[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[MS] UPDATE: Schwachstelle in Microsoft XML Core Services - MS07-042
-----BEGIN PGP SIGNED MESSAGE-----
Hash: MD5
Liebe Kolleginnen und Kollegen,
soeben erreichte uns nachfolgende Warnung des Microsoft Product Security
Notification Service. Wir geben diese Informationen unveraendert an Sie
weiter.
Bitte beachten Sie, dass dies ein Update des Advisories ist, das die
folgenden Aenderungen betrifft:
In dieser Revision hat Microsoft zwei weitere Office 2007 Produkte zu
der Liste der betroffenen Systeme hinzugefuegt: 1. Microsoft Office
Compatibility Pack fuer Word, Excel, PowerPoint 2007 und 2. Microsoft
Expression Web. Weiterhin gibt Microsoft Probleme mit dem Update fuer
Microsoft XML Core Services 4.0 Service Pack 2 auf Windows Vista
bekannt und stellt Informationen und Loesungsmoeglichkeiten dazu zur
Verfuegung.
Die Microsoft XML Core Services (MSXML) erlauben die einfache
Entwicklung von XML-basierten Anwendungen in verschiedenen
Script-Sprachen bzw. Visual Studio 6.
CVE-2007-2223 - Schwachstellen in den Microsoft XML-Core Services
In den Microsoft XML-Core Services wurde eine Integer Overflow
Schwachstelle bei der Verarbeitung von Skript-Anfragen gefunden. Die
Anwendung ueberprueft uebergebene Integerwerte nicht auf unzulaessige
Werte, was dazu fuehren kann, dass Daten im Heap-Speicher
ueberschrieben werden. Die Schwachstelle kann mittels Webseiten und
per E-Mail ausgenutzt werden und erlaubt im Schlimmsten Falle, dass
beliebige Befehle mit den Rechten des Benutzers ausgefuehrt werden.
Betroffen sind die folgenden Software Pakete und Plattformen:
Microsoft XML Core Services 3.0, 4.0, 5.0 und 6.0
Windows 2000 Service Pack 4
Windows XP Service Pack 2
Windows XP Professional x64 Edition
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 1 & Service Pack 2 fuer X86, x64 und
Itanium
Windows Vista
Windows Vista x64 Edition
Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.
Das DFN-CERT stellt einen FTP-Spiegel von Inhalten der Microsoft
FTP-Servers und der aktuellen Service-Packs und Patches fuer die
verschiedenen Windows Versionen und Produkte (32 und 64Bit, deutsch
und us-amerikanisch) bereit:
Windows 2000 Service Pack 4 mit Microsoft XML Core Services 3.0
englisch:
ftp://ftp.cert.dfn.de/pub/vendor/microsoft/xmlcs/Security_Bulletins/Windows2000-KB936021-x86-ENU.EXE
deutsch:
ftp://ftp.cert.dfn.de/pub/vendor/microsoft/xmlcs/Security_Bulletins/Windows2000-KB936021-x86-DEU.EXE
Windows 2000 Service Pack 4
Windows XP Service Pack 2
Windows XP Professional x64 Edition
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 1 oder 2
Windows Server 2003 x64 Edition
Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 Service Pack 1 oder 2 Itanium
Windows Vista
Windows Vista x64 Edition
mit Microsoft XML Core Services 4.0
englisch:
ftp://ftp.cert.dfn.de/pub/vendor/microsoft/xmlcs/Security_Bulletins/msxml4-KB936181-enu.exe
deutsch:
ftp://ftp.cert.dfn.de/pub/vendor/microsoft/xmlcs/Security_Bulletins/msxml4-KB936181-deu.exe
Windows 2000 Service Pack 4
Windows XP Service Pack 2
Windows XP Professional x64 Edition
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 1 oder 2
Windows Server 2003 x64 Edition
Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 Service Pack 1 oder 2 Itanium
mit Microsoft XML Core Services 6.0
englisch amd64:
ftp://ftp.cert.dfn.de/pub/vendor/microsoft/xmlcs/Security_Bulletins/msxml6-KB933579-enu-amd64.exe
englisch ia64:
ftp://ftp.cert.dfn.de/pub/vendor/microsoft/xmlcs/Security_Bulletins/msxml6-KB933579-enu-ia64.exe
englisch x86:
ftp://ftp.cert.dfn.de/pub/vendor/microsoft/xmlcs/Security_Bulletins/msxml6-KB933579-enu-x86.exe
deutsch amd64:
ftp://ftp.cert.dfn.de/pub/vendor/microsoft/xmlcs/Security_Bulletins/msxml6-KB933579-deu-amd64.exe
deutsch ia64:
ftp://ftp.cert.dfn.de/pub/vendor/microsoft/xmlcs/Security_Bulletins/msxml6-KB933579-deu-ia64.exe
deutsch x86:
ftp://ftp.cert.dfn.de/pub/vendor/microsoft/xmlcs/Security_Bulletins/msxml6-KB933579-deu-x86.exe
Windows XP Service Pack 2 mit Microsoft XML Core Services 3.0
englisch:
ftp://ftp.cert.dfn.de/pub/vendor/microsoft/xmlcs/Security_Bulletins/WindowsXP-KB936021-x86-ENU.exe
deutsch:
ftp://ftp.cert.dfn.de/pub/vendor/microsoft/xmlcs/Security_Bulletins/WindowsXP-KB936021-x86-DEU.exe
Windows XP Professional x64 Edition
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 x64 Edition
Windows Server 2003 x64 Edition Service Pack 2
mit Microsoft XML Core Services 3.0
englisch und deutsch:
ftp://ftp.cert.dfn.de/pub/vendor/microsoft/xmlcs/Security_Bulletins/WindowsServer2003.WindowsXP-KB936021-x64-ENU.exe
Windows Server 2003 Service Pack 1 oder 2
mit Microsoft XML Core Services 3.0
englisch:
ftp://ftp.cert.dfn.de/pub/vendor/microsoft/xmlcs/Security_Bulletins/WindowsServer2003-KB936021-x86-ENU.exe
deutsch:
ftp://ftp.cert.dfn.de/pub/vendor/microsoft/xmlcs/Security_Bulletins/WindowsServer2003-KB936021-x86-DEU.exe
Windows Server 2003 Service Pack 1 oder 2 Itanium
mit Microsoft XML Core Services 3.0
englisch:
ftp://ftp.cert.dfn.de/pub/vendor/microsoft/xmlcs/Security_Bulletins/WindowsServer2003-KB936021-ia64-ENU.exe
deutsch:
ftp://ftp.cert.dfn.de/pub/vendor/microsoft/xmlcs/Security_Bulletins/WindowsServer2003-KB936021-ia64-DEU.exe
Windows Vista mit Microsoft XML Core Services 3.0
englisch und deutsch:
ftp://ftp.cert.dfn.de/pub/vendor/microsoft/xmlcs/Security_Bulletins/Windows6.0-KB936021-x86.msu
Windows Vista x64 Edition mit Microsoft XML Core Services 3.0
englisch und deutsch:
ftp://ftp.cert.dfn.de/pub/vendor/microsoft/xmlcs/Security_Bulletins/Windows6.0-KB936021-x64.msu
Windows Vista mit Microsoft XML Core Services 6.0
englisch und deutsch:
ftp://ftp.cert.dfn.de/pub/vendor/microsoft/xmlcs/Security_Bulletins/Windows6.0-KB933579-x86.msu
Windows Vista x64 Edition mit Microsoft XML Core Services 6.0
englisch und deutsch:
ftp://ftp.cert.dfn.de/pub/vendor/microsoft/xmlcs/Security_Bulletins/Windows6.0-KB933579-x64.msu
Microsoft Office 2003 Service Pack 2 mit Microsoft XML Core Services 5.0
englisch:
ftp://ftp.cert.dfn.de/pub/vendor/microsoft/xmlcs/Security_Bulletins/office2003-KB936048-FullFile-ENU.exe
deutsch:
ftp://ftp.cert.dfn.de/pub/vendor/microsoft/xmlcs/Security_Bulletins/office2003-KB936048-FullFile-DEU.exe
2007 Microsoft Office System mit Microsoft
Microsoft Office Compatibility Pack for Word, Excel und PowerPoint 2007
Microsoft Expression Web
und XML Core Services 5.0
englisch und deutsch:
ftp://ftp.cert.dfn.de/pub/vendor/microsoft/xmlcs/Security_Bulletins/office2007-kb936960-fullfile-x86-glb.exe
Microsoft Office SharePoint Server
Microsoft Office Groove Server 2007
mit Microsoft XML Core Services 5.0
englisch:
ftp://ftp.cert.dfn.de/pub/vendor/microsoft/xmlcs/Security_Bulletins/officeserver2007-kb936056-fullfile-x64-glb.exe
deutsch:
ftp://ftp.cert.dfn.de/pub/vendor/microsoft/xmlcs/Security_Bulletins/officeserver2007-kb936056-fullfile-x86-glb.exe
Hersteller Advisory:
http://www.microsoft.com/technet/security/Bulletin/MS07-042.mspx
(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.
Mit freundlichen Gruessen,
Jan Kohlrausch
- --
Jan Kohlrausch (CSIRT), Phone +49 40 808077-555
DFN-CERT Services GmbH, https://www.dfn-cert.de, Phone +49 40 808077-555
Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.: DE 232129737
Heidenkampsweg 41, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski
- -----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
********************************************************************
Title: Microsoft Security Bulletin Re-Release
Issued: September 27, 2007
********************************************************************
Summary
=======
The following bulletin has undergone a major revision increment.
Please see the appropriate bulletin for more details.
* MS07-042 - Critical
Bulletin Information:
=====================
* MS07-042 - Critical
- http://www.microsoft.com/technet/security/bulletin/ms07-042.mspx
- Reason for Revision: Bulletin Updated: Added Microsoft Office
Compatibility Pack for Word, Excel, and PowerPoint 2007 File
Formats and Microsoft Expression Web as affected products.
The Bulletin has also been updated to inform customers that a
potential reliability issue exists in applications that have
installed Microsoft XML Core Services 4.0 on Windows Vista,
which can be addressed by applying the download available in
Microsoft Knowledge Base Article 941833.
- Originally posted: August 14, 2007
- Updated: September 27, 2007
- Bulletin Severity Rating: Critical
- Version: 2.0
Other Information
=================
Recognize and avoid fraudulent e-mail to Microsoft customers:
=============================================================
If you receive an e-mail message that claims to be distributing
a Microsoft security update, it is a hoax that may contain
malware or pointers to malicious Web sites. Microsoft does
not distribute security updates via e-mail.
The Microsoft Security Response Center (MSRC) uses PGP to digitally
sign all security notifications. However, it is not required to read
security notifications, security bulletins, security advisories, or
install security updates. You can obtain the MSRC public PGP key at
https://www.microsoft.com/technet/security/bulletin/pgp.mspx.
To receive automatic notifications whenever Microsoft Security
Bulletins and Microsoft Security Advisories are issued or revised,
subscribe to Microsoft Technical Security Notifications on
http://www.microsoft.com/technet/security/bulletin/notify.mspx.
********************************************************************
THE INFORMATION PROVIDED IN THIS MICROSOFT COMMUNICATION IS
PROVIDED "AS IS" WITHOUT WARRANTY OF ANY KIND. MICROSOFT
DISCLAIMS ALL WARRANTIES, EITHER EXPRESS OR IMPLIED, INCLUDING
THE WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR
PURPOSE.
IN NO EVENT SHALL MICROSOFT CORPORATION OR ITS SUPPLIERS BE
LIABLE FOR ANY DAMAGES WHATSOEVER INCLUDING DIRECT, INDIRECT,
INCIDENTAL, CONSEQUENTIAL, LOSS OF BUSINESS PROFITS OR SPECIAL
DAMAGES, EVEN IF MICROSOFT CORPORATION OR ITS SUPPLIERS HAVE BEEN
ADVISED OF THE POSSIBILITY OF SUCH DAMAGES.
SOME STATES DO NOT ALLOW THE EXCLUSION OR LIMITATION OF LIABILITY
FOR CONSEQUENTIAL OR INCIDENTAL DAMAGES SO THE FOREGOING
LIMITATION MAY NOT APPLY.
********************************************************************
- -----BEGIN PGP SIGNATURE-----
Version: PGP 8.1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=2aRP
- -----END PGP SIGNATURE-----
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.2 (GNU/Linux)
iQEVAwUBRwIsNhYd1iQZmhQQAQEAGQf/UfosRRJxZQpsuclnE4A52guS09iyMVVn
zF+ViCBbuOZN2ZnWnzuhQLak8Zqp96hxtkhm+YOd0CJv4427eg59p7N3F3Tt1xuI
PWE2aL2IPHtpx0bHL/D6NYFrw79fvqcD5yI5vXV/TS24clA2hxQ2fIXRuDlr8V4V
wRNrzQNTV2gbwU65ukbRWVrygZshTcRy0kQRpYMxH6cN7WZMyo7gzMopq5dTh3L4
wOn0HZScrl6ojQ+xrYojrkLX7ZcSKeUBYY0YTuBAENxhxUzWd9revpHZm0mkESnU
PLJq0ivVcXCGrlr3er4GaqK7/egI/crpp3xqt7I2ADcrB2H11yAoRA==
=XEBQ
-----END PGP SIGNATURE-----