Por Antonio Ropero antonior@hispasec.com Microsoft publica un conjunto de parches acumulativos para Excel y Word que ofrecen la protección de todos los parches publicados hasta la fecha y además cubren cuatro nuevas vulnerabilidades que permitirían a un atacante la ejecución de macros en el sistema. La primera de las vulnerabilidades que puede permitir la ejecución de macros de Excel está relacionada con el tratamiento de macros asociadas con objetos. La vulnerabilidad puede permitir que las macros se ejecuten y eviten el modelo de seguridad cuando un usuario pulsa en un objeto en un libro de Excel. También existe una vulnerabilidad en Excel en el tratamiento de las macros en libros de Excel cuando se abren a través de un enlace en una imagen de otro libro. Una macro maliciosa puede ser activada de forma que se ejecute de forma automática. La tercera vulnerabilidad se puede producir al abrir un libro Excel con una hoja de estilo XSL con scripts HTML. El script dentro de la hoja de estilos XSL se ejecutará en la zona de seguridad local del ordenador. Por último, una nueva variante de la vulnerabilidad publicada en el 2000 sobre la función Mail Merge. Esta nueva vulnerabilidad puede permitir la ejecución de código automáticamente si el usuario tiene instalado Access y selecciona un documento mail merge grabado anteriormente en formato HTML. Los problemas afectan a Microsoft Excel y Office 2000, Excel y Office 2002 y Office XP. Las actualizaciones se pueden descargar desde el sitio de actualización de Office en http://office.microsoft.com/productupdates/default.aspx Actualizaciones para Microsoft Excel 2000: Actualizaciones para Microsoft Excel 2000
Instalación de cliente: Actualizaciones para Microsoft Word 2002: Más información: Boletín de seguridad Microsoft MS02-31 Cumulative
Patches for Excel and Word for Windows
|
