セキュリティ

SECURITY

公開：2025-01-23

【CVE-2025-21345】Microsoft Office Visioにリモートコード実行の脆弱性、複数のバージョンで深刻な影響が判明

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• Microsoft Office Visioにリモートコード実行の脆弱性
• 複数のMicrosoft Officeバージョンが影響を受ける
• CVSSスコア7.8の高リスク脆弱性として評価

Microsoft Office Visioの重大な脆弱性

Microsoftは2025年1月14日、Microsoft Office Visioにおけるリモートコード実行の脆弱性【CVE-2025-21345】を公開した。この脆弱性はUse After Free（CWE-416）に分類され、CVSSスコア7.8の高リスクと評価されている。Microsoft Office 2019やMicrosoft 365 Apps for Enterpriseなど、複数のOffice製品に影響を及ぼすことが判明したのだ。^[1]

影響を受けるバージョンはMicrosoft Office 2019の19.0.0、Microsoft 365 Apps for Enterpriseの16.0.1、Microsoft Office LTSC 2021の16.0.1、そしてMicrosoft Office LTSC 2024の1.0.0からセキュリティアップデート適用前のバージョンまでとなっている。脆弱性の深刻度は高く、特権昇格を必要とせずにリモートからコードを実行できる可能性があるだろう。

この脆弱性はローカルからの攻撃が可能であり、攻撃条件の複雑さは低いと評価されている。また、ユーザーの操作を必要とするものの、攻撃が成功した場合は機密性、整合性、可用性のすべてに高い影響を及ぼす可能性がある。Microsoftは即座にセキュリティアップデートを提供し、ユーザーに対して早急な適用を推奨している。

Microsoft Office Visio脆弱性の影響範囲

セキュリティアップデートの詳細はこちら

Use After Freeについて

Use After Free（UAF）とは、プログラムがメモリを解放した後にそのメモリ領域を参照しようとする際に発生する脆弱性の一種のことを指す。主な特徴として、以下のような点が挙げられる。

• 解放済みメモリの不正参照による任意コード実行の可能性
• メモリ管理の不備によるシステムの不安定化
• 情報漏洩やシステムクラッシュのリスク

Use After Free脆弱性は、Microsoft Office Visioの場合CVSSスコア7.8と高く評価されている。攻撃者が成功すれば、システムに対する完全なコントロールを獲得する可能性があり、データの改ざんや情報漏洩、システムの破壊などが引き起こされる危険性が指摘されているのだ。

Microsoft Office Visio脆弱性に関する考察

Microsoft Office Visioの脆弱性対策として、セキュリティアップデートの迅速な適用が重要である。企業におけるVisioの利用は広く、図表やフローチャートの作成に不可欠なツールとなっているため、この脆弱性の影響は甚大になる可能性があるだろう。

今後の課題として、セキュリティアップデートの展開管理と適用状況の確認が挙げられる。特に大規模な組織では、すべての端末に対するアップデートの適用に時間がかかる可能性があり、その間の一時的な対策や運用ガイドラインの整備が必要になるだろう。

長期的な対策としては、脆弱性スキャンやセキュリティ監視の強化が必要不可欠である。Office製品の新しいバージョンがリリースされる度に、同様の脆弱性が発見される可能性も考慮し、継続的なセキュリティ評価とモニタリングの体制を整えることが重要だ。

参考サイト

1. ^ CVE. 「CVE-2025-21345 | CVE」. https://www.cve.org/CVERecord?id=CVE-2025-21345, (参照 25-01-23).
2. Microsoft. https://www.microsoft.com/ja-jp

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧