本サービスには一部、Googleの支援により翻訳されたコンテンツが含まれます。Googleは、明示または黙示を問わず、市場性、特定目的への適合性、ならびに非侵害の黙示的保証を含む、翻訳の精度、信頼性、正確性に関連するあらゆる点において保証しません。

Kaspersky Labの本Webサイトは、便宜上、Google Translateを搭載した翻訳ソフトウェアを利用して翻訳されています。正確な翻訳となるよう合理的な努力を払ってはおりますが、自動翻訳の正確性は完全ではなく、翻訳者(人間)による翻訳に代わるものとして意図されているものでもありません。翻訳はKaspersky Labの本Webサイトをご利用の皆様の利便性を図るためのものであり、「翻訳結果をそのまま」ご提供するものです。英語からその他言語への翻訳における精度、信頼性、正確性に関しては、明示または黙示を問わず、いかなる保証もなされません。翻訳ソフトウェアのため、コンテンツの一部(画像、動画、フラッシュ等)は正しく翻訳されない場合があります。

KLA10616
Microsoft Officeの複数の脆弱性
更新日: 07/05/2018
検出日
?
12/09/2014
危険度
?
緊急
説明

Microsoft Office製品には複数の重大な脆弱性が存在します。悪意のあるユーザーは、これらの脆弱性を悪用して任意のコードを実行し、サービス拒否、整合性の喪失、セキュリティバイパス、特権の昇格、機密情報の取得を行うことができます。

以下は、脆弱性の完全なリストです

  1. Microsoft Officeは、現在のユーザーのコンテキストで任意のコードの実行につながる可能性のある、細工されたOfficeファイルを解析中に、メモリ内のオブジェクトを不適切に処理します。現在のユーザーに管理者ユーザー権限がある場合、悪意のあるユーザーがシステムを完全に制御できます。ユーザー権限の少ないユーザーには影響が少なくなります。
  2. Microsoft IME(日本語)コンポーネントの脆弱性により、ログインしているユーザーの権限で影響を受けるシステムにアクセスする可能性があります。現在のユーザーに管理者ユーザー権限がある場合、悪意のあるユーザーがシステムを完全に制御できます。ユーザー権限の少ないユーザーには影響が少なくなります。
  3. MSCOMCTL共通コントロールライブラリは、ASLRを正しく実装していないため、細工されたWebサイトを介してASLRセキュリティ機能をバイパスする可能性があります。この脆弱性は、「MSCOMCTL ASLR脆弱性」とも呼ばれます。
  4. Microsoft Officeは、Webサイト経由でOfficeドキュメントを開く際に細工された応答を適切に処理しないため、機密性の高いトークン情報を取得する可能性があります。この情報は、対象のMicrosoftオンラインサービスで現在のユーザーを認証するために使用できます。この脆弱性は「トークン再利用の脆弱性」とも呼ばれます。
  5. Microsoft Publisherライブラリpubconv.dllの脆弱性により、拡張子「.pub」を持つ細工されたファイルを使用して、現在のユーザーとして任意のコードが実行される可能性があります。この脆弱性は、「任意のポインタの参照拒否の脆弱性」とも呼ばれます。
  6. 特別に細工されたファイルを新しい形式に変換する際に、Microsoft Officeのメモリが正しく割り当てられず、任意のコードが実行される可能性があります。現在のユーザーに管理者ユーザー権限がある場合、悪意のあるユーザーがシステムを完全に制御できます。ユーザー権限の少ないユーザーには影響が少なくなります。
  7. Microsoft Wordには、特別に細工されたドキュメントを開く際にスタックバッファオーバーフローの脆弱性が存在します。この脆弱性により、現在のユーザーとして任意のコードが実行される可能性があります。現在のユーザーに管理者ユーザー権限がある場合、悪意のあるユーザーがシステムを完全に制御できます。ユーザー権限の少ないユーザーには影響が少なくなります。この脆弱性は「Microsoft Wordスタックオーバーフローの脆弱性」とも呼ばれます。
  8. 特別に細工されたRTFデータを解析する際に、Microsoft Wordにリモートでコードが実行される脆弱性が存在します。この脆弱性により、現在のユーザーとして任意のコードが実行される可能性があります。現在のユーザーに管理者ユーザー権限がある場合、悪意のあるユーザーがシステムを完全に制御できます。
  9. Microsoft Officeには、細工されたOfficeドキュメントを開く際のリモートでコードが実行される脆弱性この脆弱性により、任意のコードが実行され、サービス拒否が発生する可能性があります。また、悪意のあるユーザーは、ログインしているユーザーの権限で影響を受けるシステムにアクセスできます。現在のユーザーに管理者ユーザー権限がある場合、悪意のあるユーザーがシステムを完全に制御できます。ユーザー権限の少ないユーザーには影響が少なくなります。この脆弱性は「Wordメモリ破損の脆弱性」とも呼ばれます。
  10. Microsoft OneNoteには、細工されたOneNoteファイルを開く際に、リモートでコードが実行される脆弱性が存在します。この脆弱性により、現在のユーザーとして任意のコードが実行される可能性があります。現在のユーザーに管理者ユーザー権限がある場合、悪意のあるユーザーがシステムを完全に制御できます。ユーザー権限の少ないユーザーには影響が少なくなります。この脆弱性は、「OneNoteリモートコード実行の脆弱性」とも呼ばれます。
  11. Unicode Script Processorのusp.dllライブラリの脆弱性により、任意のコードが実行されたり、サービス拒否が発生する可能性があります。悪意のあるユーザーもシステムを完全に制御できます。この脆弱性は、「Unicode Scripts Processor Vulnerability」とも呼ばれます。
  12. 細工されたイメージファイルを介して任意のコードを実行するGDI +の脆弱性悪意のあるユーザーもシステムを完全に制御できます。この脆弱性は「GDI +画像解析の脆弱性」とも呼ばれます。
影響を受ける製品

Microsoft Office 2003、
Microsoft Office 2007、
Microsoft Office 2010、
Microsoft Office 2013、
Microsoft Office 2013 RT、
Microsoft Office for Mac、
Microsoft Word Viewer、
Microsoft Office Web Apps、
Microsoft SharePoint Server、
Microsoft Office互換機能パック、
Microsoft Office Web Apps、
Microsoft OneNote。

解決法

Windows UpdateにリストされているKBセクションから必要な更新プログラムをインストールします(Windows Updateは通常、コントロールパネルからアクセスできます)

オリジナル勧告

MS14-081
MS14-082
MS14-083
MS14-078
MS14-069
MS14-061
MS14-048
MS14-036
MS14-034
MS14-023
MS14-024
MS14-020
MS14-017
MS14-001

影響
?
WLF 
[?]

RLF 
[?]

ACE 
[?]

OSI 
[?]

SB 
[?]

PE 
[?]

DoS 
[?]

LoI 
[?]
関連製品
Microsoft Office
CVE-IDS
?

CVE-2014-2815
CVE-2014-0260
CVE-2014-0259
CVE-2014-0258
CVE-2014-1761
CVE-2014-1758
CVE-2014-1757
CVE-2014-1756
CVE-2014-1808
CVE-2014-1809
CVE-2014-4117
CVE-2014-6335
CVE-2014-6334
CVE-2014-6333
CVE-2014-6361
CVE-2014-6360
CVE-2014-6364
CVE-2014-6357
CVE-2014-4077
CVE-2014-2778
CVE-2014-1817
CVE-2014-1818

Microsoftの公式アドバイザリ
MS14-081
MS14-082
MS14-083
MS14-078
MS14-069
MS14-061
MS14-048
MS14-036
MS14-034
MS14-023
MS14-024
MS14-020
MS14-017
MS14-001
KBリスト

3017301
3017349
3017347
2992719
3009710
3000434
2969261
2961033
2961037
2950145
2949660
2916605
2977201
2967487


オリジナルへのリンク