3 de agosto de 2017

Múltiples vulnerabilidades en Microsoft Office Outlook

Microsoft ha publicado actualizaciones extraordinarias, no incluídas en el boletin mensual de seguridad, para corregir dos vulnerabilidades de severidad alta que afectan a las versiones de Microsoft Office y Microsoft Outlook. Estas vulnerabilidades podrían permitir que un atacante remoto ejecutara comandos arbitarios en un sistema objetivo, catalogadas de  Importancia: 4 - Alta
Recursos afectados:
  • Microsoft Outlook 2016 (ediciones de 64 bits)
  • Microsoft Outlook 2016 (ediciones de 32 bits)
  • Microsoft Outlook 2010 Service Pack 2 (ediciones de 64 bits)
  • Microsoft Outlook 2013 RT Service Pack 1
  • Microsoft Outlook 2010 Service Pack 2 (ediciones de 32 bits)
  • Microsoft Office 2016 Click-to-Run (C2R) para ediciones de 64 bits
  • Microsoft Office 2016 Click-to-Run (C2R) para ediciones de 32 bits
  • Microsoft Outlook 2013 Service Pack 1 (para ediciones de 32 bits)
  • Microsoft Outlook 2013 Service Pack 1 (ediciones de 64 bits)
  • Microsoft Office 2010 Click-to-Run (C2R) para ediciones de 64 bits
  • Microsoft Office 2013 Click-to-Run (C2R) para ediciones de 64 bits
  • Microsoft Office 2010 Click-to-Run (C2R) para ediciones de 32 bits
  • Microsoft Office 2013 Click-to-Run (C2R) para ediciones de 32 bits
Recomendación
Microsoft ha publicado actualizaciones de seguridad para los recursos afectados. Dichas actualizaciones pueden descargarse desde el siguiente enlace: Security Update Guide https://portal.msrc.microsoft.com/en-us/security-guidance
Detalle e Impacto potencial de las vulnerabilidades corregidas
Las vulnerabilidades se deben a una gestión errónea de las entradas suministradas por el usuario en el software afectado. Un atacante podría explotar las vulnerabilidades persuadiendo a un usuario del sistema local para que abra e interactúe con un archivo malicioso, enviado por correo electrónico. Una explotación exitosa podría permitir al atacante ejecutar comandos arbitrarios con los privilegios del usuario. Si el usuario tiene privilegios elevados, el atacante podría comprometer completamente el sistema objetivo.
Fuente: INCIBE