Español

Preguntas frecuentes: ¿El software ArcGIS es susceptible a CVE-2010-3599?

Pregunta

Preguntas frecuentes: ¿El software ArcGIS es susceptible a CVE-2010-3599?

Respuesta

Algunas herramientas de seguridad informan que el software de ArcGIS está expuesto a CVE-2010-3599: Un error en el método WriteJPG() del control ActiveX NCSEcw.dll puede aprovecharse para sobrescribir archivos arbitrariamente o causar un potencial desbordamiento de memorias intermedias. Este problema se encuentra en algunas versiones de NCSEcw.dll, que se usa para renderizar archivos ráster en formato ECW (Enhanced Compression Wavelet).

Se trata de un falso positivo. Para aprovechar CVE-2010-3599, es necesario que NCSEcw.dll esté registrada como objeto COM en el software Esri. Esta DLL no está registrada como objeto COM en ArcGIS Desktop, ArcGIS Engine o ArcGIS Enterprise. Las DLL de ECW utilizadas en ArcGIS 10.4 y posteriores no disponen de la interfaz COM (la versión del SDK de ECW es 5.2.1 en las versiones más recientes). En las versiones anteriores de ArcGIS, se utiliza el SDK de ECW 4.x; sin embargo, las DLL de ECW no están registradas ni utilizan una interfaz COM, por lo que esta vulnerabilidad no se puede aprovechar desde la instalación de ArcGIS/GDAL.

Se puede verificar de forma independiente. Para ello, utilice el código HTML del apéndice del documento de referencia para comprobar los equipos con ArcGIS Desktop y ArcGIS Engine. Por ejemplo, una prueba en un equipo que ejecuta ArcGIS 10.2.2 devuelve el siguiente mensaje:

NO se encontró o no se pudo cargar "NCSEcw.NCSRenderer"
Error: El servidor de automatización no puede crear un objeto
El sistema no está expuesto a CVE-2010-3599. No se requieren más acciones
User-added image

Related Information