Boletín de seguridad de Microsoft MS16-148: crítico

Actualización de seguridad para Microsoft Office (3204068)

Publicado: 13 de diciembre de 2016 | Actualizado: 21 de diciembre de 2016

Versión: 1.1

Resumen ejecutivo

Esta actualización de seguridad resuelve vulnerabilidades en Microsoft Office. La más grave de las vulnerabilidades podría permitir la ejecución remota de código si un usuario abre un archivo de Microsoft Office especialmente diseñado. Un atacante que aprovechara correctamente las vulnerabilidades podría ejecutar código arbitrario en el contexto del usuario actual. Los clientes cuyas cuentas están configuradas para tener menos derechos de usuario en el sistema podrían verse menos afectados que los que operan con derechos de usuario administrativos.

Para obtener más información, consulte la sección Clasificación de gravedad de vulnerabilidad y software afectado.

La actualización de seguridad aborda las vulnerabilidades mediante la corrección de cómo:

  • Microsoft Office inicializa variables.
  • Microsoft Office valida la entrada
  • Microsoft Office vuelve a comprobar los valores del Registro
  • Microsoft Office analiza los formatos de archivo
  • Las versiones afectadas de los componentes de Office y Office controlan objetos en memoria
  • Microsoft Office para Mac Autoupdate valida los paquetes.

Para obtener más información sobre las vulnerabilidades, consulte la sección Información de vulnerabilidades.

Para obtener más información sobre esta actualización, consulte el artículo de Microsoft Knowledge Base 3204068.

Clasificaciones de gravedad de software y vulnerabilidad afectadas

Las siguientes versiones o ediciones de software se ven afectadas. Las versiones o ediciones que no aparecen en la lista son anteriores a su ciclo de vida de soporte técnico o no se ven afectadas. Para determinar el ciclo de vida de soporte técnico de la versión o edición de software, consulte ciclo de vida de Soporte técnico de Microsoft.

Las siguientes clasificaciones de gravedad asumen el posible impacto máximo de la vulnerabilidad. Para obtener información sobre la probabilidad, en un plazo de 30 días a partir de la publicación de este boletín de seguridad, de la vulnerabilidad en relación con su clasificación de gravedad y su impacto en la seguridad, consulte el Índice de vulnerabilidades en el resumen del boletín de diciembre.

Nota Consulte la Guía de actualización de seguridad para obtener un nuevo enfoque para consumir la información de actualización de seguridad. Puede personalizar las vistas y crear hojas de cálculo de software afectadas, así como descargar datos a través de una API restful. Para obtener más información, consulte las preguntas más frecuentes de la Guía de seguridad Novedades. Como recordatorio, la Guía de seguridad Novedades reemplazará los boletines de seguridad a partir de febrero de 2017. Consulte nuestra entrada de blog, Además de nuestro compromiso con las actualizaciones de seguridad, para obtener más detalles.

Software de Microsoft Office (tabla 1 de 2)

Software afectado Vulnerabilidad de omisión de características de seguridad de Microsoft Office: CVE-2016-7262 Vulnerabilidad de divulgación de información de Microsoft Office: CVE-2016-7264 Vulnerabilidad de divulgación de información de Microsoft Office: CVE-2016-7265 Vulnerabilidad de omisión de características de seguridad de Microsoft Office: CVE-2016-7266 Vulnerabilidad de omisión de características de seguridad de Microsoft Office: CVE-2016-7267 Vulnerabilidad de divulgación de información de Microsoft Office: CVE-2016-7268 Novedades reemplazado*
Microsoft Office 2007
Microsoft Excel 2007 Service Pack 3 (3128019) Importanteejecución remota de código Divulgación de información importante Importanteejecución remota de código Importanteejecución remota de código No aplicable No aplicable 3118395 en MS16-133
Microsoft Word 2007 Service Pack 3 (3128025) No aplicable No disponible No disponible No disponible No aplicable Divulgación de información importante 3127949 en MS16-133
Microsoft Office 2010
Microsoft Office 2010 Service Pack 2 (ediciones de 32 bits) (3128032) No aplicable No disponible No disponible No disponible No aplicable Divulgación de información importante 3127951 en MS16-133
Microsoft Office 2010 Service Pack 2 (ediciones de 64 bits) (3128032) No aplicable No disponible No disponible No disponible No aplicable Divulgación de información importante 3127951 en MS16-133
Microsoft Excel 2010 Service Pack 2 (ediciones de 32 bits) (3128037) Importanteejecución remota de código No aplicable Importanteejecución remota de código Importanteejecución remota de código Moderaciónde la omisión de características de seguridad No aplicable 3118390 en MS16-133
Microsoft Excel 2010 Service Pack 2 (ediciones de 64 bits) (3128037) Importanteejecución remota de código No aplicable Importanteejecución remota de código Importanteejecución remota de código Moderaciónde la omisión de características de seguridad No aplicable 3118390 en MS16-133
Microsoft Word 2010 Service Pack 2 (ediciones de 32 bits) (3128034) No aplicable No disponible No disponible No disponible No aplicable Divulgación de información importante 3127953 en MS16-133
Microsoft Word 2010 Service Pack 2 (ediciones de 64 bits) (3128034) No aplicable No disponible No disponible No disponible No aplicable Divulgación de información importante 3127953 en MS16-133
Microsoft Office 2013
Microsoft Excel 2013 Service Pack 1 (ediciones de 32 bits) (3128008) Importanteejecución remota de código No aplicable Importanteejecución remota de código Importanteejecución remota de código Moderaciónde la omisión de características de seguridad No aplicable 3127921 en MS16-133
Microsoft Excel 2013 Service Pack 1 (ediciones de 64 bits) (3128008) Importanteejecución remota de código No aplicable Importanteejecución remota de código Importanteejecución remota de código Moderaciónde la omisión de características de seguridad No aplicable 3127921 en MS16-133
Microsoft Office 2013 RT
Microsoft Excel 2013 RT Service Pack 1[1](3128008) Importanteejecución remota de código No aplicable Importanteejecución remota de código Importanteejecución remota de código Moderaciónde la omisión de características de seguridad No aplicable 3127921 en MS16-133
Microsoft Office 2016
Microsoft Excel 2016 (edición de 32 bits) (3128016) Importanteejecución remota de código No aplicable Importanteejecución remota de código Importanteejecución remota de código Moderaciónde la omisión de características de seguridad No aplicable 3127904 en MS16-133
Microsoft Excel 2016 (edición de 64 bits) (3128016) Importanteejecución remota de código No aplicable Importanteejecución remota de código Importanteejecución remota de código Moderaciónde la omisión de características de seguridad No aplicable 3127904 en MS16-133
Otro software de Office
Microsoft Office Compatibility Pack Service Pack 3 (3128022) Importanteejecución remota de código Divulgación de información importante Importanteejecución remota de código Importanteejecución remota de código No aplicable No aplicable 3127889 en MS16-133
Microsoft Office Compatibility Pack Service Pack 3 (3128024) No aplicable No disponible No disponible No disponible No aplicable Divulgación de información importante 3127948 en MS16-133
Visor de Microsoft Excel (3128023) Importanteejecución remota de código Divulgación de información importante Importanteejecución remota de código Importanteejecución remota de código No aplicable No aplicable 3127893 en MS16-133
Microsoft Word Viewer (3128044) No aplicable No disponible No disponible No disponible No aplicable Divulgación de información importante 3127962 en MS16-133

[1]Esta actualización está disponible a través de Windows Update.

*La columna Novedades Reemplazada muestra solo la actualización más reciente en una cadena de actualizaciones reemplazadas. Para obtener una lista completa de las actualizaciones reemplazadas, vaya al Catálogo de Microsoft Update, busque el número de actualización y, a continuación, vea los detalles de la actualización (la información reemplazada de actualizaciones se encuentra en la pestaña Detalles del paquete).

 

Software de Microsoft Office (tabla 2 de 2)

Software afectado Vulnerabilidad de ejecución remota de código uniscribe CVE-2016-7274 Vulnerabilidad de carga lateral de DLL ole de Microsoft Office: CVE-2016-7275 Vulnerabilidad de divulgación de información de Microsoft Office: CVE-2016-7276 Vulnerabilidad de daños en la memoria de Microsoft Office: CVE-2016-7277 Vulnerabilidad de daños en la memoria de Microsoft Office: CVE-2016-7289 Vulnerabilidad de divulgación de información de Microsoft Office: CVE-2016-7290 Vulnerabilidad de divulgación de información de Microsoft Office: CVE-2016-7291 Novedades reemplazado*
Microsoft Office 2007
Microsoft Office 2007 Service Pack 3 (3128020) No aplicable No aplicable Divulgación de información importante No aplicable No disponible No disponible No aplicable 3118396 en MS16-133
Microsoft Office 2007 Service Pack 3 (2883033) Ejecución críticade código remoto No aplicable No disponible No disponible No disponible No disponible No aplicable 2878233 en MS14-036
Microsoft Word 2007 Service Pack 3 (3128025) No aplicable No disponible No disponible No disponible No aplicable Divulgación de información importante Divulgación de información importante 3127949 en MS16-133
Microsoft Office 2010
Microsoft Office 2010 Service Pack 2 (ediciones de 32 bits) (3118380) No aplicable Importanteejecución remota de código Divulgación de información importante No aplicable No disponible No disponible No aplicable 3118309 en MS16-107
Microsoft Office 2010 Service Pack 2 (ediciones de 64 bits) (3118380) No aplicable Importanteejecución remota de código Divulgación de información importante No aplicable No disponible No disponible No aplicable 3118309 en MS16-107
Microsoft Office 2010 Service Pack 2 (ediciones de 32 bits) (3128032) No aplicable No disponible No disponible No disponible No aplicable Divulgación de información importante Divulgación de información importante 3127951 en MS16-133
Microsoft Office 2010 Service Pack 2 (ediciones de 64 bits) (3128032) No aplicable No disponible No disponible No disponible No aplicable Divulgación de información importante Divulgación de información importante 3127951 en MS16-133
Microsoft Office 2010 Service Pack 2 (ediciones de 32 bits) (2889841) Ejecución críticade código remoto No aplicable No disponible No disponible No disponible No disponible No aplicable 2881071 en MS14-036
Microsoft Office 2010 Service Pack 2 (ediciones de 64 bits) (2889841) Ejecución críticade código remoto No aplicable No disponible No disponible No disponible No disponible No aplicable 2881071 en MS14-036
Microsoft Word 2010 Service Pack 2 (ediciones de 32 bits) (3128034) No aplicable No disponible No disponible No disponible No aplicable Divulgación de información importante Divulgación de información importante 3127953 en MS16-133
Microsoft Word 2010 Service Pack 2 (ediciones de 64 bits) (3128034) No aplicable No disponible No disponible No disponible No aplicable Divulgación de información importante Divulgación de información importante 3127953 en MS16-133
Microsoft Publisher 2010 Service Pack 2 (ediciones de 32 bits) (3114395) No aplicable No disponible No disponible No aplicable Importanteejecución remota de código No aplicable No aplicable 2817478 en MS15-116
Microsoft Publisher 2010 Service Pack 2 (ediciones de 64 bits) (3114395) No aplicable No disponible No disponible No aplicable Importanteejecución remota de código No aplicable No aplicable 2817478 en MS15-116
Microsoft Office 2013
Microsoft Office 2013 Service Pack 1 (ediciones de 32 bits) (3127968) No aplicable Importanteejecución remota de código Divulgación de información importante No aplicable No disponible No disponible No aplicable 3118284 en MS16-107
Microsoft Office 2013 Service Pack 1 (ediciones de 64 bits) (3127968) No aplicable Importanteejecución remota de código Divulgación de información importante No aplicable No disponible No disponible No aplicable 3118284 en MS16-107
Microsoft Office 2013 RT
Microsoft Office 2013 RT Service Pack 1[1](3127968) No aplicable Importanteejecución remota de código Divulgación de información importante No aplicable No disponible No disponible No aplicable 3118284 en MS16-107
Microsoft Office 2016
Microsoft Office 2016 (edición de 32 bits) (3127986) No aplicable Importanteejecución remota de código No aplicable No disponible No disponible No disponible No aplicable 3118292 en MS16-107
Microsoft Office 2016 (edición de 64 bits) (3127986) No aplicable Importanteejecución remota de código No aplicable No disponible No disponible No disponible No aplicable 3118292 en MS16-107
Microsoft Office 2016 (edición de 32 bits) [2] No aplicable No disponible No aplicable Importanteejecución remota de código No aplicable No disponible No aplicable None
Microsoft Office 2016 (edición de 64 bits) [2] No aplicable No disponible No aplicable Importanteejecución remota de código No aplicable No disponible No aplicable None
Otro software de Office
Microsoft Office Compatibility Pack Service Pack 3 (3128024) No aplicable No disponible No disponible No disponible No aplicable Divulgación de información importante Divulgación de información importante 3127948 en MS16-133
Microsoft Word Viewer (3128043) No aplicable No aplicable Divulgación de información importante No aplicable No disponible No disponible No aplicable 3118297 en MS16-107
Microsoft Word Viewer (3127995) Ejecución críticade código remoto No aplicable No disponible No disponible No disponible No disponible No aplicable None

[1]Esta actualización está disponible a través de Windows Update.

[2]Esta referencia es solo para la versión Click-to-Run (C2R). Para obtener más información y el número de versión de hacer clic y ejecutar actual, vea Versiones del canal de actualización de cliente de Office 365.

*La columna Novedades Reemplazada muestra solo la actualización más reciente en una cadena de actualizaciones reemplazadas. Para obtener una lista completa de las actualizaciones reemplazadas, vaya al Catálogo de Microsoft Update, busque el número de actualización y, a continuación, vea los detalles de la actualización (la información reemplazada de actualizaciones se encuentra en la pestaña Detalles del paquete).

 

Microsoft Office Software para Mac (tabla 1 de 2)

Software afectado Vulnerabilidad de daños en la memoria de Microsoft Office: CVE-2016-7263 Vulnerabilidad de divulgación de información de Microsoft Office: CVE-2016-7264 Vulnerabilidad de omisión de características de seguridad de Microsoft Office: CVE-2016-7266 Vulnerabilidad de divulgación de información de Microsoft Office: CVE-2016-7268 Vulnerabilidad de elevación de privilegios de Microsoft Office: CVE-2016-7300 Novedades reemplazado*
Microsoft Office para Mac 2011
Microsoft Excel para Mac 2011 (3198808) Importanteejecución remota de código Divulgación de información importante No aplicable No disponible No aplicable 3198807 en MS16-133
Microsoft Word para Mac 2011 (3198808) No aplicable No disponible No aplicable Divulgación de información importante No aplicable 3198807 en MS16-133
Microsoft Office 2016 para Mac
Microsoft Excel 2016 para Mac (3198800) Importanteejecución remota de código Divulgación de información importante Importanteejecución remota de código No aplicable No aplicable 3198798in MS16-133
Otro software de Office para Mac
Microsoft Auto Updater para Mac[1] No aplicable No disponible No disponible No aplicable Elevación importantede privilegios None

[1]Hay disponible una nueva versión de Mac AutoUpdate. Se pedirá a los clientes que actualicen lo que es necesario antes de instalar cualquier otra Office para Mac actualizaciones.

*La columna Novedades Reemplazada muestra solo la actualización más reciente en una cadena de actualizaciones reemplazadas. Para obtener una lista completa de las actualizaciones reemplazadas, vaya al Catálogo de Microsoft Update, busque el número de actualización y, a continuación, vea los detalles de la actualización (la información reemplazada de actualizaciones se encuentra en la pestaña Detalles del paquete).

 

Microsoft Office Software para Mac (tabla 2 de 2)

Software afectado Vulnerabilidad de divulgación de información de GDI: CVE-2016-7257 Vulnerabilidad de divulgación de información de Microsoft Office: CVE-2016-7290 Vulnerabilidad de divulgación de información de Microsoft Office: CVE-2016-7291 Vulnerabilidad de ejecución remota de código uniscribe CVE-2016-7274 Vulnerabilidad de divulgación de información de Microsoft Office: CVE-2016-7276 Novedades reemplazado*
Microsoft Office para Mac 2011
Microsoft Office Mac 2011 (3198808) Divulgación de información importante No aplicable No aplicable Ejecución críticade código remoto Divulgación de información importante 3198807 en MS16-133
Microsoft Word para Mac 2011 (3198808) No aplicable Divulgación de información importante Divulgación de información importante No aplicable No aplicable 3198807 en MS16-133
Microsoft Office 2016 para Mac
Microsoft Office 2016 para Mac (3198800) Divulgación de información importante No aplicable No aplicable Ejecución críticade código remoto Divulgación de información importante 3198798 en MS16-133
Microsoft Excel 2016 para Mac (3198800) No aplicable No disponible No disponible No aplicable Importanteejecución remota de código 3198798 en MS16-133

*La columna Novedades Reemplazada muestra solo la actualización más reciente en una cadena de actualizaciones reemplazadas. Para obtener una lista completa de las actualizaciones reemplazadas, vaya al Catálogo de Microsoft Update, busque el número de actualización y, a continuación, vea los detalles de la actualización (la información reemplazada de actualizaciones se encuentra en la pestaña Detalles del paquete).

 

Servicios de Microsoft Office y Web Apps

Software afectado Vulnerabilidad de divulgación de información de Microsoft Office: CVE-2016-7265 Vulnerabilidad de divulgación de información de Microsoft Office: CVE-2016-7268 Vulnerabilidad de divulgación de información de Microsoft Office: CVE-2016-7290 Vulnerabilidad de divulgación de información de Microsoft Office: CVE-2016-7291 Novedades reemplazado*
Microsoft SharePoint Server 2007
Servicios de Excel en Microsoft SharePoint Server 2007 Service Pack 3 (edición de 32 bits) (3127892) Divulgación de información importante No aplicable No disponible No aplicable 3115112 en MS16-107
Servicios de Excel en Microsoft SharePoint Server 2007 Service Pack 3 (edición de 64 bits) (3127892) Divulgación de información importante No aplicable No disponible No aplicable 3115112 en MS16-107
Microsoft SharePoint Server 2010
Servicios de Excel en Microsoft SharePoint Server 2010 Service Pack 2 (3128029) Divulgación de información importante No aplicable No disponible No aplicable 3118381 en MS16-133
Word Automation Services en Microsoft SharePoint Server 2010 Service Pack 2 (3128026) No aplicable Divulgación de información importante Divulgación de información importante Divulgación de información importante 3127950 en MS16-133
Microsoft Office Web Apps 2010
Microsoft Office Web Apps 2010 Service Pack 2 (3128035) No aplicable Divulgación de información importante Divulgación de información importante Divulgación de información importante 3127954 en MS16-133

*La columna Novedades Reemplazada muestra solo la actualización más reciente en una cadena de actualizaciones reemplazadas. Para obtener una lista completa de las actualizaciones reemplazadas, vaya al catálogo de Microsoft Update, busque el número de KB de actualización y, a continuación, vea los detalles de actualización (la información reemplazada de actualizaciones se encuentra en la pestaña Detalles del paquete).

Preguntas más frecuentes sobre la actualización

Tengo Instalado Microsoft Word 2010. ¿Por qué no se me ofrece la actualización de 3128032?
La actualización 3128032 solo se aplica a los sistemas que ejecutan configuraciones específicas de Microsoft Office 2010. Algunas configuraciones no se ofrecerán a la actualización.

Estoy ofreciendo esta actualización para el software que no se indica específicamente como afectado en la tabla Clasificación de gravedad de vulnerabilidad y software afectado. ¿Por qué se me ofrece esta actualización?
Cuando las actualizaciones abordan el código vulnerable que existe en un componente que se comparte entre varios productos de Microsoft Office o que se comparten entre varias versiones del mismo producto de Microsoft Office, la actualización se considera aplicable a todos los productos y versiones admitidos que contienen el componente vulnerable.

Por ejemplo, cuando una actualización se aplica a los productos de Microsoft Office 2007, solo Microsoft Office 2007 puede aparecer específicamente en la tabla Software afectado. Sin embargo, la actualización podría aplicarse a Microsoft Word 2007, Microsoft Excel 2007, Microsoft Visio 2007, Microsoft Compatibility Pack, Microsoft Excel Viewer o cualquier otro producto de Microsoft Office 2007 que no aparezca específicamente en la tabla Software afectado. Además, cuando una actualización se aplica a los productos de Microsoft Office 2010, solo Microsoft Office 2010 puede aparecer específicamente en la tabla Software afectado. Sin embargo, la actualización podría aplicarse a Microsoft Word 2010, Microsoft Excel 2010, Microsoft Visio 2010, Microsoft Visio Viewer o cualquier otro producto de Microsoft Office 2010 que no aparezca específicamente en la tabla Software afectado.

Para obtener más información sobre este comportamiento y las acciones recomendadas, consulte el artículo de Microsoft Knowledge Base 830335. Para obtener una lista de productos de Microsoft Office a los que se puede aplicar una actualización, consulte el artículo de Microsoft Knowledge Base asociado a la actualización específica.

Información de vulnerabilidad

Varias vulnerabilidades de daños en la memoria de Microsoft Office

Existen varias vulnerabilidades de ejecución remota de código en el software de Microsoft Office cuando el software de Office no puede controlar correctamente los objetos en la memoria. Un atacante que aprovechara correctamente las vulnerabilidades podría ejecutar código arbitrario en el contexto del usuario actual. Si este tiene la sesión iniciada con derechos de usuario administrador, el atacante podría tomar el control del sistema afectado. El atacante, a continuación, podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas con derechos de usuario completos. Los usuarios con cuentas configuradas para tener menos derechos de usuario en el sistema podrían tener un impacto menor que los usuarios que operan con derechos de usuario administrativos.

La explotación de las vulnerabilidades requiere que un usuario abra un archivo especialmente diseñado con una versión afectada del software de Microsoft Office. En un escenario de ataque de correo electrónico, un atacante podría aprovechar las vulnerabilidades enviando el archivo especialmente diseñado al usuario y convenciendo al usuario de abrir el archivo. En un escenario de ataque basado en web, un atacante podría hospedar un sitio web (o aprovechar un sitio web en peligro que acepte o hospede contenido proporcionado por el usuario) que contenga un archivo especialmente diseñado para aprovechar las vulnerabilidades. Un atacante no tendría forma de forzar a los usuarios a visitar el sitio web. En su lugar, un atacante tendría que convencer a los usuarios de hacer clic en un vínculo, normalmente a través de una invitación en un correo electrónico o mensaje de Instant Messenger y, a continuación, convencerlos para abrir el archivo especialmente diseñado.

Tenga en cuenta que, cuando la gravedad se indica como Crítica en la tabla Clasificación de gravedad de software y vulnerabilidad afectada, el panel de vista previa es un vector de ataque para CVE-2016-7298.

La actualización de seguridad aborda las vulnerabilidades mediante la corrección de cómo Office controla los objetos en la memoria.

La tabla siguiente contiene vínculos a la entrada estándar para cada vulnerabilidad de la lista Vulnerabilidades comunes y exposiciones:

Título de vulnerabilidad Número cve Divulgado públicamente Explotados
Vulnerabilidad de daños en la memoria de Microsoft Office CVE-2016-7263 No No
Vulnerabilidad de daños en la memoria de Microsoft Office CVE-2016-7277 No No
Vulnerabilidad de daños en la memoria de Microsoft Office CVE-2016-7289 No No

Factores de mitigación

Microsoft no ha identificado ningún factor de mitigación para estas vulnerabilidades.

Soluciones alternativas

Microsoft no ha identificado ninguna solución alternativa para estas vulnerabilidades.

Vulnerabilidad de ejecución remota de código uniscribe CVE-2016-7274

Existe una vulnerabilidad de ejecución remota de código en Windows debido a la forma en que Windows Uniscribe controla los objetos en la memoria. Un atacante que aprovechara correctamente esta vulnerabilidad podría tomar el control del sistema afectado. El atacante, a continuación, podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas con derechos de usuario completos. Los usuarios con cuentas configuradas para tener menos derechos de usuario en el sistema podrían tener un impacto menor que los usuarios que operan con derechos de usuario administrativos.

Hay varias maneras en que un atacante podría aprovechar esta vulnerabilidad.

  • En un escenario de ataque basado en web, un atacante podría hospedar un sitio web diseñado especialmente diseñado para aprovechar esta vulnerabilidad y, a continuación, convencer a un usuario de ver el sitio web. Un atacante no tendría forma de forzar a los usuarios a ver el contenido controlado por el atacante. En su lugar, un atacante tendría que convencer a los usuarios de tomar medidas, normalmente obteniendo que hagan clic en un vínculo en un mensaje de correo electrónico o en un mensaje de Instant Messenger que lleve a los usuarios al sitio web del atacante, o abriendo un archivo adjunto enviado a través del correo electrónico.
  • En un escenario de ataque de uso compartido de archivos, un atacante podría proporcionar un archivo de documento especialmente diseñado para aprovechar esta vulnerabilidad y, a continuación, convencer a un usuario de abrir el archivo de documento.

La actualización de seguridad soluciona estas vulnerabilidades mediante la corrección de cómo Windows Uniscribe controla los objetos en la memoria.

La tabla siguiente contiene vínculos a la entrada estándar para cada vulnerabilidad de la lista Vulnerabilidades comunes y exposiciones:

Título de vulnerabilidad Número cve Divulgado públicamente Explotados
Vulnerabilidad de ejecución remota de código uniscribe CVE-2016-7274 No No

Factores de mitigación

Microsoft no ha identificado ningún factor de mitigación para esta vulnerabilidad.

Soluciones alternativas

Microsoft no ha identificado ninguna solución alternativa para esta vulnerabilidad.

Vulnerabilidad de carga lateral de DLL ole de Microsoft Office: CVE-2016-7275

Existe una vulnerabilidad de ejecución remota de código cuando Microsoft Office valida incorrectamente la entrada antes de cargar bibliotecas. Un atacante que aprovechara correctamente la vulnerabilidad podría tomar el control de un sistema afectado. El atacante, a continuación, podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas con derechos de usuario completos. Los usuarios con cuentas configuradas para tener menos derechos de usuario en el sistema podrían tener un impacto menor que los usuarios que operan con derechos de usuario administrativos.

Para aprovechar la vulnerabilidad, un atacante necesitaría acceso al sistema local y la capacidad de ejecutar una aplicación especialmente diseñada en el sistema.

La actualización de seguridad soluciona la vulnerabilidad mediante la corrección de cómo Microsoft Office valida la entrada antes de cargar bibliotecas.

La tabla siguiente contiene vínculos a la entrada estándar para cada vulnerabilidad de la lista Vulnerabilidades comunes y exposiciones:

Título de vulnerabilidad Número cve Divulgado públicamente Explotados
Vulnerabilidad de carga lateral de DLL ole de Microsoft Office CVE-2016-7275 No No

Factores de mitigación

Microsoft no ha identificado ningún factor de mitigación para esta vulnerabilidad.

Soluciones alternativas

Microsoft no ha identificado ninguna solución alternativa para esta vulnerabilidad.

Vulnerabilidad de omisión de características de seguridad de Microsoft Office: CVE-2016-7267

Existe una vulnerabilidad de omisión de características de seguridad en el software de Microsoft Office cuando el software de Office controla incorrectamente el análisis de formatos de archivo. La omisión de características de seguridad por sí misma no permite la ejecución arbitraria de código. Sin embargo, para aprovechar correctamente la vulnerabilidad, un atacante tendría que usarlo junto con otra vulnerabilidad, como una vulnerabilidad de ejecución remota de código, para aprovechar la vulnerabilidad de omisión de características de seguridad y ejecutar código arbitrario.

Para aprovechar la vulnerabilidad, sería necesario que un atacante convenza a un usuario de abrir un archivo especialmente diseñado con una versión afectada del software de Microsoft Office.

La actualización de seguridad soluciona la vulnerabilidad mediante la corrección del modo en que el software de Office controla el análisis de formatos de archivo.

La tabla siguiente contiene vínculos a la entrada estándar para cada vulnerabilidad de la lista Vulnerabilidades comunes y exposiciones:

Título de vulnerabilidad Número cve Divulgado públicamente Explotados
Vulnerabilidad de omisión de características de seguridad de Microsoft Office CVE-2016-7267 No No

Factores de mitigación

Microsoft no ha identificado ningún factor de mitigación para esta vulnerabilidad.

Soluciones alternativas

Microsoft no ha identificado ninguna solución alternativa para esta vulnerabilidad.

Vulnerabilidad de omisión de características de seguridad de Microsoft Office: CVE-2016-7262

Existe una vulnerabilidad de omisión de características de seguridad cuando Microsoft Office controla incorrectamente la entrada. Un atacante que aprovechara correctamente la vulnerabilidad podría ejecutar comandos arbitrarios.

En un escenario de ataque de uso compartido de archivos, un atacante podría proporcionar un archivo de documento especialmente diseñado para aprovechar la vulnerabilidad y, a continuación, convencer a los usuarios de abrir el archivo de documento e interactuar con el documento haciendo clic en una celda específica.

La actualización aborda la vulnerabilidad mediante la corrección del modo en que Microsoft Office controla la entrada.

La tabla siguiente contiene vínculos a la entrada estándar para cada vulnerabilidad de la lista Vulnerabilidades comunes y exposiciones:

Título de vulnerabilidad Número cve Divulgado públicamente Explotados
Vulnerabilidad de omisión de características de seguridad de Microsoft Office CVE-2016-7262 No No

Factores de mitigación

Microsoft no ha identificado ningún factor de mitigación para esta vulnerabilidad.

Soluciones alternativas

Microsoft no ha identificado ninguna solución alternativa para esta vulnerabilidad.

Vulnerabilidad de omisión de características de seguridad de Microsoft Office: CVE-2016-7266

Existe una vulnerabilidad de omisión de características de seguridad cuando Microsoft Office comprueba incorrectamente la configuración del Registro cuando se intenta ejecutar contenido incrustado. Un atacante que aprovechara correctamente la vulnerabilidad podría ejecutar comandos arbitrarios. En un escenario de ataque de uso compartido de archivos, un atacante podría proporcionar un archivo de documento especialmente diseñado para aprovechar la vulnerabilidad y, a continuación, convencer a los usuarios de intentar abrir el documento varias veces.

La actualización soluciona la vulnerabilidad mediante la corrección de cómo Microsoft Office comprueba la configuración del Registro cuando un usuario intenta abrir o ejecutar contenido incrustado.

La tabla siguiente contiene vínculos a la entrada estándar para cada vulnerabilidad de la lista Vulnerabilidades comunes y exposiciones:

Título de vulnerabilidad Número cve Divulgado públicamente Explotados
Vulnerabilidad de omisión de características de seguridad de Microsoft Office CVE-2016-7266 No No

Factores de mitigación

Microsoft no ha identificado ningún factor de mitigación para esta vulnerabilidad.

Soluciones alternativas

Microsoft no ha identificado ninguna solución alternativa para esta vulnerabilidad.

Vulnerabilidad de divulgación de información de GDI: CVE-2016-7257

Existe una vulnerabilidad de divulgación de información cuando Microsoft Office no controla correctamente los objetos en la memoria, lo que permite a un atacante recuperar información que podría provocar una omisión de selección aleatoria del diseño del espacio de direcciones (ASLR). Un atacante que aprovechara correctamente esta vulnerabilidad podría provocar una divulgación de información para omitir la característica de seguridad de ASLR que protege a los usuarios de una amplia clase de vulnerabilidades.

La propia omisión de características de seguridad no permite la ejecución arbitraria de código. Sin embargo, un atacante podría usar la vulnerabilidad de omisión de ASLR junto con otra vulnerabilidad, como una vulnerabilidad de ejecución remota de código, que podría aprovechar la omisión de ASLR para ejecutar código arbitrario.

Para aprovechar esta vulnerabilidad, un atacante podría convencer a un uso para ejecutar una aplicación especialmente diseñada. La actualización de seguridad aborda la vulnerabilidad mediante la corrección del modo en que Microsoft Office controla las direcciones en la memoria.

La tabla siguiente contiene vínculos a la entrada estándar para cada vulnerabilidad de la lista Vulnerabilidades comunes y exposiciones:

Título de vulnerabilidad Número cve Divulgado públicamente Explotados
Vulnerabilidad de divulgación de información de GDI CVE-2016-7257 No No

Factores de mitigación

Microsoft no ha identificado ningún factor de mitigación para esta vulnerabilidad.

Soluciones alternativas

Microsoft no ha identificado ninguna solución alternativa para esta vulnerabilidad.

Varias vulnerabilidades de divulgación de información de Microsoft Office

Existen varias vulnerabilidades de divulgación de información cuando el software de Microsoft Office afectado lee fuera de la memoria enlazada, lo que podría revelar el contenido de la memoria. Un atacante que aprovechara correctamente las vulnerabilidades podría ver la memoria fuera de límite.

La explotación de las vulnerabilidades requiere que un usuario abra un archivo especialmente diseñado con una versión afectada del software de Microsoft Office.

La actualización de seguridad aborda las vulnerabilidades inicializando correctamente las variables afectadas.

La tabla siguiente contiene vínculos a la entrada estándar para cada vulnerabilidad de la lista Vulnerabilidades comunes y exposiciones:

Título de vulnerabilidad Número cve Divulgado públicamente Explotados
Vulnerabilidad de divulgación de información de Microsoft Office CVE-2016-7264 No No
Vulnerabilidad de divulgación de información de Microsoft Office CVE-2016-7265 No No
Vulnerabilidad de divulgación de información de Microsoft Office CVE-2016-7268 No No
Vulnerabilidad de divulgación de información de Microsoft Office CVE-2016-7276 No No
Vulnerabilidad de divulgación de información de Microsoft Office CVE-2016-7290 No No
Vulnerabilidad de divulgación de información de Microsoft Office CVE-2016-7291 No No

Factores de mitigación

Microsoft no ha identificado ningún factor de mitigación para estas vulnerabilidades.

Soluciones alternativas

Microsoft no ha identificado ninguna solución alternativa para estas vulnerabilidades.

Vulnerabilidad de elevación de privilegios de Microsoft (MAU): CVE-2016-7300

Existe una vulnerabilidad de elevación de privilegios cuando la aplicación Microsoft AutoUpdate (MAU) para Mac valida incorrectamente las actualizaciones antes de ejecutarlas. Un atacante que aprovechara correctamente la vulnerabilidad que ya tiene la capacidad de ejecutar código en un sistema podría elevar los privilegios. Para aprovechar la vulnerabilidad, el atacante podría colocar un ejecutable diseñado en una ubicación específica utilizada por la aplicación de actualización para ejecutar código arbitrario en un contexto con privilegios.

Esta actualización soluciona la vulnerabilidad asegurándose de que Microsoft AutoUpdate (MAU) para Mac valida correctamente los paquetes antes de instalarlos.

La tabla siguiente contiene vínculos a la entrada estándar para cada vulnerabilidad de la lista Vulnerabilidades comunes y exposiciones:

Título de vulnerabilidad Número cve Divulgado públicamente Explotados
Vulnerabilidad de elevación de privilegios de Microsoft (MAU) de Office CVE-2016-7300 No No

Factores de mitigación

Microsoft no ha identificado ningún factor de mitigación para esta vulnerabilidad.

Soluciones alternativas

Microsoft no ha identificado ninguna solución alternativa para esta vulnerabilidad.

Implementación de actualizaciones de seguridad

Para obtener información sobre la implementación de actualizaciones de seguridad, consulte el artículo de Microsoft Knowledge Base al que se hace referencia en el resumen ejecutivo.

Agradecimientos

Microsoft reconoce los esfuerzos de los miembros de la comunidad de seguridad que nos ayudan a proteger a los clientes a través de la divulgación coordinada de vulnerabilidades. Consulte Confirmaciones para obtener más información. 

Declinación de responsabilidades

La información proporcionada en Microsoft Knowledge Base se proporciona "tal cual" sin garantía de ningún tipo. Microsoft renuncia a todas las garantías, ya sea expresas o implícitas, incluidas las garantías de comerciabilidad y idoneidad para un propósito determinado. En ningún caso, Microsoft Corporation o sus proveedores serán responsables de cualquier daño, incluyendo daños directos, indirectos, incidentales, consecuentes, pérdida de beneficios empresariales o daños especiales, incluso si Microsoft Corporation o sus proveedores han sido informados de la posibilidad de tales daños. Algunos estados no permiten la exclusión o limitación de responsabilidad por daños consecuenciales o incidentales, por lo que es posible que no se aplique la limitación anterior.

Revisiones

  • V1.0 (13 de diciembre de 2016): Boletín publicado.
  • V1.1 (21 de diciembre de 2016): boletín revisado para corregir un identificador CVE. CVE-2016-7298 se ha cambiado a CVE-2016-7274 y se ha actualizado la información de vulnerabilidad. Solo se trata de un cambio informativo. Los clientes que hayan instalado correctamente las actualizaciones no necesitan realizar ninguna acción adicional.

Página generada 2016-12-21 10:09-08:00.