ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN.

Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.

KLA10981
Múltiples vulnerabilidades en Microsoft Office
Actualizado: 07/05/2018
Fecha de detección
?
03/14/2017
Nivel de gravedad
?
Crítica
Descripción

Se han encontrado múltiples vulnerabilidades graves en Microsoft Office. Los usuarios malintencionados pueden explotar estas vulnerabilidades para causar una denegación de servicio, obtener privilegios, obtener información confidencial y ejecutar código arbitrario.

A continuación hay una lista completa de vulnerabilidades:

  1. Una desinfección inadecuada de una solicitud web especialmente diseñada para un servidor de SharePoint afectado se puede explotar de forma remota para obtener privilegios;
  2. Una validación de certificado incorrecta en Lync para Mac 2011 se puede explotar de forma remota para eludir las restricciones de seguridad;
  3. Las vulnerabilidades de corrupción de memoria se pueden explotar de forma remota a través de un archivo o sitio web especialmente diseñado para ejecutar código arbitrario en el contexto del usuario actual;
  4. Una divulgación inadecuada de los contenidos de la memoria puede explotarse remotamente a través de un documento especialmente diseñado para obtener información sensible;
  5. Una vulnerabilidad desconocida puede explotarse remotamente a través de un archivo especialmente diseñado para causar una denegación de servicio;
  6. Una lectura fuera de límites debido a una variable no inicializada se puede explotar de forma remota a través de un archivo especialmente diseñado para obtener información confidencial.

Detalles técnicos

La vulnerabilidad (1) puede ser explotada por un atacante autenticado;

La explotación de la vulnerabilidad (2) requiere interceptar y alterar el tráfico de la red.

Existen vulnerabilidades (3) debido a la manipulación incorrecta de objetos en la memoria.

En caso de vulnerabilidades (3), puede utilizar la política de bloqueo de Microsoft Office para evitar la apertura de documentos RTF de fuentes desconocidas o no confiables.

Para explotar la vulnerabilidad (4), un atacante debe conocer la ubicación de la dirección de la memoria, donde se ha creado el objeto.

Productos afectados

Microsoft Office 2007
Microsoft Office 2010
Microsoft Office 2013
Microsoft Office 2013RT
Microsoft Office 2016
Microsoft Office para Mac 2011
Microsoft Office 2016 para Mac
Paquete de compatibilidad de Microsoft Office Service Pack 3

Solución

Instale las actualizaciones necesarias de la sección KB, que se enumeran en su Actualización de Windows (normalmente se puede acceder a la Actualización de Windows desde el Panel de control)

Notas informativas originales

MS17-014

Impactos
?
ACE 
[?]

OSI 
[?]

SB 
[?]

PE 
[?]

DoS 
[?]
Productos relacionados
Microsoft Word
Microsoft Sharepoint Server
Microsoft Office Professional Plus 2010
Microsoft Office PowerPoint
Microsoft Office Compatibility Pack for Word, Excel, and PowerPoint 2007 File Formats
Microsoft Excel
CVE-IDS
?

CVE-2017-0129
CVE-2017-0108
CVE-2017-0107
CVE-2017-0105
CVE-2017-0073
CVE-2017-0060
CVE-2017-0053
CVE-2017-0052
CVE-2017-0031
CVE-2017-0030
CVE-2017-0029
CVE-2017-0027
CVE-2017-0020
CVE-2017-0019
CVE-2017-0014
CVE-2017-0006

Notas informativas oficiales de Microsoft
MS17-014
Listado KB

3178676
3178683
3178686
3178690
3178687
3172542
3172464
3178673
3178674
3198809
3178677
3178682
3178680
3178694
3178690
3212218
3178678
3178685
3178684
3172431
3178689
3172457
3172540
4012487
4010304
4010300
3178656
3172539
3127958
3178693
3141535
4010301
3178688
4010303
3178653
3127945
4010299


Enlace al original