Microsoft admite una nueva vulnerabilidad de día cero
Por tercera vez en dos meses, Microsoft ha reconocido un fallo en ActiveX; esta vez afecta a los usuarios de Office que ejecutan Internet Explorer.
En un aviso de seguridad emitido ayer por Microsoft, la compañía alerta de que los hackers están explotando una brecha crítica y sin parchear en el control ActiveX que pone en riesgo a los usuarios de Internet Explorer. En los últimos dos meses, Microsoft ha reconocido tres vulnerabilidades de día cero, dos de ellas en una semana. Precisamente hoy, la compañía emite una actualización de seguridad con la que corregirá los últimos defectos reconocidos.
El nuevo fallo se encuentra en Office Web Components, un conjunto de controles ActiveX utilizado para publicar contenidos Office en la web y para desplegar ese contenido en IE. Concretamente, el agujero se encuentra en el control ActiveX que muestra las hojas de cálculo Excel dentro de Internet Explorer.
Los usuarios de Office XP, Office 2003, Internet Security and Acceleration Server (ISA) 2004, ISA 2006 y Office Small Business Accounting 2006 podrían sufrir un ataque a través de IE, tal y como ha advertido Microsoft. El agujero ha sido calificado como amenaza “crítica” y “podría ser utilizado para la ejecución de código en remoto”, describe Fermín Serna del MSRC en el blog del centro de respuestas de seguridad.
Como en su aviso de la pasada semana, Microsoft vuelve a indicar que el ataque más probable podría implicar a un sitio web malicioso que aloja el exploit.
Los usuarios que utilicen navegadores como Firefox o Chrome no son susceptibles de ataque, pues no soportan ActiveX. Tampoco son vulnerables los usuarios de Office 2007, al menos por defecto, aunque podrían serlo si han descargado manualmente e instalado Office Web Components 11, asociado a Office 2003.
La compañía ha asegurado que está trabajando en una actualización de seguridad, si bien aún no ha ofrecido una fecha para su publicación. Mientras llega, se puede activar el “kill bit” para ActiveX.
