Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
 

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

       

Segunda vulnerabilidad Zero-Day en Word
 
VSantivirus No 2319 Año 10, martes 12 de diciembre de 2006

Segunda vulnerabilidad Zero-Day en Word
http://www.vsantivirus.com/vul-msword-101206.htm

Por Gonzalo Alvarez
galvarez@videosoft.net.uy


Con apenas unos días de diferencia, ha sido descubierta una nueva vulnerabilidad en Word. Según confirma Microsoft, la misma es diferente a la reportada en la alerta de seguridad 929433 (ver "Vulnerabilidad Zero-day en Word, ejecución de código", http://www.vsantivirus.com/vul-msword-051206.htm).

La compañía informó que la nueva vulnerabilidad ha sido explotada en forma muy limitada. Igualmente puede considerarse peligrosa dada la naturaleza de la misma.

Secunia la cataloga como extremadamente crítica.

Los ataques informados, se han producido por medio de archivos de Word modificados maliciosamente, y enviados como adjuntos en mensajes de correo electrónico.

Una vez que la víctima abre el adjunto, el atacante es capaz de ejecutar un código malicioso o un software no deseado en la PC.

El problema es ocasionado por un error no especificado al procesarse documentos de Word.

Hasta la publicación de esta alerta, no se conoce una solución para esta vulnerabilidad.

Se recomienda no abrir ninguna clase de adjunto, ni hacer clic en enlaces de cualquier clase de correo o mensaje instantáneo no solicitado, sin importar quien sea el remitente.

Software afectado:

- Microsoft Office 2000
- Microsoft Office 2003
- Microsoft Office XP
- Microsoft Word 2000
- Microsoft Word 2002
- Microsoft Word 2003
- Microsoft Word Viewer 2003

Microsoft informa que Word 2007 no se vería afectado.

Referencias:

New Report of A Word Zero Day
http://blogs.technet.com/msrc/archive/2006/12/10/new-report-of-a-word-zero-day.aspx

Microsoft Word Unspecified Code Execution Vulnerability
http://secunia.com/advisories/23205/

Vulnerability Note VU#166700
Microsoft Word malformed data structure vulnerability
http://www.kb.cert.org/vuls/id/166700

Microsoft Word 0-Day Vulnerability II
http://vil.nai.com/vil/content/v_vul27249.htm

Word Unspecified Exploit(2)
http://research.eeye.com/html/alerts/zeroday/20061210.html

Relacionados:

Exploit.1Table.NAE. Detección de exploit de Word
http://www.vsantivirus.com/exploit-1table-nae.htm

Tercera vulnerabilidad Zero-day en Word (12/12/06)
http://www.vsantivirus.com/vul-msword-121206.htm

Vulnerabilidad Zero-day en Word, ejecución de código
http://www.vsantivirus.com/vul-msword-051206.htm

Referencias en "Common Vulnerabilities and Exposures project" (cve.mitre.org):

CVE-2006-6456
www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-6456



[Última modificación: 19/12/06 02:10 -0300]



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2006 Video Soft BBS