2025年2月の「Windows Update」が公開 ～ゼロデイ、「Critical」を含む57件の脆弱性に対処

2025年2月のセキュリティ更新プログラム

　米Microsoftは2月11日（現地時間）、すべてのサポート中バージョンのWindowsに対し月例のセキュリティ更新プログラムをリリースした（パッチチューズデー）。現在、「Windows Update」や「Windows Update カタログ」などから入手可能。Windows以外の製品も含め、今月のパッチではCVE番号ベースで57件（サードパーティーのものも含めれば67件）の脆弱性が新たに対処されている。

　このうち、すでに悪用が確認されているゼロデイ脆弱性は、以下の2件。深刻度の評価は「Important」にとどまるものの、できるだけ早い対処が必要だ。

• CVE-2025-21418：Windows Ancillary Function Driver for WinSock Elevation of Privilege Vulnerability
• CVE-2025-21391：Windows Storage Elevation of Privilege Vulnerability

　加えて、以下の2件はすでに攻撃手法が明らかにされている。悪用の事例はまだ確認されていないが、攻撃に用いられる懸念がある。深刻度の評価は、いずれも「Important」。

• CVE-2025-21194：Microsoft Surface Security Feature Bypass Vulnerability
• CVE-2025-21377：NTLM Hash Disclosure Spoofing Vulnerability

　深刻度が4段階中最高の「Critical」と評価されている脆弱性は、以下の3件。リモートコード実行や権限昇格などにつながる恐れがある。

• CVE-2025-21379：DHCP Client Service Remote Code Execution Vulnerability
• CVE-2025-21177：Microsoft Dynamics 365 Sales Elevation of Privilege Vulnerability
• CVE-2025-21376：Windows Lightweight Directory Access Protocol (LDAP) Remote Code Execution Vulnerability

Windows 10/11およびWindows Server 2016/2019/2022

　最大深刻度は「緊急」（リモートでコードが実行される）。先月末にリリースされた「KB5050094」「KB5050081」「KB5050092」の一部機能に加え、セキュリティ修正が含まれる。

• Windows 11 バージョン 24H2：KB5051987
• Windows 11 バージョン 23H2：KB5051989
• Windows 11 バージョン 22H2：KB5051989
• Windows 10 バージョン 22H2：KB5051974
• Windows Server 2025：KB5051987
• Windows Server 2022：KB5051979
• Windows Server 2019：KB5052000
• Windows Server 2016：KB5052006

　また、「Windows 11 バージョン 24H2」環境では「KB5051987」の適用で以下の問題が解決される。

• 「自動 HDR」が有効になっている場合、ゲームが応答しなくなったり、正しくない色が表示されたりすることがある
• 管理者権限を持たないユーザーが［日付と時刻］設定ページでOSのタイムゾーンを変更できなくなる

Microsoft Office関連のソフトウェア

　「Microsoft Office」関連のセキュリティ修正に関しては、以下のドキュメントを参照のこと。

• Release notes for Microsoft Office security updates - Office release notes
• February 2025 updates for Microsoft Office - Microsoft Support

Microsoft Edge

　「Microsoft Edge」は、「パッチチューズデー」とは関係なくアップデートされている。直近のセキュリティ修正は、米国時間2月6日にリリースされたv133.0.3065.51。バージョンがこれ以降になっていることを確認したい。

　iOS版やAndroid版にもセキュリティアップデートがあるので、常にバージョンを最新に保つよう心がけよう。

Microsoft Visual Studio

　「Visual Studio」関連では、2件の脆弱性が修正された（影響する脆弱性は、バージョンによって異なる）。

• CVE-2023-32002（重要：リモートでコードが実行される）
• CVE-2025-21206（重要：特権の昇格）

　以下のサポート中バージョンを、最新版へ更新する必要がある。

• 「Microsoft Visual Studio 2022」v17.12
• 「Microsoft Visual Studio 2022」v17.10
• 「Microsoft Visual Studio 2022」v17.8
• 「Microsoft Visual Studio 2019」v16.11
• 「Microsoft Visual Studio 2017」v15.9

Microsoft SharePoint

　「Microsoft SharePoint」関連の脆弱性修正は、以下の1件。

• CVE-2025-21400（重要：リモートでコードが実行される）

Microsoft .NET Framework/.NET

　「.NET Framework」「.NET」のアップデートに関しては、公式ブログを参照のこと。今月はセキュリティ関連の修正はないようだ。

• .NET and .NET Framework February 2025 servicing releases updates - .NET Blog

そのほかの製品

　そのほかにも、以下の製品に対しセキュリティアップデートが提供されている。括弧内は最大深刻度。

• Visual Studio Code - JS Debug Extension：1件（重要）
• Visual Studio Code：1件（重要）
• Surface Windows Dev Kit：1件（重要）
• Surface Laptop 4 with Intel Processor：1件（重要）
• Surface Laptop 4 with AMD Processor：1件（重要）
• Surface Laptop 3 with Intel Processor：1件（重要）
• Microsoft Surface Pro 9 ARM：1件（重要）
• Microsoft Surface Pro 8：1件（重要）
• Microsoft Surface Pro 7+：1件（重要）
• Microsoft Surface Laptop Go 3：1件（重要）
• Microsoft Surface Laptop Go 2：1件（重要）
• Microsoft Surface Laptop Go：1件（重要）
• Microsoft Surface Hub 3：1件（重要）
• Microsoft Surface Hub 2S：1件（重要）
• Microsoft Surface Hub：1件（重要）
• Microsoft Surface Go 3：1件（重要）
• Microsoft Surface Go 2：1件（重要）
• Microsoft PC Manager：1件（重要）
• Microsoft Outlook for Android：1件（重要）
• Microsoft HPC Pack 2019/2016：1件（重要）
• Microsoft AutoUpdate for Mac：1件（重要）
• Dynamics 365 Sales：1件（緊急）
• CBL Mariner 2.0 x64/ARM：51件（重要）
• CBL Mariner 1.0 x64/ARM：7件（不明）
• Azure Network Watcher VM Extension
• Azure Linux 3.0 x64/ARM：65件（不明）