マイクロソフト セキュリティ情報 MS17-002 - 重要
Microsoft Office 用のセキュリティ更新プログラム (3214291)
公開日: 2017 年 1 月 11 日 | 最終更新日: 2017 年 1 月 11 日
バージョン: 1.0
概要
このセキュリティ更新プログラムは、Microsoft Office の脆弱性を解決します。この脆弱性により、ユーザーが特別に細工された Microsoft Office ファイルを開いた場合にリモートでコードが実行される可能性があります。攻撃者がこの脆弱性を悪用した場合、現在のユーザーのコンテキストで任意のコードを実行する可能性があります。システムに対するユーザー権限が低く設定されているアカウントを使用しているユーザーは、管理者ユーザー権限で実行しているユーザーよりも影響が少なくなると考えられます。
このセキュリティ更新プログラムは、影響を受けるバージョンの Office と Office コンポーネントがメモリ内のオブジェクトを処理する方法を修正することにより、この脆弱性を解決します。
この脆弱性の詳細については、「脆弱性の情報」を参照してください。
この更新プログラムの詳細については、マイクロソフト サポート技術情報 3214291 を参照してください。
影響を受けるソフトウェアと脅威の深刻度
次のソフトウェア バージョンまたはエディションが影響を受けます。一覧にないバージョンまたはエディションは、サポート ライフサイクルが終了しているか、この脆弱性の影響を受けません。ご使用中のソフトウェアのバージョンまたはエディションのサポート ライフサイクルを確認するには、Microsoft サポート ライフサイクルの Web サイトを参照してください。
次の深刻度の評価は、脆弱性の影響が最も深刻な場合を想定しています。深刻度の評価およびセキュリティ上の影響に関連して、このセキュリティ情報の公開から 30 日以内にこの脆弱性が悪用される可能性に関する情報については、1 月のセキュリティ情報の概要の Exploitability Index (悪用可能性指標) を参照してください。
注: セキュリティ更新プログラム情報の新しい利用方法の詳細については、Security Update Guide (セキュリティ更新プログラム ガイド)を参照してください。ビューのカスタマイズや影響を受けるソフトウェアの一覧の作成だけでなく、RESTful API を使ってデータをダウンロードすることもできます。詳細については、セキュリティ更新プログラム ガイドに関する FAQ を参照してください。既にお知らせしたように、2017 年 2 月から、セキュリティ更新プログラムの情報は、セキュリティ情報サイトではなく、セキュリティ更新プログラム ガイドで公開されます。詳細については、ブログ記事「セキュリティ更新プログラムに対するコミットメントの促進について」を参照してください。
Microsoft Office ソフトウェア
**影響を受けるソフトウェア** | [**Microsoft Office のメモリ破損の脆弱性 - CVE-2017-0003**](https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2017-0003) | **置き換えられる更新プログラム\*** |
**Microsoft Office 2016** | ||
[Microsoft Word 2016 (32 ビット版)](https://www.microsoft.com/download/ja-jp/details.aspx?familyid=b7836db7-bb8b-4353-bb1f-e426ddc99fe2) (3128057) | **重要** リモートでコードが実行される | [MS16-121](https://go.microsoft.com/fwlink/?linkid=828158) の 3118331 |
[Microsoft Word 2016 (64 ビット版)](https://www.microsoft.com/download/ja-jp/details.aspx?familyid=fd2cd6ce-5bc6-4fcd-9ebc-977d1c0a0a59) (3128057) | **重要** リモートでコードが実行される | [MS16-121](https://go.microsoft.com/fwlink/?linkid=828158) の 3118331 |
**影響を受けるソフトウェア** | [**Microsoft Office のメモリ破損の脆弱性 - CVE-2017-0003**](https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2017-0003) | **置き換えられる更新プログラム\*** |
**Microsoft SharePoint Enterprise Server 2016** | ||
[Microsoft SharePoint Enterprise Server 2016](https://www.microsoft.com/download/ja-jp/details.aspx?familyid=4312bfdb-31ab-429a-b3ac-66a53dc62e41) (3141486) | **重要** リモートでコードが実行される | なし |
更新プログラムに関する FAQ
「影響を受けるソフトウェアと脅威の深刻度」の表に影響を受けるとして特に記載されていないソフトウェアに対して、この更新プログラムが提供されることになりました。なぜ、この更新プログラムが提供されるのですか? 更新プログラムが、複数の Microsoft Office 製品間で共有されているか同じ Microsoft Office 製品の複数のバージョン間で共有されているコンポーネントに存在する、脆弱性の影響を受けるコードに対応する場合、その更新プログラムは、脆弱性の影響を受けるコンポーネントが含まれるすべてのサポートされる製品およびバージョンに適用可能であると見なされます。
たとえば、更新プログラムが Microsoft Office 2007 製品にのみ適用される場合は、Microsoft Office 2007 が「影響を受けるソフトウェア」の表に明示されている可能性があります。しかしその更新プログラムは、「影響を受けるソフトウェア」の表に特に記載されていない Microsoft Word 2007、Microsoft Excel 2007、Microsoft Visio 2007、Microsoft 互換機能パック、Microsoft Excel Viewer、その他の Microsoft Office 2007 製品に適用される可能性があります。さらに、更新プログラムが Microsoft Office 2010 製品に適用される場合、「影響を受けるソフトウェア」の表に Microsoft Office 2010 とのみ記載されていることがあります。しかしその更新プログラムは、「影響を受けるソフトウェア」の表に特に記載されていない Microsoft Word 2010、Microsoft Excel 2010、Microsoft Visio 2010、Microsoft Visio Viewer、その他の Microsoft Office 2010 製品に適用される可能性があります。
この動作と推奨事項の詳細については、マイクロソフト サポート技術情報 830335 を参照してください。更新プログラムが適用される可能性のある Microsoft Office 製品については、特定の更新プログラムに関連するマイクロソフト サポート技術情報を参照してください。
脆弱性の情報
Microsoft Office のメモリ破損の脆弱性
Microsoft Office ソフトウェアでメモリ内のオブジェクトが適切に処理されない場合に、リモートでコードが実行される脆弱性が存在します。攻撃者がこの脆弱性を悪用した場合、現在のユーザーのコンテキストで任意のコードを実行する可能性があります。現在のユーザーが管理者ユーザー権限でログオンしている場合、攻撃者が影響を受けるコンピューターを制御する可能性があります。攻撃者は、その後、プログラムのインストール、データの表示、変更、削除などを行ったり、完全なユーザー権限を持つ新たなアカウントを作成したりする可能性があります。システムに対するユーザー権限が低く設定されているアカウントを使用しているユーザーは、管理者ユーザー権限で実行しているユーザーよりも影響が少なくなると考えられます。
攻撃者がこの脆弱性を悪用するには、ユーザーが影響を受けるバージョンの Microsoft Office ソフトウェアで、特別に細工されたファイルを開くことが必要です。電子メールの攻撃シナリオでは、攻撃者は特別に細工したファイルをユーザーに送信し、ユーザーにそのファイルを開くよう誘導することで、この脆弱性を悪用する可能性があります。Web ベースの攻撃のシナリオでは、攻撃者は、この脆弱性を悪用するためのファイルを含む Web サイトをホスト (もしくは、ユーザーが指定したコンテンツを受け入れまたはホストする侵害された Web サイトを利用) する可能性があります。しかし、すべての場合において、攻撃者が Web サイトを表示させるようユーザーに強制することはできません。その代わり、攻撃者は電子メールまたはインスタント メッセンジャーのメッセージの誘導により、ユーザーにリンクをクリックさせ、特別に細工されたファイルを開かせる必要があります。
プレビュー ウィンドウはこの脆弱性による攻撃対象にはなりません。この更新プログラムは、Office がメモリ内のオブジェクトを処理する方法を修正することで、この脆弱性を解決します。
脆弱性のタイトル | CVE 番号 | 一般に公開 | 悪用 |
Microsoft Office のメモリ破損の脆弱性 | CVE-2017-0003 | なし | なし |