安全性布告欄
Microsoft 安全性布告欄 MS13-026 - 重要
Mac 版 Microsoft Office 中的弱點可能會允許資訊洩漏(2813682)
發佈時間: 2013 年 3 月 12 日 |更新日期:2013 年 3 月 15 日
版本: 1.1
一般資訊
執行摘要
此安全性更新可解決 Mac 版 Microsoft Office 中一個私下報告的弱點。 如果用戶開啟特製的電子郵件訊息,此弱點可能會允許資訊洩漏。
此安全性更新被評為 Microsoft Office 2008 for Mac 和 Mac 版 Microsoft Office 2011 的重要專案。 如需詳細資訊,請參閱本節中的小節<
安全性更新可協助確保 Mac 版 Microsoft Office 未經使用者同意,不會從外部來源下載內容,藉此解決弱點。 如需弱點的詳細資訊,請參閱下一節弱點資訊下特定弱點專案的常見問題 (FAQ) 小節。
建議。 Microsoft 建議客戶儘早套用更新。
另請參閱本公告稍後的偵測和部署工具和指引一節。
知識庫文章
| 知識庫文章 | 2813682 |
|---|---|
| 檔案資訊 | 無 |
| SHA1/SHA2 哈希 | Yes |
| 已知問題 | 無 |
受影響的和非受影響的軟體
下列軟體已經過測試,以判斷哪些版本或版本受到影響。 其他版本或版本要麼超過其支援生命周期,要麼不會受到影響。 若要判斷軟體版本或版本的支援生命週期,請參閱 Microsoft 支援服務 生命週期。
受影響的軟體
| 軟體 | 最大安全性影響 | 匯總嚴重性評等 | 更新 已取代 |
|---|---|---|---|
| Microsoft Office for Mac | |||
| Microsoft Office 2008 for Mac (2817449) | 洩露資訊 | 重要 | MS12-076 中的 2764048 |
| Mac 版 Microsoft Office 2011 年 (2817452) | 洩露資訊 | 重要 | MS12-076 中的 2764047 |
更新常見問題
我使用此安全性布告欄所討論之軟體的較舊版本。 我該怎麼做?
此布告欄中列出的受影響的軟體已經過測試,以判斷哪些版本受到影響。 其他版本已超過其支援生命週期。 如需產品生命週期的詳細資訊,請參閱 Microsoft 支援服務 生命周期網站。
對於擁有舊版軟體的客戶而言,它應該是優先專案,可遷移至支援的版本,以防止潛在暴露在弱點。 若要判斷軟體版本的支援生命週期,請參閱 選取產品以取得生命周期資訊。 如需這些軟體版本 Service Pack 的詳細資訊,請參閱 Service Pack 生命週期支持原則。
需要舊版軟體自定義支援的客戶必須連絡其 Microsoft 帳戶小組代表、其技術帳戶管理員,或適當的 Microsoft 合作夥伴代表,以取得自定義支持選項。 沒有聯盟、頂級或授權合約的客戶可以連絡其當地 Microsoft 銷售辦公室。 如需連絡資訊,請參閱 Microsoft 全球資訊網站,選取 [連絡資訊 ] 清單中的國家/地區,然後按兩下 [ 移至 ] 以查看電話號碼清單。 當您打電話時,請要求與當地頂級支援銷售經理交談。 如需詳細資訊,請參閱 Microsoft 支援服務 生命周期原則常見問題。
弱點資訊
嚴重性評等和弱點標識碼
下列嚴重性評等假設弱點的潛在最大影響。 如需有關此安全性布告欄發行的 30 天內有關弱點嚴重性評等和安全性影響之惡意探索性的資訊,請參閱 3 月公告摘要中的惡意探索索引。 如需詳細資訊,請參閱 Microsoft 惡意探索索引。
| 受影響的軟體 | 非預期的內容載入弱點 - CVE- 2013-0095 | 匯總嚴重性評等 |
|---|---|---|
| Microsoft Office for Mac | ||
| Mac 版 Microsoft Office 2008 | 重要資訊洩漏 | 重要 |
| Microsoft Office for Mac 2011 | 重要資訊 洩漏 | 重要 |
非預期的內容載入弱點 - CVE- 2013-0095
Microsoft Entourage for Mac 和 Mac 版 Microsoft Outlook 在 HTML5 電子郵件訊息中載入特定內容標籤的方式存在資訊洩漏弱點。
若要將此弱點視為常見弱點和暴露清單中的標準專案,請參閱 CVE-2013-0095。
緩和因素
Microsoft 尚未識別此弱點的任何緩和因素。
因應措施
Microsoft 尚未識別此弱點的任何因應措施。
常見問題集
弱點的範圍為何?
這是資訊洩漏弱點。
造成弱點的原因為何?
當使用者預覽或開啟特製的 HTML 電子郵件訊息,並 Mac 版 Microsoft Outlook 或 Microsoft Entourage for Mac 允許從遠端伺服器載入內容而不需使用者互動時,就會造成此弱點。
攻擊者可能會使用弱點來執行哪些動作?
攻擊者可以識別他們傳送的特製電子郵件訊息是在 HTML 郵件查看器中轉譯的。 這可讓攻擊者確認目標電子郵件帳戶有效,以及已讀取特製的電子郵件。
攻擊者如何利用弱點?
若要惡意探索弱點,攻擊者可能會傳送包含 HTML5 內容標籤的特製 HTML 電子郵件訊息給使用者。 當使用者預覽或開啟電子郵件訊息時,可能會惡意探索此弱點。
哪些系統主要面臨弱點的風險?
執行受影響版本的 Mac 版 Microsoft Outlook 或 Microsoft Entourage for Mac 的系統,以及已安裝 WebKit 瀏覽器的系統主要有風險。
什麼是 WebKit?
WebKit 是一種 開放原始碼 版面配置引擎,可供其他瀏覽器,例如 Apple Safari 用來轉譯網頁。
更新有何用途?
更新可協助確保 Mac 版 Microsoft Outlook 和 Microsoft Entourage for Mac 不會在未經使用者同意的情況下,從外部來源下載內容,藉此解決弱點。
發佈此安全性布告欄時,是否已公開披露此弱點?
否。 Microsoft 透過協調的弱點洩漏收到此弱點的相關信息。
發佈此安全性布告欄時,Microsoft 是否已收到任何有關此弱點遭到惡意探索的報告?
否。 Microsoft 尚未收到任何資訊,指出此弱點已公開用於攻擊客戶,而此安全性公告最初發佈時。
更新資訊
偵測和部署工具和指引
針對 Mac 版 Microsoft Office的客戶,適用於 Mac 的 Microsoft AutoUpdate 可協助保持 Microsoft 軟體最新狀態。 如需使用 Microsoft AutoUpdate for Mac 的詳細資訊,請參閱 自動檢查軟體更新。
安全性更新部署
受影響的軟體
如需受影響軟體之特定安全性更新的相關信息,請按兩下適當的連結:
Office 2008 for Mac
先決條件
- Intel、PowerPC G5 或 PowerPC G4 上的 Mac OS X 10.4.9 版或更新版本(500 MHz 或更快) 處理器
- Mac OS X 使用者帳戶必須具有系統管理員許可權才能安裝此安全性更新
安裝更新
從 Microsoft 下載中心下載並安裝適當的 Microsoft Office 2008 for Mac 12.3.6 Update 語言版本。
- 結束正在執行的任何應用程式,包括病毒保護應用程式、所有 Microsoft Office 應用程式 lications、Microsoft Messenger for Mac 和 Office 通知,因為它們可能會干擾安裝。
- 在您的桌面上開啟 Microsoft Office 2008 for Mac12.3.6更新磁碟區。 此步驟可能已為您執行。
- 若要啟動更新程式,請在 Microsoft Office 2008 for Mac12.3.6更新 磁碟區視窗中,按兩下 Microsoft Office 2008 for Mac 12.3.6 Update 應用程式,並依照畫面上的指示操作。
- 如果安裝順利完成,您可以從硬碟移除更新安裝程式。 若要確認安裝是否順利完成,請參閱下列「驗證更新安裝」標題。 若要移除更新安裝程式,請先將 Microsoft Office 2008 for Mac12.3.6更新磁碟區拖曳到垃圾桶,然後將您下載的檔案拖曳到垃圾桶。
驗證更新安裝
若要確認安全性更新已安裝在受影響的系統上,請遵循下列步驟:
- 在 [尋找工具] 中,流覽至 [應用程式資料夾] (Microsoft Office 2008: Office)。
- 選取檔案 Microsoft 元件外掛程式。
- 在 [檔案] 功能表上,按兩下 [取得資訊] 或 [顯示資訊]。
如果版本號碼是 12.3.6,則已成功安裝更新。
重新啟動需求
此更新不需要重新啟動電腦。
拿掉更新
無法卸載此安全性更新。
其他資訊
如果您有下載或使用此更新的技術問題,請參閱 Microsoft for Mac 支援 以瞭解可用的支持選項。
Mac 版 Office 2011
先決條件
- Intel 處理器上的 Mac OS X 10.5.8 版或更新版本
- Mac OS X 使用者帳戶必須具有系統管理員許可權才能安裝此安全性更新
安裝更新
從 Microsoft 下載中心下載並安裝適當語言版本的 Mac 版 Microsoft Office 2011 14.3.2 Update。
- 結束正在執行的任何應用程式,包括病毒防護應用程式和所有 Microsoft Office 應用程式 lication,因為它們可能會干擾安裝。
- 開啟桌面上的 Mac 版 Microsoft Office 2011 14.3.2更新磁碟區。 此步驟可能已為您執行。
- 若要啟動更新程式,請在 [Mac 版 Microsoft Office 2011 14.3.2更新磁碟區] 視窗中,按兩下 Mac 版 Microsoft Office 2011 14.3.2 更新應用程式,然後依照畫面上的指示操作。
- 安裝成功完成時,您可以從硬碟移除更新安裝程式。 若要確認安裝是否順利完成,請參閱下列「驗證更新安裝」標題。 若要移除更新安裝程式,請先將 Mac 版 Microsoft Office 201114.3.2Update 磁碟區拖曳到垃圾桶,然後將您下載的檔案拖曳到垃圾桶。
驗證更新安裝
若要確認安全性更新已安裝在受影響的系統上,請遵循下列步驟:
- 在 [尋找工具] 中,流覽至 [應用程式資料夾] (Microsoft Office 2011)。
- 選取 [Word]、[Excel]、[PowerPoint] 或 [Outlook],然後啟動應用程式。
- 在 [應用程式] 功能表上,按兩下 [關於] Application_Name (其中 Application_Name 為 Word、Excel、PowerPoint 或 Outlook)。
如果最新安裝的更新版本號碼是 14.3.2,則已成功安裝更新。
重新啟動需求
此更新不需要重新啟動電腦。
拿掉更新
無法卸載此安全性更新。
其他資訊
如果您有下載或使用此更新的技術問題,請參閱 Microsoft for Mac 支援 以瞭解可用的支持選項。
其他資訊
通知
Microsoft 感謝您 與我們合作,協助保護客戶:
- Nick Semenkovich 報告非預期的內容載入弱點 (CVE- 2013-0095)
Microsoft Active Protections 計劃 (MAPP)
為了改善客戶的安全性保護,Microsoft 會在每個每月安全性更新版本之前,為主要安全性軟體提供者提供弱點資訊。 然後,安全性軟體提供者可以使用此弱點資訊,透過其安全性軟體或裝置,例如防病毒軟體、網路型入侵檢測系統或主機型入侵預防系統,為客戶提供更新的保護。 若要判斷是否可從安全性軟體提供者取得主動保護,請移至 Microsoft Active Protections 方案 (MAPP) 合作夥伴中所列之計劃合作夥伴所提供的使用中保護網站。
支援
如何取得此安全性更新的說明和支援
- 協助安裝更新: Microsoft Update 的支援
- IT 專業人員的安全性解決方案: TechNet 安全性疑難解答和支援
- 協助保護執行 Windows 的電腦免於病毒和惡意代碼: 病毒解決方案和安全性中心
- 根據您的國家/地區提供當地支持: 國際支援
免責聲明
Microsoft 知識庫中提供的資訊會「如實」提供,而不會提供任何類型的擔保。 Microsoft 不表示明示或隱含的所有擔保,包括適銷性及適合特定用途的擔保。 任何情況下,Microsoft Corporation 或其供應商都不得承擔任何損害責任,包括直接、間接、附帶、衍生性、業務利潤損失或特殊損害,即使 Microsoft Corporation 或其供應商已獲告知可能遭受此類損害。 某些州不允許排除或限制衍生性或附帶性損害的責任,因此可能不適用上述限制。
修訂記錄
- V1.0 (2013 年 3 月 12 日): 公告發佈。
- V1.1 (2013 年 3 月 15 日):更正公告標題,並在弱點詳細數據和弱點常見問題中釐清受影響的版本名稱。
建置於 2014-04-18T13:49:36Z-07:00