rom

Vulnerabilita’ in Microsoft Windows MSCMS (MS08-046)

Inserito da Silvio Passalacqua 13 agosto, 2008 (0) Commenti

Si tratta di :Exploits,Sicurezza

Descrizione del problema

E’ stata riscontrata una vulnerabilita’ in Microsoft Windows che potrebbe
essere sfruttata per compromettere un sistema che ne sia affetto.

La vulnerabilita’ e’ dovuta ad un boundary error nel modulo MSCMS (Microsoft
Color Management System) del componente Microsoft ICM (Image Color Management)
durante il parsing delle immagini, e potrebbe essere sfruttata per provocare
un buffer overflow di tipo heap-based attraverso file immagine appositamente
predisposti.

:: Piattaforme e software interessati

- – Microsoft Windows 2000 Advanced Server
- – Microsoft Windows 2000 Datacenter Server
- – Microsoft Windows 2000 Professional
- – Microsoft Windows 2000 Server
- – Microsoft Windows Server 2003 Datacenter Edition
- – Microsoft Windows Server 2003 Enterprise Edition
- – Microsoft Windows Server 2003 Standard Edition
- – Microsoft Windows Server 2003 Web Edition
- – Microsoft Windows Storage Server 2003
- – Microsoft Windows XP Home Edition
- – Microsoft Windows XP Professional

:: Impatto

- – Esecuzione remota di codice arbitrario

:: Soluzioni

Applicare le patch

Windows 2000 SP4:
http://www.microsoft.com

Windows XP SP2/SP3:
http://www.microsoft.com

Windows XP Professional x64 Edition (optionally with SP2):
http://www.microsoft.com

Windows Server 2003 SP1/SP2:
http://www.microsoft.com

Windows Server 2003 x64 Edition (optionally with SP2):
http://www.microsoft.com

Windows Server 2003 with SP1/SP2 for Itanium-based Systems:
http://www.microsoft.com

:: Riferimenti

Microsoft:
http://www.microsoft.com

FrSirt:
http://www.frsirt.com

Secunia:
http://secunia.com/advisories/31385/

CVE Mitre:
http://www.cve.mitre.org

Categories : Exploits,Sicurezza Tags : - Servizio Bonus, 2008, 3, articoli, Banca, blog, bufala, Burla, CLIENTE POSTE.IT, codice, computer, dell, gratis, hoax, hotmail, immagini, inter, Internet, italia, italiano, la, linux, man, microsoft, Microsoft Windows, MS08-046, musica, News, online, patch, pc, Phishing, Poste, rom, security, siti, sito, software, TECNOLOGIA, TRE, video, Vulnerabilità, web, Win, WIND, windows

Vulnerabilita’ multiple in Microsoft Internet Explorer

Inserito da Silvio Passalacqua 13 agosto, 2008 (0) Commenti

Si tratta di :Exploits,Sicurezza

Descrizione del problema

Sono state riscontrate vulnerabilita’ multiple in Microsoft Internet Explorer
che potrebbero essere sfruttate per compromettere un sistema che ne sia affetto.

Queste vulnerabilita’ sono dovute ad errori di tipo input validation e di
corruzione della memoria durante l’accesso a certi oggetti o durante
l’elaborazione di anteprime di stampa, e potrebbero essere sfruttate per
arrestare un’applicazione che ne sia affetta o per eseguire codice arbitrario
inducendo un utente a visitare pagine web malevole.

:: Piattaforme e software interessati

- – Microsoft Internet Explorer 5.01
- – Microsoft Internet Explorer 6.x
- – Microsoft Internet Explorer 7.x

:: Impatto

- – Esecuzione remota di codice arbitrario

:: Soluzioni

Applicare le patch

- — Windows 2000 SP4 –

Internet Explorer 5.01 SP4:
http://www.microsoft.com

Internet Explorer 6 SP1:
http://www.microsoft.com
- — Internet Explorer 6 –

Windows XP SP2:
http://www.microsoft.com

Windows XP SP3:
http://www.microsoft.com

Windows XP Professional x64 Edition (optionally with SP2):
http://www.microsoft.com

Windows Server 2003 SP1/SP2:
http://www.microsoft.com

Windows Server 2003 x64 Edition (optionally with SP2):
http://www.microsoft.com/downloads/details.aspx?familyid=32A63F52-9FE6-48E3-BB4E-7D4DDA5E0A90

Windows Server 2003 with SP1/SP2 for Itanium-based
http://www.microsoft.com
- — Internet Explorer 7 –

Windows XP SP2/SP3:
http://www.microsoft.com

Windows XP Professional x64 Edition (optionally with SP2):
http://www.microsoft.com
Windows Server 2003 SP1/SP2:
http://www.microsoft.com
Windows Server 2003 x64 Edition (optionally with SP2):
http://www.microsoft.com

Windows Server 2003 with SP1/SP2 for Itanium-based Systems:
http://www.microsoft.com

Windows Vista (optionally with SP1):
http://www.microsoft.com

Windows Vista x64 Edition (optionally with SP1):
http://www.microsoft.com

Windows Server 2008 for 32-bit Systems:
http://www.microsoft.com

Windows Server 2008 for x64-based Systems:
http://www.microsoft.com

Windows Server 2008 for Itanium-based Systems:
http://www.microsoft.com

:: Riferimenti

Microsoft:
http://www.microsoft.com

FrSirt:
http://www.frsirt.com

Secunia:
http://secunia.com/advisories/31375/

CVE Mitre:
CVE-2008-2254
CVE-2008-2255
CVE-2008-2256
CVE-2008-2257
CVE-2008-2258
CVE-2008-2259

Categories : Exploits,Sicurezza Tags : - Servizio Bonus, 2008, 3, 89, ad Internet Explorer, articoli, Banca, blog, bufala, Burla, CLIENTE POSTE.IT, codice, computer, dell, Explorer, gratis, hoax, hotmail, inter, Internet, internet explorer, Internet Explorer 7, italia, italiano, la, linux, microsoft, multiple, musica, News, online, patch, pc, Phishing, Poste, rom, security, siti, sito, software, STAR, TECNOLOGIA, TRE, UTENTE, video, Vulnerabilità, web, Win, WIND, windows

Vulnerabilita’ multiple in Microsoft Office

Inserito da Silvio Passalacqua 13 agosto, 2008 (0) Commenti

Si tratta di :Exploits,Sicurezza

Descrizione del problema

Sono state riscontrate vulnerabilita’ multiple in Microsoft Office che
potrebbero essere sfruttata per compromettere un sistema che ne sia affetto.
Queste vulnerabilita’ sono causate da errori di corruzione della memoria
durante l’elaborazione di file EPS (Encapsulated PostScript), o immagini PICT,
BMP o WPG (WordPerfect Graphics) appositamente predisposti, e potrebbero
essere sfruttate per arrestare un’applicazione che ne sia affetta o eseguire
codice arbitrario inducendo l’utente ad aprire file Office malevoli.

:: Piattaforme e software interessati

- – Microsoft Office 2000
- – Microsoft Office 2003 Professional Edition
- – Microsoft Office 2003 Small Business Edition
- – Microsoft Office 2003 Standard Edition
- – Microsoft Office 2003 Student and Teacher Edition
- – Microsoft Office File Converter Pack
- – Microsoft Office XP
- – Microsoft Project 2002
- – Microsoft Works 8.x

:: Impatto

- – Esecuzione remota di codice arbitrario

:: Soluzioni

Applicare le patch

Microsoft Office 2000 SP3:
http://www.microsoft.com

Microsoft Office XP SP3:
http://www.microsoft.com

Microsoft Office 2003 SP2 (SP3 non e’ affetto):
http://www.microsoft.com

Microsoft Office Project 2002 SP1:
http://www.microsoft.com

Microsoft Office Converter Pack:
http://www.microsoft.com

Microsoft Works 8:
http://www.microsoft.com

:: Riferimenti

Microsoft:
http://www.microsoft.com

FrSirt:
http://www.frsirt.com

Secunia:
http://secunia.com/advisories/31336/

CVE Mitre:
CVE-2008-3018
CVE-2008-3019
CVE-2008-3020
CVE-2008-3021
CVE-2008-3460

Categories : Exploits,Sicurezza Tags : - Servizio Bonus, 2008, 3, 89, articoli, Banca, blog, bufala, Burla, CLIENTE POSTE.IT, codice, computer, dell, flickr, gratis, hoax, hotmail, immagini, inter, Internet, italia, italiano, la, linux, microsoft, multiple, musica, News, Office, online, pack, patch, pc, Phishing, Poste, rom, security, siti, sito, software, STAR, TECNOLOGIA, TRE, Usa, UTENTE, video, Vulnerabilita' in OFFICE, web, windows, word

Vulnerabilita’ in Microsoft Excel (MS08-043)

Inserito da Silvio Passalacqua 13 agosto, 2008 (0) Commenti

Si tratta di :Exploits,Sicurezza

Descrizione del problema

Description:

Sono state riscontrate multiple vulnerabilita’ in Microsoft Excel, che
potrebbero essere sfruttate per ottenere informazioni sensibili o per
compromettere un sistema che ne sia affetto.

La prima vulnerabilita’ e’ dovuta ad un errore di corruzione della memoria
durante l’elaborazione di valori index mentre file Excel vengono caricati in
memoria, e potrebbe essere sfruttata per eseguire codice arbitrario.

La seconda vulnerabilita’ e’ dovuta ad un errore di corruzione della memoria
durante l’elaborazione di un array index mentre file Excel vengono caricati in
memoria, e potrebbe essere sfruttata per eseguire codice arbitrario.

La terza vulnerabilita’ e’ dovuta ad un errore di corruzione della memoria
durante l’elaborazione di valori record mentre file Excel vengono caricati in
memoria, e potrebbe essere sfruttata per eseguire codice arbitrario.

La quarta vulnerabilita’ e’ dovuta alla non appropriata eliminazione della
stringa password da parte di Excel quando il file “.xlsx” viene configurato
per non registrare le credenziali, e potrebbe essere sfruttata per ottenere
l’accesso a dati protetti da password su una sorgente di dati remota.

:: Impatto

- – accesso ad informazioni sensibili

:: Soluzioni

Applicare le patch

Excel 2000 SP3:
http://www.microsoft.com

Excel 2002 SP3:
http://www.microsoft.com

Excel 2003 SP2:
http://www.microsoft.com

Excel 2003 SP3:
http://www.microsoft.com

Excel 2007:
http://www.microsoft.com

Excel 2007 SP1:
http://www.microsoft.com

Microsoft Office Excel Viewer 2003:
http://www.microsoft.com

Microsoft Office Excel Viewer 2003 SP3:
http://www.microsoft.com

Microsoft Office Excel Viewer:
http://www.microsoft.com

Microsoft Office Compatibility Pack per Word, Excel, e PowerPoint 2007 File Formats:
http://www.microsoft.com

Microsoft Office Compatibility Pack per Word, Excel, e PowerPoint 2007 File Formats SP1:
http://www.microsoft.com

Microsoft Office 2004 per Mac:
http://www.microsoft.com

Microsoft Office 2008 per Mac:
http://www.microsoft.com

:: Riferimenti

Microsoft:
http://www.microsoft.com

Secunia:
http://secunia.com

FrSirt:
http://www.frsirt.com

CVE Mitre:
CVE-2008-3003
CVE-2008-3004
CVE-2008-3005
CVE-2008-3006

Categories : Exploits,Sicurezza Tags : - Servizio Bonus, 2008, 3, arte, articoli, Banca, blog, bufala, Burla, CLIENTE POSTE.IT, codice, computer, dell, eXCEL, gratis, hoax, hotmail, iene, Internet, italia, italiano, la, linux, MAC, microsoft, multiple, musica, News, Office, Onda, online, pack, password, patch, pc, Phishing, Poste, rom, security, siti, sito, software, TECNOLOGIA, TRE, video, Vulnerabilità, web, windows, word

Vulnerabilita’ in Microsoft Word (MS08-042)

Inserito da Silvio Passalacqua 13 agosto, 2008 (0) Commenti

Si tratta di :Exploits,Sicurezza

Descrizione del problema

E’ stata riscontrata una vulnerabilita’ in Microsoft Word che potrebbe
essere sfruttata per compromettere un sistema che ne sia affetto.
Questa vulnerabilita’ e’ dovuta ad un errore durante l’elaborazione
dei valori di smart tag, e potrebbe essere sfruttata per provocare
corruzione di memoria attraverso documenti appositamente predisposti.

:: Piattaforme e software interessati

- – Microsoft Office 2003 Professional Edition
- – Microsoft Office 2003 Small Business Edition
- – Microsoft Office 2003 Standard Edition
- – Microsoft Office 2003 Student and Teacher Edition
- – Microsoft Office XP
- – Microsoft Word 2002
- – Microsoft Word 2003

:: Impatto

- – Esecuzione remota di codice arbitrario;
- – Possibile comprmissione del sistema.

:: Soluzioni

Applicare le patch

Microsoft Word 2002 SP3:
http://www.microsoft.com

Microsoft Word 2003 SP2:
http://www.microsoft.com

Microsoft Word 2003 SP3:
http://www.microsoft.com

:: Riferimenti

Microsoft:
http://www.microsoft.com
http://www.microsoft.com

Secunia:
http://secunia.com/advisories/30975/

CVE Mitre:
CVE-2008-2244

Categories : Exploits,Sicurezza Tags : - Servizio Bonus, 2008, 3, articoli, Banca, blog, bufala, Burla, CLIENTE POSTE.IT, codice, computer, gratis, hoax, hotmail, inter, Internet, italia, italiano, la, linux, microsoft, Microsoft Word, musica, News, Office, online, patch, pc, Phishing, Poste, rom, security, siti, sito, software, TECNOLOGIA, TRE, video, Vulnerabilità, Vulnerabilita' in Microsoft Word, web, windows, word

Vulnerabilita’ in Snapshot Viewer per Microsoft

Inserito da Silvio Passalacqua 13 agosto, 2008 (0) Commenti

Si tratta di :Sicurezza

Descrizione del problema

E’ stata riscontrata una vulnerabilita’ in Snapshot Viewer per Microsoft
Access che potrebbe essere sfruttata per compromettere un sistema che ne sia
affetto.
Questa vulnerabilita’ e’ dovuta ad una race condition nel controllo ActiveX
snapview.ocx durante l’impostazione delle propriet “SnapshotPath” e
“CompressedPath”, e potrebbe essere sfruttata per effettuare il download
automatico di file in locazioni arbitrarie su un sistema utente, quando, ad
esempio, un utente visita una pagina web malevola.

:: Piattaforme e software interessati

- – Microsoft Access 2000
- – Microsoft Access 2002
- – Microsoft Access 2003
- – Microsoft Access Snapshot Viewer
- – Microsoft Office 2000
- – Microsoft Office 2003 Professional Edition
- – Microsoft Office 2003 Small Business Edition
- – Microsoft Office 2003 Standard Edition
- – Microsoft Office 2003 Student and Teacher Edition
- – Microsoft Office XP

:: Impatto

- – Esecuzione remota di codice arbitrario;
- – Possibile comprmissione del sistema.

:: Soluzioni

Applicare le patch

Snapshot Viewer per Microsoft Access:
Microsoft sta ancora lavorando sulla patch per questo prodotto. Come workaround settare il kill-bit per il controllo ActiveX.

Microsoft Office Access 2000 SP3:
http://www.microsoft.com

Microsoft Office Access 2002 SP3:
http://www.microsoft.com/

Microsoft Office Access 2003 SP2/SP3:
http://www.microsoft.com/

:: Riferimenti

Microsoft:
http://www.microsoft.com/
http://www.microsoft.com/
http://blogs.technet.com/

Secunia:
http://secunia.com/advisories/30883/

US-CERT VU#837785:
http://www.kb.cert.org/vuls/id/837785

CVE Mitre:
http://www.cve.mitre.org