ニュース

2025年最初の「Windows Update」、159件の脆弱性に対処 ~悪用あり、致命的なものも多数

かならず適用を

2025年1月15日 09:15

2025年1月のセキュリティ更新プログラム

 米Microsoftは1月14日(現地時間)、すべてのサポート中バージョンのWindowsに対し月例のセキュリティ更新プログラムをリリースした(パッチチューズデー)。現在、「Windows Update」や「Windows Update カタログ」などから入手可能。Windows以外の製品も含め、今月のパッチではCVE番号ベースで159件(サードパーティーのものも含めれば161件)の脆弱性が新たに対処されている。

 このうち、すでに悪用が確認されているゼロデイ脆弱性は3件。深刻度の評価は「Important」にとどまるものの、攻撃手法も公開されており、できるだけ早い対処が必要だ。

  • CVE-2025-21333:Windows Hyper-V NT Kernel Integration VSP Elevation of Privilege Vulnerability
  • CVE-2025-21334:Windows Hyper-V NT Kernel Integration VSP Elevation of Privilege Vulnerability
  • CVE-2025-21335:Windows Hyper-V NT Kernel Integration VSP Elevation of Privilege Vulnerability

 加えて、以下の5件はすでに攻撃手法が明らかにされている。深刻度の評価は「Important」で、まだ悪用は確認されていないが、警戒が必要だ。

 深刻度が4段階中最高の「Critical」と評価されている脆弱性は、11件。

  • CVE-2025-21380:Azure Marketplace SaaS Resources Information Disclosure Vulnerability
  • CVE-2025-21296:BranchCache Remote Code Execution Vulnerability
  • CVE-2025-21294:Microsoft Digest Authentication Remote Code Execution Vulnerability
  • CVE-2025-21385:Microsoft Purview Information Disclosure Vulnerability
  • CVE-2025-21295:SPNEGO Extended Negotiation (NEGOEX) Security Mechanism Remote Code Execution Vulnerability
  • CVE-2025-21178:Visual Studio Remote Code Execution Vulnerability
  • CVE-2025-21311:Windows NTLM V1 Elevation of Privilege Vulnerability
  • CVE-2025-21298:Windows OLE Remote Code Execution Vulnerability
  • CVE-2025-21307:Windows Reliable Multicast Transport Driver (RMCAST) Remote Code Execution Vulnerability
  • CVE-2025-21297:Windows Remote Desktop Services Remote Code Execution Vulnerability
  • CVE-2025-21309:Windows Remote Desktop Services Remote Code Execution Vulnerability

Windows 10/11およびWindows Server 2016/2019/2022

 最大深刻度は「緊急」(リモートでコードが実行される)。年末年始のため先月はオプションのプレビューパッチがリリースされなかったせいもあり、新機能や改善のアナウンスはない。セキュリティ修正に注力しているようだ。脆弱なドライバーのブロックリストもアップデートされ、セキュリティの強化も図られている。

Microsoft Office関連のソフトウェア

 「Microsoft Office」関連のセキュリティ修正に関しては、以下のドキュメントを参照のこと。

 なお、Windows Server 2016/2019環境でクラシック「Outlook」アプリや「Microsoft 365」アプリがクラッシュする不具合が確認されているので注意。

Microsoft Edge

 「Microsoft Edge」は、「パッチチューズデー」とは関係なくアップデートされている。直近のセキュリティ修正は、米国時間1月10日にリリースされたv131.0.2903.112。

関連記事

Microsoft Visual Studio

 「Visual Studio」関連では、7件の脆弱性が修正された(影響する脆弱性は、バージョンによって異なる)。

 以下のサポート中バージョンを、最新版へ更新する必要がある。

  • 「Microsoft Visual Studio 2022」v17.12
  • 「Microsoft Visual Studio 2022」v17.10
  • 「Microsoft Visual Studio 2022」v17.8
  • 「Microsoft Visual Studio 2022」v17.6
  • 「Microsoft Visual Studio 2019」v16.11
  • 「Microsoft Visual Studio 2017」v15.9

Microsoft SharePoint

 「Microsoft SharePoint」関連の脆弱性修正は、以下の3件。

Microsoft .NET Framework/.NET

 「.NET Framework」でも、1件の脆弱性が修正された。

  • CVE-2025-21176(重要:リモートでコードが実行される)

 「.NET」では4件の脆弱性が修正されている。

そのほかの製品

 そのほかにも、以下の製品に対しセキュリティアップデートが提供されている。括弧内は最大深刻度。

  • Power Automate for Desktop:1件(重要)
  • On-Premises Data Gateway:1件(重要)
  • Microsoft Purview:1件(緊急)
  • Microsoft AutoUpdate for Mac:1件(重要)
  • Marketplace SaaS:1件(緊急)
  • CBL Mariner 2.0 x64/ARM:36件(不明)
  • CBL Mariner 1.0 x64/ARM:6件(不明)
  • Azure Linux 3.0 x64/ARM:39件(不明)
Amazonで購入