Microsoft ha publicado actualizaciones
extraordinarias, no incluídas en el boletin mensual de seguridad, para corregir
dos vulnerabilidades de severidad alta que afectan a las versiones de Microsoft
Office y Microsoft Outlook. Estas vulnerabilidades podrían permitir que un
atacante remoto ejecutara comandos arbitarios en un sistema objetivo,
catalogadas de Importancia: 4 - Alta
Recursos afectados:
- Microsoft Outlook 2016 (ediciones de 64 bits)
- Microsoft Outlook 2016 (ediciones de 32 bits)
- Microsoft Outlook 2010 Service Pack 2 (ediciones de
64 bits)
- Microsoft Outlook 2013 RT Service Pack 1
- Microsoft Outlook 2010 Service Pack 2 (ediciones de
32 bits)
- Microsoft Office 2016 Click-to-Run (C2R) para
ediciones de 64 bits
- Microsoft Office 2016 Click-to-Run (C2R) para
ediciones de 32 bits
- Microsoft Outlook 2013 Service Pack 1 (para
ediciones de 32 bits)
- Microsoft Outlook 2013 Service Pack 1 (ediciones de
64 bits)
- Microsoft Office 2010 Click-to-Run (C2R) para
ediciones de 64 bits
- Microsoft Office 2013 Click-to-Run (C2R) para
ediciones de 64 bits
- Microsoft Office 2010 Click-to-Run (C2R) para
ediciones de 32 bits
- Microsoft Office 2013 Click-to-Run (C2R) para
ediciones de 32 bits
Recomendación
Microsoft ha publicado actualizaciones
de seguridad para los recursos afectados. Dichas actualizaciones pueden
descargarse desde el siguiente enlace: Security Update Guide https://portal.msrc.microsoft.com/en-us/security-guidance
Detalle e Impacto
potencial de las vulnerabilidades corregidas
Las vulnerabilidades se deben a una
gestión errónea de las entradas suministradas por el usuario en el software
afectado. Un atacante podría explotar las vulnerabilidades persuadiendo a un
usuario del sistema local para que abra e interactúe con un archivo malicioso,
enviado por correo electrónico. Una explotación exitosa podría permitir al
atacante ejecutar comandos arbitrarios con los privilegios del usuario. Si el
usuario tiene privilegios elevados, el atacante podría comprometer
completamente el sistema objetivo.
Fuente: INCIBE