セキュリティ

SECURITY

公開：2025-01-22

【CVE-2025-21360】Microsoft AutoUpdate for Macに権限昇格の脆弱性、深刻度7.8でアップデートの適用が必須に

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• Microsoft AutoUpdate for Macに権限昇格の脆弱性
• CVE-2025-21360として識別された重大な脆弱性
• 影響を受けるバージョンは4.76未満

Microsoft AutoUpdate for Macの権限昇格の脆弱性

Microsoftは2025年1月14日に、Microsoft AutoUpdate (MAU) for Macにおける権限昇格の脆弱性【CVE-2025-21360】を公開した。この脆弱性はCVSS v3.1で深刻度が7.8（High）と評価されており、適切な権限管理が行われていないことに起因する問題である。^[1]

この脆弱性は不適切な権限管理（CWE-269）に分類され、攻撃者がローカルから攻撃を実行する可能性がある。攻撃の成功には低い権限が必要とされるが、ユーザーの操作は不要とされており、攻撃が成功した場合、機密性・完全性・可用性のすべてに高いレベルの影響が及ぶ可能性がある。

影響を受けるのはMicrosoft AutoUpdate for Mac バージョン4.76未満のすべてのバージョンである。Microsoftは影響を受けるユーザーに対して、最新バージョンへのアップデートを推奨している。この脆弱性の悪用可能性は確認されていないものの、早急な対応が求められる。

Microsoft AutoUpdate for Macの脆弱性まとめ

権限昇格について

権限昇格とは、システム上で通常よりも高い権限を不正に取得することを指す脆弱性の一種である。主な特徴として、以下のような点が挙げられる。

• 通常のユーザー権限から管理者権限への昇格が可能
• システムの重要な機能やデータへの不正アクセスが可能
• マルウェアの実行やシステムの改ざんなどの攻撃に悪用される可能性

Microsoft AutoUpdate for Macにおける権限昇格の脆弱性は、CVSSスコア7.8と高い深刻度を示している。この脆弱性は適切な権限管理が実装されていないことに起因しており、攻撃者がローカルから低い権限で攻撃を実行できる可能性があるため、早急な対応が必要とされている。

Microsoft AutoUpdate for Macの脆弱性に関する考察

Microsoft AutoUpdate for Macの脆弱性対策として、バージョン4.76以降への更新が提供されたことは、macOSユーザーのセキュリティ確保において重要な一歩となった。しかし、組織内での一斉アップデートには時間がかかることが予想され、その間にゼロデイ攻撃のリスクが高まる可能性がある。

今後の課題として、自動更新機能の信頼性向上と、脆弱性の早期発見・修正プロセスの確立が挙げられる。特に権限管理に関する脆弱性は、システム全体に深刻な影響を及ぼす可能性があるため、開発段階での徹底的なセキュリティテストの実施と、定期的なセキュリティ監査の実施が望まれるだろう。

また、クロスプラットフォーム製品におけるセキュリティ対策の標準化も重要な課題となる。macOS向けアプリケーションの開発においては、プラットフォーム固有のセキュリティモデルへの理解を深め、より堅牢な権限管理システムの実装が期待される。

参考サイト

1. ^ CVE. 「CVE-2025-21360 | CVE」. https://www.cve.org/CVERecord?id=CVE-2025-21360, (参照 25-01-22).
2. Microsoft. https://www.microsoft.com/ja-jp

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧