OJO - Uso de documentos Word y Excel para robo de información sensible


Una funcionalidad incluida en Word y Excel puede ser empleada por un usuario malicioso para el robo de información sensible, especialmente en entornos donde se intercambian documentos de estas aplicaciones. Un usuario podrá enviar un documento a otro para su revisión de forma que cuando este se lo devuelva editado o revisado, incluya en el documento información sensible sin su conocimiento.





Word y Excel proporcionan un mecanismo a través del cual los datos de
un documento se puedan insertar y actualizar en otro documento. Este
mecanismo, conocido como códigos de campo en Word y actualizaciones
externas en Excel, puede ser automatizado para reducir la cantidad de
trabajo manual requerido por el usuario.

Existe una vulnerabilidad debida a la posibilidad de uso malicioso de
estos mecanismos para robar información de un usuario sin su
conocimiento. Determinados eventos, como grabar un documento, pueden
accionar la actualización de un código de campo o actualización
externa. Normalmente el usuario es conscientes de que ocurren estas
actualizaciones, sin embargo puede emplearse un código de campo o
actualización externa específicamente creado para provocar una
actualización sin avisar al usuario.

Esto podrá permitir a un atacante la creación de un documento que
cuando se abra pueda actualizarse a sí mismo para incluir los
contenidos de un archivo del ordenador del usuario.

Esto puede emplearse en un entorno de intercambio de documentos, en el
que se transfieren documentos para su edición o revisión. Esto es así,
ya que el atacante deberá enviar un documento malicioso al usuario,
este usuario deberá abrir el documento, momento en que sin su
conocimiento se incluirá el contenido de algún archivo de su disco
duro, tras lo cual el usuario deberá devolver el archivo al emisor
original.

Microsoft publica las actualizaciones necesarias para evitar este
problema, de forma que se evita la introducción automática de datos en
archivos sin conocimiento del usuario.
Microsoft Word 2002:
http://office.microsoft.com/downloads/2002/wrd1005.aspx
Microsoft Word 2000:
http://office.microsoft.com/downloads/2000/wrd0902.aspx
Word 97/Word 98(J):
http://support.microsoft.com/default.aspx?scid=kb;EN-US;Q330080
Word X for Macintosh:
http://www.microsoft.com/mac/download/security.asp
Word 2001 for Macintosh:
http://www.microsoft.com/mac/download/security.asp
Word 98 for Macintosh:
http://www.microsoft.com/mac/download/security.asp
Excel 2002:
http://office.microsoft.com/downloads/2002/exc1003.aspx

Fuente: Hispasec

Otras noticias de interés:

Murio el desarrollador del lenguaje de programación FORTRAN
El 17-03-2007, contando con 82 años ha muerto John W. Backus, desarrollador del lenguaje de programación FORTRAN. John Backus (Filadelfia, 3 de diciembre de 1924 - Oregon, 17 de marzo de 2007) es un informático estadounidense, ganador del Premio T...
Rusia rivaliza con China como destino de los creadores de malware
Los operadores de botnets que han perdido el acceso a sus servidores en China se han trasladado a un nuevo país, Rusia....
ALERTA MAÑANA "El virus Klez se activará el día 6 de julio"
Sigue el Klez en su apogeo. La compañía Panda Software ha advertido que mañana, 6 de julio, la variante F del gusano Klez se activará. El virus sobrescribe con unos y ceros el contenido de todos los archivos que encuentre en el ordenador al que h...
La botnet Zeus se desplaza a Europa del Este
Aunque Estados Unidos sigue estando en el primer puesto de la lista, seguido de Rusia y Ucrania, la botnet Zeus va ganando terrero en otros países más pequeños del este de Europa....
Once boletines de seguridad para Mozilla Firefox
La Fundación Mozilla ha publicado once boletines de seguridad para solucionar diversas vulnerabilidades en Mozilla Firefox que podrían ser aprovechadas por un atacante remoto para manipular o revelar información sensible, saltarse restricciones de...
Nuevas conquistas de Linux en el mercado de los servidores de empresa
Otra semana de entusiasmo Linux, esta vez en San Francisco, con motivo de la LinuxWorld Expo , que se desarrolla entre el 12 y 15 de agosto en la capital de la Bahía. El evento viene precedido...
Novedades en privacidad en Facebook
Volvemos a hablar de nuevo de novedades en redes sociales y lo vamos a hacer con Facebook de nuevo, porque en este caso nos acaban de anunciar más cambios, sobre todo en lo relacionado con un tema que nos preocupa bastante, como lo es la privacidad....
DoS en Windows por imágenes excesivamente grandes
Aunque esta vulnerabilidad parece estar reportada al menos desde agosto de 2004, e incluso hay referencias que se remontan a diciembre de 2003, oficialmente parece existir al menos un documento fechado en mayo de 2005 en donde es presentada detallad...
Servidores basados en tecnología Intel con nuevo sistema operativo de Microsoft
Servidores basados en la tecnología Intel con el nuevo sistema operativo de Microsoft ofrecen capacidades y desempeño líderes en la industria. Intel, HP y Microsoft alcanzan el resultado Nro. 1 en la prueba de desempeño TPC-C con el proces...
Facebook muestra su número de teléfono sin su permiso
Facebook una vez más vuelve a pasarse nuestra privacidad por el arco de sus caprichos. La última fechoría ha sido mostrar públicamente los números de teléfono de todos tus contactos del teléfono móvil sin avisar, por lo que puedes deducir que...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • documentos
  • excel
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informacion
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • ojo
  • opensource
  • pgp
  • php
  • robo
  • sabayon
  • seguridad
  • sensible
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • uso
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • word
  • xanadu
  • xfce
  • xombra