[SECURITY-L] CAIS-Alerta: Vulnerabilidade no Microsoft HTML Help (MS06-046)
CSIRT - UNICAMP
security em unicamp.br
Qua Ago 9 10:55:35 -03 2006
--------------------------- Mensagem Original ----------------------------
Assunto: CAIS-Alerta: Vulnerabilidade no Microsoft HTML Help (MS06-046)
De: "Centro de Atendimento a Incidentes de Seguranca" <cais em cais.rnp.br>
Data: Ter, Agosto 8, 2006 5:13 pm
Para: rnp-alerta em cais.rnp.br
rnp-seg em cais.rnp.br
--------------------------------------------------------------------------
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Prezados,
O CAIS esta' repassando o alerta da Microsoft, intitulado "MS06-046 -
Vulnerability in HTML Help Could Allow Remote Code Execution (922616)",que
trata de uma vulnerabilidade no sistema de ajuda HTML do Microsoft
Windows.
A vulnerabilidade existe em um buffer (area de armazenamento de dados)
utilizado para armazenar uma sequencia de caracteres, dentro do controle
ActiveX do sistema de ajuda HTML.
Um atacante poderia explorar esta vulnerabilidade construindo uma pagina
Web maliciosa potencialmente capaz de permitir a execucao remota de codigo
no sistema afetado. Um atacante que conseguisse explorar esta
vulnerabilidade com sucesso poderia obter o controle total sobre o sistema
afetado.
Sistemas afetados:
. Microsoft Windows 2000 Service Pack 4
. Microsoft Windows XP Service Pack 1
. Microsoft Windows XP Service Pack 2
. Microsoft Windows XP Professional x64 Edition
. Microsoft Windows Server 2003
. Microsoft Windows Server 2003 Service Pack 1
. Microsoft Windows Server 2003 para Sistemas baseados em Itanium
. Microsoft Windows Server 2003 com SP1 para Sistemas baseados em Itanium
. Microsoft Windows Server 2003 x64 Edition
Correcoes disponiveis:
Recomenda-se fazer a atualizacao para as versoes disponiveis em :
. Microsoft Windows 2000 Service Pack 4
http://www.microsoft.com/downloads/details.aspx?FamilyId=34ebe5d3-40c9-41dc-aaff-64608d3ac7b1
. Microsoft Windows XP Service Pack 1
http://www.microsoft.com/downloads/details.aspx?FamilyId=a6e2cb0a-146f-4300-95cb-7078ce9f9844
. Microsoft Windows XP Service Pack 2
http://www.microsoft.com/downloads/details.aspx?FamilyId=a6e2cb0a-146f-4300-95cb-7078ce9f9844
. Microsoft Windows XP Professional x64 Edition
http://www.microsoft.com/downloads/details.aspx?FamilyId=997a633a-8836-4c0f-98f9-1fd378de4b0c
. Microsoft Windows Server 2003
http://www.microsoft.com/downloads/details.aspx?FamilyId=5132c3bc-f3af-464e-a615-60f72677bd4b
. Microsoft Windows Server 2003 Service Pack 1
http://www.microsoft.com/downloads/details.aspx?FamilyId=5132c3bc-f3af-464e-a615-60f72677bd4b
. Microsoft Windows Server 2003 para Sistemas baseados em Itanium
http://www.microsoft.com/downloads/details.aspx?FamilyId=527cc785-e69e-4ade-aaf7-61f96ac3ca7a
. Microsoft Windows Server 2003 com SP1 para Sistemas baseados em Itanium
http://www.microsoft.com/downloads/details.aspx?FamilyId=527cc785-e69e-4ade-aaf7-61f96ac3ca7a
. Microsoft Windows Server 2003 x64 Edition
http://www.microsoft.com/downloads/details.aspx?FamilyId=fd1253b0-f4db-4808-a381-98ff9870ebb3
Mais informacoes:
. MS06-046 - Vulnerability in HTML Help Could Allow Remote Code Execution
(922616)
http://www.microsoft.com/technet/security/bulletin/ms06-046.mspx
. Microsoft Brasil Security
http://www.microsoft.com/brasil/security
. Technet Brasil - Central de Seguranca
http://www.technetbrasil.com.br/seguranca
Identificador CVE (http://cve.mitre.org): CVE-2006-3357
O CAIS recomenda que os administradores mantenham seus sistemas e
aplicativos sempre atualizados, de acordo com as ultimas versoes e
correcoes oferecidas pelos fabricantes.
O CAIS Alerta tambem e' oferecido no formato RSS/RDF:
http://www.rnp.br/cais/alertas/rss.xml
Atenciosamente,
################################################################
# CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS) #
# Rede Nacional de Ensino e Pesquisa (RNP) #
# #
# cais em cais.rnp.br http://www.cais.rnp.br #
# Tel. 019-37873300 Fax. 019-37873301 #
# Chave PGP disponivel http://www.rnp.br/cais/cais-pgp.key #
################################################################
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.2 (GNU/Linux)
Comment: pgpenvelope 2.10.2 - http://pgpenvelope.sourceforge.net/
iQCVAwUBRNjwcOkli63F4U8VAQIQRQQAk5Ji64i55bqmXio1mE1UxnssLpIHOdV4
YybIMKxiPMxrIfl1Qye4bpToprFfd00Ei9aa6Szd+AEKOcsXdrWevm0odBYUTrjS
SkHmFhfAnMUrGripeNFnsysBfCu2hMlJCSDphf6Iw/2uYEogGZFWw78vBk2KhScK
JgqZyqyaXwg=
=/5Yk
-----END PGP SIGNATURE-----
----- End forwarded message -----
Mais detalhes sobre a lista de discussão SECURITY-L