[SECURITY-L] CAIS-Alerta: Vulnerabilidades no Microsoft Visual Studio (MS09-035)
CSIRT - UNICAMP
security em unicamp.br
Qua Jul 29 16:59:04 -03 2009
----- Forwarded message from Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br> -----
From: Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br>
Subject: CAIS-Alerta: Vulnerabilidades no Microsoft Visual Studio (MS09-035)
To: pop-seg em cais.rnp.br, rnp-alerta em cais.rnp.br, rnp-seg em cais.rnp.br
Date: Wed, 29 Jul 2009 11:59:47 -0300 (BRT)
-----BEGIN PGP SIGNED MESSAGE-----
Prezados,
O CAIS está repassando o alerta da Microsoft, intitulado "MS09-035 -
Vulnerabilities in Visual Studio Active Template Library Could Allow
Remote Code Execution (969706)", que trata de três vulnerabilidades em
diversas versões no Microsoft Visual Studio.
Microsoft Visual Studio é um Integrated Development Environment (IDE), um
pacote usado para desenvolvimento de software.
Esta atualização está relacionada com a vulnerabilidade descrita no
Microsoft Security Advisory (973882), que descreve uma vulnerabilidade no
Microsoft Active Template Library (ATL). ATL é um conjunto de classes C++
baseadas em template, usada no desenvolvimento de objetos Component Object
Model (COM).
Estas vulnerabilidades permitem a execução remota de código se um atacante
conseguir convencer um usuário a carregar um componente ou controle
construído com versões vulneráveis de ATL.
Este boletim de segurança foi divulgado fora do ciclo mensal de boletins
de segurança por se tratarem de vulnerabilidades de severidade moderada,
relacionadas com as vulnerabilidades no ATL e o boletim de segurança
MS09-032 (ActiveX Kill Bits), publicado em 14 de julho. Por estas razões o
CAIS recomenda a aplicação imediata da atualização.
CORREÇÕES DISPONÍVEIS
Recomenda-se atualizar os sistemas para as versões disponíveis em:
. Microsoft Visual Studio .NET 2003 Service Pack 1
http://www.microsoft.com/downloads/details.aspx?FamilyID=63ce454e-f69c-44e3-89fb-eb23c2e2154e
. Microsoft Visual Studio 2005 Service Pack 1
http://www.microsoft.com/downloads/details.aspx?FamilyID=7c8729dc-06a2-4538-a90d-ff9464dc0197
. Microsoft Visual Studio 2005 Service Pack 1 64-bit Hosted Visual C++ Tools
http://www.microsoft.com/downloads/details.aspx?FamilyID=43f96f2a-69c6-4c5e-b72c-0edfa35f4fc2
. Microsoft Visual Studio 2008
http://www.microsoft.com/downloads/details.aspx?familyid=8f9da646-94dd-469d-baea-a4306270462c
. Microsoft Visual Studio 2008 Service Pack 1
http://www.microsoft.com/downloads/details.aspx?familyid=294de390-3c94-49fb-a014-9a38580e64cb
. Microsoft Visual C++ 2005 Service Pack 1 Redistributable Package
http://www.microsoft.com/downloads/details.aspx?familyid=766a6af7-ec73-40ff-b072-9112bab119c2
. Microsoft Visual C++ 2008 Redistributable Package
http://www.microsoft.com/downloads/details.aspx?familyid=8b29655e-9da4-4b6b-9ac5-687ca0770f93
. Microsoft Visual C++ 2008 Service Pack 1 Redistributable Package
http://www.microsoft.com/downloads/details.aspx?familyid=2051a0c1-c9b5-4b0a-a8f5-770a549fd78c
MAIS INFORMAÇÕES
. MS09-035: Vulnerabilities in Visual Studio Active Template Library Could Allow Remote Code Execution (969706)
http://www.microsoft.com/technet/security/bulletin/ms09-035.mspx
. Microsoft Security Advisory (973882): Vulnerabilities in Microsoft Active Template Library (ATL) Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/advisory/973882.mspx
. MS09-032: Cumulative Security Update of ActiveX Kill Bits (973346)
http://www.microsoft.com/technet/security/bulletin/ms09-032.mspx
. Microsoft TechCenter de Segurança
http://technet.microsoft.com/pt-br/security/
. Microsoft Security Response Center - MSRC
http://www.microsoft.com/security/msrc/
. Microsoft Security Research & Defense - MSRD
http://blogs.technet.com/srd/
. Segurança Microsoft
http://www.microsoft.com/brasil/security/
Identificador CVE (http://cve.mitre.org):
CVE-2009-0901, CVE-2009-2493, CVE-2009-2495
O CAIS recomenda que os administradores mantenham seus sistemas e
aplicativos sempre atualizados, de acordo com as últimas versões e
correções oferecidas pelos fabricantes.
Os Alertas do CAIS também são oferecidos no formato RSS/RDF:
http://www.rnp.br/cais/alertas/rss.xml
Atenciosamente,
################################################################
# CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS) #
# Rede Nacional de Ensino e Pesquisa (RNP) #
# #
# cais em cais.rnp.br http://www.cais.rnp.br #
# Tel. 019-37873300 Fax. 019-37873301 #
# Chave PGP disponivel http://www.rnp.br/cais/cais-pgp.key #
################################################################
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.6 (GNU/Linux)
Comment: Made with pgp4pine 1.76
iQCVAwUBSnBj6+kli63F4U8VAQFLLgP9G52jHvVKD1iwHhEcNl21IjiFKxdE+Brz
6odRDgI7NNeVrmq1thdGr5l5L47wh85q/v8pS9nJZFGtT4KiRA1xoIJYhlYxO9as
p9tPUA2iswJgrgWsR129JQejmUAJQvIddj/NB0wOZVwco0OCcBIGDjhO6gPC+Giz
IyumJtFNHXw=
=2NyF
-----END PGP SIGNATURE-----
----- End forwarded message -----
Mais detalhes sobre a lista de discussão SECURITY-L