Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
26/03/2014
Vulnerabilidad 0-day en Microsoft Word
Se ha publicado una vulnerabilidad 0-day en la aplicación de procesamiento de textos Word y que afecta a las versiones 2003, 2007, 2010, y 2013 para Windows, Microsoft Office 2011 para Mac, Word Viewer y varias versiones de Microsoft SharePoint Server. El problema puede ser explotado también a través de Microsoft Outlook si el citado archivo se previsualiza o se abre desde el cliente de correo. La explotación de la vulnerabilidad puede permitir a un atacante remoto ganar acceso al sistema.
Esta vulnerabilidad ya está siendo explotada en ataques dirigidos y permite a un atacante tomar control del sistema solo con la previsualización o apertura de un archivo RTF preparado para tal efecto.
Microsoft ha publicado un parche temporal ‘Fix It’, que es una solucíon temporal que impide la apertura de los archivos RTF en Word. A la espera de un parche definitivo que corrija la vulnerabilidad se recomienda el uso del kit de herramientas de experiencia de mitigación mejorada EMET, que ayudaría a prevenir que se exploten vulnerabilidades de seguridad en el software y que los usuarios se protejan a sí mismos mediante la visualización de mensajes de correo electrónico en texto sin formato, deshabilitando en Outlook la visualización de ficheros RTF.