Se encuentra una nueva vulnerabilidad de día cero en Microsoft Word

Microsoft Office ha sido criticado con frecuencia por su seguridad: se encontraron una gran cantidad de vulnerabilidades en el conjunto de aplicaciones de Office a lo largo de los años, y muchas de ellas eran críticas. Microsoft trabaja continuamente para mejorar la seguridad y la estabilidad de las aplicaciones de Office y les ofrece actualizaciones con la mayor frecuencia posible. Pero parece que no todas las vulnerabilidades se pueden solucionar de inmediato. Un informe reciente de una firma de investigación de seguridad, FireEye, revela que los usuarios aún pueden ser atacados con un simple archivo RTF abierto en Microsoft Word.

Los piratas informáticos pueden enviar un archivo RTF especial a cualquier usuario, que ejecutará un script de Visual Basic cuando se abra en Word, lo que permitirá la ejecución del código dañino. Dicho método de ataque ya lo utilizan los delincuentes desde hace algunas semanas y Microsoft es consciente de su existencia.

McAfee, la empresa de seguridad más conocida por sus productos antivirus, también ha descubierto esta vulnerabilidad y la llama un "error lógico":

El exploit exitoso cierra el documento de cebo de Word y muestra uno falso para mostrárselo a la víctima. En segundo plano, el malware ya se ha instalado sigilosamente en el sistema de la víctima.

La causa del problema, según los investigadores, está oculta en la tecnología Object Linking and Embedding (OLE) de Microsoft. Todas las versiones de la suite de Office, incluido Office 2016, son actualmente vulnerables a este exploit.

Microsoft espera solucionar este problema con un parche que se distribuirá más tarde hoy con su lanzamiento regular del martes de parches.