マイクロソフトは、コア製品および基盤システムに影響を与える175件の脆弱性を修正したと発表しました。その中には、現在悪用されている2件のゼロデイ脆弱性も含まれています。これは、同社が今年公開した中で最大規模の欠陥数となります。詳細は最新のセキュリティアップデートで確認できます。
ゼロデイ脆弱性は、Agere Windowsモデムドライバーに影響するCVE-2025-24990と、Windowsリモートアクセス接続マネージャーに影響するCVE-2025-59230の2件で、いずれもCVSSスコアは7.8です。米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は、両ゼロデイを既知の悪用された脆弱性カタログに追加しました。
マイクロソフトは、サポート対象のWindowsオペレーティングシステムに同梱されているサードパーティ製Agereモデムドライバーを10月のセキュリティアップデートで削除したと発表しました。このドライバーに依存するFAXモデムハードウェアは、Windows上で動作しなくなります。
攻撃者はCVE-2025-24990を悪用することで管理者権限を取得できます。「この脆弱性が悪用された場合、モデムが実際に使用されていなくても、サポートされているすべてのWindowsバージョンが影響を受ける可能性があります」と、マイクロソフトは欠陥の概要で述べています。
Windowsリモートアクセス接続マネージャーに影響する不適切なアクセス制御の脆弱性は、認証済みの攻撃者がローカルで権限を昇格し、システム権限を取得するために悪用可能であると、マイクロソフトは説明しています。
Windowsリモートアクセス接続マネージャーは、仮想プライベートネットワークやダイヤルアップネットワークを通じてリモートネットワーク接続を管理するためのサービスであり、「パッチチューズデーの常連で、2022年1月以降20回以上登場しています」とTenableの上級リサーチエンジニア、サトナム・ナラン氏はメールで述べました。「今回初めて、野生下でゼロデイとして悪用されているのを確認しました。」
今月公開された中で最も深刻な脆弱性には、ASP.NET Coreに影響するCVE-2025-55315と、Microsoft Graphics Componentに影響するCVE-2025-49708が含まれます。マイクロソフトは、これらの欠陥が悪用される可能性は低いとしていますが、いずれもCVSSスコアは9.9です。
マイクロソフトは今月、悪用される可能性が高いとされる14件の欠陥を指摘しており、その中にはCVSSスコア9.8の重大な脆弱性2件―Azure Entra IDに影響するCVE-2025-59246と、Windows Server Update Serviceに影響するCVE-2025-59287―が含まれます。
ベンダーは今月、5件の重大な脆弱性と121件の高深刻度の脆弱性を公開しました。今月修正された脆弱性の全リストは、マイクロソフト セキュリティレスポンスセンターで確認できます。
翻訳元: https://cyberscoop.com/microsoft-patch-tuesday-october-2025/
