int(3863)

Boletines de Vulnerabilidades

Múltiples vulnerabilidades en Microsoft Office

Clasificación de la vulnerabilidad
Propiedad Valor
Nivel de Confianza Oficial
Impacto Obtener acceso
Dificultad Principiante
Requerimientos del atacante Acceso remoto sin cuenta a un servicio estandar

Información sobre el sistema
Propiedad Valor
Fabricante afectado Microsoft
Software afectado Microsoft Office 2000 Service Pack 3
Microsoft Office XP Service Pack 3
Microsoft Office 2003 Service Pack 2
Microsoft Office Excel Viewer 2003
Microsoft Office Excel Viewer 2003 Service Pack 3
Microsoft Office 2004 para Mac
Microsoft Office 2004 para Mac

Descripción
Se han descubierto múltiples vulnerabilidades en Microsoft Office 2000 SP3, XP SP3, 2003 SP2, Excel Viewer 2003 y 2003 SP3, Office 2004 para Mac. Las vulnerabilidades son descritas a continuación:

- CVE-2008-0113: La vulnerabilidad reside en un error no especificado al manejar ficheros Excel malformados. Un atacante remoto podría ejecutar código arbitrario mediante un fichero Excel especialmente diseñado.

- CVE-2008-0118: La vulnerabilidad reside en un error en la comprobación de los límites al procesar ficheros Office malformados. Un atacante remoto podría ejecutar código arbitrario mediante un fichero Office especialmente diseñado. Existe un exploit público disponible.

Solución


Actualización de software

Microsoft (MS08-016)
Office 2000 (todas las ediciones) / patch Office2000-kb947361-fullfile-enu
Office XP (todas las ediciones) / patch officeXP-kb947866-fullfile-enu
Office 2003 (todas las ediciones) / patch office2003-kb947355-fullfile-enu.exe
Excel Viewer 2003 (todas las ediciones) / patch office2003-kb947355-fullfile-enu.exe
http://www.microsoft.com/downloads
Office 2004 para Mac
http://www.microsoft.com/mac/downloads.mspx?pid=Mactopia_Office2004&fid=95DCEB37-B35F-46DB-B280-DB0F3B298AA9

Identificadores estándar
Propiedad Valor
CVE CVE-2008-0113
CVE-2008-0118
BID 28146

Recursos adicionales
Microsoft Security Bulletin (MS08-016)
http://www.microsoft.com/technet/security/bulletin/MS08-016.mspx

Histórico de versiones
Versión Comentario Fecha
1.0 Aviso emitido 2008-03-12
2.0 Exploit público disponible. 2008-04-04

Miembros de

CERT
FIRST
TF-CSIRT
EGC Group
UE
Red Nacional de SOC
Foro Nacional de Ciberseguridad
CSIRT.es
Ministerio de Defensa
CNI
CCN
CCN-CERT