TokyoBlackHatNews

malwarebytes.com 4分で読了

今すぐ更新:11月のパッチチューズデーで野放しのWindowsゼロデイ脆弱性を修正

これらのアップデートは深刻なセキュリティ問題を修正します。中には、攻撃者がすでに悪用してWindowsシステムを乗っ取っている脆弱性も含まれています。他の攻撃と組み合わせることで、攻撃者は完全な管理者権限を取得し、マルウェアをインストールしたり、データを盗んだり、通常は元に戻せないような深刻な変更を加えたりできます。今日中にWindows Updateを実行し、PCを再起動して、最新の状態であることを確認してください。

修正された内容

マイクロソフトは毎月第2火曜日、いわゆる「パッチチューズデー」に重要なセキュリティアップデートをリリースしています。今月のパッチでは、Windows 10、Windows 11、Windows Server、Office、および関連サービスの重大な脆弱性が修正されています。

特に注目すべきは、Microsoft GraphicsやOfficeに存在する重大なリモートコード実行(RCE)脆弱性です。これにより、細工されたファイルやドキュメントを開かせるだけで攻撃者が悪意のあるコードを実行できてしまいます。

「ゼロデイ」とは、修正プログラムが提供される前に攻撃者によってすでに悪用されているソフトウェアの欠陥のことです。この名称は、防御側がゼロ日、つまりパッチが出る前に自分を守る猶予がないことに由来します。今月のアップデートでは、マイクロソフトがそのような脆弱性のひとつ、CVE-2025-62215(Windowsカーネルの権限昇格(EoP)脆弱性)を修正しました。

この脆弱性により、すでにローカルアクセス権を持つ攻撃者が「競合状態」と呼ばれる問題を悪用して、より高い管理者レベルの権限を取得できてしまいます。競合状態の脆弱性とは、複数のプログラムやプロセスが適切な調整なしに同じリソースを同時に使用しようとしたときに発生します。その一瞬の混乱の隙に、攻撃者がシステムを悪用できるのです。

攻撃者はこの脆弱性を他の攻撃手法と組み合わせて利用する必要があります。一度システムが侵害されると、この脆弱性を使って権限を昇格させ、管理者権限を取得します。

もうひとつ注目すべき重大な脆弱性は、CVE-2025-60724です。これはCVSSスコアで10点満点中9.8という高い評価が付けられています。GDI+ Microsoft Graphicsコンポーネントにおけるヒープベースのバッファオーバーフローで、認証されていない攻撃者がネットワーク経由で悪意のあるコードを実行できてしまいます。

バッファオーバーフローとは、ソフトウェアが処理できる以上のデータをメモリに書き込むことで、他の領域が上書きされ、悪意のあるコードが注入される現象です。CVE-2025-60724の場合、マイクロソフトは、被害者に細工されたメタファイルを含むドキュメントをダウンロードして開かせることで攻撃者がこの脆弱性を悪用できると警告しています。より高度な攻撃では、脆弱なWebサービスに悪意のあるファイルをアップロードすることで、リモートから同じ脆弱性が引き起こされる可能性もあります。

修正プログラムの適用方法と保護状況の確認方法

これらのアップデートはセキュリティ問題を修正し、Windows PCを保護します。最新の状態であることを確認する方法は以下の通りです:

1. 設定を開く

  • 画面左下のスタートボタン(Windowsロゴ)をクリックします。
  • 設定(歯車のアイコン)をクリックします。

2. Windows Updateに進む

  • 設定ウィンドウで、左側メニューの一番下付近にあるWindows Updateを選択します。

3. 更新プログラムの確認

  • 更新プログラムの確認というボタンをクリックします。
  • Windowsが2025年11月の最新パッチチューズデーアップデートを検索します。

以前に自動更新を選択している場合、次のような表示が出ることがあります:

Image
  • この場合は、システムを再起動するだけで更新が完了します。
  • そうでない場合は、以下の手順を続けてください。

4. ダウンロードとインストール

  • 更新プログラムが見つかった場合、自動的にダウンロードが始まります。完了すると、インストールまたは今すぐ再起動というボタンが表示されます。
  • 必要に応じてインストールをクリックし、指示に従ってください。通常、更新を完了するにはPCの再起動が必要です。必要な場合は今すぐ再起動をクリックしてください。

5. 最新の状態か再確認

  • 再起動後、もう一度Windows Updateに戻って確認してください。最新の状態ですと表示されていれば、準備完了です!

私たちは脅威を報告するだけでなく、駆除も行います

サイバーセキュリティのリスクは、ニュースの見出しだけで終わらせましょう。今すぐMalwarebytesをダウンロードして、脅威からデバイスを守りましょう。

翻訳元: https://www.malwarebytes.com/blog/news/2025/11/update-now-november-patch-tuesday-fixes-windows-zero-day-exploited-in-the-wild

ソース: malwarebytes.com
#CVE-2025-60724 #CVE-2025-62215 #Microsoft Patch Tuesday #Windowsアップデート #カーネル権限昇格 #セキュリティパッチ #ゼロデイ脆弱性 #バッファオーバーフロー #マルウェア対策 #リモートコード実行

関連記事

巧妙な著作権侵害通知でGoogleログイン情報を狙うフィッシング詐欺

23andMe、数百万人の遺伝情報を流出か——訴訟で明らかに

偽のウイルス警告がモバイルゲームに蔓延