広く普及しているMicrosoft製品に、幾つかの重大な脆弱性が見つかった。攻撃者が悪用すると、システムを完全に制御して機密情報を漏えいさせる可能性がある。影響を受ける製品やサービスは何か。
Microsoftは2025年5月13日(米国時間)の「Patch Tuesday」で、同社製品に関する約70件の脆弱(ぜいじゃく)性を修正した。Patch Tuesdayは、同社が毎月第2火曜日(米国時間)に公開する更新プログラムだ。今回の更新には、まだパッチ(修正プログラム)が提供されていない「ゼロデイ脆弱性」が5件含まれている。ゼロデイ脆弱性が見つかった同社の製品やサービスとは。
今回修正対象になったゼロデイ脆弱性は以下の通りだ。
Microsoftによると、この5つの脆弱性の悪用は確認されていない。これらの脆弱性の共通脆弱性評価システム(CVSS:Common Vulnerability Scoring System)における評価は、いずれも「重要」だ。
セキュリティベンダーAction1の共同創業者兼プレジデントのマイク・ウォルターズ氏は、CLFSに関する2件の脆弱性について「最小限の権限で攻撃を実行できるので、特に危険だ」と指摘する。CLFSはサードパーティー製アプリケーションを含め、さまざまなシステムが使用する機能だ。同氏は、「攻撃者がCLFSの脆弱性を悪用すると、標的システムでマルウェアをインストールしたり、データを改ざんしたりできる」と説明する。CLFSを使用している組織は、迅速に脆弱性を修正する必要があるという。
セキュリティベンダーImmersive Labs脅威分析部門ディレクターのケブ・ブリーン氏は、「CVE-2025-30400を最優先で修正すべきだ」と述べる。同氏によると、攻撃者はこの脆弱性の悪用によってシステムを完全に制御可能な権限を獲得できる恐れがある。「そうなれば、機密情報の入手やセキュリティツールの無効化といった操作も可能になる」とブリーン氏は説明する。
Immersive Labs脅威分析担当のベン・ホプキンス氏はCVE-2025-30397について調査した。同氏によると、この脆弱性はMicrosoftのスクリプトエンジンが、メモリ内のオブジェクトを不適切に処理した場合に生じる。こうした処理によって予期しない挙動が発生し、攻撃者による任意コード実行(標的システムで任意のプログラムや命令を実行すること)や権限昇格を招く恐れがある。
CVE-2025-32709についてホプキンス氏は、「解放済みのメモリにアクセス可能な状態を悪用することで、攻撃者が不正なデータをメモリに注入し、プログラムの動作に影響を与えることができる」と説明する。その結果として、権限の昇格が可能になるという。
Microsoftは追加で、以下の2件のゼロデイ脆弱性も公開した。CVSS評価はいずれも「重要」だ。ただし本稿執筆時点では攻撃への悪用は確認されていない。
TechTarget.AI編集部は生成AIなどのサービスを利用し、米国Informa TechTargetの記事を翻訳して国内向けにお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
本記事は制作段階でChatGPT等の生成系AIサービスを利用していますが、文責は編集部に帰属します。
いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...