ニュース
Microsoft、2025年7月の「Windows Update」を実施 ~「Office」やAMD CPUの致命的問題にも対処
ゼロデイを含む130件の脆弱性を修正
2025年7月9日 08:22
米Microsoftは7月9日(現地時間)、すべてのサポート中バージョンのWindowsに対し月例のセキュリティ更新プログラムをリリースした(パッチチューズデー)。現在、「Windows Update」や「Windows Update カタログ」などから入手可能。Windows以外の製品も含め、今月のパッチではCVE番号ベースで130件(サードパーティーのものも含めれば140件)の脆弱性が新たに対処されている。
このうち、すでに攻撃手法が明らかになっているゼロデイ脆弱性は、以下の1件(すでに「Microsoft Edge」で修正されたものを除く)。悪用の報告はまだないが、できるだけ早い対処が望ましい。
- CVE-2025-49719:Microsoft SQL Server の情報漏えいの脆弱性
深刻度は「Important」と評価されている。
深刻度が最高の「Critical」と評価された脆弱性は、以下の12件。「Office」や「SharePoint」、「SQL Server」、「Hyper-V」といった自社製品に加え、AMD製CPUの修正も含まれる。
- CVE-2025-36350:AMD: CVE-2024-36350 ストア キューでの一時スケジューラ攻撃
- CVE-2025-36357:AMD: CVE-2025-36357 L1 データ キューでの一時スケジューラ攻撃
- CVE-2025-49695:Microsoft Office のリモート コードが実行される脆弱性
- CVE-2025-49696:Microsoft Office のリモート コードが実行される脆弱性
- CVE-2025-49697:Microsoft Office のリモート コードが実行される脆弱性
- CVE-2025-49702:Microsoft Office のリモート コードが実行される脆弱性
- CVE-2025-49704:Microsoft SharePoint のリモート コードが実行される脆弱性
- CVE-2025-49717:Microsoft SQL Server のリモート コードが実行される脆弱性
- CVE-2025-47981:SPNEGO Extended Negotiation (NEGOEX) Security Mechanism Remote Code Execution Vulnerability
- CVE-2025-48822:Windows Hyper-V 個別デバイスの割り当て (DDA) のリモートでコードが実行される脆弱性
- CVE-2025-47980:Windows Imaging Component の情報漏えいの脆弱性
- CVE-2025-49735:Windows KDC プロキシ サービス (KPSSVC) のリモートでコードが実行される脆弱性
Windows 10/11およびWindows Server 2016/2019/2022
最大深刻度は「緊急」(リモートでコードが実行される)。「Windows 11 バージョン 24H2」におけるハイライトは以下の通り。
- プレビュー更新プログラム「KB5060829」でロールアウトされた改善の一部
- Windows 更新プログラムをインストールするコンポーネントであるサービシング スタックの品質が改善
- OS内部機能に関するセキュリティ上の雑多な改善
- 通知音が再生されない問題が解決。画面上のアラート、音量調整およびサインインのサウンドが影響を受けることがあった
OS再起動のたびに「Windows ファイアウォール」のエラーログが記録される問題も解決されているとのこと。
- Windows 11 バージョン 24H2:KB5062553
- Windows 11 バージョン 23H2:KB5062552
- Windows 11 バージョン 22H2:KB5062552
- Windows 10 バージョン 22H2:KB5062554
- Windows Server 2025:KB5062553
- Windows Server 2022:KB5062572
- Windows Server 2019:KB5062557
- Windows Server 2016:KB5062560
なお、サポート終了の近い「Windows 10 バージョン 22H2」で、個人向け拡張セキュリティ更新プログラム(Extended Security Program:ESU)の提供がアナウンスされた。特定の条件を満たせば1年間、追加でセキュリティ更新を受けることができる。一般顧客への展開は7月から開始される予定だ。
Microsoft Office関連のソフトウェア
「Microsoft Office」関連のセキュリティ修正に関しては、以下のドキュメントを参照のこと。
- July 2025 updates for Microsoft Office - Microsoft サポート
- Release notes for Microsoft Office security updates - Office release notes
深刻度「Critical」の脆弱性が含まれているので、できるだけ早い対応が望ましい。
Microsoft Edge
「Microsoft Edge」は、「パッチチューズデー」とは関係なくアップデートされている。直近のセキュリティ修正は、米国時間7月1日にリリースされたv138.0.3351.65。
ゼロデイ脆弱性が修正されているので、かならず更新しておきたい。
Microsoft Visual Studio
「Microsoft Visual Studio」では、8件の脆弱性が修正された。
- CVE-2025-49739(重要:特権の昇格)
- CVE-2025-27613(Unknown)
- CVE-2025-27614(Unknown)
- CVE-2025-46334(Unknown)
- CVE-2025-46835(Unknown)
- CVE-2025-48384(Unknown)
- CVE-2025-48385(Unknown)
- CVE-2025-48386(Unknown)
以下のサポート中バージョンを、最新版へ更新する必要がある。
- 「Microsoft Visual Studio 2022」v17.14
- 「Microsoft Visual Studio 2022」v17.12
- 「Microsoft Visual Studio 2022」v17.10
- 「Microsoft Visual Studio 2022」v17.8
- 「Microsoft Visual Studio 2019」v16.11
- 「Microsoft Visual Studio 2015」v15.9
Microsoft SQL Server
「Microsoft SQL Server」関連では、3件の脆弱性が修正された。深刻度「Critical」の脆弱性が含まれており、警戒が必要だ。
- CVE-2025-49717(緊急:リモートでコードが実行される)
- CVE-2025-49718(重要:情報漏えい)
- CVE-2025-49719(重要:情報漏えい)
Microsoft SharePoint
「Microsoft SharePoint」関連では、4件の脆弱性が修正された。深刻度「Critical」の脆弱性が含まれており、警戒が必要だ。
- CVE-2025-49703(緊急:リモートでコードが実行される)
- CVE-2025-49704(緊急:リモートでコードが実行される)
- CVE-2025-49701(重要:リモートでコードが実行される)
- CVE-2025-49706(重要:なりすまし)
そのほかの製品
そのほかにも、以下の製品に対しセキュリティアップデートが提供されている。括弧内は最大深刻度。
- Windows App Client for Windows Desktop:1件(重要)
- Remote Desktop client for Windows Desktop:1件(重要)
- Python extension for Visual Studio Code:1件(重要)
- Microsoft Teams for Mac:1件(重要)
- Microsoft Teams for iOS:1件(重要)
- Microsoft Teams for Desktop:1件(重要)
- Microsoft Teams for Android:1件(重要)
- Microsoft PC Manager:1件(重要)
- Microsoft Configuration Manager 2503:1件(重要)
- CBL Mariner 2.0 x64/ARM:4件(重要)
- Azure Service Fabric:1件(重要)
- Azure Monitor Agent:1件(重要)
- Azure Linux 3.0 x64/ARM:4件(重要)
