Microsoft ha publicado un aviso de seguridad donde, además de confirmar la vulnerabilidad, despeja las incógnitas de las versiones vulnerables y que aplicaciones la incluyen.

Las versiones de MSDDS.DLL afectadas son la 7.0.9064.9112 y la 7.0.9446.0.

Una de estas versiones vulnerables se instala con Microsoft Visual Studio 2002. Los usuarios afectados pueden actualizarse con el Service Pack 1 de Microsoft Visual Studio 2002 que instala una versión superior de MSDSSL.DLL no vulnerable, disponible en la direcciónhttp://msdn.microsoft.com/vstudio/downloads/updates/sp/

Aunque los usuarios de Microsoft Office XP Service Pack 3 no se encuentran afectados por defecto, podrían ser vulnerables si por cualquier causa los archivos MSVCR70.DLL y MSVSCP70.DLL se encuentran en el mismo directorio que MSDDS.DLL o en la carpeta system32 de Windows.

Una forma fácil de descartar que nuestro sistema se encuentra afectado es buscar el archivo MSDDS.DLL en nuestros discos duros, por ejemplo a través de la propia herramienta de buscar archivos de Windows. Si no se localiza el archivo, no somos vulnerables.

El problema se basa en una vulnerabilidad en la biblioteca MSDDS.DLL (Microsoft DDS Library Shape Control COM object).

Expertos en seguridad advierten que este DLL puede ser llamado desde una página web cargada por el Internet Explorer, de tal modo que se provoque un fallo en dicha biblioteca, lo que permitiría inyectar código malicioso en los sistemas vulnerables. 

Esto se debe a que el IE intenta cargar objetos COM encontrados en una página web como controles ActiveX, como es el caso con MSDDS.DLL. Estos objetos no están pensados para funcionar de esta manera.

De este modo, un atacante podría tomar el control de un sistema, con solo engañar al usuario para que visite una página Web maliciosamente construida, que podría abrir un shell remoto en el equipo.

Mas información:http://www.microsoft.com/technet/security/advisory/906267.mspx