Seguridad

Fallas de seguridad en Microsoft Word permitían ejecutar códigos de forma remota

Durante enero y marzo, Microsoft parchó distintas y graves fallas de seguridad del tipo ‘use-after-free’ (UAF) en Word. Estas permitían a un atacante acceder a la memoria del computador después de que ha sido liberada.

Un problema UAF puede causar la falla de un programa, permitir la ejecución de código arbitrario o incluso habilitar la ejecución de código remoto completo. Y todas estas fueron advertidas a Microsoft por ‘FortiGuard Labs’ de Fortinet, una empresa de ciberseguridad.

Publicidad

Vulnerabilidades en Word

Fue esta compañía quien desclasificó la información, indicando que los problemas afectaban a las versiones 2007 en adelante de este software para procesamiento de texto.

El primero de ellos, clasificado como CVE-2018-0922, ocurría cuando Word intenta analizar un archivo RTF mal formado. Con un archivo RTF específicamente diseñado, que incluye una palabra de control falsa “listoverride”, se lleva a una confusión que permite que un atacante remoto pudiera aprovechar esta vulnerabilidad para ejecutar código arbitrario en el contexto del usuario actual.

Fallas de seguridad en Microsoft Word permitían ejecutar códigos de forma remota
Microsoft publicó respecto a las vulnerabilidades y sus parches.

La segunda (CVE-2018-0797) también se ejecutaba a través de un archivo RTF mal formado. Ahí las palabras de control permitían ejecutar código arbitrario en el contexto del usuario actual.

Esta última vulnerabilidad fue catalogada como crítica, ya que era muy probable que sea explotable.

Las actualizaciones a estas fallas, son parte de los más recientes parches que Microsoft puso a disposición en sus versiones de Word. Por lo mismo se recomienda mantener actualizados los programas de Office.

Noticias relacionadas

¿Cómo saber si mis datos fueron filtrados por culpa de un hackeo?

Miles de Apps en Android quitan información sobre menores de edad

Estos son las estafas más usadas en WhatsApp en el último tiempo

Revelan los trucos más usados para ingresar a tu celular fraudulentamente

Una vez más advierten de falsos correos ‘phishing’ con multas de tránsito

VEVO y YouTube responden por hackeo a cuentas de artistas famosos