Controlado desde el
19/10/97 por NedStat
|
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro
visitante número desde
el 12 de agosto de 1996
Ejecución de macros sin aviso en Word (MS01-034)
|
|
VSantivirus No. 351 - Año 5 - Domingo 24 de junio de 2001
Word podría permitir la ejecución de macros sin aviso
Por Alejandro Germán Rodriguez (*)
Microsoft ha detectado una nueva vulnerabilidad en uno de sus productos, en esta oportunidad se encuentra afectado Word, mediante esta falla un atacante podría crear especialmente un archivo de Word que contengan macros
(1), pero el programa no advertiría de su existencia al usuario.
Word, como todos los productos de Microsoft, posee la capacidad de ejecutar macroinstrucciones. Como un virus puede ser escrito como una macroinstrucción, Microsoft desarrolló una opción para que, previo a la apertura de cualquier archivo que contenga macros, informe de esto al usuario.
Pero se ha detectado que, por una falla, se podría crear especialmente un documento, de tal manera que engañe a Word sobre la existencia de macros, de modo que el usuario creerá que está abriendo un archivo seguro, pero en realidad contendrá macros y éstos se ejecutarán.
En esencia, una macro es una instrucción en lenguaje de programación y podría realizar casi cualquier acción que desarrollaría el usuario. Puede conectar el equipo a algún sitio Web o disminuir al mínimo el seteo de seguridad para que otras macros también se puedan ejecutar, sin mencionar el borrado o modificación de archivos.
El archivo especialmente creado, puede ser dejado en un sitio Web para hacer download o en una unidad compartida o ser enviado mediante correo electrónico.
Se encuentran afectadas las siguientes versiones
- Microsoft Word 2002
- Microsoft Word 2000
- Microsoft Word 97
- Microsoft Word 98 (J)
- Microsoft Word 2001 for Macintosh
- Microsoft Word 98 for Macintosh
Las recomendaciones manifestadas reiteradamente, en el sentido de no abrir correos no solicitados, aunque provengan de fuentes conocidas, se hace evidente con vulnerabilidades como la aquí comentada.
[Nota de Video Soft: Es muy importante hacer notar que esta falla es diferente a la anteriormente reportada que afectaba a los archivos .RTF (ver VSantivirus No. 320 - Año 5 - Jueves 24 de mayo de 2001,
"Documentos RTF pueden ejecutar macros sin advertencia")].
Glosario de términos
(1) MACRO - Básicamente es un pequeño programa que automatiza cualquiera de aquellas tareas normalmente realizadas dentro de un sistema operativo o de una aplicación.
Parches para download
Microsoft Word 2002:
http://office.microsoft.com/downloads/2002/wrd1001.aspx
Microsoft Word 2000:
http://office.microsoft.com/downloads/2000/wd2kmsec.aspx
Microsoft Word 97:
http://office.microsoft.com/downloads/9798/wd97mcrs.aspx
Microsoft Word 98 (J) para Windows:
Estará disponible en breve
Microsoft Word 2001 para Macintosh:
http://www.microsoft.com/mac/download/office2001/wordmacro.asp
Microsoft Word 98 para Macintosh:
http://www.microsoft.com/mac/download/office2001/wordmacro98.asp
Más información:
http://www.microsoft.com/technet/security/bulletin/MS01-034.asp
(*) Alejandro Germán Rodriguez
Peligros_en_la_red-owner@onelist.com
http://es.egroups.com/group/Peligros_en_la_red
ICQ # 44796626
Ver también:
VSantivirus No. 320 - 24/may/01
Documentos RTF pueden ejecutar macros sin advertencia
VSantivirus No. 342 - 15/jun/01
Troj/Goga. Primer troyano en archivos .RTF de Word
(c) Video Soft - http://www.videosoft.net.uy
|
|
|