Sistemas Afectados

1. Descripción

   • Vulnerabilidad en documentos de Visio – CVE-2007-0936

   Existe una vulnerabilidad de ejecución remota de código en Microsoft Visio como resultado de la manera incorrecta en como se maneja el análisis de objetos de paquetes con formato de archivo Visio, el problema causa una corrupción de memoria.

   • Vulnerabilidad de corrupción de memoria en el número de versión – CVE-2007-0934

   Existe una vulnerabilidad de corrupción de memoria debido a que Visio no maneja correctamente la validación del campo del número de versión cuando se procesa el contenido de un archivo.

2. Impacto

   Un intruso podría explotar esta vulnerabilidad construyendo un archivo malicioso (.VSD, .VSS o VST), el cual podría permitir la ejecución remota de código si un usuario visita un sitio Web o abre un archivo especialmente diseñado. El intruso que explote con éxito esta vulnerabilidad podría tomar el control total del equipo afectado.

3. Solución

   Aplicar una actualización:

   • Microsoft Visio 2002 Service Pack 2 - Descargar Actualización
   • Microsoft Visio 2003 Service Pack 2 - Descargar Actualización

4. Apéndice

   • Boletín de Seguridad de Microsoft MS07-030 - http://www.microsoft.com/technet/security/bulletin/MS07-030.mspx

La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:

• Juan Lopez Morales (jlopez at seguridad dot unam dot mx)
• Jesús Ramón Jiménez Rojas (jrojas at seguridad dot unam dot mx)