Critical Flaws in Microsoft Office Enable Remote Code Execution by Attackers
2025/09/10 gbhackers — Microsoft が 2025年9月9日の Patch Tuesday で公開したのは、Office スイートに存在する2件の深刻なセキュリティ脆弱性に関する情報である。これらの脆弱性を悪用する攻撃者は、影響を受けるシステム上で任意のコードを実行できる。脆弱性 CVE-2025-54910/CVE-2025-54906 が影響を及ぼす範囲は、Windows 版の Microsoft Office であり、攻撃に成功した攻撃者に、マシンの完全な制御を奪われる可能性がある。
脆弱性の概要
1つ目の脆弱性 CVE-2025-54910 は、Office レンダリング・エンジンにおけるヒープバッファ・オーバーフローに起因する。悪意のコンテンツを取り込んだ、細工されたドキュメントをユーザーに開かせることで、攻撃者はオーバーフローを引き起こす可能性を手にする。
この悪用が成功すると、カレント・ユーザーの権限でリモートコード実行が可能となり、プログラムのインストールやデータ削除にいたる恐れがある。Microsoft は、この脆弱性を Important と評価し、CVSS 3.1 ベース・スコア 8.4 を提示している。
| Vulnerability | CVE-2025-54910 | CVE-2025-54906 |
| Assigning CNA | Microsoft | Microsoft |
| Impact | Remote Code Execution | Remote Code Execution |
| Max Severity | Critical | Important |
| CVSS Scores | 8.4 / 7.3 | 7.8 / 6.8 |
2つ目の脆弱性 CVE-2025-54906 は、エンベッドされたオブジェクトを処理するコンポーネントに存在する、Use-After-Free の欠陥である。ただし、この攻撃の前提として、ユーザーに悪意のドキュメントを開かせ、Office が解放済みメモリを参照するよう仕向ける必要がある。それにより、ユーザー権限で任意のコードを実行できるようになる。
このリモート・コード実行も、バッファ・オーバーフローと同様に深刻な影響を及ぼす。Microsoft は、この脆弱性を Important と評価し、CVSS 3.1 ベース・スコア 7.8 を提示している。
2つの脆弱性に共通するのは、悪意の Office ファイルを、ユーザーに開かせる必要があることだ。追加権限や特別な設定は不要だが、悪意のファイル配布にはネットワーク・アクセスが利用される可能性がある。
攻撃者たちは、フィッシング・メールや侵害済み Web サイトを通じて、それらの悪意のファイルを配布する。それが実行されると、マルウェアのインストール/機密データ窃取/バックドア作成にいたる恐れがある。
緩和策と修正プログラムの適用
すでに Microsoft は、サポート対象の Windows 版 Office に対して、これらの脆弱性に対応するセキュリティ更新プログラムを公開している。
管理者およびユーザーにとって必要なことは、Windows Update または Microsoft Update カタログから、速やかに修正プログラムを適用することだ。なお、自動更新を有効化すれば、将来の修正が迅速に適用される。
脆弱性 CVE-2025-54910/CVE-2025-54906 は、システム全体の侵害につながる重大なリスクをもたらす。したがって、Microsoft のセキュリティ更新を迅速に適用し、有効な防御策を講じる必要がある。
Microsoft Office の2件の脆弱性が、9月の Patch Tuesday で修正されています。1つ目の脆弱性は、レンダリング・エンジンにおけるヒープバッファ・オーバーフローに起因し、細工されたドキュメントのオープンから、不正なコード実行へといたる恐れがあります。2つ目は、オブジェクト処理の不具合による Use-After-Free に起因し、解放済みのメモリを誤って参照するという問題が生じます。ご利用のチームは、ご注意ください。よろしければ、Microsoft Office で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.