Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
27/04/2020
Vulnerabilidades en Microsoft Office
Microsoft ha publicado nuevas correcciones que solucionan problemas de seguridad en la suite de Microsoft Office (versiones 2016, 2019 y Office365) y también aplican a Paint 3D y Visor 3D (3D Viewer).Las vulnerabilidades corregidas podrían permitir a un atacante la ejecución remota de código (RCE, Remote Code Execution) en una librería de Autodesk FBX, dicha librería es utilizada en las aplicaciones de la suite de Microsoft Office.
La explotación de la vulnerabilidad podría ser llevada a cabo creando un fichero FBX malicioso y enviarlo al usuario a través del engaño para que lo abra. Una vez el fichero es abierto el atacante podría explotar vulnerabilidades de buffer overflow, type confusion, use after free, integer overflow, null pointer dereference, otras vulnerabilidades de desbordamiento de memoria y ejecutar código de manera remota.
Sistemas Afectados:- Microsoft Office 2016
- Microsoft Office 2019
- Office 365
- Paint 3D
- Visor 3D
CVE-2020-7080, CVE-2020-7081, CVE-2020-7082, CVE-2020-7083, CVE-2020-7084, CVE-2020-7085
Solución:Para Microsoft Office
Para instalar las actualizaciones de seguridad que afectan estas vulnerabilidades, el usuario deberá realizar las siguientes acciones:
1. Abrir una aplicación Office cualquiera (Word, Excel, PowerPoint...)
2. Hacer clic en el menú "Archivo -> Cuenta"
3. En la sección "Actualizaciones de Office", clic en "Opciones de actualización -> Actualizar Ahora".
4. Una vez descargadas e instaladas, se deben cerrar todas las aplicaciones de Office y volver a abrir (guardar previamente cualquier documento abierto).
Para Paint 3D y Visor 3D
La actualización se puede descargar desde la página de la misma alerta de Microsoft.
Notas:https://www.ccn-cert.cni.es/seguridad-al-dia/avisos-ccn-cert/10010-ccn-cert-av-36-20-vulnerabilidades-en-microsoft-office.html