Microsoftは、Microsoft OutlookおよびWordに影響を与える3件の深刻な脆弱性を公開しました。いずれも、Microsoftの定例セキュリティ更新の一環として2026年6月9日にリリースされたものです。
CVE-2026-45456、CVE-2026-45458、CVE-2026-47635として追跡されているこれらの脆弱性は、CVSSベーススコア8.4(Critical)を持ち、未認証の攻撃者が権限やユーザー操作を一切必要とせず、影響を受けるシステム上で任意のコードを実行できる可能性があります。
3件のCVEはいずれも共通の攻撃特性を持っています。ローカル攻撃ベクター、低い攻撃複雑性、権限不要、ユーザー操作不要という組み合わせは、標的型攻撃の環境において特に危険性が高いと言えます。
各脆弱性のCVSS 3.1ベクターはAV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:Hであり、機密性・完全性・可用性のすべてにわたって最大の影響を与えることを示しています。
CVEのタイトルには「リモートコード実行」と記載されていますが、Microsoftは攻撃ベクターがローカルであることを明確にしています。つまり、攻撃者または被害者がローカルマシン上でコードを実行する必要があります。
この種の攻撃手法は任意コード実行(ACE)とも呼ばれます。「リモート」という表現は、攻撃の配送手段ではなく攻撃者の所在地を指しています。
特に重大なのは、Outlookのプレビューウィンドウがこれらの脆弱性に対する有効な攻撃経路であることをMicrosoftが確認している点です。
これは、被害者が悪意あるファイルを開いたりダブルクリックしたりする必要がないことを意味します。Outlook(クラシック)で巧妙に細工されたメールをプレビューするだけで、脆弱性が悪用される可能性があります。
これが可能なのは、Outlook(クラシック)がメールの表示にMicrosoft Wordのレンダリングエンジンを使用しているためです。つまり、脆弱性の根本はWordの機能に存在しており、Outlook経由で完全に悪用可能な状態となっています。
公開時点では、3件の脆弱性はいずれも公開情報として流出しておらず、実際に悪用されたという報告もありません。
CVE-2026-47635は「悪用の可能性が低い」と評価されており、3件すべてにおいてエクスプロイトコードの成熟度は「未実証」とされています。すでに公式の修正プログラムが提供されており、修正状況は「公式修正済み」、レポートの信頼性は「確認済み」と記載されています。
セキュリティチームは、Microsoft Office LTSC 2024のインストール環境へのパッチ適用を早急に優先してください。
プレビューウィンドウが攻撃経路となることから、Outlook(クラシック)を使用している組織は、ユーザーが悪意あるコンテンツを直接操作しなくても高いリスクにさらされています。管理者は以下の対応を検討してください。
翻訳元: https://cyberpress.org/microsoft-outlook-and-word-flaws/
