サイバーニュース.jp

世界のサイバーなニュースを配信

Microsoft Patch Tuesday 2025年10月:4つのゼロデイを含む172件の脆弱性を修正

カテゴリ:

, , , , , , , , ,

概要

2025年10月14日、Microsoftは「Patch Tuesday」の一環として、広範なエコシステムにわたる172件ものセキュリティ脆弱性に対処しました。この大規模なセキュリティアップデートでは、特に4つのゼロデイ脆弱性が注目されており、そのうち2つはすでに悪用が確認されています。WindowsオペレーティングシステムからMicrosoft Office、Azureクラウドサービスに至るまで、多岐にわたる製品が対象となっており、組織がシステムを保護するための絶え間ないサイバー脅威のペースを浮き彫りにしています。

深刻なゼロデイ脆弱性と悪用

今回のアップデートで最も喫緊の課題は、すでに積極的に悪用されている2つのゼロデイ脆弱性です。これらは以下の通りです。

  • CVE-2025-2884: TCG TPM2.0リファレンス実装における境界外読み取りの欠陥です。暗号化署名機能の検証が不十分であることに起因し、システムを情報漏洩のリスクに晒します。この脆弱性はCERT/CCを通じて公に開示されており、セキュアブートプロセスに不可欠なトラステッドプラットフォームモジュールに影響を与えます。
  • CVE-2025-47827: IGEL OSバージョン11以前におけるセキュアブートバイパスの脆弱性です。不適切な署名検証を悪用することで、悪意のあるルートファイルシステムが未検証のイメージをマウントすることを可能にし、永続的なマルウェアの経路となる可能性があります。

さらに、以下の2つのゼロデイ脆弱性も修正されました。

  • CVE-2025-59234: Microsoft OfficeにおけるUse-after-freeの脆弱性です。CVSSスコア約7.8の「Critical」と評価されており、ユーザーが悪意のあるファイルを開いた際にリモートコード実行(RCE)を可能にします。認証は不要で、攻撃者はシステムを完全に制御し、データ窃盗やランサムウェア攻撃に繋がる可能性があります。
  • CVE-2025-59236: Microsoft ExcelにおけるUse-after-freeの脆弱性で、上記と同様に「Critical」と評価され、リモートコード実行(RCE)のリスクがあります。

また、CVE-2025-59230として、Windows Remote Access Connection Managerの欠陥も修正されました。これは不適切なアクセス制御によりローカル権限昇格を許すもので、これも積極的に悪用されています

その他の主要な脆弱性カテゴリ

10月のアップデートでは、多岐にわたる脆弱性カテゴリが対処されました。特に、メモリ安全性のエラー(Use-after-freeやバッファオーバーフローなど)に関連する11件の重要なRCEおよび権限昇格(EoP)の問題が含まれています。主なカテゴリの内訳は以下の通りです。

  • 権限昇格 (Elevation of Privilege): 最も多い80件の脆弱性が修正されました。これには、Microsoft Graphics ComponentにおけるCVE-2025-49708が含まれ、ネットワーク経由でのメモリ破損により権限昇格を可能にします。
  • リモートコード実行 (Remote Code Execution): 31件の脆弱性が修正されました。Windows Server Update ServiceにおけるCVE-2025-59287のような脆弱性は、ネットワーク経由で認証なしにRCEを許可し、サプライチェーン攻撃の重大なリスクをもたらします。
  • 情報漏洩 (Information Disclosure): 28件の脆弱性が修正され、CVE-2025-55693CVE-2025-59187のようなカーネルメモリリークが含まれます。
  • セキュリティ機能バイパス (Security Feature Bypass): 11件の脆弱性が修正されました。BitLockerにおけるCVE-2025-55682は、物理的な攻撃によってセキュリティ対策をバイパスされる可能性があります。
  • サービス拒否 (Denial of Service): 11件の脆弱性が修正され、DirectXにおけるCVE-2025-55698のようなヌルポインタ参照によるサービス中断の可能性があります。
  • なりすまし (Spoofing): 10件の脆弱性が修正され、File ExplorerにおけるCVE-2025-59239やExchange ServerにおけるCVE-2025-59248などが含まれ、ユーザーを悪意のある行動に誘導する可能性があります。
  • 改ざん (Tampering): Azure監視データに影響を与える1件の脆弱性が修正されました。

結論

今回のMicrosoft Patch Tuesdayは、サイバーセキュリティの脅威が絶えず進化していることを改めて示しています。特に、積極的に悪用されているゼロデイ脆弱性への迅速な対応は、システム保護のために不可欠です。組織は、これらの脆弱性からシステムを保護するために、速やかにパッチを適用することが強く推奨されます。

元記事: https://gbhackers.com/microsoft-patch-tuesday-october-2025/

投稿をさらに読み込む