• Tweet

Un debilidad en como las aplicaciones de Office manejan los archivos de Macromedia Flash expone a los clientes de Microsoft a ataques, previnieron expertos de seguridad.

Los archivos de Flash embebidos en documentos de Office podrían iniciar y ejecutar código sin prevenir al usuario, comento Symantec en un aviso enviado a sus clientes el jueves. El problema de seguridad es el tercero reportado en una semana que afecta directamente a usuarios de Microsoft Office.

“Un ataque exitoso podría permitir a un intruso acceder a información sensitiva y poder ejecutar comandos maliciosos en el equipo vulnerable,” comentó Symantec en la alerta. La vulnerabilidad fue reportada por el investigador Debasis Mohanty.

El problema relatado da la posibilidad de cargar controles ActiveX en un documento de Office, lo cual no es una vulnerabilidad pero si una característica de Office, comento un representante de Microsoft. “Este comportamiento es por el diseño y por si mismo no representa un riesgo de seguridad para nuestros clientes” comento el representante. Un control ActiveX es una pequeña aplicación típicamente usada para hacer los sitios Web más atractivos.

Sin embargo, Microsoft admite que esta funcionalidad podría ser usada por un intruso para automáticamente cargar un control ActiveX en los sistemas de cualquier usuario a través de un documento de Office. Actualmente, Microsoft no conoce algún control ActiveX que pudiera permitir a un intruso tomar el control de un equipo vulnerable usando controles ActiveX, comento el representante.

“Microosft continuará investigando los reportes públicos para ayudar a proporcionar una guía adicional para los clientes que la necesiten”, comento el representante. Si algún control ActiveX vulnerable es encontrado, es posible prevenir la ejecución en versiones recientes de Office configurando algo denominado “killbit” para este tipo de controles, de acuerdo a Microsoft.

Este problema con ActiveX es el tercer problema de seguridad relacionado con Office en una semana. El martes Microsoft confirmó que una falla relacionada a un componente de Windows denominada “hlink.dll” podría ser explotado realizando un archivo Excel especialmente diseñado. La semana pasada Microsoft confirmaba una falla en Excel que esta siendo explotada en al menos un ataque dirigido.

Para explotar uno de los nuevos problemas de seguridad, un intruso debería realizar un archivo maliciosos especialmente diseñado y colocar el archivo en un sitio Web, enviar el archivo malicioso vía correo electrónico o proporcionándoselo por algún medio a la victima. El intento de ataque puede ser exitoso solo si el archivo es abierto en un equipo vulnerable.

El problema viene después de la liberación de los boletines de seguridad. La semana pasada Microsoft liberó 12 actualizaciones de seguridad que corregían 21 vulnerabilidades en varios productos, incluyendo Office. Microsoft comento estar trabajando en una corrección de seguridad para la primera falla de seguridad en Excel descubierta por ellos la semana pasada.