lunes, 16 de mayo de 2016

Desbordamiento de búfer en IBM SPSS Statistics

IBM ha confirmado una vulnerabilidad en un control Active X de IBM SPSS Statistics que podría permitir la ejecución de código arbitrario.

IBM SPSS Statistics es un paquete que pertenece a la familia SPSS, un conjunto de productos de software estadístico y de análisis muy usado en las ciencias sociales y en investigación de mercado. Se centra en el completo proceso analítico, desde la planificación a la colección de datos y al análisis, "reporting" y despliegue.

La vulnerabilidad, con CVE-2015-8530, reside en que un Control ActiveX de IBM SPSS Statistics es vulnerable a un desbordamiento de buffer basado en stack. Un atacante debe convencer a la víctima para que visite una página web específicamente creada que pase un argumento muy largo a la función Initialize, lo que podría permitir ejecutar código arbitrario en el sistema. 

Se ven afectadas las versiones IBM SPSS Statistics 20 a 24. IBM ha publicado las siguientes actualizaciones:
IBM SPSS Statistics 20.0.0.2:  20.0.0.2-IF0008
IBM SPSS Statistics 21.0.0.2:  21.0.0.2-IF0010
IBM SPSS Statistics 22.0.0.2:  22.0.0.2-IF0011
IBM SPSS Statistics 23.0.0.3:  23.0.0.3-IF0001
IBM SPSS Statistics 24.0.0.0:  24.0.0.0-IF0003

Para IBM SPSS Statistics 19, IBM recomienda actualizar a una versión soportada y actualizada del producto.

Más información:

Security Bulletin: IBM SPSS Statistics ActiveX Control Buffer Overflow (CVE-2015-8530)



Antonio Ropero
Twitter: @aropero




No hay comentarios:

Publicar un comentario en la entrada