1. Software relacionado

   Esta nota de seguridad está relacionada con el siguiente software:

   • Snapshot Viewer para Microsoft Access
   • Microsoft Office Access 2000
   • Microsoft Office Access 2002
   • Microsoft Office Access 2003

2. Descripción

   Microsoft Snapshot Viewer es un visor para snapshots creadas con Microsoft Access. El visor está disponible como un control ActiveX, como parte de snapview.ocx, o como una aplicación independiente. El Snapshot Viewer esta disponible para las versiones de Office 2000, Office XP, Office 2003 y es posible que esté disponible en algunos sistemas que no tengan Microsoft Office.

   La vulnerabilidad podría permitir a un atacante descargar archivos en directorios aleatorios.

3. Impacto

   Un atacante remoto podría descargar diversos archivos con código malicioso en el equipo de la víctima y ejecutarlos con los privilegios del usuario en sesión.

4. Solución

   Microsoft ha publicado algunas soluciones temporales para esta vulnerabilidad en su Aviso (955179).

   La más efectiva de las soluciones para esta vulnerabilidad es establecer bits de eliminación para el control ActiveX. Otras soluciones involucran deshabilitar todos los controles ActiveX en el explorador Web y actualizar a Internet Explorer 7 para mitigar el riesgo de esta vulnerabilidad.

5. Referencias

   • Aviso de Seguridad de Microsoft(955179)
   • Vulnerabilidad en Control ActiveX para el Snapshot viewer de Microsoft Access podría permitir la ejecución remota de Código
   • US-CERT Nota de vulnerabilidad VU#837785
   • Vulnerabilidad en Control ActiveX Snapshot Viewer de Microsoft Office

La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:

• Oscar Raúl Ortega Pacheco (oortega at seguridad dot unam dot mx)