El lote de patches de seguridad de Microsoft no soluciona la brecha de Excel

10 Mar 2009 en Seguridad

En este “martes de patches” no estará uno que solucione el problema de seguridad que representa una brecha en Excel. Esta brecha deja a los usuarios expuestos al compromiso de todos sus sistemas si abren o incluso guardan sin abrir, un archivo Excel “envenenado.”
La situación es seria. En el momento en que el Malware Protection Center de Microsoft liberó su alerta de seguridad en febrero 24,
tanto la gente de Microsoft  como otras firmas de seguridad detectaron ataques “zero-day” explotando la falla.
Microsoft lanzó de inmediato una actualización a sus scanners de seguridad Forefront Client Security, a Windows Live OneCare. Pero la gente de Microsoft admitió que esas actualizaciones no representaban una cura completa al problema.
Aclarado que los patches de hoy no cubren la vulnerabilidad de Excel, tenemos que serán tres los otros arreglos, todos para Windows. Uno para prohibir la ejecución remota de código y considerado crítico; mientras que los otros dos son importantes y orientados a evitar ataques spoofing.
La brecha en Excel fue descubierta por Symantec y permitiría maniobras de phishing a grupos selectos de víctimas. De hecho, Microsoft reconoce en su parte que se produjeron “ataques limitados y enfocados.”
Los usuarios pueden verse afectados si utilizan Excel desde su 2000 Service Pack 3, hasta Excel 2007 SP1, además de Excel Viewer. Excel 2004 y 2008 para Apple Mac, también están expuestos a riesgo.
Microsoft recomienda no abrir archivos excel procedentes de fuentes no confiables. Además de estas medidas de sentido común, se recomienda a usuarios de Office 2003 y 2007 que instalen MOICE (Microsoft Office Isolated Conversion Environment) con el objeto de crear un cierto aislamiento para el eventual ataque.
Una vez que la gente de Microsoft tenga definido cuál es el problema y diseñe un arreglo, podría haber un patch fuera de ciclo para corregir a Excel.