|
|
Demostración de vulnerabilidad no corregida en Word
|
| |
VSantivirus No 2746 Año 11, miércoles 25 de junio de 2008
Demostración de vulnerabilidad no corregida en Word
http://www.vsantivirus.com/25-06-08.htm
Por Redacción VSAntivirus
vsantivirus@videosoft.net.uy
Se ha publicado la demostración de un exploit para un fallo no corregido, que afecta a Microsoft Word. La vulnerabilidad podría ser aprovechada para la ejecución de código no deseado en el entorno del usuario que abra un documento malicioso.
La prueba de concepto publicada, afecta a Microsoft Office 2000 y Microsoft Office 2003, y causa el fallo del programa. Junto a las mismas, dos videos demuestran los escenarios de un posible ataque.
La vulnerabilidad provoca una corrupción de la memoria, lo que puede permitir la ejecución de código de forma arbitraria. Sin embargo, para que el ataque sea exitoso, la víctima debe aceptar un archivo modificado, y en el caso de una descarga desde Internet, confirmar su apertura.
El problema está relacionado con el manejo de listas con viñetas en los documentos de Word. Microsoft está investigando este anuncio público hecho por terceros, de lo que podría ser una vulnerabilidad no documentada en Microsoft Office.
"En estos momentos no tenemos conocimiento de la existencia de alguna clase de ataque que trate de utilizar esta supuesta vulnerabilidad o de su impacto," afirmó un vocero de Microsoft. "Una vez que hayamos terminado la investigación, tomaremos las medidas apropiadas para ayudar a proteger a nuestros clientes. Esto puede incluir la publicación de las actualizaciones necesarias."
Más información:
Microsoft Word Bulleted List Handling Remote Memory Corruption Vulnerability
http://www.securityfocus.com/bid/29769/info
Microsoft Word Crash Video 1 (Ivan Sanchez)
http://www.nullcode.com.ar/ncs/crash/video.htm
Microsoft Word Crash Video 2 (Ivan Sanchez)
http://www.nullcode.com.ar/ncs/crash/video2.htm
Créditos:
Ivan Sanchez
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
 
|
|
