MS16-148：Microsoft Officeのセキュリティ更新プログラム（3204068）（macOS）

high Nessus プラグイン ID 95810

Language:

概要

リモートのmacOSまたはMac OS Xホストにインストールされているアプリケーションは、複数の脆弱性の影響を受けます。

説明

リモートのmacOSまたはMac OS XホストにインストールされているMicrosoft Officeアプリケーションには、セキュリティ更新プログラムがありません。したがって、次の複数の脆弱性の影響を受けます。- メモリでオブジェクトが不適切に処理されているため、情報漏えいの脆弱性がグラフィックスデバイスインターフェイス（GDI）コンポーネントにあります。ローカルの攻撃者がこれを悪用し、特別に細工されたアプリケーションを介して、アドレス空間レイアウトランダム化（ASLR）機能を回避し、メモリの秘密情報を漏えいする可能性があります。（CVE-2016-7257）- メモリでオブジェクトが適切に処理されていないため、リモートでコードが実行される複数の脆弱性がMicrosoft Officeソフトウェアにあります。認証されていないリモートの攻撃者がこれらの脆弱性を悪用し、ユーザーを誘導して特別に細工されたOfficeファイルを開かせることで、現在のユーザーのコンテキストで任意のコードを実行する可能性があります。（CVE-2016-7263、CVE-2016-7298）- 領域外メモリ読み取りエラーのため、複数の情報漏えいの脆弱性がMicrosoft Officeソフトウェアにあります。認証されていないリモートの攻撃者がこれらの脆弱性を悪用し、特別に細工されたOfficeファイルを開くようユーザーを誘導し、メモリコンテンツを漏えいさせる可能性があります。（CVE-2016-7264、CVE-2016-7268、CVE-2016-7276、CVE-2016-7290、CVE-2016-7291）- 埋め込みコンテンツを実行するとき、レジストリ設定が不適切に検証されているため、任意のコマンドが実行される脆弱性がMicrosoft Officeにあります。認証されていないリモートの攻撃者がこれを悪用し、特別に細工されたドキュメントファイルを何度も開くようユーザーを誘導し、セキュリティ制限をバイパスし任意のコマンドを実行する可能性があります。（CVE-2016-7266）- 更新が不適切に検証されているため、権限昇格の脆弱性がMicrosoft AutoUpdate（MAU）アプリケーションにあります。ローカルの攻撃者がこれを悪用し、特別に細工されたアプリケーションを更新アプリケーションが使用する場所に配置して、権限のあるコンテキストで任意のコードを実行する可能性があります。（CVE-2016-7300）

ソリューション

Microsoftは、Microsoft Office for Mac 2011、Microsoft Office 2016 for Mac、 Microsoft Excel for Mac 2011、Microsoft Excel 2016 for Mac、Microsoft Word for Mac 2011、Microsoft Word 2016 for Mac、Microsoft Auto Updater for Mac用の一連のパッチをリリースしています。