マイクロソフトは火曜日、自社製品の173件の固有CVEに対するパッチのリリースを発表しました。この中には実際に悪用された2件の脆弱性も含まれています。また、21件の非マイクロソフトCVEにもパッチが提供されました。
最初に悪用された問題はCVE-2025-24990(CVSSスコア7.8)として追跡されており、特権昇格に悪用可能な信頼されていないポインタ参照バグと説明されています。
このセキュリティ欠陥は、サポートされているWindowsバージョンに付属するAgere Modemドライバーに影響し、攻撃者が脆弱なシステムで管理者権限を取得できる可能性があります。
マイクロソフトの2025年10月のWindowsシステム向け累積アップデートでは、脆弱なltmdm64.sysドライバーが削除されます。このドライバーはCVE-2025-24052、概念実証(PoC)エクスプロイトが存在する特権昇格の脆弱性にも影響を受けています。
2つ目に悪用された脆弱性はCVE-2025-59230(CVSSスコア7.8)で、Windowsリモートアクセス接続マネージャーにおける不適切なアクセス制御と説明されており、攻撃者が特権を昇格させる可能性があります。
「この脆弱性を悪用した攻撃者はSYSTEM権限を取得できる可能性があります」とマイクロソフトは述べており、観測された悪用の詳細は共有していません。
2025年10月のアドバイザリに含まれる173件の固有なマイクロソフトCVEのうち、重大度がクリティカルなのはわずか5件です。同社は、これらの脆弱性のうち約12件が攻撃で悪用される可能性が高いと警告しています。
10月のアドバイザリに含まれる21件の非マイクロソフトCVEのうち、少なくとも1件が実際に悪用されています。CVE-2025-47827として追跡され、IGEL OSに影響するこの脆弱性は、セキュアブートのバイパスにつながる可能性があります。
この欠陥はigel-flash-driverモジュールの暗号署名の不適切な検証に起因し、攻撃者が未検証のSquashFSイメージから細工されたルートファイルシステムをマウントできるようになります。
米国サイバーセキュリティ庁(CISA)は火曜日、悪用された3つの脆弱性すべてをKEVリストに追加し、連邦機関に対し、拘束力のある運用指令(BOD)22-01に基づき3週間以内に対処するよう促しています。
今月修正された他の注目すべき脆弱性としては、Trusted Computing Group(TCG)が管理するTrusted Platform Module(TPM)2.0リファレンスライブラリ仕様における中程度の深刻度の範囲外読み取り問題であるCVE-2025-2884があります。
マイクロソフトはまた、アドバイザリにCVE-2025-0033、RMPocalypseと呼ばれる、AMDプロセッサの機密コンピューティング保証を破るために悪用可能な競合状態、およびゲームやアプリケーションエディタUnityにおけるコード実行につながる可能性があるバグCVE-2025-59489も含めています。
