Funciones no seguras de Office XP Web Components

Seleccione idioma Seleccione idioma
Id. de artículo: 328130 - Ver los productos a los que se aplica este artículo
Este artículo se ha archivado. Se ofrece "tal cual" y no se volverá a actualizar.
Expandir todo | Contraer todo

En esta página

Resumen

Office Web Components contener varios controles de ActiveX que proporcionan funcionalidad limitada de los usuarios de Microsoft Office en un explorador Web sin necesidad de la instalación de usuario el programa de Microsoft Office completo. Esta funcionalidad permite a los usuarios utilizar programas de Microsoft Office en situaciones donde la instalación del programa completo es imposible o no deseados.

El control contiene tres vulnerabilidades de seguridad, cada uno de los cuales podría ser aprovechada por medio de un sitio Web o de correo HTML. El resultado de las vulnerabilidades debido de errores de implementación en los siguientes métodos y funciones que exponen los controles:
  • Host() - por diseño, esta función proporciona el llamador con acceso a modelos de objetos de programa en el sistema del usuario. Mediante la función de Host(), un atacante podría, por ejemplo, abra un programa de Office en el sistema del usuario y invocar hay comandos que podrían llevar a cabo comandos del sistema operativo como el usuario.
  • LoadText() - este método permite que una página Web para cargar texto en una ventana del explorador. Este método comprueba que el origen del texto está en el mismo dominio que la ventana y, en teoría restringe la página para cargar sólo texto que aloja propio. Sin embargo, es posible eludir esta restricción por especificar un origen de texto ubicado en dominio de la página Web y después por configurar una redirección de lado del servidor de ese texto a un archivo en el sistema del usuario. Esto proporcionaría un atacante una manera de leer cualquier archivo deseen en el sistema del usuario.
  • Copy() / Paste() - estos métodos permiten copiar y pegar texto. Una vulnerabilidad de seguridad porque el método no respeta la configuración de seguridad "disallow Pegar a través de la secuencia de comandos" en Microsoft Internet Explorer. Por lo tanto, incluso si esta configuración se había seleccionada, es posible que sigue una página Web tener acceso el búfer de copia y lea cualquier texto que el usuario copia o elimina de otros programas.

Más información

Para obtener más información acerca de estas vulnerabilidades, visite el siguiente sitio Web de Microsoft:
http://www.microsoft.com/technet/security/bulletin/MS02-044.mspx
El "bit de interrupción" es un método por el que un control ActiveX puede evitarse de alguna vez invocado por significa que Internet Explorer, incluso si está presente en el sistema. Para obtener información adicional, haga clic en el número de artículo siguiente para ver el artículo en Microsoft Knowledge Base:
240797Cómo detener la ejecución de un control ActiveX en Internet Explorer
Normalmente, cuando una vulnerabilidad de seguridad implica un control ActiveX, la revisión proporciona un control nuevo y establece el "bit de eliminación" en el control vulnerable. Sin embargo, esta revisión no establece el "bit de eliminación" porque el control de ActiveX implicado en estas vulnerabilidades se utiliza en páginas Web generadas por programas de Office para tener acceso a datos. Muchos programas, que incluyen los programas de terceros, contienen rígida referencias a él; si la revisión de seguridad establecen el "bit de interrupción", las páginas Web se dejarán de funcionar en absoluto - incluso con la versión nueva, corregida. Como resultado, la revisión actualiza el control de quitar las vulnerabilidades, pero no proporcionan un control nuevo y configurar el "bit de interrupción" en el antiguo.

Office XP

Si utiliza Office XP, aplicar Office XP Service Pack 2 (SP-2) para resolver estas vulnerabilidades. Además de tratar estos problemas, incluye muchas otras revisiones de seguridad y estabilidad importantes. Para obtener información adicional, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
325671OFFXP: Introducción A Office XP Service Pack 2
Nota : si no se puede aplicar Office XP SP-2 en este momento, aplicar la versión actualizada de Office Web Components.

Actualización de Project 2002

Si utiliza Project 2002, aplique la revisión de Project 2002. Para obtener información adicional, haga clic en el número de artículo siguiente para ver el artículo en Microsoft Knowledge Base:
328043Actualización de PRJ2002: Microsoft Project 2002: 20 de agosto de 2002
Nota : revisión de la Project 2002 no está incluida en Office XP SP-2. Por lo tanto, si utiliza Office XP y Project 2002, aplicar la revisión de Project 2002 y Office XP SP-2.

Project Server 2002 (actualización)

Si utiliza Project Server 2002, aplique la revisión para Project Server 2002. Para obtener información adicional, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
328044Actualización de Microsoft Project Server 2002: 20 de agosto de 2002
Nota : Project Server 2002 la revisión no está incluido en Office XP SP-2. Por lo tanto, si utiliza Office XP y Project Server 2002, aplicar la revisión de Project Server 2002 y Office XP SP-2.

Office Web Components

Si utiliza Office Web Components, aplicar Office Web Components revisión. Para obtener información adicional, haga clic en el número de artículo siguiente para ver el artículo en Microsoft Knowledge Base:
322382Actualización de seguridad de Office Web Components OFF:: 20 de agosto de 2002

Propiedades

Id. de artículo: 328130 - Última revisión: miércoles, 26 de febrero de 2014 - Versión: 4.9
La información de este artículo se refiere a:
  • Microsoft Office XP Web Components
  • Microsoft Office Spreadsheet Component 9.0
  • Microsoft Office Chart Component 9.0
  • Microsoft Office PivotTable Component 9.0
  • Microsoft Office XP Professional Edition
  • Microsoft Office XP Professional with FrontPage
  • Microsoft Office XP Standard Edition
  • Microsoft Project Standard 2002
  • Microsoft Project 2002 Professional
  • Microsoft Project Server 2002
  • Microsoft Internet Security and Acceleration Server 2000 Standard Edition
Palabras clave: 
kbnosurvey kbarchive kbmt kbproductlink kbfunctions kbhowto kbinfo kbofficexpsp2fix kbsecbulletin kbsecurity kbsecvulnerability KB328130 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 328130

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com