概要:2025年12月のパッチチューズデー
2025年12月のマイクロソフト月例パッチが公開され、合計57件のセキュリティ脆弱性が修正されました。今回のアップデートには、すでに活発に悪用されている1件と、公開済みの2件を含む3件のゼロデイ脆弱性への対処が含まれています。また、3件の「緊急」リモートコード実行(RCE)の脆弱性も修正されています。脆弱性のカテゴリ別の内訳は以下の通りです。
- 特権昇格の脆弱性: 28件
- リモートコード実行の脆弱性: 19件
- 情報漏洩の脆弱性: 4件
- サービス拒否の脆弱性: 3件
- なりすましの脆弱性: 2件
この集計には、Microsoft EdgeやMarinerの脆弱性は含まれていません。
詳細:3件のゼロデイ脆弱性への対処
今月のパッチでは、以下の3件のゼロデイ脆弱性が修正されました。
CVE-2025-62221 – Windows Cloud Files Mini Filter Driver の特権昇格の脆弱性
Windows Cloud Files Mini Filter Driverにおける、活発に悪用されている特権昇格の脆弱性です。Microsoftによると、「Windows Cloud Files Mini Filter DriverでのUse-after-freeの脆弱性により、認証された攻撃者がローカルで特権を昇格できる」と説明されています。この脆弱性が悪用されると、攻撃者はSYSTEM権限を獲得する可能性があります。
CVE-2025-64671 – GitHub Copilot for Jetbrains のリモートコード実行の脆弱性
これは公開済みの脆弱性で、GitHub Copilot for Jetbrainsにおけるコマンドインジェクションの欠陥です。Microsoftは、「Copilotにおけるコマンドの特殊要素の不適切な無効化(コマンドインジェクション)により、不正な攻撃者がローカルでコードを実行できる」と述べています。特に、信頼されていないファイルやMCPサーバーにおけるクロスプロンプトインジェクションを通じて悪用される可能性があります。
CVE-2025-54100 – PowerShell のリモートコード実行の脆弱性
こちらも公開済みの脆弱性で、PowerShellにおいてウェブページに埋め込まれたスクリプトがInvoke-WebRequestで取得された際に実行される可能性がありました。Microsoftは、Invoke-WebRequestを使用する際に警告を表示し、ユーザーに-UseBasicParsingスイッチの追加を促す変更を行いました。これにより、スクリプト実行のリスクを軽減できます。
その他の主要ベンダーからのセキュリティアップデート
2025年12月には、他の主要なIT企業からもセキュリティアップデートやアドバイザリが公開されています。
- Adobe: ColdFusion、Experience Manager、DNG SDK、Acrobat Reader、Creative Cloud Desktopのセキュリティアップデートを公開しました。
- Fortinet: 深刻なFortiCloud SSO Login Authentication Bypassの欠陥を含む、複数の製品のセキュリティアップデートを公開しました。
- Google: Androidの2件の活発に悪用されている脆弱性に対する修正を含む、12月のセキュリティ速報を公開しました。
- Ivanti: Ivanti Endpoint Managerにおける深刻度9.6/10のStored XSSの欠陥を含むセキュリティパッチをリリースしました。
- React: React Server Componentsにおける深刻なRCE脆弱性「React2Shell」のセキュリティアップデートを公開しました。この脆弱性は現在、攻撃で広く悪用されています。
- SAP: SAP Solution Managerにおける深刻度9.9/10のコードインジェクションの欠陥を含む、複数の製品のセキュリティアップデートを公開しました。
まとめ
今回の2025年12月の月例パッチでは、特に悪用が確認されているゼロデイ脆弱性を含む多数の欠陥が修正されました。システムを保護するためには、これらのセキュリティアップデートを速やかに適用することが極めて重要です。ユーザーは、提供されたKB記事や各ベンダーからの情報を確認し、自社の環境に合った適切な対策を講じる必要があります。