- マイクロソフトは、66 年 2025 月時点で XNUMX 件の脆弱性に対するパッチをリリースしており、その中には XNUMX 件のゼロデイ脆弱性 (現在悪用されている脆弱性が XNUMX 件、公開されている脆弱性が XNUMX 件) が含まれています。
- 10 件の重大な脆弱性が修正されました。そのほとんどは、リモート コード実行と権限の昇格に関連するものです。
- 最も深刻なゼロデイ(CVE-2025-33053)は WebDAV に影響を及ぼし、標的型攻撃に使用され、ユーザーの操作が必要になります。
- AdobeやGoogleなどの他のメーカーも今月関連するセキュリティアップデートをリリースしています。
10年2025月XNUMX日火曜日、マイクロソフトは通常の月例セキュリティパッチをリリースしました。として知られている パッチ火曜日合計 66 件の脆弱性を修正しました。 その中でも、特に関連性が高いものとして 2 つのゼロデイ攻撃が目立っています。そのうちの1つはすでに積極的に悪用されており、もう1つは以前に公開されていました。これらの更新プログラムは、Windowsのさまざまなバージョン、Microsoft Officeスイートのアプリケーション、および同社のその他の製品とサービスに影響を与えます。
La 脆弱性の総数はさまざまなカテゴリーにまたがっている権限昇格の問題からリモートコード実行、情報漏洩の問題、サービス拒否の問題まで、さまざまな脆弱性が修正されています。公式発表によると、修正された脆弱性は以下のとおりです。 権限昇格の脆弱性が13件、リモートコード実行の脆弱性が25件、情報漏洩が17件などがある。
ゼロデイ:今月修正された内容
解決された最も重要なバグの2025つはCVE-33053-XNUMXです。これはWindowsのWeb分散オーサリングおよびバージョン管理(WebDAV)システムに影響を与える脆弱性です。この脆弱性は、トルコの防衛企業へのサイバー攻撃の失敗を受けて、Check Point Researchによって検出されました。この脆弱性を悪用することで、攻撃者は 脆弱なコンピュータ上で悪意のあるコードを実行する 被害者が細工されたWebDAV URLをクリックするだけで、正規のWindowsツールを使用して制限を回避できます。公式情報によると、 マイクロソフトは研究者からの報告を受けてパッチをリリースした。.
2番目のゼロデイ、 CVE-2025-33073はWindows SMBクライアントに影響し、 システムレベルで権限の昇格を許可する ユーザーが悪意のあるサーバーに接続させられる場合。この問題は公式パッチが公開される前に公表されましたが、グループポリシーでSMB署名を有効にすることで軽減できます。Microsoftは、この脆弱性の発見は国際的なサイバーセキュリティ専門家チームによるものだとしています。
重大な脆弱性とその他のバグを修正
ゼロデイに加えて、 2025年XNUMX月のアップデートではXNUMX件の重大な脆弱性が修正されました主に以下の製品に重点を置いています。
- Microsoft Office (Excel、Outlook、Word、PowerPoint を含む): プレビュー ペインを使用してシステム上で悪意のあるコードを実行する可能性がある、リモート コード実行の脆弱性が複数あります。
- Microsoft SharePoint サーバー: 認証されたリモート攻撃を可能にするバグ。
- Windows チャネル: 暗号化セキュリティに関連するメモリ リークの問題。
- リモートデスクトップゲートウェイ: ネットワークからの不正アクセスを許可しました。
- Windows ネットログオン KDC プロキシ サービス: 複雑な攻撃を必要とするものの、権限昇格を容易にする欠陥。
- Microsoft パワーオートメーション: CVSS スコア 9.8 のバグ。高リスクと見なされ、今月すでに修正されています。
その他の改善は、Windowsインストーラ、DHCPプロトコル、システムドライバ、ストレージ管理に影響を及ぼしています。各ケースの詳細な技術分析が必要な方のために、パッチの完全なリストは Microsoft の公式 Web サイトで入手できます。
サードパーティのセキュリティアップデート
Adobe、Cisco、Fortinet、Google、HPE、Ivanti、Qualcomm、Roundcube、SAPも公開している。 同社の製品に対する最近の重要なパッチ類似の、あるいは潜在的に悪用される可能性のあるセキュリティ上の発見に対応する。主な内容は以下のとおり。 AdobeがAcrobat、InDesign、Experience Managerアプリケーションをアップデート、GoogleがAndroidとChromeの修正プログラムを公開、これは現在も悪用されている脆弱性をいくつか隠蔽します。
研究者や企業が新たな欠陥を発見し、脅威が進化するにつれ、テクノロジーエコシステムではセキュリティパッチの適用が継続的に行われています。推奨事項 システムを常に最新の状態に保つことが重要ですすぐにパッチを適用してください 不必要なリスクを回避するため。
解決された脆弱性の内訳
月次アップデートに含まれる最も関連性の高い脆弱性の一部は次のとおりです。
- CVE-2025-47162、CVE-2025-47164、CVE-2025-47167、CVE-2025-47953 (Office): プレビュー ペインおよびローカル アクセス経由の攻撃の可能性があります。
- CVE-2025-47172 (SharePoint): 認証されたユーザーによるリモート コード実行。
- CVE-2025-29828 (Schannel): 暗号化サービスにおけるメモリ リーク。
- CVE-2025-32710 (リモート デスクトップ ゲートウェイ): 不正なリモート アクセス。
- CVE-2025-33070およびCVE-2025-47966: Netlogon および Power Automate での権限の昇格。
これらのパッチは、複数のオペレーティングシステムのサービスとコンポーネント、Officeアプリケーション、管理ユーティリティにわたる数十の重大なバグにも対処しています。マイクロソフトは、 技術ノートを確認することの重要性 特に複雑なシステムを管理している場合には、各更新に付随する変更は、企業環境の構成に応じて特定のアクションや追加の検証が必要になることがあるため、重要です。
2025年XNUMX月のアップデートでは、 高度な攻撃を阻止し、システムの完全性を確保するためのマイクロソフトの取り組み脆弱性の悪用が依然としてコンピューターセキュリティの主な脅威の 1 つとなっている状況です。