Por otro lado, se ha vuelto a observar la tendencia que observamos desde 2006. Pocas horas después de que Microsoft publique sus actualizaciones los segundos martes de cada mes, aparece una nueva vulnerabilidad sin parche conocido. Esto permite que el tiempo de exposición sea más largo y la “efectividad” de la vulnerabilidad (si con ella se permite la ejecución de código) mayor.
Aunque el fallo se dé en Microsoft Office, lo preocupante es que la librería vulnerable es accesible a través de la web, como ActiveX. En otras palabras, permitiría ejecutar cualquier programa arbitrario en el sistema con solo visitar una web.
El problema se produce cuando se pasan más de 256 bytes al método HelpPopup del método DeleteRecordSourceIfUnused del Control ActiveX MSODataSourceControl. Si un usuario visita con Internet Explorer un sitio web especialmente manipulado que aproveche el fallo, el navegador dejaría de funcionar y potencialmente, ejecutaría código. Existe exploit público del fallo, y aunque no ha sido probado, es muy posible que permita la ejecución código arbitrario.
En el caso de OpenOffice.org, se recomienda actualizar a la última versión desde su página web. C
omo recomendación general, se aconseja no abrir ningún archivo no solicitado previamente, en ningún formato. Esto también es aplicable a quien trabaje con Microsoft Office.
En el caso de Microsoft Office no existe parche oficial, y parece que ya están investigando la vulnerabilidad. Se recomienda, por tanto, activar el kill-bit para el Control ActiveX con clsid: 0002E55B-0000-0000-C000-000000000046 para evitar el acceso a través deInternet Explorer al control.
Esto se consigue guardando el texto a continuación en un archivo .reg y ejecutándolo como administrador. Se aconseja tener cuidado a la hora de manipular el registro.
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerActiveXCompatibility{0002E55B-0000-0000-C000-000000000046}]"Compatibility Flags"=dword:00000400
Más información:
Microsoft investigates possible new Office flaw
http://searchsecurity.techtarget.com/originalContent/0,289142,sid14_gci1260760,00.htm
High risk vulnerability in OpenOffice RTF parser
http://www.securityfocus.com/archive/1/471274
Sergio de los Santos
ssantos@hispasec.com
Noticias Hispasec
