O software ArcGIS é suscetível a CVE-2010-3599?

Resposta

Algumas ferramentas de segurança relatam que o software ArcGIS é suscetível a CVE-2010-3599: Um erro no método WriteJPG() no controle ActiveX NCSEcw.dll pode ser explorado para sustituir arquivos arbitrários ou potencialmente causar um estouro de buffer. Este problema é encontrado em algumas versões do NCSEcw.dll, que é usado para processar arquivos raster Enhanced Compression Wavelet (ECW).

Este é um falso positivo. Explorar CVE-2010-3599 exige que NCSEcw.dll seja registrado como um objeto COM no software da Esri. Esta DLL não está registrada como um objeto COM no ArcGIS Desktop, ArcGIS Engine ou ArcGIS Enterprise. As DLLs ECW usadas no ArcGIS 10.4 e posterior não têm a interface COM (a versão do ECW SDK é 5.2.1 nas versões mais recentes.) Em versões mais antigas do ArcGIS, o ECW 4.x SDK é usado; no entanto, as DLLs ECW não são registradas nem usam uma interface COM, portanto, esta vulnerabilidade não pode ser explorada a partir da instalação do ArcGIS/GDAL.

Isso pode ser verificado de forma independente. Para fazer isso, use a HTML no apêndice do documento referenciado para verificar as máquinas com ArcGIS Desktop e ArcGIS Engine. Por exemplo, um teste em uma máquina executando ArcGIS 10.2.2 retorna a seguinte mensagem:

"NCSEcw.NCSRenderer" NÃO foi encontrado ou não foi possível carregar Erro: O servidor de automação não pode criar objeto Sistema não vulnerável a CVE-2010-3599. Nenhuma ação adicional necessária