14-07-2009

Microsoft confirma la existencia de una vulnerabilidad 0-day en Microsoft Office Web Components, que podría ser utilizada para ejecutar código de manera arbitraria.

Sistemas afectados:

Microsoft Office XP Service Pack 3
Microsoft Office 2003 Service Pack 3
Microsoft Office XP Web Components Service Pack 3
Microsoft Office 2003 Web Components Service Pack 3
Microsoft Office 2003 Web Components para 2007 Microsoft Office system Service Pack 1
Microsoft Internet Security y Acceleration Server 2004 Standard Edition Service Pack 3
Microsoft Internet Security y Acceleration Server 2004 Enterprise Edition Service Pack 3
Microsoft Internet Security y Acceleration Server 2006
Internet Security y Acceleration Server 2006 Supportability Update
Microsoft Internet Security y Acceleration Server 2006 Service Pack 1
Microsoft Office Small Business Accounting 2006

Riesgo:   Alto

Descripción:

La vulnerabilidad detectada en Microsoft Office Web Components está causada por un error de corrupción de memoria en los controles ActiveX "OWC10.DLL" y "OWC11.DLL". Si el usuario utiliza Internet Explorar, la vulnerabilidad se puede explotar remotamente y atacantes podrían ejecutar código arbitrario tras engañar a un usuario para que visite una página web manipulada maliciosamente.

Microsoft asegura que la vulnerabilidad está siendo utilizada de manera activa en Internet.

Solución:

Activar los kill bits para CLSIDs {0002E541-0000-0000-C000-000000000046} y {0002E559-0000-0000-C000-000000000046}.

Referencias:

CVE-2009-1136

Más información:

http://www.microsoft.com/technet/security/advisory/973472.mspx
http://blogs.technet.com/msrc/archive/2009/07/13/microsoft-security-advisory-973472-released.aspx
http://blogs.technet.com/srd/archive/2009/07/13/more-information-about-the-office-web-components-activex-vulnerability.aspx

Fuente:   Microsoft www.microsoft.com