Parche para los componentes web de Microsoft Office


Microsoft distribuye parches de seguridad críticos que afectan a los productos BackOffice Server 2000, BizTalk Server 2000/2002, Commerce Server 2000/2002, Internet Security And Acceleration Server 2000, Money 2002/2003, Office 2000/XP, Project 2002, Project Server 2002 y Small Business Server 2000.





Los componentes web Office (OWC) son controles ActiveX que permiten acceder a los usuarios a una versión reducida de las aplicaciones Office desde el navegador sin necesidad de tener que instalar de forma completa el paquete Microsoft Office. En la mayoría de las ocasiones se trata de visualizadores de los documentos Office que permiten al usuario su lectura, pero no contemplan el resto de funcionalidades avanzadas de creación y edición que incluyen las versiones completas de las aplicaciones.

El parche distribuido por Microsoft corrige tres vulnerabilidades de estos controles ActiveX que podrían ser explotadas por un atacante de forma remota a través de una página web o un mensaje de correo electrónico en formato HTML. Los problemas son provocados por una mala implementación y la permisividad de algunas funciones en materia de seguridad que permiten a un tercero explotarlas de forma indiscriminada. Al ser controles firmados por Microsoft, y por tanto reconocidos como seguros y confiables por Windows, el sistema da carta blanca para que puedan realizar cualquier tipo de acción.

Este es uno de los talones de Aquiles de basar toda la seguridad en la firma digital de las aplicaciones, que seguirá existiendo pese a "Palladium", de la misma forma que seguirán existiendo los virus informáticos, si bien me reservo esta discusión para otra entrega de "una-al- día".

Volviendo al tema que nos ocupa, los métodos y funciones de los controles ActiveX que permiten explotar las vulnerabilidades son Host(), LoadText() y Copy()/Paste(). El primero de ellos es el más crítico, ya que permite ejecutar comandos en el sistema de forma indiscriminada a través de una aplicación Office. Con LoadText() el atacante podría leer cualquier archivo del sistema de la
víctima. Mientras que con Copy()/Paste() es posible acceder al contenido del portapapeles.

Estos problemas son recurrentes, por ejemplo a principios de 1999 se descubrió que el ActiveX TexBox de Microsoft Froms 2.0 permitía realizar una operación de pegado sin ninguna restricción de seguridad. De esta forma, los datos del portapapeles podían ser transferidos a una caja de entrada de formulario y enviados a un web malicioso.

Por descontado, se recomienda la instalación de los parches a todos los usuarios que pudieran estar afectados, (comprobar si poseen alguna aplicación de las mencionadas al comienzo de la noticia).
En el boletín de Microsoft dedicado a esta actualización encontrarán los enlaces según producto e idioma, disponible en la dirección
http://www.microsoft.com/technet/security/bulletin/MS02-044.asp

Fuente:Boletín Hispasec

Otras noticias de interés:

Enlace dentro de TABLE es falsificado en barra de estado
Algunos navegadores Web, no interpretan correctamente las etiquetas dentro del elemento TABLE, cuando muestran URLs dentro de la barra de estado....
Aumenta el impacto de los virus informáticos
En el año 2003, los ataques de virus han sido más frecuentes y costosos, según el último informe anual sobre incidencias víricas de ICSA Labs, del que se ha hecho eco The Register....
Recopilación y análisis de las últimas vulnerabilidades en Microsoft Office
Desde hace más de seis meses, la suite Microsoft Office se está convirtiendo en uno de los métodos favoritos de los atacantes para ejecutar código arbitrario de forma inadvertida en sus víctimas. De la última oleada de problemas encontrad...
Sun libera el código fuente de Java tal y como había prometido
El proyecto OpenJDK bebe de las fuentes intelectuales de OpenSolaris y tiene como objetivo reunir a su alrededor una comunidad de desarrolladores en código libre que continúen con la plataforma Java....
The (fucking) american way
Quizás, al igual que se ha conseguido, que al buscar ladrones en google, aparezca la página de la sgae. Deberíamos intentar, que al buscar mentirosos aparezca la de Microsoft....
Cerrado MegaUpload
David Gómez, en emslinux.com publicó un articulo bastante bueno donde hacen referencia al cierre del sitio MegaUpload. A continuación el texto....
Problemas para la adopción del IPv6
Según quienes lo deben implementar -básicamente los ISP’s- no hay incentivos de negocio para hacerlo, aunque los expertos predicen que en 2012 se agotarán las direcciones IPv4 disponibles y el público en general muestra cada día mayor interés...
El peligro de reutilizar contraseñas
Si la seguridad de tus datos te importa, nunca -y digo nunca- utilices la misma contraseña en varios servicios web. Lo sé; es incómodo tener una contraseña diferente para cada sitio, pero no queda más remedio. Una vez más, la comodidad es el pe...
Fundador de Ubuntu culpa a ISO de la aprobación de OOXML
Mark Shuttleworth acaba de manifestar que la reciente aprobación de OOXML devalúa la confianza del público en el proceso de elaboración de estándares. Cuando un proceso se basa en la confianza, y se producen abusos, ISO debería detener el proce...
El malware puede acechar en cualquier página web
El malware se ha convertido en algo tan común sobre la web que ahora es más probable que los usuarios encuentren contenido malicioso mientras visitan sitios que gozan de especial popularidad que cuando acceden a sitios de juegos y pornografía, seg...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • componentes
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • parche
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra