int(1079)

Vulnerability Bulletins

Ejecución remota de código en Microsoft Excel

Vulnerability classification
Property Value
Confidence level Oficial
Impact Obtener acceso
Dificulty Experto
Required attacker level Acceso remoto sin cuenta a un servicio estandar

System information
Property Value
Affected manufacturer Microsoft
Affected software Microsoft Office 2000 Software Service Pack 3 (Excel 2000)
Microsoft Office XP Software Service Pack 2 (Excel 2002)
Microsoft Office 2001 for Mac (Excel 2001 for Mac)
Microsoft Office v. X for Mac (Excel v. X for Mac)

Description
Se ha descubierto una vulnerabilidad en las versiones 2000, 2002, 2001 para Mac y v.X para Mac de Microsoft Excel.

La explotación de esta vulnerabilidad podría permitir a un atacante remoto ejecutar código arbitrario mediante un archivo Excel especialmente diseñado que la víctima debe visualizar. Es importante destacar que el código se ejecutará en la máquina afectada con los privilegios del usuario que visualice el archivo Excel malicioso.

Solution


Actualización de software

Microsoft
Microsoft Office 2000 Software Service Pack 3
http://www.microsoft.com/downloads/details.aspx?FamilyId=B0C40C24-4DDE-45AF-8433-6DBDDD030C30
Microsoft Office XP Software Service Pack 2
http://www.microsoft.com/downloads/details.aspx?FamilyId=5E0FADD3-1554-4C43-9B4A-D5E031478892
Microsoft Office 2001 for Mac
http://www.microsoft.com/downloads/details.aspx?FamilyId=9889BEAE-4771-415D-8070-3E51F4CC7AE3
Microsoft Office v. X for Mac
http://www.microsoft.com/downloads/details.aspx?FamilyId=148E9283-4DF8-4A75-9671-CC72E6306B84

Standar resources
Property Value
CVE CAN-2004-0846
BID

Other resources
Microsoft Security Bulletin MS04-033
http://www.microsoft.com/technet/security/Bulletin/MS04-033.mspx

Security-assessment Security Advisory
http://security-assessment.com/Papers/Buffer_%20Overflow_In_Microsoft_Excel.pdf

Version history
Version Comments Date
1.0 Aviso emitido 2004-10-13
1.1 Aviso emitido por security-assessment 2004-10-15
Ministerio de Defensa
CNI
CCN
CCN-CERT