IBM
ha confirmado una vulnerabilidad en un control Active X de IBM SPSS Statistics
que podría permitir la ejecución de código arbitrario.
IBM SPSS Statistics es un paquete que pertenece a la familia SPSS, un conjunto de productos de software estadístico y de análisis muy usado en las ciencias sociales y en investigación de mercado. Se centra en el completo proceso analítico, desde la planificación a la colección de datos y al análisis, "reporting" y despliegue.
Detalle
e Impacto de la vulnerabilidad
- La vulnerabilidad, con CVE-2015-8530, reside en que un Control ActiveX de IBM SPSS Statistics es vulnerable a un desbordamiento de buffer basado en stack. Un atacante debe convencer a la víctima para que visite una página web específicamente creada que pase un argumento muy largo a la función Initialize, lo que podría permitir ejecutar código arbitrario en el sistema.
Se
ven afectadas las versiones IBM SPSS Statistics 20 a 24. IBM ha publicado las
siguientes actualizaciones:
- IBM SPSS Statistics 20.0.0.2: 20.0.0.2-IF0008
- IBM SPSS Statistics 21.0.0.2: 21.0.0.2-IF0010
- IBM SPSS Statistics 22.0.0.2: 22.0.0.2-IF0011
- IBM SPSS Statistics 23.0.0.3: 23.0.0.3-IF0001
- IBM SPSS Statistics 24.0.0.0: 24.0.0.0-IF0003
Para
IBM SPSS Statistics 19, IBM recomienda actualizar a una versión soportada y
actualizada del producto.
Más
información:
- Security Bulletin: IBM SPSS Statistics ActiveX Control Buffer Overflow (CVE-2015-8530) http://www-01.ibm.com/support/docview.wss?uid=swg21982035