Microsoft publica un conjunto de parches acumulativos para Excel y Word
que ofrecen la protección de todos los parches publicados hasta la fecha
y además cubren cuatro nuevas vulnerabilidades que permitirían a un
atacante la ejecución de macros en el sistema.
La primera de las vulnerabilidades que puede permitir la ejecución de
macros de Excel está relacionada con el tratamiento de macros asociadas
con objetos. La vulnerabilidad puede permitir que las macros se ejecuten
y eviten el modelo de seguridad cuando un usuario pulsa en un objeto en
un libro de Excel.
También existe una vulnerabilidad en Excel en el tratamiento de las
macros en libros de Excel cuando se abren a través de un enlace en
una imagen de otro libro. Una macro maliciosa puede ser activada de
forma que se ejecute de forma automática.
La tercera vulnerabilidad se puede producir al abrir un libro Excel con
una hoja de estilo XSL con scripts HTML. El script dentro de la hoja de
estilos XSL se ejecutará en la zona de seguridad local del ordenador.
Por último, una nueva variante de la vulnerabilidad publicada en el 2000
sobre la función Mail Merge. Esta nueva vulnerabilidad puede permitir la
ejecución de código automáticamente si el usuario tiene instalado Access
y selecciona un documento mail merge grabado anteriormente en formato
HTML.
Los problemas afectan a Microsoft Excel y Office 2000, Excel y Office
2002 y Office XP.
Las actualizaciones se pueden descargar desde el sitio de actualización
de Office en http://office.microsoft.com/productupdates/default.aspx
Actualizaciones para Microsoft Excel 2000:
Instalación de cliente:
http://office.microsoft.com/downloads/2000/exc0901.aspx
Instalación administrativa:
http://www.microsoft.com/office/ork/xp/journ/exc0901a.htm
Actualizaciones para Microsoft Excel 2000
Instalación de cliente:
http://office.microsoft.com/downloads/2002/exc1002.aspx
Instalación administrativa:
http://www.microsoft.com/office/ork/xp/journ/exc1002a.htm
Actualizaciones para Microsoft Word 2002:
Instalación de cliente:
http://office.microsoft.com/downloads/2002/wrd1004.aspx
Instalación administrativa:
http://www.microsoft.com/office/ork/xp/journ/wrd1004a.htm
antonior@hispasec.com
Más información:
Boletín de seguridad Microsoft MS02-31
Cumulative Patches for Excel and Word for Windows
http://www.microsoft.com/technet/security/bulletin/MS02-031.asp
Deja una respuesta