ニュース

ゼロデイ多数、比較的大規模 ~Microsoft、2025年10月の「Windows Update」を実施

「Windows 10」「Office 2016」「Office 2019」などサポート終了製品多し、注意

2025年10月15日 07:05

Microsoft、2025年10月の「Windows Update」「Microsoft Update」を実施

 米Microsoftは10月14日(現地時間)、すべてのサポート中バージョンのWindowsに対し月例のセキュリティ更新プログラムをリリースした(パッチチューズデー)。現在、「Windows Update」や「Windows Update カタログ」などから入手可能。Windows以外の製品も含め、今月のパッチではCVE番号ベースで177件(サードパーティーのものを含めると195件)の脆弱性が新たに対処されている。

 このうち、すでに悪用が確認されているゼロデイ脆弱性は3件。

  • CVE-2025-47827:IGEL OS 11 以前のセキュア ブート バイパス
  • CVE-2025-24990:Windows Agere モデム ドライバーの特権昇格の脆弱性
  • CVE-2025-59230:Windows Remote Access Connection Manager の特権昇格の脆弱性

 深刻度の評価は「Important」にとどまるが、できるだけ早い対処が望ましい。

 すでに攻撃手法が明らかになっており、いつ悪用されてもおかしくない脆弱性は、以下の3件。

  • CVE-2025-0033:AMD CVE-2025-0033: SNP 初期化中の RMP の破損
  • CVE-2025-2884:Cert CC: CVE-2025-2884 TPM2.0 リファレンス実装における境界外読み取りの脆弱性
  • CVE-2025-24052:Windows Agere モデム ドライバーの特権昇格の脆弱性

 深刻度の評価は、AMD CPUの仮想化セキュリティ機能「SEV-SNP」におけるメモリページ破損の脆弱性「CVE-2025-0033」が「Critical」。リストにあるほかの2件は「Important」と評価されている。

 深刻度が最高の「Critical」と評価された脆弱性は、以下の16件(前述のAMD脆弱性を除く)。「Office」や「Microsoft 365 Copilot」、「Windows Server Update Service」(WSUS)などに影響する。

  • CVE-2025-59292:Azure Compute Gallery の特権昇格の脆弱性
  • CVE-2025-59218:Azure Entra ID に存在する特権昇格の脆弱性
  • CVE-2025-59246:Azure Entra ID に存在する特権昇格の脆弱性
  • CVE-2025-55321:Azure Monitor Log Analytics のスプーフィングの脆弱性
  • CVE-2025-59247:Azure PlayFab の特権昇格の脆弱性
  • CVE-2025-59291:Confidential Azure Container Instances の特権昇格の脆弱性
  • CVE-2025-59272:Copilot のスプーフィングの脆弱性
  • CVE-2025-59286:Copilot のスプーフィングの脆弱性
  • CVE-2025-59252:Microsoft 365 Copilot のスプーフィングの脆弱性
  • CVE-2025-59236:Microsoft Excel のリモートでコードが実行される脆弱性
  • CVE-2025-59227:Microsoft Office のリモート コードが実行される脆弱性
  • CVE-2025-59234:Microsoft Office のリモート コードが実行される脆弱性
  • CVE-2016-9535:MITRE CVE-2016-9535: LibTIFF ヒープ バッファ オーバーフローの脆弱性
  • CVE-2025-59271:Redis Enterprise の特権昇格の脆弱性
  • CVE-2025-49708:Microsoft Graphics コンポーネントの特権昇格の脆弱性
  • CVE-2025-59287:Windows Server Update Service (WSUS) のリモートでコードが実行される脆弱性

 なお、今月は「Windows 10」「Office 2016」「Office 2019」を筆頭に、サービス終了やサポート終了を迎える製品が多くある。これらの製品に対するセキュリティパッチの提供は今後なくなるので、利用の継続はセキュリティリスクが高い。後継バージョンや代替製品への移行をできるだけ早く済ませるべきだ。

関連記事

Windows 10/11およびWindows Server 2016/2019/2022

 最大深刻度は「緊急」(リモートでコードが実行される)。今月より「Windows 11 バージョン 25H2」にもパッチが配信されるが、内容は「バージョン 24H2」と共通だ。

 一方で、「Windows 10 バージョン 22H2」(「Windows 10」の最終バージョン)はサービスの終了を迎える。「Windows 11」への移行や「拡張セキュリティ更新プログラム」(Extended Security Update:ESU)への加入が必要だ。

「Windows 10」はサービス終了

 なお、「Windows 11 バージョン 25H2」におけるハイライトは以下の通り。パッチの内容は「バージョン 24H2」と同じなので、これらの改善の恩恵は「バージョン 24H2」でも受けられる。

ハードウェアインジケーターの表示位置をカスタマイズ
セカンダリモニターでも通知センターが利用可能に
「エクスプローラー」でAIアクションが利用可能に

 なお、一部機能は当初対象を絞って提供される。そのため、アップデートしてもすぐには利用できるようになるとは限らない点には注意したい。

Microsoft Office関連のソフトウェア

 「Microsoft Office」関連のセキュリティ修正に関しては、以下のドキュメントを参照のこと。

 深刻度「Critical」の脆弱性が複数含まれているので、できるだけ早い対応が望ましい。

Microsoft Edge

 「Microsoft Edge」は、「パッチチューズデー」とは関係なくアップデートされている。直近のセキュリティ修正は、米国時間10月9日にリリースされたv141.0.3537.7。

関連記事

 加えて、今夏よりセキュリティ攻撃の的となっている「IE モード」に制限が加えられる。「IE モード」を利用している個人ユーザーは注意が必要だ。

Microsoft Exchange Server

 「Microsoft Exchange Server」関連では、3件の脆弱性が修正された。

Microsoft Visual Studio

 「Microsoft Visual Studio」では、4件の脆弱性が修正された(影響範囲はバージョンによって異なる)。

 以下の対策済みバージョンへのアップデートが必要だ。

  • 「Visual Studio 2022」v17.14
  • 「Visual Studio 2022」v17.12
  • 「Visual Studio 2022」v17.10
  • 「Visual Studio 2019」v16.11
  • 「Visual Studio 2017」v15.9

 なお、「Visual Studio 2015」はサービスを終了した。今後、セキュリティパッチが提供されることはない。

Microsoft SharePoint

 「Microsoft SharePoint」関連でも、6件の脆弱性が修正された。

Microsoft .NET Framework/.NET

 「.NET Framework」では、1件の脆弱性が修正された。

 「.NET 8.0」「.NET 9.0」における脆弱性修正は、2件。

 「ASP.NET Core」では、1件の脆弱性が修正された。

「Unity」製のゲーム

 今月初め、「Unity」ランタイムでリモート攻撃のおそれのある脆弱性「CVE-2025-59489」が発見され、多くのアプリ・ゲームが影響を受けることが明らかになった。

 Microsoft製のアプリ・ゲームのなかにも、アップデートが必要となる製品が大量にあるので注意したい。

  • Zoo Tycoon Friends
  • Wasteland Remastered
  • Wasteland 3
  • Warcraft Rumble
  • The Elder Scrolls: Legends
  • The Elder Scrolls: Castles
  • The Elder Scrolls: Blades
  • The Elder Scrolls IV: Oblivion Remastered Companion App
  • The Bard's Tale Trilogy
  • Starfield Companion App
  • Pillars of Eternity: Hero Edition
  • Pillars of Eternity: Definitive Edition
  • Pillars of Eternity II: Deadfire - Ultimate Edition
  • Pillars of Eternity II: Deadfire
  • Pillars of Eternity
  • Mighty Doom
  • Microsoft Mesh PC Applications
  • Microsoft Mesh for Meta Quest
  • Knights and Bikes
  • Hearthstone
  • Halo Recruit
  • Grounded 2 Artbook
  • Ghostwire: Tokyo - Prelude
  • Gears POP!
  • Forza Customs
  • Fallout Shelter
  • DOOM: Dark Ages Companion App
  • DOOM II
  • DOOM
  • Avowed Artbook

そのほかの製品

 そのほかにも、以下の製品に対しセキュリティアップデートが提供されている。括弧内は最大深刻度。

  • Xbox Gaming Services:1件(重要)
  • Windows App Client for Windows Desktop:1件(重要)
  • Remote Desktop client for Windows Desktop:1件(重要)
  • PowerShell 7.5:1件(重要)
  • PowerShell 7.4:1件(重要)
  • Microsoft JDBC Driver 13.2 for SQL Server:1件(重要)
  • Microsoft JDBC Driver 12.8 for SQL Server:1件(重要)
  • Microsoft JDBC Driver 12.6 for SQL Server:1件(重要)
  • Microsoft JDBC Driver 12.4 for SQL Server:1件(重要)
  • Microsoft JDBC Driver 12.2 for SQL Server:1件(重要)
  • Microsoft JDBC Driver 12.10 for SQL Server:1件(重要)
  • Microsoft JDBC Driver 11.2 for SQL Server:1件(重要)
  • Microsoft JDBC Driver 10.2 for SQL Server:1件(重要)
  • Microsoft Entra ID:2件(重要)
  • Microsoft Defender for Endpoint for Linux:1件(重要)
  • Microsoft Configuration Manager 2503:2件(重要)
  • Microsoft Configuration Manager 2409:2件(重要)
  • Microsoft Configuration Manager 2403:2件(重要)
  • Microsoft 365 Copilot's Business Chat:2件(緊急)
  • Azure PlayFab:1件(緊急)
  • Azure Monitor Agent:2件(重要)
  • Azure Monitor:1件(緊急)
  • Azure Managed Redis:1件(緊急)
  • Azure Confidential Compute VM SKU ECasv6/ECadsv6:1件(緊急)
  • Azure Confidential Compute VM SKU ECasv5/ECadsv5:1件(緊急)
  • Azure Confidential Compute VM SKU DCasv6/DCadsv6:1件(緊急)
  • Azure Confidential Compute VM SKU DCasv5/DCadsv5:1件(緊急)
  • Azure Compute Gallery:2件(緊急)
  • Azure Cache for Redis Enterprise:1件(緊急)
  • Arc Enabled Servers - Azure Connected Machine Agent:2件(重要)
Amazonで購入