|
Cuatro actualizaciones críticas para Office
|
|
VSantivirus No 2663 Año 11, miércoles 12 de marzo de 2008
Cuatro actualizaciones críticas para Office
http://www.vsantivirus.com/ms08-mar.htm
Por Redacción VSAntivirus
vsantivirus@videosoft.net.uy
Microsoft dio a conocer cuatro boletines de seguridad que describen vulnerabilidades en varias versiones de Office y productos relacionados, y las actualizaciones que las resuelven. Las mismas están consideradas críticas.
La más seria de las cuatro se describe en el boletín MS08-015 y lleva como título "Vulnerabilidad en Microsoft Outlook". La misma podría permitir la ejecución remota de código.
El problema se encuentra en el manejo del protocolo "mailto:", que permite iniciar una sesión del cliente de correo desde un enlace HTML. Para explotar el fallo, se debe incitar al usuario a hacer clic en un enlace malicioso de una página web o de un correo electrónico.
La explotación permitiría la ejecución remota de código en el contexto del usuario que inició la sesión. Esto puede eludir la restricción que obliga a que el correo electrónico HTML se ejecute en la zona de seguridad más restringida. De todos modos, se requiere que el usuario haga clic sobre el enlace.
Casi todas las versiones de Outlook se ven afectadas, incluyendo Office 2000 Service Pack 3, Office XP Service Pack 3, Office 2003 Service Packs 2 y 3, y Office 2007 sin Service Pack.
Como Office 2007 con el Service Pack 1 instalado no es afectado, puede asumirse que Microsoft ya había dispuesto de este parche en el SP1.
No hay indicios que Outlook Express o Windows Mail de Vista sean afectados por esta vulnerabilidad.
El boletín MS08-017 describe vulnerabilidades en Microsoft Office Web Components, que pueden permitir la ejecución remota de código. Sin embargo su impacto es más limitado ya que afecta a las versiones de escritorio de Office, y a algunas pocas herramientas para desarrolladores y productos de servidor.
La actual vulnerabilidad afecta al Office Web Components, un conjunto de controles ActiveX que ayudan a los desarrolladores en la publicación de documentos de Office en la Web.
Para corregir este error, es necesario aplicar el parche a una serie de productos que contienen el código vulnerable. Las versiones de escritorio afectadas son Office 2000 Service Pack 3 y Office XP Service Pack 3.
También Visual Studio .NET 2002 Service Pack 1 y Visual Studio .NET 2003 Service Pack 1 son afectados, además de Microsoft BizTalk Server 2000 y 2002, Microsoft Commerce Server 2000 e Internet Security and Acceleration Server 2000 Service Pack 2. Todos ellos son vulnerables y deben ser actualizados con los parches publicados.
Las restantes dos vulnerabilidades descriptas en este boletín, son críticas para Microsoft Office 2000 Service Pack 3, pero menos grave para otros productos.
Las actualizaciones del boletín MS08-014, solucionan varias vulnerabilidades en Microsoft Excel que podrían llegar a ejecutar código de forma remota si el usuario abre un documento de Excel que haya sido manipulado de forma maliciosa.
Aunque solo Office 2000 está catalogado como crítico para estos fallos, los demás, si bien también son vulnerables, tienen la protección extra proporcionada por la herramienta de confirmación, que despliega una ventana de diálogo del tipo "Abrir, Guardar o Cancelar" cuando se intenta abrir un documento de Office ubicado en Internet.
El boletín MS08-014 (después del MS08-015, éste sería el más grave), describe varios errores. Básicamente, se trata de fallos al interpretar estilos, macros, formatos, textos enriquecidos y otros, que pueden llevar a la ejecución de código.
Finalmente, dos vulnerabilidades que soluciona la actualización MS08-016 (Vulnerabilidades en Microsoft Office), también pueden permitir la ejecución remota de código. Se ven afectados una extraña mezcla de productos, la mayoría versiones antiguas y paquetes de servicio de Office y Office 2004 para Mac.
No son afectados Office 2007 ni la más reciente versión actualizada de Office 2003.
1. Boletín de seguridad de Microsoft MS08-014 - Crítico
Vulnerabilidades en Microsoft Excel podrían permitir la ejecución remota de código (949029).
La actualización resuelve siete vulnerabilidades críticas en Microsoft Excel, que pueden permitir la ejecución remota de código debido a la forma en que Excel procesa los registros de validación de datos al cargar archivos de Excel en memoria, al importar un archivo en Excel, al validar la información del registro Style, al analizar la información de fórmulas, al cargar valores de texto enriquecido, y al manejar valores de formato condicional y de la información de macro.
Software afectado: Microsoft Office 2000 Service Pack 3, Microsoft Office XP Service Pack 3, Microsoft Office 2003 Service Pack 2, 2007 Microsoft Office System, Microsoft Office Excel Viewer 2003, Paquete de compatibilidad de Microsoft Office para formatos de archivo de Word, Excel y PowerPoint 2007, Microsoft Office 2004 para Mac y Microsoft Office 2008 para Mac.
Referencia:
http://www.microsoft.com/technet/security/bulletin/ms08-014.mspx
2. Boletín de seguridad de Microsoft MS08-015 - Crítico
Se corrige una vulnerabilidad en Microsoft Outlook que podría permitir la ejecución remota de código (949031). El problema se debe a que Microsoft Outlook no realiza una validación suficiente de los URI de tipo mailto: pasados al cliente Outlook desde un explorador Web.
Software afectado: Microsoft Office 2000 Service Pack 3, Microsoft Office XP Service Pack 3, Microsoft Office 2003 Service Pack 2, Microsoft Office 2003 Service Pack 3, 2007 Microsoft Office System (no es afectado 2007 Microsoft Office System Service Pack 1).
Referencia:
http://www.microsoft.com/technet/security/bulletin/ms08-015.mspx
3. Boletín de seguridad de Microsoft MS08-016 - Crítico
Vulnerabilidades en Microsoft Office podrían permitir la ejecución remota de código (949030). La actualización corrige dos vulnerabilidades que pueden dañar la memoria, y que están relacionadas con el análisis de celdas en Microsoft Office, y con Microsoft Agent.
Software afectado: Microsoft Office 2000 Service Pack 3, Microsoft Office XP Service Pack 3, Microsoft Office 2003 Service Pack 2, Microsoft Office Excel Viewer 2003, Microsoft Office Excel Viewer 2003 Service Pack 3, Microsoft Office 2004 para Mac.
Referencia:
http://www.microsoft.com/technet/security/bulletin/ms08-016.mspx
4. Boletín de seguridad de Microsoft MS08-017 - Crítico
Vulnerabilidades en Microsoft Office Components Web podrían permitir la ejecución remota de código (933103).
Microsoft Office Web Components es una colección de controles del modelo de objetos componentes (COM) para publicar hojas de cálculo, gráficos y bases de datos en la Web y para los componentes publicados en la Web.
La actualización corrige dos errores que se producen al analizar un comando de ejecución especialmente diseñado, y que pueden alterar la memoria de forma tal que un atacante podría ejecutar código arbitrario.
Software afectado: Microsoft Office 2000 Service Pack 3, Microsoft Office XP Service Pack 3, Visual Studio .NET 2002 Service Pack 1, Visual Studio .NET 2003 Service Pack 1, Servidor Microsoft BizTalk Server 2000, Microsoft BizTalk Server 2002, Microsoft Commerce Server 2000, Internet Security and Acceleration Server 2000 Service Pack 2.
Referencia:
http://www.microsoft.com/technet/security/bulletin/ms08-017.mspx
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
|