lunes, 21 de abril de 2008

Ejecución remota de código a través WkImgSrv.dll en Microsoft Works

Se ha descubierto un fallo de seguridad en un componente ActiveX del servidor de imagen (WkImgSrv.dll) del paquete de ofimática Microsoft Works que podría permitir a un atacante remoto ejecutar código arbitrario.

El fallo se debe a un desbordamiento de la memoria intermedia en la librería WkImgSrv.dll que podría producirse al visitar con Internet Explorer una página web creada específicamente por un atacante.

Actualmente no existe ningún parche. Se recomienda activar el 'kill bit' del control ActiveX para evitar que el componente afectado sea llamado por Internet Explorer. Es posible hacerlo copiando el siguiente texto, guardándolo como archivo con extensión .reg y ejecutándolo como administrador:

---COPIAR DESDE AQUI---

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\
ActiveX Compatibility\{00E1DB59-6EFD-4CE7-8C0A-2DA3BCAAD9C6}]
"Compatibility Flags"=dword:00000400

---COPIAR HASTA AQUI---

También existe la posibilidad de deshabilitar la ejecución automática de ActiveX en el navegador.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Potential Microsoft Works ActiveX Zero-Day Surfaces
http://www.avertlabs.com/research/blog/index.php/2008/04/17/potential-microsoft-works-activex-0-day-surfaces/