Sistemas Afectados

1. Descripción

   Se reportó una vulnerabilidad en Microsoft Visual Studio .Net, que posiblemente pueda explotarse por personas maliciosas para comprometer un sistema vulnerable.

   • La vulnerabilidad es ocasionada por un error cuando el objeto COM "msdds.dll" (Microsoft Design Tools - Diagram Surface) es instanciado dentro del navegador Internet Explorer.

     Una explotación exitosa podría permitir la ejecución de código arbitrario, pero requiere engañar a un usuario para que ingrese en un sitio malicioso.

     El objeto COM es instalado como parte de los siguientes productos:

     • Microsoft Visual Studio .NET 2003
     • Microsoft Office Professional 2003
     • Microsoft Office XP

     Otros productos también podrián incluir el objeto COM afectado.

   NOTA: Un exploit esta disponible publicamente. Sin embargo, en estos momentos hay un conflicto con los reportes acerca de la explotabilidad de dicha vulnerabilidad. Varios reportes confirman que la ejecución de código es posible, mientras que otros indican que el problema no se ha podido reproducir.

2. Impacto

   Acceso al sistema.

3. Solución

   No se ha reportado una actualización para este problema.

   Restringir el uso de los controles de ActiveX solo a sitios web confiables.

   Utilizar otro producto.

4. Apéndices

   Mayor información.

   http://isc.sans.org/

La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:

• Floriberto López Velázquez (flopez at seguridad dot unam dot mx)