Microsoft は今週、Windows オペレーティングシステムおよびサポートされているソフトウェアの60件以上の脆弱性を修正するセキュリティアップデートを公開しました。その中には、すでに悪用されているゼロデイ脆弱性も含まれています。また、Microsoft は一部の Windows 10 ユーザーが追加の1年間のセキュリティアップデートを利用できなかった不具合も修正しました。これは、ゼロデイ脆弱性やその他の重大な弱点が Windows 10 を含むすべてのバージョンの Windows に影響するため、ありがたいことです。
今月影響を受ける製品には、Windows OS、Office、SharePoint、SQL Server、Visual Studio、GitHub Copilot、Azure Monitor Agent などがあります。ゼロデイ脅威は、Windows の内部にあるメモリ破損バグ CVE-2025-62215 に関するものです。この脆弱性はゼロデイであるにもかかわらず、攻撃者がすでにターゲットのデバイスにアクセスしている必要があるため、Microsoft は「重要」と評価し、「重大」にはしていません。
「この種の脆弱性は、より複雑な攻撃チェーンの一部として悪用されることが多いです」と SANS Technology Institute の研究部長 Johannes Ullrich 氏は述べています。「しかし、これと類似した脆弱性が過去に存在していることから、この特定の脆弱性の悪用は比較的容易である可能性が高いです。」
Immersive のリードサイバーセキュリティエンジニア Ben McCarthy 氏は、Microsoft Office、画像を処理するウェブサーバー、無数のサードパーティアプリケーションなど、多数のアプリケーションで使用されている Windows のコアグラフィックコンポーネント(GDI+)に存在する重大な脆弱性 CVE-2025-60274 に注目しています。
「このパッチは組織にとって最優先事項とすべきです」と McCarthy 氏は述べています。「Microsoft は『悪用の可能性は低い』と評価していますが、GDI+ のような広く使われているライブラリにおける9.8点の脆弱性は重大なリスクです。」
Microsoft は Office の重大なバグ CVE-2025-62199 も修正しました。これは Windows システム上でリモートコード実行を引き起こす可能性があります。Action1 のCEO兼共同創設者 Alex Vovk 氏は、この Office の脆弱性は複雑性が低く、権限も不要で、プレビューペインで細工されたメッセージを表示するだけで悪用可能なため、優先度が高いと述べています。
今月 Microsoft が対処した多くの懸念されるバグは、Microsoft が先月公式サポートを終了した Windows 10 に影響します。しかし、その期限が到来した際、Microsoft は Windows 10 ユーザーに対し、アクティブな Microsoft アカウントにPCを登録すれば、無料で1年間の追加アップデートを提供し始めました。
先月のパッチチューズデー投稿 のコメントを見ると、その登録は多くの Windows 10 ユーザーで機能しましたが、一部の読者は追加の1年分のアップデートのオプションが表示されなかったと報告しています。Nightwing のサイバーインシデントレスポンスマネージャー Nick Carroll 氏は、Microsoft が最近、Windows 10 Consumer Extended Security Update プログラムへの登録時の 問題を解決するための臨時アップデート をリリースしたと指摘しています。
「このプログラムに参加する予定がある場合は、登録の問題を解決するために KB5071959 を必ず更新・インストールしてください」と Carroll 氏は述べています。「これをインストールした後は、本日公開された KB5068781 など、他のアップデートもインストールできるようになるはずです。これは Windows 10 の最新アップデートです。」
Ivanti の Chris Goettl 氏によると、本日の Microsoft アップデートに加え、Adobe や Mozilla からもすでにサードパーティのアップデートがリリースされています。また、Google Chrome のアップデートも間もなく公開される見込みで、それに伴い Edge も独自のアップデートが必要になるでしょう。
SANS Internet Storm Center では、Microsoft の各修正を深刻度や CVSS スコア別にまとめた クリック可能な一覧 を公開しています。パッチを展開する前にテストを行う企業の Windows 管理者は、アップデートに問題が発生した場合の情報がよく掲載される askwoody.com もチェックしておくとよいでしょう。
いつも通り、定期的にデータ(可能であればシステム全体)のバックアップを怠らないようにしてください。また、これらの修正をインストールする際に問題が発生した場合は、コメント欄でぜひご報告ください。
【著者注:この投稿は本来、11月11日(火)にホームページに掲載される予定でした。なぜかは分かりませんが、その日に公開されませんでした。ご迷惑をおかけして申し訳ありません。】
翻訳元: https://krebsonsecurity.com/2025/11/microsoft-patch-tuesday-november-2025-edition/
