セキュリティ

SECURITY

公開：2025-02-15

【CVE-2025-21283】Microsoft Edge (Chromium版)にリモートコード実行の脆弱性、バージョン133.0.3065.51未満が対象に

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• Microsoft Edgeにリモートコードエグゼキューションの脆弱性
• Edge (Chromium版) 133.0.3065.51より前のバージョンが対象
• CVSSスコア6.5で中程度の深刻度と評価

Microsoft Edge (Chromium版)のリモートコード実行の脆弱性が判明

Microsoftは2025年2月6日、Microsoft Edge (Chromium版)にリモートコードエグゼキューションの脆弱性(CVE-2025-21283)を確認したと発表した。この脆弱性はレジスタロックによって保護されるアドレス領域の粒度が不十分であることに起因するもので、Common Weakness Enumeration(CWE)では「CWE-1222」として分類されている。^[1]

この脆弱性の影響を受けるのは、バージョン1.0.0から133.0.3065.51より前のすべてのMicrosoft Edge (Chromium版)となっている。CVSSスコアは6.5で中程度の深刻度と評価されており、攻撃者は特権なしで遠隔から攻撃を実行できる可能性があるものの、ユーザーの操作が必要となっている。

脆弱性の悪用には攻撃者がユーザーの操作を必要とするものの、攻撃に成功した場合は情報漏洩のリスクが高いとされている。この脆弱性の技術的な影響は部分的であり、自動化された攻撃の可能性は現時点では確認されていない。

脆弱性の詳細情報まとめ

リモートコードエグゼキューションについて

リモートコードエグゼキューションとは、攻撃者が遠隔から標的のシステムに任意のコードを実行できる脆弱性の形態のことを指す。主な特徴として、以下のような点が挙げられる。

• 遠隔からシステムに不正なコードを実行可能
• システムの制御権限の奪取につながる可能性
• 情報漏洩やマルウェア感染のリスクが高い

リモートコードエグゼキューションの脆弱性は、Webブラウザなどのインターネットに接続するソフトウェアで特に重要視されている。Microsoft Edge (Chromium版)の場合、レジスタロックによって保護されるアドレス領域の粒度が不十分であることが原因で、攻撃者が特定の条件下でリモートからコードを実行できる可能性があることが判明している。

Microsoft Edge (Chromium版)の脆弱性に関する考察

Microsoft Edge (Chromium版)におけるリモートコードエグゼキューションの脆弱性は、ユーザーの操作を必要とする点で直接的な攻撃のリスクは限定的といえる。しかしながら、ソーシャルエンジニアリングなどの手法と組み合わせることで、ユーザーを誘導して脆弱性を悪用される可能性が存在しているため、早急な対応が望まれる。

脆弱性対策としては、ブラウザの自動更新機能を有効にすることで最新のセキュリティパッチを適用することが重要である。また、不審なウェブサイトへのアクセスを避け、必要のないブラウザ拡張機能をインストールしないなど、ユーザー側での予防的な対策も効果的だろう。

今後はChromiumベースのブラウザ全般において、レジスタロックの実装方法や保護メカニズムの見直しが進むことが期待される。特にメモリ保護機能の強化やサンドボックス環境の改善など、より堅牢なセキュリティ対策の実装が求められている。

参考サイト

1. ^ CVE. 「CVE: Common Vulnerabilities and Exposures」. https://www.cve.org/CVERecord?id=CVE-2025-21283, (参照 25-02-15).
2. Microsoft. https://www.microsoft.com/ja-jp

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧