サイバーニュース.jp

世界のサイバーなニュースを配信

Microsoft 2025年10月度パッチチューズデー:4つのゼロデイを含む172件の脆弱性を修正

カテゴリ:

, , , , , , , , ,

はじめに:大規模なセキュリティアップデート

2025年10月14日、Microsoftは恒例のパッチチューズデーにおいて、合計172件ものセキュリティ脆弱性に対する修正プログラムを公開しました。この大規模なアップデートには、特に警戒すべき4つのゼロデイ脆弱性が含まれており、そのうち2つは既に実世界で悪用が確認されています。今回の修正は、Windowsオペレーティングシステム、Microsoft Office、Azureクラウドサービスなど、Microsoftの広範な製品群を対象としており、サイバー脅威の絶え間ない進化を改めて浮き彫りにしています。

緊急性の高いゼロデイ脆弱性の詳細

今回のパッチチューズデーで最も注目されるのは、既に悪用が確認されている2件を含む4件のゼロデイ脆弱性です。

  • CVE-2025-2884: TCG TPM2.0リファレンス実装における境界外読み取りの脆弱性で、暗号署名機能の検証が不十分なために情報漏洩のリスクがあります。これはCERT/CCを通じて公に開示されており、セキュアブートプロセスに不可欠なトラステッドプラットフォームモジュールに影響を与えます。
  • CVE-2025-47827: IGEL OSのバージョン11以前において、不適切な署名検証を悪用することでセキュアブートをバイパスできる脆弱性です。これにより、悪意のあるルートファイルシステムが未検証のイメージをマウントできるようになり、永続的なマルウェア感染の経路となる可能性があります。

さらに、以下の2件のゼロデイ脆弱性も修正されました。

  • CVE-2025-59234: Microsoft OfficeにおけるUse-after-freeの脆弱性。
  • CVE-2025-59236: Microsoft ExcelにおけるUse-after-freeの脆弱性。

これら2件はCVSSスコア約7.8の「緊急」と評価されており、ユーザーが悪意のあるファイルを開くだけでリモートコード実行(RCE)が可能になります。攻撃者はこれによりシステムを完全に制御し、データ窃盗やランサムウェア攻撃に繋がる可能性があります。また、CVE-2025-59230として、Windows Remote Access Connection Managerにおける不適切なアクセス制御によるローカル特権昇格の脆弱性も修正されており、これも既に悪用が確認されています。

脆弱性の種類別内訳

今回のアップデートで修正された172件の脆弱性は、多岐にわたるカテゴリに分類されます。特に、メモリ安全性のエラー(Use-after-freeやバッファオーバーフローなど)に起因するものが多く見られます。

  • 特権昇格 (Elevation of Privilege): 80件(最も多いカテゴリ)
  • リモートコード実行 (Remote Code Execution): 31件
  • 情報漏洩 (Information Disclosure): 28件
  • セキュリティ機能バイパス (Security Feature Bypass): 11件
  • サービス拒否 (Denial of Service): 11件
  • なりすまし (Spoofing): 10件
  • 改ざん (Tampering): 1件

注目すべきその他の脆弱性

上記ゼロデイ脆弱性以外にも、以下のような重要な修正が含まれています。

  • 特権昇格: Microsoft Graphics ComponentにおけるCVE-2025-49708は、メモリ破損を介してネットワーク経由で特権昇格を可能にします。
  • リモートコード実行: Windows Server Update Service (WSUS) のCVE-2025-59287は、認証なしでネットワーク経由のRCEを許可し、サプライチェーン攻撃のリスクを高めます。
  • 情報漏洩: カーネルメモリリークに関連するCVE-2025-55693CVE-2025-59187などが含まれます。
  • セキュリティ機能バイパス: BitLockerのCVE-2025-55682は、物理的な攻撃によるセキュリティ対策のバイパスを許容する可能性があります。
  • サービス拒否: DirectXのCVE-2025-55698は、ヌルポインタ参照によりサービスを中断させる可能性があります。
  • なりすまし: File ExplorerのCVE-2025-59239やExchange ServerのCVE-2025-59248は、ユーザーを悪意のある行動に誘導する可能性があります。

対策の重要性

これら多数の脆弱性、特に既に悪用が確認されているゼロデイ脆弱性の存在は、組織や個人がシステムを最新の状態に保つことの重要性を強調しています。Microsoft製品をご利用の皆様は、速やかに今回のパッチを適用し、セキュリティリスクを最小限に抑えることを強く推奨します。

元記事: https://gbhackers.com/microsoft-patch-tuesday-october-2025/

投稿をさらに読み込む