Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
  

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

       

Denegación de servicio en MS Office (LsCreateLine)
 
VSantivirus No. 2187 Año 10, martes 11 de julio de 2006

 Denegación de servicio en MS Office (LsCreateLine)
http://www.vsantivirus.com/vul-office-090706.htm

Por Angela Ruiz
angela@videosoft.net.uy

Una vulnerabilidad del tipo denegación de servicio, ha sido anunciada en Microsoft Office. La misma permite a un atacante hacer que el programa afectado deje de responder.

Aunque originalmente se catalogó esta vulnerabilidad como crítica, alegando su capacidad de ejecutar código, esta posibilidad ha sido desmentida en el blog del centro de respuestas relacionadas con la seguridad de Microsoft http://blogs.technet.com/msrc/archive/2006/07/10/441006.aspx

La única consecuencia de este fallo, es que la aplicación involucrada se cierre al intentar abrir un documento malformado.

El problema se debe a un acceso indebido a la memoria del programa en el componente MSO.DLL (MSO9.DLL en versiones anteriores de Office), provocado por la función "LsCreateLine" de dicha biblioteca, cuando se maneja un documento modificado maliciosamente.

Se ha publicado una prueba de concepto.

MSO.DLL (o MSO9.DLL), es utilizado por EXCEL.EXE, MSACCESS.EXE, MSPUB.EXE, OUTLOOK.EXE, POWERPNT.EXE y WINWORD.EXE entre otros, aunque el fallo ha sido solamente comprobado en Microsoft Word (WINWORD.EXE).

Soluciones:

No existe un parche oficial al publicarse esta alerta.

Se recomienda no abrir documentos de ninguna clase que hayan sido recibidos de Internet sin haber sido solicitados, y mucho menos descargados de sitios desconocidos.

Software afectado:

- Microsoft Office 2000
- Microsoft Office 2003
- Microsoft Office XP
- Microsoft Word 2000
- Microsoft Word 2002
- Microsoft Word 2003

Referencias:

Microsoft Office Object Library "LsCreateLine()" Improper Memory Access Vulnerability
http://www.frsirt.com/english/advisories/2006/2720

Microsoft Office MSO.DLL LsCreateLine() Potential Code Execution Vulnerability
http://www.securityfocus.com/bid/18905

Information about claims about unchecked boundary condition vulnerability in Word 
http://blogs.technet.com/msrc/archive/2006/07/10/441006.aspx

Créditos:

naveed afzal (milw0rm .com)






(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2006 Video Soft BBS