セキュリティ

SECURITY

公開：2025-02-11

【CVE-2025-21173】MicrosoftのNET 8.0と9.0に特権昇格の脆弱性、Visual Studio 2022の複数バージョンにも影響

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• MicrosoftのNET 8.0と9.0に特権昇格の脆弱性
• Visual Studio 2022の複数バージョンに影響
• CVSSスコア7.3のハイリスク脆弱性として公開

MicrosoftのNET及びVisual Studioに特権昇格の脆弱性が発覚

Microsoftは2025年1月14日、.NET及びVisual Studioに特権昇格の脆弱性【CVE-2025-21173】を発見したことを公開した。この脆弱性は.NET 8.0と9.0の複数バージョン、およびVisual Studio 2022の4つのバージョンに影響を与えることが判明している。^[1]

この脆弱性は一時ファイルの作成時における不適切な権限設定に関連しており、CVSSスコアは7.3と高いリスクレベルに分類されている。攻撃者がこの脆弱性を悪用した場合、ローカル環境での特権昇格が可能となり、システムに深刻な影響を及ぼす可能性が高いと判断された。

影響を受けるバージョンは.NET 8.0.0から8.0.12未満、.NET 9.0.0から9.0.1未満、Visual Studio 2022の17.6.0から17.6.22未満、17.8.0から17.8.17未満、17.10から17.10.10未満、17.0から17.12.4未満となっている。Microsoftは該当するすべてのバージョンに対してアップデートを提供している。

影響を受けるバージョンまとめ

特権昇格の脆弱性について

特権昇格とは、システム上でユーザーが本来持っている権限以上の権限を不正に取得することを指す。主な特徴として、以下のような点が挙げられる。

• 通常の利用者権限から管理者権限への昇格が可能
• システムの重要な設定やファイルへのアクセスが可能
• マルウェアの実行やシステムの改ざんに悪用される可能性

今回発見された脆弱性は、一時ファイルの作成時における不適切な権限設定に起因している。この種の脆弱性は、システム上でファイルやディレクトリが作成される際に適切なアクセス権限が設定されていない場合に発生し、悪意のあるユーザーが特権昇格を行う可能性が生じる。

NETの特権昇格の脆弱性に関する考察

Microsoftがこの脆弱性を早期に発見し対応したことは評価できるが、.NETとVisual Studioという広く使用されているプラットフォームに影響があることは懸念材料となっている。特に開発環境においては、一時ファイルの作成が頻繁に行われることから、開発プロセス全体のセキュリティ見直しが必要になるだろう。

今後は同様の脆弱性を防ぐため、ファイルシステムのアクセス権限管理をより厳格化する必要がある。特に一時ファイルの作成や管理に関するセキュリティガイドラインの策定と、自動的な権限チェックメカニズムの実装が重要な課題となってくるだろう。

開発者コミュニティとの連携を強化し、セキュリティ関連の情報共有を活発化することも重要だ。特に.NETエコシステムでは、サードパーティ製のツールやライブラリも多く使用されているため、エコシステム全体でのセキュリティ意識の向上が求められる。

参考サイト

1. ^ CVE. 「CVE: Common Vulnerabilities and Exposures」. https://www.cve.org/CVERecord?id=CVE-2025-21173, (参照 25-02-11).
2. Microsoft. https://www.microsoft.com/ja-jp

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧