Aviso legal |
Créditos |
Staff |
Administración
Copyright © Todos los derechos reservados
UNAM - CERT
Esta actualización de seguridad resuelve tres vulnerabilidades de las que se ha informado de forma privada en Microsoft Office. Las vulnerabilidades más graves podrían permitir la ejecución remota de código si un usuario abre un archivo de Office especialmente diseñado con una versión afectada de Microsoft u otro software de Microsoft Office. Un atacante que aprovechara las vulnerabilidades más graves podría conseguir el mismo nivel de derechos de usuario que el usuario actual. Los usuarios cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrían un riesgo menor que los que cuenten con derechos de usuario administrativos. Esta actualización de seguridad se considera importante para todas las ediciones compatibles de Microsoft Excel 2003, Microsoft Excel 2007, Microsoft Excel 2010, Microsoft Excel 2013, Microsoft Excel 2013 RT y Microsoft Office para Mac 2011; también se considera importante para las versiones compatibles de Microsoft Excel Viewer y Paquete de compatibilidad de Microsoft Office.
| Microsoft Windows | Microsoft Excel Viewer | < | 2760590 |
| Microsoft Windows | Microsoft Office 2003 Service Pack 3 | < | 2810048 |
| Microsoft Windows | Microsoft Office 2007 Service Pack 3 | < | 2760583 |
| Microsoft Windows | Microsoft Office 2010 Service Pack 1 (ediciones de 32 bits) | < | 2768017 |
| Microsoft Windows | Microsoft Office 2010 Service Pack 1 (ediciones de 64 bits) | < | 2768017 |
| Microsoft Windows | Microsoft Office 2013 (32-bit editions) | < | 2768017 |
| Microsoft Windows | Microsoft Office 2013 (64-bit editions) | < | 2768017 |
| Microsoft Windows | Microsoft Office para Mac 2011 | < | 2877813 |
| Microsoft Windows | Paquete de compatibilidad de Microsoft Office Service Pack 3 | < | 2760588 |
Código de explotación consistente.
Vulnerabilidad de daños en la memoria relacionada con Microsoft Office (CVE-2013-1315)
Existe una vulnerabilidad de ejecución remota de código en la forma en que Microsoft Excel analiza el contenido de los archivos de Excel. Un atacante que aprovechara esta vulnerabilidad podría lograr el control completo de un sistema afectado. De esta forma, un intruso podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas con todos los derechos de usuario. Los usuarios cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrían un riesgo menor que los que cuenten con derechos de usuario administrativos.
Vulnerabilidad de daños en la memoria relacionada con Microsoft Office (CVE-2013-3158)
Existe una vulnerabilidad de ejecución remota de código en la forma en que Microsoft Excel analiza el contenido de los archivos de Excel. Un atacante que aprovechara esta vulnerabilidad podría lograr el control completo de un sistema afectado. De esta forma, un intruso podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas con todos los derechos de usuario. Los usuarios cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrían un riesgo menor que los que cuenten con derechos de usuario administrativos.
Vulnerabilidad de daños en la memoria relacionada con Microsoft Office (CVE-2013-1315)
Esta vulnerabilidad requiere que un usuario abra un archivo de Office especialmente diseñado con una versión afectada de Microsoft Excel u otro software de Microsoft Office. En el supuesto de un ataque por correo electrónico, un atacante podría aprovechar la vulnerabilidad si envía al usuario un archivo de Office especialmente diseñado y lo convence de que lo abra. En el caso de un ataque a través de web, el atacante tendría que hospedar un sitio web que contuviera un archivo de Office especialmente diseñado destinado a intentar aprovechar esta vulnerabilidad. Además, los sitios web vulnerables y los sitios web que aceptan u hospedan contenido proporcionado por el usuario podrían incluir contenido especialmente diseñado que permita aprovechar esta vulnerabilidad. El atacante no podría obligar a los usuarios a visitar un sitio web especialmente diseñado. Por lo tanto, tendría que atraer a los usuarios al sitio web; para ello debería, por ejemplo, incitarles a hacer clic en un vínculo que les llevara al sitio del atacante y, después, convencerlos para abrir el archivo de Office especialmente diseñado.
Vulnerabilidad de daños en la memoria relacionada con Microsoft Office (CVE-2013-3158)
En el supuesto de un ataque por correo electrónico, un atacante podría aprovechar la vulnerabilidad si envía al usuario un archivo de Office especialmente diseñado y lo convence de que lo abra. En el caso de un ataque a través de web, el atacante tendría que hospedar un sitio web que contuviera un archivo de Office especialmente diseñado destinado a intentar aprovechar esta vulnerabilidad. Además, los sitios web vulnerables y los sitios web que aceptan u hospedan contenido proporcionado por el usuario podrían incluir contenido especialmente diseñado que permita aprovechar esta vulnerabilidad. El atacante no podría obligar a los usuarios a visitar un sitio web especialmente diseñado. Por lo tanto, tendría que atraer a los usuarios al sitio web; para ello debería, por ejemplo, incitarles a hacer clic en un vínculo que les llevara al sitio del atacante y, después, convencerlos para abrir el archivo de Office especialmente diseñado.
La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:
UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información
incidentes at seguridad.unam.mx
phishing at seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 47
Aviso legal |
Créditos |
Staff |
Administración
Copyright © Todos los derechos reservados
UNAM - CERT