MS09-060
PeligrosidadDañoPropagación

Efectos 

MS09-060 no está catalogado como virus, gusano, troyano o backdoor. Se trata de un grupo de vulnerabilidades críticas en los controles ActiveX de Active Template Library (ATL), que permite ejecutar remotamente código arbitrario en el sistema vulnerable y la divulgación de información.

Los componentes afectados son:

• Outlook 2007 sobre Office 2007.
• Outlook 2003 sobre Office 2003.
• Outlook 2002 sobre Office XP.
• Visio Viewer 2007/2003/2002.

Las vulnerabilidades corregidas son:

• Vulnerabilidad de objeto no inicializado en ATL: esta vulnerabilidad de código remoto se debe a un problema en los encabezados ATL que podrían permitir a un usuario atacante hacer que VariantClear se llamara en una variante que se haya inicializado correctamente.
• Vulnerabilidad de inicialización COM de ATL: esta vulnerabilidad de código remoto se debe a problemas en los encabezados ATL que tratan la ejecución de un objeto a partir de los flujos de datos.
  
  Si se explota con éxito, MS09-060 permitiría a los piratas informáticos conseguir control remoto del ordenador afectado, con los mismos privilegios que el usuario que haya iniciado la sesión.
• Vulnerabilidad de cadena nula en ATL: vulnerabilidad de divulgación de información que se produce debido a un problema en las cabeceras ATL que podrían permitir que una cadena se lea sin bytes NULL finales.
  
  Si se explota con éxito, podría permitir a un usuario atacante obtener acceso a los datos disponibles para el usuario que ha iniciado sesión.

Habitualmente, MS09-060 se explota mediante una página web especialmente creada, y convenciendo a los usuarios de que la visiten. Para ello, un usuario atacante podría enviar un correo electrónico o un mensaje instantáneo con un enlace a la página web maliciosa.

Si tiene instalado en el ordenador alguno de los componentes Office vulnerables, es recomendable descargar e instalar el parche de seguridad para esta vulnerabilidad. Pulse aquí para acceder a la página web de descarga de este parche.