Haga clic aquí para instalar Silverlight*
LatinoaméricaCambiar|Todos los sitios de Microsoft
Microsoft TechNet
|Suscríbase|Descarga|Contáctenos|Simplified
   
Home Technet Seguridad >Boletines
 
Boletín de Seguridad MS03-037
Un defecto en Visual Basic for Applications podría permitir la ejecución de código arbitrario (822715)
 

Expuesto originalmente: 3 de Septiembre de 2003

Resumen

Quién debería leer este boletín: Los clientes que utilicen aplicaciones de Microsoft ® Office o aplicaciones que utilicen Microsoft Visual Basic® for Applications.

Alcance de la vulnerabilidad: Posibilidad de que un atacante ejecute código arbitrario.

Gravedad máxima: Crítica

Recomendación: Los clientes que utilizan aplicaciones de Microsoft ® Office o Microsoft Visual Basic for Applications deberían aplicar la revisión lo antes posible.

Software afectado:

·          Microsoft Visual Basic for Applications SDK 5.0

·          Microsoft Visual Basic for Applications SDK 6.0

·          Microsoft Visual Basic for Applications SDK 6.2

·          Microsoft Visual Basic for Applications SDK 6.3
 

Productos que incluyen el software afectado:

·          Microsoft Access 97

·          Microsoft Access 2000

·          Microsoft Access 2002

·          Microsoft Excel 97

·          Microsoft Excel 2000

·          Microsoft Excel 2002

·          Microsoft PowerPoint 97

·          Microsoft PowerPoint 2000

·          Microsoft PowerPoint 2002

·          Microsoft Project 2000

·          Microsoft Project 2002

·          Microsoft Publisher 2002

·          Microsoft Visio 2000

·          Microsoft Visio 2002

·          Microsoft Word 97

·          Microsoft Word 98(J)

·          Microsoft Word 2000

·          Microsoft Word 2002

·          Microsoft Works Suite 2001

·          Microsoft Works Suite 2002

·          Microsoft Works Suite 2003

·          Microsoft Business Solutions Great Plains 7.5

·          Microsoft Business Solutions Dynamics 6.0

·          Microsoft Business Solutions Dynamics 7.0

·          Microsoft Business Solutions eEnterprise 6.0

·          Microsoft Business Solutions eEnterprise 7.0

·          Microsoft Business Solutions Solomon 4.5

·          Microsoft Business Solutions Solomon 5.0

·          Microsoft Business Solutions Solomon 5.5

Boletín para el usuario final: texto en: 

www.microsoft.com/latam/technet/seguridad/boletines/MS03-037/MS03-037-USER.asp

 

 
 
Detalles técnicos
 

 

 

Descripción técnica:
 

Microsoft VBA es una tecnología de programación diseñada para programar aplicaciones empaquetadas de escritorio cliente e integrar dichas aplicaciones con los datos y sistemas existentes. Microsoft VBA se basa en el sistema de programación Microsoft Visual Basic. Los productos de Microsoft Office incluyen VBA y lo utilizan para llevar a cabo determinadas funciones. VBA también puede utilizarse para crear aplicaciones personalizadas basadas en una aplicación host existente.

Existe un defecto en la forma en que VBA comprueba las propiedades del documento que recibe cuando la aplicación host abre un documento. Se produce una saturación del búfer que, si se consigue aprovechar, podría permitir a un atacante ejecutar el código que deseara en el contexto de seguridad del usuario que ha iniciado la sesión.

Para que el ataque tenga éxito, un usuario tendría que abrir el documento especialmente diseñado enviado por el atacante. Este documento podría tratarse de cualquier tipo de documento que admita VBA como, por ejemplo, un documento de Word, una hoja de cálculo de Excel o una presentación de PowerPoint. Si Microsoft Word se utiliza como editor de correo electrónico HTML para Microsoft Outlook, este documento podría tratarse de un mensaje de correo electrónico. Sin embargo, el usuario tendría que responder o reenviar el mensaje de correo para que esta vulnerabilidad pudiera ser aprovechada.
 


Factores atenuantes:
 

Para que esta vulnerabilidad pueda ser aprovechada, el usuario debe abrir un documento que le ha sido enviado por un atacante.
Si Microsoft Word se utiliza como editor de correo electrónico HTML en Outlook, un usuario tendría que contestar o reenviar el documento de correo electrónico malintencionado que le ha sido enviado para que este punto vulnerable pueda ser aprovechado.

  • El código de un atacante sólo podría ejecutarse con los mismos derechos que el usuario que ha iniciado la sesión. Los privilegios que obtuviera el atacante mediante esta vulnerabilidad dependen de los privilegios otorgados al usuario. Cualquier restricción definida en la cuenta de un cliente, como las aplicadas a través de las Directivas de grupo, también limitará las acciones de cualquier código arbitrario ejecutado por esta vulnerabilidad.


Gravedad:
 

Microsoft Visual Basic for Applications SDK 5.0

Crítica

Microsoft Visual Basic for Applications SDK 6.0

Crítica

Microsoft Visual Basic for Applications SDK 6.2

Crítica

Microsoft Visual Basic for Applications SDK 6.3

Crítica

 

Esta clasificación está basada en los tipos de sistemas afectados por esta vulnerabilidad, en sus patrones típicos de implementación y en el efecto que podría tener un ataque que aproveche dicha vulnerabilidad.

 

Identificador de vulnerabilidad:

  1. CAN-2003-0347
     

Versiones probadas:

Microsoft ha realizado pruebas con Microsoft Visual Basic for Applications SDK 5.0, Microsoft Visual Basic for Applications SDK 6.0, Microsoft Visual Basic for Applications SDK 6.2 y Microsoft Visual Basic for Applications SDK 6.3 para determinar si están afectados por esta vulnerabilidad. Además, Microsoft ha investigado todas las versiones compatibles de la lista de software de la sección "Productos que incluyen el software afectado" para determinar si incluyen el software vulnerable. Las versiones anteriores ya no tienen soporte y pueden, o no, verse afectadas.

 

 
 
Preguntas más frecuentes
 

 


¿Cuál es el alcance de esta vulnerabilidad?

Se trata de una vulnerabilidad por saturación del búfer que podría permitir a un atacante ejecutar el código arbitrario que deseara en la máquina de un usuario dentro del contexto de seguridad de dicho usuario, si el usuario abriera un documento mal formado.

¿Cuál es la causa de esta vulnerabilidad?

Esta vulnerabilidad se produce debido a un defecto en la forma en que Microsoft Visual Basic for Applications (VBA) comprueba determinadas propiedades del documento que recibe de una aplicación host cuando se abre el documento. En consecuencia, la aplicación host puede pasar a Microsoft VBA parámetros no comprobados, dando lugar a una condición de saturación del búfer que podría permitir la ejecución de código arbitrario.

¿Qué es Microsoft VBA?

Microsoft VBA es una tecnología de programación diseñada para programar aplicaciones empaquetadas de escritorio cliente e integrar dichas aplicaciones con los datos y sistemas existentes. VBA se basa en el sistema de programación Microsoft Visual Basic. Visual Basic for Applications proporciona un entorno de programación integrado (IDE) compuesto por los mismos elementos ya conocidos por los programadores que utilizan Microsoft Visual Basic, como la Ventana de proyectos, la Ventana de propiedades y las herramientas de depuración. Microsoft VBA también es compatible con Microsoft Forms para crear cuadros de diálogo personalizados y controles ActiveX® para crear interfaces de usuario. VBA está directamente integrado en una aplicación host. Los programas de software que incluyen VBA se denominan aplicaciones personalizables, es decir, aplicaciones que pueden ajustarse a las necesidades concretas de una empresa.

Microsoft Office es una de las muchas aplicaciones que incorpora Microsoft VBA para que los clientes puedan programar aplicaciones tomando Microsoft Office como base. Existen otras aplicaciones que no son Microsoft que también incorporan Microsoft VBA.

¿Qué problema existe con Microsoft VBA?

Cuando una aplicación que admite Microsoft VBA abre un documento, la aplicación host realiza una comprobación para determinar si el documento necesita Microsoft VBA y, por lo tanto, es preciso cargarlo. Durante esta comprobación inicial, algunas de las propiedades del documento se pasan a Microsoft VBA. Existe un defecto porque Microsoft VBA no valida correctamente los datos que recibe durante esta fase inicial.

¿Significa esto que Microsoft Office no comprueba correctamente la seguridad de los documentos?

No. El defecto se encuentra en un proceso que se inicia antes de que se pongan en práctica las comprobaciones de seguridad. El defecto se localiza en la comprobación inicial que determina si la aplicación host necesita Microsoft VBA para controlar el documento que se está abriendo. Como resultado, las comprobaciones de seguridad, como las comprobaciones de protección de las macros, no se realizarán cuando se detecte la vulnerabilidad.

¿Qué podría hacer un intruso que aprovechara esta vulnerabilidad?

Este punto vulnerable podría permitir a un atacante ejecutar el código que desee en el contexto del usuario que ha iniciado la sesión.

¿Cómo podría aprovechar un intruso esta vulnerabilidad?

Un atacante podría aprovechar esta vulnerabilidad enviando a un usuario un documento especialmente diseñado para sacar provecho de este punto vulnerable y persuadiendo al usuario para que abriera el documento. Cuando el usuario abre el documento, puede ejecutarse código arbitrario en el sistema y en el contexto de seguridad del usuario que ha iniciado la sesión. Si Microsoft Word se utiliza como editor de correo electrónico para Microsoft Outlook, que es la configuración predeterminada en Office XP, un atacante podría enviar al usuario un correo electrónico especialmente diseñado y provocar la ejecución de código arbitrario si el usuario responde o reenvía el mensaje de correo electrónico.

Un atacante también podría aprovechar esta vulnerabilidad creando un documento malintencionado y alojándolo en una página Web y, a continuación, persuadiendo al usuario para que visitara el sitio Web. Si el usuario visita el sitio y hace clic en un vínculo del documento, éste podría abrirse automáticamente y permitir la ejecución de código arbitrario.

Si utilizo Microsoft Word como editor de correo electrónico, ¿puede aprovecharse la vulnerabilidad con sólo leer el correo electrónico?

No. Por el simple hecho de leer un mensaje de correo electrónico este punto vulnerable no puede ser aprovechado. El usuario debería responder o reenviar el mensaje de correo electrónico del atacante.

¿Cómo funciona esta revisión de seguridad?

La revisión elimina la vulnerabilidad porque garantiza que Microsoft VBA realiza todas las comprobaciones adecuadas en los datos que recibe de una aplicación host cuando el documento se abre.

Hay disponibles varias revisiones para corregir esta vulnerabilidad. ¿Cuál de ellas debo instalar?

Depende de la versión de Microsoft VBA y de la aplicación host que utilice:

Revisión para Microsoft VBA:

Si utiliza alguna de las siguientes aplicaciones, debería aplicar la versión Microsoft VBA de la revisión:

  • Microsoft VBA 5.0

  • Microsoft VBA 6.0

  • Microsoft VBA 6.2

  • Microsoft VBA 6.3.

  • Microsoft Access 97

  • Microsoft Excel 97

  • Microsoft PowerPoint 97

  • Microsoft Word 97

  • Microsoft Word 98(J)

  • Microsoft Works 2001

  • Microsoft Works 2002

  • Microsoft Works Suite 2003

  • Microsoft Business Solutions Great Plains 7.5

  • Microsoft Business Solutions Dynamics 6.0

  • Microsoft Business Solutions Dynamics 7.0

  • Microsoft Business Solutions eEnterprise 6.0

  • Microsoft Business Solutions eEnterprise 7.0

  • Microsoft Business Solutions Solomon 4.5

  • Microsoft Business Solutions Solomon 5.0

  • Microsoft Business Solutions Solomon 5.5

Revisiones para Microsoft Project 2000, Microsoft Project 2002 y Microsoft Visio:

Si utiliza Microsoft Project o Microsoft Visio, debería aplicar la versión específica de la revisión de cada producto.

Revisiones para Microsoft Office 2000 y Microsoft Office XP:

Si utiliza Microsoft Office 2000 o Microsoft Office XP (incluido Publisher 2002), debería aplicar la versión específica de la revisión de cada producto.

Estoy utilizando más de uno de los productos de las listas anteriores. ¿Debería aplicar para cada producto la revisión específica del producto?

Sí. Debería aplicar la revisión de cada producto incluido en la lista anterior. Por ejemplo, si utiliza Microsoft Office XP y Microsoft Visio 2000, debería aplicar las versiones de Microsoft Office XP y Microsoft Visio de la revisión.

¿Cómo puedo saber la versión de Microsoft VBA que estoy utilizando?

Para saber si VBA está instalado en su sistema e identificar la versión, compruebe si los siguientes archivos están presentes en su sistema (donde C:\ es la unidad del sistema):

  • C:\Archivos de programa\Archivos comunes\Microsoft Shared\VBA\vbe.dll – si este archivo está presente, tiene VBA 5.0 instalado.

  • C:\Archivos de programa\Archivos comunes\Microsoft Shared\VBA6\vbe6.dll – si este archivo está presente, tiene VBA 6.0 instalado.

Tengo una aplicación no Microsoft que utiliza Microsoft VBA. ¿Qué debo hacer?

Microsoft ha trabajado conjuntamente con otras empresas que programan aplicaciones mediante Microsoft VBA para que tengan muy presente esta vulnerabilidad en la seguridad y para proporcionarles todas las actualizaciones de Microsoft VBA necesarias para incluirlas en sus productos. Póngase en contacto con su proveedor de software para conseguir las actualizaciones de las aplicaciones no Microsoft que utilizan Microsoft VBA.
 

 

Disponibilidad de la revisión de seguridad

Lugares de descarga de esta revisión de seguridad

Existen varias versiones de esta revisión, dependiendo de la aplicación que utilice VBA. Le aconsejamos que lea detenidamente el apartado “Hay disponibles varias revisiones para corregir esta vulnerabilidad. ¿Cuál de ellas debo instalar?” de la sección anterior Preguntas más frecuentes, para saber qué versión de la revisión debe aplicar.

 
 
Información adicional acerca de esta revisión de seguridad
 

 

 

Plataformas de instalación:

  • La revisión de Microsoft Office 2000 puede instalarse en los sistemas que ejecuten Microsoft Office 2000 SP3.

  • La revisión de Microsoft Office XP puede instalarse en los sistemas que ejecuten Microsoft Office XP SP2.

  • La revisión de Microsoft Visio 2000 puede instalarse en los sistemas que ejecuten Microsoft Visio 2000.

  • La revisión para Microsoft VBA puede instalarse en los sistemas que ejecuten:

  • Microsoft VBA 5.0

  • Microsoft VBA 6.0

  • Microsoft VBA 6.2

  • Microsoft VBA 6.3.

  • Microsoft Access 97

  • Microsoft Excel 97

  • Microsoft PowerPoint 97

  • Microsoft Word 97

  • Microsoft Word 98(J)

  • Microsoft Word 98(J)

  • Microsoft Works 2001

  • Microsoft Works 2002

  • Microsoft Works Suite 2003

  • Microsoft Business Solutions Great Plains 7.5

  • Microsoft Business Solutions Dynamics 6.0

  • Microsoft Business Solutions Dynamics 7.0

  • Microsoft Business Solutions eEnterprise 6.0

  • Microsoft Business Solutions eEnterprise 7.0

  • Microsoft Business Solutions Solomon 4.5

  • Microsoft Business Solutions Solomon 5.0

  • Microsoft Business Solutions Solomon 5.5
     

Inclusión en futuros Service Packs:

La solución a este problema se incluirá en los futuros Service Packs de Microsoft Office XP, Microsoft Office 2000, Microsoft Project 2002, Microsoft Project 2000 y Microsoft Visio 2002.

Reinicio necesario: Si vbe.dll o vbe6.dll están en uso en el momento de la instalación, será preciso que reinicie el sistema para completar la instalación.

 

¿Se puede desinstalar esta revisión de seguridad? No

 

Revisiones de seguridad anuladas por ésta: Ninguna

 

Comprobación de la instalación de la revisión de seguridad:

Revisiones de Microsoft Office, Project o Visio:
Compruebe que las versiones de los siguientes archivos sean las indicadas a continuación (si C:\ no corresponde a su unidad del sistema, compruebe la unidad en la que resida la carpeta \Archivos de programa):

  • C:\Archivos de programa\Archivos comunes\Microsoft Shared\VBA\VBA6\vbe6.dll = 6.4.99.69

Revisión para Microsoft VBA:
Compruebe que las versiones de los siguientes archivos sean las indicadas a continuación :

  • VBA 5  - C:\Archivos de programa\Archivos comunes\Microsoft Shared\VBA\vbe.dll = 5.0.78.15

  • VBA 6-  C:\Archivos de programa\Archivos comunes\Microsoft Shared\VBA\VBA6\vbe6.dll = 6.4.99.69


Advertencias:
Ninguna

 

Versiones traducidas:
Existen versiones traducidas de esta revisión de seguridad en las ubicaciones indicadas en "Disponibilidad de la revisión de seguridad".

 

Obtención de otras revisiones de seguridad:
Las revisiones de seguridad para otros problemas están disponibles en las ubicaciones siguientes:

  • Las revisiones de seguridad están disponibles en Centro de descargas de Microsoft, y se pueden encontrar con mayor facilidad mediante una búsqueda de la palabra clave "security_patch".
     

  • Las revisiones de seguridad para plataformas de usuarios están disponibles en el sitio Web WindowsUpdate.

 

Información adicional:

Agradecimientos

Microsoft agradece a eEye Digital Security  la comunicación de este problema y su cooperación para proteger a los clientes.

Soporte técnico:

 

·        El artículo 822715 de la Knowledge Base de Microsoft trata este problema y estará disponible aproximadamente 24 horas después de la publicación de este boletín. Los artículos de la Knowledge Base se encuentran en el sitio Web de Soporte técnico en línea de Microsoft.

 

·        Puede solicitar soporte técnico en los Servicios de soporte técnico de Microsoft. Las llamadas de soporte técnico relacionadas con las revisiones de seguridad son gratuitas.

 

Recursos de seguridad: La Web de recursos de seguridad de Microsoft proporciona información adicional sobre la seguridad de los productos de Microsoft.

 

Renuncia:
La información proporcionada en la Knowledge Base de Microsoft se suministra "tal cual", sin garantía de ningún tipo. Microsoft renuncia al otorgamiento de toda otra garantía, tanto expresa como implícita, incluidas las garantías de comerciabilidad e idoneidad para un determinado fin. Ni Microsoft Corporation ni sus proveedores se responsabilizarán en ningún caso de daños directos, indirectos, incidentales consecuenciales, pérdida de beneficios o daños especiales, aun en el caso de que se hubiera informado a Microsoft Corporation o a sus proveedores de la posibilidad de dichos daños. Algunos estados no permiten la exclusión o limitación de responsabilidad por daños consecuenciales o incidentales y, por tanto, la limitación anterior puede no serle aplicable.

 

Revisiones:
 

  • V1.0 (3 de septiembre de 2003): Publicación del boletín.
     

 


 

 
 
Recursos
Webcasts de Seguridad
Newsletter de Seguridad
Boletines de Seguridad
Glosario español
Actualice su PC
 
Comunidad
Learning Center
Videos de Seguridad
Weblogs
 
 

©2015 Microsoft Corporation. Todos los derechos reservados. Póngase en contacto con nosotros |Aviso Legal |Marcas registradas |Privacidad
Microsoft