• Vulnerabilidad en Excel
06/02/07
Microsoft advierte sobre nueva vulnerabilidad
Según el productor de software, se ha descubierto una nueva vulnerabilidad en Excel que, hasta la fecha, no ha sido reparada. El fabricante lo ha calificado como «vulnerabilidad de día cero» porque puede ser explotada inmediatamente, mediante un archivo enviado por correo electrónico o visitando ciertos sitios Web de «malware».
Microsoft está investigando un número limitado de ataques que ya se han producido en varias versiones de Office, incluyendo 2000, 2002, 2003 y 2004 para el Mac.
El archivo malicioso o el sitio Web deben contener un archivo de Office destinado a corromper la memoria del sistema y permitir al atacante ejecutar sus órdenes en el ordenador afectado. Existen todavía otras cuatro vulnerabilidades de Office abiertas, para las cuales se están elaborando parches. No se ha indicado si éstos estarán disponibles antes del 13 de febrero, en que se distribuirán actualizaciones programadas.
• Problema de seguridad en Windows Vista
02/02/07
Vulnerabilidad en el reconocimiento de voz
Según informa hoy la BBC, Microsoft ha admitido que la función de reconocimiento de voz en Vista tiene una vulnerabilidad por la cual un PC puede «decirse a sí mismo» que borre archivos o carpetas.
Vista puede responder a órdenes orales, y hay preocupación sobre audio malicioso en sitios web o enviado via correo electrónico.
En una demostración de usuarios, un fichero MP3 con órdenes orales se usaba para indicar al PC que borrase documentos.
Microsoft dijo que el problema era «técnicamente posible» pero que no hay de qué preocuparse. La empresa señaló que para que la vulnerabilidad fuese viable hay que tener activado y configurado el reconocimiento de voz, y que el micrófono y los altavoces deben estar encendidos.
«La vulnerabilidad consistiría en que la función de reconocimiento de voz tomara las órdenes del micrófono, como “copiar”, “borrar”, “apagar”, etc., y las ejecutara.» según indicó un investigador de seguridad de Microsoft.
El informe indica que algunos usuarios de Vista ya han probado la vulnerabilidad y han podido borrar archivos y vaciar la papelera de reciclaje, para que éstos no fueran recuperables.
Microsoft, por su parte, señaló que aunque la máquina estuviese preparada para aceptar órdenes orales, sería improbable que el usuario no estuviese presente al reproducirse el archivo con las órdenes maliciosas.
La firma indicó también que las órdenes orales no pueden usarse para funciones privilegiadas, como crear un nuevo usuario o dar formato a un disco.
«También existen otras barreras que dificultan el ataque, incluyendo la posición del altavoz y del micrófono, la realimentación acústica y la claridad y el volumen del dictado», escribió el investigador de Microsoft. Además, el idioma de las órdenes debe coincidir con aquel que el equipo está preparado a reconocer; por lo que órdenes en inglés no funcionarían en un ordenador configurado para castellano, por ejemplo.