Microsoft ha publicado un boletín de seguridad en el que informa
de un problema de seguridad con las macros de Excel y PowerPoint,
que puede permitir la ejecución de las macros sin solicitar la
autorización del usuario.
Excel y PowerPoint poseen un entorno de seguridad que controla la
ejecución de macros e impiden la ejecución de macros de forma
automática. Bajo este entorno, cuando un usuario abre un documento,
este es escaneado para buscar la existencia de macros. Si se detecta
alguna macro en el documento, se le pregunta al usuario si desea
ejecutarlas o desactivarlas completamente.
Existe un fallo en la forma en que se detectan las macros dentro
de un documento que puede permitir a un usuario malicioso evitar
esta comprobación. Esto puede permitir a un atacante crear un
documento de PowerPoint o Excel con macros que se ejecuten sin
avisar al usuario cuando el documento se ejecute. El ataque puede
llevarse a cabo desde una página web, un archivo compartido o
enviándolo a través de e-mail.
Los parches pueden descargarse de las siguientes direcciones:
Microsoft Excel 2000 para Windows:
http://download.microsoft.com/download/excel2000/e2kmac/1/w98nt42kme/en-us/e2kmac.exe
Microsoft Excel 2002 para Windows:
http://download.microsoft.com/download/excel2002/exc1001/1/w98nt42kme/en-us/exc1001.exe
Microsoft Excel 98 para Macintosh:
http://www.microsoft.com/mac/download/office98/pptxlmacro.asp
Microsoft Excel 2001 para Macintosh:
http://www.microsoft.com/mac/download/office2001/pptxlmacro.asp
Microsoft PowerPoint 2000 para Windows:
http://download.microsoft.com/download/powerpoint2000/p2kmac/1/w98nt42kme/en-us/p2kmac.exe
Microsoft PowerPoint 2002 para Windows:
http://download.microsoft.com/download/powerpoint2002/ppt1001/1/w98nt42kme/en-us/ppt1001.exe
Microsoft PowerPoint 98 para Macintosh:
http://www.microsoft.com/mac/download/office98/pptxlmacro.asp
Microsoft PowerPoint 2001 para Macintosh:
http://www.microsoft.com/mac/download/office2001/pptxlmacro.asp
antonior@hispasec.com
Más información:
Boletín de seguridad Microsoft MS01-050
Malformed Excel or PowerPoint Document Can Bypass Macro Security
http://www.microsoft.com/technet/security/bulletin/MS01-050.asp
Deja una respuesta