セキュリティ

SECURITY

公開：2025-02-13

【CVE-2025-21185】Microsoft Edge Chromiumベースに特権昇格の脆弱性、最新バージョンへのアップデートを推奨

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• Microsoft Edgeに特権昇格の脆弱性が発見
• 影響を受けるバージョンは132.0.2957.115未満
• CVSSスコアは6.5でMedium評価と判定

Microsoft Edge Chromiumベースの特権昇格の脆弱性

Microsoftは2025年1月17日、Microsoft Edge（Chromiumベース）において特権昇格の脆弱性【CVE-2025-21185】を公開した。この脆弱性はCWE-284（不適切なアクセス制御）に分類され、Microsoft Edgeのバージョン1.0.0から132.0.2957.115未満のバージョンが影響を受けることが判明している。^[1]

CVSSスコアは6.5（Medium）と評価され、攻撃には特権は不要だがユーザーの操作が必要となる。攻撃の複雑さは低く評価されており、機密情報の漏洩につながる可能性が指摘されている。

脆弱性の発見を受け、Microsoftは影響を受けるバージョンのユーザーに対して最新バージョンへのアップデートを推奨している。CISAによる評価では、この脆弱性の悪用は現時点で確認されていないものの、部分的な影響が及ぶ可能性が指摘されている。

Microsoft Edge特権昇格の脆弱性の詳細

特権昇格について

特権昇格とは、システム上でユーザーが本来持っている権限以上の権限を不正に取得することを指す。主な特徴として、以下のような点が挙げられる。

• 通常のユーザー権限から管理者権限への昇格が可能
• システムリソースへの不正アクセスのリスクが増大
• 機密情報の漏洩や改ざんの可能性が発生

Microsoft Edge Chromiumベースの特権昇格の脆弱性では、攻撃者がユーザーの操作を介して権限を昇格させる可能性がある。この脆弱性は現在のところ実際の攻撃例は確認されていないが、CVSSスコアが示すように深刻度は中程度と評価されている。

Microsoft Edge Chromiumベースの特権昇格の脆弱性に関する考察

Microsoft EdgeがChromiumベースに移行して以降、ブラウザのセキュリティ機能は着実に強化されてきたが、今回の脆弱性発見は新たな課題を提示している。特に特権昇格の脆弱性は、標的型攻撃などで悪用される可能性があり、企業のセキュリティ管理者は特に注意を払う必要があるだろう。

今後は特権管理の強化やサンドボックス機能の改善など、より強固なセキュリティ対策の実装が期待される。特にChromiumベースの特性を活かしつつ、Microsoftならではのセキュリティ機能の追加も検討すべきだろう。

また、脆弱性対策としてのバージョン管理の重要性も再認識される結果となった。自動アップデート機能の確実な運用や、セキュリティパッチの迅速な適用体制の整備が今後の課題となるはずだ。

参考サイト

1. ^ CVE. 「CVE: Common Vulnerabilities and Exposures」. https://www.cve.org/CVERecord?id=CVE-2025-21185, (参照 25-02-13).
2. Microsoft. https://www.microsoft.com/ja-jp

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧