int(4825)

Boletines de Vulnerabilidades

Múltiples vulnerabilidades en Microsoft Office

Clasificación de la vulnerabilidad
Propiedad Valor
Nivel de Confianza Oficial
Impacto Obtener acceso
Dificultad Experto
Requerimientos del atacante Acceso remoto sin cuenta a un servicio estandar

Información sobre el sistema
Propiedad Valor
Fabricante afectado Microsoft
Software afectado Microsoft Office XP SP3
Microsoft Office 2003 SP3
Microsoft Office XP Web Components SP3
Microsoft Office 2003 Web Components SP3
Microsoft Office 2003 Web Components SP1
Microsoft Internet Security and Acceleration (ISA) Server 2004 SP3 y 2006 SP1
Microsoft Office Small Business Accounting 2006

Descripción
Se han descubierto múltiples vulnerabilidades en Microsoft Office. Las vulnerabilidades son descritas a continuación:

- CVE-2009-0562: La vulnerabilidad reside en un error en la gestión de la memoria. Un atacante remoto podría ejecutar código arbitrario mediante métodos no especificados.

- CVE-2009-2496: Se ha descubierto una vulnerabilidad de tipo desbordamiento de búfer. Un atacante remoto podría ejecutar código arbitrario mediante el paso de parámetros no especificados a métodos no determinados.

- CVE-2009-1534: Se ha descubierto una vulnerabilidad de tipo desbordamiento de búfer. Un atacante remoto podría ejecutar código arbitrario mediante valores de propiedades especialmente diseñados.

Este boletín reemplaza al MS08-017.

Solución


Actualización de software

Microsoft (MS09-043)
Microsoft Office XP Service Pack 3 / patch officexp-KB947320-FullFile-ENU
Microsoft Office 2003 Service Pack 3 / patch office2003-KB947319-FullFile-ENU
Microsoft Office Web Components / patch officexp-KB947320-FullFile-ENU
Microsoft Office 2000 Web Components Service Pack 3 / patch officexp-KB947320-FullFile-ENU
Microsoft Office XP Web Components Service Pack 3 / patch office2003-KB947319-FullFile-ENU
Microsoft Office 2003 Web Components Service Pack 3 / patch
Microsoft Office 2003 Web Components Service Pack 1 for the 2007 Microsoft Office System / patch office2007-kb947318-fullfile-x86-glb
Microsoft Internet Security and Acceleration Server / patch isaserver-kb947826-fullfile-x86-glb
Microsoft Internet Security and Acceleration Server 2004 Standard Edition Service Pack 3 / patch isaserver-kb947826-fullfile-x86-glb
Microsoft Internet Security and Acceleration Server 2004 Enterprise Edition Service Pack 3 / patch isaserver-kb947826-fullfile-x86-glb
Microsoft Internet Security and Acceleration Server 2006 Standard Edition Service Pack 1 / patch isaserver-kb947826-fullfile-x86-glb
Microsoft Internet Security and Acceleration Server 2006 Enterprise Edition Service Pack 1 / patch isaserver-kb947826-fullfile-x86-glb
Microsoft BizTalk Server 2002 / patch MicrosoftBizTalkServer2002-KB971388-EN
Microsoft Visual Studio .NET 2003 Service Pack 1 / patch VS7.1sp1-KB969172-X86-INTL
Microsoft Office Small Business Accounting 2006 / patch OfficeSmallBusinessAccounting2006-KB968377-FullFile-ENU

Identificadores estándar
Propiedad Valor
CVE CVE-2009-0562
CVE-2009-2496
BID 35992

Recursos adicionales
Microsoft Security Bulletin (MS09-043)
http://www.microsoft.com/technet/security/Bulletin/MS09-043.mspx

Histórico de versiones
Versión Comentario Fecha
1.0 Aviso emitido 2009-08-25

Miembros de

CERT
FIRST
TF-CSIRT
EGC Group
UE
Red Nacional de SOC
Foro Nacional de Ciberseguridad
CSIRT.es
Ministerio de Defensa
CNI
CCN
CCN-CERT