セキュリティ

SECURITY

公開：2025-01-22

【CVE-2025-21395】Microsoft AccessにHeap-based Buffer Overflow脆弱性、複数バージョンで更新プログラムの適用が必要に

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• Microsoft Accessに遠隔コード実行の脆弱性が発見
• Office 2019からLTSC 2024まで複数のバージョンが影響を受ける
• 深刻度は「HIGH」でCVSS v3.1スコアは7.8を記録

Microsoft AccessのHeap-based Buffer Overflow脆弱性

Microsoftは2025年1月14日、Microsoft Accessにおいて深刻な遠隔コード実行の脆弱性【CVE-2025-21395】を公開した。この脆弱性はHeap-based Buffer Overflow（CWE-122）に分類され、攻撃者によって悪用された場合、影響を受けるシステム上で任意のコードが実行される可能性がある。^[1]

この脆弱性の影響を受けるのは、Microsoft Office 2019、Microsoft 365 Apps for Enterprise、Microsoft Office LTSC 2021および2024、Microsoft Access 2016の32bit版とx64版のバージョンだ。脆弱性の深刻度は「HIGH」と評価され、CVSS v3.1によるスコアは7.8を記録している。

Microsoftは影響を受けるすべての製品に対してセキュリティアップデートを提供しており、ユーザーに対して速やかな適用を推奨している。Microsoft Access 2016については、バージョン16.0.5483.1001未満のすべてのバージョンが影響を受けることが確認されている。

Microsoft Access脆弱性の影響範囲まとめ

セキュリティアップデートの詳細はこちら

Heap-based Buffer Overflowについて

Heap-based Buffer Overflowとは、プログラムのヒープ領域におけるバッファオーバーフローの脆弱性を指す。主な特徴として、以下のような点が挙げられる。

• メモリのヒープ領域でデータが領域外に書き込まれる脆弱性
• 任意のコード実行やシステムクラッシュの可能性がある
• 適切なバッファサイズの検証で防止可能

Microsoft Access製品におけるHeap-based Buffer Overflow脆弱性は、CVSSスコア7.8の高リスク評価を受けている。この脆弱性は攻撃者によってローカルから悪用される可能性があり、ユーザーの操作を必要とするものの特権は不要とされており、機密性と整合性、可用性のすべてに高い影響を及ぼす可能性がある。

Microsoft Accessの脆弱性対応に関する考察

Microsoft Accessの脆弱性対応において、広範な製品ラインナップに対して一括でセキュリティアップデートを提供している点は評価に値する。特にOffice 2019からLTSC 2024まで、異なるバージョン間で統一的な対応を実現していることは、企業のセキュリティ管理の負担軽減につながっているだろう。

今後の課題として、脆弱性の早期発見と修正のためのセキュリティテスト強化が挙げられる。特にHeap-based Buffer Overflowのような基本的な脆弱性が新製品にも発見されている点は、開発プロセスにおけるセキュリティレビューの見直しが必要になるだろう。

Microsoft Accessは多くの企業で基幹システムの一部として利用されているため、脆弱性対応の遅れは大きなリスクとなる。今後はAIを活用した自動コード検査やセキュリティテストの導入により、開発段階での脆弱性の早期発見と対応が期待される。

参考サイト

1. ^ CVE. 「CVE-2025-21395 | CVE」. https://www.cve.org/CVERecord?id=CVE-2025-21395, (参照 25-01-22).
2. Microsoft. https://www.microsoft.com/ja-jp

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧