1 2 3 4 5 6

Vulnerabilidades rss pdf

Coordinación de Seguridad de la Información - UNAM-CERT -- DGTIC-UNAM

Vulnerabilidad de Seguridad UNAM-CERT-2012-076 Vulnerabilidades en Microsoft Excel que podría permitir la ejecución remota de código

Esta actualización resuelve cuatro vulnerabilidades reportadas de manera privada en Microsoft Office. Las vulnerabilidades podrían permitir ejecución remota de código si un usuario abre un archivo de Excel especialmente diseñado con una versión de Microsoft Office afectado. Un atacante que exitosamente explote esta vulnerabilidad podría obtener los mimos permisos de usuario como el usuario actual. Los usuarios cuyas cuentas estén configuradas con pocos derechos de usuario en el sistema correrían un riesgo menor que aquellos que cuenten con derechos de usuario administrativos.

  • Fecha de Liberación: 13-Nov-2012
  • Ultima Revisión: 13-Dic-2012
  • Fuente: Microsoft Corp.
  • CVE ID: CVE-2012-1885 CVE-2012-1886 CVE-2012-1887 CVE-2012-2543
  • Riesgo Importante
  • Problema de Vulnerabilidad Remoto
  • Tipo de Vulnerabilidad Ejecución remota de código

Sistemas Afectados

Microsoft Windows Windows Microsoft Excel 2003 Service Pack 3 <= KB2597086
Microsoft Windows Windows Microsoft Excel 2007 Service Pack 1 <= KB2597161
Microsoft Windows Windows Microsoft Excel 2007 Service Pack 3 <= KB2597161
Microsoft Windows Windows Microsoft Excel 2010 SP1 (32-bit editions) <= KB2597166
Microsoft Windows Windows Microsoft Excel 2010 SP1 (64-bit editions) <= KB2597166
Microsoft Windows Windows Microsoft Excel Viewer <= KB2596842
Microsoft Windows Windows Microsoft Office 2008 for_Mac <= KB2665346
Microsoft Windows Windows Microsoft Office Compatibility Pack Service Pack 2 <= KB2597162
Microsoft Windows Windows Microsoft Office Compatibility Pack Service Pack 3 <= KB2597162
  1. Índice de explotabilidad

    1. Vulnerabilidad de desbordamiento de memoria en Excel SerAuxErrBar CVE-2012-1885

    Código de explotación consistente.

    2. Vulnerabilidad de corrupción de memoria en Excel CVE-2012-1886

    Código de explotación consistente.

    3. Vulnerabilidad libre después de uso de la longitud no válida de Excel SST  CVE-2012-1887

    Código de explotación consistente.

    4. Vulnerabilidad  de desbordamiento de pila en Excel CVE-2012-2543

    Código de explotación consistente.

  2. Descripción

    1. Vulnerabilidad de desbordamiento de memoria en Excel SerAuxErrBar CVE-2012-1885

    Existe una vulnerabilidad de ejecución remota de código en la forma en que Microsoft Excel manipula los archivos de Excel especialmente diseñados.

    2. Vulnerabilidad de corrupción de memoria en Excel CVE-2012-1886

    Existe una vulnerabilidad de ejecución remota de código en la forma en que Microsoft Excel manipula los archivos de Excel especialmente diseñados.

    3. Vulnerabilidad libre después de uso de la longitud no válida de Excel SST  CVE-2012-1887

    Existe una vulnerabilidad de ejecución remota de código en la forma en que Microsoft Excel manipula los archivos de Excel especialmente diseñados.

    4. Vulnerabilidad  de desbordamiento de pila en Excel CVE-2012-2543

    Existe una vulnerabilidad de ejecución remota de código en la forma en que Microsoft Excel manipula los archivos de Excel especialmente diseñados.

  3. Impacto

    1. Vulnerabilidad de desbordamiento de memoria en Excel SerAuxErrBar CVE-2012-1885

    Un atacante que aprovechara esta vulnerabilidad podría obtener el control completo de un sistema afectado. Un atacante podría instalar programas, ver, cambiar o eliminar datos, o crear nuevas cuentas con derechos de usuario.

    2. Vulnerabilidad de corrupción de memoria en Excel CVE-2012-1886

    Un atacante que aprovechara esta vulnerabilidad podría obtener el control completo de un sistema afectado. Un atacante podría instalar programas, ver, cambiar o eliminar datos, o crear nuevas cuentas con derechos de usuario.

    3. Vulnerabilidad libre después de uso de la longitud no válida de Excel SST  CVE-2012-1887

    Un atacante que aprovechara esta vulnerabilidad podría obtener el control completo de un sistema afectado. Un atacante podría instalar programas, ver, cambiar o eliminar datos, o crear nuevas cuentas con derechos de usuario.

    4. Vulnerabilidad  de desbordamiento de pila en Excel CVE-2012-2543

    Un atacante que aprovechara esta vulnerabilidad podría obtener el control completo de un sistema afectado. Un atacante podría instalar programas, ver, cambiar o eliminar datos, o crear nuevas cuentas con derechos de usuario.

  4. Solución

  5. Referencias

La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:

  • Mayra Villeda (mvilleda at seguridad dot unam dot mx)
  • Manuel Ignacio Quintero Martínez (mquintero at seguridad dot unam dot mx)

UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información

incidentes at seguridad.unam.mx
phishing at seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 47


Universidad Nacional Autonoma de México Aviso legal |  Créditos |  Staff |  Administración
Copyright © Todos los derechos reservados
UNAM - CERT