Roberto Bittencourt <[EMAIL PROTECTED]> escreveu:
Helen, o CAIS (CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA)da RNP
orienta fazer exatamente isso. Veja abaixo o e-mail que recebi.
Att,
Roberto
O CAIS esta' repassando o alerta da Microsoft, intitulado "Vulnerability
in PowerPoint Could Allow Remote Code Execution (922970)", que trata de
uma vulnerabilidade critica recem-descoberta no Microsoft PowerPoint.
Atraves de uma apresentacao PowerPoint especialmente construida, um
atacante pode executar codigo arbitrario em uma maquina vulneravel com os
direitos do usuario que abrir o arquivo em questao.
E' importante ressaltar que a vulnerabilidade em questao esta' sendo
explorada atualmente, e que ainda nao existe uma correcao disponibilizada
pelo fabricante. Abaixo segue uma lista de malwares que ja' exploram esta
vulnerabilidade em especifico:
Backdoor.Bifrose.F [Trojan]
Trojan.PPDropper.B [dropper]
BKDR_BIFROSE.DS [Trojan]
TROJ_MDROPPER.AS [dropper]
BackDoor-CEP [Trojan]
Exploit-PPT.b [exploit]
Troj/Edepol-C [Trojan]
Bifrose.UZ [Trojan]
Backdoor.Win32.Bifrose.uz [Trojan]
Backdoor:Win32/Bifrose!E029 [Trojan]
W32/Bifrose.UZ [Trojan]
Trojan.Riler.F [Trojan]
Trojan.PPDropper.C. [dropper]
Sistemas afetados:
. Microsoft PowerPoint 2003
. Microsoft PowerPoint 2002
. Microsoft PowerPoint 2000
Formas de mitigacao:
As seguintes acoes podem ser tomadas para evitar e reduzir o impacto da
vulnerabilidade em questao:
. Nunca abrir documentos do PowerPoint provenientes de fontes nao
confiaveis e se possivel verificar se o arquivo enviado deve mesmo ser
aberto.
. Abrir as apresentacoes do PowerPoint no Microsoft PowerPoint Viewer 2003
que nao e' vulneravel.
. Manter sempre o Anti-virus atualizado. Assinaturas para este tipo de
ataque ja' estao disponiveis.
. O Microsoft Security Response Center informa que o Windows Live Security
Center foi atualizado para detectar este tipo de ataque. A URL de acesso
ao Security Center pode ser encontrada na secao "Mais Informacoes" deste
alerta.
Correcoes disponiveis:
Ainda nao existem correcoes disponibilizadas pelo fabricante para a
vulnerabilidade em questao. As correcoes devem fazer parte do proximo ciclo
mensal da Microsoft em 8 de Agosto de 2006.
Mais informacoes:
. Microsoft Security Advisory (922970)
Vulnerability in PowerPoint Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/advisory/922970.mspx
. 0-day exploit for Microsoft PowerPoint
http://isc.sans.org/diary.php?storyid=1484
. Chinese words of love exploit PowerPoint day zero flaw
http://www.sophos.com/pressoffice/news/articles/2006/07/chinesewords.html
. Microsoft PowerPoint 0-day Vulnerability FAQ
http://blogs.securiteam.com/?p=508
. Windows Live Safety Center
http://safety.live.com
. Microsoft Brasil Security
http://www.microsoft.com/brasil/security
. Technet Brasil - Central de Seguranca
http://www.technetbrasil.com.br/seguranca
Identificador CVE (http://cve.mitre.org): CVE-2006-3590
O CAIS recomenda que os administradores mantenham seus sistemas e
aplicativos sempre atualizados, de acordo com as ultimas versoes e
correcoes oferecidas pelos fabricantes.
Os Alertas do CAIS tambem sao oferecidos no formato RSS/RDF:
http://www.rnp.br/cais/alertas/rss.xml
Atenciosamente,
################################################################
# CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS) #
# Rede Nacional de Ensino e Pesquisa (RNP) #
# #
# [EMAIL PROTECTED] http://www.cais.rnp.br/ #
# Tel. 019-37873300 Fax. 019-37873301 #
# Chave PGP disponivel http://www.rnp.br/cais/cais-pgp.key #
################################################################
-----Mensagem original-----
De: [email protected] [mailto:[EMAIL PROTECTED] Em nome
de Helen Amorim
Enviada em: quinta-feira, 20 de julho de 2006 21:52
Para: [email protected]
Assunto: [infoetc] Arqs do pacote Office
Olá Nação Infoetc!
Ta rolando um papo de ataques oriundos de falhas no pacote office.
Arqs DOC, XLS, e agora PPS, trariam codigos maliciosos q instalariam
trojans e bla bla bla
Eu soh abro PPS/PPT, bem como arquivos excell, pelos seus viewers
(powerpoint viewer e excel viewer). Entao, alguem sabe dizer se desta forma
havera contaminaçao?
Pq os viewers nao tem os arquivos q deveriam estar no computador caso
fossem instalados ambos os programas mencionados acima. Mas e se eles
estiverem instalados e ainda assim usassemos os vizualizadores (nada
impede de associar ao viewer para um duplo clique), a contaminaçao
poderia ocorrer?
e , talvez, se os arquivos DOC trafegassem como RTF (q permitem
abertura e posterior ediçao no word, igualzinho aos DOC, so que com
1/3 do tamanho) isto tambem nao rolasse.
Helen
Links do Yahoo! Grupos
Você quer respostas para suas perguntas? Ou você sabe muito e quer compartilhar seu conhecimento? Experimente o Yahoo! Respostas! __._,_.___
| Yahoo! Grupos, um serviço oferecido por: | |
|
Links do Yahoo! Grupos
- Para visitar o site do seu grupo na web, acesse:
http://br.groups.yahoo.com/group/infoetc/
- Para sair deste grupo, envie um e-mail para:
[EMAIL PROTECTED]
- O uso que você faz do Yahoo! Grupos está sujeito aos Termos do Serviço do Yahoo!.
