Microsoft Office Online Serverのセキュリティ更新プログラム(2019年11月)

medium Nessus プラグイン ID 130915

概要

リモートホストにインストールされているMicrosoft Office Online Serverは、複数の脆弱性の影響を受けます。

説明

リモートホストにインストールされているMicrosoft Office Online Serverにセキュリティ更新プログラムがありません。したがって、複数の脆弱性の影響を受けます。- Office Onlineがオリジン間通信ハンドラーのオリジンを正しく検証しないとき、なりすましの脆弱性があります。攻撃者がこの脆弱性を悪用して、影響を受けるサーバーに特別に細工されたリクエストを送信する可能性があります。この脆弱性の悪用に成功した攻撃者が、影響を受けるシステムにオリジン間攻撃を実行する可能性があります。こうした攻撃によって、攻撃者が読み取りを許可されていないコンテンツを読み取ったり、被害者のID情報を利用して被害者になりすましたりする可能性があります。攻撃者が被害者になりすますには、被害者が認証されている必要があります。セキュリティ更新プログラムは、Office Onlineがオリジンを適切に検証するようにすることで、この脆弱性に対応します。(CVE-2019-1445、CVE-2019-1447)- Microsoft Excelがメモリの内容を不適切に開示するとき、情報漏えいの脆弱性があります。この脆弱性を悪用した攻撃者が、この情報を使用してユーザーのコンピューターまたはデータを侵害する可能性があります。(CVE-2019-1446)

ソリューション

Microsoftはこの問題に対応するためにKB4484141をリリースしています。

関連情報

http://www.nessus.org/u?42681f5c

プラグインの詳細

深刻度: Medium

ID: 130915

ファイル名: smb_nt_ms19_nov_office_web.nasl

バージョン: 1.7

タイプ: local

エージェント: windows

公開日: 2019/11/12

更新日: 2022/5/18

リスク情報

VPR

リスクファクター: Low

スコア: 3.6

CVSS v2

リスクファクター: Medium

Base Score: 5.8

Temporal Score: 4.3

ベクトル: AV:N/AC:M/Au:N/C:P/I:P/A:N

現状ベクトル: E:U/RL:OF/RC:C

CVSS スコアのソース: CVE-2019-1447

CVSS v3

リスクファクター: Medium

Base Score: 5.5

Temporal Score: 4.8

ベクトル: CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N

現状ベクトル: E:U/RL:O/RC:C

CVSS スコアのソース: CVE-2019-1446

脆弱性情報

CPE: cpe:/a:microsoft:office_online_server

必要な KB アイテム: SMB/MS_Bulletin_Checks/Possible

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2019/11/12

脆弱性公開日: 2019/11/12

参照情報

CVE: CVE-2019-1445, CVE-2019-1446, CVE-2019-1447

MSKB: 4484141

MSFT: MS19-4484141