Microsoftの最新のパッチチューズデーアップデートでは、60以上の脆弱性が修正されており、その中には未公開の攻撃で悪用されているWindowsカーネルのゼロデイ脆弱性も含まれています。
このゼロデイはCVE-2025-62215として追跡されており、攻撃者が標的となるWindowsデバイスでシステム権限を取得できる重要度の高い権限昇格の脆弱性と説明されています。
「この脆弱性を悪用するには、攻撃者が競合状態を制する必要があります」とMicrosoftはアドバイザリで説明しています。
Microsoftによると、同社の脅威インテリジェンスセンター(MSTIC)とMicrosoftセキュリティ対応センター(MSRC)がCVE-2025-62215を発見しました。技術大手は、この脆弱性を悪用した攻撃に関する情報は公開していません。
Microsoftは、Windows、Office、Visual Studio、Nuance PowerScribe 360に影響を与える4件の脆弱性に「重大」な深刻度の評価を付与しています。
今月は、Windows、Visual Studio、Azure Monitor Agent、Configuration Manager、Dynamics 365、Office、OneDrive、SharePoint、Edgeにおいて、重要度の高いセキュリティホールが修正されました。
全体として、今月修正された脆弱性のうち30件以上が権限昇格に悪用可能であり、22件がリモートコード実行を許します。他の脆弱性は、なりすまし、DoS、セキュリティバイパス、情報漏洩につながる可能性があります。
最新のパッチに関する追加情報は、MicrosoftのMSRCウェブサイトで入手できます。
Adobeも今月、自社製品群にまたがる約30件の脆弱性にパッチを適用しました。
翻訳元: https://www.securityweek.com/microsoft-patches-actively-exploited-windows-kernel-zero-day/
