VDB-148618 · CVE-2020-0652 · GCVE-0-2020-0652

Microsoft Office 迄 2019 for Mac メモリ破損

CVSS 一時的なメタスコア	現在のエクスプロイト価格 (≈)	CTI注目指数
6.9	$0-$5k	0.00

要約情報

現在、Microsoft Office 迄 2019 for Macにて、重大と分類される脆弱性が確認されています。対象となるのは不明な関数です。引数の操作が、メモリ破損をもたらします。この脆弱性はCVE-2020-0652として知られています。攻撃はリモートで開始される場合があります。この問題の修正にはパッチの適用が推奨されます。

現在、Microsoft Office 迄 2019 for Macにて、重大と分類される脆弱性が確認されています。対象となるのは不明な関数です。引数の操作が、メモリ破損をもたらします。この脆弱性に対応するCWEの定義は CWE-119 です。この脆弱性は 2020年01月14日に「ウェブサイト」の Security Update Guideにて紹介されました。アドバイザリーは portal.msrc.microsoft.com から入手可能です。一般公開はベンダーとの協力で行われています。

この脆弱性はCVE-2020-0652として知られています。攻撃はリモートで開始される場合があります。技術的な情報は提供されていません。この脆弱性の一般的な利用度は平均を下回っています。今のところ、エクスプロイトの価格はおよそUSD $0-$5kと推定されます。本アドバイザリによると、次の通りです：

A remote code execution vulnerability exists in Microsoft Office software when the software fails to properly handle objects in memory. An attacker who successfully exploited the vulnerability could run arbitrary code in the context of the current user. If the current user is logged on with administrative user rights, an attacker could take control of the affected system. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights. Users whose accounts are configured to have fewer user rights on the system could be less impacted than users who operate with administrative user rights.

このエクスプロイトツールは未定義として宣言されています。 0-dayの際、アンダーグラウンド市場での想定価格は$5k-$25k前後でした。

この問題の修正にはパッチの適用が推奨されます。脆弱性の開示からすぐに後に、可能な緩和策が公表されました。