Seguimos con otra vulnerabilidad día-0 de Microsoft, esta vez con respecto a un ActiveX de Microsoft Office Web Components. Hace una semana publicábamos un boletín de alerta sobre una vulnerabilidad similar en el Control ActiveX de Video de Microsoft. Anteriormente publicamos otra alerta sobre un día-0 en DirectX aunque en este caso no había conocimiento de que se estuviese explotando.
En los casos de controles ActiveX, su aprovechamiento es inmediato puesto que se realiza a través del navegador Internet Explorer de forma que cualquier equipo no protegido es vulnerable a un ataque de este tipo visitando una página web especialmente desarrollada.

La solución pasa por ejecutar los killbits de los ActiveX comprometidos mediante la herramienta que ha hecho pública Microsoft en espera de la actualización correspondiente. Hoy mismo Microsoft debe liberar el conjunto de actualizaciones para el mes de Julio y se espera que al menos solucione una de las tres vulnerabilidades día-0 que tiene pendientes.

Una alternativa sería utilizar un navegador distinto a Internet Explorer.

Esta vulnerabilidad permitiría a un atacante conseguir los mismos privilegios que el usuario local. Si el usuario con el que navegamos no es administrador, el riesgo será mucho menor.

Para aprovechar esta nueva vulnerabilidad el equipo debe tener instalada una de las versiones de Microsoft Office o Internet Security y Acceleration Server que se detallan a continuación.

Actualizaremos la información sobre esta vulnerabilidad en los foros de la web de Recursos CSIRT-CV.

Microsoft Office XP Service Pack 3
Microsoft Office 2003 Service Pack 3
Microsoft Office XP Web Components Service Pack 3
Microsoft Office 2003 Web Components Service Pack 3
Microsoft Office 2003 Web Components para 2007 Microsoft Office system Service Pack 1
Microsoft Internet Security y Acceleration Server 2004 Standard Edition Service Pack 3
Microsoft Internet Security y Acceleration Server 2004 Enterprise Edition Service Pack 3
Microsoft Internet Security y Acceleration Server 2006
Internet Security y Acceleration Server 2006 Supportability Update
Microsoft Internet Security y Acceleration Server 2006 Service Pack 1
Microsoft Office Small Business Accounting 2006

Riesgo:   Alto

La vulnerabilidad detectada en Microsoft Office Web Components está causada por un error de corrupción de memoria en los controles ActiveX "OWC10.DLL" y "OWC11.DLL". Si el usuario utiliza Internet Explorar, la vulnerabilidad se puede explotar remotamente y atacantes podrían ejecutar código arbitrario tras engañar a un usuario para que visite una página web manipulada maliciosamente.

Microsoft asegura que la vulnerabilidad está siendo utilizada de manera activa en Internet.

Activar los kill bits para CLSIDs {0002E541-0000-0000-C000-000000000046} y {0002E559-0000-0000-C000-000000000046}.

CVE-2009-1136

http://www.microsoft.com/technet/security/advisory/973472.mspx
http://blogs.technet.com/msrc/archive/2009/07/13/microsoft-security-advisory-973472-released.aspx
http://blogs.technet.com/srd/archive/2009/07/13/more-information-about-the-office-web-components-activex-vulnerability.aspx

Fuente:  Microsoft www.microsoft.com