Microsoft Office の脆弱性 CVE-2025-53731/53740/53730 が FIX:メモリ解放後使用によるRCE の可能性

Microsoft Office Vulnerabilities Allow Attackers to Execute Remote Code

2025/08/13 gbhackers — Microsoft が公開したのは、Office Suite に存在する、3件の深刻なセキュリティ脆弱性に関する情報である。これらの脆弱性を悪用する攻撃者は、影響を受けるシステム上で悪意のリモート・コード実行の可能性を手にする。これらの脆弱性 CVE-2025-53731/CVE-2025-53740/CVE-2025-53730 は、2025年8月12日の Patch Tuesday で公開されたものであり、世界中の組織/個人ユーザーに深刻なセキュリティリスクをもたらすものだ。一連の脆弱性は、メモリ解放後使用 (use-after-free) による、メモリ破損の問題に起因し、昇格された権限での不正なコード実行にいたる恐れがある。

発見された深刻な脆弱性

3件の脆弱性の中で最も深刻な CVE-2025-53731CVE-2025-53740 は、Microsoft Office のコア・コンポーネントに影響を及ぼすものであり、その深刻度は Critical と評価されている。

これらの脆弱性を悪用する攻撃者は、メモリ解放後使用 (use-after-free) によるメモリ破損の欠陥を突くことが可能となる。この欠陥は、プログラムが解放した後のメモリを使用し続けることで発生する、一般的なセキュリティ上の弱点である。

CVE IDComponentSeverityCVSS ScoreUser InteractionImpact
CVE-2025-53731Microsoft OfficeCritical8.4 / 7.3None RequiredRemote Code Execution
CVE-2025-53740Microsoft OfficeCritical8.4 / 7.3None RequiredRemote Code Execution
CVE-2025-53730Microsoft Office VisioImportant7.8 / 6.8RequiredRemote Code Execution

これらの脆弱性を悪用する攻撃者は、システム・メモリを操作し、任意のコード実行の機会を得るため、きわめて危険が生じる。

1つ目の脆弱性 CVE-2025-53731 (CVSS:8.4) の悪用には、ローカル・アクセスは必要だがユーザー・インタラクションは不要である。そのため、エンタープライズ環境にとって影響が懸念される。この脆弱性を悪用する攻撃者により、標的システム上における機密性/整合性/可用性が大きく損なわれる可能性が生じる。2つ目の脆弱性 CVE-2025-53740 (CVSS:8.4) も、ユーザー・インタラクションは不要であり、深刻度は Critical である。

3つ目の脆弱性である CVE-2025-53730 は、Microsoft Office Visio に影響を及ぼすものであり、深刻度は Important と評価されている。最初の2つの脆弱性と比べると深刻度は低いが、ビジネス・クリティカルな図やフローチャートの作成に Visio を多用する組織にとっては、この脆弱性は大きなリスクとなる。

ーーー

一連の脆弱性が浮き彫りにするのは、ユーザー組織がセキュアなコンピューティング環境を維持する上で直面する、継続的な課題の存在である。

メモリ使用後の解放 (use-after-free) の脆弱性は、最新のセキュリティ・メカニズムを回避し、標的のシステム上での確度の高いコード実行で悪用される可能性があるため、特に懸念される問題となる。

セキュリティ研究者たちが強調するのは、これらの脆弱性が脅威アクターにより悪用され、マルウェアの拡散/機密情報の窃取に加えて、侵害されたネットワークへの永続的なアクセスが確立される可能性である。

脆弱性 CVE-2025-53731/CVE-2025-53740 の攻撃ベクターであるローカル要件が示唆するのは、フィッシングやソーシャル・エンジニアリングを用いる攻撃者が、標的システムへの初期アクセスを必要とする点である。ユーザー組織にとって必要なことは、これらの脆弱性に対する修正プログラムを速やかに適用することだ。

Office Suite に、メモリを解放した後に再利用してしまう use-after-free に起因する脆弱性が発生しました。この問題により、攻撃者によるメモリを操作や任意のコード実行にいたる恐れが生じます。 Office のコア部分に影響する、CVE-2025-53731/ CVE-2025-53740 を悪用する攻撃者は、ユーザーの操作を必要とせずに攻撃が可能であると、この記事は指摘しています。ご利用のチームは、ご注意ください。よろしければ、Microsoft Office で検索も、ご参照ください。