28 de mayo de 2016

IBM SPSS Statistics. Desbordamiento de búfer

IBM ha confirmado una vulnerabilidad en un control Active X de IBM SPSS Statistics que podría permitir la ejecución de código arbitrario.
IBM SPSS Statistics es un paquete que pertenece a la familia SPSS, un conjunto de productos de software estadístico y de análisis muy usado en las ciencias sociales y en investigación de mercado. Se centra en el completo proceso analítico, desde la planificación a la colección de datos y al análisis, "reporting" y despliegue.
Detalle e Impacto de la vulnerabilidad
  • La vulnerabilidad, con CVE-2015-8530, reside en que un Control ActiveX de IBM SPSS Statistics es vulnerable a un desbordamiento de buffer basado en stack. Un atacante debe convencer a la víctima para que visite una página web específicamente creada que pase un argumento muy largo a la función Initialize, lo que podría permitir ejecutar código arbitrario en el sistema.
Recursos afectados
Se ven afectadas las versiones IBM SPSS Statistics 20 a 24. IBM ha publicado las siguientes actualizaciones:
  • IBM SPSS Statistics 20.0.0.2:  20.0.0.2-IF0008
  • IBM SPSS Statistics 21.0.0.2:  21.0.0.2-IF0010
  • IBM SPSS Statistics 22.0.0.2:  22.0.0.2-IF0011
  • IBM SPSS Statistics 23.0.0.3:  23.0.0.3-IF0001
  • IBM SPSS Statistics 24.0.0.0:  24.0.0.0-IF0003
Para IBM SPSS Statistics 19, IBM recomienda actualizar a una versión soportada y actualizada del producto.
Más información:
Fuente: Hispasec