 |
|
A Rede | Serviços | Operação | Segurança | P&D | Capacitação | Eventos |
 | Vulnerabilidade na decodificação TNEFMicrosoft Security Bulletin MS06-003 [CAIS, 11.01.2006-14:18, revisão 01] O CAIS está repassando o alerta da Microsoft, intitulado "MS06-003 - Vulnerability in TNEF Decoding in Microsoft Outlook and Microsoft Exchange Could Allow Remote Code Execution (902412)", que trata de uma vulnerabilidade recém-descoberta na decodificação TNEF no Microsoft Outlook e no Microsoft Exchange. No Microsoft Outlook e no Servidor Microsoft Exchange existe uma vulnerabilidade de execução remota de código devido à forma como eles decodificam anexos MIME no Formato de Encapsulamento Neutro para Transporte (Transport Neutral Encapsulation Format (TNEF) MIME attachment). Nas versões vulneráveis do Outlook, Pacotes de Interface de Linguagem para Office, Pacotes Multilingue para Office ou Pacotes Multilingue de Interface de Usuários para Office, caso um usuário esteja registrado no sistema com privilégios de administrador, um atacante que explorasse esta vulnerabilidade com sucesso poderia obter o controle completo sobre o sistema afetado. As versões vulneráveis do Exchange poderiam ser exploradas automaticamente, sem a necessidade de interação com o usuário, possibilitando também ao atacante obter o controle total sobre o sistema afetado. O Encapsulamento Neutro para Transporte (Transport Neutral Encapsulation (TNEF)) é um formato utilizado pelo Exchange e Outlook quando estes enviam mensagens formatadas como RTF (Rich Text Format). Sistemas afetados: - Pacote Microsoft Office 2000 Service Pack 3:
- Microsoft Office XP Service Pack 3:
Note que os Pacotes de Interface Multilingue de Usuário são para pacotes que não sejam em Inglês. - Microsoft Office 2003 Service Pack 1 e Service Pack 2
Note que os Pacotes de Interface Multilingue de usuários são para pacotes que não sejam em Inglês. - Microsoft Exchange Server
Correções disponíveis: Recomenda-se fazer a atualizacao para as versoes disponiveis em: - Pacote Microsoft Office 2000 Service Pack 3: - Microsoft Office XP Service Pack 3: Note que os Pacotes de Interface Multilingue de Usuário sao para pacotes que nao sejam em Inglês. - Microsoft Office 2003 Service Pack 1 e Service Pack 2
Note que os Pacotes de Interface Multilingue de Usuários são para pacotes que não sejam em Inglês. - Microsoft Exchange Server
Mais informações:
Identificador CVE (http://www.cve.mitre.org): CVE-2006-0002 O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as últimas versões e correções oferecidas pelos fabricantes. O CAIS Alerta também é oferecido no formato RSS/RDF: |  Assinatura dos Alertas do CAIS Assine a lista de alertas do CAIS e receba antecipadamente, por correio eletrônico, as mais recentes notificações sobre segurança em redes e sistemas. Formulário de assinatura dos Alertas do CAIS
Contato com o Cais: +55 (19) 3787-3300 |
