Ayer salió a la luz una nueva vulnerabilidad de día cero en los productos de Microsoft Office 2010, mas concretamente en Word y sus archivos .RTF (formato de texto enriquecido). Fue a través del grupo de seguridad de Google Drew Hintz, Shane Huntley, y Matty Pellegrino.
Según el aviso de seguridad de la web de Microsoft es una vulnerabilidad de ejecución remota (CVE-2014-1761) que podría ser explotada por un archivo .RTF que estuviese especialmente diseñado para llevar a cabo una infección de malware, en el caso de que alguien abriese (o viese con "vista previa") un documento con dicho formato en Outlook.
Los gigantes de Redmond han reconocido que también afecta a versiones de Word 2003, 2007, 2013 y Word Viewer, así como la versión de Office para Mac 2011.
Microsoft ha anunciado que ya están trabajando en un parche que será lanzado en la actualización del 8 de Abril, aunque ya puedes usar la herramienta temporal o instalar el EMET (Enhanced Mitigation Experience Toolkit) que bloquea el ataque, si no quieres tener problemas (solo para usuarios de Windows).
Aclarar que "la herramienta temporal" no corrige la vulnerabilidad, ya que solo evita la apertura de contenido .RTF
Así que, ya sabéis, no descarguéis ningún archivo .RTF y no abráis ningún adjunto que os llegue por correo electrónico, ni siquiera uséis la vista previa".
Podéis también deshabilitar RTF como formato compatible con Microsoft Office o trabajar con texto sin formato en los mensajes de correo electrónico.
Roberto García (@1GbdeInfo)
