マイクロソフト セキュリティ情報 MS15-033 - 緊急

Microsoft Office の脆弱性により、リモートでコードが実行される (3048019)

公開日: 2015 年 4 月 15 日 | 最終更新日: 2015 年 4 月 22 日

バージョン: 1.1

概要

このセキュリティ更新プログラムは、Microsoft Office の脆弱性を解決します。これらの脆弱性では、特別に細工された Microsoft Office ファイルをユーザーが開いた場合にリモートでコードが実行される可能性があります。これらの脆弱性の悪用に成功した攻撃者が、現在のユーザーのコンテキストで任意のコードを実行する可能性があります。コンピューターでのユーザー権限が低い設定のアカウントを持つユーザーは、管理者ユーザー権限で実行しているユーザーよりもこの脆弱性による影響が少ないと考えられます。

このセキュリティ更新プログラムは、すべてのサポートされているエディションの以下のソフトウェアについて、深刻度が「緊急」と評価されています。

  • Microsoft Word 2007、Microsoft Office 2010、Microsoft Word 2010
  • Microsoft Word Viewer、Microsoft Office 互換機能パック
  • Microsoft SharePoint Server 2010 上の Word Automation Services
  • Microsoft Office Web Apps Server 2010

このセキュリティ更新プログラムは、すべてのサポートされているエディションの以下のソフトウェアについて、深刻度が「重要」と評価されています。

  • Microsoft Word 2013
  • Microsoft Office for Mac 2011、Microsoft Word for Mac 2011、Outlook for Mac for Office 365
  • Microsoft SharePoint Server 2013 上の Word Automation Services
  • Microsoft Office Web Apps Server 2013

詳細については、「影響を受けるソフトウェア」のセクションを参照してください。

このセキュリティ更新プログラムは、Microsoft Office で特別に細工されたファイルを解析する方法を修正して、Office がメモリでファイルを処理する方法を修正し、SharePoint Server にユーザー入力を正しくサニタイズさせることにより、この脆弱性に対処しています。脆弱性の詳細については、「脆弱性の情報」を参照してください。

この更新プログラムの詳細については、サポート技術情報 3048019 を参照してください。

影響を受けるソフトウェア

次のソフトウェア バージョンまたはエディションが影響を受けます。一覧にないバージョンまたはエディションは、サポート ライフサイクルが終了しているか、この脆弱性の影響を受けません。ご使用中のソフトウェアのバージョンまたはエディションのサポート ライフ サイクルを確認するには、Microsoft サポート ライフサイクルの Web サイトを参照してください。

Microsoft Office ソフトウェア

**Microsoft Office スイート ソフトウェア** **コンポーネント** **最も深刻な脆弱性の影響** **総合的な深刻度** **置き換えられる更新プログラム**
**Microsoft Office 2007**
Microsoft Office 2007 Service Pack 3 [Microsoft Word 2007 Service Pack 3](https://www.microsoft.com/download/ja-jp/details.aspx?familyid=73f5dfd3-bd55-495a-b822-b6afb00ed368) (2965284) リモートでコードが実行される 緊急 [MS15-022](https://go.microsoft.com/fwlink/?linkid=526461) の 2956109
**Microsoft Office 2010**
[Microsoft Office 2010 Service Pack 2 (32 ビット版)](https://www.microsoft.com/download/ja-jp/details.aspx?familyid=9152b9ef-0ce2-4f27-a70a-c753f0b12d05) (2965236) 対象外 リモートでコードが実行される 緊急 [MS15-022](https://go.microsoft.com/fwlink/?linkid=526461) の 2956138
[Microsoft Office 2010 Service Pack 2 (64 ビット版)](https://www.microsoft.com/download/ja-jp/details.aspx?familyid=86a863ad-bed3-4aea-929c-2b85c388205f) (2965236) 対象外 リモートでコードが実行される 緊急 [MS15-022](https://go.microsoft.com/fwlink/?linkid=526461) の 2956138
Microsoft Office 2010 Service Pack 2 (32 ビット版) [Microsoft Word 2010 Service Pack 2 (32 ビット版)](https://www.microsoft.com/download/ja-jp/details.aspx?familyid=7614904a-99c1-44fe-abf7-6dc7d365ef63) (2553428) リモートでコードが実行される 緊急 [MS15-022](https://go.microsoft.com/fwlink/?linkid=526461) の 2956139
Microsoft Office 2010 Service Pack 2 (64 ビット版) [Microsoft Word 2010 Service Pack 2 (64 ビット版)](https://www.microsoft.com/download/ja-jp/details.aspx?familyid=be87fa00-9cf6-47a3-863c-2ed92ad5a738) (2553428) リモートでコードが実行される 緊急 [MS15-022](https://go.microsoft.com/fwlink/?linkid=526461) の 2956139
**Microsoft Office 2013 および Microsoft Office 2013 RT**
Microsoft Office 2013 Service Pack 1 (32 ビット版) [Microsoft Word 2013 Service Pack 1 (32 ビット版)](https://www.microsoft.com/download/ja-jp/details.aspx?familyid=2c4bcf40-ff37-49af-b641-207bfc997936) (2965224) リモートでコードが実行される 重要 [MS15-022](https://go.microsoft.com/fwlink/?linkid=526461) の 2956163
Microsoft Office 2013 Service Pack 1 (64 ビット版) [Microsoft Word 2013 Service Pack 1 (64 ビット版)](https://www.microsoft.com/download/ja-jp/details.aspx?familyid=3bad7311-e0bd-417a-89b7-7b8378a1fc52) (2965224) リモートでコードが実行される 重要 [MS15-022](https://go.microsoft.com/fwlink/?linkid=526461) の 2956163
Microsoft Office 2013 RT Service Pack 1 Microsoft Word 2013 RT Service Pack 1 (2965224) [1] リモートでコードが実行される 重要 [MS15-022](https://go.microsoft.com/fwlink/?linkid=526461) の 2956163
**Microsoft Office for Mac**
[Microsoft Outlook for Mac for Office 365](https://www.microsoft.com/download/ja-jp/details.aspx?familyid=65542ae1-62b8-41d8-b5ed-3a51194acb73) (3055707) 対象外 特権の昇格 重要 なし
[Microsoft Office for Mac 2011](https://www.microsoft.com/download/ja-jp/details.aspx?familyid=1d9eec35-7499-45e6-b403-936d84ec046b) (3051737) 対象外 特権の昇格 重要 [MS14-081](https://go.microsoft.com/fwlink/?linkid=519132) の 3018888
Microsoft Office for Mac 2011 [Microsoft Word for Mac 2011](https://www.microsoft.com/download/ja-jp/details.aspx?familyid=1d9eec35-7499-45e6-b403-936d84ec046b) (3051737) リモートでコードが実行される 重要 [MS14-081](https://go.microsoft.com/fwlink/?linkid=519132) の 3018888
**その他の Office ソフトウェア**
[Microsoft Word Viewer](https://www.microsoft.com/download/ja-jp/details.aspx?familyid=7b03e9ff-f67e-4e96-9831-a0cad1a13e31) (2965289) 対象外 リモートでコードが実行される 緊急 [MS15-022](https://go.microsoft.com/fwlink/?linkid=526461) の 2956188
[Microsoft Office 互換機能パック Service Pack 3](https://www.microsoft.com/download/ja-jp/details.aspx?familyid=daf8e168-0327-4623-8183-e5071b81bbf2) (2965210) 対象外 リモートでコードが実行される 緊急 [MS15-022](https://go.microsoft.com/fwlink/?linkid=526461) の 2956107
[1]この更新プログラムは、[Windows Update](https://go.microsoft.com/fwlink/?linkid=21130) を介して利用可能です。

Microsoft Office Services および Web Apps

**Microsoft Office Services および Web Apps** **コンポーネント** **最も深刻な脆弱性の影響** **総合的な深刻度** **置き換えられる更新プログラム**
**Microsoft SharePoint Server 2010**
Microsoft SharePoint Server 2010 Service Pack 2 [Word Automation Services](https://www.microsoft.com/download/ja-jp/details.aspx?familyid=7e9f2d0c-9e17-438a-825a-2068e3501630) (2553164) リモートでコードが実行される 緊急 [MS15-022](https://go.microsoft.com/fwlink/?linkid=526461) の 2956136
**Microsoft SharePoint Server 2013**
Microsoft SharePoint Server 2013 Service Pack 1 [Word Automation Services](https://www.microsoft.com/download/ja-jp/details.aspx?familyid=3ff0407a-76eb-43f8-b886-01e4e4b1c85e) (2965215) リモートでコードが実行される 重要 [MS15-022](https://go.microsoft.com/fwlink/?linkid=526461) の 2920731
**Microsoft Office Web Apps 2010**
Microsoft Office Web Apps 2010 Service Pack 2 [Microsoft Office Web Apps Server 2010 Service Pack 2](https://www.microsoft.com/download/ja-jp/details.aspx?familyid=69103d38-35ff-42b8-b50e-55169d5ea3bf) (2965238) リモートでコードが実行される 緊急 [MS15-022](https://go.microsoft.com/fwlink/?linkid=526461) の 2956069
**Microsoft Office Web Apps 2013**
Microsoft Office Web Apps 2013 Service Pack 1 [Microsoft Office Web Apps Server 2013 Service Pack 1](https://www.microsoft.com/download/ja-jp/details.aspx?familyid=d40b7ded-c9b9-4ea9-9fb5-9d32b32f6534)[2] (2965306) リモートでコードが実行される 重要 [MS15-022](https://go.microsoft.com/fwlink/?linkid=526461) の 2956158
[2] Office Web Apps サーバーを自動更新を介して更新することはできません。Office Web Apps Server に更新プログラムを適用するために推奨される方法については、「[Office Web Apps サーバーへのソフトウェアの更新プログラムの適用](https://technet.microsoft.com/ja-jp/library/jj966220)」を参照してください。

** **

更新プログラムに関する FAQ

この更新プログラムには、機能に対する追加のセキュリティ関連の変更が含まれていますか?
はい。このセキュリティ情報で説明されている脆弱性について記載されている変更のほか、この更新プログラムにはセキュリティを強化する Microsoft Office for Mac 2011 の多層防御の更新が含まれています。

Microsoft Word 2010 をインストールしています。なぜ、2965236 更新プログラムが提供されないのですか?
更新プログラム 2965236 は、特定の構成の Microsoft Office 2010 を実行しているシステムにのみ適用されます。一部の構成にはこの更新プログラムは提供されません。

「影響を受けるソフトウェア」の表に特に記載されていないソフトウェアに対して、この更新プログラムが提供されます。この更新プログラムが提供される理由
更新プログラムが、複数の Microsoft Office 製品間で共有されているか同じ Microsoft Office 製品の複数のバージョン間で共有されているコンポーネントに存在する、脆弱性の影響を受けるコードに対応する場合、その更新プログラムは、脆弱性の影響を受けるコンポーネントが含まれるすべてのサポートされる製品およびバージョンに適用可能であると見なされます。

たとえば、更新プログラムが Microsoft Office 2007 製品にのみ適用される場合は、Microsoft Office 2007 が「影響を受けるソフトウェア」の表に明示されている可能性があります。しかしその更新プログラムは、「影響を受けるソフトウェア」の表に特に記載されていない Microsoft Word 2007、Microsoft Excel 2007、Microsoft Visio 2007、Microsoft 互換機能パック、Microsoft Excel Viewer、その他の Microsoft Office 2007 製品に適用される可能性があります。

たとえば、更新プログラムが Microsoft Office 2010 製品にのみ適用される場合は、Microsoft Office 2010 が「影響を受けるソフトウェア」の表に明示されている可能性があります。しかしその更新プログラムは、「影響を受けるソフトウェア」の表に特に記載されていない Microsoft Word 2010、Microsoft Excel 2010、Microsoft Visio 2010、Microsoft Visio Viewer、その他の Microsoft Office 2010 製品に適用される可能性があります。

たとえば、更新プログラムが Microsoft Office 2013 製品にのみ適用される場合は、Microsoft Office 2013 が「影響を受けるソフトウェア」の表に明示されている可能性があります。しかしその更新プログラムは、「影響を受けるソフトウェア」の表に特に記載されていない Microsoft Word 2013、Microsoft Excel 2013、Microsoft Visio 2013、その他の Microsoft Office 2013 製品に適用される可能性があります。

この更新プログラムは追加されたセキュリティ上の変更を含みますか?
このセキュリティ情報で説明されている脆弱性について記載されている変更のほか、この更新プログラムにはセキュリティ関連機能を改善する多層防御の変更が含まれています。

深刻度および脆弱性識別番号

次の深刻度の評価は、脆弱性の影響が最も深刻な場合を想定しています。深刻度の評価およびセキュリティ上の影響に関連して、このセキュリティ情報の公開から 30 日間でこの脆弱性が悪用される可能性に関する情報については、4 月のセキュリティ情報の概要の Exploitability Index (悪用可能性指標) を参照してください。  

Microsoft Office ソフトウェア

**影響を受けるソフトウェアごとの脆弱性の深刻度および最大のセキュリティ上の影響**
**影響を受けるソフトウェア** [**Microsoft Office のメモリの破損の脆弱性 - CVE-2015-1641**](https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2015-1641) [**Microsoft Office コンポーネントの解放後使用の脆弱性 - CVE-2015-1649**](https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2015-1649) [**Microsoft Office コンポーネントの解放後使用の脆弱性 - CVE-2015-1650**](https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2015-1650) [**Microsoft Office コンポーネントの解放後使用の脆弱性 - CVE-2015-1651**](https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2015-1651) [**Microsoft Outlook App for Mac XSS の脆弱性 - CVE-2015-1639**](https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2015-1639) **総合的な深刻度**
**Microsoft Office 2007**
Microsoft Word 2007 Service Pack 3 **重要** リモートでコードが実行される (2965284) **緊急** リモートでコードが実行される (2965284) **重要** リモートでコードが実行される (2965284) **緊急** リモートでコードが実行される (2965284) 対象外 **緊急**
**Microsoft Office 2010**
Microsoft Office 2010 Service Pack 2 (32 ビット版) **重要** リモートでコードが実行される (2965236) **緊急** リモートでコードが実行される (2965236) **重要** リモートでコードが実行される (2965236) 対象外 対象外 **緊急**
Microsoft Office 2010 Service Pack 2 (64 ビット版) **重要** リモートでコードが実行される (2965236) **緊急** リモートでコードが実行される (2965236) **重要** リモートでコードが実行される (2965236) 対象外 対象外 **緊急**
Microsoft Word 2010 Service Pack 2 (32 ビット版) **重要** リモートでコードが実行される (2553428) **緊急** リモートでコードが実行される (2553428) **重要** リモートでコードが実行される (2553428) 対象外 対象外 **緊急**
Microsoft Word 2010 Service Pack 2 (64 ビット版) **重要** リモートでコードが実行される (2553428) **緊急** リモートでコードが実行される (2553428) **重要** リモートでコードが実行される (2553428) 対象外 対象外 **緊急**
**Microsoft Office 2013 および Microsoft Office 2013 RT**
Microsoft Word 2013 Service Pack 1 (32 ビット版) **重要** リモートでコードが実行される (2965224) 対象外 **重要** リモートでコードが実行される (2965224) 対象外 対象外 **重要**
Microsoft Word 2013 Service Pack 1 (64 ビット版) **重要** リモートでコードが実行される (2965224) 対象外 **重要** リモートでコードが実行される (2965224) 対象外 対象外 **重要**
Microsoft Word 2013 RT Service Pack 1 **重要** リモートでコードが実行される (2965224) 対象外 **重要** リモートでコードが実行される (2965224) 対象外 対象外 **重要**
**Microsoft Office for Mac**
Microsoft Outlook for Mac for Office 365 対象外 対象外 対象外 対象外 対象外 **重要** 特権の昇格 (3055707)
Microsoft Office for Mac 2011 対象外 対象外 対象外 対象外 **重要** 特権の昇格 (3051737) **重要**
Microsoft Word for Mac 2011 **重要** リモートでコードが実行される (3051737) 対象外 対象外 対象外 対象外 **重要**
**その他の Office ソフトウェア**
Microsoft Word Viewer 対象外 **緊急** リモートでコードが実行される (2965289) **重要** リモートでコードが実行される (2965289) **緊急** リモートでコードが実行される (2965289) 対象外 **緊急**
Microsoft Office 互換機能パック Service Pack 3 **重要** リモートでコードが実行される (2965210) **緊急** リモートでコードが実行される (2965210) **重要** リモートでコードが実行される (2965210) **緊急** リモートでコードが実行される (2965210) 対象外 **緊急**
 

Microsoft Office Services および Web Apps

**影響を受けるソフトウェアごとの脆弱性の深刻度および最大のセキュリティ上の影響**
**影響を受けるソフトウェア** [**Microsoft Office のメモリの破損の脆弱性 - CVE-2015-1641**](https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2015-1641) [**Microsoft Office コンポーネントの解放後使用の脆弱性 - CVE-2015-1649**](https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2015-1649) [**Microsoft Office コンポーネントの解放後使用の脆弱性 - CVE-2015-1650**](https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2015-1650) [**Microsoft Office コンポーネントの解放後使用の脆弱性 - CVE-2015-1651**](https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2015-1651) [**Microsoft Outlook App for Mac XSS の脆弱性 - CVE-2015-1639**](https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2015-1639) **総合的な深刻度**
**Microsoft SharePoint Server 2010**
Microsoft SharePoint Server 2010 Service Pack 2 上の Word Automation Services **重要** リモートでコードが実行される (2553164) **緊急** リモートでコードが実行される (2553164) **重要** リモートでコードが実行される (2553164) 対象外 対象外 **緊急**
**Microsoft SharePoint Server 2013**
Microsoft SharePoint Server 2013 Service Pack 1 上の Word Automation Services **重要** リモートでコードが実行される (2965215) 対象外 **重要** リモートでコードが実行される (2965215) 対象外 対象外 **重要**
**Microsoft Office Web Apps 2010**
Microsoft Office Web Apps Server 2010 Service Pack 2 **重要** リモートでコードが実行される (2965238) **緊急** リモートでコードが実行される (2965238) **重要** リモートでコードが実行される (2965238) 対象外 対象外 **緊急**
**Microsoft Office Web Apps 2013**
Microsoft Office Web Apps Server 2013 Service Pack 1 **重要** リモートでコードが実行される (2965306) 対象外 **重要** リモートでコードが実行される (2965306) 対象外 対象外 **重要**
 

脆弱性の情報

Microsoft Office のメモリの破損の脆弱性 - CVE-2015-1641

Microsoft Office ソフトウェアでメモリ内のリッチ テキスト形式のファイルが適切に処理されない場合に、リモートでコードが実行される脆弱性が存在します。

攻撃者がこの脆弱性を悪用した場合、特別に細工したアプリを使用して、現在のユーザーのセキュリティ コンテキストで任意のスクリプトを実行する可能性があります。続いてそのファイルで、ログオンしているユーザーと同じ権限を使用して、ログオンしているユーザーの代わりに、アクションが起こされる可能性があります。

この脆弱性が悪用されるには、ユーザーが Microsoft Office ソフトウェアの影響を受けるバージョンで、特別に細工されたファイルを開くことが攻撃者にとっての必要条件となります。電子メールの攻撃シナリオでは、攻撃者は特別に細工したファイルをユーザーに送信し、ユーザーにそのファイルを開くよう誘導することにより、この脆弱性を悪用する可能性があります。Web ベースの攻撃のシナリオでは、攻撃者は、この脆弱性の悪用を意図したファイルを含む Web サイトをホストする (またはユーザーが提供するコンテンツを受け入れるかホストする侵害された Web サイト利用する) 可能性があります。しかし、いかなるケースでも、攻撃者はユーザーに Web サイトを見るよう強制することはできません。その代わり、通常、電子メール メッセージまたはインスタント メッセンジャーのメッセージ内のリンクをクリックさせて、ユーザーを Web サイトに誘導し、特別に細工したファイルを開かせることが攻撃者にとっての必要条件となります。

更新プログラムは、メモリで Office がファイルを処理する方法を修正することにより、この脆弱性を解決します。

この脆弱性は一般で公表されていました。これは Common Vulnerability and Exposure の CVE-2015-1641 にアサインされています。マイクロソフトはこの脆弱性を悪用しようとする限定的な攻撃を確認しました。

問題を緩和する要素

マイクロソフトは、この脆弱性の問題を緩和する要素を確認していません。

回避策

マイクロソフトは、この脆弱性の回避策を確認していません。

 

複数の Microsoft Office コンポーネントの解放後使用の脆弱性

Microsoft Office ソフトウェアが特別に細工された Office ファイルを解析する際にメモリ内のオブジェクトを適切に処理しない場合に、リモートでコードが実行される脆弱性が存在します。攻撃者が任意のコードを実行する方法に関連してシステム メモリが破損する可能性があります。

攻撃者がこれらの脆弱性を悪用した場合、現在のユーザーのコンテキストで任意のコードが実行される可能性があります。現在のユーザーが管理者ユーザー権限でログオンしている場合、攻撃者が影響を受けるコンピューターを完全に制御する可能性があります。攻撃者は、その後、プログラムのインストール、データの表示、変更、削除などを行ったり、完全なユーザー権限を持つ新たなアカウントを作成したりする可能性があります。コンピューターでのユーザー権限が低い設定のアカウントを持つユーザーは、管理者特権で実行しているユーザーよりもこの脆弱性による影響が少ないと考えられます。

これらの脆弱性が悪用されるには、ユーザーが Microsoft Office ソフトウェアの影響を受けるバージョンで、特別に細工されたファイルを開くことが攻撃者にとっての必要条件となります。電子メールの攻撃シナリオでは、攻撃者は特別に細工したファイルをユーザーに送信し、ユーザーにそのファイルを開くよう誘導することにより、この脆弱性を悪用する可能性があります。Web ベースの攻撃のシナリオでは、攻撃者は、この脆弱性の悪用を意図したファイルを含む Web サイトをホストする (またはユーザーが提供するコンテンツを受け入れるかホストする侵害された Web サイト利用する) 可能性があります。しかし、いかなるケースでも、攻撃者はユーザーに Web サイトを見るよう強制することはできません。その代わり、通常、電子メール メッセージまたはインスタント メッセンジャーのメッセージ内のリンクをクリックさせて、ユーザーを Web サイトに誘導し、特別に細工したファイルを開かせることが攻撃者にとっての必要条件となります。

このセキュリティ更新プログラムは Microsoft Office が特別に細工されたファイルを解析する方法を修正することにより、この脆弱性を解決します。

マイクロソフトは、協調的な脆弱性の公開を通じてこの脆弱性に関する情報を得ました。マイクロソフトは、このセキュリティ情報が公開された際に、この脆弱性が一般で悪用され、お客様が攻撃されていたことを示す情報を受けていませんでした。

次の表には、Common Vulnerabilities and Exposures リストの各脆弱性の標準のエントリへのリンクが含まれています。

脆弱性のタイトル CVE 番号 一般に公開 悪用
Microsoft Office コンポーネントの解放後使用の脆弱性 CVE-2015-1650 なし なし
  プレビュー ウィンドウは以下の脆弱性による攻撃対象になります。

脆弱性のタイトル CVE 番号 一般に公開 悪用
Microsoft Office コンポーネントの解放後使用の脆弱性 CVE-2015-1649 なし なし
Microsoft Office コンポーネントの解放後使用の脆弱性 CVE-2015-1651 なし なし
  ### 問題を緩和する要素 マイクロソフトは、この脆弱性の[問題を緩和する要素](https://technet.microsoft.com/ja-jp/library/security/dn848375.aspx)を確認していません。 ### 回避策 マイクロソフトは、この脆弱性の[回避策](https://technet.microsoft.com/ja-jp/library/security/dn848375.aspx)を確認していません。   Microsoft Outlook App for Mac XSS の脆弱性 - CVE-2015-1639 ---------------------------------------------------------- Microsoft Outlook for Mac アプリに特権の昇格の脆弱性が存在します。この脆弱性は、ソフトウェアが HTML 文字列を適切にサニタイズしない場合に発生します。 攻撃者がこの脆弱性を悪用した場合、許可されていないコンテンツを読んだり、被害者の ID を利用して、標的となるサイトまたはアプリケーションで操作を行う可能性があります。 この脆弱性が悪用されるには、ユーザーに、特別に細工されたコンテンツを表示させ、ユーザーのコンテキストでスクリプトを実行することが攻撃者にとっての必要条件となります。Web ベースの攻撃のシナリオでは、攻撃者は、この脆弱性の悪用を意図したコンテンツを含む Web サイトをホストする (またはユーザーが提供するコンテンツを受け入れるかホストする侵害された Web サイト利用する) 可能性があります。しかし、いかなるケースでも、攻撃者はユーザーに Web サイトを見るよう強制することはできません。その代わり、通常、電子メール メッセージまたはインスタント メッセンジャーのメッセージ内のリンクをクリックさせて、ユーザーを Web サイトに誘導し、特別に細工したファイルを開かせることが攻撃者にとっての必要条件となります。 このセキュリティ更新プログラムは、Microsoft Outlook for Mac が HTML 文字列をサニタイズする方法を修正することによってこの脆弱性を解決します。 マイクロソフトは、協調的な脆弱性の公開を通じてこの脆弱性に関する情報を得ました。マイクロソフトは、このセキュリティ情報が公開された際に、この脆弱性が一般で悪用され、お客様が攻撃されていたことを示す情報を受けていませんでした。 ### 問題を緩和する要素 マイクロソフトは、この脆弱性の[問題を緩和する要素](https://technet.microsoft.com/ja-jp/library/security/dn848375.aspx)を確認していません。 ### 回避策 マイクロソフトは、この脆弱性の[回避策](https://technet.microsoft.com/ja-jp/library/security/dn848375.aspx)を確認していません。 セキュリティ更新プログラムの展開 -------------------------------- セキュリティ更新プログラムの展開については、「概要」の[こちら](#kbarticle)で言及されているサポート技術情報を参照してください。 謝辞 ---- マイクロソフトでは、協調的な脆弱性の公開によるお客様の保護に際して、セキュリティ コミュニティの方々からいただいたご助力に感謝いたします。詳細については、[謝辞](https://technet.microsoft.com/ja-jp/library/security/dn903755.aspx)を参照してください。 免責 ---- マイクロソフト サポート技術情報に含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation およびその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation およびその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性など、いかなる表明・保証も行いません。Microsoft Corporation、その関連会社およびこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社およびこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含むすべての損害に対して、状況のいかんを問わず一切責任を負いません。結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。 更新履歴 -------- - V1.0 (2015/04/15): このセキュリティ情報ページを公開しました。 - V1.1 (2015/04/22): このセキュリティ情報ページを更新し、Microsoft Word 2010 のサポートされているエディション用の更新プログラム 2553428 について検出を変更したことをお知らせしました。更新プログラムのファイルへの変更はありません。 システムを正常に更新済みのお客様は、措置を講じる必要はありません。 *Page generated 2015-04-21 12:50Z-07:00..*