Boletín de seguridad de Microsoft MS16-107: crítico
Actualización de seguridad para Microsoft Office (3185852)
Publicado: 13 de septiembre de 2016 | Actualizado: 22 de septiembre de 2016
Versión: 2.0
Resumen ejecutivo
Esta actualización de seguridad resuelve vulnerabilidades en Microsoft Office. La más grave de las vulnerabilidades podría permitir la ejecución remota de código si un usuario abre un archivo de Microsoft Office especialmente diseñado. Un atacante que aprovechara correctamente las vulnerabilidades podría ejecutar código arbitrario en el contexto del usuario actual. Los clientes cuyas cuentas están configuradas para tener menos derechos de usuario en el sistema podrían verse menos afectados que los que operan con derechos de usuario administrativos.
Para obtener más información, consulte la sección Clasificación de gravedad de vulnerabilidad y software afectado.
La actualización de seguridad aborda las vulnerabilidades mediante la corrección de cómo:
- Microsoft Office guarda documentos.
- Los componentes click-to-Run controlan las direcciones de memoria.
- las versiones afectadas de los componentes de Office y Office controlan objetos en memoria.
- Microsoft Outlook determina el final de los mensajes MIME.
Para obtener más información sobre las vulnerabilidades, consulte la sección Información de vulnerabilidades.
Para obtener más información sobre esta actualización, consulte el artículo de Microsoft Knowledge Base 3185852.
Clasificaciones de gravedad de software y vulnerabilidad afectadas
Las siguientes versiones o ediciones de software se ven afectadas. Las versiones o ediciones que no aparecen en la lista son anteriores a su ciclo de vida de soporte técnico o no se ven afectadas. Para determinar el ciclo de vida de soporte técnico de la versión o edición de software, consulte ciclo de vida de Soporte técnico de Microsoft.
Las siguientes clasificaciones de gravedad asumen el posible impacto máximo de la vulnerabilidad. Para obtener información sobre la probabilidad, en un plazo de 30 días a partir de la publicación de este boletín de seguridad, de la vulnerabilidad en relación con su clasificación de gravedad e impacto en la seguridad, consulte el Índice de vulnerabilidades en el resumen del boletín de septiembre.
Software de Microsoft Office (tabla 1 de 2)
Software afectado | Omisión de ASLR de Microsoft APP-V: CVE-2016-0137 | Vulnerabilidad de divulgación de información de Microsoft: CVE-2016-0141 | Vulnerabilidad de daños en la memoria de Microsoft Office: CVE-2016-3357 | Vulnerabilidad de daños en la memoria de Microsoft Office: CVE-2016-3358 | Vulnerabilidad de daños en la memoria de Microsoft Office: CVE-2016-3359 | Vulnerabilidad de daños en la memoria de Microsoft Office: CVE-2016-3360 | Vulnerabilidad de daños en la memoria de Microsoft Office: CVE-2016-3361 | Novedades reemplazado* |
---|---|---|---|---|---|---|---|---|
Microsoft Office 2007 | ||||||||
Microsoft Office 2007 Service Pack 3 (3118300) | No aplicable | Divulgación de información importante | Ejecución críticade código remoto | No aplicable | No disponible | No disponible | No aplicable | 3114893 en MS16-099 |
Microsoft Excel 2007 Service Pack 3 (3115459) | No aplicable | No disponible | No aplicable | Importanteejecución remota de código | Importanteejecución remota de código | No aplicable | No aplicable | 3115306 en MS16-088 |
Microsoft Outlook 2007 (3118303) | No aplicable | No disponible | No disponible | No disponible | No disponible | No disponible | No aplicable | 3114981 en MS16-099 |
Microsoft PowerPoint 2007 Service Pack 3 (3114744) | No aplicable | No disponible | No disponible | No disponible | No aplicable | Importanteejecución remota de código | No aplicable | 3114429 en MS16-004 |
Microsoft Office 2010 | ||||||||
Microsoft Office 2010 Service Pack 2 (ediciones de 32 bits) (3118309) | No aplicable | Divulgación de información importante | Ejecución críticade código remoto | No aplicable | No disponible | No disponible | No aplicable | 3114869 en MS16-099 |
Microsoft Office 2010 Service Pack 2 (ediciones de 64 bits) (3118309) | No aplicable | Divulgación de información importante | Ejecución críticade código remoto | No aplicable | No disponible | No disponible | No aplicable | 3114869 en MS16-099 |
Microsoft Office 2010 Service Pack 2 (ediciones de 32 bits) (2553432) | No aplicable | No aplicable | Ejecución críticade código remoto | No aplicable | No disponible | No disponible | No aplicable | None |
Microsoft Office 2010 Service Pack 2 (ediciones de 64 bits) (2553432) | No aplicable | No aplicable | Ejecución críticade código remoto | No aplicable | No disponible | No disponible | No aplicable | None |
Microsoft Excel 2010 Service Pack 2 (ediciones de 32 bits) (3118316) | No aplicable | No disponible | No aplicable | Importanteejecución remota de código | Importanteejecución remota de código | No aplicable | Importanteejecución remota de código | 3115322 en MS16-088 |
Microsoft Excel 2010 Service Pack 2 (ediciones de 64 bits) (3118316) | No aplicable | No disponible | No aplicable | Importanteejecución remota de código | Importanteejecución remota de código | No aplicable | Importanteejecución remota de código | 3115322 en MS16-088 |
Microsoft Outlook 2010 Service Pack 2 (ediciones de 32 bits) (3118313) | No aplicable | No disponible | No disponible | No disponible | No disponible | No disponible | No aplicable | 3115474 en MS16-099 |
Microsoft Outlook 2010 Service Pack 2 (ediciones de 64 bits) (3118313) | No aplicable | No disponible | No disponible | No disponible | No disponible | No disponible | No aplicable | 3115474 en MS16-099 |
Microsoft PowerPoint 2010 Service Pack 2 (ediciones de 32 bits) (3115467) | No aplicable | No disponible | No disponible | No disponible | No aplicable | Importanteejecución remota de código | No aplicable | 3115118 en MS16-088 |
Microsoft PowerPoint 2010 Service Pack 2 (ediciones de 64 bits) (3115467) | No aplicable | No disponible | No disponible | No disponible | No aplicable | Importanteejecución remota de código | No aplicable | 3115118 en MS16-088 |
Microsoft Office 2013 | ||||||||
Microsoft Office 2013 Service Pack 1 (ediciones de 32 bits)[2] | Omisión importantede características de seguridad | No aplicable | No disponible | No disponible | No disponible | No disponible | No aplicable | None |
Microsoft Office 2013 Service Pack 1 (ediciones de 64 bits)[2] | Omisión importantede características de seguridad | No aplicable | No disponible | No disponible | No disponible | No disponible | No aplicable | None |
Microsoft Office 2013 Service Pack 1 (ediciones de 32 bits) (3118268) | No aplicable | Divulgación de información importante | Ejecución críticade código remoto | No aplicable | No disponible | No disponible | No aplicable | 3115427 en MS16-099 |
Microsoft Office 2013 Service Pack 1 (ediciones de 64 bits) (3118268) | No aplicable | Divulgación de información importante | Ejecución críticade código remoto | No aplicable | No disponible | No disponible | No aplicable | 3115427 en MS16-099 |
Microsoft Excel 2013 Service Pack 1 (ediciones de 32 bits) (3118284) | No aplicable | No disponible | No aplicable | Importanteejecución remota de código | No aplicable | No disponible | No aplicable | 3115262 en MS16-088 |
Microsoft Excel 2013 Service Pack 1 (ediciones de 64 bits) (3118284) | No aplicable | No disponible | No aplicable | Importanteejecución remota de código | No aplicable | No disponible | No aplicable | 3115262 en MS16-088 |
Microsoft Outlook 2013 Service Pack 1 (ediciones de 32 bits) (3118280) | No aplicable | No disponible | No disponible | No disponible | No disponible | No disponible | No aplicable | 3115452 en MS16-099 |
Microsoft Outlook 2013 Service Pack 1 (ediciones de 64 bits) (3118280) | No aplicable | No disponible | No disponible | No disponible | No disponible | No disponible | No aplicable | 3115452 en MS16-099 |
Microsoft PowerPoint 2013 Service Pack 1 (ediciones de 32 bits) (3115487) | No aplicable | No disponible | No disponible | No disponible | No aplicable | Importanteejecución remota de código | No aplicable | 3115254 en MS16-088 |
Microsoft PowerPoint 2013 Service Pack 1 (ediciones de 64 bits) (3115487) | No aplicable | No disponible | No disponible | No disponible | No aplicable | Importanteejecución remota de código | No aplicable | 3115254 en MS16-088 |
Microsoft Office 2013 RT | ||||||||
Microsoft Office 2013 RT Service Pack 1[1](3118268) | No aplicable | No aplicable | Ejecución críticade código remoto | No aplicable | No disponible | No disponible | No aplicable | 3115427 en MS16-099 |
Microsoft Excel 2013 RT Service Pack 1[1](3118284) | No aplicable | No disponible | No aplicable | Importanteejecución remota de código | No aplicable | No disponible | No aplicable | 3115262 en MS16-088 |
Microsoft Outlook 2013 RT Service Pack 1[1](3118280) | No aplicable | No disponible | No disponible | No disponible | No disponible | No disponible | No aplicable | 3115452 en MS16-099 |
Microsoft PowerPoint RT 2013 Service Pack 1[1](3115487) | No aplicable | No disponible | No disponible | No disponible | No aplicable | Importanteejecución remota de código | No aplicable | 3115254 en MS16-088 |
Microsoft Office 2016 | ||||||||
Microsoft Office 2016 (edición de 32 bits) (3118292) | No aplicable | Divulgación de información importante | Ejecución críticade código remoto | No aplicable | No disponible | No disponible | No aplicable | 3115415 en MS16-099 |
Microsoft Office 2016 (edición de 64 bits) (3118292) | No aplicable | Divulgación de información importante | Ejecución críticade código remoto | No aplicable | No disponible | No disponible | No aplicable | 3115415 en MS16-099 |
Microsoft Excel 2016 (edición de 32 bits) (3118290) | No aplicable | No disponible | No aplicable | Importanteejecución remota de código | No aplicable | No disponible | No aplicable | 3115272 en MS16-088 |
Microsoft Excel 2016 (edición de 64 bits) (3118290) | No aplicable | No disponible | No aplicable | Importanteejecución remota de código | No aplicable | No disponible | No aplicable | 3115272 en MS16-088 |
Microsoft Outlook 2016 (edición de 32 bits) (3118293) | No aplicable | No disponible | No disponible | No disponible | No disponible | No disponible | No aplicable | None |
Microsoft Outlook 2016 (edición de 64 bits) (3118293) | No aplicable | No disponible | No disponible | No disponible | No disponible | No disponible | No aplicable | None |
Microsoft Visio 2016 (ediciones de 32 bits)[2] | No aplicable | No disponible | No disponible | No disponible | No disponible | No disponible | No aplicable | None |
Microsoft Visio 2016 (ediciones de 64 bits)[2] | No aplicable | No disponible | No disponible | No disponible | No disponible | No disponible | No aplicable | None |
Microsoft Office para Mac 2011 | ||||||||
Microsoft Word para Mac 2011[2](3186805) | No aplicable | No aplicable | Ejecución críticade código remoto | No aplicable | No disponible | No disponible | No aplicable | 3179162 en MS16-099 |
Microsoft Office 2016 para Mac | ||||||||
Microsoft Excel 2016 para Mac[2](3186807) | No aplicable | No disponible | No aplicable | Importanteejecución remota de código | No aplicable | No disponible | No aplicable | None |
Microsoft PowerPoint 2016 para Mac[2](3186807) | No aplicable | No disponible | No disponible | No disponible | No aplicable | Importanteejecución remota de código | No aplicable | None |
Microsoft Word 2016 para Mac[2](3186807) | No aplicable | No aplicable | Ejecución críticade código remoto | No aplicable | No disponible | No disponible | No aplicable | 3179163 en MS16-099 |
Microsoft Outlook 2016 para Mac[2](3186807) | No aplicable | No disponible | No disponible | No disponible | No disponible | No disponible | No aplicable | None |
Otro software de Office | ||||||||
Microsoft Office Compatibility Pack Service Pack 3 (2597974) | No aplicable | No disponible | No disponible | No disponible | No aplicable | Importanteejecución remota de código | No aplicable | 2596843 en MS11-094 |
Microsoft Office Compatibility Pack Service Pack 3 (3115462) | No aplicable | No disponible | No aplicable | Importanteejecución remota de código | Importanteejecución remota de código | No aplicable | No aplicable | 3115308 en MS16-088 |
Visor de Microsoft Excel (3115463) | No aplicable | No disponible | No aplicable | Importanteejecución remota de código | Importanteejecución remota de código | No aplicable | No aplicable | 3115114 en MS16-088 |
Microsoft PowerPoint Viewer (3054969) | No aplicable | No disponible | No disponible | No disponible | No aplicable | Importanteejecución remota de código | No aplicable | 3054840 en MS15-046 |
Microsoft Word Viewer (3118297) | No aplicable | No aplicable | Ejecución críticade código remoto | No aplicable | No disponible | No disponible | No aplicable | 3115479 en MS16-099 |
[1]Esta actualización está disponible a través de Windows Update.
[2]Esta referencia es solo para la versión Click-to-Run (C2R). Para obtener más información y el número de versión de Hacer clic y ejecutar actual, vea Actualizar Office 2013 u Office 365.
[3]A partir del 22 de septiembre de 2016, la actualización de 3186805 está disponible para Microsoft Office Mac 2011 y la actualización de 3186807 está disponible para Microsoft Office 2016 para Mac. Para obtener más información, consulte el artículo de Microsoft Knowledge Base 3186805 y el artículo de Microsoft Knowledge Base 3186807.
*La columna Novedades Reemplazada muestra solo la actualización más reciente en una cadena de actualizaciones reemplazadas. Para obtener una lista completa de las actualizaciones reemplazadas, vaya al Catálogo de Microsoft Update, busque el número de actualización y, a continuación, vea los detalles de la actualización (la información reemplazada de actualizaciones se encuentra en la pestaña Detalles del paquete).
Software de Microsoft Office (tabla 2 de 2)
Software afectado | Vulnerabilidad de daños en la memoria de Microsoft Office: CVE-2016-3362 | Vulnerabilidad de daños en la memoria de Microsoft Office: CVE-2016-3363 | Vulnerabilidad de daños en la memoria de Microsoft Office: CVE-2016-3364 | Vulnerabilidad de daños en la memoria de Microsoft Office: CVE-2016-3365 | Vulnerabilidad de suplantación de identidad de Microsoft Office: CVE-2016-3366 | Vulnerabilidad de daños en la memoria de Microsoft Office: CVE-2016-3381 | Novedades reemplazado* |
---|---|---|---|---|---|---|---|
Microsoft Office 2007 | |||||||
Microsoft Office 2007 Service Pack 3 (3118300) | No aplicable | No disponible | No disponible | No disponible | No disponible | No aplicable | 3114893 en MS16-099 |
Microsoft Excel 2007 Service Pack 3 (3115459) | Importanteejecución remota de código | Importanteejecución remota de código | No aplicable | Importanteejecución remota de código | No aplicable | Importanteejecución remota de código | 3115306 en MS16-088 |
Microsoft Outlook 2007 (3118303) | No aplicable | No disponible | No disponible | No aplicable | Suplantación de identidad importante | No aplicable | 3114981 en MS16-099 |
Microsoft PowerPoint 2007 Service Pack 3 (3114744) | No aplicable | No disponible | No disponible | No disponible | No disponible | No aplicable | 3114429 en MS16-004 |
Microsoft Office 2010 | |||||||
Microsoft Office 2010 Service Pack 2 (ediciones de 32 bits) (3118309) | No aplicable | No disponible | No disponible | No disponible | No disponible | No aplicable | 3114869 en MS16-099 |
Microsoft Office 2010 Service Pack 2 (ediciones de 64 bits) (3118309) | No aplicable | No disponible | No disponible | No disponible | No disponible | No aplicable | 3114869 en MS16-099 |
Microsoft Office 2010 Service Pack 2 (ediciones de 32 bits) (2553432) | No aplicable | No disponible | No disponible | No disponible | No disponible | No aplicable | None |
Microsoft Office 2010 Service Pack 2 (ediciones de 64 bits) (2553432) | No aplicable | No disponible | No disponible | No disponible | No disponible | No aplicable | None |
Microsoft Excel 2010 Service Pack 2 (ediciones de 32 bits) (3118316) | Importanteejecución remota de código | Importanteejecución remota de código | No aplicable | Importanteejecución remota de código | No aplicable | Importanteejecución remota de código | 3115322 en MS16-088 |
Microsoft Excel 2010 Service Pack 2 (ediciones de 64 bits) (3118316) | Importanteejecución remota de código | Importanteejecución remota de código | No aplicable | Importanteejecución remota de código | No aplicable | Importanteejecución remota de código | 3115322 en MS16-088 |
Microsoft Outlook 2010 Service Pack 2 (ediciones de 32 bits) (3118313) | No aplicable | No disponible | No disponible | No aplicable | Suplantación de identidad importante | No aplicable | 3115474 en MS16-099 |
Microsoft Outlook 2010 Service Pack 2 (ediciones de 64 bits) (3118313) | No aplicable | No disponible | No disponible | No aplicable | Suplantación de identidad importante | No aplicable | 3115474 en MS16-099 |
Microsoft PowerPoint 2010 Service Pack 2 (ediciones de 32 bits) (3115467) | No aplicable | No disponible | No disponible | No disponible | No disponible | No aplicable | 3115118 en MS16-088 |
Microsoft PowerPoint 2010 Service Pack 2 (ediciones de 64 bits) (3115467) | No aplicable | No disponible | No disponible | No disponible | No disponible | No aplicable | 3115118 en MS16-088 |
Microsoft Office 2013 | |||||||
Microsoft Office 2013 Service Pack 1 (ediciones de 32 bits)[2] | No aplicable | No disponible | No disponible | No disponible | No disponible | No aplicable | None |
Microsoft Office 2013 Service Pack 1 (ediciones de 64 bits)[2] | No aplicable | No disponible | No disponible | No disponible | No disponible | No aplicable | None |
Microsoft Office 2013 Service Pack 1 (ediciones de 32 bits) (3118268) | No aplicable | No disponible | No disponible | No disponible | No disponible | No aplicable | 3115427 en MS16-099 |
Microsoft Office 2013 Service Pack 1 (ediciones de 64 bits) (3118268) | No aplicable | No disponible | No disponible | No disponible | No disponible | No aplicable | 3115427 en MS16-099 |
Microsoft Excel 2013 Service Pack 1 (ediciones de 32 bits) (3118284) | Importanteejecución remota de código | Importanteejecución remota de código | No aplicable | Importanteejecución remota de código | No aplicable | Importanteejecución remota de código | 3115262 en MS16-088 |
Microsoft Excel 2013 Service Pack 1 (ediciones de 64 bits) (3118284) | Importanteejecución remota de código | Importanteejecución remota de código | No aplicable | Importanteejecución remota de código | No aplicable | Importanteejecución remota de código | 3115262 en MS16-088 |
Microsoft Outlook 2013 Service Pack 1 (ediciones de 32 bits) (3118280) | No aplicable | No disponible | No disponible | No aplicable | Suplantación de identidad importante | No aplicable | 3115452 en MS16-099 |
Microsoft Outlook 2013 Service Pack 1 (ediciones de 64 bits) (3118280) | No aplicable | No disponible | No disponible | No aplicable | Suplantación de identidad importante | No aplicable | 3115452 en MS16-099 |
Microsoft PowerPoint 2013 Service Pack 1 (ediciones de 32 bits) (3115487) | No aplicable | No disponible | No disponible | No disponible | No disponible | No aplicable | 3115254 en MS16-088 |
Microsoft PowerPoint 2013 Service Pack 1 (ediciones de 64 bits) (3115487) | No aplicable | No disponible | No disponible | No disponible | No disponible | No aplicable | 3115254 en MS16-088 |
Microsoft Office 2013 RT | |||||||
Microsoft Office 2013 RT Service Pack 1[1](3118268) | No aplicable | No disponible | No disponible | No disponible | No disponible | No aplicable | 3115427 en MS16-099 |
Microsoft Excel 2013 RT Service Pack 1[1](3118284) | Importanteejecución remota de código | Importanteejecución remota de código | No aplicable | Importanteejecución remota de código | No aplicable | Importanteejecución remota de código | 3115262 en MS16-088 |
Microsoft Outlook 2013 RT Service Pack 1[1](3118280) | No aplicable | No disponible | No disponible | No aplicable | Suplantación de identidad importante | No aplicable | 3115452 en MS16-099 |
Microsoft PowerPoint RT 2013 Service Pack 1[1](3115487) | No aplicable | No disponible | No disponible | No disponible | No disponible | No aplicable | 3115254 en MS16-088 |
Microsoft Office 2016 | |||||||
Microsoft Office 2016 (edición de 32 bits) (3118292) | No aplicable | No disponible | No disponible | No disponible | No disponible | No aplicable | 3115415 en MS16-099 |
Microsoft Office 2016 (edición de 64 bits) (3118292) | No aplicable | No disponible | No disponible | No disponible | No disponible | No aplicable | 3115415 en MS16-099 |
Microsoft Excel 2016 (edición de 32 bits) (3118290) | Importanteejecución remota de código | Importanteejecución remota de código | No aplicable | Importanteejecución remota de código | No aplicable | Importanteejecución remota de código | 3115272 en MS16-088 |
Microsoft Excel 2016 (edición de 64 bits) (3118290) | Importanteejecución remota de código | Importanteejecución remota de código | No aplicable | Importanteejecución remota de código | No aplicable | Importanteejecución remota de código | 3115272 en MS16-088 |
Microsoft Outlook 2016 (edición de 32 bits) (3118293) | No aplicable | No disponible | No disponible | No aplicable | Suplantación de identidad importante | No aplicable | None |
Microsoft Outlook 2016 (edición de 64 bits) (3118293) | No aplicable | No disponible | No disponible | No aplicable | Suplantación de identidad importante | No aplicable | None |
Microsoft Visio 2016 (ediciones de 32 bits)[2] | No aplicable | No aplicable | Importanteejecución remota de código | No aplicable | No disponible | No aplicable | None |
Microsoft Visio 2016 (ediciones de 64 bits)[2] | No aplicable | No aplicable | Importanteejecución remota de código | No aplicable | No disponible | No aplicable | None |
Microsoft Office para Mac 2011 | |||||||
Microsoft Word para Mac 2011[2](3186805) | No aplicable | No disponible | No disponible | No disponible | No disponible | No aplicable | 3179162 en MS16-099 |
Microsoft Office 2016 para Mac | |||||||
Microsoft Excel 2016 para Mac[2](3186807) | No aplicable | No disponible | No disponible | No disponible | No disponible | No aplicable | None |
Microsoft PowerPoint 2016 para Mac[2](3186807) | No aplicable | No disponible | No disponible | No disponible | No disponible | No aplicable | None |
Microsoft Word 2016 para Mac[2](3186807) | No aplicable | No disponible | No disponible | No disponible | No disponible | No aplicable | 3179163 en MS16-099 |
Microsoft Outlook 2016 para Mac[2](3186807) | No aplicable | No disponible | No disponible | No aplicable | Suplantación de identidad importante | No aplicable | None |
Otro software de Office | |||||||
Microsoft Office Compatibility Pack Service Pack 3 (2597974) | No aplicable | No disponible | No disponible | No disponible | No disponible | No aplicable | 2596843 en MS11-094 |
Microsoft Office Compatibility Pack Service Pack 3 (3115462) | Importanteejecución remota de código | Importanteejecución remota de código | No aplicable | Importanteejecución remota de código | No aplicable | Importanteejecución remota de código | 3115308 en MS16-088 |
Visor de Microsoft Excel (3115463) | Importanteejecución remota de código | Importanteejecución remota de código | No aplicable | Importanteejecución remota de código | No aplicable | Importanteejecución remota de código | 3115114 en MS16-088 |
Microsoft PowerPoint Viewer (3054969) | No aplicable | No disponible | No disponible | No disponible | No disponible | No aplicable | 3054840 en MS15-046 |
Microsoft Word Viewer (3118297) | No aplicable | No disponible | No disponible | No disponible | No disponible | No aplicable | 3115479 en MS16-099 |
[1]Esta actualización está disponible a través de Windows Update.
[2]Esta referencia es solo para la versión Click-to-Run (C2R). Para obtener más información y el número de versión de Hacer clic y ejecutar actual, vea Actualizar Office 2013 u Office 365.
[3]A partir del 22 de septiembre de 2016, la actualización de 3186805 está disponible para Microsoft Office Mac 2011 y la actualización de 3186807 está disponible para Microsoft Office 2016 para Mac. Para obtener más información, consulte el artículo de Microsoft Knowledge Base 3186805 y el artículo de Microsoft Knowledge Base 3186807.
*La columna Novedades Reemplazada muestra solo la actualización más reciente en una cadena de actualizaciones reemplazadas. Para obtener una lista completa de las actualizaciones reemplazadas, vaya al Catálogo de Microsoft Update, busque el número de actualización y, a continuación, vea los detalles de la actualización (la información reemplazada de actualizaciones se encuentra en la pestaña Detalles del paquete).
Servicios de Microsoft Office y Web Apps
Software afectado | Vulnerabilidad de daños en la memoria de Microsoft Office: CVE-2016-3357 | Vulnerabilidad de daños en la memoria de Microsoft Office: CVE-2016-3358 | Vulnerabilidad de daños en la memoria de Microsoft Office: CVE-2016-3360 | Vulnerabilidad de daños en la memoria de Microsoft Office: CVE-2016-3362 | Vulnerabilidad de daños en la memoria de Microsoft Office: CVE-2016-3365 | Novedades reemplazado* |
---|---|---|---|---|---|---|
Microsoft SharePoint Server 2007 | ||||||
Servicios de Excel en Microsoft SharePoint Server 2007 Service Pack 3 (ediciones de 32 bits) (3115112) | No aplicable | Importanteejecución remota de código | No aplicable | Importanteejecución remota de código | Importanteejecución remota de código | 3114897 en MS16-042 |
Servicios de Excel en Microsoft SharePoint Server 2007 Service Pack 3 (ediciones de 64 bits) (3115112) | No aplicable | Importanteejecución remota de código | No aplicable | Importanteejecución remota de código | Importanteejecución remota de código | 3114897 en MS16-042 |
Microsoft SharePoint Server 2010 | ||||||
Servicios de Excel en Microsoft SharePoint Server 2010 Service Pack 2 (3115119) | No aplicable | Importanteejecución remota de código | No aplicable | Importanteejecución remota de código | Importanteejecución remota de código | 3114871 en MS16-042 |
Word Automation Services en Microsoft SharePoint Server 2010 Service Pack 2 (3115466) | Ejecución críticade código remoto | No aplicable | No disponible | No disponible | No aplicable | 3115312 en MS16-088 |
Microsoft SharePoint Server 2013 | ||||||
Microsoft SharePoint Server 2013 Service Pack 1 (3054862) | Ejecución críticade código remoto | No aplicable | Importanteejecución remota de código | No aplicable | No aplicable | 3039736 en MS15-046 |
Excel Automation Services en Microsoft SharePoint Server 2013 Service Pack 1 (3115169) | Ejecución críticade código remoto | Importanteejecución remota de código | No aplicable | Importanteejecución remota de código | Importanteejecución remota de código | 3114335 en MS16-015 |
Word Automation Services en Microsoft SharePoint Server 2013 Service Pack 1 (3115443) | Ejecución críticade código remoto | No aplicable | No disponible | No disponible | No aplicable | 3115285 en MS16-088 |
Microsoft Office Web Apps 2010 | ||||||
Microsoft Office Web Apps 2010 Service Pack 2 (3115472) | Ejecución críticade código remoto | No aplicable | Importanteejecución remota de código | No aplicable | No aplicable | 3115318 en MS16-088 |
Microsoft Office Web Apps 2013 | ||||||
Microsoft Office Web Apps Server 2013 Service Pack 1 (3118270) | Ejecución críticade código remoto | No aplicable | Importanteejecución remota de código | No aplicable | No aplicable | 3115289 en MS16-088 |
Office Online Server | ||||||
Office Online Server (3118299) | No aplicable | Importanteejecución remota de código | No aplicable | Importanteejecución remota de código | Importanteejecución remota de código | 3115386 en MS16-088 |
*La columna Novedades Reemplazada muestra solo la actualización más reciente en una cadena de actualizaciones reemplazadas. Para obtener una lista completa de las actualizaciones reemplazadas, vaya al catálogo de Microsoft Update, busque el número de KB de actualización y, a continuación, vea los detalles de actualización (la información reemplazada de actualizaciones se encuentra en la pestaña Detalles del paquete).
Preguntas más frecuentes sobre la actualización
Estoy ofreciendo esta actualización para el software que no se indica específicamente como afectado en la tabla Clasificación de gravedad de vulnerabilidad y software afectado. ¿Por qué se me ofrece esta actualización?
Cuando las actualizaciones abordan el código vulnerable que existe en un componente que se comparte entre varios productos de Microsoft Office o que se comparten entre varias versiones del mismo producto de Microsoft Office, la actualización se considera aplicable a todos los productos y versiones admitidos que contienen el componente vulnerable.
Por ejemplo, cuando una actualización se aplica a los productos de Microsoft Office 2007, solo Microsoft Office 2007 puede aparecer específicamente en la tabla Software afectado. Sin embargo, la actualización podría aplicarse a Microsoft Word 2007, Microsoft Excel 2007, Microsoft Visio 2007, Microsoft Compatibility Pack, Microsoft Excel Viewer o cualquier otro producto de Microsoft Office 2007 que no aparezca específicamente en la tabla Software afectado. Además, cuando una actualización se aplica a los productos de Microsoft Office 2010, solo Microsoft Office 2010 puede aparecer específicamente en la tabla Software afectado. Sin embargo, la actualización podría aplicarse a Microsoft Word 2010, Microsoft Excel 2010, Microsoft Visio 2010, Microsoft Visio Viewer o cualquier otro producto de Microsoft Office 2010 que no aparezca específicamente en la tabla Software afectado.
Para obtener más información sobre este comportamiento y las acciones recomendadas, consulte el artículo de Microsoft Knowledge Base 830335. Para obtener una lista de productos de Microsoft Office a los que se puede aplicar una actualización, consulte el artículo de Microsoft Knowledge Base asociado a la actualización específica.
Información de vulnerabilidad
Omisión de ASLR de Microsoft APP-V: CVE-2016-0137
Existe una vulnerabilidad de divulgación de información en la forma en que los componentes click-to-run (C2R) controlan los objetos en la memoria, lo que podría provocar una omisión de selección aleatoria del diseño del espacio de direcciones (ASLR).
Un atacante que aprovechara correctamente la vulnerabilidad de divulgación de información podría usar la información obtenida para omitir el mecanismo de seguridad ASLR en Windows, lo que ayuda a proteger a los usuarios de una amplia clase de vulnerabilidades. La omisión de ASLR por sí misma no permite la ejecución arbitraria del código; Sin embargo, un atacante podría usar la omisión de ASLR junto con otra vulnerabilidad, como una vulnerabilidad de ejecución remota de código, que podría aprovechar la omisión de ASLR para ejecutar código arbitrario.
Para aprovechar la omisión de ASLR, un atacante tendría que iniciar sesión en un sistema afectado y ejecutar una aplicación especialmente diseñada. Las estaciones de trabajo son principalmente vulnerables a la posible omisión de ASLR.
La actualización de seguridad aborda la omisión de ASLR mediante la corrección del modo en que los componentes de C2R controlan las direcciones de memoria.
La tabla siguiente contiene vínculos a la entrada estándar para cada vulnerabilidad de la lista Vulnerabilidades comunes y exposiciones:
Título de vulnerabilidad | Número cve | Divulgado públicamente | Explotados |
---|---|---|---|
Omisión de ASLR de Microsoft APP-V | CVE-2016-0137 | No | No |
Factores de mitigación
Microsoft no ha identificado ningún factor de mitigación para esta condición de omisión.
Soluciones alternativas
Microsoft no ha identificado ninguna solución alternativa para esta condición de omisión.
Vulnerabilidad de divulgación de información de Microsoft: CVE-2016-0141
Existe una vulnerabilidad de divulgación de información cuando las macros de Visual Basic en Office exporta incorrectamente la clave privada de un usuario desde el almacén de certificados mientras guarda un documento. Un atacante que aprovechara correctamente la vulnerabilidad podría obtener acceso a la clave privada del usuario.
El atacante tendría que usar otra vulnerabilidad, o emplear una técnica de ingeniería social, para obtener el documento guardado del usuario.
La actualización de seguridad aborda la vulnerabilidad mediante la corrección de cómo Microsoft Office guarda documentos.
La tabla siguiente contiene vínculos a la entrada estándar para cada vulnerabilidad de la lista Vulnerabilidades comunes y exposiciones:
Título de vulnerabilidad | Número cve | Divulgado públicamente | Explotados |
---|---|---|---|
Vulnerabilidad de divulgación de información de Microsoft | CVE-2016-0141 | No | No |
Factores de mitigación
Microsoft no ha identificado ningún factor de mitigación para esta vulnerabilidad.
Soluciones alternativas
Microsoft no ha identificado ninguna solución alternativa para esta vulnerabilidad.
Varias vulnerabilidades de daños en la memoria de Microsoft Office
Existen varias vulnerabilidades de ejecución remota de código en el software de Microsoft Office cuando el software de Office no puede controlar correctamente los objetos en la memoria. Un atacante que aprovechara correctamente las vulnerabilidades podría ejecutar código arbitrario en el contexto del usuario actual. Si este tiene la sesión iniciada con derechos de usuario administrador, el atacante podría tomar el control del sistema afectado. El atacante, a continuación, podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas con derechos de usuario completos. Los usuarios con cuentas configuradas para tener menos derechos de usuario en el sistema podrían tener un impacto menor que los usuarios que operan con derechos de usuario administrativos.
La explotación de las vulnerabilidades requiere que un usuario abra un archivo especialmente diseñado con una versión afectada del software de Microsoft Office. En un escenario de ataque de correo electrónico, un atacante podría aprovechar las vulnerabilidades enviando el archivo especialmente diseñado al usuario y convenciendo al usuario de abrir el archivo. En un escenario de ataque basado en web, un atacante podría hospedar un sitio web (o aprovechar un sitio web en peligro que acepte o hospede contenido proporcionado por el usuario) que contenga un archivo especialmente diseñado para aprovechar las vulnerabilidades. Un atacante no tendría forma de forzar a los usuarios a visitar el sitio web. En su lugar, un atacante tendría que convencer a los usuarios de hacer clic en un vínculo, normalmente a través de una invitación en un correo electrónico o mensaje de Instant Messenger y, a continuación, convencerlos para abrir el archivo especialmente diseñado.
Tenga en cuenta que donde la gravedad se indica como Crítica en la tabla Clasificación de gravedad de vulnerabilidad y software afectado, el panel de vista previa es un vector de ataque para CVE-2016-3357.
La actualización de seguridad aborda las vulnerabilidades mediante la corrección de cómo Microsoft Office controla los objetos en la memoria.
La tabla siguiente contiene vínculos a la entrada estándar para cada vulnerabilidad de la lista Vulnerabilidades comunes y exposiciones:
Título de vulnerabilidad | Número cve | Divulgado públicamente | Explotados |
---|---|---|---|
Vulnerabilidad de daños en la memoria de Microsoft Office | CVE-2016-3357 | No | No |
Vulnerabilidad de daños en la memoria de Microsoft Office | CVE-2016-3358 | No | No |
Vulnerabilidad de daños en la memoria de Microsoft Office | CVE-2016-3359 | No | No |
Vulnerabilidad de daños en la memoria de Microsoft Office | CVE-2016-3360 | No | No |
Vulnerabilidad de daños en la memoria de Microsoft Office | CVE-2016-3361 | No | No |
Vulnerabilidad de daños en la memoria de Microsoft Office | CVE-2016-3362 | No | No |
Vulnerabilidad de daños en la memoria de Microsoft Office | CVE-2016-3363 | No | No |
Vulnerabilidad de daños en la memoria de Microsoft Office | CVE-2016-3364 | No | No |
Vulnerabilidad de daños en la memoria de Microsoft Office | CVE-2016-3365 | No | No |
Vulnerabilidad de daños en la memoria de Microsoft Office | CVE-2016-3381 | No | No |
Factores de mitigación
Microsoft no ha identificado ningún factor de mitigación para estas vulnerabilidades.
Soluciones alternativas
Microsoft no ha identificado ninguna solución alternativa para estas vulnerabilidades.
Vulnerabilidad de suplantación de identidad de Microsoft Office: CVE-2016-3366
Existe una vulnerabilidad de suplantación de identidad cuando Microsoft Outlook no se adhiere estrictamente a RFC2046 e identifica incorrectamente el final de un archivo adjunto MIME. Un final de datos adjuntos MIME incorrecto puede hacer que el examen antivirus o antispam no funcione según lo previsto.
Para aprovechar la vulnerabilidad, un atacante podría enviar datos adjuntos de correo electrónico especialmente diseñados a un usuario en un intento de iniciar un ataque de ingeniería social, como la suplantación de identidad (phishing).
La actualización de seguridad aborda la vulnerabilidad mediante la corrección de cómo Outlook determina el final de los mensajes MIME.
La tabla siguiente contiene vínculos a la entrada estándar para cada vulnerabilidad de la lista Vulnerabilidades comunes y exposiciones:
Título de vulnerabilidad | Número cve | Divulgado públicamente | Explotados |
---|---|---|---|
Vulnerabilidad de suplantación de identidad de Microsoft Office | CVE-2016-3366 | No | No |
Factores de mitigación
Microsoft no ha identificado ningún factor de mitigación para esta vulnerabilidad.
Soluciones alternativas
Microsoft no ha identificado ninguna solución alternativa para esta vulnerabilidad.
Implementación de actualizaciones de seguridad
Para obtener información sobre la implementación de actualizaciones de seguridad, consulte el artículo de Microsoft Knowledge Base al que se hace referencia en el resumen ejecutivo.
Agradecimientos
Microsoft reconoce los esfuerzos de los miembros de la comunidad de seguridad que nos ayudan a proteger a los clientes a través de la divulgación coordinada de vulnerabilidades. Consulte Confirmaciones para obtener más información.
Declinación de responsabilidades
La información proporcionada en Microsoft Knowledge Base se proporciona "tal cual" sin garantía de ningún tipo. Microsoft renuncia a todas las garantías, ya sea expresas o implícitas, incluidas las garantías de comerciabilidad y idoneidad para un propósito determinado. En ningún caso, Microsoft Corporation o sus proveedores serán responsables de cualquier daño, incluyendo daños directos, indirectos, incidentales, consecuentes, pérdida de beneficios empresariales o daños especiales, incluso si Microsoft Corporation o sus proveedores han sido informados de la posibilidad de tales daños. Algunos estados no permiten la exclusión o limitación de responsabilidad por daños consecuenciales o incidentales, por lo que es posible que no se aplique la limitación anterior.
Revisiones
- V1.0 (13 de septiembre de 2016): Boletín publicado.
- V2.0 (22 de septiembre de 2016): boletín revisado para anunciar la disponibilidad de la actualización 14.6.8 para Microsoft Office Mac 2011 (3186805) y la actualización 15.25 de Microsoft Office 2016 para Mac (3186807). Los clientes que ejecutan el software Mac afectado deben instalar la actualización adecuada para que su producto se proteja de las vulnerabilidades descritas en este boletín. Los clientes que ejecutan otro software de Microsoft Office no necesitan realizar ninguna acción. Consulte el artículo de Microsoft Knowledge Base 3186805 y el artículo de Microsoft Knowledge Base 3186807 para obtener más información y vínculos de descarga.
Página generada 2017-02-17 07:14-08:00.