Бюллетень по безопасности Майкрософт MS15-110 — важно
Безопасность Обновления для Microsoft Office для решения удаленного выполнения кода (3096440)
Опубликовано: 13 октября 2015 г.
Версия: 1.0
Краткий обзор
Это обновление безопасности устраняет уязвимости в Microsoft Office. Наиболее серьезные уязвимости могут разрешить удаленное выполнение кода, если пользователь открывает специально созданный файл Microsoft Office. Злоумышленник, успешно использующий уязвимости, может запустить произвольный код в контексте текущего пользователя. Клиенты, учетные записи которых настроены на меньше прав пользователей в системе, могут быть менее затронуты, чем те, кто работает с правами администратора.
Это обновление безопасности оценивается как важно для всех поддерживаемых выпусков следующего программного обеспечения:
- Microsoft Excel 2007, Microsoft Visio 2007
- Microsoft Excel 2010, Microsoft Visio 2010
- Microsoft Excel 2013, Microsoft Excel 2013 RT
- Microsoft Excel 2016
- Microsoft Excel для Mac 2011 г.
- Microsoft Excel 2016 для Mac
- Средство просмотра Microsoft Excel, пакет совместимости Microsoft Office
- службы Excel в Microsoft SharePoint Server 2007
- службы Excel в Microsoft SharePoint Server 2010, Microsoft Web App 2010, Microsoft Excel Web App 2010
- службы Excel в Microsoft SharePoint Server 2013, Microsoft Office веб-приложения Server 2013
- Microsoft SharePoint Server 2007
- Microsoft SharePoint Server 2010
- Microsoft SharePoint Server 2013, Microsoft SharePoint Foundation 2013
Дополнительные сведения см. в разделе "Оценки серьезности уязвимостей" в программном обеспечении и уязвимостях.
Обновление системы безопасности устраняет уязвимости следующими средствами:
- Исправление того, как Office обрабатывает объекты в памяти
- Обеспечение правильной обработки сущностей DTD в SharePoint InfoPath Forms Services
- Помощь в том, чтобы office веб-приложения Server правильно очищал веб-запросы
- Изменение способа очистки веб-запросов SharePoint
Дополнительные сведения об уязвимостях см. в разделе "Сведения об уязвимостях".
Дополнительные сведения об этом обновлении см . в статье базы знаний Майкрософт 3096440.
Оценки серьезности уязвимостей и программного обеспечения
Затронуты следующие версии программного обеспечения или выпуски. Версии или выпуски, не перечисленные в списке, были в прошлом жизненном цикле поддержки или не затронуты. Сведения о жизненном цикле поддержки для версии или выпуска программного обеспечения см. в разделе служба поддержки Майкрософт Жизненный цикл.
Следующие оценки серьезности предполагают потенциальное максимальное влияние уязвимости. Сведения о вероятности, в течение 30 дней после выпуска этого бюллетеня по безопасности, о возможности использования уязвимости в отношении его оценки серьезности и влияния на безопасность, см. в сводке бюллетеня по эксплойтации в октябре.
Программное обеспечение Microsoft Office
| Оценка серьезности уязвимостей и максимальное влияние на безопасность затронутого программного обеспечения | ||||
|---|---|---|---|---|
| Затронутого программного обеспечения | Уязвимость Microsoft Office к повреждению памяти — CVE-2015-2555 | Уязвимость Microsoft Office к повреждению памяти — CVE-2015-2557 | Уязвимость Microsoft Office к повреждению памяти — CVE-2015-2558 | Обновления заменено* |
| Microsoft Office 2007; | ||||
| Microsoft Excel 2007 с пакетом обновления 3 (3085615) | Неприменимо | Неприменимо | Важное удаленноевыполнение кода | 3085543 в MS15-099 |
| Microsoft Visio 2007 с пакетом обновления 3 (3085542) | Нет данных | Важное удаленноевыполнение кода | Нет данных | 2965280 в MS15-081 |
| Microsoft Office 2010; | ||||
| Microsoft Excel 2010 с пакетом обновления 2 (32-разрядная версия) (3085609) | Важное удаленноевыполнение кода | Нет данных | Важное удаленноевыполнение кода | 3085526 в MS15-099 |
| Microsoft Excel 2010 с пакетом обновления 2 (64-разрядная версия) (3085609) | Важное удаленноевыполнение кода | Нет данных | Важное удаленноевыполнение кода | 3085526 в MS15-099 |
| Microsoft Visio 2010 с пакетом обновления 2 (32-разрядные выпуски) (3085514) | Нет данных | Важное удаленноевыполнение кода | Нет данных | 3054876 в MS15-081 |
| Microsoft Visio 2010 с пакетом обновления 2 (64-разрядная версия) (3085514) | Нет данных | Важное удаленноевыполнение кода | Нет данных | 3054876 в MS15-081 |
| Microsoft Office 2013 | ||||
| Microsoft Excel 2013 с пакетом обновления 1 (32-разрядные выпуски) (3085583) | Важное удаленноевыполнение кода | Нет данных | Важное удаленноевыполнение кода | 3085502 в MS15-099 |
| Microsoft Excel 2013 с пакетом обновления 1 (64-разрядная версия) (3085583) | Важное удаленноевыполнение кода | Нет данных | Важное удаленноевыполнение кода | 3085502 в MS15-099 |
| Microsoft Office 2013 RT | ||||
| Microsoft Excel 2013 RT с пакетом обновления 1 (3085583)[1] | Важное удаленноевыполнение кода | Нет данных | Важное удаленноевыполнение кода | 3085502 в MS15-099 |
| Microsoft Office 2016; | ||||
| Microsoft Excel 2016 (32-разрядная версия) (2920693) | Важное удаленноевыполнение кода | Нет данных | Важное удаленноевыполнение кода | нет |
| Microsoft Excel 2016 (64-разрядная версия) (2920693) | Важное удаленноевыполнение кода | Нет данных | Важное удаленноевыполнение кода | нет |
| Microsoft Office для Mac 2011 | ||||
| Microsoft Excel для Mac 2011 (3097266) | Важное удаленноевыполнение кода | Нет данных | Важное удаленноевыполнение кода | 3088501 в MS15-099 |
| Microsoft Office 2016 для Mac | ||||
| Microsoft Excel 2016 для Mac (3097264) | Важное удаленноевыполнение кода | Нет данных | Важное удаленноевыполнение кода | 3088502 в MS15-099 |
| Другое программное обеспечение Office | ||||
| Средство просмотра Microsoft Excel (3085619) | Неприменимо | Неприменимо | Важное удаленноевыполнение кода | 3054995 в MS15-099 |
| Пакет обновления 3 для пакета совместимости Microsoft Office (3085618) | Неприменимо | Неприменимо | Важное удаленноевыполнение кода | 3054993 в MS15-099 |
[1]Это обновление доступно через Обновл. Windows.
*Столбец Обновления "Заменено" отображает только последнее обновление в цепочке замененных обновлений. Полный список обновлений, замененных, перейдите в каталог центра обновления Майкрософт, найдите номер обновления КБ, а затем просмотрите сведения об обновлении (на вкладке "Сведения о пакете" заменены обновлениями).
Службы Microsoft Office и веб-приложения
| Оценка серьезности уязвимостей и максимальное влияние на безопасность затронутого программного обеспечения | ||||
|---|---|---|---|---|
| Затронутого программного обеспечения | Уязвимость Microsoft Office к повреждению памяти — CVE-2015-2555 | Уязвимость Microsoft Office к повреждению памяти — CVE-2015-2558 | Уязвимость spoofing microsoft Office веб-приложения XSS — CVE-2015-6037 | Обновления заменено* |
| Microsoft SharePoint Server 2007 | ||||
| службы Excel в Microsoft SharePoint Server 2007 с пакетом обновления 3 (32-разрядные выпуски) (3054994) | Нет данных | Важное удаленноевыполнение кода | Нет данных | 2837612 в MS15-070 |
| службы Excel в Microsoft SharePoint Server 2007 с пакетом обновления 3 (64-разрядные выпуски) (3054994) | Нет данных | Важное удаленноевыполнение кода | Нет данных | 2837612 в MS15-070 |
| Microsoft SharePoint Server 2010 | ||||
| службы Excel в Microsoft SharePoint Server 2010 с пакетом обновления 2 (3085596) | Важное удаленноевыполнение кода | Важное удаленноевыполнение кода | Важноеспуфинирование | 3054968 в MS15-070 |
| Microsoft SharePoint Server 2013 | ||||
| службы Excel в Microsoft SharePoint Server 2013 с пакетом обновления 1 (3085568) | Важное удаленноевыполнение кода | Важное удаленноевыполнение кода | Важноеспуфинирование | 3085483 в MS15-099 |
| Microsoft Office веб-приложения 2010 | ||||
| Microsoft Office веб-приложения 2010 с пакетом обновления 2 (3085520) | Неприменимо | Неприменимо | Важноеспуфинирование | 3054974 в MS15-081 |
| Microsoft Excel Web App 2010 с пакетом обновления 2 (3085595) | Неприменимо | Неприменимо | Важноеспуфинирование | 3054838 в MS15-046 |
| Microsoft Office веб-приложения 2013 | ||||
| Microsoft Office веб-приложения Server 2013 с пакетом обновления 1 (3085571) | Неприменимо | Неприменимо | Важноеспуфинирование | 3085487 в MS15-099 |
*Столбец Обновления "Заменено" отображает только последнее обновление в цепочке замененных обновлений. Полный список обновлений, замененных, перейдите в каталог центра обновления Майкрософт, найдите номер обновления КБ, а затем просмотрите сведения об обновлении (на вкладке "Сведения о пакете" заменены обновлениями).
Программное обеспечение Microsoft Server
| Оценка серьезности уязвимостей и максимальное влияние на безопасность затронутого программного обеспечения | ||||
|---|---|---|---|---|
| Затронутого программного обеспечения | Уязвимость microsoft SharePoint Information Disclosure — CVE-2015-2556 | Обход компонента безопасности Microsoft SharePoint — CVE-2015-6039 | Уязвимость spoofing microsoft Office веб-приложения XSS — CVE-2015-6037 | Обновления заменено* |
| Microsoft SharePoint Server 2007 | ||||
| Microsoft SharePoint Server 2007 с пакетом обновления 3 (32-разрядные выпуски) (2596670) | Важноераскрытие информации | Неприменимо | Неприменимо | нет |
| Microsoft SharePoint Server 2007 с пакетом обновления 3 (64-разрядные выпуски) (2596670) | Важноераскрытие информации | Неприменимо | Неприменимо | нет |
| Microsoft SharePoint Server 2010 | ||||
| Microsoft SharePoint Server 2010 с пакетом обновления 2 (2553405) | Важноераскрытие информации | Неприменимо | Неприменимо | нет |
| Microsoft SharePoint Server 2013 | ||||
| Microsoft SharePoint Server 2013 с пакетом обновления 1 (3085567) | Нет данных | Важныйобход компонентов безопасности | Нет данных | 2965219 в MS15-036 |
| Microsoft SharePoint Foundation 2013 с пакетом обновления 1 (3085582) | Нет данных | Важныйобход компонентов безопасности | Важноеспуфинирование | 3085501 в MS15-099 |
*Столбец Обновления "Заменено" отображает только последнее обновление в цепочке замененных обновлений. Полный список обновлений, замененных, перейдите в каталог центра обновления Майкрософт, найдите номер обновления КБ, а затем просмотрите сведения об обновлении (на вкладке "Сведения о пакете" заменены обновлениями).
Вопросы и ответы по обновлению
Содержит ли это обновление дополнительные изменения в функциональных возможностях, связанных с безопасностью?
Да. Помимо изменений, перечисленных для уязвимостей, описанных в этом бюллетене, это обновление включает в себя подробные обновления для защиты, чтобы повысить безопасность Microsoft Office.
Я предлагаю это обновление для программного обеспечения, которое специально не указано как затронутые в таблице "Затронутые программное обеспечение и уровень серьезности уязвимостей". Почему я предлагаю это обновление?
Если обновления обращаются к уязвимому коду, который существует в компоненте, который совместно используется между несколькими продуктами Microsoft Office или общим доступом между несколькими версиями одного и того же продукта Microsoft Office, обновление считается применимым ко всем поддерживаемым продуктам и версиям, содержащим уязвимый компонент.
Например, если обновление применяется к продуктам Microsoft Office 2007, в таблице "Затронутое программное обеспечение" может быть указано только Microsoft Office 2007. Однако обновление может применяться к Microsoft Word 2007, Microsoft Excel 2007, Microsoft Visio 2007, пакету совместимости Майкрософт, Средству просмотра Microsoft Excel или любому другому продукту Microsoft Office 2007, который не указан в конкретной таблице программного обеспечения.
Например, если обновление применяется к продуктам Microsoft Office 2010, в таблице "Затронутое программное обеспечение" может быть указано только Microsoft Office 2010. Однако обновление может применяться к Microsoft Word 2010, Microsoft Excel 2010, Microsoft Visio 2010, Microsoft Visio Viewer или любому другому продукту Microsoft Office 2010, который не указан в таблице затронутых программ.
Например, если обновление относится к продуктам Microsoft Office 2013, в таблице "Затронутое программное обеспечение" может быть указано только Microsoft Office 2013. Однако обновление может применяться к Microsoft Word 2013, Microsoft Excel 2013, Microsoft Visio 2013 или любому другому продукту Microsoft Office 2013, который не указан в таблице "Затронутая программа".
Сведения об уязвимостях
Несколько уязвимостей в памяти Microsoft Office
Уязвимости удаленного выполнения кода существуют в программном обеспечении Microsoft Office, если программное обеспечение Office не может правильно обрабатывать объекты в памяти. Злоумышленник, который успешно использовал эти уязвимости, может запустить произвольный код в контексте текущего пользователя. Если текущий пользователь вошел с правами администратора, злоумышленник может получить контроль над затронутой системой. Он может устанавливать программы, просматривать, изменять или удалять данные и создавать новые учетные записи с полными пользовательскими правами. Пользователи, учетные записи которых имеют в системе меньше прав, уязвимы меньше, чем пользователи с правами администратора.
Для эксплуатации этих уязвимостей требуется, чтобы пользователь открыл специально созданный файл с затронутой версией программного обеспечения Microsoft Office. В сценарии атаки электронной почты злоумышленник может использовать уязвимости, отправив специально созданный файл пользователю и убедив пользователя открыть файл. В сценарии атаки на веб-основе злоумышленник может разместить веб-сайт (или использовать скомпрометированный веб-сайт, принимающий или размещающий содержимое, предоставленное пользователем), содержащий специально созданный файл, предназначенный для использования уязвимостей. Злоумышленник не сможет заставить пользователей посетить веб-сайт. Вместо этого злоумышленнику придется убедить пользователей щелкнуть ссылку, как правило, путем соблазнения в сообщении электронной почты или мгновенных сообщений Messenger, а затем убедить их открыть специально созданный файл.
Обновление системы безопасности устраняет уязвимости, исправляя способ обработки объектов в памяти Office.
В следующих таблицах содержатся ссылки на стандартную запись для каждой уязвимости в списке распространенных уязвимостей и уязвимостей:
| Заголовок уязвимости | Номер CVE | Опубликованную | Использованы |
|---|---|---|---|
| Уязвимость к повреждению памяти Microsoft Office | CVE-2015-2555 | No | No |
| Уязвимость к повреждению памяти Microsoft Office | CVE-2015-2557 | No | No |
| Уязвимость к повреждению памяти Microsoft Office | CVE-2015-2558 | No | No |
Смягчающие факторы
В вашей ситуации могут применяться следующие факторы устранения рисков :
- У пользователя должны быть допустимые учетные данные для целевого сайта SharePoint. Обратите внимание, что это не фактор снижения, если сайт SharePoint настроен для предоставления анонимным пользователям доступа к сайту. По умолчанию анонимный доступ не включен.
Методы обхода проблемы
Корпорация Майкрософт не определила обходные пути для этих уязвимостей.
Уязвимость microsoft SharePoint Information Disclosure — CVE-2015-2556
Уязвимость раскрытия информации существует, когда службы InfoPath Forms Services SharePoint неправильно анализирует определение типа документа (DTD) XML-файла. Злоумышленник, который успешно воспользовался уязвимостью, может просматривать содержимое произвольных файлов на сервере SharePoint. Злоумышленник должен иметь разрешения на запись на сайт и Службы InfoPath должны быть включены для использования уязвимости.
Злоумышленник может использовать уязвимость, отправив специально созданный файл на веб-страницу, а затем отправив специально созданный веб-запрос на сервер SharePoint. Обновление системы безопасности устраняет уязвимость, обеспечивая правильное управление сущностями DTD в SharePoint InfoPath Forms Services.
Корпорация Майкрософт получила сведения об уязвимости через согласованное раскрытие уязвимостей. В то время, когда этот бюллетень по безопасности был первоначально выпущен, корпорация Майкрософт не знала о любой атаке, пытающейся использовать эту уязвимость.
Смягчающие факторы
Корпорация Майкрософт не определила какие-либо факторы устранения этой уязвимости.
Методы обхода проблемы
Корпорация Майкрософт не определила обходные пути для этой уязвимости .
Уязвимость spoofing microsoft Office веб-приложения XSS — CVE-2015-6037
Уязвимость спуфингов существует, если сервер Office веб-приложения server не правильно очищает специально созданный запрос. Злоумышленник, прошедший проверку подлинности, может воспользоваться уязвимостью, отправив специально созданный запрос на затронутый сервер Office веб-приложения Server. Злоумышленник, который успешно воспользовался этой уязвимостью, может затем выполнять атаки на межсайтовые сценарии на затронутых системах и запускать скрипт в контексте безопасности текущего пользователя. Эти атаки могут позволить злоумышленнику читать содержимое, которое злоумышленник не может читать, использовать удостоверение жертвы для принятия действий на сайте Office Web App от имени жертвы, таких как изменение разрешений, удаление содержимого, кража конфиденциальной информации (например, cookie браузера) и внедрение вредоносного содержимого в браузер жертвы.
Чтобы эта уязвимость была использована, пользователь должен щелкнуть специально созданный URL-адрес, который принимает пользователя на целевой сайт Office Web App. В сценарии атаки электронной почты злоумышленник может воспользоваться уязвимостью, отправив сообщение электронной почты с специально созданным URL-адресом пользователю целевого сайта Office Web App и убедив пользователя щелкнуть специально созданный URL-адрес. В сценарии атаки на основе веб-сайта злоумышленнику придется разместить веб-сайт, содержащий специально созданный URL-адрес на целевом сайте Office Web App, который используется для использования этой уязвимости. Кроме того, скомпрометированные веб-сайты и веб-сайты, которые принимают или размещают предоставленные пользователем содержимое, может содержать специально созданное содержимое, которое может использовать уязвимость. Злоумышленник не сможет заставить пользователей посетить специально созданный веб-сайт. Вместо этого злоумышленнику придется убедить их посетить веб-сайт, как правило, получив им ссылку в мгновенном посланнике или сообщении электронной почты, которое принимает их на веб-сайт злоумышленника, а затем убедить их щелкнуть специально созданный URL-адрес.
Обновление системы безопасности устраняет уязвимость, помогая обеспечить правильность очистки веб-запросов в Office веб-приложения Server. Корпорация Майкрософт получила сведения об уязвимости через согласованное раскрытие уязвимостей. В то время, когда этот бюллетень по безопасности был первоначально выпущен, корпорация Майкрософт не знала о любой атаке, пытающейся использовать эту уязвимость.
Смягчающие факторы
Корпорация Майкрософт не определила какие-либо факторы устранения этой уязвимости.
Методы обхода проблемы
Корпорация Майкрософт не определила обходные пути для этой уязвимости .
Уязвимость обхода компонентов безопасности Microsoft SharePoint — CVE-2015-6039
Уязвимость обхода функций безопасности существует в Microsoft SharePoint. Уязвимость возникает, когда Office Marketplace допускает внедрение кода JavaScript, который сохраняется на странице SharePoint, так как SharePoint не применяет соответствующий уровень разрешений для приложения или пользователя. Злоумышленник, который успешно воспользовался этой уязвимостью, может выполнять постоянные атаки на межсайтовые сценарии и выполнять скрипты (в контексте безопасности пользователя, вошедшего в систему) с вредоносным содержимым, который отображается аутентичным. Это может позволить злоумышленнику украсть конфиденциальную информацию, включая файлы cookie проверки подлинности и недавно отправленные данные.
Чтобы воспользоваться этой уязвимостью, злоумышленник должен иметь возможность обновить экземпляр Marketplace. Злоумышленник может добавить вредоносный код в приложение Marketplace, которое затем может быть отправлено в используемые экземпляры SharePoint. Вредоносный скрипт позволит злоумышленнику обновить код без необходимости проходить через ферму SharePoint или разрешения на уровне экземпляра.
Обновление безопасности устраняет уязвимость, изменив код фермы и экземпляра SharePoint, чтобы обеспечить соответствующий уровень разрешений для приложения или пользователя. Эта уязвимость была публично раскрыта. Было назначено общее число уязвимостей и уязвимостей CVE-2015-6039. В то время, когда этот бюллетень по безопасности был первоначально выпущен, корпорация Майкрософт не знала о любой атаке, пытающейся использовать эту уязвимость.
Смягчающие факторы
В вашей ситуации могут применяться следующие факторы устранения рисков :
- У пользователя должны быть разрешения "Управление веб-сайтом" и "Создание дочерних сайтов", чтобы добавить приложение или надстройку для SharePoint. По умолчанию эти разрешения доступны только пользователям, у которых есть уровень разрешений "Полный контроль" или которые находятся в группе "Владельцы сайтов". Дополнительные сведения об управлении безопасностью и разрешениями SharePoint см. в статье "Безопасность и разрешения" (SharePoint 2013).
Методы обхода проблемы
Корпорация Майкрософт не определила обходные пути для этой уязвимости .
Развертывание обновлений безопасности
Сведения о развертывании обновлений безопасности см. в статье базы знаний Майкрософт, на которую ссылается сводка по исполнительному руководству.
Благодарности
Корпорация Майкрософт признает усилия тех, кто в сообществе безопасности помогает нам защитить клиентов с помощью скоординированного раскрытия уязвимостей. Дополнительные сведения см . в подтверждениях .
Заявление об отказе
Сведения, предоставленные в Базе знаний Майкрософт, предоставляются "как есть" без каких-либо гарантий. Корпорация Майкрософт отказывается от всех гарантий, явных или подразумеваемых, включая гарантии торговых возможностей и соответствия определенной цели. В любом случае корпорация Майкрософт или ее поставщики не несут ответственности за любые убытки, включая прямые, косвенные, случайные, косвенные, косвенные, следовательно, потерю прибыли или специальные убытки, даже если корпорация Майкрософт или ее поставщики были уведомлены о возможности таких повреждений. Некоторые государства не разрешают исключение или ограничение ответственности за последующие или случайные убытки, поэтому не может применяться ограничение.
Редакции
- V1.0 (13 октября 2015 г.): бюллетень опубликован.
Страница создана 2015-10-13 08:33-07:00.