MS03-037: Un error en Visual Basic para Aplicaciones podría permitir la ejecución arbitraria de código

Id. de artículo: 822715 - Ver los productos a los que se aplica este artículo
La información de este artículo afecta a los productos enumerados en la sección "La información de este artículo se refiere a
(http://support.microsoft.com/?id=822715#appliesto)
" de este artículo.
Expandir todo | Contraer todo

En esta página

Síntomas

Microsoft Visual Basic para Aplicaciones (VBA) está basado en el sistema de desarrollo Microsoft Visual Basic. Los productos de Microsoft Office incluyen VBA y lo utilizan para realizar determinadas funciones. Puede utilizar VBA para crear programas personalizados basados en un programa host existente.

Existe una deficiencia en la forma en que VBA comprueba las propiedades de los documentos que se le pasan cuando el programa host abre un documento. Se produce un desbordamiento de búfer que, aprovechado con éxito, puede permitir que un atacante ejecute el código que desee en el contexto del usuario que inició la sesión.

Para que un ataque de este tipo tenga éxito, el usuario que inició la sesión tendría que abrir un documento especialmente elaborado para este fin y enviado por el atacante. Dicho documento podría ser cualquier tipo de documento compatible con VBA, como un documento de Microsoft Word, una hoja de cálculo de Microsoft Excel o una presentación de Microsoft PowerPoint. Si Word es el editor predeterminado de correo electrónico HTML para Microsoft Outlook, este documento podría ser un mensaje de correo electrónico. Sin embargo, el usuario que ha iniciado sesión debe responder o reenviar el mensaje de correo electrónico malintencionado para que la vulnerabilidad pueda aprovecharse.

Factores atenuantes
  • El usuario que ha iniciado la sesión debe abrir el documento que reciba del atacante para que éste se aproveche de la vulnerabilidad.
  • Si se está utilizando Word como editor de correo electrónico HTML en Outlook, el usuario debe responder o reenviar un mensaje malintencionado enviado por el atacante para que se pueda aprovechar esta vulnerabilidad.
  • El código de un atacante sólo puede ejecutarse con los mismos derechos que posee el usuario que ha iniciado la sesión. Por tanto, los privilegios que el atacante podría obtener a través de este ataque dependerán de los privilegios con los que cuente el usuario que ha iniciado la sesión. Todas las limitaciones de la cuenta del usuario que ha iniciado sesión, como las que se aplican mediante directivas de grupo, también limitarían las acciones de cualquier código arbitrario ejecutado a causa de esta vulnerabilidad.
Volver al principio | Enviar comentarios

Solución

Información de la revisión de seguridad

Información de descarga e instalación

Si está utilizando alguno de los programas siguientes, debe aplicar la versión para VBA de esta revisión:
  • Microsoft VBA 5.0
  • Microsoft VBA 6.0
  • Microsoft VBA 6.2
  • Microsoft VBA 6.3
  • Microsoft Access 97
  • Microsoft Excel 97
  • Microsoft PowerPoint 97
  • Microsoft Word 97
  • Microsoft Word 98(J)
  • Microsoft Works 2001
  • Microsoft Works 2002
  • Microsoft Works Suite 2003
  • Microsoft Business Solutions Great Plains 7.5
  • Microsoft Business Solutions Great Plains 7.0
  • Microsoft Business Solutions Great Plains 6.0
  • Microsoft Business Solutions Solomon IV 4.5
  • Microsoft Business Solutions Solomon IV 5.0
  • Microsoft Business Solutions Solomon IV 5.5
Para obtener información adicional acerca de la revisión para Microsoft VBA, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
822150
(http://support.microsoft.com/kb/822150/ )
VBASDK: Disponibilidad de la actualización de seguridad MS03-037 para Microsoft Visual Basic para Aplicaciones (VBA)
Si utiliza alguno de los siguientes programas, debería aplicar la versión específica de la revisión para dichos productos.
  • Microsoft Project 2000
  • Microsoft Project 2002
  • Microsoft Visio 2002
Para obtener información adicional acerca de estas revisiones de seguridad, haga clic en los números de artículo siguientes para verlos en Microsoft Knowledge Base:
822211
(http://support.microsoft.com/kb/822211/ )
Introducción a la revisión de seguridad de Microsoft Project 2002: 3 de septiembre de 2003
822478
(http://support.microsoft.com/kb/822478/ )
Introducción a la revisión de seguridad de Microsoft Project 2000: 3 de septiembre de 2003
822212
(http://support.microsoft.com/kb/822212/ )
Introducción a la revisión de seguridad de Visio 2002: 3 de septiembre de 2003
Si utiliza alguno de los siguientes programas, debería aplicar la versión específica de la revisión para dichos productos.
  • Microsoft Office 2000
  • Microsoft Office XP (con Microsoft Publisher 2002)
Para obtener información adicional acerca de estas revisiones de seguridad, haga clic en los números de artículo siguientes para verlos en Microsoft Knowledge Base:
822036
(http://support.microsoft.com/kb/822036/ )
Introducción a la revisión de seguridad de Office XP: 3 de septiembre de 2003
822035
(http://support.microsoft.com/kb/822035/ )
Introducción a la revisión de seguridad de Office 2000: 3 de septiembre de 2003

Información de la desinstalación

No puede quitar esta revisión.

Información acerca de la sustitución de la revisión

Esta revisión no sustituye a ninguna otra.
Volver al principio | Enviar comentarios

Referencias

Para obtener más información acerca de estas vulnerabilidades, visite el siguiente sitio Web de Microsoft:
http://www.microsoft.com/spain/technet/seguridad/boletines/MS03-037-IT.asp
(http://www.microsoft.com/spain/technet/seguridad/boletines/MS03-037-IT.asp)
Volver al principio | Enviar comentarios

Propiedades

Id. de artículo: 822715 - Última revisión: martes, 04 de diciembre de 2007 - Versión: 3.7
La información de este artículo se refiere a:
  • Microsoft Visual Basic for Applications (VBA) Software Development Kit (SDK) 5.0
  • Microsoft Visual Basic for Applications (VBA) Software Development Kit (SDK) 6.0
  • Microsoft Visual Basic for Applications (VBA) Software Development Kit (SDK) 6.1
  • Microsoft Access 97 Standard Edition
  • Microsoft Access 2000 Standard Edition
  • Microsoft Access 2002 Standard Edition
  • Microsoft Excel 2000 Standard Edition
  • Microsoft Excel 2002 Standard Edition
  • Microsoft Excel 97 Standard Edition
  • Microsoft PowerPoint 2000 Standard Edition
  • Microsoft PowerPoint 2002 Standard Edition
  • Microsoft PowerPoint 97 Standard Edition
  • Microsoft Project 2000 Standard
  • Microsoft Project 2002 Standard
  • Microsoft Publisher 2002 Standard
  • Microsoft Visio 2000 Enterprise Edition
  • Microsoft Visio 2000 Professional Edition
  • Microsoft Visio 2000 Standard Edition
  • Microsoft Visio 2000 Technical Edition
  • Microsoft Visio 2002 Professional Edition
  • Microsoft Visio 2002 Standard Edition
  • Microsoft Word 2000 Standard Edition
  • Microsoft Word 2002 Standard Edition
  • Microsoft Word 97 Standard Edition
  • Microsoft Word 98 Standard Edition
  • Microsoft Works Suite 2001 Standard Edition
  • Microsoft Works Suite 2002 Standard Edition
  • Microsoft Works Suite 2003 Standard Edition
  • Microsoft Office 2000 Premium Edition
  • Microsoft Office 2000 Professional Edition
  • Microsoft Office 2000 Standard Edition
  • Microsoft Office XP Professional Edition
  • Microsoft Office XP Standard Edition
  • Microsoft Business Solutions?Great Plains Human Resources sobre las siguientes plataformas
    • Great Plains Dynamics 6.0
    • Great Plains eEnterprise 6.0
  • Microsoft Great Plains Dynamics 7.0
  • Microsoft Great Plains eEnterprise 7.0
  • Microsoft Business Solutions-Great Plains 7.5
  • Microsoft Business Solutions-Solomon 4.5
  • Microsoft Great Plains Solomon IV 5.0
Palabras clave: 
kbofficexppresp3fix kboffice2000presp4fix kbsecvulnerability kbsecurity kbsecbulletin kbqfe kbfix kbbug KB822715
Volver al principio | Enviar comentarios

Enviar comentarios

 
Volver al principioVolver al principio