¿El software ArcGIS es susceptible a CVE-2010-3599?

Respuesta

Algunas herramientas de seguridad informan de que el software de ArcGIS está expuesto a CVE-2010-3599: un error en el método WriteJPG() del control ActiveX NCSEcw.dll puede aprovecharse para sobrescribir archivos arbitrariamente o tal vez causar un desbordamiento de la memoria intermedia. Este problema se encuentra en algunas versiones de NCSEcw.dll, que se usa para renderizar archivos ráster en formato ECW (Enhanced Compression Wavelet).

Se trata de un falso positivo. Para aprovechar CVE-2010-3599, es necesario que NCSEcw.dll esté registrada como objeto COM en el software Esri. Esta DLL no está registrada como objeto COM en ArcGIS Desktop, ArcGIS Engine o ArcGIS Enterprise. Las DLL de ECW utilizadas en ArcGIS 10.4 y posteriores no tienen la interfaz COM (la versión de ECW SDK es 5.2.1 en las versiones más recientes). En versiones anteriores de ArcGIS, se utiliza ECW 4.x SDK; sin embargo, las DLL de ECW no están registradas ni utilizan una interfaz COM, por lo que esta vulnerabilidad no se puede aprovechar desde la instalación de ArcGIS/GDAL.

Se puede verificar de forma independiente. Para ello, utilice el código HTML del apéndice del documento de referencia para comprobar los equipos con ArcGIS Desktop y ArcGIS Engine. Por ejemplo, una prueba en un equipo que ejecuta ArcGIS 10.2.2 devuelve el siguiente mensaje:

No se encontró ‘NCSEcw.NCSRenderer’ o no se ha podido cargar el error: el servidor de automatización no puede crear un sistema de objetos no vulnerable a CVE-2010-3599. No se requieren más acciones