1 2 3 4 5 6

Vulnerabilidades rss pdf

Coordinación de Seguridad de la Información - UNAM-CERT -- DGTIC-UNAM

Vulnerabilidad de Seguridad UNAM-CERT-2013-074 Vulnerabilidades en Microsoft Excel podrían permitir la ejecución remota de código

Esta actualización de seguridad resuelve tres vulnerabilidades de las que se ha informado de forma privada en Microsoft Office. Las vulnerabilidades más graves podrían permitir la ejecución remota de código si un usuario abre un archivo de Office especialmente diseñado con una versión afectada de Microsoft u otro software de Microsoft Office. Un atacante que aprovechara las vulnerabilidades más graves podría conseguir el mismo nivel de derechos de usuario que el usuario actual. Los usuarios cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrían un riesgo menor que los que cuenten con derechos de usuario administrativos. Esta actualización de seguridad se considera importante para todas las ediciones compatibles de Microsoft Excel 2003, Microsoft Excel 2007, Microsoft Excel 2010, Microsoft Excel 2013, Microsoft Excel 2013 RT y Microsoft Office para Mac 2011; también se considera importante para las versiones compatibles de Microsoft Excel Viewer y Paquete de compatibilidad de Microsoft Office.

  • Fecha de Liberación: 10-Sep-2013
  • Ultima Revisión: 10-Abr-2014
  • Fuente:
  • CVE ID: CVE-2013-1315 CVE-2013-3158
  • Riesgo Importante
  • Problema de Vulnerabilidad Local
  • Tipo de Vulnerabilidad Ejecución remota de código

Sistemas Afectados

Microsoft Windows Microsoft Excel Viewer 2760590
Microsoft Windows Microsoft Office 2003 Service Pack 3 2810048
Microsoft Windows Microsoft Office 2007 Service Pack 3 2760583
Microsoft Windows Microsoft Office 2010 Service Pack 1 (ediciones de 32 bits) 2768017
Microsoft Windows Microsoft Office 2010 Service Pack 1 (ediciones de 64 bits) 2768017
Microsoft Windows Microsoft Office 2013 (32-bit editions) 2768017
Microsoft Windows Microsoft Office 2013 (64-bit editions) 2768017
Microsoft Windows Microsoft Office para Mac 2011 2877813
Microsoft Windows Paquete de compatibilidad de Microsoft Office Service Pack 3 2760588
  1. Índice de explotabilidad

    Código de explotación consistente.

  2. Descripción

    Vulnerabilidad de daños en la memoria relacionada con Microsoft Office (CVE-2013-1315)

    Existe una vulnerabilidad de ejecución remota de código en la forma en que Microsoft Excel analiza el contenido de los archivos de Excel. Un atacante que aprovechara esta vulnerabilidad podría lograr el control completo de un sistema afectado. De esta forma, un intruso podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas con todos los derechos de usuario. Los usuarios cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrían un riesgo menor que los que cuenten con derechos de usuario administrativos.

    Vulnerabilidad de daños en la memoria relacionada con Microsoft Office (CVE-2013-3158)

    Existe una vulnerabilidad de ejecución remota de código en la forma en que Microsoft Excel analiza el contenido de los archivos de Excel. Un atacante que aprovechara esta vulnerabilidad podría lograr el control completo de un sistema afectado. De esta forma, un intruso podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas con todos los derechos de usuario. Los usuarios cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrían un riesgo menor que los que cuenten con derechos de usuario administrativos.

  3. Impacto

    Vulnerabilidad de daños en la memoria relacionada con Microsoft Office (CVE-2013-1315)

    Esta vulnerabilidad requiere que un usuario abra un archivo de Office especialmente diseñado con una versión afectada de Microsoft Excel u otro software de Microsoft Office. En el supuesto de un ataque por correo electrónico, un atacante podría aprovechar la vulnerabilidad si envía al usuario un archivo de Office especialmente diseñado y lo convence de que lo abra. En el caso de un ataque a través de web, el atacante tendría que hospedar un sitio web que contuviera un archivo de Office especialmente diseñado destinado a intentar aprovechar esta vulnerabilidad. Además, los sitios web vulnerables y los sitios web que aceptan u hospedan contenido proporcionado por el usuario podrían incluir contenido especialmente diseñado que permita aprovechar esta vulnerabilidad. El atacante no podría obligar a los usuarios a visitar un sitio web especialmente diseñado. Por lo tanto, tendría que atraer a los usuarios al sitio web; para ello debería, por ejemplo, incitarles a hacer clic en un vínculo que les llevara al sitio del atacante y, después, convencerlos para abrir el archivo de Office especialmente diseñado.

    Vulnerabilidad de daños en la memoria relacionada con Microsoft Office (CVE-2013-3158)

    En el supuesto de un ataque por correo electrónico, un atacante podría aprovechar la vulnerabilidad si envía al usuario un archivo de Office especialmente diseñado y lo convence de que lo abra. En el caso de un ataque a través de web, el atacante tendría que hospedar un sitio web que contuviera un archivo de Office especialmente diseñado destinado a intentar aprovechar esta vulnerabilidad. Además, los sitios web vulnerables y los sitios web que aceptan u hospedan contenido proporcionado por el usuario podrían incluir contenido especialmente diseñado que permita aprovechar esta vulnerabilidad. El atacante no podría obligar a los usuarios a visitar un sitio web especialmente diseñado. Por lo tanto, tendría que atraer a los usuarios al sitio web; para ello debería, por ejemplo, incitarles a hacer clic en un vínculo que les llevara al sitio del atacante y, después, convencerlos para abrir el archivo de Office especialmente diseñado.

  4. Solución

  5. Referencias

La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:

  • Said Ramírez Hernández (sramirez at seguridad dot unam dot mx)
  • Manuel Ignacio Quintero Martínez (mquintero at seguridad dot unam dot mx)

UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información

incidentes at seguridad.unam.mx
phishing at seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 47


Universidad Nacional Autonoma de México Aviso legal |  Créditos |  Staff |  Administración
Copyright © Todos los derechos reservados
UNAM - CERT