Un hacker descubre una segunda brecha en Excel
Cuando los desarrolladores de Microsoft todavía trabajan para parchear el agujero de seguridad en Excel descubierto hace unos días, un hacker ha creado un código que explota una segunda vulnerabilidad del mismo software.
Portavoces de Microsoft han dicho que el código todavía no está siendo utilizado en ataques, pero, según Marc Maiffret, Chief Hacking Officer de la firma de seguridad eEye Digital Security, con él es posible correr programas no autorizados sobre un PC.
El éxito de los ataques para explotar ambas vulnerabilidades exige que los usuarios colaboren abriendo documentos Excel con el código hacker, pero el ahora descubierto es menos crítico que el primero. La diferencia radica en que en este caso los usuarios deben además dar un paso adicional pulsando un hyperlink manipulado para el ataque. En Excel 2003, también es necesario que los usuarios hagan caso omiso a una ventana pop-up de advertencia antes de que el código malicioso pueda correr.
Microsoft ha publicado sugerencias sobre algunas medidas transitorias para evitar daños relacionados con la primera brecha hasta que el parche definitivo esté listo, pero de momento ha dicho poco respecto a la segunda. Simplemente, asegura estar investigando los informes al respecto.
Lo cierto es que a medida en que Microsoft va cubriendo los fallos de su sistema operativo y de su software de navegador con sus sucesivas actualizaciones de parches, los hackers parecen estar buscando nuevas áreas de ataque; en concreto, las aplicaciones cliente. Office parece ser uno de los principales objetivos. Además, la semana pasada la compañía parcheo un agujero igualmente crítico en Word, y Office y Outlook Express aparecen ya en la lista de las principales fuentes de agujeros de seguridad Internet de SANS Institute (http://www.sans.org/top20)
El éxito de los ataques para explotar ambas vulnerabilidades exige que los usuarios colaboren abriendo documentos Excel con el código hacker, pero el ahora descubierto es menos crítico que el primero. La diferencia radica en que en este caso los usuarios deben además dar un paso adicional pulsando un hyperlink manipulado para el ataque. En Excel 2003, también es necesario que los usuarios hagan caso omiso a una ventana pop-up de advertencia antes de que el código malicioso pueda correr.
Microsoft ha publicado sugerencias sobre algunas medidas transitorias para evitar daños relacionados con la primera brecha hasta que el parche definitivo esté listo, pero de momento ha dicho poco respecto a la segunda. Simplemente, asegura estar investigando los informes al respecto.
Lo cierto es que a medida en que Microsoft va cubriendo los fallos de su sistema operativo y de su software de navegador con sus sucesivas actualizaciones de parches, los hackers parecen estar buscando nuevas áreas de ataque; en concreto, las aplicaciones cliente. Office parece ser uno de los principales objetivos. Además, la semana pasada la compañía parcheo un agujero igualmente crítico en Word, y Office y Outlook Express aparecen ya en la lista de las principales fuentes de agujeros de seguridad Internet de SANS Institute (http://www.sans.org/top20)
