セキュリティ

SECURITY

公開：2025-02-19

【CVE-2025-24036】Microsoft AutoUpdate for Macに特権昇格の脆弱性、バージョン4.77.24121924未満が影響対象に

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• Microsoft AutoUpdate for Macで特権昇格の脆弱性を確認
• バージョン4.77.24121924未満のMAUが影響を受ける
• CVSSスコア7.0のハイリスク脆弱性として評価

Microsoft AutoUpdate for Macの特権昇格の脆弱性

Microsoftは2025年2月11日、Microsoft AutoUpdate (MAU) for Macにおいて特権昇格の脆弱性【CVE-2025-24036】を公開した。この脆弱性はTime-of-check Time-of-use (TOCTOU)レースコンディションの問題として分類され、CVSSv3.1のスコアは7.0とハイリスクに位置付けられている。^[1]

脆弱性の影響を受けるのは、バージョン4.77.24121924未満のMicrosoft AutoUpdate for Macであり、ローカルからの攻撃により特権昇格が可能となる危険性が指摘されている。攻撃の成功には高度な技術力が必要とされるものの、ユーザーの操作を必要としない点が重要な懸念事項となっている。

この脆弱性はCWE-367として分類され、攻撃者がローカルアクセス権限を持つ場合に深刻な影響をもたらす可能性がある。攻撃が成功した場合、機密性、整合性、可用性のすべてに高いレベルの影響が及ぶ可能性が指摘されており、早急な対応が求められている。

Microsoft AutoUpdate for Macの脆弱性詳細

特権昇格について

特権昇格とは、システム上で通常の権限を持つユーザーが管理者権限などの高位の権限を不正に取得することを指す。主な特徴として、以下のような点が挙げられる。

• システム管理者レベルの権限を不正に取得可能
• 重要なシステムファイルの改ざんやデータの窃取が可能
• マルウェアの実行やシステムの完全な制御が可能

Microsoft AutoUpdate for Macの脆弱性では、Time-of-check Time-of-use (TOCTOU)レースコンディションを利用した特権昇格が可能となっている。この種の攻撃は、プログラムがリソースをチェックしてから使用するまでの時間差を悪用するもので、適切な権限チェックをバイパスしてシステムの制御を奪取する可能性がある。

Microsoft AutoUpdate for Macの脆弱性に関する考察

Microsoft AutoUpdate for Macの特権昇格の脆弱性は、攻撃の成功にはローカルアクセスと高度な技術力が必要とされる点が特徴的である。しかし、ユーザーの操作を必要としない点は、自動化された攻撃ツールの開発につながる可能性があり、今後より広範な影響を及ぼす可能性が考えられるだろう。

今後は、Macプラットフォームを対象とした特権昇格の脆弱性が増加する可能性があり、特にクロスプラットフォームアプリケーションのセキュリティ対策が重要になってくる。Microsoftには、プラットフォーム固有の脆弱性に対する理解を深め、より強固なセキュリティ設計を実装することが期待されるだろう。

また、Time-of-check Time-of-use (TOCTOU)のような時間差を突く攻撃に対する防御メカニズムの強化も必要不可欠である。ファイルシステムの操作やリソースアクセスに関する処理において、より厳密な同期制御と権限チェックの実装が求められる。

参考サイト

1. ^ CVE. 「CVE: Common Vulnerabilities and Exposures」. https://www.cve.org/CVERecord?id=CVE-2025-24036, (参照 25-02-19).
2. Microsoft. https://www.microsoft.com/ja-jp

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧