Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el
19/10/97 por NedStat
MS03-035 Ejecución automática de macros en Word (827653)
 
VSantivirus No. 1154 Año 7, Jueves 4 de setiembre de 2003

 MS03-035 Ejecución automática de macros en Word (827653)
http://www.vsantivirus.com/vulms03-035.htm

Por Lissette Zapata
liszapata@videosoft.net.uy


Nivel de Gravedad: Importante

Programas Afectados:

Word 97
Word 98 (Japonés)
Word 2000
Word 2002
Works Suite 2001, 2002, y 2003

Un macro es una serie de órdenes e instrucciones que pueden agruparse como un solo comando para lograr la ejecución de una tarea automáticamente. Microsoft Word soporta el uso de macros para permitir la automatización de tareas realizadas normalmente.

Cómo los macros son códigos ejecutables y por lo tanto también es posible emplearlos maliciosamente, se ha implementado en Word un modelo de seguridad diseñado para validar si a un macro se le debe permitir su ejecución o no, dependiendo del nivel de seguridad que el usuario haya escogido.

La vulnerabilidad existe porque es posible para un atacante elaborar un documento malévolo que podría evitar el modelo de seguridad de los macros. Si el documento fuera abierto, esta falla podría permitir que un macro maligno, embebido en el documento, fuera ejecutado automáticamente, sin tener en cuenta el nivel en que la seguridad esté configurada.

El macro malicioso podría entonces realizar las mismas acciones que el usuario de acuerdo al nivel de los permisos que éste posea, como agregar, modificar o borrar datos o archivos, comunicarse con un sitio Web o formatear la unidad de disco duro.

Esta vulnerabilidad sólo podría explotarse si se persuade a un usuario para que éste abra el documento malicioso. De no ser así no hay ninguna manera para que un atacante logre utilizar dicha vulnerabilidad en su provecho.

El parche puede descargarse de los siguientes enlaces:

[Nota: Si no está disponible una versión en español, y su sistema está en español, salvo que se indique lo contrario aguarde a que esté disponible una versión en su idioma]


Microsoft Word 2002: (Todos los idiomas)

http://microsoft.com/downloads/details.aspx?FamilyId=
7D3775FC-F424-4B04-ABEB-9B4CA1EB182D&displaylang=es


Actualización Administrativa para Word 2002: (***)

http://www.microsoft.com/office/ork/xp/journ/wrd1006a.htm

(***) Estas actualizaciones administrativas corresponden a las versiones de Word que han sido instaladas a través de un Windows Installer Patch File (MSP format), por lo que en estas direcciones encontraran un ejecutable que podrá ser instalado de igual manera que los MSP (officexp-kb824934-fullfile-enu.exe).


Microsoft Word 2000: (Todos los idiomas)

http://microsoft.com/downloads/details.aspx?FamilyId=
4A8F6ACE-E14E-4978-A9C9-6989CD03A4A3&displaylang=es


Actualización Administrativa para Word 2000: (***)

http://www.microsoft.com/office/ork/xp/journ/wrd0903a.htm

(***) Estas actualizaciones administrativas corresponden a las versiones de Word que han sido instaladas a través de un Windows Installer Patch File (MSP format), por lo que en estas direcciones encontraran un ejecutable que podrá ser instalado de igual manera que los MSP (office2000-kb824936-fullfile-enu.exe).


Microsoft Word 97/Microsoft Word 98 (Japonés):

La información sobre Microsoft Word 97 y Microsoft Word 98 (Japonés) se encuentra disponible en este enlace:

http://support.microsoft.com/default.aspx?scid=kb;en-us;827647


Microsoft recomienda visitar el sitio de actualización de Office para detectar e instalar el parche de seguridad y todos los que anteriormente han sido publicados para la familia de los productos de Office (Nota: el sitio de Office Update no proporciona el soporte para los siguientes productos: Office 97 y Visio 2000):

http://www.office.microsoft.com/ProductUpdates/default.aspx


IMPORTANTE: Para la instalación de este parche, se deben tener instalados los últimos Service Pack de Microsoft Office 2000 y XP. Los mismos pueden ser descargados desde los siguientes enlaces:

Service Pack 3 para Microsoft Office 2000 (Español)
http://www.microsoft.com/downloads/details.aspx?FamilyID=
5C011C70-47D0-4306-9FA4-8E92D36332FE&displaylang=es

Service Pack 2 para Microsoft Office XP (Español)
http://www.microsoft.com/downloads/details.aspx?FamilyID=
1A8CE553-AB76-4A63-99DA-B4ED914C1514&displaylang=es

Es importante hacer notar que estos SP poseen un tamaño de 14 y 15 Mb respectivamente.


Más información:

Microsoft Security Bulletin MS03-035
http://www.microsoft.com/security/security_bulletins/ms03-035.asp

Microsoft Knowledge Base Article - 827653
http://support.microsoft.com/?kbid=827653


Actualizaciones:

08/set/03 - Enlaces para Services Packs necesarios




(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2003 Video Soft BBS