Inicio » Fallas de seguridad en Microsoft Word permitían ejecutar códigos de forma remota
Seguridad

Fallas de seguridad en Microsoft Word permitían ejecutar códigos de forma remota

Durante enero y marzo, Microsoft parchó distintas y graves fallas de seguridad del tipo ‘use-after-free’ (UAF) en Word. Estas permitían a un atacante acceder a la memoria del computador después de que ha sido liberada.

Un problema UAF puede causar la falla de un programa, permitir la ejecución de código arbitrario o incluso habilitar la ejecución de código remoto completo. Y todas estas fueron advertidas a Microsoft por ‘FortiGuard Labs’ de Fortinet, una empresa de ciberseguridad.

Vulnerabilidades en Word

Fue esta compañía quien desclasificó la información, indicando que los problemas afectaban a las versiones 2007 en adelante de este software para procesamiento de texto.

El primero de ellos, clasificado como CVE-2018-0922, ocurría cuando Word intenta analizar un archivo RTF mal formado. Con un archivo RTF específicamente diseñado, que incluye una palabra de control falsa “listoverride”, se lleva a una confusión que permite que un atacante remoto pudiera aprovechar esta vulnerabilidad para ejecutar código arbitrario en el contexto del usuario actual.

Fallas de seguridad en Microsoft Word permitían ejecutar códigos de forma remota
Microsoft publicó respecto a las vulnerabilidades y sus parches.

La segunda (CVE-2018-0797) también se ejecutaba a través de un archivo RTF mal formado. Ahí las palabras de control permitían ejecutar código arbitrario en el contexto del usuario actual.

Esta última vulnerabilidad fue catalogada como crítica, ya que era muy probable que sea explotable.

Las actualizaciones a estas fallas, son parte de los más recientes parches que Microsoft puso a disposición en sus versiones de Word. Por lo mismo se recomienda mantener actualizados los programas de Office.

Noticias relacionadas

Facebook admite que no protegió millones de contraseñas, incluyendo a Instagram

Javier Troncoso

Expertos explican como ‘hackean’ a través de una Smart TV

Equipo OhMyGeek!

Desbloqueo facial del Galaxy S10 puede activarse con un rostro falso

Equipo OhMyGeek!

Sitios porno sufrieron el doble de ataques cibercriminales en 2018

Equipo OhMyGeek!

Envían falsos correos con “estilo WeTransfer” para robarte información

Equipo OhMyGeek!

Apple desactiva las llamadas grupales de FaceTime por tremenda falla de seguridad

Felipe Ovalle

1 comentario

Deja un comentario


Send this to a friend