サイバーニュース.jp

世界のサイバーなニュースを配信

Microsoft 2025年11月パッチチューズデー:1件のゼロデイと63件の脆弱性を修正

カテゴリ:

はじめに

Microsoftは2025年11月のパッチチューズデーを公開し、1件の悪用が確認されたゼロデイ脆弱性を含む、合計63件のセキュリティ脆弱性を修正しました。今回の更新では、4件の「緊急」と評価された脆弱性も対処されており、そのうち2件はリモートコード実行、1件は特権昇格、もう1件は情報漏洩の脆弱性です。

BleepingComputerの報告によると、今回の修正にはMicrosoft EdgeやMarinerの脆弱性は含まれていません。また、Windows 10の延長セキュリティ更新プログラム(ESU)の初回リリース日でもあり、サポート対象外のOSを使用しているユーザーには、Windows 11へのアップグレードまたはESUプログラムへの登録が強く推奨されています。ESUプログラムへの登録に問題があるユーザー向けに、Microsoftは本日、登録を妨げるバグを修正する帯域外更新プログラムをリリースしました。

悪用が確認されたゼロデイ脆弱性

今月のパッチチューズデーでは、Windowsカーネルに存在する1件の悪用が確認されたゼロデイ脆弱性が修正されました。Microsoftは、公式の修正プログラムが利用できない間に公に開示または積極的に悪用されている脆弱性をゼロデイと分類しています。

  • CVE-2025-62215 – Windowsカーネル特権昇格の脆弱性

このWindowsカーネルの脆弱性は、Windowsデバイス上でSYSTEM権限を取得するために悪用されました。Microsoftは、「Windowsカーネルにおける不適切な同期(『競合状態』)を伴う共有リソースを使用した同時実行により、認証された攻撃者がローカルで特権を昇格できる」と説明しています。Microsoftによると、この脆弱性は攻撃者が競合状態に勝利する必要があり、成功するとSYSTEM権限が付与されます。Microsoftはこの脆弱性をMicrosoft Threat Intelligence Center (MSTIC) & Microsoft Security Response Center (MSRC)に帰属させていますが、どのように悪用されたかの詳細は共有していません。

脆弱性の内訳

今回のパッチチューズデーで修正された脆弱性のカテゴリ別の内訳は以下の通りです。

  • 特権昇格の脆弱性: 29件
  • セキュリティ機能バイパスの脆弱性: 2件
  • リモートコード実行の脆弱性: 16件
  • 情報漏洩の脆弱性: 11件
  • サービス拒否の脆弱性: 3件
  • なりすましの脆弱性: 2件

特に、CVE-2025-60716 (DirectX Graphics Kernel Elevation of Privilege Vulnerability)CVE-2025-62214 (Visual Studio Remote Code Execution Vulnerability) など、複数の「緊急」と評価された脆弱性も修正されています。

その他のベンダーからの更新

2025年11月に更新プログラムまたはアドバイザリをリリースした他のベンダーは以下の通りです。

  • Adobe: InDesign, InCopy, PhotoShop, Illustrator, Substance 3D, Pass, Adobe Formatのセキュリティ更新プログラムをリリース。
  • Cisco: Cisco ASA, Unified Contact Center, Identity servicesを含む複数の製品のパッチをリリース。また、古い脆弱性を悪用する新たな攻撃が発見されたと警告。
  • expr-eval: JavaScriptライブラリの重大なRCEを修正するパッチをリリース。
  • Fortinet: FortiOSの重要度「中」の特権昇格の脆弱性に対するセキュリティ更新プログラムをリリース。
  • Google: Androidの2025年11月セキュリティ速報をリリースし、2件の脆弱性を修正。
  • Ivanti: 2025年11月パッチチューズデー更新プログラムの一部としてセキュリティパッチをリリース。
  • runC: 攻撃者がDockerおよびKubernetesコンテナから脱出できる脆弱性を修正するセキュリティ更新プログラムをリリース。
  • QNAP: Pwn2Own Ireland 2025ハッキングコンテスト中にネットワーク接続ストレージ(NAS)デバイスをハッキングするために悪用された7件のゼロデイ脆弱性に対するセキュリティ更新プログラムをリリース。
  • SAP: SQL Anywhere Monitorの10/10のハードコードされた認証情報に関する脆弱性の修正を含む、複数の製品の2025年11月セキュリティ更新プログラムをリリース。
  • Samsung: 25件の脆弱性を修正する2025年11月セキュリティ更新プログラムをリリース。

元記事: https://www.bleepingcomputer.com/news/microsoft/microsoft-november-2025-patch-tuesday-fixes-1-zero-day-63-flaws/

投稿をさらに読み込む