概要:ゼロデイ脆弱性への緊急対応
Microsoftは2025年11月のパッチチューズデー更新プログラムをリリースし、合計63件のセキュリティ脆弱性に対処しました。今回の更新で最も注目すべきは、Windowsカーネルのゼロデイ脆弱性(CVE-2025-62215)に対する修正です。この脆弱性はすでに悪用が確認されており、システム管理者には最優先でのパッチ適用が強く推奨されています。
この脆弱性は「重要」と評価されており、悪用されると認証された攻撃者が侵害されたシステム上で特権を昇格させる可能性があります。不正なシステムアクセスや制御を防ぐため、迅速な対応が求められます。
深刻なリモートコード実行(RCE)の脅威
今月の更新では、5件の「緊急」と評価された脆弱性が修正されており、その大半がリモートコード実行(RCE)につながる可能性があります。これにより、攻撃者は標的システム上で任意のコードを実行できるようになります。主な緊急の脆弱性は以下の通りです。
- CVE-2025-62199: Microsoft Office – 認証されていない攻撃者がローカルでコードを実行できる、解放後使用(Use-after-free)の脆弱性。
- CVE-2025-60724: Microsoft Graphics Component (GDI+) – 認証されていない攻撃者がネットワーク経由でコードを実行できる、ヒープベースのバッファオーバーフロー。
- CVE-2025-62214: Visual Studio – 認証された攻撃者がローカルでコードを実行できる、コマンドインジェクションの脆弱性。
- CVE-2025-60716: DirectX Graphics Kernel – 認証された攻撃者がローカルで特権を昇格できる、解放後使用(Use-after-free)の脆弱性。
- CVE-2025-30398: Nuance PowerScribe 360 – 認証チェックの欠如により、認証されていない攻撃者がネットワーク経由で情報を開示できる脆弱性。
脆弱性の詳細と影響範囲
2025年11月のセキュリティ更新プログラムは、Microsoft Windows、Office、Azure、Visual Studio、Dynamics 365など、幅広い製品を対象としています。脆弱性のカテゴリ別内訳は以下の通りです。
- 特権昇格 (Elevation of Privilege): 29件
- リモートコード実行 (Remote Code Execution): 16件
- 情報漏洩 (Information Disclosure): 11件
- サービス拒否 (Denial of Service): 3件
- なりすまし (Spoofing): 2件
- セキュリティ機能バイパス (Security Feature Bypass): 2件
合計63件の脆弱性のうち、57件が「重要」と評価されています。特に、CVE-2025-59512(Customer Experience Improvement Programの特権昇格)、CVE-2025-60705(Windows Client-Side Cachingの特権昇格)、およびWindows Ancillary Function Driver for WinSockの複数の脆弱性(CVE-2025-60719、CVE-2025-62217、CVE-2025-62213)は、「悪用される可能性が高い」とされています。
注目すべきその他の脆弱性
今回のパッチチューズデーでは、AI関連ツールにおける脆弱性も報告されています。
- CVE-2025-62222: Agentic AI and Visual Studio Code – Visual Studio Code CoPilot Chat Extensionにおけるコマンドインジェクションにより、認証されていない攻撃者がネットワーク経由でコードを実行できる脆弱性。
- CVE-2025-62453: GitHub Copilot and Visual Studio Code – GitHub CopilotおよびVisual Studio Codeにおける生成AI出力の不適切な検証により、認証された攻撃者がローカルでセキュリティ機能をバイパスできる脆弱性。
推奨される対策
ゼロデイ脆弱性の活発な悪用が確認されていること、および複数の緊急性の高い脆弱性が存在する状況を鑑み、ユーザーおよびシステム管理者は、潜在的な脅威からシステムを保護するために、これらのセキュリティパッチを直ちに適用することが強く推奨されます。
元記事: https://gbhackers.com/microsoft-patch-tuesday-november-2025/