重大な脆弱性が確認されているため、Microsoft Outlook ユーザーは今すぐアップデートする必要があります。
Microsoft は、Windows ユーザーに影響を与える 3 つのゼロデイ脆弱性がすでに悪用されていることを確認しており、新たな Microsoft 365 高速パスワード攻撃が発覚したというニュースを聞いて、Outlook ユーザーは疎外感を感じたかもしれません。しかし、Microsoft は、一般的な脆弱性と暴露のスケールで 10 点中 9.8 という大きな評価を獲得した「悪用の可能性が高い」重大な脆弱性について、緊急にパッチを適用する必要があることを認めているため、これ以上はありません。知っておくべきことは次のとおりです。
Microsoft Outlook CVE-2025-21298 脆弱性の説明
セキュリティ脆弱性の確認と更新を毎月実施すること。 火曜日のパッチ 旅には常に 1 つか 2 つのサプライズをもたらします。今月、驚かされたのは間違いなく、Windows Hyper V ユーザーに影響を与える 3 つのゼロデイ脆弱性が積極的に悪用されたことでした。 Microsoft は他にも合計 156 件の脆弱性をリストしているため、同様に重要な他の脆弱性が、ゼロデイの見出しを飾る CVE への注目によってわかりにくくなる可能性があるという危険があります。しかし、私やフレンドリーで知識豊富なセキュリティ専門家たちを乗り越えるには、かなりの時間がかかります。 CVE-2025-21298。
この評価 9.8 の重大な Windows オブジェクト リンクおよび埋め込みメカニズムのリモート コード実行 Outlook の脆弱性は、悪意のあるリッチ テキスト形式のドキュメントによって引き起こされる可能性があります。これらのドキュメントは、通常 Microsoft Word などの Office アプリケーションで開かれますが、「ユーザーにファイルを開かせるための誘惑として魅力的な名前を付けたフィッシング キャンペーンを通じて、添付ファイルまたはリンクとして送信されることがよくあります」と Immersive Labs の脅威研究担当シニア ディレクターの Kev Breen 氏は述べています。 。そのため、ブリーン氏は、「遅かれ早かれパッチを適用するリストの上位に入るはず」と警告した。
CVE-2025-21298 はリモート ネットワーク攻撃と呼ばれていますが、実際のベクトルは電子メール経由であり、ネットワーク上でリッスンするサービスではありません。 「Microsoft Outlook のプレビュー ペインは有効な攻撃ベクトルです。これは、これをリモート攻撃と呼ぶのにふさわしいものです。」と Fortra のセキュリティ研究開発アソシエート ディレクターである Tyler Reguly 氏は述べています。
Microsoft Outlook の攻撃リスクを軽減する
Action1 の社長兼共同創設者であるマイク・ウォルターズ氏は、CVE-2025-21298 は「組織に重大な脅威をもたらし、システム全体の侵害につながる可能性がある」と警告しました。この脆弱性の悪用に成功すると、システムを完全に制御するための任意のコードの実行、悪意のあるソフトウェアのインストール、データの変更や削除、機密情報へのアクセスにつながる可能性があるとウォルターズ氏は述べた。 Walters 氏はまた、この攻撃はネットワーク経由で実行される可能性があり、攻撃が成功するために必要な複雑さは低いと述べ、「Windows システムや、OLE オブジェクトを処理するアプリケーション、特に Microsoft Outlook などの電子メール クライアントを使用している組織や個人は、直ちにこの脆弱性にパッチを適用する必要があります。 」とウォルターズ氏は結論付けた。
Microsoftの広報担当者は「アップデートをリリースしており、それをインストールした顧客はすでに保護されている」と述べた。
すぐにパッチを適用できない組織に対して、Breen 氏は、Microsoft が提供する、不明なソースからの RTF ファイルをプレーン テキスト形式を使用して Outlook でのみ開くという回避策に従うことを推奨しました。
