Microsoft ha lanzado la versión de Office 2011 con la actualización 14.4.9 para OS X. Esta actualización es válida para sistemas OS X desde la versión 10.5.8 hasta la versión 10.10.3 de Yosemite. Estas actualizaciones de seguridad resuelven un total de 5 vulnerabilidades críticas de Microsoft Office que podrían permitir a un atacante ejecutar de forma remota código. Esta actualización de Office 2011 para Mac afecta a todas las aplicaciones de la suite, es decir, Word, Outlook, Office, Office Web Apps Server y Word Automation Services Microsoft Sharepoint Server 2013.
Hay que tener en cuenta que la vulnerabilidad más grave podría permitir ejecutar código arbitrario a un atacante abriendo un archivo de Microsoft Office creado de forma maliciosa con tal fin. Un atacante que aprovechase dicha vulnerabilidad ejecutaría el código en el contexto del usuario actual del sistema que ejecutase dicho fichero. De este modo, si el usuario tiene configurado su cuenta con pocos derechos o privilegios en el sistema, se correría menor riesgo ante esta situación. Hay que tener en cuenta que existen exploits como por ejemplo Rootpipe que puede permitir escalar privilegios en sistemas OS X.
Hay que tener en cuenta que la vulnerabilidad más grave podría permitir ejecutar código arbitrario a un atacante abriendo un archivo de Microsoft Office creado de forma maliciosa con tal fin. Un atacante que aprovechase dicha vulnerabilidad ejecutaría el código en el contexto del usuario actual del sistema que ejecutase dicho fichero. De este modo, si el usuario tiene configurado su cuenta con pocos derechos o privilegios en el sistema, se correría menor riesgo ante esta situación. Hay que tener en cuenta que existen exploits como por ejemplo Rootpipe que puede permitir escalar privilegios en sistemas OS X.
Figura 1: Actualización de Office 2011 para Mac |
A continuación se pueden leer los diferentes CVE que son parcheados con esta actualización:
- CVE-2015-1639. Esta vulnerabilidad afecta a Outlook y es provocada por una gestión errónea en las cadenas HTML. Un atacante puede aprovechar esta vulnerabilidad para leer el contenido para el que no está autorizado.
- CVE-2015-1641. Microsoft Office tiene un fallo al gestionar el formato de texto enriquecido y puede provocar la ejecución de código arbitrario.
- CVE-2015-1649, CVE-2015-1650, CVE-2015-1651. Ejecución de código arbitrario por una mala gestión en el manejo de los ficheros, pudiéndose crear un archivo malicioso que provoque dicha ejecución arbitraria por parte de un atacante.
Se recomienda a todos los usuarios de Microsoft Office para Mac 2011 que actualicen cuanto antes. Los usuarios de esta herramienta pueden actualizarla a través de la herramienta actualización de Microsoft.
No hay comentarios:
Publicar un comentario