int(426)

Vulnerability Bulletins


Microsoft Office: desbordamiento de búfer en el convertidor de WordPerfect

Vulnerability classification

Property Value
Confidence level Oficial
Impact Obtener acceso
Dificulty Experto
Required attacker level Acceso remoto sin cuenta a un servicio exotico

System information

Property Value
Affected manufacturer Microsoft
Affected software Microsoft Office 97, 2000, XP
Microsoft Word 98 (J)
Microsoft FrontPage 2000, 2002
Microsoft Publisher 2000, 2002
Microsoft Works Suite 2001, 2002, 2003

Description

Se ha descubierto una vulnerabilidad en el convertidor Microsoft WordPerfect que puede permitir a un atacante remoto ejecutar código arbitrario en el sistema afectado.

Este fallo es debido a que el convertidor no valida correctamente ciertos parámetros cuando abre un archivo de WordPerfect, concretamente debido a un búfer no comprobado.


Esta vulnerabilidad sólo puede ser explotada por un atacante que convenza a un usuario a abrir un documento Corel WordPerfect malicioso, pudiendo así ejecutar código arbitrario en la máquina cliente.

Solution



Actualización de software

Instale los parches proporcionados por el fabricante
Office XP, FrontPage 2002, Publisher 2002, Works 2002 y Works 2003
http://microsoft.com/downloads/details.aspx?FamilyId=EC563DEE-6BFB-431D-B39E-2D672C0C223F
Office 2000, FrontPage 2000, Publisher 2000 y Works 2001
http://microsoft.com/downloads/details.aspx?FamilyId=D3ED4189-315A-411A-A739-F7181310FBA7
Office 97 y Word 98 (J): consulte la siguiente dirección para saber cómo obtener soporte para estos productos
http://support.microsoft.com/default.aspx?scid=kb;en-us;827656

Ejecute Office Update
Microsoft recomienda a todos los usuarios de Office que visiten con regularidad el sitio web de Office Update a fin de mantener sus sistemas al día
http://www.office.microsoft.com/ProductUpdates/default.aspx

Standar resources

Property Value
CVE CAN-2003-0666
BID

Other resources

Microsoft Security Bulletin MS03-036
http://www.microsoft.com/technet/security/bulletin/MS03-036.mspx

Version history

Version Comments Date
1.0 Aviso emitido 2003-09-05
Ministerio de Defensa
CNI
CCN
CCN-CERT