Microsoft 資訊安全公告 MS15-081 - 重大

發行項
12/06/2019

Microsoft Office 中的弱點可能會允許遠端執行程式碼 (3080790)

發行日期：2015 年 8 月 11 日 | 更新日期：2015 年 10 月 13 日

版本： 3.0

提要

此安全性更新可解決 Microsoft Office 中的弱點。如果使用者開啟蓄意製作的 Microsoft Office 檔案，最嚴重的弱點可能會允許遠端執行程式碼。成功利用這些弱點的攻擊者，能以目前使用者的權限層級執行任意程式碼。系統上帳戶使用者權限較低的客戶，其受影響的程度比擁有系統管理權限的客戶要小。

如需詳細資訊，請參閱＜受影響的軟體和弱點嚴重性等級＞一節。

此安全性更新可解決這些弱點，方法為：

修正 Office 處理記憶體中檔案的方式
搭配 Internet Explorer 和 Microsoft Windows 更新，改善從 Internet Explorer 執行 Microsoft Office 程式的方式
修正 Office 在使用 Office 範本之前先行驗證的方式
修正 Office 處理整數界限檢查的方式

如需有關弱點的詳細資訊，請參閱＜弱點資訊＞一節。

如需有關此更新的詳細資訊，請參閱 Microsoft 知識庫文件編號 3080790。

受影響的軟體和弱點嚴重性等級

下列軟體版號或版本會受到影響。未列出的版號或版本不是超出支援週期就是不受影響。若要瞭解您的軟體版本的支援週期，請參閱 Microsoft 產品技術支援週期網站。

下列嚴重性等級是假設弱點可能造成的最嚴重影響而評定。在本安全性公告發行的 30 天內，如需弱點之易遭利用性與嚴重性等級和安全性影響之間對應關係的資訊，請參閱 8 月份公告摘要中的＜弱點索引＞。

Microsoft Office 軟體

依受影響軟體列出的弱點嚴重性等級和最大安全性影響
受影響的軟體	[Microsoft Office 記憶體損毀弱點 - CVE-2015-1642](https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2015-1642)	[不安全的命令列參數傳遞弱點 – CVE-2015-2423](https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2015-2423)	[Microsoft Office 遠端執行程式碼弱點 – CVE-2015-2466](https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2015-2466)	[Microsoft Office 記憶體損毀弱點 - CVE-2015-2467](https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2015-2467)	[Microsoft Office 記憶體損毀弱點 - CVE-2015-2468](https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2015-2468)	[Microsoft Office 記憶體損毀弱點 - CVE-2015-2469](https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2015-2469)	[Microsoft Office 整數反向溢位弱點 – CVE-2015-2470](https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2015-2470)	[Microsoft Office 記憶體損毀弱點 - CVE-2015-2477](https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2015-2477)	已取代更新\*
Microsoft Office 2007
[Microsoft Office 2007 Service Pack 3](https://www.microsoft.com/zh-tw/download/details.aspx?id=48473) (2687409)	重要遠端執行程式碼	不適用	不適用	不適用	不適用	不適用	不適用	不適用	[MS12-046](https://technet.microsoft.com/zh-tw/library/security/ms12-046) 中的 2596744
[Microsoft Office 2007 Service Pack 3](https://www.microsoft.com/zh-tw/download/details.aspx?id=48505) (3054888)	不適用	不適用	重大遠端執行程式碼	重要遠端執行程式碼	不適用	不適用	不適用	不適用	[MS15-046](https://technet.microsoft.com/zh-tw/library/security/ms15-046) 中的 2965282
[Microsoft Office 2007 Service Pack 3](https://www.microsoft.com/zh-tw/download/details.aspx?id=48495) (2596650)	不適用	不適用	重大遠端執行程式碼	不適用	不適用	不適用	不適用	不適用	無
[Microsoft Office 2007 Service Pack 3](https://www.microsoft.com/zh-tw/download/details.aspx?id=48491) (2837610)	不適用	不適用	不適用	不適用	不適用	不適用	重要遠端執行程式碼	重要遠端執行程式碼	[MS13-072](https://technet.microsoft.com/zh-tw/library/security/ms13-072) 中的 2597973
[Microsoft Excel 2007 Service Pack 3](https://www.microsoft.com/zh-tw/download/details.aspx?id=48471) (3054992)	不適用	重要資訊洩漏	不適用	不適用	不適用	不適用	不適用	不適用	[MS15-070](https://technet.microsoft.com/zh-tw/library/security/ms15-070) 中的 2965281
[Microsoft PowerPoint 2007 Service Pack 3](https://www.microsoft.com/zh-tw/download/details.aspx?id=48509) (3055051)	不適用	重要資訊洩漏	不適用	不適用	不適用	不適用	不適用	不適用	[MS15-070](https://technet.microsoft.com/zh-tw/library/security/ms15-070) 中的 2965283
[Microsoft Visio 2007 Service Pack 3](https://www.microsoft.com/zh-tw/download/details.aspx?id=48498) (2965280)	不適用	重要資訊洩漏	不適用	不適用	不適用	不適用	不適用	不適用	[MS13-044](https://technet.microsoft.com/zh-tw/library/security/ms13-044) 中的 2596595
[Microsoft Word 2007 Service Pack 3](https://www.microsoft.com/zh-tw/download/details.aspx?id=48493) (3055052)	不適用	重要資訊洩漏	不適用	不適用	重要遠端執行程式碼	重要遠端執行程式碼	不適用	不適用	[MS15-070](https://technet.microsoft.com/zh-tw/library/security/ms15-070) 中的 3054996
Microsoft Office 2010
[Microsoft Office 2010 Service Pack 2 (32 位元版本)](https://www.microsoft.com/zh-tw/download/details.aspx?id=48481) (2965310)	重要遠端執行程式碼	不適用	不適用	不適用	不適用	不適用	不適用	不適用	[MS12-046](https://technet.microsoft.com/zh-tw/library/security/ms12-046) 中的 2598243
[Microsoft Office 2010 Service Pack 2 (64 位元版本](https://www.microsoft.com/zh-tw/download/details.aspx?id=48507)) (2965310)	重要遠端執行程式碼	不適用	不適用	不適用	不適用	不適用	不適用	不適用	[MS12-046](https://technet.microsoft.com/zh-tw/library/security/ms12-046) 中的 2598243
[Microsoft Office 2010 Service Pack 2 (32 位元版本)](https://www.microsoft.com/zh-tw/download/details.aspx?id=48468) (3055037)	不適用	重要資訊洩漏	不適用	不適用	重要遠端執行程式碼	重要遠端執行程式碼	不適用	不適用	[MS15-070](https://technet.microsoft.com/zh-tw/library/security/ms15-070) 中的 3054971
[Microsoft Office 2010 Service Pack 2 (64 位元版本)](https://www.microsoft.com/zh-tw/download/details.aspx?id=48474) (3055037)	不適用	重要資訊洩漏	不適用	不適用	重要遠端執行程式碼	重要遠端執行程式碼	不適用	不適用	[MS15-070](https://technet.microsoft.com/zh-tw/library/security/ms15-070) 中的 3054971
[Microsoft Office 2010 Service Pack 2 (32 位元版本)](https://www.microsoft.com/zh-tw/download/details.aspx?id=48512) (2553313)	不適用	不適用	重大遠端執行程式碼	不適用	不適用	不適用	不適用	不適用	無
[Microsoft Office 2010 Service Pack 2 (64 位元版本)](https://www.microsoft.com/zh-tw/download/details.aspx?id=48510) (2553313)	不適用	不適用	重大遠端執行程式碼	不適用	不適用	不適用	不適用	不適用	無
[Microsoft Office 2010 Service Pack 2 (32 位元版本)](https://www.microsoft.com/zh-tw/download/details.aspx?id=48482) (2598244)	不適用	不適用	不適用	不適用	不適用	不適用	重要遠端執行程式碼	不適用	[MS11-089](https://technet.microsoft.com/zh-tw/library/security/ms11-088) 中的 2589320
[Microsoft Office 2010 Service Pack 2 (64 位元版本)](https://www.microsoft.com/zh-tw/download/details.aspx?id=48487) (2598244)	不適用	不適用	不適用	不適用	不適用	不適用	重要遠端執行程式碼	不適用	[MS11-089](https://technet.microsoft.com/zh-tw/library/security/ms11-088) 中的 2589320
[Microsoft Excel 2010 Service Pack 2 (32 位元版本)](https://www.microsoft.com/zh-tw/download/details.aspx?id=48501) (3055044)	不適用	重要資訊洩漏	不適用	不適用	不適用	不適用	不適用	不適用	[MS15-070](https://technet.microsoft.com/zh-tw/library/security/ms15-070) 中的 3054981
[Microsoft Excel 2010 Service Pack 2 (64 位元版本)](https://www.microsoft.com/zh-tw/download/details.aspx?id=48500) (3055044)	不適用	重要資訊洩漏	不適用	不適用	不適用	不適用	不適用	不適用	[MS15-070](https://technet.microsoft.com/zh-tw/library/security/ms15-070) 中的 3054981
[Microsoft PowerPoint 2010 Service Pack 2 (32 位元版本)](https://www.microsoft.com/zh-tw/download/details.aspx?id=48467) (3055033)	不適用	重要資訊洩漏	不適用	不適用	不適用	不適用	不適用	不適用	[MS15-070](https://technet.microsoft.com/zh-tw/library/security/ms15-070) 中的 3054963
[Microsoft PowerPoint 2010 Service Pack 2 (64 位元版本)](https://www.microsoft.com/zh-tw/download/details.aspx?id=48504) (3055033)	不適用	重要資訊洩漏	不適用	不適用	不適用	不適用	不適用	不適用	[MS15-070](https://technet.microsoft.com/zh-tw/library/security/ms15-070) 中的 3054963
[Microsoft Visio 2010 Service Pack 2 (32 位元版本)](https://www.microsoft.com/zh-tw/download/details.aspx?id=48470) (3054876)	不適用	重要資訊洩漏	不適用	不適用	不適用	不適用	不適用	不適用	[MS13-044](https://technet.microsoft.com/zh-tw/library/security/ms13-044) 中的 2810068
[Microsoft Visio 2010 Service Pack 2 (64 位元版本)](https://www.microsoft.com/zh-tw/download/details.aspx?id=48477) (3054876)	不適用	重要資訊洩漏	不適用	不適用	不適用	不適用	不適用	不適用	[MS13-044](https://technet.microsoft.com/zh-tw/library/security/ms13-044) 中的 2810068
[Microsoft Word 2010 Service Pack 2 (32 位元版本)](https://www.microsoft.com/zh-tw/download/details.aspx?id=48464) (3055039)	不適用	重要資訊洩漏	不適用	不適用	重要遠端執行程式碼	重要遠端執行程式碼	不適用	不適用	[MS15-070](https://technet.microsoft.com/zh-tw/library/security/ms15-070) 中的 3054973
[Microsoft Word 2010 Service Pack 2 (64 位元版本)](https://www.microsoft.com/zh-tw/download/details.aspx?id=48488) (3055039)	不適用	重要資訊洩漏	不適用	不適用	重要遠端執行程式碼	重要遠端執行程式碼	不適用	不適用	[MS15-070](https://technet.microsoft.com/zh-tw/library/security/ms15-070) 中的 3054973
Microsoft Office 2013
[Microsoft Office 2013 Service Pack 1 (32 位元版本)](https://www.microsoft.com/zh-tw/download/details.aspx?id=48483) (3039734)	重要遠端執行程式碼	不適用	不適用	不適用	不適用	不適用	不適用	不適用	無
[Microsoft Office 2013 Service Pack 1 (64 位元版本)](https://www.microsoft.com/zh-tw/download/details.aspx?id=48492) (3039734)	重要遠端執行程式碼	不適用	不適用	不適用	不適用	不適用	不適用	不適用	無
[Microsoft Office 2013 Service Pack 1 (32 位元版本)](https://www.microsoft.com/zh-tw/download/details.aspx?id=48502) (3039798)	不適用	不適用	重大遠端執行程式碼	不適用	不適用	不適用	不適用	不適用	無
[Microsoft Office 2013 Service Pack 1 (64 位元版本)](https://www.microsoft.com/zh-tw/download/details.aspx?id=48499) (3039798)	不適用	不適用	重大遠端執行程式碼	不適用	不適用	不適用	不適用	不適用	無
[Microsoft Office 2013 Service Pack 1 (32 位元版本)](https://www.microsoft.com/zh-tw/download/details.aspx?id=48463) (3054816)	不適用	不適用	不適用	不適用	不適用	不適用	重要遠端執行程式碼	不適用	無
[Microsoft Office 2013 Service Pack 1 (64 位元版本)](https://www.microsoft.com/zh-tw/download/details.aspx?id=48472) (3054816)	不適用	不適用	不適用	不適用	不適用	不適用	重要遠端執行程式碼	不適用	無
[Microsoft Excel 2013 Service Pack 1 (32 位元版本)](https://www.microsoft.com/zh-tw/download/details.aspx?id=48485) (3054991)	不適用	重要資訊洩漏	不適用	不適用	不適用	不適用	不適用	不適用	[MS15-070](https://technet.microsoft.com/zh-tw/library/security/ms15-070) 中的 3054949
[Microsoft Excel 2013 Service Pack 1 (64 位元版本)](https://www.microsoft.com/zh-tw/download/details.aspx?id=48476) (3054991)	不適用	重要資訊洩漏	不適用	不適用	不適用	不適用	不適用	不適用	[MS15-070](https://technet.microsoft.com/zh-tw/library/security/ms15-070) 中的 3054949
[Microsoft PowerPoint 2013 Service Pack 1 (32 位元版本)](https://www.microsoft.com/zh-tw/download/details.aspx?id=48496) (3055029)	不適用	重要資訊洩漏	不適用	不適用	不適用	不適用	不適用	不適用	[MS15-070](https://technet.microsoft.com/zh-tw/library/security/ms15-070) 中的 3054999
[Microsoft PowerPoint 2013 Service Pack 1 (64 位元版本)](https://www.microsoft.com/zh-tw/download/details.aspx?id=48503) (3055029)	不適用	重要資訊洩漏	不適用	不適用	不適用	不適用	不適用	不適用	[MS15-070](https://technet.microsoft.com/zh-tw/library/security/ms15-070) 中的 3054999
[Microsoft Visio 2013 Service Pack 1 (32 位元版本)](https://www.microsoft.com/zh-tw/download/details.aspx?id=48475) (3054929)	不適用	重要資訊洩漏	不適用	不適用	不適用	不適用	不適用	不適用	無
[Microsoft Visio 2013 Service Pack 1 (64 位元版本)](https://www.microsoft.com/zh-tw/download/details.aspx?id=48462) (3054929)	不適用	重要資訊洩漏	不適用	不適用	不適用	不適用	不適用	不適用	無
[Microsoft Word 2013 Service Pack 1 (32 位元版本)](https://www.microsoft.com/zh-tw/download/details.aspx?id=48511) (3055030)	不適用	重要資訊洩漏	不適用	不適用	重要遠端執行程式碼	不適用	不適用	不適用	[MS15-070](https://technet.microsoft.com/zh-tw/library/security/ms15-070) 中的 3054990
[Microsoft Word 2013 Service Pack 1 (64 位元版本)](https://www.microsoft.com/zh-tw/download/details.aspx?id=48479) (3055030)	不適用	重要資訊洩漏	不適用	不適用	重要遠端執行程式碼	不適用	不適用	不適用	[MS15-070](https://technet.microsoft.com/zh-tw/library/security/ms15-070) 中的 3054990
Microsoft Office 2013 RT
Microsoft Office 2013 RT Service Pack 1 (3039798)^[1]	不適用	不適用	重大遠端執行程式碼	不適用	不適用	不適用	不適用	不適用	無
Microsoft Office 2013 RT Service Pack 1 (3054816)^[2]	不適用	不適用	不適用	不適用	不適用	不適用	重要遠端執行程式碼	不適用	無
Microsoft Excel 2013 RT Service Pack 1 (3054991)^[2]	不適用	重要資訊洩漏	不適用	不適用	不適用	不適用	不適用	不適用	[MS15-070](https://technet.microsoft.com/zh-tw/library/security/ms15-070) 中的 3054949
Microsoft PowerPoint 2013 RT Service Pack 1 (3055029)^[2]	不適用	重要資訊洩漏	不適用	不適用	不適用	不適用	不適用	不適用	無
Microsoft Visio 2013 RT Service Pack 1 (64 位元版本) (3054929)^[2]	不適用	重要資訊洩漏	不適用	不適用	不適用	不適用	不適用	不適用	無
Microsoft Word 2013 RT Service Pack 1 (3055030)^[2]	不適用	重要資訊洩漏	不適用	不適用	重要遠端執行程式碼	不適用	不適用	不適用	[MS15-070](https://technet.microsoft.com/zh-tw/library/security/ms15-070) 中的 3054990
Microsoft Office 2016
[Microsoft Office 2016 (32 位元版本)](https://www.microsoft.com/download/details.aspx?familyid=196237aa-8ae4-4afc-83bf-7ce843c46b0c) (3085538)	不適用	不適用	重大遠端執行程式碼	不適用	不適用	不適用	不適用	不適用	無
[Microsoft Office 2016 (64 位元版本)](https://www.microsoft.com/download/details.aspx?familyid=78a17a30-ebde-40d3-9969-832d56e059e6) (3085538)	不適用	不適用	重大遠端執行程式碼	不適用	不適用	不適用	不適用	不適用	無
[Microsoft Visio 2016 (32 位元版本)](https://www.microsoft.com/download/details.aspx?familyid=47bea172-8e24-4ed0-b7df-ffdf06806c56) (2920708)	不適用	重要資訊洩漏	不適用	不適用	不適用	不適用	不適用	不適用	無
[Microsoft Visio 2016 (64 位元版本)](https://www.microsoft.com/download/details.aspx?familyid=bf2efdd6-bacc-4dea-ae9d-a56dfae7c906) (2920708)	不適用	重要資訊洩漏	不適用	不適用	不適用	不適用	不適用	不適用	無
[Microsoft Word 2016 (32 位元版本)](https://www.microsoft.com/download/details.aspx?familyid=73898a9f-ce69-4057-84e3-0f087085c61e) (2920691)	不適用	重要資訊洩漏	不適用	不適用	不適用	不適用	不適用	不適用	無
[Microsoft Word 2016 (64 位元版本)](https://www.microsoft.com/download/details.aspx?familyid=4d1fb108-d9f1-451f-8559-8bbb6d88efb0) (2920691)	不適用	重要資訊洩漏	不適用	不適用	不適用	不適用	不適用	不適用	無
Microsoft Office for Mac 2011
[Microsoft Office for Mac 2011](https://support.microsoft.com/zh-tw/kb/3081349) (3081349)	不適用	不適用	不適用	不適用	重要遠端執行程式碼	重要遠端執行程式碼	重要遠端執行程式碼	重要遠端執行程式碼	[MS15-070](https://technet.microsoft.com/zh-tw/library/security/ms15-070) 中的 3073865
Microsoft Office for Mac 2016
[Microsoft Office for Mac 2016](https://support.microsoft.com/zh-tw/kb/3082420) (3082420)	不適用	不適用	不適用	不適用	重要遠端執行程式碼	不適用	不適用	重要遠端執行程式碼	無
其他 Office 軟體
[Microsoft Office 相容性套件 Service Pack 3](https://www.microsoft.com/zh-tw/download/details.aspx?id=48490) (2986254)	不適用	不適用	不適用	不適用	重要遠端執行程式碼	不適用	不適用	不適用	[MS15-033](https://technet.microsoft.com/zh-tw/library/security/ms15-033) 中的 2965210
[Microsoft Word Viewer](https://www.microsoft.com/zh-tw/download/details.aspx?id=48484) (3055053)	不適用	不適用	不適用	不適用	重要遠端執行程式碼	不適用	不適用	不適用	[MS15-070](https://technet.microsoft.com/zh-tw/library/security/ms15-070) 中的 3054958
[Microsoft Word Viewer](https://www.microsoft.com/zh-tw/download/details.aspx?id=48508) (3055054)	不適用	不適用	不適用	不適用	不適用	不適用	重要遠端執行程式碼	重要遠端執行程式碼	無

^[1]從 2015 年 9 月 2 日起，此更新僅透過 [Windows Update](https://update.microsoft.com/microsoftupdate/v6/vistadefault.aspx?ln=zh-tw) 提供。

^[2]更新是透過 Windows Update 提供。

* [已取代更新] 資料行僅顯示被取代更新鏈結中的最新更新。如需完整的已取代更新清單，請前往 Microsoft Update Catalog (英文)，搜尋更新知識庫文章編號，然後檢視更新詳細資料 (已取代更新資訊位於 [套件詳細資料] 索引標籤)。

Microsoft Office Services 和 Web Apps

依受影響軟體列出的弱點嚴重性等級和最大安全性影響
受影響的軟體	[Microsoft Office 記憶體損毀弱點 - CVE-2015-1642](https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2015-1642)	[不安全的命令列參數傳遞弱點 – CVE-2015-2423](https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2015-2423)	[Microsoft Office 遠端執行程式碼弱點 – CVE-2015-2466](https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2015-2466)	[Microsoft Office 記憶體損毀弱點 - CVE-2015-2467](https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2015-2467)	[Microsoft Office 記憶體損毀弱點 - CVE-2015-2468](https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2015-2468)	[Microsoft Office 記憶體損毀弱點 - CVE-2015-2469](https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2015-2469)	[Microsoft Office 整數反向溢位弱點 – CVE-2015-2470](https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2015-2470)	[Microsoft Office 記憶體損毀弱點 - CVE-2015-2477](https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2015-2477)	已取代更新\*
Microsoft SharePoint Server 2010
[在 Microsoft SharePoint Server 2010 Service Pack 2 上的 Word Automation Services](https://www.microsoft.com/zh-tw/download/details.aspx?id=48497) (3054960)	不適用	不適用	不適用	不適用	重要遠端執行程式碼	不適用	不適用	不適用	[MS15-046](https://technet.microsoft.com/zh-tw/library/security/ms15-046) 中的 3054833
Microsoft SharePoint Server 2013
[在 Microsoft SharePoint Server 2013 Service Pack 1 上的 Word Automation Services](https://www.microsoft.com/zh-tw/download/details.aspx?id=48466) (3054858)	不適用	不適用	不適用	不適用	重要遠端執行程式碼	不適用	不適用	不適用	[MS15-046](https://technet.microsoft.com/zh-tw/library/security/ms15-046) 中的 3023055
Microsoft Office Web Apps 2010
[Microsoft Word Web Apps 2010 Service Pack 2](https://www.microsoft.com/zh-tw/download/details.aspx?id=48480) (3054974)	不適用	不適用	不適用	不適用	重要遠端執行程式碼	不適用	不適用	不適用	[MS15-046](https://technet.microsoft.com/zh-tw/library/security/ms15-046) 中的 3054843
Microsoft Office Web Apps 2013
[Microsoft Office Web Apps Server 2013 Service Pack 1](https://www.microsoft.com/zh-tw/download/details.aspx?id=48494) (3055003)	不適用	不適用	不適用	不適用	重要遠端執行程式碼	不適用	不適用	不適用	[MS15-046](https://technet.microsoft.com/zh-tw/library/security/ms15-046) 中的 3039748

\* \[已取代更新\] 資料行僅顯示被取代更新鏈結中的最新更新。如需完整的已取代更新清單，請前往 [Microsoft Update Catalog](https://catalog.update.microsoft.com/v7/site/home.aspx) (英文)，搜尋更新知識庫文章編號，然後檢視更新詳細資料 (已取代更新資訊位於 **\[套件詳細資料\]** 索引標籤)。

更新常見問題集

8 月發行的其他公告也有本公告論述之 CVE-2015-2423 的討論。我需要安裝多個更新才能預防此弱點嗎？
是的。若要避免受 CVE-2015-2423 的影響，客戶必須針對受影響之軟體套用本公告提供的所有更新，以及 MS15-079 提供的 Internet Explorer 更新。同樣地，執行受影響版本之 Microsoft Windows 的客戶也必須安裝 MS15-088 所提供的適用更新。未針對受影響軟體安裝所有更新的客戶將無法徹底避免受到此弱點的影響。

MS15-080、MS15-081 及 MS15-084 都能解決 Microsoft Office 中的弱點。這三個公告中的安全性更新是否相關？
不相關。MS15-080、MS15-081 及 MS15-084 中的安全性更新無關。客戶應針對其系統上已安裝的軟體，安裝這兩個公告中的更新。

此更新是否包含功能上的任何其他有關資訊安全的變更？
是的。除了本公告所列出的弱點變更外，此更新還包含若干深度防禦更新以協助 Microsoft Office 變得更安全。

我有安裝 Microsoft Word 2010。為什麼我沒有收到 3055037 更新？
3055037 更新只適用於執行 Microsoft Office 2010 特定組態的系統。部分組態並不會收到此更新。

部分受影響軟體有多個更新套件。我需要安裝「受影響的軟體」表中列出的更新的軟體嗎?
可以。客戶應安裝針對其系統上之軟體所提供的所有更新。

我使用「受影響的軟體」表和「弱點嚴重性等級」表中未明確列出為受影響的軟體，但卻收到這項更新。為什麼提供我這項更新？
此更新可解決多項 Microsoft Office 產品 (或多個相同 Microsoft Office 產品版本) 之間共用元件中受影響的程式碼，凡是含有易受影響之元件的產品或版本，均適用這項更新。

例如，某項更新套用至 Microsoft Office 2007 的各項產品時，在「受影響的軟體」表中只會明確列出 Microsoft Office 2007。然而這項更新可以套用至 Microsoft Word 2007、Microsoft Excel 2007、Microsoft Visio 2007、Microsoft 相容性套件、Microsoft Excel Viewer 或「受影響的軟體」表中其他未明確列出的 Microsoft Office 2007 產品。

例如，某項更新套用至 Microsoft Office 2010 的各項產品時，在「受影響的軟體」表中只會明確列出 Microsoft Office 2010。然而這項更新可以套用至 Microsoft Word 2010、Microsoft Excel 2010、Microsoft Visio 2010、Microsoft Visio Viewer 或「受影響的軟體」表中其他未明確列出的 Microsoft Office 2010 產品。

例如，某項更新套用至 Microsoft Office 2013 的各項產品時，在「受影響的軟體」表中只會明確列出 Microsoft Office 2013。然而，該更新可適用於 Microsoft Word 2013、Microsoft Excel 2013、Microsoft Visio 2013 或「受影響的軟體」表中未明確列出的任何其他 Microsoft Office 2013 產品。

弱點資訊

多個 Microsoft Office 記憶體損毀弱點

當 Office 軟體無法正確處理記憶體中的物件時，Microsoft Office 軟體即存在遠端執行程式碼弱點。成功利用此弱點的攻擊者可使用蓄意製作的檔案，在目前使用者的資訊安全內容中執行動作。接著，舉例來說，檔案可能會冒充登入使用者並以目前使用者的相同權限來採取動作。使用者必須以受影響的 Microsoft Office 軟體版本開啟蓄意製作的檔案，攻擊者才有機會利用此弱點。

在電子郵件攻擊案例中，攻擊者可能會傳送蓄意製作的檔案給使用者，然後引誘使用者開啟該檔案，來利用這些弱點。在網頁式攻擊的案例中，攻擊者可架設一個網站 (或利用會接受或裝載使用者所提供內容的被駭網站)，並在其中包含用來利用這些弱點的蓄意製作檔案。攻擊者並不能強迫使用者造訪網站，而是，攻擊者必須引誘使用者按一下連結，一般是藉助電子郵件的附件或即時訊息，接著再引誘他們開啟蓄意製作的檔案。

此安全性更新可修正 Microsoft Office 處理記憶體中檔案的方式，進而解決這些弱點。

下表包含「一般性弱點」清單中每個弱點的標準項目連結：

弱點標題	CVE 編號	已公開揭露	是否遭到利用
Microsoft Office 記憶體損毀弱點	CVE-2015-1642	無	是
Microsoft Office 記憶體損毀弱點	CVE-2015-2467	無	無
Microsoft Office 記憶體損毀弱點	CVE-2015-2468	無	無
Microsoft Office 記憶體損毀弱點	CVE-2015-2469	無	無
Microsoft Office 記憶體損毀弱點	CVE-2015-2477	無	無

### 緩和因素 Microsoft 尚未找到這些弱點的任何[緩和因素](https://technet.microsoft.com/zh-tw/library/security/dn848375.aspx)。 ### 因應措施 Microsoft 尚未找到這些弱點的任何[因應措施](https://technet.microsoft.com/zh-tw/library/security/dn848375.aspx)。不安全的命令列參數傳遞弱點 – CVE-2015-2423 ------------------------------------------ 當在加強受保護模式 (EPM) 下執行的 Internet Explorer 可存取中度整合層級的檔案時，Microsoft Windows、Internet Explorer 及 Microsoft Office 會出現資訊洩露弱點。若要利用這項弱點，攻擊者必須先運用其他弱點並在採用 EPM 的 Internet Explorer 中執行程式碼，然後使用不安全的命令列參數執行 Excel、記事本、PowerPoint、Visio 或 Word。此更新能改善從 Internet Explorer 執行記事本和 Microsoft Office 程式的方式，因而消除了這項弱點。 **重要** 若要避免受此弱點的影響，客戶必須套用本公告所提供的更新，以及 [MS15-079](https://technet.microsoft.com/zh-tw/library/security/ms15-079) 所提供的 Internet Explorer 更新。同樣地，執行受影響版本之 Microsoft Windows 的客戶也必須安裝 [MS15-088](https://technet.microsoft.com/zh-tw/library/security/ms15-079) 所提供的適用更新。此弱點已經公開揭發。這項弱點已被指派一般性弱點編號 [CVE-2015-2423](https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2015-2423)。本公告初次發行時，Microsoft 尚未接到任何有關此問題已公開用來攻擊客戶的消息。 ### 緩和因素 Microsoft 尚未找到此項弱點的任何[緩和因素](https://technet.microsoft.com/zh-tw/library/security/dn848375.aspx)。 ### 因應措施下列[因應措施](https://technet.microsoft.com/zh-tw/library/security/dn848375.aspx)可能對您的狀況有所助益： - **移除 Word、Excel、PowerPoint 和 Visio 的 IE 的提高權限原則** **警告：**如果使用「登錄編輯程式」的方式錯誤，可能造成嚴重問題，以致於您必須重新安裝作業系統。Microsoft 不保證可以解決您不當使用「登錄編輯程式」所導致的問題。請自行承擔使用 \[登錄編輯程式\] 的風險。 1. 按一下 **\[開始\]**，按一下 **\[執行\]**，在 **\[開啟\]** 方塊中輸入 **Regedit**，然後按一下 **\[確定\]**。 2. 瀏覽至以下登錄位置： ``` HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy ``` 3. 針對以下每個子機碼執行後續步驟： {000209FF-0000-0000-C000-000000000046} {2BBE903C-2776-4574-9855-EC1597ABE3D6} {63F463ED-322A-4DE8-8E6F-65DD293F7461} {FC88B53C-9B2A-1A25-5867-C8612E79DBF6} 1. 選取子機碼。 2. 按一下 **\[檔案\]** 功能表，然後按一下 **\[匯出\]**。 3. 在 **\[匯出登錄檔案\]** 對話方塊中輸入 <**唯一的檔案名稱>**，然後按一下 **\[儲存\]**。 **注意：** 依預設，這個動作會在 \[我的文件\] 資料夾中建立這個登錄機碼的備份。 4. 按一下 \[檔案\] 功能表，然後選取 **\[刪除\]**。 5. 按一下 **\[是\]**。 6. 將所有使用者登出再登入，或隨後重新啟動電腦。 **如何復原因應措施** 1. 按一下 **\[開始\]**，按一下 **\[執行\]**，在 **\[開啟\]** 方塊中輸入 **Regedit**，然後按一下 **\[確定\]**。 2. 瀏覽至以下登錄位置： ``` HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy ``` 3. 分別針對這四個 .reg 檔案執行下列步驟： 1. 按一下 \[檔案\] 功能表，然後選取 **\[匯入\]**。 2. 在 \[匯入登錄檔案\] 對話方塊中選取適當檔案，然後按一下 **\[開啟\]**。 3. 退出登錄編輯器。 4. 將電腦重新開機。 Microsoft Office 遠端執行程式碼弱點 – CVE-2015-2466 --------------------------------------------------- 當 Office 軟體無法適當驗證範本時，Microsoft Office 軟體即存在遠端執行程式碼弱點。成功利用此弱點的攻擊者，能以目前使用者的權限層級執行任意程式碼。使用者必須以受影響的 Microsoft Office 軟體版本開啟蓄意製作的範本檔案，攻擊者才有機會利用此弱點。成功利用此弱點的攻擊者可以取得與目前使用者相同的使用者權限。如果目前使用者以系統管理的使用者權限登入，則攻擊者即可取得受影響系統的完整控制權。攻擊者接下來將能安裝程式，檢視、變更或刪除資料，或建立具有完整使用者權限的新帳戶。系統上帳戶使用者權限較低的使用者，其受影響的程度比擁有系統管理權限的使用者要小。在電子郵件攻擊案例中，攻擊者可能會傳送蓄意製作的檔案給使用者，然後引誘使用者開啟該檔案，來利用此弱點。在網頁式攻擊的案例中，攻擊者可架設一個網站或檔案共用 (或利用會接受或裝載使用者所提供內容的被駭網站)，並在其中包含用來利用此弱點的蓄意製作檔案。攻擊者無法強制使用者造訪網站或檔案共用。而是，攻擊者必須引誘使用者按一下連結，一般是藉助電子郵件的附件或即時訊息，接著再引誘他們開啟蓄意製作的檔案。另外，攻擊者也可以發起「攔截式」攻擊 (攔截來源和目的地之間的流量)，然後再修改範本內容以包含惡意程式碼。此安全性更新可修正 Office 在使用 Office 範本之前先行驗證的方式，因而消除了這項弱點。 Microsoft 是經由協同合作的來源接獲有關此弱點的訊息。本資訊安全公告發行時，Microsoft 尚未接到任何有關本弱點已公開用來攻擊客戶的消息。 ### 緩和因素 Microsoft 尚未找到此項弱點的任何[緩和因素](https://technet.microsoft.com/zh-tw/library/security/dn848375.aspx)。 ### 因應措施 Microsoft 尚未找到此項弱點的任何[因應措施](https://technet.microsoft.com/zh-tw/library/security/dn848375.aspx)。 Microsoft Office 整數反向溢位弱點 – CVE-2015-2470 ------------------------------------------------- 當 Office 將整數值減少為比預期之最小值還小的值時，就會存在執行遠端程式碼弱點。使用者必須以受影響的 Microsoft Office 軟體版本開啟蓄意製作的 Office 檔案，攻擊者才有機會利用此弱點。成功利用此弱點的攻擊者可以取得與目前使用者相同的使用者權限。如果目前使用者以系統管理的使用者權限登入，則攻擊者即可取得受影響系統的完整控制權。攻擊者接下來將能安裝程式，檢視、變更或刪除資料，或建立具有完整使用者權限的新帳戶。系統上帳戶使用者權限較低的使用者，其受影響的程度比擁有系統管理權限的使用者要小。在電子郵件攻擊案例中，攻擊者可能會傳送蓄意製作的檔案給使用者，然後引誘使用者開啟該檔案，來利用此弱點。在網頁式攻擊的案例中，攻擊者可架設一個網站 (或利用會接受或裝載使用者所提供內容的被駭網站)，並在其中包含用來利用此弱點的蓄意製作檔案。攻擊者並不能強迫使用者造訪網站，而是，攻擊者必須引誘使用者按一下連結，一般是藉助電子郵件的附件或即時訊息，接著再引誘他們開啟蓄意製作的檔案。此安全性更新可修正 Office 處理整數界限檢查的方式，進而解決此弱點。 Microsoft 是經由協同合作的來源接獲有關此弱點的訊息。本資訊安全公告發行時，Microsoft 尚未接到任何有關本弱點已公開用來攻擊客戶的消息。 ### 緩和因素 Microsoft 尚未找到此項弱點的任何[緩和因素](https://technet.microsoft.com/zh-tw/library/security/dn848375.aspx)。 ### 因應措施 Microsoft 尚未找到此項弱點的任何[因應措施](https://technet.microsoft.com/zh-tw/library/security/dn848375.aspx)。資訊安全更新部署 ---------------- 如需安全性更新部署資訊，請在[這裡](#kbarticle)參閱＜提要＞中的 Microsoft 知識庫文章。感謝 ---- Microsoft 了解資訊安全業界所做的努力，其盡責地透露弱點來協助我們保護客戶。請參閱[致謝](https://technet.microsoft.com/zh-tw/library/security/dn903755.aspx) (英文) 以取得詳細資訊。免責聲明 -------- Microsoft 知識庫 (Microsoft Knowledge Base) 中的資訊係以其「現狀」提供，並不提供任何形式之擔保。Microsoft 不做任何明示或默示的責任擔保，包括適售性以及適合某特定用途之擔保責任。無論任何情況下的損害，Microsoft Corporation 及其供應商皆不負任何法律責任，包括直接、間接、偶發、衍生性、所失業務利益或特殊損害。即使 Microsoft Corporation 及其供應商已被告知此類損害的可能性亦不負任何責任。某些地區不允許排除及限制衍生性或附隨損害賠償責任，因此前述限制不適用於這些地區。版本 ---- - V1.0 (2015 年 8 月 11 日)：公告發行。 - V2.0 (2015 年 9 月 2 日)：修訂公告，以宣布 Microsoft Office 2013 RT Service Pack 1 的更新 3039798 可透過 [Windows Update](https://update.microsoft.com/microsoftupdate/v6/vistadefault.aspx?ln=zh-tw) 提供。 - V3.0 (2015 年 10 月 13 日)：修訂公告，宣佈 Microsoft Office 2016、Microsoft Visio 2016 和 Microsoft Word 2016 的更新套件已可使用。執行 Microsoft Office 2016、Microsoft Visio 2016 或 Microsoft Word 2016 的客戶應套用適用的更新，以防止受到本公告討論的弱點影響。大部分客戶都已啟用自動更新，不必採取任何行動，因為系統會自動下載和安裝更新。 *頁面產生時間：07.10.15 上午 11:03:00-07:00。*