1 2 3 4 5 6

Vulnerabilidades rss pdf

Coordinación de Seguridad de la Información - UNAM-CERT -- DGTIC-UNAM

Vulnerabilidad de Seguridad UNAM-CERT-2014-005 Vulnerabilidades en Microsoft Word y Office Web Apps podrían permitir ejecución remota de código

Esta actualización de seguridad resuelve una vulnerabilidad que se ha reportado públicamente y dos vulnerabilidades de manera privada en Microsoft Office. La más grave de estas vulnerabilidades podría permitir la ejecución remota de código especialmente diseñado al abrir un archivo en una versión afectada de Microsoft Office.

  • Fecha de Liberación: 8-Abr-2014
  • Ultima Revisión: 9-Abr-2014
  • Fuente:
  • CVE ID: CVE-2014-1757 CVE-2014-1758 CVE-2014-1761
  • Riesgo Crítico
  • Problema de Vulnerabilidad Local
  • Tipo de Vulnerabilidad Ejecución remota de código

Sistemas Afectados

Microsoft Windows Windows Microsoft Office 2003 Service_Pack 3 2878303
Microsoft Windows Windows Microsoft Office 2007 Service Pack 3 2878237
Microsoft Windows Windows Microsoft Office 2010 Service Pack 1 (32-bit editions) 2863926
Microsoft Windows Windows Microsoft Office 2010 Service Pack 1 (64-bit editions) 2863926
Microsoft Windows Windows Microsoft Office 2010 Service Pack 2 (32-bit editions) 2863926
Microsoft Windows Windows Microsoft Office 2010 Service Pack 2 (64-bit editions) 2863926
Microsoft Windows Windows Microsoft Office 2013 (32-bit editions) 2863910
Microsoft Windows Windows Microsoft Office 2013 (64-bit editions) 2863910
Microsoft Windows Windows Microsoft Office 2013 Service Pack 1 (32-bit editions) 2863910
Microsoft Windows Windows Microsoft Office 2013 Service Pack 1 (64-bit editions) 2863910
Microsoft Windows Windows Microsoft Office Compatibility Pack Service Pack 3 2878304
Microsoft Windows Windows Microsoft Office For Mac 2939132
Microsoft Windows Windows Microsoft Word Viewer 2878304
  1. Índice de Explotabilidad

    Vulnerabilidad del convertidor de formato de archivo de Microsoft Office - CVE-2014-1757

    Código de explotación inconsistente

    Vulnerabilidad de desbordamiento de pila en Microsoft Word  - CVE-2014-1758

    Código de explotación consistente

    Vulnerabilidad en  daño de memoria en archivos RTF  de Word - CVE-2014-1761

    Código de explotación consistente

  2. Descripción

    Vulnerabilidad del convertidor de formato de archivo de Microsoft Office - CVE-2014-1757

    Existe una vulnerabilidad de ejecución remota de código en la manera que Microsoft Office convierte los archivos especialmente diseñados. Un atacante que aproveche esta vulnerabilidad podría ejecutar código arbitrario como el usuario actual. Si el usuario actual inicia sesión con privilegios de administrador, podría obtener el control total del sistema. De esta forma, el atacante podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas con privilegios de administrador.

    Vulnerabilidad de desbordamiento de pila en Microsoft Word  - CVE-2014-1758

    Existe una vulnerabilidad de ejecución remota de código en la manera que Microsoft Word analiza los archivos especialmente diseñados. Un atacante que aproveche esta vulnerabilidad podría ejecutar código arbitrario como el usuario actual. Si el usuario actual inicia sesión con privilegios de administrador, podría obtener el control total del sistema. De esta forma, el atacante podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas con privilegios de administrador.

    Vulnerabilidad en  daño de memoria en archivos RTF  de Word - CVE-2014-1761

    Existe una vulnerabilidad de ejecución remota de código en la manera que Microsoft Word analiza los archivos especialmente diseñados. Un atacante que aproveche esta vulnerabilidad podría ejecutar código arbitrario como el usuario actual. Si el usuario actual inicia sesión con privilegios de administrador, podría obtener el control total del sistema. De esta forma, el atacante podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas con privilegios de administrador.

  3. Impacto

    Vulnerabilidad del convertidor de formato de archivo de Microsoft Office - CVE-2014-1757

    Un atacante que aproveche esta vulnerabilidad podría ejecutar código arbitrario como el usuario actual. Si el usuario actual inicia sesión con privilegios de administrador, un atacante podría lograr el control total del sistema. De esta forma, el atacante podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas con privilegios de administrador. Los usuarios cuyas cuentas estén configuradas con menos privilegios correrían un riesgo menor que los que cuenten con privilegios de administrador.

    Vulnerabilidad de desbordamiento de pila en Microsoft Word  - CVE-2014-1758

    Un atacante que aproveche esta vulnerabilidad podría ejecutar código arbitrario como el usuario actual. Si el usuario actual inicia sesión con privilegios de administrador, un atacante podría lograr el control total del sistema. De esta forma, el atacante podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas con privilegios de administrador. Los usuarios cuyas cuentas estén configuradas con menos privilegios correrían un riesgo menor que los que cuenten con privilegios de administrador.

    Vulnerabilidad en  daño de memoria en archivos RTF  de Word - CVE-2014-1761

    Un atacante que aproveche esta vulnerabilidad podría ejecutar código arbitrario como el usuario actual. Si el usuario actual inicia sesión con privilegios de administrador, un atacante podría lograr el control total del sistema. De esta forma, el atacante podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas con privilegios de administrador. Los usuarios cuyas cuentas estén configuradas con menos privilegios correrían un riesgo menor que los que cuenten con privilegios de administrador.

  4. Solución

  5. Referencias

La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:

  • Manuel Ignacio Quintero Martínez (mquintero at seguridad dot unam dot mx)
  • Edgar Israel Rubi Chavez (erubi at seguridad dot unam dot mx)

UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información

incidentes at seguridad.unam.mx
phishing at seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 47


Universidad Nacional Autonoma de México Aviso legal |  Créditos |  Staff |  Administración
Copyright © Todos los derechos reservados
UNAM - CERT