Microsoft Office IME (中国語) の脆弱性により、特権が昇格される (2878687)
公開日: 2013 年 9 月 10 日 |更新日: 2013 年 12 月 18 日
バージョン: 1.1
一般情報
概要
このセキュリティ更新プログラムは、Microsoft Office IME (中国語) で非公開で報告された脆弱性を解決します。 この脆弱性により、ログオンした攻撃者が Microsoft Pinyin IME のツール バーから簡体字中国語用のインターネット エクスプローラーを起動した場合、特権が昇格される可能性があります。 攻撃者がこの脆弱性を悪用した場合、カーネル モードで任意のコードを実行する可能性があります。 攻撃者はその後、プログラムをインストールする可能性があります。データを表示、変更、または削除する。または、完全な管理者権限を持つ新しいアカウントを作成します。 この脆弱性の影響を受けるのは、Microsoft Pinyin IME 2010 の実装のみです。 その他のバージョンの簡体字中国語 IME とその他の IME の実装は影響を受けません。
このセキュリティ更新プログラムは、Microsoft Pinyin IME 2010 がインストールされている Microsoft Office 2010 でサポートされているすべてのエディションで重要と評価されます。 詳細については、このセクションの「影響を受けるソフトウェア」および「影響を受けるソフトウェア」のサブセクションを参照してください。
このセキュリティ更新プログラムは、Microsoft Office IME (中国語) がセキュリティで保護されたデスクトップで実行するように設計されていない構成オプションを公開する方法を修正することで、この脆弱性を解決します。 脆弱性の詳細については、次のセクション 「脆弱性情報」の下にある特定の脆弱性エントリについてよく寄せられる質問 (FAQ) サブセクションを参照してください。
IME は、キーストロークを音声と表意文字に変換するエンジンと、一般的に使用されるイデオロギー語の辞書で構成されます。 ユーザーがキーボードを使用してキーストロークを入力すると、IME によってキーストロークが識別され、文字に変換されます。
Microsoft Pinyin IME 2010 とは
Microsoft Pinyin IME 2010 は、簡体字中国語用の Microsoft Pinyin (MSPY) 入力メソッド エディター (IME) です。 Microsoft Pinyin IME 2010 は、既定で中国語バージョンの Microsoft Office 2010 と共にインストールされ、英語およびその他の言語バージョンの Microsoft Office 2010 のオプション コンポーネントとしても使用できます。
IME がインストールされていますが、Microsoft Pinyin IME 2010 がインストールされていません。この更新プログラムが提供される理由
この脆弱性の影響を受けるのは、Microsoft Pinyin IME 2010 の実装のみです。 IME の他の実装は脆弱ではありません。 ただし、この更新プログラムは、他の中国の IME、日本語 IME、韓国語 IME など、脆弱でない IME を持つシステムに提供される場合があります。
この更新プログラムは脆弱でない IME で使用できる場合がありますが、この更新プログラムを適用しないことを選択したユーザーは、システムのセキュリティ リスクを高められません。 ただし、システムに提供されているすべての更新プログラムをインストールすることをお勧めします。 これにより、Office 製品全体で共有ファイルの一貫性をメインできます。 場合によっては、脆弱性のないソフトウェアを更新すると、システム上のファイルが既に最新の状態であることを検出し、その結果、更新プログラムはファイルをインストールする必要がありません。
このセキュリティ情報で説明されているソフトウェアの以前のリリースを使用しています。 どうすればよいですか。
このセキュリティ情報に記載されている影響を受けるソフトウェアは、影響を受けるリリースを特定するためにテストされています。 他のリリースはサポート ライフサイクルを過ぎている。 製品ライフサイクルの詳細については、Microsoft サポート ライフサイクル Web サイトを参照してください。
Microsoft サポート技術情報で提供される情報は、いかなる種類の保証もなく"現状のまま" 提供されます。 Microsoft は、商品性と特定の目的に対する適合性の保証を含め、明示または黙示を問わず、すべての保証を放棄します。 Microsoft Corporation またはそのサプライヤーは、Microsoft Corporation またはそのサプライヤーがこのような損害の可能性について通知された場合でも、直接的、間接的、付随的、派生的、ビジネス上の利益の損失、または特別な損害を含む一切の損害について一切の責任を負いません。 一部の州では、派生的損害または付随的損害に対する責任の除外または制限が認められていないため、前述の制限は適用されない場合があります。
リビジョン
V1.0 (2013 年 9 月 10 日): セキュリティ情報が公開されました。
V1.1 (2013 年 12 月 18 日): この脆弱性の影響を受けるのは Microsoft Pinyin IME 2010 の実装のみです。 ただし、この更新プログラムは、脆弱でない IME を持つシステムに提供される場合があります。 これにより、Office 製品全体で共有ファイルの一貫性をメインできます。 詳細については、更新プログラムに関する FAQ を 参照してください。
This module examines how Microsoft Defender for Office 365 extends EOP protection through various tools, including Safe Attachments, Safe Links, spoofed intelligence, spam filtering policies, and the Tenant Allow/Block List.
As an Information Security Administrator, you plan and implement information security of sensitive data by using Microsoft Purview and related services. You’re responsible for mitigating risks by protecting data inside collaboration environments that are managed by Microsoft 365 from internal and external threats and protecting data used by AI services. You also implement information protection, data loss prevention, retention, insider risk management, and manage information security alerts and activities.