Launch Printer Friendly Page Security TechCenter > Boletines de seguridad > Boletín de seguridad de Microsoft MS12-057

Boletín de seguridad de Microsoft MS12-057 - Importante

Una vulnerabilidad en Microsoft Office podría permitir la ejecución remota de código (2731879)

Publicado: | Actualizado:

Versión: 2.1

Información general

Resumen ejecutivo

Esta actualización de seguridad resuelve una vulnerabilidad de la que se ha informado de forma privada en Microsoft Office. La vulnerabilidad podría permitir la ejecución remota de código si un usuario abre un archivo especialmente diseñado o inserta un archivo gráfico CGM especialmente diseñado en un archivo de Office. Un atacante que aprovechara esta vulnerabilidad podría conseguir el mismo nivel de derechos de usuario que el usuario actual. Los usuarios cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrían un riesgo menor que los que cuenten con derechos de usuario administrativos.

Esta actualización de seguridad se considera importante para las ediciones compatibles de Microsoft Office 2007 y Microsoft Office 2010. Para obtener más información, vea la subsección Software afectado y no afectado, en esta sección.

La actualización de seguridad corrige la vulnerabilidad al deshabilitar la carga de archivos gráficos CGM en las aplicaciones de Microsoft Office. Para obtener más información acerca de las vulnerabilidades, consulte la subsección Preguntas más frecuentes (P+F) de la entrada de vulnerabilidad específica en la sección siguiente, Información sobre la vulnerabilidad.

Recomendación. Los clientes pueden configurar las actualizaciones automáticas para buscar en línea actualizaciones de Microsoft Update mediante el uso del servicio Microsoft Update. Los clientes que tienen habilitadas las actualizaciones automáticas y configuradas para buscar en línea actualizaciones de Microsoft Update normalmente no tienen que realizar ninguna acción porque esta actualización de seguridad se descargará e instalará automáticamente. Los clientes que no han habilitado las actualizaciones automáticas deben buscar las actualizaciones en Microsoft Update e instalar esta actualización manualmente. Para obtener información acerca de opciones de configuración específicas en las actualizaciones automáticas en ediciones compatibles de Windows XP y Windows Server 2003, vea el artículo 294871 de Microsoft Knowledge Base. Para obtener información acerca de las actualizaciones automáticas en las ediciones compatibles de Windows Vista, Windows Server 2008, Windows 7 y Windows Server 2008 R2, vea Introducción a las actualizaciones automáticas de Windows.

Para administradores e instalaciones empresariales, o usuarios finales que deseen instalar esta actualización de seguridad manualmente, Microsoft recomienda que los clientes apliquen la actualización a la primera oportunidad con el software de administración de actualizaciones o busquen las actualizaciones con el servicio Microsoft Update.

Vea también la sección Herramientas y consejos para la detección e implementación, más adelante en este boletín.

Problemas conocidos. En el artículo 2731879 de Microsoft Knowledge Base se señalan los problemas detectados que pueden experimentar los clientes al instalar esta actualización de seguridad. Se documentan asimismo las soluciones propuestas. Cuando los problemas conocidos y las soluciones recomendadas corresponden sólo a versiones específicas de este software, este artículo proporciona vínculos a más artículos.

Software afectado y no afectado

El software siguiente se ha probado para determinar las versiones o ediciones que están afectadas. Otras versiones o ediciones han llegado al final de su ciclo de vida o no están afectadas. Para determinar el ciclo de vida del soporte técnico de su versión o edición de software, vea Ciclo de vida del soporte técnico de Microsoft.

Software afectado

Conjunto de programas de Office y otro software afectadoRepercusión de seguridad máximaClasificación de gravedad acumuladaActualizaciones reemplazadas
Microsoft Office 2007 Service Pack 2
(KB2596615)

Microsoft Office 2007 Service Pack 2
(KB2596754)
Ejecución remota de códigoImportanteKB2584063 en MS11-073 se reemplaza por KB2596615

KB2288931 en MS10-105 se reemplaza por KB2596754
Microsoft Office 2007 Service Pack 3
(KB2596615)

Microsoft Office 2007 Service Pack 3
(KB2596754)
Ejecución remota de códigoImportanteNinguna
Microsoft Office 2010 Service Pack 1 (ediciones de 32 bits)
(KB2687501)

Microsoft Office 2010 Service Pack 1 (ediciones de 32 bits)
(KB2687510)
Ejecución remota de códigoImportanteKB2584066 en MS11-073 se reemplaza por KB2553260 o KB2687501
Microsoft Office 2010 Service Pack 1 (ediciones de 64 bits)
(KB2687501)

Microsoft Office 2010 Service Pack 1 (ediciones de 64 bits)
(KB2687510)
Ejecución remota de códigoImportanteKB2584066 en MS11-073 se reemplaza por KB2553260 o KB2687501

Software no afectado

Office y otro software
Microsoft Office 2003 Service Pack 3
Microsoft Office 2008 para Mac
Microsoft Office para Mac 2011
Paquete de compatibilidad de Microsoft Office Service Pack 2 y Paquete de compatibilidad de Microsoft Office Service Pack 3
Microsoft Word Viewer
Microsoft Excel Viewer 2007 Service Pack 2 y Microsoft Excel Viewer 2007 Service Pack 3
Microsoft PowerPoint Viewer 2007 Service Pack 2 y Microsoft PowerPoint Viewer 2007 Service Pack 3
Microsoft PowerPoint Viewer 2010 Service Pack 1
Microsoft Visio Viewer 2010 Service Pack 1 (edición de 32 bits)
Microsoft Works 9

Preguntas más frecuentes (P+F) relacionadas con esta actualización de seguridad

Información sobre la vulnerabilidad

Gravedad e identificadores de vulnerabilidad

Vulnerabilidad de daños en la memoria relacionada con el formato de archivo CGM (CVE-2012-2524)

Información sobre la actualización

Herramientas y consejos para la detección e implementación

Implementación de la actualización de seguridad

Información adicional:

Agradecimientos

Microsoft muestra su agradecimiento a todas las personas que han trabajado con nosotros para proteger a los clientes:

  • Andrei Costin
  • , por informar de la vulnerabilidad de daños en la memoria relacionada con el formato de archivo CGM (CVE-2012-2524)

Microsoft Active Protections Program (MAPP)

Para mejorar las protecciones de seguridad de los clientes, Microsoft proporciona información acerca de las vulnerabilidades a los principales proveedores de software de seguridad antes de cada publicación mensual de las actualizaciones de seguridad. De este modo, los proveedores de software de seguridad pueden usar esta información para proporcionar protecciones actualizadas a los clientes mediante su software o dispositivos de seguridad, como, por ejemplo, antivirus, sistemas de detección de intrusiones de red o sistemas de prevención de intrusiones de host. Para determinar si hay disponibles protecciones activas en los proveedores de software de seguridad, vaya a los sitios web de protecciones activas que proporcionan los asociados, enumeradas en Asociados de Microsoft Active Protections Program (MAPP).

Soporte técnico

Cómo obtener ayuda y soporte técnico para esta actualización de seguridad

Renuncia

La información proporcionada en Microsoft Knowledge Base se suministra "tal cual", sin garantías de ningún tipo. Microsoft renuncia al otorgamiento de toda garantía, tanto expresa como implícita, incluidas las garantías de comerciabilidad e idoneidad para un determinado fin. Ni Microsoft Corporation ni sus proveedores se responsabilizarán en ningún caso de daños directos, indirectos, incidentales, consecuenciales, pérdida de beneficios o daños especiales, aun en el supuesto de que se hubiera informado a Microsoft Corporation o a sus proveedores de la posibilidad de dichos daños. Algunos estados de Estados Unidos no permiten la exclusión o limitación de responsabilidad por daños consecuenciales o incidentales, y, por tanto, la limitación anterior puede no ser aplicable en su caso.

Revisiones

  • V1.0 (14 de agosto de 2012): Publicación del boletín.
  • V2.0 (11 de diciembre de 2012): se ha vuelto a publicar el boletín para reemplazar las actualizaciones KB2553260 y KB2589322 por las actualizaciones KB2687501 y KB2687510, respectivamente, para Microsoft Office 2010 Service Pack 1. Vea las preguntas más frecuentes de la actualización para obtener más detalles.
  • V2.1 (30 de enero de 2013): se ha aclarado que a los clientes con las actualizaciones KB2553260 y KB2589322 se les ofrecerán las actualizaciones KB2687501 y KB2687510, respectivamente, para Microsoft Office 2010 Service Pack 1. Vea las preguntas más frecuentes de la actualización para obtener detalles.