Microsoft Office における数式エディタでのオブジェクト取り扱い不備により遠隔から任意のコードが実行可能となる脆弱性(Scan Tech Report) | ScanNetSecurity
2019.11.15(金)

Microsoft Office における数式エディタでのオブジェクト取り扱い不備により遠隔から任意のコードが実行可能となる脆弱性(Scan Tech Report)

Microsoft Office の数式エディタに、遠隔から任意のコードが実行可能となる新たな脆弱性 (CVE-2018-0802) が報告されています。

脆弱性と脅威 エクスプロイト
◆概要

Microsoft Office の数式エディタに、遠隔から任意のコードが実行可能となる新たな脆弱性 (CVE-2018-0802) が報告されています。当該脆弱性を悪用する悪意のあるファイルを開いてしまった場合は、遠隔から任意のコードを実行され、攻撃者に端末の制御を奪われてしまう可能性があります。セキュリティ更新プログラムの適用により対策してください。

◆分析者コメント

クライアントサイドの脆弱性ですが、昨年に公開された数式エディタの脆弱性 (CVE-2017-11882) と併せて、攻撃者グループのキャンペーン活動に悪用される可能性が高い脆弱性であると考えられます。昨年から Microsoft Office での遠隔コード実行脆弱性と、それらの攻撃コードが相次いで公開されているため、可能な限りセキュリティ更新プログラムを適用するよう、運用を見直すことを推奨します。

◆深刻度(CVSS)

本記事執筆時点で CVSS 値の公開情報を確認していません。

◆影響を受けるソフトウェア

以下のバージョンの Microsoft Office が影響を受けると報告されています。

    - Microsoft Office 2007 Service Pack 3
    - Microsoft Office 2010 Service Pack 2 (32-bit editions)
    - Microsoft Office 2010 Service Pack 2 (64-bit editions)
    - Microsoft Office 2013 Service Pack 1 (32-bit editions)
    - Microsoft Office 2013 Service Pack 1 (64-bit editions)
    - Microsoft Office 2016 (32-bit edition)
    - Microsoft Office 2016 (64-bit edition)
    - Microsoft Office 2016 Click-to-Run (C2R) for 32-bit editions
    - Microsoft Office 2016 Click-to-Run (C2R) for 64-bit editions
    - Microsoft Office Compatibility Pack Service Pack 3
    - Microsoft Word 2007 Service Pack 3
    - Microsoft Word 2010 Service Pack 2 (32-bit editions)
    - Microsoft Word 2010 Service Pack 2 (64-bit editions)
    - Microsoft Word 2013 RT Service Pack 1
    - Microsoft Word 2013 Service Pack 1 (32-bit editions)
    - Microsoft Word 2013 Service Pack 1 (64-bit editions)
    - Microsoft Word 2016 (32-bit edition)
    - Microsoft Word 2016 (64-bit edition)


◆解説

Microsoft Office にて、数式エディタでの値検証不備により、遠隔から任意のコードが実行可能となる脆弱性が報告されています。

《株式会社ラック サイバー・グリッド研究所》

関連記事

PageTop

特集

アクセスランキング

  1. メール誤送信後に隠蔽を行った25歳職員を懲戒処分(川崎市)

    メール誤送信後に隠蔽を行った25歳職員を懲戒処分(川崎市)

  2. CrowdStrike Blog:新学期をさらに憂うつにさせるランサムウェア

    CrowdStrike Blog:新学期をさらに憂うつにさせるランサムウェア

  3. サイバーリスク増大予想するも準備はできていないと考える日本(ファイア・アイ)

    サイバーリスク増大予想するも準備はできていないと考える日本(ファイア・アイ)

  4. 独裁者御用達マルウェア「フィンフィッシャー」作成企業、ドイツのジャーナリストへ脅迫状 ~ 奴らは「ストライサンド効果」を知らないのか(The Register)

    独裁者御用達マルウェア「フィンフィッシャー」作成企業、ドイツのジャーナリストへ脅迫状 ~ 奴らは「ストライサンド効果」を知らないのか(The Register)

  5. 「カードの不正使用を検知し凍結した」とする、MyJCB偽メール(フィッシング対策協議会)

    「カードの不正使用を検知し凍結した」とする、MyJCB偽メール(フィッシング対策協議会)

  6. 重要インフラ14分野による分野横断的演習を開催、約5,000名が参加(NISC)

    重要インフラ14分野による分野横断的演習を開催、約5,000名が参加(NISC)

  7. 「5pb. Records div2 official shop」へ不正アクセス、カード情報が流出(コムス)

    「5pb. Records div2 official shop」へ不正アクセス、カード情報が流出(コムス)

  8. マイクロソフトが月例セキュリティ情報を公開、悪用も確認(IPA、JPCERT/CC)

    マイクロソフトが月例セキュリティ情報を公開、悪用も確認(IPA、JPCERT/CC)

  9. Web上で行えるAndroidアプリの脆弱性診断サービス、LACへ譲渡(ラック)

    Web上で行えるAndroidアプリの脆弱性診断サービス、LACへ譲渡(ラック)

  10. 日米 ISAC間でサイバー脅威情報共有を強化(総務省)

    日米 ISAC間でサイバー脅威情報共有を強化(総務省)

ランキングをもっと見る