MS17-014：Microsoft Officeのセキュリティ更新プログラム（4013241）

high Nessus プラグイン ID 97740

Language:

概要

リモートホストにインストールされているアプリケーションは、複数の脆弱性の影響を受けます。

説明

リモートWindowsホストにインストールされているMicrosoft Officeアプリケーション、Office Web Apps、またはSharePoint Serverにセキュリティ更新プログラムが入っていません。したがって、以下の複数の脆弱性による影響を受けます：- メモリでオブジェクトが不適切に処理されているため、複数のリモートコード実行の脆弱性がMicrosoft Officeソフトウェアにあります。認証されていないリモートの攻撃者がこれを悪用し、特別に細工されたOfficeドキュメントを開くようユーザーを誘導し、現在のユーザーのコンテキストで任意のコードを実行する可能性があります。（CVE-2017-0006、CVE-2017-0019、CVE-2017-0020、CVE-2017-0030、CVE-2017-0031、CVE-2017-0052、CVE-2017-0053）- メモリコンテンツが不適切に開示されているため、情報漏えいの脆弱性がMicrosoft Officeにあります。認証されていないリモートの攻撃者がこれを悪用し、特別に細工されたドキュメントファイルを開くようユーザーを誘導して、機密性の高いシステムメモリ情報を漏えいする可能性があります。（CVE-2017-0027）- Microsoft Officeにサービス拒否の脆弱性があり、認証されていないリモートの攻撃者が特別に細工されたドキュメントファイルを開くようにユーザーを誘導して、Officeの応答停止を引き起こす可能性があります。（CVE-2017-0029）- 変数が初期化されていないため、領域外読み取りエラーがMicrosoft Officeにあります。ローカルの攻撃者はこれを悪用し、特別に細工されたドキュメントファイルを開いてメモリコンテンツを漏えいする可能性があります。（CVE-2017-0105）- 入力がユーザーに返される前に不適切に検証されているため、クロスサイトスクリプティング（XSS）の脆弱性がMicrosoft SharePoint Serverにあります。認証されたリモートの攻撃者がこれを悪用して、特別に細工されたリクエストを通じて、ユーザーのブラウザーセッションで任意のスクリプトコードを実行できます。（CVE-2017-0107）

ソリューション

Microsoftは、Microsoft Office 2007、2010、2013、2016、Microsoft Excel 2007、2010、2013、2016、Microsoft Word 2007、2010、2013、2016、Microsoft Office Compatibility Pack、Microsoft Excel Viewer、Microsoft Word Viewer、Microsoft SharePoint Server 2007、2010、2013、Microsoft SharePoint Foundation 2013、Microsoft Office Web Apps Server 2010、2013用の一連のパッチをリリースしました。

参考資料

https://technet.microsoft.com/library/security/MS17-014

プラグインの詳細

深刻度: High

ID: 97740

ファイル名: smb_nt_ms17-014.nasl

バージョン: 1.10

タイプ: local

エージェント: windows

ファミリー: Windows : Microsoft Bulletins

公開日: 2017/3/15

更新日: 2023/2/17

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: High

基本値: 9.3

現状値: 6.9

ベクトル: CVSS2#AV:N/AC:M/Au:N/C:C/I:C/A:C

CVSS スコアのソース: CVE-2017-0053

CVSS v3

リスクファクター: High

基本値: 7.8

現状値: 6.8

ベクトル: CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: cpe:/a:microsoft:office, cpe:/a:microsoft:excel, cpe:/a:microsoft:excel_viewer, cpe:/a:microsoft:word, cpe:/a:microsoft:word_viewer, cpe:/a:microsoft:office_compatibility_pack, cpe:/a:microsoft:office_web_apps, cpe:/a:microsoft:sharepoint_server, cpe:/a:microsoft:sharepoint_foundation

必要な KB アイテム: SMB/MS_Bulletin_Checks/Possible

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2017/3/14

脆弱性公開日: 2017/3/14

参照情報

CVE: CVE-2017-0006, CVE-2017-0019, CVE-2017-0020, CVE-2017-0027, CVE-2017-0029, CVE-2017-0030, CVE-2017-0031, CVE-2017-0052, CVE-2017-0053, CVE-2017-0105, CVE-2017-0107

BID: 96042, 96043, 96045, 96050, 96051, 96052, 96740, 96741, 96745, 96746, 96748, 96752

IAVA: 2017-A-0060-S

MSFT: MS17-014

MSKB: 3172431, 3172457, 3172464, 3172540, 3172542, 3178673, 3178674, 3178676, 3178677, 3178678, 3178680, 3178682, 3178683, 3178684, 3178685, 3178686, 3178687, 3178689, 3178690, 3178694