マイクロソフト セキュリティ情報 MS16-148 - 緊急

Microsoft Office 用のセキュリティ更新プログラム (3204068)

公開日: 2016 年 12 月 14 日 | 最終更新日: 2016 年 12 月 22 日

バージョン: 1.1

このセキュリティ更新プログラムは、Microsoft Office の脆弱性を解決します。最も深刻な脆弱性では、特別に細工された Microsoft Office ファイルをユーザーが開いた場合にリモートでコードが実行される可能性があります。これらの脆弱性の悪用に成功した攻撃者が、現在のユーザーのコンテキストで任意のコードを実行する可能性があります。システムに関するユーザー権限が低く設定されているアカウントを使用しているユーザーは、管理者ユーザー権限で実行しているユーザーよりも影響が少なくなると考えられます。

詳細については、「影響を受けるソフトウェアと脅威の深刻度」のセクションを参照してください。

このセキュリティ更新プログラムは次の方法を修正することによって脆弱性を解決します。

  • Microsoft Office で変数を初期化する方法。
  • Microsoft Office で入力を検証する方法。
  • Microsoft Office でレジストリ値を再チェックする方法。
  • Microsoft Office でファイル形式を解析する方法。
  • 影響を受けるバージョンの Office および Office コンポーネントがメモリ内のオブジェクトを処理する方法。
  • Microsoft Office AutoUpdate for Mac でパッケージを検証する方法。

この脆弱性の詳細については、「脆弱性の情報」を参照してください。

この更新プログラムの詳細については、「マイクロソフト サポート技術情報 3204068」を参照してください。

次のソフトウェア バージョンまたはエディションが影響を受けます。一覧にないバージョンまたはエディションは、サポート ライフサイクルが終了しているか、この脆弱性の影響を受けません。ご使用中のソフトウェアのバージョンまたはエディションのサポート ライフサイクルを確認するには、Microsoft サポート ライフサイクルの Web サイトを参照してください。

次の深刻度の評価は、脆弱性の影響が最も深刻な場合を想定しています。深刻度の評価およびセキュリティ上の影響に関連して、このセキュリティ情報の公開から 30 日以内にこの脆弱性が悪用される可能性に関する情報については、「12 月のセキュリティ情報の概要」の Exploitability Index (悪用可能性指標) を参照してください。

注: セキュリティ更新プログラム情報の新しい利用方法の詳細については、Security Update Guide (セキュリティ更新プログラム ガイド) を参照してください。ビューのカスタマイズや影響を受けるソフトウェアの一覧の作成だけでなく、RESTful API を使ってデータをダウンロードすることもできます。詳細については、セキュリティ更新プログラム ガイドに関する FAQ を参照してください。既にお知らせしたように、2017 年 2 月から、セキュリティ更新プログラムの情報は、セキュリティ情報 Web サイトではなく、セキュリティ更新プログラム ガイドで公開されます。詳細については、ブログ記事「セキュリティ更新プログラムに対するコミットメントの促進について」を参照してください。

Microsoft Office Software (表 1/2)

影響を受けるソフトウェア

Microsoft Office のセキュリティ機能のバイパスの脆弱性 - CVE-2016-7262

Microsoft Office の情報漏えいの脆弱性 - CVE-2016-7264

Microsoft Office の情報漏えいの脆弱性 - CVE-2016-7265

Microsoft Office のセキュリティ機能のバイパスの脆弱性 - CVE-2016-7266

Microsoft Office のセキュリティ機能のバイパスの脆弱性 - CVE-2016-7267

Microsoft Office の情報漏えいの脆弱性 - CVE-2016-7268

置き換えられる更新プログラム*

Microsoft Office 2007

Microsoft Excel 2007 Service Pack 3
(3128019)

重要
リモートでコードが実行される

重要
情報漏えい

重要
リモートでコードが実行される

重要
リモートでコードが実行される

対象外

対象外

MS16-133 の 3118395

Microsoft Word 2007 Service Pack 3
(3128025)

対象外

対象外

対象外

対象外

対象外

重要
情報漏えい

MS16-133 の 3127949

Microsoft Office 2010

Microsoft Office 2010 Service Pack 2 (32 ビット版)
(3128032)

対象外

対象外

対象外

対象外

対象外

重要
情報漏えい

MS16-133 の 3127951

Microsoft Office 2010 Service Pack 2 (64 ビット版)
(3128032)

対象外

対象外

対象外

対象外

対象外

重要
情報漏えい

MS16-133 の 3127951

Microsoft Excel 2010 Service Pack 2 (32 ビット版)
(3128037)

重要
リモートでコードが実行される

対象外

重要
リモートでコードが実行される

重要
リモートでコードが実行される

警告
セキュリティ機能のバイバス

対象外

MS16-133 の 3118390

Microsoft Excel 2010 Service Pack 2 (64 ビット版)
(3128037)

重要
リモートでコードが実行される

対象外

重要
リモートでコードが実行される

重要
リモートでコードが実行される

警告
セキュリティ機能のバイバス

対象外

MS16-133 の 3118390

Microsoft Word 2010 Service Pack 2 (32 ビット版)
(3128034)

対象外

対象外

対象外

対象外

対象外

重要
情報漏えい

MS16-133 の 3127953

Microsoft Word 2010 Service Pack 2 (64 ビット版)
(3128034)

対象外

対象外

対象外

対象外

対象外

重要
情報漏えい

MS16-133 の 3127953

Microsoft Office 2013

Microsoft Excel 2013 Service Pack 1 (32 ビット版)
(3128008)

重要
リモートでコードが実行される

対象外

重要
リモートでコードが実行される

重要
リモートでコードが実行される

警告
セキュリティ機能のバイバス

対象外

MS16-133 の 3127921

Microsoft Excel 2013 Service Pack 1 (64 ビット版)
(3128008)

重要
リモートでコードが実行される

対象外

重要
リモートでコードが実行される

重要
リモートでコードが実行される

警告
セキュリティ機能のバイバス

対象外

MS16-133 の 3127921

Microsoft Office 2013 RT

Microsoft Excel 2013 RT Service Pack 1[1]
(3128008)

重要
リモートでコードが実行される

対象外

重要
リモートでコードが実行される

重要
リモートでコードが実行される

警告
セキュリティ機能のバイバス

対象外

MS16-133 の 3127921

Microsoft Office 2016

Microsoft Excel 2016 (32 ビット版)
(3128016)

重要
リモートでコードが実行される

対象外

重要
リモートでコードが実行される

重要
リモートでコードが実行される

警告
セキュリティ機能のバイバス

対象外

MS16-133 の 3127904

Microsoft Excel 2016 (64 ビット版)
(3128016)

重要
リモートでコードが実行される

対象外

重要
リモートでコードが実行される

重要
リモートでコードが実行される

警告
セキュリティ機能のバイバス

対象外

MS16-133 の 3127904

その他の Office ソフトウェア

Microsoft Office 互換機能パック Service Pack 3
(3128022)

重要
リモートでコードが実行される

重要
情報漏えい

重要
リモートでコードが実行される

重要
リモートでコードが実行される

対象外

対象外

MS16-133 の 3127889

Microsoft Office 互換機能パック Service Pack 3
(3128024)

対象外

対象外

対象外

対象外

対象外

重要
情報漏えい

MS16-133 の 3127948

Microsoft Excel Viewer
(3128023)

重要
リモートでコードが実行される

重要
情報漏えい

重要
リモートでコードが実行される

重要
リモートでコードが実行される

対象外

対象外

MS16-133 の 3127893

Microsoft Word Viewer
(3128044)

対象外

対象外

対象外

対象外

対象外

重要
情報漏えい

MS16-133 の 3127962

[1]この更新プログラムは、Windows Update を介して入手できます。

* "置き換えられる更新プログラム" 列には、置き換えられる一連の更新プログラムの中で、最新の更新プログラムのみが表示されています。置き換えられる更新プログラムの完全な一覧については、Microsoft Update カタログにアクセスし、更新プログラムのサポート技術情報番号を検索してから、更新プログラムの詳細を表示します (置き換えられる更新プログラムの情報は [パッケージの詳細] タブにあります)。

 

Microsoft Office Software (表 2/2)

影響を受けるソフトウェア

Uniscribe のリモートでコードが実行される脆弱性 - CVE-2016-7274

Microsoft Office OLE DLL のサイド ローディングの脆弱性 - CVE-2016-7275

Microsoft Office の情報漏えいの脆弱性 - CVE-2016-7276

Microsoft Office のメモリ破損の脆弱性 - CVE-2016-7277

Microsoft Office のメモリ破損の脆弱性 - CVE-2016-7289

Microsoft Office の情報漏えいの脆弱性 - CVE-2016-7290

Microsoft Office の情報漏えいの脆弱性 - CVE-2016-7291

置き換えられる更新プログラム*

Microsoft Office 2007

Microsoft Office 2007 Service Pack 3
(3128020)

対象外

対象外

重要
情報漏えい

対象外

対象外

対象外

対象外

MS16-133 の 3118396

Microsoft Office 2007 Service Pack 3
(2883033)

緊急
リモートでコードが実行される

対象外

対象外

対象外

対象外

対象外

対象外

MS14-036 の 2878233

Microsoft Word 2007 Service Pack 3
(3128025)

対象外

対象外

対象外

対象外

対象外

重要
情報漏えい

重要
情報漏えい

MS16-133 の 3127949

Microsoft Office 2010

Microsoft Office 2010 Service Pack 2 (32 ビット版)
(3118380)

対象外

重要
リモートでコードが実行される

重要
情報漏えい

対象外

対象外

対象外

対象外

MS16-107 の 3118309

Microsoft Office 2010 Service Pack 2 (64 ビット版)
(3118380)

対象外

重要
リモートでコードが実行される

重要
情報漏えい

対象外

対象外

対象外

対象外

MS16-107 の 3118309

Microsoft Office 2010 Service Pack 2 (32 ビット版)
(3128032)

対象外

対象外

対象外

対象外

対象外

重要
情報漏えい

重要
情報漏えい  

MS16-133 の 3127951

Microsoft Office 2010 Service Pack 2 (64 ビット版)
(3128032)

対象外

対象外

対象外

対象外

対象外

重要
情報漏えい

重要
情報漏えい

MS16-133 の 3127951

Microsoft Office 2010 Service Pack 2 (32 ビット版)
(2889841)

緊急
リモートでコードが実行される

対象外

対象外

対象外

対象外

対象外

対象外

MS14-036 の 2881071

Microsoft Office 2010 Service Pack 2 (64 ビット版)
(2889841)

緊急
リモートでコードが実行される

対象外

対象外

対象外

対象外

対象外

対象外

MS14-036 の 2881071

Microsoft Word 2010 Service Pack 2 (32 ビット版)
(3128034)

対象外

対象外

対象外

対象外

対象外

重要
情報漏えい

重要
情報漏えい

MS16-133 の 3127953

Microsoft Word 2010 Service Pack 2 (64 ビット版)
(3128034)

対象外

対象外

対象外

対象外

対象外

重要
情報漏えい

重要
情報漏えい

MS16-133 の 3127953

Microsoft Publisher 2010 Service Pack 2 (32 ビット版)
(3114395)

対象外

対象外

対象外

対象外

重要
リモートでコードが実行される

対象外

対象外

MS15-116の 2817478

Microsoft Publisher 2010 Service Pack 2 (64 ビット版)
(3114395)

対象外

対象外

対象外

対象外

重要
リモートでコードが実行される

対象外

対象外

MS15-116の 2817478

Microsoft Office 2013

Microsoft Office 2013 Service Pack 1 (32 ビット版)
(3127968)

対象外

重要
リモートでコードが実行される

重要
情報漏えい

対象外

対象外

対象外

対象外

MS16-107 の 3118284

Microsoft Office 2013 Service Pack 1 (64 ビット版)
(3127968)

対象外

重要
リモートでコードが実行される

重要
情報漏えい

対象外

対象外

対象外

対象外

MS16-107 の 3118284

Microsoft Office 2013 RT

Microsoft Office 2013 RT Service Pack 1 [1]
(3127968)

対象外

重要
リモートでコードが実行される

重要
情報漏えい

対象外

対象外

対象外

対象外

MS16-107 の 3118284

Microsoft Office 2016

Microsoft Office 2016 (32 ビット版)
(3127986)

対象外

重要
リモートでコードが実行される

対象外

対象外

対象外

対象外

対象外

MS16-107 の 3118292

Microsoft Office 2016 (64 ビット版)
(3127986)

対象外

重要
リモートでコードが実行される

対象外

対象外

対象外

対象外

対象外

MS16-107 の 3118292

Microsoft Office 2016 (32 ビット版) [2]

対象外

対象外

対象外

重要
リモートでコードが実行される

対象外

対象外

対象外

なし

Microsoft Office 2016 (64 ビット版) [2]

対象外

対象外

対象外

重要
リモートでコードが実行される

対象外

対象外

対象外

なし

その他の Office ソフトウェア

Microsoft Office 互換機能パック Service Pack 3
(3128024)

対象外

対象外

対象外

対象外

対象外

重要
情報漏えい

重要
情報漏えい

MS16-133 の 3127948

Microsoft Word Viewer
(3128043)

対象外

対象外

重要
情報漏えい

対象外

対象外

対象外

対象外

MS16-107 の 3118297

Microsoft Word Viewer
(3127995)

緊急
リモートでコードが実行される

対象外

対象外

対象外

対象外

対象外

対象外

なし

[1]この更新プログラムは、Windows Update を介して入手できます。

[2]クイック実行 (C2R) バージョンのみの参照用です。詳細情報、および現在のクイック実行のバージョン番号については、「Office 365 クライアント更新プログラムのチャネル リリース」を参照してください。

* "置き換えられる更新プログラム" 列には、置き換えられる一連の更新プログラムの中で、最新の更新プログラムのみが表示されています。置き換えられる更新プログラムの完全な一覧については、Microsoft Update カタログにアクセスし、更新プログラムのサポート技術情報番号を検索してから、更新プログラムの詳細を表示します (置き換えられる更新プログラムの情報は [パッケージの詳細] タブにあります)。

 

Microsoft Office Software for Mac (表 1/2)

影響を受けるソフトウェア

Microsoft Office のメモリ破損の脆弱性 - CVE-2016-7263

Microsoft Office の情報漏えいの脆弱性 - CVE-2016-7264

Microsoft Office のセキュリティ機能のバイパスの脆弱性 - CVE-2016-7266

Microsoft Office の情報漏えいの脆弱性 - CVE-2016-7268

Microsoft Office の特権の昇格の脆弱性 - CVE-2016-7300

置き換えられる更新プログラム*

Microsoft Office for Mac 2011

Microsoft Excel for Mac 2011
(3198808)

重要
リモートでコードが実行される

重要
情報漏えい

対象外

対象外

対象外

MS16-133 の 3198807

Microsoft Word for Mac 2011
(3198808)

対象外

対象外

対象外

重要
情報漏えい

対象外

MS16-133 の 3198807

Microsoft Office 2016 for Mac

Microsoft Excel 2016 for Mac
(3198800)

重要
リモートでコードが実行される

重要
情報漏えい

重要
リモートでコードが実行される

対象外

対象外

MS16-133 の3198798

その他の Office for Mac ソフトウェア

Microsoft Auto Updater for Mac [1]

対象外

対象外

対象外

対象外

重要
特権の昇格

なし

[1]Mac AutoUpdate の新しいバージョンを利用できます。Office for Mac の他の更新プログラムをインストールする前に、必要なバージョンにアップグレードするようにというメッセージが表示されます。

* "置き換えられる更新プログラム" 列には、置き換えられる一連の更新プログラムの中で、最新の更新プログラムのみが表示されています。置き換えられる更新プログラムの完全な一覧については、Microsoft Update カタログにアクセスし、更新プログラムのサポート技術情報番号を検索してから、更新プログラムの詳細を表示します (置き換えられる更新プログラムの情報は [パッケージの詳細] タブにあります)。

 

Microsoft Office Software for Mac (表 2/2)

影響を受けるソフトウェア

GDI の情報漏えいの脆弱性 - CVE-2016-7257

Microsoft Office の情報漏えいの脆弱性 - CVE-2016-7290

Microsoft Office の情報漏えいの脆弱性 - CVE-2016-7291

Uniscribe のリモートでコードが実行される脆弱性 - CVE-2016-7274

Microsoft Office の情報漏えいの脆弱性 – CVE-2016-7276

置き換えられる更新プログラム*

Microsoft Office for Mac 2011

Microsoft Office for Mac 2011
(3198808)

重要
情報漏えい

対象外

対象外

緊急
リモートでコードが実行される

重要
情報漏えい

MS16-133 の 3198807

Microsoft Word for Mac 2011
(3198808)

対象外

重要
情報漏えい

重要
情報漏えい

対象外

対象外

MS16-133 の 3198807

Microsoft Office 2016 for Mac

Microsoft Office 2016 for Mac
(3198800)

重要
情報漏えい

対象外

対象外

緊急
リモートでコードが実行される

重要
情報漏えい

MS16-133 の 3198798

Microsoft Excel 2016 for Mac
(3198800)

対象外

対象外

対象外

対象外

重要
リモートでコードが実行される

MS16-133 の 3198798

* "置き換えられる更新プログラム" 列には、置き換えられる一連の更新プログラムの中で、最新の更新プログラムのみが表示されています。置き換えられる更新プログラムの完全な一覧については、Microsoft Update カタログにアクセスし、更新プログラムのサポート技術情報番号を検索してから、更新プログラムの詳細を表示します (置き換えられる更新プログラムの情報は [パッケージの詳細] タブにあります)。

 

Microsoft Office Services および Web Apps

影響を受けるソフトウェア

Microsoft Office の情報漏えいの脆弱性 - CVE-2016-7265

Microsoft Office の情報漏えいの脆弱性 - CVE-2016-7268

Microsoft Office の情報漏えいの脆弱性 - CVE-2016-7290

Microsoft Office の情報漏えいの脆弱性 - CVE-2016-7291

置き換えられる更新プログラム*

Microsoft SharePoint Server 2007

Microsoft SharePoint Server 2007 Service Pack 3 上の Excel Services (32 ビット版)
(3127892)

重要
情報漏えい

対象外

対象外

対象外

MS16-107 の 3115112

Microsoft SharePoint Server 2007 Service Pack 3 上の Excel Services(64 ビット版)
(3127892)

重要
情報漏えい

対象外

対象外

対象外

MS16-107 の 3115112

Microsoft SharePoint Server 2010

Microsoft SharePoint Server 2010 Service Pack 2 上の Excel Services
(3128029)

重要
情報漏えい

対象外

対象外

対象外

MS16-133 の 3118381

Microsoft SharePoint Server 2010 Service Pack 2 上の Word Automation Services
(3128026)

対象外

重要
情報漏えい

重要
情報漏えい

重要
情報漏えい

MS16-133 の 3127950

Microsoft Office Web Apps 2010

Microsoft Office Web Apps 2010 Service Pack 2
(3128035)

対象外

重要
情報漏えい

重要
情報漏えい

重要
情報漏えい

MS16-133 の 3127954

* "置き換えられる更新プログラム" 列には、置き換えられる一連の更新プログラムの中で、最新の更新プログラムのみが表示されています。置き換えられる更新プログラムの完全な一覧については、Microsoft Update カタログにアクセスし、更新プログラムのサポート技術情報番号を検索すると、更新プログラムの詳細が表示されます (置き換えられる更新プログラムの情報は [パッケージの詳細] タブにあります)。

Microsoft Word 2010 をインストールしています。なぜ、3128032 更新プログラムが提供されないのですか?
更新プログラム 3128032 は、特定の構成の Microsoft Office 2010 を実行しているシステムにのみ適用されます。一部の構成では、この更新プログラムは提供されません。

「影響を受けるソフトウェアと脅威の深刻度」の表に影響を受けるとして特に記載されていないソフトウェアに対して、この更新プログラムが提供されることになりました。なぜ、この更新プログラムが提供されるのですか? 
更新プログラムが、複数の Microsoft Office 製品間で共有されているか、同じ Microsoft Office 製品の複数のバージョン間で共有されているコンポーネントに存在する脆弱性の影響を受けるコードに対応する場合、その更新プログラムは、脆弱性の影響を受けるコンポーネントが含まれるすべてのサポートされる製品およびバージョンに適用可能であると見なされます。

たとえば、更新プログラムが Microsoft Office 2007 製品にのみ適用される場合は、Microsoft Office 2007 が「影響を受けるソフトウェア」の表に明示されている可能性があります。しかしその更新プログラムは、「影響を受けるソフトウェア」の表に特に記載されていない Microsoft Word 2007、Microsoft Excel 2007、Microsoft Visio 2007、Microsoft 互換機能パック、Microsoft Excel Viewer、その他の Microsoft Office 2007 製品に適用される可能性があります。さらに、更新プログラムが Microsoft Office 2010 製品に適用される場合、「影響を受けるソフトウェア」の表に Microsoft Office 2010 とのみ記載されていることがあります。しかしその更新プログラムは、「影響を受けるソフトウェア」の表に特に記載されていない Microsoft Word 2010、Microsoft Excel 2010、Microsoft Visio 2010、Microsoft Visio Viewer、その他の Microsoft Office 2010 製品に適用される可能性があります。

この動作と推奨事項の詳細については、「マイクロソフト サポート技術情報 830335」を参照してください。更新プログラムが適用される可能性のある Microsoft Office 製品については、特定の更新プログラムに関連するマイクロソフト サポート技術情報を参照してください。

複数の Microsoft Office のメモリ破損の脆弱性

Microsoft Office ソフトウェアでメモリ内のオブジェクトが適切に処理されない場合に、リモートでコードが実行される脆弱性が複数存在します。これらの脆弱性の悪用に成功した攻撃者が、現在のユーザーのコンテキストで任意のコードを実行する可能性があります。現在のユーザーが管理者ユーザー権限でログオンしている場合、攻撃者が影響を受けるコンピューターを制御する可能性があります。攻撃者は、その後、プログラムのインストール、データの表示、変更、削除などを行ったり、完全なユーザー権限を持つ新たなアカウントを作成したりする可能性があります。コンピューターでのユーザー権限が低い設定のアカウントを持つユーザーは、管理者特権で実行しているユーザーよりもこの脆弱性による影響が少ないと考えられます。

この脆弱性が悪用されるには、ユーザーが影響を受けるバージョンの Microsoft Office ソフトウェアで、特別に細工されたファイルを開くことが攻撃者にとっての必要条件となります。電子メールの攻撃シナリオでは、攻撃者は特別に細工したファイルをユーザーに送信し、ユーザーにそのファイルを開くよう誘導することにより、この脆弱性を悪用する可能性があります。Web ベースの攻撃のシナリオでは、攻撃者は、この脆弱性の悪用を意図したファイルを含む Web サイトをホストする (またはユーザーが提供するコンテンツを受け入れるかホストする侵害された Web サイト利用する) 可能性があります。しかし、いかなるケースでも、攻撃者はユーザーに Web サイトを見るよう強制することはできません。その代わり、通常は電子メールまたはインスタント メッセンジャーのメッセージの誘導により、ユーザーにリンクをクリックさせ、特別に細工されたファイルを開かせることが攻撃者にとっての必要条件となります。

「影響を受けるソフトウェアと脅威の深刻度」の表に重要度が緊急と記載されている場合、プレビュー ウィンドウは CVE-2016-7298 の脆弱性による攻撃対象になります。

この更新プログラムは、Office がメモリ内のオブジェクトを処理する方法を修正することにより、これらの脆弱性を解決します。

次の表には、Common Vulnerabilities and Exposures リストの各脆弱性の標準のエントリへのリンクが含まれています。

脆弱性のタイトル

CVE 番号

一般に公開

悪用

Microsoft Office のメモリ破損の脆弱性

CVE-2016-7263

なし

なし

Microsoft Office のメモリ破損の脆弱性

CVE-2016-7277

なし

なし

Microsoft Office のメモリ破損の脆弱性

CVE-2016-7289

なし

なし

問題を緩和する要素

マイクロソフトは、これらの脆弱性の「問題を緩和する要素」を確認していません。

回避策

マイクロソフトは、これらの脆弱性の「回避策」を確認していません。

Uniscribe のリモートでコードが実行される脆弱性 - CVE-2016-7274

Microsoft Uniscribe がメモリ内でオブジェクトを処理する方法に、リモートでコードが実行される脆弱性が存在します。攻撃者がこの脆弱性を悪用した場合、影響を受けるシステムを制御できるようになる可能性があります。攻撃者は、その後、プログラムのインストール、データの表示、変更、削除などを行ったり、完全なユーザー権限を持つ新たなアカウントを作成したりする可能性があります。コンピューターでのユーザー権限が低い設定のアカウントを持つユーザーは、管理者特権で実行しているユーザーよりもこの脆弱性による影響が少ないと考えられます。

攻撃者がこの脆弱性を悪用する方法は複数考えられます。

  • Web ベースの攻撃シナリオでは、攻撃者はこの脆弱性を悪用することを目的として特別に細工した Web サイトをホストし、その Web サイトを表示するようにユーザーを誘導する可能性があります。攻撃者は、制御するコンテンツを強制的にユーザーに表示させることはできません。その代わり、ユーザーに操作を行わせることが攻撃者にとっての必要条件となります。一般的には、ユーザーに電子メール メッセージまたはインスタント メッセンジャーのメッセージのリンクをクリックさせ、攻撃者の Web サイトへユーザーを誘導します。または、電子メールで送信した添付ファイルを開かせようとします。
  • ファイル共有の攻撃シナリオでは、攻撃者はこの脆弱性を悪用するため特別に細工した文書ファイルを作成し、文書ファイルを開くようにユーザーを誘導する可能性があります。

このセキュリティ更新プログラムは、Windows Uniscribe がメモリ内のオブジェクトを処理する方法を修正することにより、この脆弱性を解決します。

次の表には、Common Vulnerabilities and Exposures リストの各脆弱性の標準のエントリへのリンクが含まれています。

脆弱性のタイトル

CVE 番号

一般に公開

悪用

Uniscribe のリモートでコードが実行される脆弱性

CVE-2016-7274

なし

なし

問題を緩和する要素

マイクロソフトは、これらの脆弱性の「問題を緩和する要素」を確認していません。

回避策

マイクロソフトは、これらの脆弱性の「回避策」を確認していません。


Microsoft Office OLE DLL のサイド ローディングの脆弱性 - CVE-2016-7275

Microsoft Office がライブラリを読み込む前に入力を不適切に検証する場合に、リモートでコードが実行される脆弱性が存在します。この脆弱性の悪用に成功した攻撃者が、影響を受けるシステムを制御する可能性があります。攻撃者は、その後、プログラムのインストール、データの表示、変更、削除などを行ったり、完全なユーザー権限を持つ新たなアカウントを作成したりする可能性があります。コンピューターでのユーザー権限が低い設定のアカウントを持つユーザーは、管理者特権で実行しているユーザーよりもこの脆弱性による影響が少ないと考えられます。

これらの脆弱性を悪用するには、攻撃者はローカル システムにアクセスして、そのシステム上で特別に細工されたアプリケーションを実行できる必要があります。

このセキュリティ更新プログラムは、Microsoft Office がライブラリを読み込む前に入力を検証する方法を修正することにより、この脆弱性を解決します。

次の表には、Common Vulnerabilities and Exposures リストの各脆弱性の標準のエントリへのリンクが含まれています。

脆弱性のタイトル

CVE 番号

一般に公開

悪用

Microsoft Office OLE DLL のサイド ローディングの脆弱性

CVE-2016-7275

なし

なし

問題を緩和する要素

マイクロソフトは、この脆弱性の「問題を緩和する要素」を確認していません。

回避策

マイクロソフトは、この脆弱性の「回避策」を確認していません。

Microsoft Office のセキュリティ機能のバイパスの脆弱性 - CVE-2016-7267

Office ソフトウェアがファイル形式の解析を正しく処理しない場合、Microsoft Office ソフトウェアにセキュリティ機能のバイパスの脆弱性が存在します。セキュリティ機能のバイパス自体では、任意のコードが実行されることはありません。しかし、攻撃者はこの脆弱性を悪用するためにリモートでコードが実行される脆弱性など別の脆弱性と組み合わせて使用し、セキュリティ機能のバイパスを利用することで任意のコードを実行する可能性があります。

攻撃者は、影響を受けるバージョンの Microsoft Office ソフトウェアで特別に細工されたファイルをユーザーが開くよう仕向けることにより、この脆弱性を悪用する可能性があります。

このセキュリティ更新プログラムは、Office ソフトウェアがファイル形式を解析する方法を修正することにより、この脆弱性を解決します。

次の表には、Common Vulnerabilities and Exposures リストの各脆弱性の標準のエントリへのリンクが含まれています。

脆弱性のタイトル

CVE 番号

一般に公開

悪用

Microsoft Office のセキュリティ機能のバイパスの脆弱性

CVE-2016-7267

なし

なし

問題を緩和する要素

マイクロソフトは、この脆弱性の「問題を緩和する要素」を確認していません。

回避策

マイクロソフトは、この脆弱性の「回避策」を確認していません。

Microsoft Office のセキュリティ機能のバイパスの脆弱性 - CVE-2016-7262

Microsoft Office が入力を不適切に処理する場合に、セキュリティ機能のバイパスの脆弱性が存在します。攻撃者がこの脆弱性を悪用した場合、任意のコマンドを実行できる可能性があります。

ファイル共有の攻撃シナリオでは、攻撃者はこの脆弱性を悪用するため特別に細工した文書ファイルを作成し、ユーザーにその文書ファイルを開かせて、特定のセルをクリックして文書を利用するように誘導する可能性があります。

この更新プログラムは、Microsoft Office が入力を処理する方法を修正することにより、この脆弱性を解決します。

次の表には、Common Vulnerabilities and Exposures リストの各脆弱性の標準のエントリへのリンクが含まれています。

脆弱性のタイトル

CVE 番号

一般に公開

悪用

Microsoft Office のセキュリティ機能のバイパスの脆弱性

CVE-2016-7262

なし

なし

問題を緩和する要素

マイクロソフトは、この脆弱性の「問題を緩和する要素」を確認していません。

回避策

マイクロソフトは、この脆弱性の「回避策」を確認していません。

Microsoft Office のセキュリティ機能のバイパスの脆弱性 - CVE-2016-7266

ユーザーが埋め込みコンテンツを実行しようとしたときに、Microsoft Office がレジストリ設定を不適切にチェックする場合に、セキュリティ機能のバイバスの脆弱性が存在します。攻撃者がこの脆弱性を悪用した場合、任意のコマンドを実行できる可能性があります。ファイル共有の攻撃シナリオでは、攻撃者はこの脆弱性を悪用するため特別に細工した文書ファイルを作成し、その文書ファイルを何度も開くようにユーザーを誘導する可能性があります。

この更新プログラムは、ユーザーが埋め込みコンテンツを開いたり実行したりするときに、Microsoft Office がレジストリ設定をチェックする方法を修正することにより、この脆弱性を解決します。

次の表には、Common Vulnerabilities and Exposures リストの各脆弱性の標準のエントリへのリンクが含まれています。

脆弱性のタイトル

CVE 番号

一般に公開

悪用

Microsoft Office のセキュリティ機能のバイパスの脆弱性

CVE-2016-7266

なし

なし

問題を緩和する要素

マイクロソフトは、この脆弱性の「問題を緩和する要素」を確認していません。

回避策

マイクロソフトは、この脆弱性の「回避策」を確認していません。

GDI の情報漏えいの脆弱性 - CVE-2016-7257

Microsoft Office がメモリ内のオブジェクトを適切に処理しない場合に、情報漏えいの脆弱性が存在します。この脆弱性により、攻撃者は、Address Space Layout Randomization (ASLR) のバイパスに至る可能性がある情報を取得する可能性があります。この脆弱性を悪用することに成功した攻撃者は、広い範囲の脆弱性からユーザーを保護する ASLR セキュリティ機能をバイパスする情報漏えいを発生させる可能性があります。

セキュリティ機能のバイパス自体では、任意のコードが実行されることはありません。しかし、攻撃者はこの ASLR バイパスの脆弱性を、リモートでコードが実行される脆弱性など別の脆弱性と組み合わせて使用し、ASLR バイパスを利用することで、任意のコードを実行する可能性があります。

この脆弱性を悪用するために、攻撃者が特別な細工がされたアプリケーションを実行するようにユーザーを誘導する可能性があります。このセキュリティ更新プログラムは、Microsoft Office がメモリ内のアドレスを処理する方法を修正することにより、この脆弱性を解決します。

次の表には、Common Vulnerabilities and Exposures リストの各脆弱性の標準のエントリへのリンクが含まれています。

脆弱性のタイトル

CVE 番号

一般に公開

悪用

GDI の情報漏えいの脆弱性

CVE-2016-7257

なし

なし

問題を緩和する要素

マイクロソフトは、この脆弱性の「問題を緩和する要素」を確認していません。

回避策

マイクロソフトは、この脆弱性の「回避策」を確認していません。

複数の Microsoft Office の情報漏えいの脆弱性

影響を受ける Microsoft Office ソフトウェアが境界外のメモリを読み取る場合に、複数の情報漏えいの脆弱性が存在します。この脆弱性により、メモリのコンテンツが漏えいする可能性があります。この脆弱性の悪用に成功した攻撃者が境界外のメモリを閲覧する可能性があります。

この脆弱性が悪用されるには、ユーザーが影響を受けるバージョンの Microsoft Office ソフトウェアで、特別に細工されたファイルを開くことが攻撃者にとっての必要条件となります。

このセキュリティ更新プログラムは、影響を受ける変数を正しく初期化することにより、この脆弱性を解決します。

次の表には、Common Vulnerabilities and Exposures リストの各脆弱性の標準のエントリへのリンクが含まれています。

脆弱性のタイトル

CVE 番号

一般に公開

悪用

Microsoft Office の情報漏えいの脆弱性

CVE-2016-7264

なし

なし

Microsoft Office の情報漏えいの脆弱性

CVE-2016-7265

なし

なし

Microsoft Office の情報漏えいの脆弱性

CVE-2016-7268

なし

なし

Microsoft Office の情報漏えいの脆弱性

CVE-2016-7276

なし

なし

Microsoft Office の情報漏えいの脆弱性

CVE-2016-7290

なし

なし

Microsoft Office の情報漏えいの脆弱性

CVE-2016-7291

なし

なし

問題を緩和する要素

マイクロソフトは、これらの脆弱性の「問題を緩和する要素」を確認していません。

回避策

マイクロソフトは、これらの脆弱性の「回避策」を確認していません。

Microsoft (MAU) Office の特権の昇格の脆弱性 - CVE-2016-7300

Microsoft AutoUpdate (MAU) for Mac のアプリケーションが、更新プログラムを実行する前に、その更新プログラムを不適切に検証する場合に、特権の昇格の脆弱性が存在します。この脆弱性を悪用した攻撃者が、システムでコードを実行できる場合は、特権が昇格される可能性があります。攻撃者はこの脆弱性を悪用するため、特別に細工した実行可能ファイルを更新プログラムのアプリケーションで使用される特定の場所に配置して、任意のコードを特権コンテキストで実行できるようにする可能性があります。

この更新プログラムは、Microsoft AutoUpdate (MAU) for Mac がパッケージをインストールする前に、そのパッケージを正しく検証することを確実にすることにより、この脆弱性を解決します。

次の表には、Common Vulnerabilities and Exposures リストの各脆弱性の標準のエントリへのリンクが含まれています。

脆弱性のタイトル

CVE 番号

一般に公開

悪用

Microsoft (MAU) Office の特権の昇格の脆弱性

CVE-2016-7300

なし

なし

問題を緩和する要素

マイクロソフトは、この脆弱性の「問題を緩和する要素」を確認していません。

回避策

マイクロソフトは、この脆弱性の「回避策」を確認していません。


セキュリティ更新プログラムの展開については、「概要」のこちらで言及されているマイクロソフト サポート技術情報を参照してください。

マイクロソフトでは、協調的な脆弱性の公開によるお客様の保護に際して、セキュリティ コミュニティの方々からいただいたご助力に感謝いたします。詳細については、「謝辞」を参照してください。 

マイクロソフト サポート技術情報に含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation およびその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。Microsoft Corporation、その関連会社およびこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含むすべての損害に対して、状況のいかんを問わず一切責任を負いません。結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。

  • V1.0 (2016/12/14): このセキュリティ情報ページを公開しました。
  • V1.1 (2016/12/22): このセキュリティ情報ページを更新し、CVE ID を修正しました。CVE-2016-7298 を CVE-2016-7274 に変更し、脆弱性の情報を更新しました。これは情報のみの変更です。既に正常に更新プログラムをインストールされたお客様は、特別な措置を講じる必要はありません。
  •      
Page generated 2016-12-21 10:09-08:00.
表示: