Esta actualización de seguridad resuelve una vulnerabilidad de la que se ha informado de forma pública en Microsoft Office para Mac. La vulnerabilidad podría permitir la elevación de privilegios si un ejecutable malintencionado se guarda en un sistema afectado por un atacante y otro usuario inicia sesión posteriormente y ejecuta el archivo ejecutable malintencionado. Para aprovechar esta vulnerabilidad, un atacante debe de tener unas credenciales de inicio de sesión válidas y ser capaz de iniciar una sesión local.
Microsoft Windows todas las versiones | Microsoft Office for Mac 2011 | <= | KB2665351 |
Vulnerabilidad de permisos de carpeta incorrectos en Office para Mac - CVE-2012-1894
Código de explotación consistente.
Vulnerabilidad de permisos de carpeta incorrectos en Office para Mac - CVE-2012-1894
Existe una vulnerabilidad de elevación de privilegios en la forma en que los permisos de carpeta se establecen en determinadas instalaciones de Microsoft Office para Mac. Un atacante podría guardar un ejecutable malintencionado en la carpeta de Microsoft Office 2011.
Vulnerabilidad de permisos de carpeta incorrectos en Office para Mac - CVE-2012-1894
Si un usuario inicia sesión posteriormente y ejecuta el archivo ejecutable malintencionado, el código proporcionado por el atacante se podría ejecutar en el contexto de seguridad del usuario actual. Si el usuario ejecuta el archivo ejecutable malintencionado como administrador, el atacante podría tomar control completo de un sistema afectado. De esta forma, un intruso podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas con todos los derechos de usuario. El atacante solo podría obtener privilegios elevados en el equipo Mac afectado si un usuario ha ejecutado el archivo ejecutable malintencionado. No se trata de una elevación de privilegios directa, sino de un ataque señuelo.
La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:
UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información
incidentes at seguridad.unam.mx
phishing at seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 47
Aviso legal |
Créditos |
Staff |
Administración
Copyright © Todos los derechos reservados
UNAM - CERT