Documento informativo sobre seguridad de Microsoft (953635)
Una vulnerabilidad en Microsoft Word podría permitir la ejecución remota de código
Microsoft está investigando nuevos informes públicos de una posible vulnerabilidad en Microsoft Office Word 2002 Service Pack 3. Nuestra investigación inicial indica que los clientes que usan las demás versiones compatibles de Microsoft Office Word, Microsoft Office Word Viewer, Paquete de compatibilidad de Microsoft Office para formatos de archivo de Word, Excel y PowerPoint 2007 y Microsoft Office para Mac no están afectados.
En este momento, Microsoft tiene constancia de ataques limitados y dirigidos que intentan usar esta vulnerabilidad. Aunque Microsoft Office Word 2000 no parece afectado por esta vulnerabilidad, Word 2000 puede terminar inesperadamente al abrir un archivo .doc especialmente diseñado que el atacante use para intentar aprovechar la vulnerabilidad.
Microsoft está investigando los informes públicos y las incidencias en los clientes. Una vez terminada la investigación, Microsoft tomará las medidas apropiadas para proteger a sus clientes. Dichas medidas podrían incluir una actualización de seguridad en nuestra publicación mensual, o bien una actualización independiente, según las necesidades del cliente.
Microsoft continúa fomentando la revelación responsable de las vulnerabilidades. Microsoft considera que la práctica comúnmente aceptada de informar directamente de las vulnerabilidades al proveedor redunda en beneficio de todos. Esta práctica permite que los clientes reciban actualizaciones completas y de alta calidad para vulnerabilidades de seguridad, sin tener que estar expuestos a atacantes malintencionados durante el periodo en que se prepara una actualización de seguridad.
Los clientes que piensen que se han visto afectados puede obtener asistencia de seguridad en http://www.microsoft.com/protect/support/default.mspx y deben ponerse en contacto con las autoridades locales de su país. Los clientes de Estados Unidos pueden ponerse en contacto con el departamento de servicio y asistencia al cliente de forma gratuita en la línea directa de PC Safety llamando al 1-866-PCSAFETY. Asimismo, los clientes de Estados Unidos deben ponerse en contacto con su oficina local del FBI o notificar su situación en www.ic3.gov.
Microsoft sigue recomendando a los clientes que sigan los consejos de “Proteja su PC” para habilitar un firewall, aplicar todas las actualizaciones de software e instalar software antivirus y contra spyware. Se puede encontrar información adicional en: www.microsoft.com/protect.
Factores atenuantes:
| • | Esta vulnerabilidad no se puede aprovechar en el siguiente software de Microsoft Office:
| ||||||||||||||
| • | Un intruso que aprovechara esta vulnerabilidad podría conseguir el mismo nivel de derechos de usuario que el usuario local. Por tanto, los usuarios cuyas cuentas estén configuradas con pocos derechos de usuario en el sistema podrían verse menos afectados que aquellos que cuenten con derechos de usuario administrativos. | ||||||||||||||
| • | La vulnerabilidad no puede aprovecharse automáticamente mediante el correo electrónico. Un usuario debe abrir un archivo adjunto a un mensaje de correo electrónico para que un ataque tenga éxito. | ||||||||||||||
| • | En el caso de un ataque a través de web, el atacante tendría que alojar un sitio web que contuviera un archivo de Word especialmente diseñado destinado a intentar aprovechar esta vulnerabilidad. Además, los sitios web vulnerables y los sitios web que aceptan o alojan contenido proporcionado por el usuario podrían incluir contenido especialmente diseñado que permita aprovechar esta vulnerabilidad. El atacante no podría obligar a los usuarios a visitar estos sitios web. Por lo tanto, tendría que atraerlos al sitio web; por lo general, convenciéndoles para que hagan clic en un vínculo de un mensaje de correo electrónico o de Instant Messenger que lleve a los usuarios al sitio del atacante. |
Información general
Descripción general |
Preguntas frecuentes |
Acciones recomendadas |
| • | Proteja su PC Microsoft sigue recomendando a los clientes que apliquen los consejos de la sección Proteja su PC, a saber: habilitar un firewall, obtener actualizaciones de software e instalar software antivirus. La información completa al respecto puede consultarse en el sitio Web Proteja su PC. |
| • | Los clientes que piensen que se han visto afectados pueden ponerse en contacto con la oficina local del FBI o enviar su queja a través de Internet Fraud Complaint Center. Los clientes que no se encuentren en Estados Unidos deben ponerse en contacto con las autoridades locales de su país. |
| • | Los clientes de Estados Unidos y Canadá que piensen que pueden estar afectados por esta vulnerabilidad pueden recibir soporte técnico de los Servicios de soporte técnico de Microsoft en 1-866-PCSAFETY. Las llamadas de soporte técnico relacionadas con las actualizaciones de seguridad o virus son gratuitas. Los clientes que vivan en otros países pueden recibir asistencia a través de cualquiera de los métodos que encontrarán en Ayuda y soporte técnico de Microsoft. |
| • | Como medida de seguridad general, los usuarios siempre deben tomar precauciones al abrir archivos adjuntos no solicitados de fuentes tanto conocidas como desconocidas. |
| • | Microsoft sigue recomendando a los clientes que apliquen los consejos de la sección Proteja su equipo, a saber: habilitar un firewall, obtener actualizaciones de software e instalar software antivirus. La información completa al respecto puede consultarse en el sitio web Proteja su equipo. |
| • | Para obtener más información acerca de la seguridad en Internet, los clientes deben visitar Central de seguridad de Microsoft. |
Soluciones provisionales |
| • | Use Microsoft Office Word 2003 Viewer o Microsoft Office Word 2003 Viewer Service Pack 3 para abrir y ver los archivos de Microsoft Word. |
Recursos:
| • | Puede proporcionar comentarios si rellena el formulario en Ayuda y soporte técnico de Microsoft: Póngase en contacto con nosotros. |
| • | Los clientes de Estados Unidos y Canadá pueden recibir soporte técnico de los Servicios de soporte técnico de Microsoft. Para obtener más información acerca de las opciones de asistencia disponibles, visite Ayuda y soporte técnico de Microsoft. |
| • | Los clientes internacionales pueden recibir soporte técnico en las subsidiarias de Microsoft de sus países. Para obtener más información acerca de cómo ponerse en contacto con Microsoft en relación con problemas de soporte técnico, visite Soporte técnico internacional. |
| • | Microsoft TechNet Security proporciona información adicional acerca de la seguridad de los productos de Microsoft. |
Renuncia:
La información proporcionada en este documento informativo se suministra "tal cual", sin garantía de ningún tipo. Microsoft renuncia al otorgamiento de toda garantía, tanto expresa como implícita, incluidas las garantías de comerciabilidad e idoneidad para un determinado fin. Ni Microsoft Corporation ni sus proveedores se responsabilizarán en ningún caso de daños directos, indirectos, incidentales, consecuenciales, pérdida de beneficios o daños especiales, aun en el supuesto de que se hubiera informado a Microsoft Corporation o a sus proveedores de la posibilidad de dichos daños. Algunos estados de Estados Unidos no permiten la exclusión o limitación de responsabilidad por daños consecuenciales o incidentales, y, por tanto, la limitación anterior puede no ser aplicable en su caso.
Revisiones:
| • | 8 de julio de 2008: Documento informativo publicado |