MS16-148:Microsoft Officeのセキュリティ更新プログラム(3204068)(macOS)

high Nessus プラグイン ID 95810
New! プラグインの深刻度には CVSS v3 が適用されるようになりました。

プラグインの深刻度は、デフォルトで CVSS v3 を使って計算されるように更新されました。プラグインに CVSS v3 スコアがない場合には、CVSS v2 を使って深刻度が計算されます。深刻度の表示設定は、[設定]のドロップダウンで切り替えができます。

概要

リモートのmacOSまたはMac OS Xホストにインストールされているアプリケーションは、複数の脆弱性の影響を受けます。

説明

リモートのmacOSまたはMac OS XホストにインストールされているMicrosoft Officeアプリケーションには、セキュリティ更新プログラムがありません。したがって、次の複数の脆弱性の影響を受けます。- メモリでオブジェクトが不適切に処理されているため、情報漏えいの脆弱性がグラフィックスデバイスインターフェイス(GDI)コンポーネントにあります。ローカルの攻撃者がこれを悪用し、特別に細工されたアプリケーションを介して、アドレス空間レイアウトランダム化(ASLR)機能を回避し、メモリの秘密情報を漏えいする可能性があります。(CVE-2016-7257)- メモリでオブジェクトが適切に処理されていないため、リモートでコードが実行される複数の脆弱性がMicrosoft Officeソフトウェアにあります。認証されていないリモートの攻撃者がこれらの脆弱性を悪用し、ユーザーを誘導して特別に細工されたOfficeファイルを開かせることで、現在のユーザーのコンテキストで任意のコードを実行する可能性があります。(CVE-2016-7263、CVE-2016-7298)- 領域外メモリ読み取りエラーのため、複数の情報漏えいの脆弱性がMicrosoft Officeソフトウェアにあります。認証されていないリモートの攻撃者がこれらの脆弱性を悪用し、特別に細工されたOfficeファイルを開くようユーザーを誘導し、メモリコンテンツを漏えいさせる可能性があります。(CVE-2016-7264、CVE-2016-7268、CVE-2016-7276、CVE-2016-7290、CVE-2016-7291)- 埋め込みコンテンツを実行するとき、レジストリ設定が不適切に検証されているため、任意のコマンドが実行される脆弱性がMicrosoft Officeにあります。認証されていないリモートの攻撃者がこれを悪用し、特別に細工されたドキュメントファイルを何度も開くようユーザーを誘導し、セキュリティ制限をバイパスし任意のコマンドを実行する可能性があります。(CVE-2016-7266)- 更新が不適切に検証されているため、権限昇格の脆弱性がMicrosoft AutoUpdate(MAU)アプリケーションにあります。ローカルの攻撃者がこれを悪用し、特別に細工されたアプリケーションを更新アプリケーションが使用する場所に配置して、権限のあるコンテキストで任意のコードを実行する可能性があります。(CVE-2016-7300)

ソリューション

Microsoftは、Microsoft Office for Mac 2011、Microsoft Office 2016 for Mac、 Microsoft Excel for Mac 2011、Microsoft Excel 2016 for Mac、Microsoft Word for Mac 2011、Microsoft Word 2016 for Mac、Microsoft Auto Updater for Mac用の一連のパッチをリリースしています。

関連情報

https://technet.microsoft.com/library/security/MS16-148

プラグインの詳細

深刻度: High

ID: 95810

ファイル名: macosx_ms16-148_office.nasl

バージョン: 1.7

タイプ: local

エージェント: macosx

公開日: 2016/12/14

更新日: 2019/11/13

依存関係: macosx_office_installed.nbin

リスク情報

CVSS スコアのソース: CVE-2016-7298

VPR

リスクファクター: High

スコア: 8.2

CVSS v2

リスクファクター: High

Base Score: 9.3

Temporal Score: 8.1

ベクトル: AV:N/AC:M/Au:N/C:C/I:C/A:C

現状ベクトル: E:H/RL:OF/RC:C

CVSS v3

リスクファクター: High

Base Score: 7.8

Temporal Score: 7.5

ベクトル: CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

現状ベクトル: E:H/RL:O/RC:C

脆弱性情報

CPE: cpe:/a:microsoft:office, cpe:/a:microsoft:word_for_mac, cpe:/a:microsoft:excel_for_mac, cpe:/a:microsoft:auto_updater_for_mac

必要な KB アイテム: Host/MacOSX/Version

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2016/12/13

脆弱性公開日: 2016/12/13

参照情報

CVE: CVE-2016-7257, CVE-2016-7263, CVE-2016-7264, CVE-2016-7266, CVE-2016-7268, CVE-2016-7276, CVE-2016-7290, CVE-2016-7291, CVE-2016-7298, CVE-2016-7300

BID: 94662, 94668, 94670, 94671, 94672, 94720, 94755, 94769, 94784

MSFT: MS16-148

IAVA: 2016-A-0345

MSKB: 3198800, 3198808