2025年で初めて、Microsoftのパッチチューズデーアップデートには、悪用されたセキュリティ脆弱性の修正が含まれていませんでしたが、修正された脆弱性のうち1件が公に知られていたことを認めました。
このパッチは、合計130件の脆弱性を解決しており、さらにVisual Studio、AMD、およびChromiumベースのEdgeブラウザに影響する10件の非Microsoft製CVEも含まれています。これらのうち10件が重大(Critical)と評価され、残りはすべて重要(Important)と評価されています。
「少なくとも1件のゼロデイ(実際に悪用された脆弱性)を修正し続けてきた11か月間の連続記録が今月で途切れました」と、TenableのシニアスタッフリサーチエンジニアであるSatnam Narang氏は述べています。
これらの不備のうち53件が特権昇格バグ、続いて42件がリモートコード実行、17件が情報漏洩、8件がセキュリティ機能のバイパスと分類されています。これらのパッチは、Edgeブラウザで先月のパッチチューズデーアップデート以降に修正された2件の脆弱性に加えて提供されています。
公に知られていたとされる脆弱性は、Microsoft SQL Serverの情報漏洩の不備(CVE-2025-49719、CVSSスコア: 7.5)で、認証されていない攻撃者が初期化されていないメモリを漏洩させる可能性があります。
「攻撃者は何の価値もない情報しか得られないかもしれませんが、運や粘り強さ、あるいは非常に巧妙なエクスプロイトの調整によって、暗号鍵などSQL Serverの“王冠の宝石”を手に入れることもあり得ます」と、Rapid7のリードソフトウェアエンジニアであるAdam Barnett氏は述べています。
Action1の社長兼共同創設者であるMike Walters氏は、この脆弱性はSQL Serverのメモリ管理における不適切な入力検証が原因で、初期化されていないメモリへのアクセスを許すものだろうと述べています。
「その結果、攻撃者は資格情報や接続文字列などの機密データの残骸を取得できる可能性があります」とWalters氏は付け加えています。「これはSQL ServerエンジンとOLE DBドライバーを使用するアプリケーションの両方に影響します。」
今月のアップデートでMicrosoftが修正した中で最も重大な脆弱性は、SPNEGO拡張ネゴシエーション(NEGOEX)に影響するリモートコード実行のケースです。CVE-2025-47981として追跡されており、CVSSスコアは10点満点中9.8です。
「Windows SPNEGO拡張ネゴシエーションにおけるヒープベースのバッファオーバーフローにより、認証されていない攻撃者がネットワーク越しにコードを実行できる可能性があります」とMicrosoftはアドバイザリで述べています。「攻撃者はサーバーに悪意のあるメッセージを送信することでこの脆弱性を悪用し、リモートコード実行につながる可能性があります。」
匿名の研究者とYuki Chen氏がこの脆弱性の発見と修正に貢献したとされています。Microsoftは、この問題がWindows 10バージョン1607以降を実行しているWindowsクライアントマシンのみに影響し、これは「ネットワークセキュリティ:このコンピューターへのPKU2U認証要求でオンラインIDの使用を許可する」グループポリシーオブジェクト(GPO)がデフォルトで有効になっているためだと指摘しています。
「いつものことですが、リモートコード実行は危険ですが、初期分析ではこの脆弱性が“ワーム化可能”である可能性が示唆されています。つまり、自己増殖型マルウェアで悪用され、WannaCry事件のトラウマを多くの人が思い出すことになるかもしれません」とwatchTowr創業者兼CEOのBenjamin Harris氏は述べています。
「Microsoftは前提条件を明確にしています。認証不要、ネットワークアクセスのみで、Microsoft自身も“悪用の可能性が高い”と考えています。民間企業がこの脆弱性に気づいているなら、悪意のある攻撃者のレーダーにもすでに入っているはずです。防御側はすべての作業を中断し、迅速にパッチを適用し、公開されているシステムを徹底的に調査すべきです。」
その他の重要な脆弱性としては、Windows KDCプロキシサービス(CVE-2025-49735、CVSSスコア: 8.1)、Windows Hyper-V(CVE-2025-48822、CVSSスコア: 8.6)、Microsoft Office(CVE-2025-49695、CVE-2025-496966、CVE-2025-49697、CVSSスコア: 8.4)に影響するリモートコード実行の不備が挙げられます。
「CVE-2025-49735が重要なのは、ネットワーク越しに露出し、権限やユーザー操作が不要である点です。攻撃の複雑性は高いものの、認証前のリモート侵害の可能性があり、APTや国家レベルの攻撃者にとって特に魅力的です」とImmersiveのリードサイバーセキュリティエンジニアであるBen McCarthy氏は述べています。
「攻撃者はレースコンディション(特定のタイミングでメモリが解放・再割り当てされる欠陥)に勝つ必要があり、現時点では信頼性は低いです。それでも、ヒープグルーミングのような手法で武器化されれば、最終的な悪用が現実的になります。」
また、今回のアップデートでは、Bitlocker(CVE-2025-48001、CVE-2025-48003、CVE-2025-48800、CVE-2025-48804、CVE-2025-48818、CVSSスコア: 6.8)における5件のセキュリティ機能バイパスも修正されており、物理的にデバイスへアクセスできる攻撃者が暗号化データを取得できる可能性がありました。
「攻撃者は、OSボリュームがロック解除されている間にWinRE.wimファイルを読み込むことで、この脆弱性を悪用し、BitLockerで暗号化されたデータへアクセスできる可能性があります」とMicrosoftはCVE-2025-48804について述べています。
Microsoft Offensive Research and Security Engineering(MORSE)のNetanel Ben Simon氏とAlon Leviev氏が、内蔵ディスク暗号化ツールに関する5件の問題の報告者として認められています。
「これらの脆弱性が悪用されると、機密ファイルや資格情報が漏洩したり、システムの完全性が改ざんされたりする可能性があります」とImmersiveのサイバーセキュリティエンジニアであるJacob Ashdown氏は述べています。「これは、特にデバイスの紛失や盗難が発生しうる組織にとってリスクとなり、物理的にアクセスできる攻撃者が暗号化をバイパスして機密データを抽出する恐れがあります。」
また、注目すべき点として、2025年7月8日をもってSQL Server 2012のサポートが正式に終了し、今後は拡張セキュリティ更新(ESU)プログラムの終了に伴い、セキュリティパッチが提供されなくなります。
他ベンダーからのソフトウェアパッチ#
Microsoftに加え、過去数週間の間に他のベンダーからも、以下を含む複数の脆弱性を修正するためのセキュリティアップデートがリリースされています。
- Adobe
- AMD
- Atlassian
- Bitdefender
- Broadcom(VMwareを含む)
- Cisco
- Citrix
- D-Link
- Dell
- Drupal
- F5
- Fortinet
- Fortra
- Gigabyte
- GitLab
- Google Chrome
- Google Cloud
- Grafana
- Hikvision
- Hitachi Energy
- HP
- HP Enterprise(Aruba Networkingを含む)
- IBM
- Intel
- Ivanti
- Jenkins
- Juniper Networks
- Lenovo
- Linuxディストリビューション AlmaLinux、Alpine Linux、Amazon Linux、Arch Linux、Debian、Gentoo、Oracle Linux、Mageia、Red Hat、Rocky Linux、SUSE、Ubuntu
- MediaTek
- 三菱電機
- MongoDB
- Moxa
- Mozilla Thunderbird
- NVIDIA
- OPPO
- Palo Alto Networks
- Progress Software
- Qualcomm
- リコー
- Rsync
- Ruckus Wireless
- Samsung
- SAP
- Schneider Electric
- Siemens
- Splunk
- Supermicro
- Veeam
- WordPress
- Zimbra、および
- Zoom
翻訳元: https://thehackernews.com/2025/07/microsoft-patches-130-vulnerabilities.html