Home / サイバー犯罪 / マイクロソフト、WindowsとOfficeの深刻なゼロデイ含む60件超の脆弱性を修正

マイクロソフト、WindowsとOfficeの深刻なゼロデイ含む60件超の脆弱性を修正

2025年11月18日

出典: Krebs on Security – https://krebsonsecurity.com/2025/11/microsoft-patch-tuesday-november-2025-edition/

原題: Microsoft Patch Tuesday, November 2025 Edition

Microsoft、WindowsおよびOfficeの深刻なゼロデイ脆弱性を含む60件以上の脆弱性を修正

マイクロソフトは、WindowsおよびOffice製品を中心に60件以上のセキュリティ脆弱性を修正するアップデートを公開しました。中でも、既に悪用が確認されているゼロデイ脆弱性が含まれており、Windows 10の追加セキュリティ更新プログラムに関する不具合も解消されています。

主要なポイント

  • ゼロデイ脆弱性「CVE-2025-62215」: Windows内部のメモリ破損バグで、攻撃者が既に対象デバイスにアクセス権を持っている場合に悪用可能。マイクロソフトは重要度を「重要(Important)」と評価。
  • GDI+に存在する重大脆弱性「CVE-2025-60274」: Windowsのグラフィックコンポーネントで、Officeや多くのサードパーティ製アプリで利用。CVSSスコア9.8の高リスクで、パッチ適用は最優先。
  • Officeのリモートコード実行脆弱性「CVE-2025-62199」: 権限不要でプレビューペインで罠を仕掛けたメッセージ閲覧だけで悪用可能。複雑さが低いため優先度が高い。
  • Windows 10の追加1年無料アップデートの不具合修正: 一部ユーザーが利用できなかった問題を解決する緊急アップデートKB5071959をリリース。
  • サードパーティ製ソフトウェアのアップデートも重要: Adobe、Mozilla、Google Chromeなども同時期にアップデートが公開されており、Edgeの更新も必要。

技術的な詳細や背景情報

今回のゼロデイ脆弱性「CVE-2025-62215」は、Windowsのメモリ管理に関わる深刻なバグで、攻撃者が既にシステムに侵入している場合に権限昇格やコード実行を可能にします。攻撃チェーンの一部として利用されることが多く、過去の類似脆弱性から悪用の容易さが懸念されています。

また、GDI+(Graphics Device Interface Plus)はWindowsの主要なグラフィック処理ライブラリであり、Officeや画像処理を行うウェブサーバー、多数のサードパーティ製アプリケーションで広く使われています。ここに存在する「CVE-2025-60274」はCVSS(共通脆弱性評価システム)スコア9.8と非常に高く、悪用されるとシステム全体の安全性に大きな影響を与えます。

Officeの「CVE-2025-62199」は、ユーザーが特別な操作をしなくても、メールのプレビューペインで罠が仕掛けられたメッセージを閲覧するだけでリモートコード実行が可能になるため、非常に危険です。これにより、攻撃者は遠隔から任意のコードを実行し、システムを乗っ取る恐れがあります。

さらに、Windows 10のサポート終了に伴い、マイクロソフトはMicrosoftアカウントを有効に登録したユーザーに対して追加の1年間の無料セキュリティ更新を提供していますが、一部で登録不具合が報告されていました。これに対し、緊急のアウトオブバンドアップデートKB5071959がリリースされ、問題解決が図られています。

影響や重要性

今回のアップデートは、Windows 10を含む複数のWindowsバージョンやOffice製品、さらにはSharePoint、SQL Server、Visual Studio、GitHub Copilot、Azure Monitor Agentなど幅広い製品に影響します。特にゼロデイ脆弱性や高CVSSスコアの脆弱性は、攻撃者にとって魅力的な攻撃対象となり得るため、迅速なパッチ適用が求められます。

また、Windows 10の追加更新プログラムの不具合修正は、サポート終了後も安全にシステムを維持したいユーザーにとって重要な措置です。サードパーティ製ソフトウェアのアップデートも同時に行うことで、全体的なセキュリティレベルを高めることが可能です。

まとめ

マイクロソフトが公開した今回のセキュリティアップデートは、既に悪用が確認されているゼロデイ脆弱性を含む多数の脆弱性を修正し、WindowsおよびOffice製品の安全性を大幅に向上させます。特にGDI+やOfficeのリモートコード実行脆弱性は重大なリスクを孕んでいるため、組織や個人ユーザーは速やかにパッチを適用することが重要です。

さらに、Windows 10の追加1年無料アップデートの登録不具合も解消されており、対象ユーザーは必ず緊急アップデートを適用してください。加えて、AdobeやMozilla、Google Chromeなどのサードパーティ製ソフトウェアも最新の状態に保つことが推奨されます。

最後に、定期的なデータバックアップを怠らず、万が一のトラブルに備えることがセキュリティ対策の基本です。今回のアップデート適用後に問題が発生した場合は、コミュニティや専門サイトで情報共有を行い、迅速な対応を心がけましょう。

タグ付け処理あり:
security-user

Related Posts

風力発電所技術者が無断で暗号通貨マイニング装置を設置し有罪判決
2025年11月21日
スウェーデンのプログラマー、オラ・ビニのエクアドルでの逮捕と誤認疑惑
2025年11月21日
オーククリフ・スワイパーズ:巨大クレジットカード詐欺組織の全貌
2025年11月21日

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です