Microsoft Word 製品のセキュリティ更新プログラム（2020年3月）

high Nessus プラグイン ID 134382

Language:

概要

Microsoft Word製品はリモートでコードが実行される脆弱性の影響を受けます。（CVE-2020-0850、CVE-2020-0892）

説明

Microsoft Word製品にセキュリティ更新プログラムがありません。したがって、以下の脆弱性の影響を受けます：- Microsoft Wordソフトウェアがメモリ内のオブジェクトを適切に処理しないとき、リモートでコードが実行される脆弱性がMicrosoft Wordソフトウェアにあります。脆弱性の悪用に成功した攻撃者は、特別に細工されたファイルを使用して、現在のユーザーのセキュリティコンテキストでアクションを実行する可能性があります。たとえば、そのファイルは、現在のユーザーと同じアクセス許可を持つログオンユーザーの代わりに行動できます。この脆弱性を悪用するには、ユーザーが、影響を受けたバージョンのMicrosoft Wordソフトウェアで特別に細工されたファイルを開く必要があります。電子メールによる攻撃のシナリオでは、特別に細工されたファイルをユーザーに送信し、そのファイルを開くように誘導することで、攻撃者がこの脆弱性を悪用する可能性があります。Webベースの攻撃シナリオでは、攻撃者が、この脆弱性を悪用するように設計された特別な細工をしたファイルを含むWebサイトをホストします（または、ユーザーが提供するコンテンツを受け入れるか、ホストしている侵害されたWebサイトを活用します）しかし、攻撃者がユーザーにWebサイトを強制的に閲覧させることはできません。代わりに、攻撃者はユーザーが攻撃者のWebサイトを閲覧するように電子メールまたはInstant Messengerのメッセージへのリンクをクリックさせるか、電子メールで送信された添付ファイルを開くよう誘導します。（CVE-2020-0850、CVE-2020-0892）

ソリューション

Microsoftはこの問題を解決するために、以下のセキュリティ更新プログラムをリリースしています。-KB4484268 -KB4484240 -KB4484231 Office 365、Office 2016 C2R、Office 2019で自動更新が有効になっていることを確認するか、Wordを開いて手動で更新を実行してください。