概要
Microsoft Office製品は、複数の脆弱性の影響を受けています。
説明
Microsoft Office製品にセキュリティ更新プログラムが入っていません。したがって、これらは複数の脆弱性の影響を受けます:- Exchangeが表示名に印刷不可能な文字を含むエンティティの作成を許可したとき、情報漏えいの脆弱性があります。認証された攻撃者が無効な表示名を持つエンティティを作成することによってこの脆弱性を悪用する可能性があります。このエンティティは会話に追加されたときには表示されません。(CVE-2019-1084)- Microsoft Office JavascriptがOfficeドキュメントへのリクエストを行っているWebページの正当性をチェックしないとき、なりすましの脆弱性があります。この脆弱性の悪用に成功した攻撃者が、Officeドキュメントの情報を読み書きする可能性があります。((CVE-2019-1109)- ソフトウェアがメモリ内のオブジェクトを不適切に処理するとき、リモートでコードが実行される脆弱性がMicrosoft Excelソフトウェアにあります。脆弱性の悪用に成功した攻撃者が、現在のユーザーのコンテキストで任意のコードを実行する可能性があります。現在のユーザーが管理者ユーザー権限でログオンしている場合、攻撃者が影響を受けるシステムを乗っ取る可能性があります。攻撃者が、完全なユーザー権限で、プログラムのインストール、データの表示・変更・削除、または新規アカウントの作成を実行する可能性があります。システムで、ユーザー権限の設定がより制限されたアカウントを持つユーザーは、管理者ユーザー権限で操作を行うユーザーよりも、受ける影響が少なくなる可能性があります。この脆弱性を悪用するには、ユーザーが、影響を受けるバージョンのMicrosoft Excelで特別に細工されたファイルを開く必要があります。電子メールによる攻撃のシナリオでは、攻撃者がこの脆弱性を悪用して、特別に細工したファイルをユーザーに送信し、そのファイルを開かせる可能性があります。Webベースの攻撃シナリオでは、攻撃者が、この脆弱性を悪用する目的で特別に細工されたファイルを含むWebサイトをホストする(もしくは、ユーザーが提供するコンテンツを受け入れるかホストする改ざんされたWebサイトを悪用する)可能性があります。攻撃者はユーザーにそのWebサイトの閲覧を強制することはできません。代わりに、攻撃者はユーザーが攻撃者のWebサイトを閲覧するように電子メールまたはインスタントメッセージのリンクをクリックさせるか、電子メールで送信された添付ファイルを開くよう誘導します。(CVE-2019-1111)
ソリューション
マイクロソフトは、この問題に対応するために次のセキュリティ更新プログラムをリリースしました:-KB4462224 -KB4464558 -KB4464543 -KB4018375 -KB4475514 -KB4464534 -KB4461539。Office 365、Office 2016 C2R、またはOffice 2019の場合は、自動更新を有効にするか、任意のOfficeアプリを開いて手動で更新してください。
プラグインの詳細
ファイル名: smb_nt_ms19_jul_office.nasl
エージェント: windows
サポートされているセンサー: Nessus
リスク情報
ベクトル: CVSS2#AV:N/AC:M/Au:N/C:C/I:C/A:C
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
脆弱性情報
CPE: cpe:/a:microsoft:office
必要な KB アイテム: SMB/MS_Bulletin_Checks/Possible
エクスプロイトの容易さ: No known exploits are available
参照情報
CVE: CVE-2019-1084, CVE-2019-1109, CVE-2019-1111, CVE-2019-1112
BID: 108415, 108965, 108974, 108975
MSFT: MS19-4018375, MS19-4461539, MS19-4462224, MS19-4464534, MS19-4464543, MS19-4464558, MS19-4475514
MSKB: 4018375, 4461539, 4462224, 4464534, 4464543, 4464558, 4475514