[SECURITY-L] Microsoft corrige patches defeituosos
Security Team - UNICAMP
security em unicamp.br
Qua Out 29 09:15:52 -02 2003
----- Forwarded message from Caio Souza Mendes <caio_sm em yahoo.com.br> -----
From: Caio Souza Mendes <caio_sm em yahoo.com.br>
Subject: Microsoft corrige patches defeituosos
To: security em unicamp.br
Date: Tue, 28 Oct 2003 21:05:13 -0300 (ART)
Microsoft corrige patches defeituosos
28/10/2003 - 18:41 Helena Nacinovic
http://www.infoguerra.com.br/infonews/viewnews.cgi?newsid1067373688,1656,
A Microsoft relançou o patch (correção de segurança)
contido no boletim MS03-045
(http://www.microsoft.com/technet/treeview/?url=/technet/security/bulletin/MS03-045.asp),
para corrigir problemas criados pelo patch lançado
anteriormente. A correção inicial causava erros de
execução de alguns programas e instabilidade no
sistema operacional Windows 2000 SP4 em alguns
idiomas, entre os quais o português do Brasil e de
Portugal.
O boletim MS03-045 alertava sobre uma falha que
permite a execução de código não autorizado ao se
explorar um estouro de buffer (memória temporária) nos
controles ListBox e ComboBox do Windows. A nova versão
do patch para essa falha corrige não apenas o problema
original, mas também os erros da primeira versão.
A Microsoft também anunciou um novo patch relacionado
ao boletim MS03-047
(http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-047.asp),
que alerta sobre uma vulnerabilidade no gerenciador de
correio eletrônico Exchange Server 5.5. A correção
anterior não abrangia algumas das versões em certos
idiomas instalados pelos Language Packs for Outlook
Web Access. A empresa alerta que, para o
funcionamento correto do patch, é preciso que o
servidor tenha uma versão do Internet Explorer igual
ou superior à 5.01.
A vulnerabilidade abre brechas no Exchange Server
devido à forma como o Outlook Web Access codifica a
linguagem HTML no formulário de um nova mensagem. Um
atacante que explore a falha pode fazer com que um
usuário execute um script malicioso para, a partir
daí, acessar qualquer dado do site a que a vítima
tenha acesso.
----- End forwarded message -----
Mais detalhes sobre a lista de discussão SECURITY-L