Microsoft advierte sobre un nuevo agujero en Word
Sólo unas horas después de que Microsoft Security Response Center anunciara que las actualizaciones de su boletín de seguridad mensual de febrero habían cubierto todas las amenazas pendientes de resolver en Office, la compañía se veía obligada a reconocer que otro agujero en Word estaba siendo objeto de los ataques de algunos hackers para tomar el control de los sistemas de sus víctimas.
El martes, Microsoft publicó doce actualizaciones de seguridad con parches para cubrir veinte vulnerabilidades, incluidos seis para World, uno para PowerPoint y otro para Excel. “Todos las vulnerabilidades de día cero en World y Office quedaron protegidas el martes”, anunciaba Mark Griesi, director de programa de seguridad para Microsoft Security Response Center (MSRC), al día siguiente. Por tanto, ninguna vulnerabilidad de día cero quedaba desprotegida.
El día 9 de febrero, los investigadores de McAfee anunciaban haber encontrado otro agujero no parcheado en Microsoft Word 2000. Ese mismo día, Microsoft respondía que sus análisis indicaron que tal fallo sólo podía perjudicar al procesador de texto. Se trataba de una vulnerabilidad DDoS (Distributed Denial of Service), considerada una amenaza menor dado que no permite al atacante correr su propio código sobre la máquina de la víctima.
No obstante, Microsoft estaba equivocada, según McAfee. “Nuestros análisis muestran que la vulnerabilidad en cuestión probablemente no se limita a una amenaza de denegación de servicio (DoS) y que, de hecho, abre la puerta a la posibilidad de ejecutar código en remoto”, advertía Craig Schmugar, director de investigación sobre virus de los laboratorios Avert de McAfee.
Finalmente, Microsoft publicaba un aviso de seguridad que venía a dar la razón a Schmugar. En él admitía que el fallo en Word 2000 y Word 2002 podía ser aprovechado para “corromper la memoria del sistema de manera que un atacante pudiera ejecutar código arbitrario”. La compañía tiene intención de publicar un parche para el problema, pero aún no ha determinado cuándo estará disponible. La próxima actualización mensual de seguridad del fabricante no aparecerá hasta el próximo 13 de abril.
En cualquier caso, diversas organizaciones de seguridad aseguran que Microsoft todavía tiene numerosos problemas por resolver en este aspecto. Por ejemplo, Internet Storm Center, de SANS Institute, ha elaborado un listado con siete agujeros aún no parcheados por Microsoft. Entre ellos se incluye la vulnerabilidad de Word recién reconocida por la compañía y un fallo descubierto en diciembre que afecta a varias ediciones de Windows, Vista incluida. Por su parte, el servicio Zero-Day Tracker, de eEye Digital Security, enumera cinco vulnerabilidades existentes en los productos Microsoft para la que aún no existe protección.
El día 9 de febrero, los investigadores de McAfee anunciaban haber encontrado otro agujero no parcheado en Microsoft Word 2000. Ese mismo día, Microsoft respondía que sus análisis indicaron que tal fallo sólo podía perjudicar al procesador de texto. Se trataba de una vulnerabilidad DDoS (Distributed Denial of Service), considerada una amenaza menor dado que no permite al atacante correr su propio código sobre la máquina de la víctima.
No obstante, Microsoft estaba equivocada, según McAfee. “Nuestros análisis muestran que la vulnerabilidad en cuestión probablemente no se limita a una amenaza de denegación de servicio (DoS) y que, de hecho, abre la puerta a la posibilidad de ejecutar código en remoto”, advertía Craig Schmugar, director de investigación sobre virus de los laboratorios Avert de McAfee.
Finalmente, Microsoft publicaba un aviso de seguridad que venía a dar la razón a Schmugar. En él admitía que el fallo en Word 2000 y Word 2002 podía ser aprovechado para “corromper la memoria del sistema de manera que un atacante pudiera ejecutar código arbitrario”. La compañía tiene intención de publicar un parche para el problema, pero aún no ha determinado cuándo estará disponible. La próxima actualización mensual de seguridad del fabricante no aparecerá hasta el próximo 13 de abril.
En cualquier caso, diversas organizaciones de seguridad aseguran que Microsoft todavía tiene numerosos problemas por resolver en este aspecto. Por ejemplo, Internet Storm Center, de SANS Institute, ha elaborado un listado con siete agujeros aún no parcheados por Microsoft. Entre ellos se incluye la vulnerabilidad de Word recién reconocida por la compañía y un fallo descubierto en diciembre que afecta a varias ediciones de Windows, Vista incluida. Por su parte, el servicio Zero-Day Tracker, de eEye Digital Security, enumera cinco vulnerabilidades existentes en los productos Microsoft para la que aún no existe protección.
