http://www.vsantivirus.com/vulms07-030.htm

Nivel de gravedad: Importante
Impacto: Ejecución remota de código
Fecha de publicación: 12 de junio de 2007

Software afectado por este parche:

- Microsoft Office 2003
- Microsoft Visio 2002 Service Pack 2
- Microsoft Visio 2003 Service Pack 2

Software NO afectado por este parche:

- 2007 Microsoft Office System
- Microsoft Office Visio 2007

El software en esta lista se ha probado para determinar
si es afectado. Otras versiones anteriores no mencionadas, podrían o no ser
vulnerables, pero ya no incluyen soporte de actualizaciones de parte de
Microsoft.

Descripción:

Microsoft Visio es una herramienta para crear diagramas
que ayudan a empresas y profesionales, a documentar y compartir ideas e
información de forma visual.

Este parche corrige dos vulnerabilidades que podrían
permitir a un usuario remoto ejecutar código en el contexto del usuario
local, tomando el control del sistema.

Uno de los problemas está relacionado con la incorrecta
validación de la información recibida, y el otro, con la interpretación
inadecuada de ciertos objetos, lo que puede permitir la corrupción de la
memoria utilizada por el programa.

Mitigación:

El atacante debe convencer a un usuario a visitar un
sitio web malicioso, y a descargar un archivo modificado maliciosamente
para explotar exitosamente estas vulnerabilidades.

Un archivo enviado como adjunto en un correo electrónico,
debe ser abierto por el usuario, ya que no puede ejecutarse
automáticamente.

Explotación:

No se conocen exploits.

Referencias CVE:

Las vulnerabilidades corregidas están relacionadas con
las siguientes referencias CVE:

CVE-2007-0934
Visio Version Memory Corruption Vulnerability
http://www.cve.mitre.org/cgi-bin/cve...=CVE-2007-0934

CVE-2007-0936
Visio Document Packaging Vulnerability
http://www.cve.mitre.org/cgi-bin/cve...=CVE-2007-0936

CVE (Common Vulnerabilities and Exposures), es la lista
de nombres estandarizados para vulnerabilidades y otras exposiciones de
seguridad que han tomado estado público, la cuál es operada por
cve.mitre.org, corporación patrocinada por el gobierno norteamericano.

Descargas:

Las actualizaciones pueden descargarse del siguiente
enlace:

http://www.microsoft.com/technet/sec.../ms07-030.mspx

El parche también está disponible a través de las
actualizaciones automáticas de Windows Update.

Nota:

Antes de instalar esta actualización, verifique que el
software que se menciona tenga instalado los Service Pack a los que se hace
referencia. En caso contrario la aplicación puede fallar o ejecutarse de
manera incorrecta.

Más información:

Microsoft Security Bulletin MS07-030
http://www.microsoft.com/technet/sec.../ms07-030.mspx

Microsoft Knowledge Base Article - 927051
http://support.microsoft.com/kb/927051/es






(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com







Copyright 1996-2007 Video Soft BBS