El fin de semana Microsoft público un artículo donde menciona como deshabilitar la administración remota del Servidor DNS en Windows. Dentro de artículo de la Base de Conocimiento de Microsoft se menciona como deshabilitar la administración remota y que efectos puede tener. Además proporciona un método de cómo realizar tal tarea en varios equipos a la vez y un script donde se puede verificar el estado del servicio.

El artículo:

Cómo deshabilitar administración remota del servicio de Servidor DNS en Windows Server 2003 y compacto de Windows 2000 Server

http://support.microsoft.com/kb/936263

Microsoft menciona que esta trabajando en la corrección del problema y probando la actualización que resuelve el problema, pero no especifica una fecha para la liberación de la actualización. El siguiente ciclo mensual de actualizaciones de Microsoft será el próximo 8 de mayo de 2007.

Más información:

Vulnerability in RPC on Windows DNS Server Could Allow Remote Code Execution.

http://www.microsoft.com/technet/security/advisory/935964.mspx

Han empezado ha aparecer exploits para el problema en el DNS de los servidores Windows tanto por herramientas gratuitas, comerciales y en diversos sitios Web. Aparentemente estos exploits pudieron realizarse gracias a la información proporcionada en el aviso de seguridad de Microsoft.

Actualmente se tiene reportes de que la vulnerabilidad esta siendo activamente explotada.

El Internet Storm Center pública más información de porqué se presenta el problema y porqué afecta al DNS con el RPC.

Adicional a esto Microsoft a actualizado su aviso de seguridad agregando sugerencias para mejorar la seguridad en los equipos afectados.  

Referemcias:

Publicly Available Exploit Code for Vulnerability in RPC on Windows DNS Server

http://www.us-cert.gov/current/index.html#rpcexpl

Update on Microsoft DNS vulnerability

Vulnerability in RPC on Windows DNS Server Could Allow Remote Code Execution.

http://www.microsoft.com/technet/security/advisory/935964.mspx

Microsoft’s advisories giving clues to hackers

Microsoft publico ayer un aviso de seguridad donde previene sobre un ataque limitado al servicio de DNS de las versiones de servidor de Windows.

Vulnerability in RPC on Windows DNS Server Could Allow Remote Code Execution.

http://www.microsoft.com/technet/security/advisory/935964.mspxEl Departamento de seguridad en cómputo consiente del problema, ha emitido el  Boletín de Seguridad UNAM-CERT-2007-014.

Buffer overflow en el RPC utilizado por el DNS de Microsoft Windows

http://www.cert.org.mx/boletin/?vulne=5291

 
En el boletín se puede encontrar algunos metodos de prevenir el problema mientras Microsoft emite una actualización.

Secunia ha calificado la vulnerabilidad como altamente crítica.

Microsoft Windows DNS Service Buffer Overflow Vulnerability

http://secunia.com/advisories/24871/

Sistemas afectados

    * Windows 2000 Server Service Pack 4

    * Windows Server 2003 Service Pack 1

    * Windows Server 2003 Service Pack 2.

Más información en:

Microsoft previene de falla crítica en el servicio de DNS

http://www.seguridad.unam.mx/noticias/?noti=2580

El problema con los cursores animados de Windows (.ani) era conocido por Microsoft desde finales del año pasado, esto fue reportado por la firma Determina, la cual reporto el problema, para tal problema el 3 de Enero Microsoft reservo el CVE-2007-0038.  Un vocero de Microsoft afirma que han estado trabajando desde entonces para corregir el problema.

El Internet Storm Center menciona es su sitio Web algunas recomendaciones y puntos para  mitigar el problema. Además menciona algunos dominios que están propagando el código maliciosos, esto con el fin de que los administradores bloqueen el acceso a estos dominios.

Adicional mente la firma de seguridad eEye esta ofreciendo una corrección temporal para evitar el problema, la cual previene que cursores sean cargador fuera del %systemroot% (variable del sistema que dice donde se instala el sistema operativo, regularmente c:\windows).

Referencia:

Microsoft knew of Windows .ANI flaw since December 2006

Windows Animated Cursor Handling vulnerability - CVE-2007-1765

EEYEZD-20070328

http://research.eeye.com/html/alerts/zeroday/20070328.html

Microsoft ha publicado un aviso de seguridad referente a un exploit que esta siendo utilizado en la red. El problema se debe al manejo en los archivos de los cursores animados de Windows (Windows Animated Cursor). Para explotar con éxito esta vulnerabilidad el usuario debe acceder a un sitio Web malicioso o abrir un correo electrónico especialmente diseñado.

Varias versiones de Windows se ven afectadas como 2000, XP 2003 e incluso Vista.

Microsoft publica en su aviso que este problema amerita una actualización de seguridad.

Recomendaciones:

* No abrir correos electrónicos no solicitados.

* No acceder a sitios Web sospechosos o navegar en sitios no confiables.

Referencias:

Microsoft Security Advisory (935423) Vulnerability in Windows Animated Cursor Handling

http://www.microsoft.com/technet/security/advisory/935423.mspx

Troj_anicmooo.ax

http://uk.trendmicro-europe.com/enterprise/vinfo/encyclopedia.php?LYstr=VMAINDATA&vNav=1&VName=TROJ_ANICMOO.AX

McAffe Avert Labs Blog

Unpatched Drive-By Exploit Found On The Web

Active Exploitation of an Unpatched Vulnerability in Microsoft Windows ANI Handling

http://www.us-cert.gov/current/index.html#WINANI

Sólo a unas horas de que Microsoft corrigiera múltiples vulnerabilidades en su software y exploits de día cero en Word, el día de hoy  Microsoft publica un aviso de seguridad relacionado a un problema de seguridad en Word.

En el aviso de seguridad 933052 de Microsoft se puede leer que Microsoft esta investigando un ataque limitado usando una vulnerabilidad en Microsoft Office 2000 y Microsoft Office XP.  

Las recomendaciones que se dan dentro del aviso son no abrir archivos Word que no vengan de fuentes no confiables o archivos en Word no solicitados.

Microsoft Security Advisory (933052)

Vulnerability in Microsoft Word Could Allow Remote Code Execution

http://www.microsoft.com/technet/security/advisory/933052.mspx

Esto aumenta las vulnerabilidades no corregidas en software de Microsoft. Las cuales podrían ser corregidas en el siguiente ciclo de actualizaciones.  Más información acerca de las correcciones faltantes en:

The missing Microsoft patches

Zero-Day Tracker

http://research.eeye.com/html/alerts/zeroday/index.html

EL martes pasado en una lista de discusión se inicio el tema sobre un posible ataque utilizando el reconocedor de voz que vista tiene incluido.

Windows Vista Speech Recognition es una nueva característica que permite realizar tareas sólo con mencionarlas mediante un micrófono, la pregunta fue lanzada y varios empezaron a mencionar que era posible apagar el equipo con esta característica de vista.

El ataque se podría realizar utilizando un archivo de sonido, del tipo wav por ejemplo, donde el archivo wav contengan instrucciones habladas para que se realicen tareas como apagar el equipo, ejecutar un comando o descargar un archivo de un sitio web. Este archivo wav podría ser enviado vía correo electrónico o colocado en un sitio Web.

Varios usuarios se aventuraron a mencionaron que era posible hasta descargar un troyano de un sitio Web utilizando un URL corto, estilo como los del sitio tinyurl. Otro recordaron que este tipo de ataque o bromas fue utilizado hace algunos años con las Mac al decirle al equipo que se apagará y realizando una broma, Mac corrigió el problema, pero las preguntas siguieron surgiendo.

El equipo de seguridad de Microsoft al ver la controversia emitió un boletín de aviso en su blog de seguridad, donde menciona que este tipo de ataques con esta  técnica es posible pero tiene sus limitantes debido a que la característica Speech Recognition viene deshabilitada y necesita ser habilita y configurada para que el ataque surja efecto, además se necesita que las bocinas y el micrófono estén activados y finalmente mencionan la limitante de la característica UAC, la cual avisa de cualquier intento de ejecución. Otra limitante que se mencionan por algunos que han probado esto es la dicción y la velocidad de la voz en la grabación.

Al parecer todo parece que podría ser usado para realizar bromas similares a las de años pasados con la Mac, pero los intrusos siempre están a la vanguardia buscando nuevas técnicas que innoven o mejoren los ataques conocidos.

Microsoft menciona que esta tomando el anuncio con seriedad y continuara investigando.

Referencias.

Issue regarding Windows Vista Speech Recognition

http://blogs.technet.com/msrc/archive/2007/01/31/issue-regarding-windows-vista-speech-recognition.aspx

Vista Speech Command exposes remote exploit

http://blogs.zdnet.com/Ou/?p=416

http://lists.immunitysec.com/pipermail/dailydave/2007-January/003995.html

Simon says: download backdoor.exe (or using Vista Speech Command for fun and profit)

http://isc.sans.org/

Symantec publicó dentro del sitio de Youtube un video donde muestra como son estos ataques limitados con Word y que hacen en los equipos atacados. Compromise from a Word 0-day

 Otro video de como se realiza una explotación dentro de YouTube.

0day

Symantec esta reportando una “posible” nueva vulnerabilidad en Word, con lo cual seria 5 las vulnerabilidades en Word que no han sido corregidas. En el blog de seguridad de symantec se puede leer que este es un posible exploit, la vulnerabilidad podría ser una variación de un CVEs existente pero se esta esperando una confirmación del equipo de seguridad de Microsoft.

 
Este nuevo exploit esta siendo detectado como Trojan.Mdropper.X por parte de symantec.

Referencias:

Multiple Organizations Targeted by Zero-Day Exploit

http://www.symantec.com/enterprise/security_response/weblog/2007/01/multiple_organizations_targett.html

Microsoft Word 2003 Unspecified Code Execution Vulnerability

http://www.securityfocus.com/bid/22328/info

Symantec esta reportando un nuevo ataque de día cero en Word, el cual esta siendo utilizado aparentemente por hacker chino. El documento malicioso en Word detectado por Symantec "Summary on China's 2006 Defense White paper.doc.2” abre una puerta trasera en los sistemas con Word.

Con esto ya suman 4 vulnerabilidades en Word que aún no ha sido corregidas.

Referencias:

Descubren nuevo ataque de día cero en Word

New Microsoft Word 2000 Vulnerability

http://www.symantec.com/enterprise/security_response/weblog/2007/01/new_microsoft_word_2000_vulner.html

New Unpatched Vulnerability in Microsoft Word

http://www.us-cert.gov/current/current_activity.html

The missing Microsoft patchesMicrosoft Word 2000 Unspecified Code Execution Vulnerability

http://www.securityfocus.com/bid/22225

Otra vulnerabilidad no documentada y aún no corregida esta siendo activamente explotada en Word por intruso, comento el día de ayer Microsoft.

Esta es la cuarta vulnerabilidad de día cero que esta poniendo en riesgo a los usuarios de Word en dos meses. Microsoft no ha proporcionado aún correcciones a alguna de estas fallas a pesar de saber que estas están siendo utilizadas para afectar a sus clientes.

“Hay muy pocos reportes de estos ataques limitados que están intentando usar las vulnerabilidades reportadas al día de hoy”, comento un representante de Microsoft en una declaración acerca del problema. Microsoft esta investigando estos reportes para poder resolver el problema con una actualización, si es necesaria, comento el representante.

El nuevo problema permite a un intruso tomar el control de un sistema ejecutando Word 2000 y causa un colapso en las aplicaciones Word 2003 y Word XP, comento Symantec en un aviso el día de ayer. Un intruso podría aprovechar este problema engañando a un usuario a abrir un archivo malicioso en Word.

Expertos de seguridad han comentando que los ataques limitados son los más peligrosos. La propagación de gusanos, virus o caballos de troya enviados a millones de buzones de correos electrónicos regularmente no dan mucho problema debido a que pueden ser bloqueados. En cambio, especialmente para empresas, los caballos de troya dirigidos se convierten en una pesadilla debido a que estos pueden pasar inadvertidos sin ser detectados por los dispositivos de seguridad.

Symantec aconsejo a los usuarios actualizar su software de seguridad y tener cuidado en abrir documentos de Word. Las empresas deberían imponer políticas para prevenir que documentos de Word sean distribuidos por los usuarios, comento Symantec.

Comentábamos de la liberación de ocho boletines de seguridad por parte de Microsoft. Por segunda ocasión Microsoft se retracta y modifica su boletín de avance de boletines de seguridad.

Ahora Microsoft anuncia sólo 4 boletines que seran liberados de la siguiente manera.

Un  boletín de seguridad corrige un problema en Microsoft Windows. La máxima severidad encontrada en este será de Crítica. Esta actualización podrá ser detectada utilizando MBSA y EST. Esta actualización requerirá reiniciar el equipo.

 Tres boletines de seguridad corrigen problemas en Microsoft Office. La máxima severidad encontrada en estos será de Crítica. Estas  actualizaciones podrán ser detectadas utilizando MBSA. Esta actualización puede requerir reiniciar el equipo.

Como parte el ciclo mensual de actualizaciones, Microsoft proporciona el avance de los boletines de seguridad. Dentro del boletín Microsoft anuncia que el próximo martes 9 de enero liberará 8 boletines de seguridad de la siguiente manera.

 ·          Tres Boletines de seguridad corrigen problemas en Microsoft Windows. La máxima severidad encontrada en estos será de Crítica. Estas actualizaciones podrán ser detectadas utilizando MBSA y EST. Alguna de estas actualizaciones requerirá reiniciar el equipo.

·          Un boletín de seguridad corrige problemas en Microsoft Windows y Microsoft Visual Studio. La más alta severidad que podrá se encontrada con este boletín es de Importante. Estas actualizaciones podrán ser detectadas utilizando MBSA. Esta actualización requerirá reiniciar el equipo.

·          Un boletín de seguridad corrige problemas en Microsoft Windows y Microsoft Office. La más alta severidad que podrá se encontrada con este boletín es de Importante. Estas actualizaciones podrán ser detectadas utilizando MBSA y EST. Esta actualización puede requerir reiniciar el equipo.

·          Tres boletines de seguridad corrigen problemas en Microsoft Office. La máxima severidad encontrada en estos será de Crítica. Estas actualizaciones podrán ser detectadas utilizando MBSA. Esta actualización puede requerir reiniciar el equipo.  

 Además se proporcionara una actualización para la herramienta de detección de código malicioso. Y se anuncia la liberación de dos actualizaciones de alta prioridad, no siendo estas de seguridad, solamente a través de Microsoft Update y Windows Server Update Services (WSUS).

Existe una gran diversidad de vulnerabilidad de seguridad que podrían ser corregidas por Microsoft, entre las que destaca la anunciada hace algunas semanas por el propio Microsoft en Office (ver referencias).  Las más urgentes son las que afectan a Microsoft Office debido a la forma en como están catalogadas, Criticas (ver referencias). Esta año Microsoft inicio con un gran número de actualizaciones de seguridad y según predicciones se cree que este año aumenten el número de vulnerabilidad encontradas en comparación con el año pasado, lo cual puede disminuir con la salida de Vista al mercado de usuarios caseros.

Referencias:

Microsoft Security Bulletin Advance Notification

http://www.microsoft.com/technet/security/bulletin/advance.mspx

Microsoft Security Advisory (929433)

Vulnerability in Microsoft Word Could Allow Remote Code Execution

http://www.microsoft.com/technet/security/advisory/929433.mspx

The missing Microsoft patches

Microsoft corrigió 133 vulnerabilidades críticas o importantes en 2006, más del doble que en 2005, de acuerdo a datos recogidos por McAfee.

Tanto Microsoft como McAfee apunta a una gran variedad de factores como la causa del aumento de las vulnerabilidades, pero ninguno de estos sugiere que existe algo malo en la calidad del código de Windows.

Dave Marcus, investigador de seguridad y administrador de comunicaciones de McAfee, dijo que la culpa no necesariamente es de Microsoft, ya que el software de Microsoft debido a su popularidad es el principal objetivo a la hora de hacer exploits y generar nuevos códigos maliciosos.

“Cuando volvemos a hablar acerca de las vulnerabilidades, la existencia de una vulnerabilidad en si mismo no es que exista un incremento del riesgo” comento Marcus.

“El aumento de las vulnerabilidades críticas realmente sólo significa un aumento en vulnerabilidades; las vulnerabilidades están en primer lugar.”

Marcus apuntó a que se detectan y eliminan cada posible vulnerabilidad en una aplicación como Windows o Office, los cuales contienen millones de líneas de código y por tal vuelve imposible detectar todos los problemas.

Investigadores de vulnerabilidades y escritores de códigos maliciosos están enfocando sus investigaciones a vulnerabilidades críticas. Debido a que con estas pueden instalar código malicioso y spyware, lo cual es lo más útil para una explotación de vulnerabilidad.

“La vulnerabilidad crítica es definitivamente el objetivo” comento Marcus.

Mark Millar, director del centro de respuesta de seguridad de Microsoft, estuvo de acuerdo de que el incremento monetario en el descubrimiento y explotación de vulnerabilidades de seguridad esta causando que más vulnerabilidades sean encontradas.

“Creo que hay un aumento a través de la industria” comentó Millar.

Marcus piensa que el dominio del mercado de Microsoft los ha vuelto el objetivo de los investigadores de seguridad y de autores de código maliciosos, y la aplicación menos popular es la que tiene menos victimas potenciales.

Tanto Microsoft como McAfee están de acuerdo en que las nuevas características de seguridad en Windows Vista tienen la posibilidad de afectar al gran número de vulnerabilidades críticas publicadas el siguiente año.

“Creo que Vista tendrá un impacto positivo en lo que estas vulnerabilidades pueda hacer. Este mitigara el impacto de ciertos tipos” comento Marcus.

“Pero al final del día las vulnerabilidades vendrán a menos en el código, y los hackers continuaran encontrando vulnerabilidades en el código.”

Marcus agregó que la tendencia de vulnerabilidades encontradas en productos de Microsoft continuara en 2007.

“Definitivamente veremos un aumento de vulnerabilidades. Existen en teoría miles de vulnerabilidades esperando ser descubiertas” comento Marcus.

Hace 16 días eEye publicó detalles sobre un problema de seguridad en Windows Media Player y menciono la existencia de una prueba de concepto para realizar una negación de servicio.  El problema se debe a una librería de nombre WMCORE.DLL, la cual contiene un heap buffer overflow.

http://research.eeye.com/html/alerts/zeroday/20061122.html

El día de ayer Microsoft y CERT mencionaron estar enterados de una prueba de concepto para ejecutar código arbitrario. El problema afecta a Windows Media Player 9 y 10 por lo que la recomendación sería actualizar a la versión 11. 

http://www.microsoft.com/windows/windowsmedia/default.mspx

El problema se esta catalogando como crítico.

Más información en:

Hueco de seguridad encontrado en Windows Media Player

Referencias:

Public Proof of Concept Code for ASX File Format Isssue

http://blogs.technet.com/msrc/archive/2006/12/07/public-proof-of-concept-code-for-asx-file-format-isssue.aspx

Windows Media Player ASX File Handling Vulnerability

http://www.us-cert.gov/current/current_activity.html#0mswmp

Usuarios están siendo prevenidos para deshabilitar un cierto tipo de archivos en el reproductor media de Microsoft, después de descubrir un a falla de seguridad en el software.

La falla que afecta a Windows Media Player versión 9 y 10, podría permitir a un hacker malicioso ejecutar software no autorizado en la computadora de la victima o causar una negación de servicio, de acuerdo al aviso publicado el día de ayer por la compañía de seguridad FrSIRT, donde cataloga el problema como crítico.

La falla es debido a un error del tipo buffer overflow que puede ocurrir cuando Windows Media Player es utilizado para ejecutar archivos .asx, de acuerdo a un aviso de eEye.

Tales archivos son abierto automáticamente por el navegador, lo que significa que un intruso debería necesitar sólo colocar un archivo .asx infectado en un sitio Web y entonces tratar de que usuarios visiten el sitio Web, comenta eEye. Un archivo infectado podría también ser enviado vía correo electrónico y persuadir al usuario a abrir tal archivo.

Microsoft comentó en una investigación inicial que se había revelado una prueba de concepto, la cual podría ser utilizada por un intruso para infectar equipos. Microsoft además dice no estar conciente de algún intento de explotar la vulnerabilidad y que es poco claro si la prueba de concepto estaba en manos de hackers.

Los usuarios pueden protegerse contra la vulnerabilidad en Internet Explorer, previniendo que se abran archivos .asx automáticamente. Deshabilitando el Active Scripting debería reducir el problema, pero esto no termina con el problema, comentó Microsoft.

Microsoft aún no determina si es necesario corregir el problema fuera del ciclo mensual de actualizaciones o corregirlo hasta el siguiente día de actualizaciones.

La falla fue reportada originalmente el 22 de Noviembre, cuando fue identificada realizando una negación de servicio.

Algunos describen el problema como un exploit de día cero, aunque no esta muy claro si este es el caso. Los exploit de día cero ocurren cuando un exploit es liberado en el mismo día en que la falla es descubierta, no dándole tiempo a los usuarios de protegerse a si mismos.

Esta ha sido otra semana pesada para el equipo de seguridad de Microsoft. El martes pasado Microsoft previno de una vulnerabilidad no corregida en Microsoft Word, la cual ha sido objeto de ataques limitados. El jueves Microsoft comentó que liberará varias actualizaciones de seguridad para Windows y Visual Studio el martes próximo.

Como parte del ciclo mensual de actualizaciones de seguridad, Microsoft público el día de hoy un resumen del avance de los boletines de seguridad que serán liberados el próximo 12 de Diciembre. Microsoft anuncia que liberará 6 boletines de seguridad repartidos de la siguiente manera:

• 5 boletines de seguridad corregirán problemas en Microsoft Windows. La más alta severidad dentro de estos será de crítica.
• 1 boletín de seguridad afecta a Microsoft Visual Studio. La severidad de este boletín es de crítica.

Además Microsoft planea liberar una actualización de su herramienta de detección de código malicioso.

En el caso de actualizaciones de alta prioridad, no siendo estas de seguridad, Microsoft planea liberar 4 de alta prioridad a través de Windows Update y SUS. Y 10 a través de Microsoft Update y WSUS.

Dentro de estas actualizaciones se va a corregir el problema reportado por eEye el 31 de octubre pasado, la falla reportada afecta a Visual Studio 2005 y no fue corregida en los pasados boletines de seguridad a pesar de existir una prueba de concepto.

Dentro de estos boletines no aparece alguno que corrija problemas en Word, lo que dice que probablemente no se corrija el problema reportado por Microsoft el martes pasado.

Finalmente las actualizaciones que podría corregir Microsoft el próximo martes serían algunas reportadas en días pasados por eEye referentes a Internet Explorer, Internet Connection Sharing y Windows Media Player.

Con estos seis boletines Microsoft llega a 77 y supera la marca de 2002 de 72 boletines.

Referencias:

Microsoft Security Bulletin Advance Notification

http://www.microsoft.com/technet/security/bulletin/advance.mspx

http://research.eeye.com/html/alerts/zeroday/20061122.html

Microsoft esta reportando un “limitado ataque de día cero” utilizando Word, el reporte lo hace mediante un aviso de seguridad donde menciona que existe una vulnerabilidad en Microsoft Word que podría permitir la ejecución remota de código si un usuario abre un archivo .doc especialmente diseñado. El problema se debe a una cadena malformada, la cual podría corromper la memoria de manera que un intruso podría ejecutar código arbitrario. El problema esta siendo catalogado como crítico.

Este tipo de problemas se ha corregido en actualizaciones de seguridad pasadas en Word, pero no se especifica con exactitud cual es la parte de Word afectada en el reporte liberado el día de ayer.

Las versiones afectadas son:

· Word 2000

· Word 2002

· Word 2003

· Word Viewer 2003

· Word 2004 for Mac

· Word 2004 v. X for Mac

Las recomendaciones son:

• No abrir archivos .doc recibidos de fuentes no confiables o que no sean esperados por el usuario.
• Tener instalado y actualizado un software antivirus.
• Utilizar cuentas con privilegios limitados
• Salvar y analizar todos los archivos recibidos antes de abrirlos.

El problema parece estar atacando a un objetivo en especifico para realizar espionaje corporativo y Microsoft reporta que un pequeño número de clientes se han visto afectados. Un problema similar fue reportado en Mayo cuando hackers chinos utilizaron un problema en Word para comprometer equipos de cómputo.

Lo curioso de este problema es que Microsoft regularmente no acostumbra emitir avisos de seguridad sino hasta que el problema es publicado por un tercero. Esta vez Microsoft se adelanta y menciona el problema una semana antes de la liberación de los boletines de seguridad de diciembre. Aparentemente el problema es conocido por Microsoft desde el pasado 21 de noviembre, fecha en que fue dado de alta el CVE candidate del problema.

Microsoft mañana publicará un avance los boletines de seguridad que serán liberados el próximo 12 de Diciembre.

Referencias:

Microsoft Security Advisory (929433)

Vulnerability in Microsoft Word Could Allow Remote Code Execution

http://www.microsoft.com/technet/security/advisory/929433.mspx

Active Exploitation of a Vulnerability in Microsoft Word

http://www.us-cert.gov/current/index.html#mwd0d