Microsoft Office製品のセキュリティ更新プログラム（2020年8月）

high Nessus プラグイン ID 139499

Language:

概要

Microsoft Office製品は、複数の脆弱性の影響を受けています。

説明

Microsoft Office製品に、セキュリティ更新プログラムがありません。したがって、以下の複数の脆弱性による影響を受けます。

- Microsoft Excelソフトウェアがメモリ内のオブジェクトを不適切に処理する場合に、リモートコード実行の脆弱性があります。この脆弱性の悪用に成功した攻撃者が、現行ユーザーのコンテキストで任意のコードを実行する可能性があります。現在のユーザーが管理者ユーザー権限でログオンしている場合、攻撃者が影響を受けるシステムを乗っ取る可能性があります。その後、攻撃者は、完全なユーザー権限でプログラムのインストール、データの表示・変更・削除、または新規アカウントの作成を実行する可能性があります。（CVE-2020-1494、CVE-2020-1495、CVE-2020-1496）

- Microsoft Excelがメモリの内容を不適切に開示する際、情報漏洩の脆弱性が存在します。この脆弱性を悪用した攻撃者が、この情報を使用してユーザーのコンピューターまたはデータを侵害する可能性があります。（CVE-2020-1497）

- Microsoft Wordがメモリの内容を不適切に開示する際、情報漏洩の脆弱性が存在します。この脆弱性を悪用した攻撃者が、この情報を使用してユーザーのコンピューターまたはデータを侵害する可能性があります。（CVE-2020-1503、CVE-2020-1583）

- Microsoft Officeソフトウェアがメモリ内のオブジェクトを不適切に処理する場合に、リモートコード実行の脆弱性があります。この脆弱性の悪用に成功した攻撃者が、現行ユーザーのコンテキストで任意のコードを実行する可能性があります。現行ユーザーが管理者ユーザー権限でログオンしている場合、攻撃者が影響を受けるシステムを乗っ取る可能性があります。その後、攻撃者は、完全なユーザー権限で、プログラムのインストール、データの表示・変更・削除、または新規アカウントの作成を実行する可能性があります。（CVE-2020-1563）

- Microsoft Office Click-to-Run（C2R）コンポーネントがメモリ内のオブジェクトを処理する方法に、権限昇格の脆弱性が存在します。この脆弱性の悪用に成功した攻撃者が、権限を昇格させる可能性があります。攻撃者は、システムでコードを実行できるようになっている必要があります。
（CVE-2020-1581）

ソリューション

Microsoftはこの問題を解決するために、以下のセキュリティ更新プログラムをリリースしています。
-KB4484346
-KB4484354
-KB4484359
-KB4484375
-KB4484379
-KB4484431
-KB4484492 Office 365、Office 2016 C2R、Office 2019の場合は、自動更新が有効になっていることを確認するか、任意のOfficeアプリを開いて手動で更新を実行します。