攻撃報告のあるゼロデイ脆弱性は5件 ～Microsoft、2025年5月の「Windows Update」を実施

2025年5月のパッチチューズデー

　米Microsoftは5月13日（現地時間）、すべてのサポート中バージョンのWindowsに対し月例のセキュリティ更新プログラムをリリースした（パッチチューズデー）。現在、「Windows Update」や「Windows Update カタログ」などから入手可能。Windows以外の製品も含め、今月のパッチではCVE番号ベースで75件（サードパーティーのものも含めれば82件）の脆弱性が新たに対処されている。

　このうち、すでに悪用が確認されているゼロデイ脆弱性は、以下の5件。深刻度の評価はいずれも「Important」にとどまるものの、できるだけ早い対処が必要だ。

• CVE-2025-30400：Microsoft DWM Core ライブラリの特権の昇格の脆弱性
• CVE-2025-30397：スクリプト エンジンのメモリ破損の脆弱性
• CVE-2025-32709：WinSock 用 Windows Ancillary Function Driver の特権の昇格の脆弱性
• CVE-2025-32701：Windows 共通ログ ファイル システム ドライバーの特権の昇格の脆弱性
• CVE-2025-32706：Windows 共通ログ ファイル システム ドライバーの特権の昇格の脆弱性

　また、悪用は確認されていないものの、手法が公になっている脆弱性が2件ある。深刻度の評価はいずれも「Important」。

• CVE-2025-26685：Microsoft Defender for Identity のスプーフィングの脆弱性
• CVE-2025-32702：Visual Studio のリモートでコードが実行される脆弱性

　深刻度が最高の「Critical」と評価された脆弱性は、以下の11件。

• CVE-2025-29827：Azure Automation の特権の昇格の脆弱性
• CVE-2025-29813：Azure DevOps Server の特権の昇格の脆弱性
• CVE-2025-29972：Azure Storage リソース プロバイダーのスプーフィングの脆弱性
• CVE-2025-47732：Microsoft Dataverse のリモート コード実行に対する脆弱性
• CVE-2025-33072：Microsoft msagsfeedback.azurewebsites.net の情報漏えいの脆弱性
• CVE-2025-30377：Microsoft Office のリモート コードが実行される脆弱性
• CVE-2025-30386：Microsoft Office のリモート コードが実行される脆弱性
• CVE-2025-47733：Microsoft Power Apps の情報漏えいの脆弱性
• CVE-2025-29833：Microsoft Virtual Machine Bus (VMBus) Remote Code Execution Vulnerability
• CVE-2025-29966：リモート デスクトップ クライアントのリモートでコードが実行される脆弱性
• CVE-2025-29967：リモート デスクトップ クライアントのリモートでコードが実行される脆弱性

Windows 10/11およびWindows Server 2016/2019/2022

　最大深刻度は「緊急」（リモートでコードが実行される）。「Windows 11」では「スマートフォン連携」（Phone Link）アプリを統合した［スタート］画面や「エクスプローラー」の新しいホーム画面が段階的に展開される。

　また、「Windows 11 バージョン 24H2」では「リコール」（Recall）、「クリックで実行」（Click To Do）、セマンティックインデックスを用いた「Windows Search」などのロールアウトも開始される（リコールとクリックで実行はプレビュー機能）。「Copilot+ PC」のポテンシャルをようやく引き出せるようになる重要なアップデートだ。

• Windows 11 バージョン 24H2：KB5058411
• Windows 11 バージョン 23H2：KB5058405
• Windows 11 バージョン 22H2：KB5058405
• Windows 10 バージョン 22H2：KB5058379
• Windows Server 2025：KB5058411
• Windows Server 2022：KB5058385
• Windows Server 2019：KB5058392
• Windows Server 2016：KB5058383

Microsoft Office関連のソフトウェア

　「Microsoft Office」関連のセキュリティ修正に関しては、以下のドキュメントを参照のこと。

• Release notes for Microsoft Office security updates - Office release notes
• May 2025 updates for Microsoft Office - Microsoft Support

　深刻度「Critical」の脆弱性が含まれているので、できるだけ早い対応が望ましい。

Microsoft Edge

　「Microsoft Edge」は、「パッチチューズデー」とは関係なくアップデートされている。直近のセキュリティ修正は、米国時間5月8日にリリースされたv136.0.3240.64。バージョンがこれ以降になっていることを確認したい。

Microsoft Visual Studio

　「Microsoft Visual Studio」では、3件の脆弱性が修正された（影響する脆弱性は、バージョンによって異なる）。

• CVE-2025-26646（重要：なりすまし）
• CVE-2025-32702（重要：リモートでコードが実行される）
• CVE-2025-32703（重要：情報漏洩）

　以下のサポート中バージョンを、最新版へ更新する必要がある。

• 「Microsoft Visual Studio 2022」v17.13
• 「Microsoft Visual Studio 2022」v17.12
• 「Microsoft Visual Studio 2022」v17.10
• 「Microsoft Visual Studio 2022」v17.8
• 「Microsoft Visual Studio 2019」v16.11
• 「Microsoft Visual Studio 2017」v15.9

Microsoft SharePoint

　「Microsoft SharePoint」関連では、4件の脆弱性が修正された。

• CVE-2025-29976（重要：特権の昇格）
• CVE-2025-30378（重要：リモートでコードが実行される）
• CVE-2025-30382（重要：リモートでコードが実行される）
• CVE-2025-30384（重要：リモートでコードが実行される）

.NET

　「.NET 8.0」「.NET 9.0」では、1件の脆弱性が修正された。

• CVE-2025-26646（重要：なりすまし）

そのほかの製品

　そのほかにも、以下の製品に対しセキュリティアップデートが提供されている。括弧内は最大深刻度。

• Windows App Client for Windows Desktop：2件（緊急）
• Visual Studio Code：1件（重要）
• Remote Desktop client for Windows Desktop：2件（緊急）
• Microsoft Power Apps：1件（緊急）
• Microsoft PC Manager：1件（重要）
• Microsoft Defender for Identity：1件（重要）
• Microsoft Defender for Endpoint for Linux：1件（重要）
• Microsoft Dataverse：2件（緊急）
• CBL Mariner 2.0 x64/ARM：141件（不明）
• CBL Mariner 1.0 x64/ARM：7件（不明）
• Build Tools for Visual Studio 2022：1件（重要）
• Azure Storage Resource Provider：1件（緊急）
• Azure Linux 3.0 x64/ARM：148件（不明）
• Azure File Sync v20.0：1件（重要）
• Azure File Sync v19.0：1件（重要）
• Azure DevOps：1件（緊急）
• Azure Automation：1件（緊急）
• Azure AI Document Intelligence Studio：1件（重要）

　「Python」や「Perl」のライブラリ、「zstd-libs」をはじめとするサードパーティライブラリの脆弱性修正も含まれる。