サイバーニュース.jp

世界のサイバーなニュースを配信

Microsoft 2025年10月度パッチチューズデー:6件のゼロデイと172件の脆弱性を修正

カテゴリ:

, , , , , , , , ,

概要:2025年10月度パッチチューズデー

Microsoftは2025年10月14日、月例のセキュリティ更新プログラム「パッチチューズデー」を公開しました。今回の更新では、合計172件の脆弱性が修正され、その中には6件のゼロデイ脆弱性が含まれています。また、8件の「緊急」と評価された脆弱性も修正されており、これらには5件のリモートコード実行(RCE)と3件の特権昇格(EoP)の脆弱性が含まれています。

今回のパッチチューズデーは、Windows 10にとって無償のセキュリティアップデートが提供される最後の機会となります。引き続きセキュリティアップデートを受け取るには、延長セキュリティ更新プログラム(ESU)への加入が必要です。

修正されたゼロデイ脆弱性の詳細

今月のパッチチューズデーで修正された6件のゼロデイ脆弱性のうち、2件は公開済み、4件は悪用が確認されています。以下に主なゼロデイ脆弱性を挙げます。

  • CVE-2025-24990 / CVE-2025-24052 – Windows Agere Modem Driverの特権昇格の脆弱性: 管理者権限の取得に悪用されたAgereモデムドライバーが削除されます。このドライバーの削除により、関連するFAXモデムハードウェアが機能しなくなる可能性があります。
  • CVE-2025-59230 – Windows Remote Access Connection Managerの特権昇格の脆弱性: SYSTEM権限の取得に悪用されたWindows Remote Access Connection Managerの脆弱性が修正されました。
  • CVE-2025-47827 – MITRE CVE-2025-47827: IGEL OSのセキュアブートバイパス: IGEL OSのセキュアブートがバイパスされる脆弱性に対する修正が含まれています。
  • CVE-2025-0033 – AMD CVE-2025-0033: SNP初期化中のRMP破損: AMD EPYCプロセッサのSecure Encrypted Virtualization – Secure Nested Paging (SEV-SNP)における競合状態の脆弱性で、メモリ整合性に影響を与える可能性があります。
  • CVE-2025-2884 – Cert CC: CVE-2025-2884 TCG TPM2.0参照実装における境界外読み取りの脆弱性: TPMの情報漏洩またはサービス拒否につながる可能性のある脆弱性が修正されました。

脆弱性のカテゴリ別内訳

今回のアップデートで修正された脆弱性のカテゴリ別内訳は以下の通りです。

  • 特権昇格の脆弱性: 80件
  • セキュリティ機能バイパスの脆弱性: 11件
  • リモートコード実行の脆弱性: 31件
  • 情報漏洩の脆弱性: 28件
  • サービス拒否の脆弱性: 11件
  • なりすましの脆弱性: 10件

Windows 10のサポート終了

本日をもって、Windows 10は無償のセキュリティサポートが終了します。企業および個人ユーザーは、引き続きセキュリティアップデートを受け取るために、Extended Security Updates (ESU) プログラムに登録する必要があります。ESUは、個人ユーザー向けには1年間、企業向けには最大3年間提供されます。

その他のベンダーからの更新

Microsoft以外にも、2025年10月にセキュリティアップデートやアドバイザリをリリースしたベンダーが多数あります。

  • Adobe: 各種製品のセキュリティアップデートをリリース。
  • Cisco: Cisco IOS、Cisco Unified Communications Manager、Cyber Vision Centerのパッチをリリース。
  • Draytek: 複数のVigorルーターモデルにおける認証前RCE脆弱性のセキュリティアップデートをリリース。
  • Gladinet: CentreStackのゼロデイ脆弱性について顧客に警告。
  • Ivanti: Ivanti Endpoint Manager Mobile (EPMM) および Ivanti Neurons for MDMのセキュリティアップデートをリリース。
  • Oracle: 2件の悪用が確認されたE-Business Suiteのゼロデイ脆弱性に対するセキュリティアップデートをリリース。
  • Redis: 最大深刻度のRCE脆弱性を修正するセキュリティアップデートをリリース。
  • SAP: Netweaverの最大深刻度コマンド実行脆弱性を含む、複数の製品の10月度セキュリティアップデートをリリース。
  • Synacor: Zimbra Collaboration Suiteのゼロデイ脆弱性に対するセキュリティアップデートをリリース。

元記事: https://www.bleepingcomputer.com/news/microsoft/microsoft-october-2025-patch-tuesday-fixes-6-zero-days-172-flaws/

投稿をさらに読み込む