Sistemas Afectados

1. Descripción

   • Vulnerabilidad de Descarga de archivos arbitrarios en Snapshot Viewer - CVE-2008-2463

   Existe una vulnerabilidad de ejecución de remota de código en el control ActiveX para el Snapshot Viewer de Microsoft Access. Un atacante podría explotar la vulnerabilidad mediante la construcción de una página Web. Cuando un usuario visualiza la página web, la vulnerabilidad podría permitir la ejecución remota de código. Un atacante que aprovechara con éxito esta vulnerabilidad podría obtener los mismos privilegios que el usuario en sesión.

2. Impacto

   Un atacante remoto podría ejecutar código arbitrario con los mismos privilegios que el usuario en sesión.

3. Solución

   Aplicar una actualización de Microsoft Corp.

   • Snapshot Viewer para Microsoft Access *
   • Microsoft Office Access 2000 Service Pack 3
   • Microsoft Office Access 2002 Service Pack 3
   • Microsoft Office Access 2003 Service Pack 2 y Microsoft Office Access 2003 Service Pack 3

   * Microsoft aún no emite una solución para este componente pero se encuentra trabajando en ello. Cuando se libere la solución el presente bolentín será actualizado.

4. Referencias

   • Boletín Original de Microsoft
   • Boletín de Seguridad de Microsoft MS08-041 - http://www.microsoft.com/technet/security/bulletin/ms08-041.mspx

La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:

• Jennifer Méndez Bernal (windows at seguridad dot unam dot mx)
• Oscar Raúl Ortega Pacheco (oortega at seguridad dot unam dot mx)