安全公告
Microsoft 安全公告 MS13-026 - 重要提示
mac Microsoft 办公室中的漏洞可能导致信息泄露(2813682)
发布时间: 2013 年 3 月 12 日 |更新时间:2013 年 3 月 15 日
版本: 1.1
常规信息
执行摘要
此安全更新可解决 Microsoft 办公室 for Mac 中的一个私有报告漏洞。 如果用户打开特制的电子邮件,该漏洞可能会允许信息泄露。
此安全更新对 Microsoft 办公室 2008 for Mac 和 Microsoft 办公室 for Mac 2011 的“重要”评级。 有关详细信息,请参阅本节中的小节“ 受影响的和非受影响的软件”。
安全更新通过帮助确保 Microsoft 办公室 for Mac 在未经用户同意的情况下不会从外部源下载内容来解决漏洞。 有关漏洞的详细信息,请参阅下一部分 “漏洞信息”下特定漏洞条目的常见问题解答(常见问题解答)子部分。
建议。 Microsoft 建议客户尽早应用更新。
另请参阅本公告后面的“检测和部署工具和指南”部分。
知识库文章
| 知识库文章 | 2813682 |
|---|---|
| 文件信息 | 无 |
| SHA1/SHA2 哈希 | 是 |
| 已知问题 | 无 |
受影响的和非受影响的软件
以下软件已经过测试,以确定哪些版本受到影响。 其他版本或版本要么超过其支持生命周期,要么不受影响。 若要确定软件版本或版本的支持生命周期,请参阅Microsoft 支持部门生命周期。
受影响的软件
| 软件 | 最大安全影响 | 聚合严重性分级 | 已替换汇报 |
|---|---|---|---|
| Microsoft Office for Mac | |||
| Microsoft 办公室 2008 for Mac (2817449) | 信息泄露 | 重要 | MS12-076 中的 2764048 |
| Microsoft 办公室 for Mac 2011 (2817452) | 信息泄露 | 重要 | MS12-076 中的 2764047 |
更新常见问题解答
我使用的是此安全公告中讨论的软件的较旧版本。 应采取何种操作?
此公告中列出的受影响的软件已经过测试,以确定哪些版本受到影响。 其他版本已超过其支持生命周期。 有关产品生命周期的详细信息,请参阅Microsoft 支持部门生命周期网站。
对于具有较旧版本的软件的客户来说,这应该是一个优先事项,可以迁移到受支持的版本,以防止潜在的漏洞暴露。 若要确定软件版本的支持生命周期,请参阅 “选择产品生命周期信息”。 有关这些软件版本的 Service Pack 的详细信息,请参阅 Service Pack 生命周期支持策略。
需要旧版软件自定义支持的客户必须联系其 Microsoft 帐户团队代表、其技术客户经理或相应的 Microsoft 合作伙伴代表以获取自定义支持选项。 没有联盟、顶级或授权合同的客户可以与其当地的 Microsoft 销售办公室联系。 有关联系信息,请参阅 Microsoft 全球信息网站,在“联系信息”列表中选择国家/地区,然后单击“转到”以查看电话号码列表。 呼叫时,请与当地顶级支持销售经理交谈。 有关详细信息,请参阅Microsoft 支持部门生命周期策略常见问题解答。
漏洞信息
严重性分级和漏洞标识符
以下严重性分级假定漏洞的潜在最大影响。 有关此安全公告发布 30 天内漏洞的可利用性及其严重性评级和安全影响的信息,请参阅 3 月公告摘要中的“可利用性索引”。 有关详细信息,请参阅 Microsoft Exploitability Index。
| 受影响的软件 | 意外的内容加载漏洞 - CVE- 2013-0095 | 聚合严重性分级 |
|---|---|---|
| Microsoft Office for Mac | ||
| Microsoft Office 2008 for Mac | 重要信息披露 | 重要说明 |
| Microsoft Office for Mac 2011 | 重要信息 披露 | 重要说明 |
意外的内容加载漏洞 - CVE- 2013-0095
Microsoft Entourage for Mac 和 Microsoft Outlook for Mac 在 HTML5 电子邮件中加载特定内容标记的方式存在信息泄露漏洞。
若要将此漏洞视为常见漏洞和公开列表中的标准条目,请参阅 CVE-2013-0095。
缓解因素
Microsoft 尚未识别此漏洞的任何缓解因素。
解决方法
Microsoft 尚未识别此漏洞的任何解决方法。
常见问题解答
漏洞的范围是什么?
这是信息泄露漏洞。
导致漏洞的原因是什么?
当用户预览或打开特制的 HTML 电子邮件和 Microsoft Outlook for Mac 或 Microsoft Entourage for Mac 允许加载来自远程服务器的内容时,不会进行用户交互,则会导致此漏洞。
攻击者可能使用漏洞执行哪些操作?
攻击者可以识别他们发送的特制电子邮件呈现在 HTML 邮件查看器中。 这可能导致攻击者确认目标电子邮件帐户有效,并且已阅读特制的电子邮件。
攻击者如何利用漏洞?
为了利用漏洞,攻击者可能会向用户发送包含 HTML5 内容标记的特制 HTML 电子邮件。 当用户预览或打开电子邮件时,可能会利用该漏洞。
哪些系统主要面临漏洞的风险?
运行受影响版本的 Microsoft Outlook for Mac 或 Microsoft Entourage for Mac 且安装了 WebKit 浏览器的系统主要面临风险。
什么是 WebKit?
WebKit 是其他浏览器(如 Apple Safari)用于呈现网页的开放源代码布局引擎。
更新的作用是什么?
此更新通过帮助确保 Microsoft Outlook for Mac 和 Microsoft Entourage for Mac 在未经用户同意的情况下不会从外部源下载内容,从而解决了漏洞。
发布此安全公告后,是否已公开披露此漏洞?
否。 Microsoft 通过协调的漏洞泄露收到了有关此漏洞的信息。
发布此安全公告后,Microsoft 是否收到了有关此漏洞被利用的任何报告?
否。 当最初发布此安全公告时,Microsoft 未收到任何信息,表明此漏洞已公开用于攻击客户。
更新信息
检测和部署工具和指南
对于 Microsoft 办公室 for Mac 的客户,Microsoft AutoUpdate for Mac 可以帮助使 Microsoft 软件保持最新。 有关使用 Microsoft AutoUpdate for Mac 的详细信息,请参阅 自动检查软件更新。
安全更新部署
受影响的软件
有关受影响软件的特定安全更新的信息,请单击相应的链接:
办公室 2008 for Mac
先决条件
- Intel、PowerPC G5 或 PowerPC G4 上的 Mac OS X 版本 10.4.9 或更高版本(500 MHz 或更高版本) 处理器
- Mac OS X 用户帐户必须具有管理员权限才能安装此安全更新
安装更新
从 Microsoft 下载中心下载并安装 Microsoft 办公室 2008 for Mac 12.3.6 更新的相应语言版本。
- 退出运行的任何应用程序,包括病毒保护应用程序、所有Microsoft 办公室应用程序、Microsoft Messenger for Mac 和办公室通知,因为它们可能会干扰安装。
- 在桌面上打开 Microsoft 办公室 2008 for Mac12.3.6更新卷。 此步骤可能已为你执行。
- 若要启动更新过程,请在 Microsoft 办公室 2008 for Mac12.3.6更新卷窗口中,双击 Microsoft 办公室 2008 for Mac 12.3.6 更新应用程序,然后按照屏幕上的说明进行操作。
- 如果安装成功完成,可以从硬盘中删除更新安装程序。 若要验证安装是否已成功完成,请参阅以下“正在验证更新安装”标题。 若要删除更新安装程序,请先将 Microsoft 办公室 2008 for Mac12.3.6更新卷拖到回收站,然后将下载的文件拖到回收站。
验证更新安装
若要验证是否已在受影响的系统上安装安全更新,请执行以下步骤:
- 在 Finder 中,导航到应用程序文件夹(Microsoft 办公室 2008:办公室)。
- 选择文件 Microsoft 组件插件。
- 在“文件”菜单上,单击“获取信息”或“显示信息”。
如果版本号为 12.3.6,则已成功安装更新。
重启要求
此更新不需要重新启动计算机。
删除更新
无法卸载此安全更新。
其他信息
如果下载或使用此更新时遇到技术问题,请参阅 Microsoft for Mac 支持 ,了解可用的支持选项。
办公室 for Mac 2011
先决条件
- Intel 处理器上的 Mac OS X 版本 10.5.8 或更高版本
- Mac OS X 用户帐户必须具有管理员权限才能安装此安全更新
安装更新
从 Microsoft 下载中心下载并安装适用于 Mac 2011 14.3.2 更新Microsoft 办公室的相应语言版本。
- 退出运行的任何应用程序,包括病毒防护应用程序和所有Microsoft 办公室应用程序,因为它们可能会干扰安装。
- 打开桌面上的 Microsoft 办公室 for Mac 2011 14.3.2更新卷。 此步骤可能已为你执行。
- 若要启动更新过程,Microsoft 办公室 请在 mac 2011 14.3.2更新卷窗口中,双击 Mac 2011 14.3.2 更新应用程序的Microsoft 办公室,并按照屏幕上的说明进行操作。
- 安装成功完成后,可以从硬盘中删除更新安装程序。 若要验证安装是否已成功完成,请参阅以下“正在验证更新安装”标题。 若要删除更新安装程序,请先将适用于 Mac 201114.3.2Update 卷的 Microsoft 办公室 拖动到回收站,然后将下载到回收站的文件拖动。
验证更新安装
若要验证是否已在受影响的系统上安装安全更新,请执行以下步骤:
- 在 Finder 中,导航到应用程序文件夹(Microsoft 办公室 2011)。
- 选择 Word、Excel、PowerPoint 或 Outlook 并启动应用程序。
- 在“应用程序”菜单上,单击“ 关于” Application_Name(其中Application_Name为 Word、Excel、PowerPoint 或 Outlook)。
如果最新安装的更新版本号为 14.3.2,则已成功安装更新。
重启要求
此更新不需要重新启动计算机。
删除更新
无法卸载此安全更新。
其他信息
如果下载或使用此更新时遇到技术问题,请参阅 Microsoft for Mac 支持 ,了解可用的支持选项。
其他信息
致谢
Microsoft 感谢 以下部门与我们合作,帮助保护客户:
- Nick Semenkovich 报告意外内容加载漏洞 (CVE- 2013-0095)
Microsoft Active Protections 计划 (MAPP)
为了改善客户的安全保护,Microsoft 在每月安全更新发布之前向主要安全软件提供商提供漏洞信息。 然后,安全软件提供商可以使用此漏洞信息通过其安全软件或设备(如防病毒、基于网络的入侵检测系统或基于主机的入侵防护系统)为客户提供更新的保护。 若要确定安全软件提供商是否提供主动保护,请转到 Microsoft Active Protections 计划 (MAPP) 合作伙伴中列出的计划合作伙伴提供的活动保护网站。
支持
如何获取此安全更新的帮助和支持
- 帮助安装更新: 支持 Microsoft 更新
- 面向 IT 专业人员的安全解决方案: TechNet 安全故障排除和支持
- 帮助保护运行 Windows 的计算机免受病毒和恶意软件的攻击: 病毒解决方案和安全中心
- 根据国家/地区提供本地支持: 国际支持
免责声明
Microsoft 知识库中提供的信息“按原样”提供,不提供任何形式的担保。 Microsoft 不明确或暗示所有保证,包括适销性和针对特定用途的适用性和适用性的保证。 在任何情况下,Microsoft Corporation 或其供应商都应对任何损害负责,包括直接、间接、附带、后果性、业务利润损失或特殊损害,即使 Microsoft Corporation 或其供应商被告知存在此类损害的可能性。 某些州不允许排除或限制后果性或附带性损害的责任,因此上述限制可能不适用。
修订
- V1.0(2013 年 3 月 12 日):公告已发布。
- V1.1(2013 年 3 月 15 日):更正了公告标题,并在漏洞详细信息和漏洞常见问题解答中阐明了受影响的版本名称。
生成于 2014-04-18T13:49:36Z-07:00