MS02-059: Un error en campos de Word y en actualizaciones externas de Excel puede dar lugar a la revelación de información

Seleccione idioma Seleccione idioma
Id. de artículo: 330008 - Ver los productos a los que se aplica este artículo
Este artículo se ha archivado. Se ofrece "tal cual" y no se volverá a actualizar.
Expandir todo | Contraer todo

En esta página

Síntomas

Word y Excel ofrecen un mecanismo por el cual se pueden insertar datos de un documento en otro y actualizarse en él. Este mecanismo, conocido como códigos de campo en Word y actualizaciones externas en Excel, puede automatizarse para facilitar el trabajo al usuario. Por ejemplo, pueden utilizarse códigos de campo de Word para insertar automáticamente un párrafo estándar de renuncia en un documento legal. Las actualizaciones externas de Excel pueden utilizarse para actualizar automáticamente un gráfico de una hoja de cálculo utilizando datos de otra hoja de cálculo diferente.

Sin embargo, es posible utilizar malintencionadamente códigos de campo y actualizaciones externas para robar información a un usuario. Algunos sucesos pueden desencadenar la actualización y externa y la actualización del código de campo: por ejemplo, cuando el usuario guarda un documento o actualiza manualmente los vínculos. Normalmente, el usuario se da cuenta de estas actualizaciones cuando se producen. Sin embargo, podría utilizarse una actualización externa o un código de campo especialmente elaborado para desencadenar una actualización sin ninguna indicación por parte del usuario. Esto puede permitir que un atacante cree un documento que, cuando se abra, se actualice a sí mismo para incluir el contenido de un archivo del equipo local del usuario.

Para que un atacante pueda explotar esta vulnerabilidad, tiene que:
  1. Crear un documento de Word o de Excel que explote la vulnerabilidad.
  2. Entregarlo al usuario por correo electrónico o mediante algún otro método.
  3. Convencer al usuario para que abra el documento.
Después, normalmente el usuario debe devolver al documento al atacante para que el ataque tenga éxito.

Sin embargo, Microsoft conoce un caso en el que incluso no es necesario que el usuario haga eso. Según el método empleado en este caso, el documento del atacante puede publicar información directamente en un sitio Web, aunque sólo permite el envío de la primera línea del archivo.

Solución

Word 2002

Si utiliza Word 2002, aplique la revisión para Word 2002. Para obtener información adicional, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
329748 WD2002: Introducción a la actualización de Word 2002: 16 de octubre de 2002

Excel 2002

Si utiliza Excel 2002, aplique la revisión para Excel 2002. Para obtener información adicional, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
329750 XL2002: Introducción a la actualización del Service Pack 2 de Excel 2002: 16 de octubre de 2002

Word 2000

Si utiliza Word 2000, aplique la revisión para Word 2000. Para obtener información adicional, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
329749 WD2000: Introducción a la actualización del Service Release 1 de Word 2000: 16 de octubre de 2002

Word 97 y la versión japonesa de Word 98 para Windows

Si utiliza Word 97 o la versión japonesa de Word 98 para Windows, aplique la revisión para Word 97 y para la versión japonesa de Word 98 para Windows. Para obtener información adicional, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
330080 WD97: Word 97 es vulnerable a problemas de seguridad documentados en la actualización de Word 2002: 16 de octubre de 2002

Word X para Mac, Word 2001 para Macintosh, Word 98 Macintosh Edition

Para obtener información acerca de cómo obtener revisiones para las versiones para Macintosh de Microsoft Word, visite el siguiente sitio Web de Microsoft en:
http://www.microsoft.com/spain/mac/download/

Estado

Microsoft ha confirmado que se trata de un problema que puede causar un cierto grado de vulnerabilidad de la seguridad en los productos de Microsoft enumerados en la sección "La información de este artículo se refiere a:" de este artículo

Más información

Para obtener más información acerca de estas vulnerabilidades, visite el siguiente sitio Web de Microsoft:
http://www.microsoft.com/spain/mac/download/

Propiedades

Id. de artículo: 330008 - Última revisión: jueves, 27 de febrero de 2014 - Versión: 6.6
La información de este artículo se refiere a:
  • Microsoft Excel 2002 Standard Edition
  • Microsoft Word 2002 Standard Edition
  • Microsoft Word 2000 Standard Edition
  • Microsoft Word 97 Standard Edition
  • Microsoft Word X para Macintosh
  • Microsoft Word 2001 para Macintosh
  • Microsoft Word 98 para Macintosh
  • Microsoft Word 98 Standard Edition
Palabras clave: 
kbnosurvey kbarchive kbqfe kbhotfixserver kbbug kbfix kbofficexppresp2fix kbsecbulletin kbsecurity kbsecvulnerability KB330008

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com