Microsoft Office Vulnerabilities Let Attackers Execute Remote Code
2025/06/11 cybersecuritynews — Microsoft Office で発見された、複数の重大な脆弱性を悪用する攻撃者は、影響を受けるシステム上で任意のコード実行の可能性を手にする。これらの脆弱性は、CVE-2025-47162/CVE-2025-47953/CVE-2025-47164/CVE-2025-47167 として追跡されており、CVSS スコアに関しては 8.4 と評価されている。その影響範囲は、Windows/macOS/Android プラットフォーム上の、多数の Office バージョンに及ぶという。
これらの脆弱性を発見したのは、セキュリティ研究者の 0x140ce である。一連の脆弱性は、ヒープバッファ・オーバーフロー/解放後メモリ使用 (use-after-free)/タイプ・コンフュージョン (type confusion) などの、メモリ管理の不備に起因するものである。
CVE-2025-47162:ヒープバッファ・オーバーフロー
この脆弱性は、Office にファイル解析ルーチンにおいて、メモリを割り当てる際の、不十分な境界チェックに起因する。過剰なデータ・ペイロードを取り込んだ、悪意のドキュメントを作成する攻撃者は、その処理時に、ヒープバッファ・オーバーフロー (CWE-122) を引き起こせる。
この攻撃者は、隣接するメモリ領域を上書きすることで、命令ポインタを制御し、ログイン中のユーザーと同じ権限で、任意のコード実行を可能にする。
CVSS ベクター文字列 CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H は、ローカル攻撃ベクター (AV:L)/低い攻撃複雑度 (AC:L)/ユーザー操作不要 (UI:N) を示している。悪意のファイルがダウンロード/プレビューされた後に、この脆弱性はローカルで悪用される形となる。
特に、武器化されたドキュメントを、プレビュー・ペインで表示するだけで、ユーザー操作なしにオーバーフローが発生し、また、ドキュメントを開いた際に、悪意のマクロにより攻撃が自動化される可能性もある。
CVE-2025-47953: 解放後メモリ使用
この脆弱性は、ファイル名およびリソース名の検証が不十分であることに起因し、解放後メモリ使用 (CWE-641:use-after-free) を発生させる。Office がメモリを早期に解放した後に、アクセスを試みる攻撃者は、ダングリング・ポインタの位置に悪意のコードを注入できる。
特別に作成されたファイル名により、不正なリソース解放を引き起こす、この脆弱性の CVSS スコアは 8.4 と評価されている。メモリ・レイアウトの精密な制御が必要であるため、この脆弱性の “悪用可能性は低い” と、Microsoft は指摘している。
なお、この脆弱性は Windows/macOS (Office LTSC 2021/2024)/Android に影響を及ぼすものであり、統一的なパッチ適用が必要となる。
CVE-2025-47164: 解放済みメモリの使用
この脆弱性は、Office がメモリを解放した後に、ポインタが無効化されないことに起因する。攻撃者は、解放済みメモリ (CWE-416) を悪意のデータで再割り当てし、任意のコードを実行可能となる。
CVSS の悪用可能性評価では、メモリの再利用パターンが予測可能であるため、”悪用の可能性は高い” とされている。2016 年以降の、すべての Office エディションが脆弱であることから、包括的なパッチ適用が求められる。
CVE-2025-47167: タイプ・コンフュージョン
この脆弱性は、Office がオブジェクト・タイプを誤って処理し、互換性のないリソース・タイプとして誤認することに起因する。不正なオブジェクトを取り込んだドキュメントを作成する攻撃者は、タイプ・コンフュージョン (CWE-843) によりメモリ破損を誘発し、コード実行を可能にする。
他の脆弱性と同様に、CVSS の機密性/完全性/可用性は、高いスコアを示している。悪用の手法としては、ドキュメント内への矛盾するタイプ・メタデータの埋め込みが挙げられる。
セキュリティ更新プログラムがリリース
Microsoft は 2025年6月10日に、Office 2016/Office 2019/Office LTSC 2021/Office LTSC 2024/Microsoft 365 Apps for Enterprise/Office for Android を含むすべての主要な Office バージョン向けに、セキュリティ更新プログラムをリリースしている。
この更新プログラムは、企業向けの Click-to-Run デプロイメント、および、スタンドアロン・インストール向けの更新パッケージなどの、さまざまな方法で提供されている。ただし、Microsoft 365 のクラウドベース更新について同社は、「可能な限り早急にリリースする」と述べており、顧客には CVE 情報の更新を通じて通知が行われるという。
影響を受けるのは 32/64 Bit 版であり、 Office 2016 16.0.5504.1000/Mac 16.98.25060824 などのビルド番号により、それぞれの更新プログラム・パッケージを識別できるという。
一連の脆弱性は、深刻度の評価が高く、悪用の可能性が高いとされているため、ユーザーに対して強く推奨されるのは、これらの更新プログラムを、速やかに適用することである。
普段の業務で使うソフトだけに、Office の深刻な脆弱性見つかると、ちょっとイヤな感じがしますね。ヒープバッファ・オーバーフローや use-after-free など、典型的なメモリ管理の落とし穴とのことです。ご利用のユーザーさんは、十分に ご注意ください。よろしければ、Office で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.