説明
Microsoft Office製品には複数の重大な脆弱性が存在します。悪意のあるユーザーは、これらの脆弱性を悪用して任意のコードを実行し、サービス拒否、整合性の喪失、セキュリティバイパス、特権の昇格、機密情報の取得を行うことができます。
以下は、脆弱性の完全なリストです
- Microsoft Officeは、現在のユーザーのコンテキストで任意のコードの実行につながる可能性のある、細工されたOfficeファイルを解析中に、メモリ内のオブジェクトを不適切に処理します。現在のユーザーに管理者ユーザー権限がある場合、悪意のあるユーザーがシステムを完全に制御できます。ユーザー権限の少ないユーザーには影響が少なくなります。
- Microsoft IME(日本語)コンポーネントの脆弱性により、ログインしているユーザーの権限で影響を受けるシステムにアクセスする可能性があります。現在のユーザーに管理者ユーザー権限がある場合、悪意のあるユーザーがシステムを完全に制御できます。ユーザー権限の少ないユーザーには影響が少なくなります。
- MSCOMCTL共通コントロールライブラリは、ASLRを正しく実装していないため、細工されたWebサイトを介してASLRセキュリティ機能をバイパスする可能性があります。この脆弱性は、「MSCOMCTL ASLR脆弱性」とも呼ばれます。
- Microsoft Officeは、Webサイト経由でOfficeドキュメントを開く際に細工された応答を適切に処理しないため、機密性の高いトークン情報を取得する可能性があります。この情報は、対象のMicrosoftオンラインサービスで現在のユーザーを認証するために使用できます。この脆弱性は「トークン再利用の脆弱性」とも呼ばれます。
- Microsoft Publisherライブラリpubconv.dllの脆弱性により、拡張子「.pub」を持つ細工されたファイルを使用して、現在のユーザーとして任意のコードが実行される可能性があります。この脆弱性は、「任意のポインタの参照拒否の脆弱性」とも呼ばれます。
- 特別に細工されたファイルを新しい形式に変換する際に、Microsoft Officeのメモリが正しく割り当てられず、任意のコードが実行される可能性があります。現在のユーザーに管理者ユーザー権限がある場合、悪意のあるユーザーがシステムを完全に制御できます。ユーザー権限の少ないユーザーには影響が少なくなります。
- Microsoft Wordには、特別に細工されたドキュメントを開く際にスタックバッファオーバーフローの脆弱性が存在します。この脆弱性により、現在のユーザーとして任意のコードが実行される可能性があります。現在のユーザーに管理者ユーザー権限がある場合、悪意のあるユーザーがシステムを完全に制御できます。ユーザー権限の少ないユーザーには影響が少なくなります。この脆弱性は「Microsoft Wordスタックオーバーフローの脆弱性」とも呼ばれます。
- 特別に細工されたRTFデータを解析する際に、Microsoft Wordにリモートでコードが実行される脆弱性が存在します。この脆弱性により、現在のユーザーとして任意のコードが実行される可能性があります。現在のユーザーに管理者ユーザー権限がある場合、悪意のあるユーザーがシステムを完全に制御できます。
- Microsoft Officeには、細工されたOfficeドキュメントを開く際のリモートでコードが実行される脆弱性この脆弱性により、任意のコードが実行され、サービス拒否が発生する可能性があります。また、悪意のあるユーザーは、ログインしているユーザーの権限で影響を受けるシステムにアクセスできます。現在のユーザーに管理者ユーザー権限がある場合、悪意のあるユーザーがシステムを完全に制御できます。ユーザー権限の少ないユーザーには影響が少なくなります。この脆弱性は「Wordメモリ破損の脆弱性」とも呼ばれます。
- Microsoft OneNoteには、細工されたOneNoteファイルを開く際に、リモートでコードが実行される脆弱性が存在します。この脆弱性により、現在のユーザーとして任意のコードが実行される可能性があります。現在のユーザーに管理者ユーザー権限がある場合、悪意のあるユーザーがシステムを完全に制御できます。ユーザー権限の少ないユーザーには影響が少なくなります。この脆弱性は、「OneNoteリモートコード実行の脆弱性」とも呼ばれます。
- Unicode Script Processorのusp.dllライブラリの脆弱性により、任意のコードが実行されたり、サービス拒否が発生する可能性があります。悪意のあるユーザーもシステムを完全に制御できます。この脆弱性は、「Unicode Scripts Processor Vulnerability」とも呼ばれます。
- 細工されたイメージファイルを介して任意のコードを実行するGDI +の脆弱性悪意のあるユーザーもシステムを完全に制御できます。この脆弱性は「GDI +画像解析の脆弱性」とも呼ばれます。
オリジナルアドバイザリー
- MS14-082
- MS14-083
- MS14-078
- MS14-069
- MS14-061
- MS14-048
- MS14-036
- MS14-034
- MS14-023
- MS14-024
- MS14-020
- MS14-017
- MS14-001
CVEリスト
KBリスト
も参照してください
お住まいの地域に広がる脆弱性の統計をご覧ください statistics.securelist.com
この脆弱性についての記述に不正確な点がありますか? お知らせください!