaricato illegalmente dalla rete. La sua posta elettronica è sotto controllo già da 10gg, la preghiamo pertanto di voler verificare se il suo nominativo compare nella lista degli indagati Agosto 2008 onde dichiarare la sua estraneità alla detenzione di materiale illegale e contraffatto.
Certi di una sua volontaria collaborazione porgiamo
Distinti Saluti
G.Carlo Pozzi – Evidence Facto Director
Internet VerifyCenter s.p.a 2002-2008
Antitrust, occhio alle guide commerciali su Internet
Si tratta di :News
ROMA – Centinaia di segnalazioni di imprese, professionisti e istituzioni che hanno sottoscritto moduli per l’aggiornamento dei propri dati e ricevono invece richieste di pagamento. Un allarme che ha convinto l’Antitrust a trasmettere alla procura di Roma la documentazione relativa ai messaggi con i quali diverse società, tutte residenti all’estero, invitano professionisti, istituzioni e piccole e medie imprese ad inserire su guide internet il loro nominativo.
Si tratta di comunicazioni che l’Antitrust ha già più volte dichiarato ingannevoli: infatti chi le riceve viene indotto dai caratteri poco chiari a sottoscrivere un modulo, che apparentemente serve ad aggiornare gratuitamente i dati della società o dell’ente. Invece sottoscrive un costoso contratto per inserire i suoi dati nella guida.
Perciò l’Antitrust invita chi ha ricevuto richieste di pagamento a fare denuncia alle Autorità giudiziarie e sottolinea che una comunicazione ingannevole può invalidare il contratto.
I messaggi, già condannati anche da altre Autorità europee, continuano ad essere diffusi via mail o posta ordinaria, nonostante l’Autorità ne abbia vietato la diffusione. Negli ultimi mesi la Commissione guidata da Antonio Catricalà ha ricevuto centinaia di segnalazioni di imprenditori e di istituzioni pubbliche che si sono visti intimare il pagamento per l’iscrizione nelle guide, pari mediamente a circa 1.000 euro, avvenuto proprio per effetto delle comunicazioni ingannevoli. Inoltre sono state segnalate altre proposte di aggiornamento dati da parte delle società già condannate e di nuove società.
Perciò l’Autorità ha deciso di inviare alla Procura di Roma «per le valutazione e gli accertamenti che saranno ritenuti più opportuni», tutta la documentazione relativa alle società ripetutamente condannate per pubblicità ingannevole e per inottemperanza alle decisioni dell’Autorità. Nel dettaglio si tratta della DAD Deutscher Adressdienst GmbH (4 provvedimenti di ingannevolezza e di 3 provvedimenti di inottemperanza); CD Publisher Construct Data Verlag GmbH (due provvedimenti di ingannevolezza e due provvedimenti di inottemperanza), Nova Channel AG (un provvedimento di ingannevolezza e due di inottemperanza), European City Guide S.L. (due provvedimenti di ingannevolezza e due provvedimenti di inottemperanza) ed Eu Business Services Limited (un provvedimento di ingannevolezza).
Infine l’Antitrust ricorda che chi sta ricevendo le nuove comunicazioni per l’inserimento di dati su guide internet deve leggere attentamente i moduli prima di decidere se sottoscriverli.
ottimo articolo tratto da “la stampa” link qui
