Advierten sobre brecha de seguridad en Microsoft Excel

19 Jun 2006 en Seguridad

De acuerdo a información emitida por US-CERT, una vulnerabilidad no corregida aún en Excel de Microsoft podría poner en riesgo a los datos contenidos en las planillas de cálculo.
Esta vulnerabilidad tipo zero-day afecta a Microsoft Excel 2003, a Excel XP 2002 y a los productos Excel for Mac.
Mediante un archivo Excel maliciosamente diseñado, un atacante podría ganar control de la PC del usuario. El archivo aparece como adjunto de e-mails, en downloads de ciertos sitios Web o bien mediante otros documentos Microsoft Office en los que pueda embeberse o incrustarse un archivo Excel.
La firma de seguridad Secunia ha calificado a esta vulnerabilidad como de “extremadamente crítica.” Por otra parte, Symantec explicó en un comunicado que la vulnerabilidad ya está siendo explotada y se utiliza a un software de los conocidos como Caballos de Troya como vector de ataque para esta brecha.
“Se trata de Trojan.Mdropper.J, que es un caballo Troyano que descarga a Downloader.Booli.A en la computadora afectada. Explota a una vulnerabilidad no documentada en Microsoft Excel,” reza el comunicado de Symantec.
Según Mike Reavey, de Security Response Center de Microsoft (MSRC), comentó en su blog que hasta el sábado pasado Microsoft sólo había recibido el informe de un usuario que había sido atacado. De todos modos, Microsoft aconsejó que los usuarios sean muy cautelosos antes de abrir adjuntos que provienen de fuentes tanto conocidas, como desconocidas.
Hasta ayer lunes 19 al mediodía, no se conocía la disponibilidad de alguna solución al problema de parte de Microsoft. “MRSC, y el team SWI han identificado algunas maniobras que pueden realizarse para detener al ataque,” escribió Reavey en su blog el sábado pasado. “Pero también estamos concientes de que esas maniobras pueden impactar en la usabilidad de Excel. Debido a lo que han experimentado algunos clientes con recientes maniobras para Word, quisiéramos tomarnos algo más de tiempo para determinar cuáles son nuestras recomendaciones.”
Recordemos que la semana pasada Microsoft emitió patches para la aplicación Word.