このセキュリティ更新プログラムは、Microsoft SharePoint Server 2007、Microsoft SharePoint Server 2010、Microsoft SharePoint Services 2.0、Microsoft SharePoint Services 3.0、および Microsoft SharePoint Foundation 2010 のサポートされているエディションでクリティカルと評価されます。 このセキュリティ更新プログラムは、Microsoft SharePoint Server 2010 のサポートされているエディションで、影響を受ける Microsoft Office サービスと Web Apps に対しても重大と評価されます。 さらに、このセキュリティ更新プログラムは、Microsoft SharePoint Server 2013、Microsoft SharePoint Foundation 2013、Microsoft Office Web Apps Server 2013、および Microsoft SharePoint Server 2007 の Excel Services で重要と評価されます。 詳細については、このセクションの「影響を受けるソフトウェア」および「影響を受けるソフトウェア」のサブセクションを参照してください。
このセキュリティ更新プログラムは、ベスト プラクティスに従ってコンピューター認証チェック (MAC) を有効にし、SharePoint Server が要求をサニタイズする方法を修正し、SharePoint Server が未定義のワークフローを検証して処理する方法を修正し、Microsoft Office Services と Web Apps で特別に細工されたファイルを解析する方法を修正することで、この脆弱性を解決します。 脆弱性の詳細については、次のセクション 「脆弱性情報」の下にある特定の脆弱性エントリについてよく寄せられる質問 (FAQ) サブセクションを参照してください。
さらに、Microsoft SharePoint Server 2007 のサポートされているエディションでは、次の更新プログラムは特定のコンポーネントにのみ適用されます。
Excel Services (2760589)
注: Excel Services の更新プログラムは、インターネット サイト用の Microsoft Office SharePoint Server 2007 Enterprise および Microsoft Office SharePoint Server 2007 の既定の構成など、Excel Services がインストールされているサーバーに適用されます。 Microsoft Office SharePoint Server 2007 Standard には Excel Services は含まれていません。
Microsoft SharePoint Server 2010 に適用される更新プログラム
2810067更新プログラムは、次の両方に適用されます。
Microsoft SharePoint Server 2010
Microsoft Windows SharePoint Foundation 2010 (スタンドアロン インストール)
このセキュリティ情報では、2 つの重大度テーブルが提供されています。 表 1 に、Microsoft SharePoint Server、Microsoft SharePoint Services 、および Microsoft SharePoint Foundation に影響する脆弱性を示します。 表 2 に、Microsoft SharePoint Server でホストされている Microsoft Office Services および Web Apps に影響を与える脆弱性を示します。 テーブルの脆弱性は、CVE-2013-1330 と CVE-2013-3180 (両方のテーブルに存在する) を除いて一意です。
表 1: Microsoft SharePoint Server、Microsoft SharePoint Services 、および Microsoft SharePoint Foundation
影響を受けるソフトウェア
SharePoint のサービス拒否の脆弱性 - CVE-2013-0081
MAC の無効な脆弱性 - CVE-2013-1330
SharePoint XSS の脆弱性 - CVE-2013-3179
POST XSS の脆弱性 - CVE-2013-3180
重大度の評価の集計
Microsoft SharePoint Portal Server 2003 Service Pack 3
Microsoft SharePoint Portal Server 2003 Service Pack 3
重要な サービス拒否
重要な リモート コード実行
適用なし
該当なし
重大
Microsoft Windows SharePoint Services 2.0
重要な サービス拒否
重要な リモート コード実行
適用なし
該当なし
重大
Microsoft SharePoint Server 2007 Service Pack 3
Microsoft Windows SharePoint Services 3.0 Service Pack 3 (32 ビット バージョン)
重要な サービス拒否
重要な リモート コード実行
特権の重要な 昇格
該当なし
重大
Microsoft Windows SharePoint Services 3.0 Service Pack 3 (64 ビット バージョン)
重要な サービス拒否
重要な リモート コード実行
特権の重要な 昇格
該当なし
重大
SharePoint Server 2007 Service Pack 3 (32 ビット エディション)
重要な サービス拒否
重要な リモート コード実行
特権の重要な 昇格
該当なし
重大
SharePoint Server 2007 Service Pack 3 (64 ビット エディション)
重要な サービス拒否
重要な リモート コード実行
特権の重要な 昇格
該当なし
重大
Microsoft SharePoint Server 2010 Service Pack 1
Microsoft SharePoint Foundation 2010 Service Pack 1
重要な サービス拒否
重要な リモート コード実行
特権の重要な 昇格
特権の重要な 昇格
重大
Microsoft SharePoint Server 2010 Service Pack 1
重要な サービス拒否
重要な リモート コード実行
特権の重要な 昇格
特権の重要な 昇格
重大
Microsoft SharePoint Server 2010 Service Pack 2
Microsoft SharePoint Foundation 2010 Service Pack 2
重要な サービス拒否
重要な リモート コード実行
特権の重要な 昇格
特権の重要な 昇格
重大
Microsoft SharePoint Server 2010 Service Pack 2
重要な サービス拒否
重要な リモート コード実行
特権の重要な 昇格
特権の重要な 昇格
重大
Microsoft SharePoint Server 2013
Microsoft SharePoint Foundation 2013
重要な サービス拒否
適用なし
特権の重要な 昇格
特権の重要な 昇格
重要
Microsoft SharePoint Server 2013
重要な サービス拒否
適用なし
特権の重要な 昇格
特権の重要な 昇格
重要
表 2: Microsoft Office サービスと Web アプリ
影響を受けるソフトウェア
Microsoft Office のメモリ破損の脆弱性 - CVE-2013-1315
MAC の無効な脆弱性 - CVE-2013-1330
POST XSS の脆弱性 - CVE-2013-3180
Word のメモリ破損の脆弱性 - CVE-2013-3847
Word のメモリ破損の脆弱性 - CVE-2013-3848
Word のメモリ破損の脆弱性 - CVE-2013-3849
Word のメモリ破損の脆弱性 - CVE-2013-3857
Word のメモリ破損の脆弱性 - CVE-2013-3858
重大度の評価の集計
Microsoft SharePoint Server 2007 Service Pack 3
Microsoft SharePoint Server 2007 Service Pack 3 の Excel Services (32 ビット エディション)
重要な リモート コード実行
適用なし
適用なし
適用なし
適用なし
適用なし
適用なし
適用なし
重要
Microsoft SharePoint Server 2007 Service Pack 3 の Excel Services (64 ビット エディション)
重要な リモート コード実行
適用なし
適用なし
適用なし
適用なし
適用なし
適用なし
適用なし
重要
Microsoft SharePoint Server 2010 Service Pack 1
Microsoft SharePoint Server 2010 Service Pack 1 の Excel Services
重要な リモート コード実行
重要な リモート コード実行
適用なし
適用なし
適用なし
適用なし
適用なし
該当なし
重大
Microsoft SharePoint Server 2010 Service Pack 1 の Microsoft Business Productivity Servers
適用なし
重要な リモート コード実行
適用なし
適用なし
適用なし
適用なし
適用なし
該当なし
重大
Microsoft SharePoint Server 2010 Service Pack 1 の Word Automation Services
重要な リモート コード実行
重要な リモート コード実行
適用なし
重要な リモート コード実行
重要な リモート コード実行
重要な リモート コード実行
重要な リモート コード実行
重要な リモート コード実行
重大
Microsoft SharePoint Server 2010 Service Pack 2
Microsoft SharePoint Server 2010 Service Pack 2 の Excel Services
重要な リモート コード実行
重要な リモート コード実行
適用なし
適用なし
適用なし
適用なし
適用なし
該当なし
重大
Microsoft SharePoint Server 2010 Service Pack 2 の Microsoft Business Productivity Servers
適用なし
重要な リモート コード実行
適用なし
適用なし
適用なし
適用なし
適用なし
該当なし
重大
Microsoft SharePoint Server 2010 Service Pack 2 の Word Automation Services
重要な リモート コード実行
重要な リモート コード実行
適用なし
適用なし
適用なし
適用なし
重要な リモート コード実行
該当なし
重大
Microsoft Office Web Apps 2010
Microsoft Excel Web App 2010 Service Pack 1
重要な リモート コード実行
重要な リモート コード実行
適用なし
適用なし
適用なし
適用なし
適用なし
該当なし
重大
Microsoft Word Web App 2010 Service Pack 1
重要な リモート コード実行
重要な リモート コード実行
適用なし
重要な リモート コード実行
重要な リモート コード実行
重要な リモート コード実行
重要な リモート コード実行
重要な リモート コード実行
重大
Microsoft Excel Web App 2010 Service Pack 2
重要な リモート コード実行
重要な リモート コード実行
適用なし
適用なし
適用なし
適用なし
適用なし
該当なし
重大
Microsoft Word Web App 2010 Service Pack 2
重要な リモート コード実行
重要な リモート コード実行
適用なし
適用なし
適用なし
適用なし
重要な リモート コード実行
該当なし
重大
Microsoft Office Web Apps 2013
Microsoft Office Web Apps Server 2013
適用なし
適用なし
特権の重要な 昇格
適用なし
適用なし
適用なし
適用なし
適用なし
重要
SharePoint のサービス拒否の脆弱性 - CVE-2013-0081
Microsoft SharePoint Server にサービス拒否の脆弱性が存在します。 攻撃者がこの脆弱性を悪用した場合、影響を受けるバージョンの SharePoint Server の W3WP プロセスが応答を停止し、そのプロセスで実行されている SharePoint サイトやその他のサイトが、プロセスが再起動されるまで使用できなくなる可能性があります。
Microsoft Office サービスと Web Apps に影響を与えた方法で、特別に細工されたファイル内のコンテンツを解析する方法で、リモートでコードが実行される脆弱性が存在します。 攻撃者がこの脆弱性を悪用した場合、影響を受けるシステムを完全に制御できる可能性があります。 このような攻撃者はプログラムをインストールしたり、データの閲覧、変更、削除を行ったり、完全なユーザー権限を持つ新しいアカウントを作成したりできるようになります。 システム上でアカウントのユーザー権限が少なく構成されているユーザーは、管理ユーザー権限で作業するユーザーに比べて、受ける影響は少ない可能性があります。
Web ベースの攻撃シナリオでは、攻撃者は、この脆弱性の悪用を試みるために使用される特別に細工された Office ファイルを含む Web サイトをホストする可能性があります。 さらに、侵害された Web サイトや、ユーザーが提供するコンテンツまたは広告を受け入れる、またはホストする Web サイトには、この脆弱性を悪用する可能性がある特別に細工されたコンテンツが含まれている可能性があります。 ただし、いずれの場合も、攻撃者はユーザーにこれらの Web サイトへのアクセスを強制する方法はありません。 代わりに、攻撃者は、通常、ユーザーに電子メール メッセージまたはインスタント メッセンジャー メッセージ内のリンクをクリックさせ、ユーザーを攻撃者の Web サイトに誘導して、特別に細工された Office ファイルを開くよう誘導することで、Web サイトにアクセスするようにユーザーを誘導する必要があります。
Web ベースの攻撃シナリオでは、攻撃者はこの脆弱性の悪用に使用される特別に細工された Office ファイルを含む Web サイトをホストする必要があります。 さらに、侵害された Web サイトや、ユーザーが提供するコンテンツを受け入れる、またはホストする Web サイトには、この脆弱性を悪用する可能性がある特別に細工されたコンテンツが含まれている可能性があります。 攻撃者は、特別に細工された Web サイトをユーザーに強制的に訪問させる方法はありません。 代わりに、攻撃者は、通常、ユーザーに攻撃者のサイトに移動するリンクをクリックさせ、特別に細工された Office ファイルを開くようユーザーに誘導することによって、Web サイトにアクセスするようにユーザーを誘導する必要があります。
Web ベースの攻撃シナリオでは、攻撃者は、これらの脆弱性を悪用するために使用される特別に細工された Office ファイルを含む Web サイトをホストする可能性があります。 さらに、侵害された Web サイトや、ユーザーが提供するコンテンツまたは広告を受け入れる、またはホストする Web サイトには、これらの脆弱性を悪用する可能性のある特別に細工されたコンテンツが含まれる可能性があります。 ただし、いずれの場合も、攻撃者はユーザーにこれらの Web サイトへのアクセスを強制する方法はありません。 代わりに、攻撃者は、通常、ユーザーを攻撃者の Web サイトに誘導する電子メール メッセージまたはインスタント メッセンジャー メッセージ内のリンクをクリックさせ、特別に細工された Office ファイルを開くよう誘導することで、Web サイトにアクセスするように誘導する必要があります。
攻撃者はどのようにしてこの脆弱性を悪用する可能性がありますか?
これらの脆弱性を悪用するには、影響を受けるバージョンの Microsoft Office ソフトウェアを含む特別に細工されたファイルをユーザーが開く必要があります。
電子メール攻撃のシナリオでは、攻撃者は特別に細工されたファイルをユーザーに送信し、影響を受けるバージョンの Microsoft Office ソフトウェアでファイルを開くようユーザーに誘導することで、この脆弱性を悪用する可能性があります。
Web ベースの攻撃シナリオでは、攻撃者は、これらの脆弱性の悪用を試みるために使用されるファイルを含む Web サイトをホストする可能性があります。 さらに、侵害された Web サイトや、ユーザーが提供するコンテンツを受け入れる、またはホストする Web サイトには、これらの脆弱性を悪用する可能性がある特別に細工されたコンテンツが含まれている可能性があります。 攻撃者は、特別に細工された Web サイトをユーザーに強制的に訪問させる方法はありません。 代わりに、攻撃者は、通常、電子メール メッセージまたはインスタント メッセンジャー メッセージ内のリンクをクリックして攻撃者のサイトに誘導し、影響を受けるバージョンの Microsoft Office ソフトウェアで特別に細工されたファイルを開くよう誘導することで、Web サイトにアクセスするように誘導する必要があります。
MAC の無効な脆弱性を報告するための Compass Security AG の Alexandre Herzog (CVE-2013-1330)
SharePoint XSS の脆弱性を報告するための脆弱性研究所の Benjamin Kunz Mejri (CVE-2013-3179)
Microsoft Word で複数のメモリ破損の脆弱性を報告するための Google セキュリティ チームの Mateusz Jurczyk、Hive Fratric、Ben Hawkes (CVE-2013-3847、CVE-2013-3848、CVE-2013-3849、CVE-2013-3857、CVE-2013-3858)
Microsoft Active Protections Program (MAPP)
お客様のセキュリティ保護を強化するために、Microsoft は、毎月のセキュリティ更新プログラムのリリースの前に、主要なセキュリティ ソフトウェア プロバイダーに脆弱性情報を提供します。 セキュリティ ソフトウェア プロバイダーは、この脆弱性情報を使用して、ウイルス対策、ネットワークベースの侵入検出システム、ホストベースの侵入防止システムなどのセキュリティ ソフトウェアまたはデバイスを介して、お客様に更新された保護を提供できます。 セキュリティ ソフトウェア プロバイダーからアクティブな保護を利用できるかどうかを判断するには、Microsoft Active Protections Program (MAPP) パートナーに記載されているプログラム パートナーによって提供されるアクティブな保護 Web サイトに移動してください。
Microsoft サポート技術情報で提供される情報は、いかなる種類の保証もなく"現状のまま" 提供されます。 Microsoft は、商品性と特定の目的に対する適合性の保証を含め、明示または黙示を問わず、すべての保証を放棄します。 Microsoft Corporation またはそのサプライヤーは、Microsoft Corporation またはそのサプライヤーがこのような損害の可能性について通知された場合でも、直接的、間接的、付随的、派生的、ビジネス上の利益の損失、または特別な損害を含む一切の損害について一切の責任を負いません。 一部の州では、派生的損害または付随的損害に対する責任の除外または制限が認められていないため、前述の制限は適用されない場合があります。
This module examines the types of threat vectors and their potential outcomes that organizations must deal with on a daily basis and how users can enable hackers to access targets by unwittingly executing malicious content. MS-102