マイクロソフトの2025年8月のパッチチューズデーの更新では、同社の製品全体で100件以上の脆弱性に対応しています。
今月修正されたセキュリティホールの中で、実際に悪用された形跡があるものはありません。Windowsの権限昇格の脆弱性(CVE-2025-53779)は、公開情報として報告されています。
12件の脆弱性が「クリティカル(重大)」と評価されていますが、そのほとんどはCVSSスコアに基づくと「高(High)」の深刻度です。ただし、WindowsのGDI+コンポーネントにおけるリモートコード実行の脆弱性(CVE-2025-53766)はCVSSスコア9.8で、例外となっています。
トレンドマイクロのZero Day Initiative(ZDI)によると、パッチの概要がまとめられており、CVE-2025-53766は、標的となるユーザーに悪意のあるウェブサイトを訪問させるか、悪意のあるドキュメントを開かせることで悪用される可能性があります。
「最悪のケースは、攻撃者が広告ネットワークを通じて何かをアップロードし、それがユーザーに配信されることです。広告ブロッカーは単なる煩わしさを取り除くだけでなく、悪意のある広告からも保護します」とZDIのダスティン・チャイルズ氏は説明しています。「こうしたケースは稀ですが、過去にも発生しています。GDI+は多くのコンポーネントに関わっており、ユーザーは何でもクリックしがちなので、迅速にテストと展開を行ってください。」
CVSSスコアに基づき「クリティカル」とされるもう一つの脆弱性はCVE-2025-50165で、Windowsのグラフィックスコンポーネントに影響し、リモートコード実行も可能です。悪用には特別に細工された画像をユーザーが閲覧する必要があります。マイクロソフトはこの問題に「重要(Important)」の深刻度を割り当てています。
リモートコード実行を許すその他の脆弱性には、Officeに影響し、プレビューペインを通じて悪用可能なCVE-2025-53740およびCVE-2025-53731があります。
注目すべきもう一つの脆弱性は、SharePointに影響するリモートコード実行のバグCVE-2025-49712です。ZDIによると、この問題は最近ToolShellエクスプロイトチェーンの一部として悪用された脆弱性と類似しています。
広告。スクロールして続きをお読みください。
マイクロソフトが「クリティカル」とした脆弱性リストには、複数のHyper-V関連の問題(情報漏洩、なりすまし、リモートコード実行)や、Azure Stack Hubの情報漏洩バグも含まれています。
これらすべての問題に対するマイクロソフトの悪用可能性評価は「悪用の可能性は低い」となっており、同社は実際に悪用される可能性は低いと見ています。
アドビもまた、パッチチューズデーの更新をリリースしており、10以上の製品にわたって約70件のCVEに対応しています。
翻訳元: https://www.securityweek.com/microsoft-patches-over-100-vulnerabilities/