マイクロソフト セキュリティ情報 MS15-036 - 重要
Microsoft SharePoint Server の脆弱性により、特権が昇格される (3052044)
公開日:2015 年 4 月 15 日
バージョン: 1.0
概要
このセキュリティ更新プログラムは、Microsoft Office サーバー ソフトウェアとプロダクティビティ ソフトウェアに存在する脆弱性を解決します。この脆弱性により、影響を受ける SharePoint Server システムに攻撃者が特別に細工されたリクエストを送信した場合、特権の昇格が起こる可能性があります。攻撃者がこの脆弱性を悪用した場合、許可されていないコンテンツを読んだり、被害者の ID を利用して被害者になりすまして、権限の変更、コンテンツの削除、被害者のブラウザーへの悪意あるコンテンツの挿入などの SharePoint サイトの操作を実行できます。
このセキュリティ更新プログラムは、サポートされるエディションの Microsoft SharePoint Server 2010、Microsoft SharePoint Server 2013、および Microsoft SharePoint Foundation 2013 について、深刻度が「重要」と評価されています。
詳細については、「影響を受けるソフトウェア」のセクションを参照してください。
この更新プログラムは、SharePoint Server にユーザー入力を正しくサニタイズさせることにより、この脆弱性を解決します。脆弱性の詳細については、「脆弱性の情報」を参照してください。
この更新プログラムの詳細については、サポート技術情報 3052044 を参照してください。
影響を受けるソフトウェア
次のソフトウェア バージョンまたはエディションが影響を受けます。一覧にないバージョンまたはエディションは、サポート ライフサイクルが終了しているか、この脆弱性の影響を受けません。ご使用中のソフトウェアのバージョンまたはエディションのサポート ライフ サイクルを確認するには、Microsoft サポート ライフサイクルの Web サイトを参照してください。
Microsoft サーバー ソフトウェア
**Microsoft SharePoint Server** | **コンポーネント** | **最も深刻な脆弱性の影響** | **総合的な深刻度** | **置き換えられる更新プログラム** |
**Microsoft SharePoint Server 2013** | ||||
Microsoft SharePoint Server 2013 Service Pack 1 | [Microsoft SharePoint Foundation 2013 Service Pack 1](https://www.microsoft.com/download/ja-jp/details.aspx?familyid=9f23e45c-b45c-4ec3-a212-5d429cf4b54f) (2965219) | 特権の昇格 | 重要 | [MS15-022](https://go.microsoft.com/fwlink/?linkid=526461) の 2956153 |
Microsoft SharePoint Server 2013 Service Pack 1 | [Microsoft SharePoint Server 2013 Service Pack 1](https://www.microsoft.com/download/ja-jp/details.aspx?familyid=9f23e45c-b45c-4ec3-a212-5d429cf4b54f) (2965219) | 特権の昇格 | 重要 | [MS15-022](https://go.microsoft.com/fwlink/?linkid=526461) の 2956153 |
Microsoft Office Services および Web Apps
**ソフトウェア** | **コンポーネント** | **最も深刻な脆弱性の影響** | **総合的な深刻度** | **置き換えられる更新プログラム** |
**Microsoft SharePoint Server 2010** | ||||
Microsoft SharePoint Server 2010 Service Pack 2 | [Microsoft Project Server 2010 Service Pack 2](https://www.microsoft.com/download/ja-jp/details.aspx?familyid=dfe46b34-bee1-42ba-99af-771c7a17f24b) (2965302) | 特権の昇格 | 重要 | [MS14-022](https://go.microsoft.com/fwlink/?linkid=386285) の 2863922 |
**Microsoft SharePoint Server 2013** | ||||
Microsoft SharePoint Server 2013 Service Pack 1 | [Microsoft Project Server 2013 Service Pack 1](https://www.microsoft.com/download/ja-jp/details.aspx?familyid=6c393ef3-b435-44fc-8d72-4335cb0e8d01) (2965278) | 特権の昇格 | 重要 | [MS14-022](https://go.microsoft.com/fwlink/?linkid=386285) の 2760236 |
深刻度および脆弱性識別番号
次の深刻度の評価は、脆弱性の影響が最も深刻な場合を想定しています。深刻度の評価およびセキュリティ上の影響に関連して、このセキュリティ情報の公開から 30 日間でこの脆弱性が悪用される可能性に関する情報については、4 月のセキュリティ情報の概要の Exploitability Index (悪用可能性指標) を参照してください。
Microsoft サーバー ソフトウェア
**影響を受けるソフトウェアごとの脆弱性の深刻度および最大のセキュリティ上の影響** | |||
**影響を受けるソフトウェア** | [**Microsoft SharePoint XSS の脆弱性 - CVE-2015-1640**](https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2015-1640) | [**Microsoft SharePoint XSS の脆弱性 - CVE-2015-1653**](https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2015-1653) | **総合的な深刻度** |
**Microsoft SharePoint Server 2010** | |||
Microsoft Project Server 2010 Service Pack 2 |
重要 |
対象外 |
重要 |
**Microsoft SharePoint Server 2013** | |||
Microsoft SharePoint Foundation 2013 Service Pack 1 | 対象外 |
重要 |
重要 |
Microsoft Project Server 2013 Service Pack 1 |
重要 |
対象外 |
重要 |
Microsoft SharePoint Server 2013 Service Pack 1 | 対象外 |
重要 |
重要 |
脆弱性の情報
複数の SharePoint XSS の脆弱性
特権の昇格は、SharePoint Server が、影響を受ける SharePoint サーバーを対象とする特別に細工された要求を正しくサニタイズしない際に発生します。認証された攻撃者が、影響を受ける SharePoint Server に対して特別に細工された要求を送信することによって、この脆弱性を悪用する可能性があります。攻撃者がこの脆弱性を悪用した場合、影響を受けるシステム上でクロスサイト スクリプティング攻撃を実行し、現在のユーザーのセキュリティ コンテキストでスクリプトを実行する可能性があります。これらの攻撃により攻撃者は、許可されていないコンテンツを読んだり、被害者の ID を利用して被害者になりすまして、権限の変更、コンテンツの削除、被害者のブラウザーへの悪意あるコンテンツの挿入などの SharePoint サイトの操作を実行できる可能性があります。
この更新プログラムは、SharePoint Server にユーザー入力を正しくサニタイズさせることにより、この脆弱性を解決します。
マイクロソフトは協調的な脆弱性の公開を通して、これらの脆弱性に関する情報を受けました。マイクロソフトは、このセキュリティ情報が公開された際に、この脆弱性が一般で悪用され、お客様が攻撃されていたことを示す情報を受け取っていませんでした。
次の表には、Common Vulnerabilities and Exposures リストの各脆弱性の標準のエントリへのリンクが含まれています。
脆弱性のタイトル | CVE 番号 | 一般に公開 | 悪用 |
Microsoft SharePoint XSS の脆弱性 | CVE-2015-1640 | なし | なし |
Microsoft SharePoint XSS の脆弱性 | CVE-2015-1653 | なし | なし |