Abrir sesión
logo

DEFENSA FRENTE A LAS CIBERAMENAZAS

barra-separadora

Soporte de vulnerabilidades

Servicio de soporte de vulnerabilidadesAnálisis, notificación y seguimiento de aquellas vulnerabilidades más críticas, que impactan especialmente en las tecnologías empleadas en el sector público. El CCN-CERT trabajará en la recopilación y clasificación de las nuevas vulnerabilidades, realizando un análisis teórico y en laboratorio, cuando sea posible, de aquellas que por su criticidad lo requieran.

Se generarán documentos informativos o “abstracts” de dichas vulnerabilidades y se llevará a cabo un seguimiento de la evolución de la vulnerabilidad en Internet, alertando a los organismos ante cambios en la criticidad, aparición de parches, nuevas recomendaciones, constancia de explotaciones activas, etc.

Para inscribirse en este servicio o recibir más información, escribir al correo electrónico: soporte_acreditacion@ccn.cni.es

Abstracts:


Boletines de Vulnerabilidades


Desbordamiento de búfer en Microsoft VBA

Clasificación de la vulnerabilidad

Propiedad Valor
Nivel de Confianza Oficial
Impacto Obtener acceso
Dificultad Experto
Requerimientos del atacante Acceso remoto sin cuenta a un servicio exotico

Información sobre el sistema

Propiedad Valor
Fabricante afectado Microsoft
Software afectado Microsoft Access 97, 2000, 2002
Microsoft Excel 97, 2000, 2002
Microsoft PowerPoint 97, 2000, 2002
Microsoft Project 2000, 2002
Microsoft Publisher 2002
Microsoft Visio 2000, 2002
Microsoft Word 97, 98(J), 2000, 2002
Microsoft Works Suite 2001, 2002, 2003
Microsoft Business Solutions Great Plains 7.5
Microsoft Business Solutions Dynamics 6.0 , 7.0
Microsoft Business Solutions eEnterprise 6.0, 7.0
Microsoft Business Solutions Solomon 4.5, 5.0, 5.5

Descripción

Se ha descubierto una vulnerabilidad de desbordamiento de búfer en la tecnología de desarrollo VBA (Visual Basic for Applications) de Microsoft que puede permitir a un atacante remoto ejecutar código arbitrario en el contexto del usuario que ha iniciado la sesión.

Este fallo reside en la forma en la que VBA comprueba las propiedades de documentos, cuando un documento es abierto. Un usuario tiene que abrir un documento construido maliciosamente para que el ataque sea realizado con éxito. Este documento puede ser cualquier tipo de documento que soporte VBA (Word, Excel...).

Solución



Actualización de software

Instale los parches proporcionados por el fabricante
Office 2000
http://microsoft.com/downloads/details.aspx?FamilyId=E2CCE199-9C4A-4EEC-A3EC-9F738017F275
Office XP y Publisher 2002
http://microsoft.com/downloads/details.aspx?FamilyId=6F1FC4B0-29E9-44E0-A33D-AD6B4B6A8FF4
Project 2000
http://microsoft.com/downloads/details.aspx?FamilyId=E53A52E7-431D-4580-9733-B92A2B7BFD0D
Project 2002
http://microsoft.com/downloads/details.aspx?FamilyId=525BDE0A-0028-488A-8209-6E07D4603CCB
Visio 2002
http://microsoft.com/downloads/details.aspx?FamilyId=55944490-13C2-4043-BA2A-17AF02E9C73E
Otras plataformas software
http://microsoft.com/downloads/details.aspx?FamilyId=DA1A7ABA-CD3D-458B-9729-AB9094C9BD3F&displaylang=en

Ejecute Office Update
Microsoft recomienda a todos los usuarios de Office que visiten con regularidad el sitio web de Office Update a fin de mantener sus sistemas al día
http://www.office.microsoft.com/ProductUpdates/default.aspx

Identificadores estándar

Propiedad Valor
CVE CAN-2003-0347
BID NULL

Recursos adicionales

Microsoft Security Bulletin MS03-037
http://www.microsoft.com/technet/security/bulletin/MS03-037.mspx

Histórico de versiones

Versión Comentario Fecha
1.0 Aviso emitido 2003-09-05
Volver

Este sitio web utiliza cookies propias y de terceros para el correcto funcionamiento y visualización del sitio web por parte del usuario, así como la recogida de estadísticas. Si continúa navegando, consideramos que acepta su uso. Puede cambiar la configuración u obtener más información. Modificar configuración