Sistemas No Afectados

1. Índice de explotabilidad

   Vulnerabilidad en componente de Microsoft Office puede permitir su uso gratuito - CVE-2014-6362

   Explotación de código consistente.

2. Descripción

   Vulnerabilidad en componente de Microsoft Office puede permitir su uso gratuito - CVE-2014-6362

   Una vulnerabilidad de omisión en Microsoft Office sucede cuando no puede utilizar la característica de seguridad  bypass de Address Space Layout Randomization (ASLR), lo que permite a un atacante predecir con mayor fiabilidad las compensaciones de memoria de instrucciones específicas en una pila de llamadas.

3. Impacto

   Vulnerabilidad en componente de Microsoft Office puede permitir su uso gratuito - CVE-2014-6362

   Bypass por sí mismo no permite la ejecución de código arbitrario, sin embargo un atacante podría utilizar la vulnerabilidad de bypass ASLR en conjunto con otra (como una vulnerabilidad de ejecución remota de código) para ejecutar código arbitrario.

4. Solución

   • Microsoft Office 2007 Service Pack 3
   • Microsoft Office 2010 Service Pack 2 (32-bit editions)
   • Microsoft Office 2010 Service Pack 2 (64-bit editions)
   • Microsoft Office 2013 (32-bit editions)
   • Microsoft Office 2013 (64-bit editions)
   • Microsoft Office 2013 Service Pack 1 (32-bit editions)
   • Microsoft Office 2013 Service Pack 1 (64-bit editions)

    

5. Referencias

   • https://technet.microsoft.com/en-us/library/security/ms15-feb.aspx
   • https://technet.microsoft.com/library/security/MS15-013

La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:

• Manuel Ignacio Quintero Martínez (mquintero at seguridad dot unam dot mx)
• Edgar Israel Rubi Chavez (erubi at seguridad dot unam dot mx)