サイバーニュース.jp

世界のサイバーなニュースを配信

Microsoft 2025年10月パッチチューズデー:6つのゼロデイと172の脆弱性を修正

カテゴリ:

, , , , , , , , ,

はじめに:2025年10月パッチチューズデーの概要

Microsoftは2025年10月のパッチチューズデーにおいて、6つのゼロデイ脆弱性を含む合計172の脆弱性に対するセキュリティ更新プログラムをリリースしました。この更新には、8つの「緊急」と評価された脆弱性が含まれており、そのうち5つはリモートコード実行、3つは特権昇格の脆弱性です。

脆弱性の内訳

今回のパッチチューズデーで修正された脆弱性のカテゴリ別内訳は以下の通りです。

  • 特権昇格の脆弱性: 80件
  • セキュリティ機能のバイパスの脆弱性: 11件
  • リモートコード実行の脆弱性: 31件
  • 情報漏えいの脆弱性: 28件
  • サービス拒否の脆弱性: 11件
  • スプーフィングの脆弱性: 10件

BleepingComputerの報告によると、この脆弱性数にはAzure、Mariner、Microsoft Edge、および今月初めに修正されたその他の脆弱性は含まれていません。

Windows 10のサポート終了

本日、Windows 10の無料セキュリティアップデートが終了します。これは、このオペレーティングシステムに対するMicrosoftからの無料セキュリティアップデートが提供される最後のパッチチューズデーとなります。引き続きセキュリティアップデートを受け取るには、個人ユーザーは1年間の拡張セキュリティアップデート(ESU)に、企業は最大3年間のESUに登録する必要があります。

修正された6つのゼロデイ脆弱性の詳細

今月のパッチチューズデーでは、公開済みまたは積極的に悪用されたと分類される6つのゼロデイ脆弱性が修正されました。以下にその詳細を記します。

CVE-2025-24990 – Windows Agere Modem Driver 特権昇格の脆弱性

Microsoftは、管理権限の取得に悪用されたAgereモデムドライバーの脆弱性に対処するため、当該ドライバーを削除しました。このドライバーの削除により、関連するFaxモデムハードウェアが機能しなくなる可能性があります。

CVE-2025-59230 – Windows Remote Access Connection Manager 特権昇格の脆弱性

Windows Remote Access Connection Managerの不適切なアクセス制御の脆弱性が修正されました。この脆弱性は、ローカルでSYSTEM権限を取得するために悪用されていました。

CVE-2025-47827 – MITRE CVE-2025-47827: IGEL OSのセキュアブートバイパス

IGEL OSのセキュアブートバイパスの脆弱性に対する修正が追加されました。これは、不正なSquashFSイメージから改ざんされたルートファイルシステムがマウントされる可能性がありました。

CVE-2025-0033 – AMD CVE-2025-0033: SNP初期化中のRMP破損

AMD EPYCプロセッサのSecure Encrypted Virtualization – Secure Nested Paging (SEV-SNP)における競合状態の脆弱性です。悪意のあるハイパーバイザーがRMPエントリを改ざんし、SEV-SNPゲストメモリの整合性に影響を与える可能性がありました。

CVE-2025-24052 – Windows Agere Modem Driver 特権昇格の脆弱性

CVE-2025-24990と同様の脆弱性で、Windowsのすべてのサポートバージョンに影響を与え、モデムが使用されていなくても悪用される可能性がありました。

CVE-2025-2884 – Cert CC: CVE-2025-2884 TCG TPM2.0参照実装における境界外読み取り脆弱性

TCG TPM2.0参照実装のCryptHmacSignヘルパー関数における境界外読み取りの脆弱性です。これにより、TPMの情報漏えいまたはサービス拒否につながる可能性がありました。

その他のベンダーからの更新

2025年10月には、Microsoft以外にも以下のベンダーがセキュリティ更新プログラムやアドバイザリをリリースしています。

  • Adobe: 各種製品のセキュリティ更新プログラム。
  • Cisco: Cisco IOS、Cisco Unified Communications Manager、Cyber Vision Centerのパッチ。
  • Draytek: 複数のVigorルーターモデルにおける認証前RCE脆弱性のセキュリティ更新。
  • Gladinet: CentreStackのゼロデイ脆弱性に関する警告。
  • Ivanti: Ivanti Endpoint Manager Mobile (EPMM) および Ivanti Neurons for MDMのセキュリティ更新。
  • Oracle: 2つの積極的に悪用されたE-Business Suiteゼロデイ脆弱性に対するセキュリティ更新。
  • Redis: 最大深刻度のRCE脆弱性を修正するセキュリティ更新。
  • SAP: Netweaverの最大深刻度コマンド実行脆弱性を含む、複数の製品の10月セキュリティ更新。
  • Synacor: Zimbra Collaboration Suiteのゼロデイ脆弱性に関するセキュリティ更新。

まとめと詳細情報

2025年10月のパッチチューズデーは、多数の脆弱性、特に6つのゼロデイ脆弱性に対処する重要な更新となりました。Windows 10ユーザーにとっては、無料サポートが終了する節目でもあります。各脆弱性の完全な説明と影響を受けるシステムについては、Microsoftのセキュリティ更新ガイドで詳細を確認できます。

元記事: https://www.bleepingcomputer.com/news/microsoft/microsoft-october-2025-patch-tuesday-fixes-6-zero-days-172-flaws/

投稿をさらに読み込む