此安全性更新可解決 Microsoft Office 中的弱點。 如果用戶開啟特製的 Microsoft Office 檔案,最嚴重的弱點可能會允許遠端程式代碼執行。 成功利用弱點的攻擊者可以在目前使用者的內容中執行任意程序代碼。 帳戶設定為在系統上擁有較少用戶權力的客戶,其影響可能會比具有系統管理用戶權力的客戶少。
此安全性更新已針對下列軟體的所有支援版本評為重要:
Microsoft Excel 2007、Microsoft Visio 2007
Microsoft Excel 2010、Microsoft Visio 2010
Microsoft Excel 2013、Microsoft Excel 2013 RT
Microsoft Excel 2016
Mac 版 Microsoft Excel 2011
Microsoft Mac 版 Excel 2016
Microsoft Excel Viewer、Microsoft Office 兼容性套件
Microsoft SharePoint Server 2007 上的 Excel Services
Microsoft SharePoint Server 2010、Microsoft Web App 2010、Microsoft Excel Web App 2010 上的 Excel Services
Microsoft SharePoint Server 2013、Microsoft Office Web Apps Server 2013 上的 Excel Services
Microsoft SharePoint Server 2007
Microsoft SharePoint Server 2010
Microsoft SharePoint Server 2013、Microsoft SharePoint Foundation 2013
如需詳細資訊,請參閱 受影響的軟體和弱點嚴重性評等 一節。
安全性更新可藉由下列方式解決弱點:
更正 Office 如何處理記憶體中的物件
確保 SharePoint InfoPath Forms Services 可正確處理 DTD 實體
Microsoft Office Web Apps XSS 詐騙弱點 - CVE-2015-6037
Office Web Apps Server 未正確清理特製要求時,就存在詐騙弱點。 已驗證的攻擊者可能會藉由將特製的要求傳送至受影響的 Office Web Apps Server,來利用弱點。 成功利用此弱點的攻擊者接著會對受影響的系統執行跨網站腳本攻擊,並在目前使用者的安全性內容中執行腳本。 這些攻擊可讓攻擊者讀取攻擊者未獲授權讀取的內容、使用受害者的身分識別代表受害者在 Office Web App 網站上採取動作,例如變更許可權、刪除內容、竊取敏感性資訊(例如瀏覽器 Cookie),並在受害者的瀏覽器中插入惡意內容。
若要惡意探索此弱點,用戶必須單擊特製的URL,以將使用者帶到目標 Office Web App 網站。 在電子郵件攻擊案例中,攻擊者可能會藉由將包含特製URL的電子郵件訊息傳送給目標 Office Web 應用程式網站的使用者,並說服用戶單擊特製的URL,來惡意探索弱點。 在 Web 型攻擊案例中,攻擊者必須裝載網站,其中包含目標 Office Web App 網站的特製 URL,用來嘗試惡意探索此弱點。 此外,接受或裝載使用者提供內容的遭入侵網站和網站可能包含可能利用弱點的特製內容。 攻擊者無法強制用戶流覽特製的網站。 相反地,攻擊者必須說服他們瀏覽網站,通常是讓他們按兩下立即信使或電子郵件訊息中的連結,將他們帶到攻擊者的網站,然後說服他們按兩下特製的 URL。
安全性更新可協助確保 Office Web Apps Server 正確地清理 Web 要求,藉此解決弱點。 Microsoft 透過協調的弱點洩漏收到弱點的相關信息。 在最初發出此安全性公告時,Microsoft 並不知道任何嘗試利用此弱點的攻擊。
Microsoft 可辨識安全性社群中協助我們透過協調弱點洩漏保護客戶的工作。 如需詳細資訊,請參閱通知。
免責聲明
Microsoft 知識庫中提供的資訊會「如實」提供,而不會提供任何類型的擔保。 Microsoft 不表示明示或隱含的所有擔保,包括適銷性及適合特定用途的擔保。 任何情況下,Microsoft Corporation 或其供應商都不得承擔任何損害責任,包括直接、間接、附帶、衍生性、業務利潤損失或特殊損害,即使 Microsoft Corporation 或其供應商已獲告知可能遭受此類損害。 某些州不允許排除或限制衍生性或附帶性損害的責任,因此可能不適用上述限制。
This module examines how Microsoft Defender for Office 365 extends EOP protection through various tools, including Safe Attachments, Safe Links, spoofed intelligence, spam filtering policies, and the Tenant Allow/Block List.