Skip to content

Alerta. Ejecución de código arbitrario en Microsoft Excel

Publicado por Sergio Hernando el 16 junio 2006

Atención usuarios de Microsoft Office.

excel

Según informan los mismos responsables de Microsoft, se ha decretado un estado de alta vulnerabilidad en Microsoft Excel, el archifamoso gestor de hojas de cálculo del paquete Office.

Hablamos de un 0-day en toda regla, ya que hay exploits circulando y explotando activamente la vulnerabilidad, que está causada por errores desconocidos en el procesado de hojas Excel especialmente conformadas. La explotación conduce a la ejecución arbitraria de código, con lo que la gravedad es máxima.

Se confirma que un sistema full-patched Windows XP SP2 con Microsoft Excel 2003 SP2 es vulnerable. Las versiones Microsoft Excel 2000, Microsoft Excel 2002, Microsoft Excel 2003, Microsoft Office 2000, Microsoft Office 2003 Professional Edition, Microsoft Office 2003 Small Business Edition, Microsoft Office 2003 Standard Edition, Microsoft Office 2003 Student and Teacher Edition y Microsoft Office XP deben ser, a priori, vulnerables.

No existen soluciones a este gravísimo problema de seguridad, con lo que se recomienda no cargar hojas Excel que no procedan de fuentes de confianza. Otra manera de resolver el problema es abrirlas con Calc de OpenOffice.org, con el que no se corren riesgos.

Saludos,

Be Sociable, Share!

Categoría/s → Alertas

Un comentario
  1. 18 junio 2006
    Grohl permalink

    Tengo la sensación que este tipo de archivos no se percibe como potencialmente peligroso para los usuarios. Igual ocurre con los .doc

    Y mucho menos aún con los archivos de imágenes . Y no olvidemos el follón que hubo el año pasado con archivos Windows Media File.

    Muchas empresas impiden el envío de correos con ficheros .exe , salvandolo encapsulandolo en un zip o ace. Pero eso es imposible con xls o doc.

    Quizá lo más importante sea:

    – generalizar la firmas digitales en los correos electronicos. A nivel empresarial está bastante olvidado
    – comprobar el origen real del correo, en el caso de correos-cadena. De nada me sirve saber quien me lo envía si no es el origen real del correo.
    – saber que todo lo que se recibe es potencialmente peligroso. Ser desconfiado puede evitarte problemas

    No se si pueden ser utiles estos consejos. Lo es que seguro es que pueden no ser suficientes

Escribir un comentario

Note: XHTML permitido. Tu email nunca será publicado.

Suscribirse a los comentarios via RSS