Boletín de seguridad de Microsoft MS17-014: importante

Actualización de seguridad para Microsoft Office (4013241)

Publicado: 14 de marzo de 2017 | Actualizado: 11 de abril de 2017

Versión: 2.0

Resumen ejecutivo

Esta actualización de seguridad resuelve vulnerabilidades en Microsoft Office. La más grave de las vulnerabilidades podría permitir la ejecución remota de código si un usuario abre un archivo de Microsoft Office especialmente diseñado. Un atacante que aprovechara correctamente las vulnerabilidades podría ejecutar código arbitrario en el contexto del usuario actual. Los clientes cuyas cuentas están configuradas para tener menos derechos de usuario en el sistema podrían verse menos afectados que los que operan con derechos de usuario administrativos.

Para obtener más información sobre las vulnerabilidades, consulte la sección Clasificación de gravedad de vulnerabilidad y software afectado.

La actualización de seguridad aborda las vulnerabilidades por:

  • Corrección del modo en que Office controla los objetos en la memoria
  • Cambio de la forma en que ciertas funciones controlan objetos en la memoria
  • Inicialización correcta de la variable afectada
  • Ayudar a garantizar que SharePoint Server sane correctamente las solicitudes web
  • Corregir cómo el cliente de Lync para Mac 2011 valida los certificados

Para obtener más información sobre las vulnerabilidades, consulte la sección Información de vulnerabilidades.

Para obtener más información sobre esta actualización, consulte el artículo de Microsoft Knowledge Base 4013241.

Clasificaciones de gravedad de software y vulnerabilidad afectadas

Las siguientes versiones o ediciones de software se ven afectadas. Las versiones o ediciones que no aparecen en la lista son anteriores a su ciclo de vida de soporte técnico o no se ven afectadas. Para determinar el ciclo de vida de soporte técnico de la versión o edición de software, consulte ciclo de vida de Soporte técnico de Microsoft.

Las siguientes clasificaciones de gravedad asumen el posible impacto máximo de la vulnerabilidad. Para obtener información sobre la probabilidad, en un plazo de 30 días a partir de la publicación de este boletín de seguridad, de la vulnerabilidad en relación con su clasificación de gravedad y su impacto en la seguridad, consulte el Índice de vulnerabilidades en el resumen del boletín de marzo.

Nota Consulte la Guía de actualización de seguridad para obtener un nuevo enfoque para consumir la información de actualización de seguridad. Puede personalizar las vistas y crear hojas de cálculo de software afectadas, así como descargar datos a través de una API restful. Para obtener más información, consulte las preguntas más frecuentes de la Guía de seguridad Novedades. Como recordatorio, la Guía de seguridad Novedades reemplazará los boletines de seguridad. Consulte nuestra entrada de blog, Además de nuestro compromiso con las actualizaciones de seguridad, para obtener más detalles.

Software de Microsoft Office (tabla 1 de 2)

Software afectado Vulnerabilidad de daños en la memoria de Microsoft Office: CVE-2017-0006 Vulnerabilidad de daños en la memoria de Microsoft Office: CVE-2017-0019 Vulnerabilidad de daños en la memoria de Microsoft Office: CVE-2017-0020 Vulnerabilidad de divulgación de información de Microsoft Office: CVE-2017-0027 Vulnerabilidad de denegación de servicio de Microsoft Office: CVE-2017-0029 Novedades reemplazado*
Microsoft Office 2007
Microsoft Excel 2007 Service Pack 3 (3178676) Importante ejecución remota de código No aplicable No aplicable Divulgación de información importante No aplicable 3128019 en MS16-148
Microsoft Word 2007 Service Pack 3 (3178683) No aplicable No disponible No disponible No disponible No aplicable 3128025 en MS16-148
Microsoft Office 2010
Microsoft Office 2010 Service Pack 2 (ediciones de 32 bits) (3178686) No aplicable No disponible No disponible No aplicable Denegación de servicio importante 3128032 en MS16-148
Microsoft Office 2010 Service Pack 2 (ediciones de 64 bits) (3178686) No aplicable No disponible No disponible No aplicable Denegación de servicio importante 3128032 en MS16-148
Microsoft Excel 2010 Service Pack 2 (ediciones de 32 bits) (3178690) No aplicable No aplicable Importante ejecución remota de código Divulgación de información importante No aplicable 3128037 en MS16-148
Microsoft Excel 2010 Service Pack 2 (ediciones de 64 bits) (3178690) No aplicable No aplicable Importante ejecución remota de código Divulgación de información importante No aplicable 3128037 en MS16-148
Microsoft Word 2010 Service Pack 2 (ediciones de 32 bits) (3178687) No aplicable No disponible No disponible No aplicable Denegación de servicio importante 3128034 en MS16-148
Microsoft Word 2010 Service Pack 2 (ediciones de 64 bits) (3178687) No aplicable No disponible No disponible No aplicable Denegación de servicio importante 3128034 en MS16-148
Microsoft Office 2013
Microsoft Excel 2013 Service Pack 1 (ediciones de 32 bits) (3172542) No aplicable No aplicable Importante ejecución remota de código Divulgación de información importante No aplicable 3128008 en MS16-148
Microsoft Excel 2013 Service Pack 1 (ediciones de 64 bits) (3172542) No aplicable No aplicable Importante ejecución remota de código Divulgación de información importante No aplicable 3128008 en MS16-148
Microsoft Word 2013 Service Pack 1 (ediciones de 32 bits) (3172464) No aplicable No disponible No disponible No aplicable Denegación de servicio importante 3127932 en MS16-133
Microsoft Word 2013 Service Pack 1 (ediciones de 64 bits) (3172464) No aplicable No disponible No disponible No aplicable Denegación de servicio importante 3127932 en MS16-133
Microsoft Office 2013 RT
Microsoft Excel 2013 RT Service Pack 1[1](3172542) No aplicable No aplicable Importante ejecución remota de código Divulgación de información importante No aplicable 3128008 en MS16-148
Microsoft Word 2013 RT Service Pack 1[1](3172464) No aplicable No disponible No disponible No aplicable Denegación de servicio importante 3127932 en MS16-133
Microsoft Office 2016
Microsoft Excel 2016 (edición de 32 bits) (3178673) No aplicable No aplicable Importante ejecución remota de código Divulgación de información importante No aplicable 3128016 en MS16-148
Microsoft Excel 2016 (edición de 64 bits) (3178673) No aplicable No aplicable Importante ejecución remota de código Divulgación de información importante No aplicable 3128016 en MS16-148
Microsoft Word 2016 (edición de 32 bits) (3178674) No aplicable Importante ejecución remota de código No aplicable No aplicable Denegación de servicio importante 3128057 en MS17-002
Microsoft Word 2016 (edición de 64 bits) (3178674) No aplicable Importante ejecución remota de código No aplicable No aplicable Denegación de servicio importante 3128057 en MS17-002
Microsoft Office para Mac 2011
Microsoft Excel para Mac 2011 No aplicable No disponible No disponible No disponible No aplicable 3198808 en MS16-015
Microsoft Excel para Mac 2011 No aplicable No disponible No aplicable Divulgación de información importante No aplicable 3198809 en MS17-014
Microsoft Word para Mac 2011 No aplicable No disponible No disponible No disponible No aplicable 3198808 en MS16-015
Microsoft Word para Mac 2011 No aplicable No disponible No disponible No disponible No aplicable 3198808 en MS16-015
Microsoft Office 2016 para Mac
Microsoft Office 2016 para Mac No aplicable No disponible No disponible No aplicable Denegación de servicio importante None
Microsoft Excel 2016 para Mac No aplicable No aplicable Importante ejecución remota de código Divulgación de información importante No aplicable None
Otro software de Office
Microsoft Office Compatibility Pack Service Pack 3 (3178677) Importante ejecución remota de código No aplicable No aplicable Divulgación de información importante No aplicable 3128022 en MS16-148
Microsoft Office Compatibility Pack Service Pack 3 (3178682) No aplicable No disponible No disponible No disponible No aplicable 3128024 en MS16-148
Visor de Microsoft Excel (3178680) Importante ejecución remota de código No aplicable No disponible No disponible No aplicable 3128023 en MS16-148
Microsoft Word Viewer (3178694) No aplicable No disponible No disponible No disponible No aplicable 3128044 en MS16-148

[1]Esta actualización está disponible a través de Windows Update.

*La columna Novedades Reemplazada muestra solo la actualización más reciente en una cadena de actualizaciones reemplazadas. Para obtener una lista completa de las actualizaciones reemplazadas, vaya al catálogo de Microsoft Update, busque el número de KB de actualización y, a continuación, vea los detalles de actualización (la información reemplazada de actualizaciones se encuentra en la pestaña Detalles del paquete).

Software de Microsoft Office (tabla 2 de 2)

Software afectado Vulnerabilidad de daños en la memoria de Microsoft Office: CVE-2017-0030 Vulnerabilidad de daños en la memoria de Microsoft Office: CVE-2017-0031 Vulnerabilidad de daños en la memoria de Microsoft Office: CVE-2017-0052 Vulnerabilidad de daños en la memoria de Microsoft Office: CVE-2017-0053 Vulnerabilidad de divulgación de información de Microsoft Office: CVE-2017-0105 Novedades reemplazado*
Microsoft Office 2007
Microsoft Excel 2007 Service Pack 3 (3178676) No aplicable No aplicable Importante ejecución remota de código No aplicable No aplicable 3128019 en MS16-148
Microsoft Word 2007 Service Pack 3 (3178683) Importante ejecución remota de código Importante ejecución remota de código No aplicable Importante ejecución remota de código Divulgación de información importante 3128025 en MS16-148
Microsoft Office 2010
Microsoft Office 2010 Service Pack 2 (ediciones de 32 bits) (3178686) Importante ejecución remota de código Importante ejecución remota de código No aplicable Importante ejecución remota de código Divulgación de información importante 3128032 en MS16-148
Microsoft Office 2010 Service Pack 2 (ediciones de 64 bits) (3178686) Importante ejecución remota de código Importante ejecución remota de código No aplicable Importante ejecución remota de código Divulgación de información importante 3128032 en MS16-148
Microsoft Excel 2010 Service Pack 2 (ediciones de 32 bits) (3178690) No aplicable No disponible No disponible No disponible No aplicable 3128037 en MS16-148
Microsoft Excel 2010 Service Pack 2 (ediciones de 64 bits) (3178690) No aplicable No disponible No disponible No disponible No aplicable 3128037 en MS16-148
Microsoft Word 2010 Service Pack 2 (ediciones de 32 bits) (3178687) Importante ejecución remota de código Importante ejecución remota de código No aplicable Importante ejecución remota de código Divulgación de información importante 3141542 en MS16-148
Microsoft Word 2010 Service Pack 2 (ediciones de 64 bits) (3178687) Importante ejecución remota de código Importante ejecución remota de código No aplicable Importante ejecución remota de código Divulgación de información importante 3141542 en MS16-148
Microsoft Office 2013
Microsoft Excel 2013 Service Pack 1 (ediciones de 32 bits) (3172542) No aplicable No disponible No disponible No disponible No aplicable 3128008 en MS16-148
Microsoft Excel 2013 Service Pack 1 (ediciones de 64 bits) (3172542) No aplicable No disponible No disponible No disponible No aplicable 3128008 en MS16-148
Microsoft Word 2013 Service Pack 1 (ediciones de 32 bits) (3172464) No aplicable No disponible No aplicable Importante ejecución remota de código No aplicable 3127932 en MS16-133
Microsoft Word 2013 Service Pack 1 (ediciones de 64 bits) (3172464) No aplicable No disponible No aplicable Importante ejecución remota de código No aplicable 3127932 en MS16-133
Microsoft Office 2013 RT
Microsoft Excel 2013 RT Service Pack 1[1](3172542) No aplicable No disponible No disponible No disponible No aplicable 3128008 en MS16-148
Microsoft Word 2013 RT Service Pack 1[1](3172464) No aplicable No disponible No aplicable Importante ejecución remota de código No aplicable 3127932 en MS16-133
Microsoft Office 2016
Microsoft Excel 2016 (edición de 32 bits) (3178673) No aplicable No disponible No disponible No disponible No aplicable 3128016 en MS16-148
Microsoft Excel 2016 (edición de 64 bits) (3178673) No aplicable No disponible No disponible No disponible No aplicable 3128016 en MS16-148
Microsoft Word 2016 (edición de 32 bits) (3178674) No aplicable No disponible No aplicable Importante ejecución remota de código No aplicable 3128057 en MS17-002
Microsoft Word 2016 (edición de 64 bits) (3178674) No aplicable No disponible No aplicable Importante ejecución remota de código No aplicable 3128057 en MS17-002
Microsoft Office para Mac 2011
Microsoft Excel para Mac 2011 No aplicable No disponible No disponible No disponible No aplicable 3198808 en MS16-015
Microsoft Excel para Mac 2011 No aplicable No disponible No disponible No disponible No aplicable 3198809 en MS17-014
Microsoft Word para Mac 2011 Importante ejecución remota de código Importante ejecución remota de código No aplicable No aplicable Divulgación de información importante 3198808 en MS16-015
Microsoft Word para Mac 2011 No aplicable No disponible No disponible No disponible No aplicable 3198809 en MS17-014
Microsoft Office 2016 para Mac
Microsoft Office 2016 para Mac No aplicable No disponible No disponible No disponible No aplicable None
Microsoft Excel 2016 para Mac No aplicable No disponible No disponible No disponible No aplicable None
Otro software de Office
Microsoft Office Compatibility Pack Service Pack 3 (3178677) No aplicable No aplicable Importante ejecución remota de código No aplicable No aplicable 3128022 en MS16-148
Microsoft Office Compatibility Pack Service Pack 3 (3178682) Importante ejecución remota de código Importante ejecución remota de código No aplicable Importante ejecución remota de código Divulgación de información importante 3128024 en MS16-148
Visor de Microsoft Excel (3178680) No aplicable No aplicable Importante ejecución remota de código No aplicable No aplicable 3128023 en MS16-148
Microsoft Word Viewer (3178694) No aplicable No disponible No aplicable Importante ejecución remota de código No aplicable 3128044 en MS16-148

[1]Esta actualización está disponible a través de Windows Update.

*La columna Novedades Reemplazada muestra solo la actualización más reciente en una cadena de actualizaciones reemplazadas. Para obtener una lista completa de las actualizaciones reemplazadas, vaya al catálogo de Microsoft Update, busque el número de KB de actualización y, a continuación, vea los detalles de actualización (la información reemplazada de actualizaciones se encuentra en la pestaña Detalles del paquete).

Servicios de Microsoft Office y Web Apps

Software afectado Vulnerabilidad de daños en la memoria de Microsoft Office: CVE-2017-0006 Vulnerabilidad de daños en la memoria de Microsoft Office: CVE-2017-0020 Vulnerabilidad de divulgación de información de Microsoft Office: CVE-2017-0027 Vulnerabilidad de daños en la memoria de Microsoft Office: CVE-2017-0030 Vulnerabilidad de daños en la memoria de Microsoft Office: CVE-2017-0052 Vulnerabilidad de divulgación de información de Microsoft Office: CVE-2017-0105 Novedades reemplazado*
Microsoft SharePoint Server 2007
Servicios de Excel en Microsoft SharePoint Server 2007 Service Pack 3 (edición de 32 bits) (3178678) Importante ejecución remota de código No aplicable No disponible No aplicable Importante ejecución remota de código No aplicable 3127892 en MS16-148
Servicios de Excel en Microsoft SharePoint Server 2007 Service Pack 3 (edición de 64 bits) (3178678) Importante ejecución remota de código No aplicable No disponible No aplicable Importante ejecución remota de código No aplicable 3127892 en MS16-148
Microsoft SharePoint Server 2010
Servicios de Excel en Microsoft SharePoint Server 2010 Service Pack 2 (3178685) No aplicable No aplicable Divulgación de información importante No aplicable No disponible No aplicable 3128029 en MS16-148
Word Automation Services en Microsoft SharePoint Server 2010 Service Pack 2 (3178684) No aplicable No disponible No aplicable Importante ejecución remota de código No aplicable Divulgación de información importante 3128026 en MS16-070
Microsoft SharePoint Server 2013
Servicios de Excel en Microsoft SharePoint Server 2013 Service Pack 1 (3172431) No aplicable No aplicable Divulgación de información importante No aplicable No disponible No aplicable 3115169 en MS16-107
Microsoft Office Web Apps 2010
Microsoft Office Web Apps 2010 Service Pack 2 (3178689) No aplicable No disponible No aplicable Divulgación de información importante No aplicable Divulgación de información importante 3128035 en MS16-148
Microsoft Office Web Apps 2013
Microsoft Office Web Apps Server 2013 Service Pack 1 (3172457) No aplicable Importante ejecución remota de código No aplicable No disponible No disponible No aplicable 3127929 en MS16-133

*La columna Novedades Reemplazada muestra solo la actualización más reciente en una cadena de actualizaciones reemplazadas. Para obtener una lista completa de las actualizaciones reemplazadas, vaya al catálogo de Microsoft Update, busque el número de KB de actualización y, a continuación, vea los detalles de actualización (la información reemplazada de actualizaciones se encuentra en la pestaña Detalles del paquete).

Microsoft Server Software

Software afectado Vulnerabilidad de XSS de Microsoft SharePoint: CVE-2017-0107 Novedades reemplazado*
Microsoft SharePoint Server 2013
Microsoft SharePoint Foundation 2013 Service Pack 1 (3172540) Elevación importante de privilegios 3115294 en MS16-088

*La columna Novedades Reemplazada muestra solo la actualización más reciente en una cadena de actualizaciones reemplazadas. Para obtener una lista completa de las actualizaciones reemplazadas, vaya al catálogo de Microsoft Update, busque el número de KB de actualización y, a continuación, vea los detalles de actualización (la información reemplazada de actualizaciones se encuentra en la pestaña Detalles del paquete).

Plataformas y software de comunicaciones de Microsoft

Software afectado Vulnerabilidad de validación de certificados de Microsoft Lync para Mac: CVE-2017-0129 Novedades reemplazado*
Microsoft Lync para Mac
Microsoft Lync para Mac 2011 (4012487) Omisión importante de características de seguridad None

*La columna Novedades Reemplazada muestra solo la actualización más reciente en una cadena de actualizaciones reemplazadas. Para obtener una lista completa de las actualizaciones reemplazadas, vaya al catálogo de Microsoft Update, busque el número de KB de actualización y, a continuación, vea los detalles de actualización (la información reemplazada de actualizaciones se encuentra en la pestaña Detalles del paquete).

Preguntas más frecuentes sobre la actualización

¿Estas actualizaciones contienen cambios adicionales relacionados con la seguridad?
Sí. Además de los cambios que se enumeran para las vulnerabilidades descritas en este boletín, esta actualización incluye actualizaciones detalladas de defensa para ayudar a mejorar las características relacionadas con la seguridad.

Tengo Instalado Microsoft Word 2010. ¿Por qué no se me ofrece la actualización de 3178686?
La actualización 3178686 solo se aplica a los sistemas que ejecutan configuraciones específicas de Microsoft Office 2010. Algunas configuraciones no se ofrecerán a la actualización.

Estoy ofreciendo esta actualización para el software que no se indica específicamente como afectado en la tabla Clasificación de gravedad de vulnerabilidad y software afectado. ¿Por qué se me ofrece esta actualización?
Cuando las actualizaciones abordan el código vulnerable que existe en un componente que se comparte entre varios productos de Microsoft Office o que se comparten entre varias versiones del mismo producto de Microsoft Office, la actualización se considera aplicable a todos los productos y versiones admitidos que contienen el componente vulnerable.

Por ejemplo, cuando una actualización se aplica a los productos de Microsoft Office 2007, solo Microsoft Office 2007 puede aparecer específicamente en la tabla Software afectado. Sin embargo, la actualización podría aplicarse a Microsoft Word 2007, Microsoft Excel 2007, Microsoft Visio 2007, Microsoft Compatibility Pack, Microsoft Excel Viewer o cualquier otro producto de Microsoft Office 2007 que no aparezca específicamente en la tabla Software afectado. Además, cuando una actualización se aplica a los productos de Microsoft Office 2010, solo Microsoft Office 2010 puede aparecer específicamente en la tabla Software afectado. Sin embargo, la actualización podría aplicarse a Microsoft Word 2010, Microsoft Excel 2010, Microsoft Visio 2010, Microsoft Visio Viewer o cualquier otro producto de Microsoft Office 2010 que no aparezca específicamente en la tabla Software afectado.

Para obtener más información sobre este comportamiento y las acciones recomendadas, consulte el artículo de Microsoft Knowledge Base 830335. Para obtener una lista de productos de Microsoft Office a los que se puede aplicar una actualización, consulte el artículo de Microsoft Knowledge Base asociado a la actualización específica.

Información de vulnerabilidad

Varias vulnerabilidades de daños en la memoria de Microsoft Office

Existen varias vulnerabilidades de ejecución remota de código en el software de Microsoft Office cuando el software de Office no puede controlar correctamente los objetos en la memoria. Un atacante que aprovechara correctamente las vulnerabilidades podría ejecutar código arbitrario en el contexto del usuario actual. Si este tiene la sesión iniciada con derechos de usuario administrador, el atacante podría tomar el control del sistema afectado. El atacante, a continuación, podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas con derechos de usuario completos. Los usuarios con cuentas configuradas para tener menos derechos de usuario en el sistema podrían tener un impacto menor que los usuarios que operan con derechos de usuario administrativos.

La explotación de las vulnerabilidades requiere que un usuario abra un archivo especialmente diseñado con una versión afectada del software de Microsoft Office. En un escenario de ataque de correo electrónico, un atacante podría aprovechar las vulnerabilidades enviando el archivo especialmente diseñado al usuario y convenciendo al usuario de abrir el archivo. En un escenario de ataque basado en web, un atacante podría hospedar un sitio web (o aprovechar un sitio web en peligro que acepte o hospede contenido proporcionado por el usuario) que contenga un archivo especialmente diseñado para aprovechar las vulnerabilidades. Un atacante no tendría forma de forzar a los usuarios a visitar el sitio web. En su lugar, un atacante tendría que convencer a los usuarios de hacer clic en un vínculo, normalmente a través de una invitación en un correo electrónico o mensaje de Instant Messenger y, a continuación, convencerlos para abrir el archivo especialmente diseñado.

Tenga en cuenta que el panel de vista previa no es un vector de ataque para estas vulnerabilidades. La actualización de seguridad aborda las vulnerabilidades mediante la corrección de cómo Office controla los objetos en la memoria.

La tabla siguiente contiene vínculos a la entrada estándar para cada vulnerabilidad de la lista Vulnerabilidades comunes y exposiciones:

Título de vulnerabilidad Número cve Divulgado públicamente Explotados
Vulnerabilidad de daños en la memoria de Microsoft Office CVE-2017-0006 No No
Vulnerabilidad de daños en la memoria de Microsoft Office CVE-2017-0019 No No
Vulnerabilidad de daños en la memoria de Microsoft Office CVE-2017-0020 No No
Vulnerabilidad de daños en la memoria de Microsoft Office CVE-2017-0030 No No
Vulnerabilidad de daños en la memoria de Microsoft Office CVE-2017-0031 No No
Vulnerabilidad de daños en la memoria de Microsoft Office CVE-2017-0052 No No
Vulnerabilidad de daños en la memoria de Microsoft Office CVE-2017-0053 No No

Factores de mitigación

Microsoft no ha identificado ningún factor de mitigación para estas vulnerabilidades.

Soluciones alternativas

La siguiente solución alternativa puede resultar útil en su situación:

Solución alternativa para CVE-2017-0019

  • Usar la directiva de bloqueo de archivos de Microsoft Office para evitar que Office abra documentos RTF de orígenes desconocidos o que no sean de confianza

    Advertencia Si usa el Editor del Registro incorrectamente, puede causar problemas graves que pueden requerir que vuelva a instalar el sistema operativo. Microsoft no garantiza que se puedan resolver los problemas derivados de un uso incorrecto del Editor del Registro. Use el Editor del Registro bajo su propia responsabilidad.

    Para Office 2016

    1. Ejecute regedit.exe como Administración istrator y vaya a la siguiente subclave:
        [HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Word\Security\FileBlock] 
    
    1. Establezca el valor DWORD rtfFiles en 2.
    2. Establezca el valor DWORD de OpenInProtectedView en 0.

    Impacto de la solución alternativa. Los usuarios que han configurado la directiva de bloque de archivos y no han configurado un "directorio exento" especial, como se describe en el artículo de Microsoft Knowledge Base 922849 no podrán abrir documentos guardados en el formato RTF.

    Cómo deshacer la solución alternativa

    Para Office 2016

    1. Ejecute regedit.exe como Administración istrator y vaya a la siguiente subclave:
        [HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Word\Security\FileBlock] 
    
    1. Establezca el valor DWORD rtfFiles en 0.
    2. Establezca el valor DWORD de OpenInProtectedView en 0.

Vulnerabilidad de divulgación de información de Microsoft Office: CVE-2017-0027

Existe una vulnerabilidad de divulgación de información cuando Microsoft Office divulga incorrectamente el contenido de su memoria. Un atacante que aprovechara la vulnerabilidad podría usar la información para poner en peligro el equipo o los datos del usuario.

Para aprovechar la vulnerabilidad, un atacante podría crear un archivo de documento especial y luego convencer al usuario de abrirlo. Un atacante debe conocer la ubicación de la dirección de memoria donde se creó el objeto.

La actualización soluciona la vulnerabilidad cambiando la forma en que ciertas funciones controlan los objetos en la memoria.

La tabla siguiente contiene vínculos a la entrada estándar para cada vulnerabilidad de la lista Vulnerabilidades comunes y exposiciones:

Título de vulnerabilidad Número cve Divulgado públicamente Explotados
Vulnerabilidad de divulgación de información de Microsoft Office CVE-2017-0027 No No

Factores de mitigación

Microsoft no ha identificado ningún factor de mitigación para esta vulnerabilidad.

Soluciones alternativas

Microsoft no ha identificado ninguna solución alternativa para esta vulnerabilidad.

Vulnerabilidad de denegación de servicio de Microsoft Office: CVE-2017-0029

Existe una vulnerabilidad de denegación de servicio cuando se abre un archivo especialmente diseñado en Microsoft Office. Un atacante que aprovechara correctamente la vulnerabilidad podría hacer que Office deje de responder. Tenga en cuenta que la denegación de servicio no permitiría a un atacante ejecutar código ni elevar los derechos de usuario del atacante.

Para que un ataque se realice correctamente, esta vulnerabilidad requiere que un usuario abra un archivo especialmente diseñado con una versión afectada de Microsoft Office. En un escenario de ataque de correo electrónico, un atacante podría aprovechar la vulnerabilidad enviando un archivo especialmente diseñado al usuario y convenciendo al usuario de abrir el archivo.

La actualización de seguridad aborda la vulnerabilidad mediante la corrección de cómo Microsoft Office controla los objetos en la memoria.

La tabla siguiente contiene vínculos a la entrada estándar para cada vulnerabilidad de la lista Vulnerabilidades comunes y exposiciones:

Título de vulnerabilidad Número cve Divulgado públicamente Explotados
Vulnerabilidad de denegación de servicio de Microsoft Office CVE-2017-0029 No

Factores de mitigación

Microsoft no ha identificado ningún factor de mitigación para esta vulnerabilidad.

Soluciones alternativas

Microsoft no ha identificado ninguna solución alternativa para esta vulnerabilidad.

Vulnerabilidad de divulgación de información de Microsoft Office: CVE-2017-0105

Existe una vulnerabilidad de divulgación de información cuando el software de Microsoft Office lee fuera de la memoria enlazada debido a una variable no inicializada, que podría revelar el contenido de la memoria. Un atacante que aprovechara correctamente la vulnerabilidad podría ver la memoria delimitada.

La explotación de la vulnerabilidad requiere que un usuario abra un archivo especialmente diseñado con una versión afectada del software de Microsoft Office.

La actualización de seguridad aborda la vulnerabilidad inicializando correctamente la variable afectada.

La tabla siguiente contiene vínculos a la entrada estándar para cada vulnerabilidad de la lista Vulnerabilidades comunes y exposiciones:

Título de vulnerabilidad Número cve Divulgado públicamente Explotados
Vulnerabilidad de divulgación de información de Microsoft Office CVE-2017-0105 No No

Factores de mitigación

Microsoft no ha identificado ningún factor de mitigación para esta vulnerabilidad.

Soluciones alternativas

Microsoft no ha identificado ninguna solución alternativa para esta vulnerabilidad.

Vulnerabilidad de XSS de Microsoft SharePoint: CVE-2017-0107

Existe una vulnerabilidad de elevación de privilegios cuando Microsoft SharePoint Server no sanea correctamente una solicitud web especialmente diseñada a un servidor de SharePoint afectado. Un atacante autenticado podría aprovechar la vulnerabilidad enviando una solicitud especialmente diseñada a un servidor de SharePoint afectado.

Un atacante que aprovechara correctamente la vulnerabilidad podría realizar ataques de scripting entre sitios en sistemas afectados y ejecutar scripts en el contexto de seguridad del usuario actual. Estos ataques podrían permitir al atacante leer contenido que el atacante no está autorizado para leer, usar la identidad de la víctima para realizar acciones en el sitio de SharePoint en nombre de la víctima, como cambiar permisos y eliminar contenido, e insertar contenido malintencionado en el explorador de la víctima.

La actualización de seguridad aborda la vulnerabilidad al ayudar a garantizar que SharePoint Server sane correctamente las solicitudes web.

La tabla siguiente contiene vínculos a la entrada estándar para cada vulnerabilidad de la lista Vulnerabilidades comunes y exposiciones:

Título de vulnerabilidad Número cve Divulgado públicamente Explotados
Vulnerabilidad de XSS de Microsoft SharePoint CVE-2017-0107 No No

Factores de mitigación

Microsoft no ha identificado ningún factor de mitigación para esta vulnerabilidad.

Soluciones alternativas

Microsoft no ha identificado ninguna solución alternativa para esta vulnerabilidad.

Vulnerabilidad de validación de certificados de Microsoft Lync para Mac: CVE-2017-0129

Existe una omisión de características de seguridad cuando el cliente lync para Mac 2011 no puede validar correctamente los certificados. Un atacante que aprovechara correctamente esta vulnerabilidad podría alterar las comunicaciones de confianza entre el servidor y el cliente de destino.

Para aprovechar la vulnerabilidad, un atacante tendría que interceptar y manipular el tráfico de red.

La actualización de seguridad aborda la vulnerabilidad mediante la corrección de cómo el cliente de Lync para Mac 2011 valida los certificados.

La tabla siguiente contiene vínculos a la entrada estándar para cada vulnerabilidad de la lista Vulnerabilidades comunes y exposiciones:

Título de vulnerabilidad Número cve Divulgado públicamente Explotados
Vulnerabilidad de validación de certificados de Microsoft Lync para Mac CVE-2017-0129 No No

Factores de mitigación

Microsoft no ha identificado ningún factor de mitigación para esta vulnerabilidad.

Soluciones alternativas

Microsoft no ha identificado ninguna solución alternativa para esta vulnerabilidad.

Implementación de actualizaciones de seguridad

Para obtener información sobre la implementación de actualizaciones de seguridad, consulte el artículo de Microsoft Knowledge Base al que se hace referencia en el resumen ejecutivo.

Agradecimientos

Microsoft reconoce los esfuerzos de los miembros de la comunidad de seguridad que nos ayudan a proteger a los clientes a través de la divulgación coordinada de vulnerabilidades. Consulte Confirmaciones para obtener más información.

Declinación de responsabilidades

La información proporcionada en Microsoft Knowledge Base se proporciona "tal cual" sin garantía de ningún tipo. Microsoft renuncia a todas las garantías, ya sea expresas o implícitas, incluidas las garantías de comerciabilidad y idoneidad para un propósito determinado. En ningún caso, Microsoft Corporation o sus proveedores serán responsables de cualquier daño, incluyendo daños directos, indirectos, incidentales, consecuentes, pérdida de beneficios empresariales o daños especiales, incluso si Microsoft Corporation o sus proveedores han sido informados de la posibilidad de tales daños. Algunos estados no permiten la exclusión o limitación de responsabilidad por daños consecuenciales o incidentales, por lo que es posible que no se aplique la limitación anterior.

Revisiones

  • V1.0 (14 de marzo de 2017): Boletín publicado.
  • V2.0 (11 de abril de 2017): Para solucionar completamente CVE-2017-0027 solo para Office para Mac 2011, Microsoft publica la actualización de seguridad 3212218. Microsoft recomienda que los clientes que ejecutan Office para Mac 2011 instalen la actualización 3212218 para que estén totalmente protegidos de esta vulnerabilidad. Consulte el artículo de Microsoft Knowledge Base 3212218 para obtener más información.

Página generada 2017-04-10 14:50-07:00.