Alerta. Ejecución de código arbitrario en Microsoft Excel

Publicada en Por Sergio Hernando

Atención usuarios de Microsoft Office.

excel

Según informan los mismos responsables de Microsoft, se ha decretado un estado de alta vulnerabilidad en Microsoft Excel, el archifamoso gestor de hojas de cálculo del paquete Office.

Hablamos de un 0-day en toda regla, ya que hay exploits circulando y explotando activamente la vulnerabilidad, que está causada por errores desconocidos en el procesado de hojas Excel especialmente conformadas. La explotación conduce a la ejecución arbitraria de código, con lo que la gravedad es máxima.

Se confirma que un sistema full-patched Windows XP SP2 con Microsoft Excel 2003 SP2 es vulnerable. Las versiones Microsoft Excel 2000, Microsoft Excel 2002, Microsoft Excel 2003, Microsoft Office 2000, Microsoft Office 2003 Professional Edition, Microsoft Office 2003 Small Business Edition, Microsoft Office 2003 Standard Edition, Microsoft Office 2003 Student and Teacher Edition y Microsoft Office XP deben ser, a priori, vulnerables.

No existen soluciones a este gravísimo problema de seguridad, con lo que se recomienda no cargar hojas Excel que no procedan de fuentes de confianza. Otra manera de resolver el problema es abrirlas con Calc de OpenOffice.org, con el que no se corren riesgos.

Saludos,

Entrada relacionada

Alerta: Graves vulnerabilidades en Mozilla Firefox permiten la ejecución remota de código arbitrario

Publicada en

Más problemas para Internet Explorer: Dos nuevas vulnerabilidades permiten la obtención remota de ficheros del sistema

Publicada en

Sobre la última vulnerabilidad de Internet Explorer: consejos prácticos para usuarios

Publicada en

Alerta: Troyanos financiero para dispositivos Android

Publicada en

Alerta: Nuevo zero-day en Internet Explorer permite la contaminación remota de equipos con tan sólo visitar páginas Web

Publicada en

Un pensamiento en “Alerta. Ejecución de código arbitrario en Microsoft Excel

  1. Tengo la sensación que este tipo de archivos no se percibe como potencialmente peligroso para los usuarios. Igual ocurre con los .doc

    Y mucho menos aún con los archivos de imágenes . Y no olvidemos el follón que hubo el año pasado con archivos Windows Media File.

    Muchas empresas impiden el envío de correos con ficheros .exe , salvandolo encapsulandolo en un zip o ace. Pero eso es imposible con xls o doc.

    Quizá lo más importante sea:

    – generalizar la firmas digitales en los correos electronicos. A nivel empresarial está bastante olvidado
    – comprobar el origen real del correo, en el caso de correos-cadena. De nada me sirve saber quien me lo envía si no es el origen real del correo.
    – saber que todo lo que se recibe es potencialmente peligroso. Ser desconfiado puede evitarte problemas

    No se si pueden ser utiles estos consejos. Lo es que seguro es que pueden no ser suficientes

Comentarios cerrados.