Microsoft publica un conjunto de parches acumulativos para Excel y Word que ofrecen la protección de todos los parches publicados hasta la fecha y además cubren cuatro nuevas vulnerabilidades que permitirían a un atacante la ejecución de macros en el sistema. La primera de las vulnerabilidades que puede permitir la ejecución de macros de Excel está relacionada con el tratamiento de macros asociadas con objetos. La vulnerabilidad puede permitir que las macros se ejecuten y eviten el modelo de seguridad cuando un usuario pulsa en un objeto en un libro de Excel.

También existe una vulnerabilidad en Excel en el tratamiento de las macros en libros de Excel cuando se abren a través de un enlace en una imagen de otro libro. Una macro maliciosa puede ser activada de forma que se ejecute de forma automática.

La tercera vulnerabilidad se puede producir al abrir un libro Excel con una hoja de estilo XSL con scripts HTML. El script dentro de la hoja de estilos XSL se ejecutará en la zona de seguridad local del ordenador.

Por último, una nueva variante de la vulnerabilidad publicada en el 2000 sobre la función Mail Merge. Esta nueva vulnerabilidad puede permitir la ejecución de código automáticamente si el usuario tiene instalado Access y selecciona un documento mail merge grabado anteriormente en formato HTML.

Los problemas afectan a Microsoft Excel y Office 2000, Excel y Office 2002 y Office XP.

Las actualizaciones se pueden descargar desde el sitio de actualización de Office en: http://office.microsoft.com/productupdates/default.aspx

Actualizaciones para Microsoft Excel 2000:
Instalación de cliente:
http://office.microsoft.com/downloads/2000/exc0901.aspx
Instalación administrativa:
http://www.microsoft.com/office/ork/...n/exc0901a.htm

Actualizaciones para Microsoft Excel 2000
Instalación de cliente:
http://office.microsoft.com/downloads/2002/exc1002.aspx
Instalación administrativa:
http://www.microsoft.com/office/ork/...n/exc1002a.htm

Actualizaciones para Microsoft Word 2002:
Instalación de cliente:
http://office.microsoft.com/downloads/2002/wrd1004.aspx
Instalación administrativa:
http://www.microsoft.com/office/ork/...n/wrd1004a.htm

Más Información:

Boletín de seguridad Microsoft MS02-31
Cumulative Patches for Excel and Word for Windows
http://www.microsoft.com/technet/sec...n/MS02-031.asp
  • Nota Ampliatoria
"Documentos Word pueden permitir la ejecución de macros

Microsoft publica un boletín en el cual informa a todos los usuarios de la posibilidad de que en documentos Word maliciosamente creados estos lleguen a permitir la ejecución de macros sin la autorización del usuario. Word, como otros miembros de la familia de productos Office proporciona un mecanismo de seguridad que requiere la aprobación del usuario para la ejecución de macros. Por diseño, cada vez que un documento Word se abre Word comprueba la existencia de macros en él, si encuentra alguna macro esta se trata de acuerdo con la configuración de seguridad seleccionada por el usuario. Por defecto en Word 2000, sólo se permiten las macros
que están firmadas por una fuente confiable, el resto están inhabilitadas. En Word 97, si el documento contiene macros el usuario es interrogado sobre su deseo de activarla o desactivarla.

Existe una vulnerabilidad debido a la posibilidad de modificar un documento Word de tal forma que evita que el escáner de seguridad reconozca una macro incluida en el documento y permita su ejecución. Si un atacante logra explotar esta vulnerabilidad podrá lograr que la macro se ejecute automáticamente cuando se abra el documento. Esta macro podrá realizar cualquier acción que pueda llevar a cabo el usuario que abrió el documento.

Para evitar los efectos de esta vulnerabilidad Microsoft ha publicado parches para las diferentes versiones de Word que se encuentran en las
direcciones:

Microsoft Word 2002:
http://office.microsoft.com/downloads/2002/wrd1001.aspx

Microsoft Word 2000:
http://office.microsoft.com/download.../wd2kmsec.aspx

Microsoft Word 97:
http://office.microsoft.com/download.../wd97mcrs.aspx

Microsoft Word 2001 para Macintosh:
http://www.microsoft.com/mac/downloa.../wordmacro.asp

Microsoft Word 98 para Macintosh:
http://www.microsoft.com/mac/downloa...ordmacro98.asp

Más Información:

Boletín de seguridad Microsoft (MS01-034):
http://www.microsoft.com/technet/sec...n/MS01-034.asp