MS17-014：Microsoft Officeのセキュリティ更新プログラム（4013241）（macOS）

high Nessus プラグイン ID 97739

Language:

概要

リモートのmacOSまたはMac OS Xホストにインストールされているアプリケーションは、複数の脆弱性の影響を受けます。

説明

リモートのmacOSまたはMac OS XホストにインストールされているMicrosoft Officeアプリケーションには、セキュリティ更新プログラムがありません。したがって、以下の複数の脆弱性による影響を受けます。- メモリでオブジェクトが不適切に処理されているため、複数のリモートコード実行の脆弱性がMicrosoft Officeソフトウェアにあります。認証されていないリモートの攻撃者がこれを悪用し、特別に細工されたOfficeドキュメントを開くようユーザーを誘導し、現在のユーザーのコンテキストで任意のコードを実行する可能性があります。（CVE-2017-0020、CVE-2017-0030、CVE-2017-0031）- メモリコンテンツが不適切に開示されているため、情報漏えいの脆弱性がMicrosoft Officeにあります。認証されていないリモートの攻撃者がこれを悪用し、特別に細工されたドキュメントファイルを開くようユーザーを誘導して、機密性の高いシステムメモリ情報を漏えいする可能性があります。（CVE-2017-0027）- Microsoft Officeにサービス拒否の脆弱性があり、認証されていないリモートの攻撃者が特別に細工されたドキュメントファイルを開くようにユーザーを誘導して、Officeの応答停止を引き起こす可能性があります。（CVE-2017-0029）- 変数が初期化されていないため、領域外読み取りエラーがMicrosoft Officeにあります。ローカルの攻撃者はこれを悪用し、特別に細工されたドキュメントファイルを開いてメモリコンテンツを漏えいする可能性があります。（CVE-2017-0105）- X.509証明書が不適切に検証されているため、Microsoft Lync for Macに欠陥があります。中間にいる攻撃者がこれを悪用し、有効に見える証明書を介してTLS/SSLサーバーになりすますことで、情報を漏えいしたり、送信されたデータを操作したりする可能性があります。（CVE-2017-0129）

ソリューション

Microsoftは、Microsoft Office for Mac 2011、Microsoft Office 2016 for Mac、Microsoft Excel for Mac 2011、Microsoft Excel 2016 for Mac、Microsoft Word for Mac 2011、Microsoft Lync for Mac 2011用の一連のパッチをリリースしています。