Microsoft informa de un agujero de seguridad en Excel

Microsoft ha hecho pública una grave vulnerabilidad en algunas versiones de Excel, que podrían llevar a la ejecución remota de código.De acuerdo con el aviso, los usuarios de Excel 2007 (con o sin Service Pack 1), Excel 2003 con Service Pack 3 y el nuevo Excel 2008 para Mac, no son vulnerables.

Tampoco son afectados quienes utilicen Microsoft Office Excel 2003 Service Pack 2 y hayan instalado la herramienta denominada MOICE (Microsoft Office Isolated Conversion Environment), o Entorno aislado de conversión de Microsoft Office.

MOICE es un programa que permite la conversión automática de archivos creados en versiones antiguas de Office, a la última versión, eliminando las posibles vulnerabilidades, y quitando macros y código en VBScript.

En cambio, todas las versiones anteriores de Microsoft Excel serían vulnerables.

Microsoft parece haber descubierto el fallo, a partir de reportes de ataques dirigidos contra sus clientes.

Actualmente no existe un parche de seguridad para esta vulnerabilidad, pero Microsoft anuncia que se tomarán las medidas necesarias para corregir el problema a la brevedad.

Los ataques han sido muy limitados y sus detalles no han sido revelados, por lo que la empresa no planea alguna actualización urgente, al menos hasta que el problema haya sido estudiado a fondo y se hayan aislado todos los vectores posibles para explotarlo.

Mientras tanto, se recomienda no aceptar documentos relacionados con Excel de fuentes no conocidas, o que no hayan sido expresamente solicitados.

Más información:

Microsoft Security Advisory (947563)
Vulnerability in Microsoft Excel Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/advisory/947563.mspx

Documento informativo sobre seguridad (937696)
Lanzamiento de Entorno aislado de conversión de Microsoft Office (MOICE) y funcionalidad Bloqueo de archivos para Microsoft Office
http://www.microsoft.com/spain/technet/security/advisory/937696.mspx

~ por sematove en Enero 17, 2008.