Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Agujero de seguridad en Office 97
 
Viernes 30 de julio de 1999 (actualizado el sábado 7 de agosto de 1999).

Un agujero de seguridad bastante importante ha sido detectado en el paquete de aplicaciones de Microsoft, Office 97. El mismo puede permitir que cierto código malicioso contenido en una simple hoja de cálculo de Excel 97 (aplicación que forma parte de Office 97), y escondida en una página Web o enviada por e-mail, pueda llegar a tomar el control de una PC sin el conocimiento de la víctima, el usuario de ese PC, informó oficialmente Microsoft el jueves 29 de julio de 1999.

Esta vulnerabilidad está contenida en el driver Jet 3.51 (ODBCJT32.DLL), que incluyen las utilidades del Office 97, y que corresponde al ODBC (Open DataBase Connectivity), una capa de Windows que permite la conectividad de distintas aplicaciones entre diferentes bases de datos, sin importar su tipo ni ubicación. (Vea también: "Software vulnerable vía Web, y una solución a medias").

Un diseñador Web español, Juan Carlos G. Cuartango, quien ha descubierto otras fallas de seguridad anteriormente, fue quien informó del nuevo agujero a la lista NTBugTraq el jueves de la última semana de julio. El equipo de seguridad de Microsoft confirmó este problema el mismo día, a la misma lista.

"Si usted abre una hoja de cálculo de Excel que contenga cierto código malicioso, éste puede enviar comandos a su sistema operativo (tanto Windows 95, 98 como NT son afectados), y esto puede: infectarlo con un virus, borrar sus discos, leer sus archivos, etc." dijo Cuartango en su mensaje a la lista. "la hoja de cálculo maliciosa, tomará el control completo de su PC", termina afirmando Cuartango.

Microsoft afirmó en su mensaje a la lista, que ha verificado que este problema existe en el driver Jet 3.51 (Microsoft ODBC Desktop Driver Pack), y ha insistido a todos sus clientes que hagan el upgrade de la versión 3.51 a la 4.0. "Esta vulnerabilidad debe tomarse en serio. Los usuarios de Office 97 deben considerar actualizar inmediatamente este driver a la versión 4.0. La versión 3.51 se instala siempre con Office 97. Los usuarios de Office 2000, en cambio, no necesitan actualizarse, ya que por defecto este paquete incluye la versión 4.0".

Una hoja de cálculo Excel con este código malicioso, podría ocultarse en una página Web o enviarse por correo electrónico. Si esta hoja no contiene macros, tal vez no despierte las sospechas del usuario (ni de las protecciones antivirus por ejemplo). En otras palabras no habría ninguna indicación al usuario que visitó esa página o que abrió un correo con la hoja adjunta, que algún código pudiera haber sido ejecutado, informó Cuartango, quien además afirma que si el archivo se envía vía e-mail, el destinatario debe estar aún conectado para ser afectado. Su recomendación por lo tanto es no abrir documentos no solicitados, y esperar estar desconectado para abrir los mensajes de correo. Y si la hojas de cálculo se envían como un archivo adjunto, simplemente no abrir el archivo adjunto.

Microsoft enviará instrucciones detalladas para evitar el problema en próximos boletines de seguridad. Mientras tanto, los usuarios en riesgo pueden evitar el problema instalando "Microsoft Data Access Components version 2.1" que contiene la versión Jet 4.0. Este programa está disponible en: http://www.microsoft.com/data. (Sin embargo, actualizar este archivo no soluciona todos los problemas, vea: "Software vulnerable vía Web, y una solución a medias").

En este sitio, los usuarios de habla hispana, deben seleccionar el parche correspondiente a la versión en español: "Microsoft Data Access Components 2.1.1.3711.11 (GA) now Available for French, Brazilian Portugese, Spanish, Swedish, and Dutch".

O si prefieren bajar el parche (pesa 6 megas) con una utilidad como GetRight (*) u otros para bajarla en etapas, prueben con este extenso url:

http://download.microsoft.com/download/win2000pro/install/2.1/win98/ES/mdac_types.exe

Cuartango dijo haber informado de esta vulnerabilidad "hace unos días". Y asegura "que de hecho el problema está corregido en el controlador Jet 4.0 que se distribuye con MDAC 2.1. La fecha de los archivos de este componente corresponden al 26 de abril de 1999". Según Cuartango, "esto demuestra que Microsoft era consciente del problema mucho tiempo atrás. Pero recién pensó en lanzar un boletín cuando esta vulnerabilidad fue hecha pública."

Microsoft niega estas acusaciones, y afirma que en la versión 4.0 de Jet, se corrigieron una serie de problemas que se habían encontrado en la versión 3.51; ninguno de ellos parecía particularmente serio en ese momento. Cuando fueron avisados por Cuartango de la posibilidad de aprovecharse de una muy particular manera de uno de los errores de la versión 3.51, Microsoft confirmó la gravedad del mismo y aseguró advertirlo a sus clientes a la brevedad, apenas confirmaran tener un mecanismo actualizado para bajar de su sitio la versión revisada que verdaderamente eliminara este riesgo.

(*) GetRight y otro software de este estilo que permite bajar un archivo por etapas (si el sitio lo permite) pueden ser bajados de estas direcciones:

 

Copyright 1996-2000 Video Soft BBS