本日はMicrosoftの2025年12月の月例パッチ(Patch Tuesday)で、実際に悪用されているもの1件と、公開済みゼロデイ脆弱性2件を含む、合計57件の脆弱性が修正されました。
今回の月例パッチでは、リモートでコード実行が可能になる「重大(Critical)」な脆弱性も3件修正されています。
各脆弱性カテゴリごとの件数は以下のとおりです。
- 特権昇格の脆弱性:28件
- リモートコード実行の脆弱性:19件
- 情報漏えいの脆弱性:4件
- サービス拒否(DoS)の脆弱性:3件
- なりすまし(Spoofing)の脆弱性:2件
BleepingComputerが月例パッチのセキュリティ更新を報じる際は、本日Microsoftから公開されたもののみをカウントしています。そのため、この件数には、今月初めに修正されたMicrosoft Edge(15件の脆弱性)およびMarinerの脆弱性は含まれていません。
本日公開された非セキュリティ更新の詳細については、Windows 11 KB5072033 & KB5071417 累積更新プログラムに関する専用記事をご覧ください。
3件のゼロデイ、そのうち2件は悪用確認済み
今月の月例パッチでは、実際に悪用されている1件と、公開済みのゼロデイ脆弱性2件が修正されています。
Microsoftは、ゼロデイ脆弱性を、公式な修正が提供されていない段階で公開されている、または実際に悪用されている欠陥として定義しています。
実際に悪用されているゼロデイは次のとおりです。
CVE-2025-62221 – Windows Cloud Files Mini Filter Driver の特権昇格の脆弱性
Microsoftは、Windows Cloud Files Mini Filter Driver に存在する、実際に悪用されている特権昇格の脆弱性にパッチを適用しました。
「Windows Cloud Files Mini Filter Driver における use-after-free により、認証済みの攻撃者がローカルで特権を昇格させることができます」とMicrosoftは説明しています。
Microsoftによると、この欠陥を悪用することに成功した攻撃者は、SYSTEM 権限を取得できるとのことです。
Microsoftは、この脆弱性を Microsoft Threat Intelligence Center (MSTIC) および Microsoft Security Response Center (MSRC) に帰属していますが、どのように悪用されたかについては共有していません。
公開済みゼロデイ脆弱性は次のとおりです。
CVE-2025-64671 – GitHub Copilot for Jetbrains のリモートコード実行の脆弱性
Microsoftは、攻撃者がローカルでコマンドを実行できてしまう、公開済みの GitHub Copilot の脆弱性にパッチを適用しました。
「Copilot におけるコマンドで使用される特殊要素の不適切な無害化(『コマンドインジェクション』)により、認証されていない攻撃者がローカルでコードを実行できてしまいます」とMicrosoftは説明しています。
Microsoftによると、この脆弱性は信頼されていないファイルや MCP サーバーに対するクロス・プロンプト・インジェクションを通じて悪用される可能性があります。
「信頼されていないファイルや MCP サーバーに対する悪意あるクロス・プロンプト・インジェクションを介して、攻撃者は、ユーザーのターミナルの自動承認設定で許可されているコマンドに追加のコマンドを付け足すことで、さらなるコマンドを実行できる可能性があります」とMicrosoftは続けています。
Microsoftは、この脆弱性を、最近「IDEsaster: A Novel Vulnerability Class in AI IDEs」レポートの一環としてこの欠陥を公開した Ari Marzuk に帰属しています。
CVE-2025-54100 – PowerShell のリモートコード実行の脆弱性
Microsoftは、Invoke-WebRequest を使用してWebページを取得した際に、そのページに埋め込まれたスクリプトが実行されてしまう可能性のある PowerShell の脆弱性にパッチを適用しました。
「Windows PowerShell におけるコマンドで使用される特殊要素の不適切な無害化(『コマンドインジェクション』)により、認証されていない攻撃者がローカルでコードを実行できてしまいます」とMicrosoftは説明しています。
Microsoftは、PowerShell が ‘Invoke-WebRequest’ を使用した際に警告を表示し、コード実行を防ぐためにユーザーへ -UseBasicParsing の追加を促す変更を行いました。
Security Warning: Script Execution Risk
Invoke-WebRequest parses the content of the web page. Script code in the web page might be run when the page is parsed.
RECOMMENDED ACTION:
Use the -UseBasicParsing switch to avoid script code execution.
Do you want to continue?
For additional details, see [KB5074596: PowerShell 5.1: Preventing script execution from web content](https://support.microsoft.com/help/5072034).Microsoftは、この脆弱性を、Justin Necke、DeadOverflow、Pēteris Hermanis Osipovs、Anonymous、Melih Kaan Yıldız、および Osman Eren Güneş を含む多数の研究者に帰属しています。
他社からの最近のアップデート
2025年12月にアップデートやアドバイザリを公開した他のベンダーには、次のようなものがあります。
- Adobe は、ColdFusion、Experience Manager、DNG SDK、Acrobat Reader、Creative Cloud Desktop 向けにセキュリティアップデートを公開しました。
- Fortinet は、複数製品向けにセキュリティアップデートを公開しており、その中には重大な FortiCloud SSO ログイン認証バイパスの脆弱性も含まれています。
- Google は、2件の実際に悪用されている脆弱性への修正を含む、Android の12月のセキュリティ情報を公開しました。
- Ivanti は、Ivanti Endpoint Manager におけるスコア 9.6/10 の保存型 XSS 脆弱性の修正を含む、2025年12月の Patch Tuesday アップデートの一環としてセキュリティパッチを公開しました。
- React は、React Server Components における重大な RCE 脆弱性に対するセキュリティアップデートを公開しました。React2Shell と名付けられたこの脆弱性は、現在攻撃で広く悪用されています。
- SAP は、SAP Solution Manager におけるスコア 9.9/10 のコードインジェクション脆弱性の修正を含む、複数製品向けの12月のセキュリティアップデートを公開しました。
2025年12月の月例パッチ セキュリティアップデート
以下は、2025年12月の月例パッチで解決された脆弱性の完全な一覧です。
各脆弱性の詳細な説明と影響を受けるシステムにアクセスするには、こちらの完全レポートをご覧ください。
| タグ | CVE ID | CVE タイトル | 深刻度 |
|---|---|---|---|
| Application Information Services | CVE-2025-62572 | Application Information Service の特権昇格の脆弱性 | 重要 |
| Azure Monitor Agent | CVE-2025-62550 | Azure Monitor Agent のリモートコード実行の脆弱性 | 重要 |
| Copilot | CVE-2025-64671 | GitHub Copilot for Jetbrains のリモートコード実行の脆弱性 | 重要 |
| Microsoft Brokering File System | CVE-2025-62569 | Microsoft Brokering File System の特権昇格の脆弱性 | 重要 |
| Microsoft Brokering File System | CVE-2025-62469 | Microsoft Brokering File System の特権昇格の脆弱性 | 重要 |
| Microsoft Edge (Chromium-based) | CVE-2025-13634 | Chromium: CVE-2025-13634 Downloads における不適切な実装 | 不明 |
| Microsoft Edge (Chromium-based) | CVE-2025-13721 | Chromium: CVE-2025-13721 v8 における競合状態 | 不明 |
| Microsoft Edge (Chromium-based) | CVE-2025-13630 | Chromium: CVE-2025-13630 V8 における型の取り違え(Type Confusion) | 不明 |
| Microsoft Edge (Chromium-based) | CVE-2025-13631 | Chromium: CVE-2025-13631 Google Updater における不適切な実装 | 不明 |
| Microsoft Edge (Chromium-based) | CVE-2025-13632 | Chromium: CVE-2025-13632 DevTools における不適切な実装 | 不明 |
| Microsoft Edge (Chromium-based) | CVE-2025-13633 | Chromium: CVE-2025-13633 Digital Credentials における use-after-free | 不明 |
| Microsoft Edge (Chromium-based) | CVE-2025-13638 | Chromium: CVE-2025-13638 Media Stream における use-after-free | 不明 |
| Microsoft Edge (Chromium-based) | CVE-2025-13639 | Chromium: CVE-2025-13639 WebRTC における不適切な実装 | 不明 |
| Microsoft Edge (Chromium-based) | CVE-2025-13640 | Chromium: CVE-2025-13640 Passwords における不適切な実装 | 不明 |
| Microsoft Edge (Chromium-based) | CVE-2025-13637 | Chromium: CVE-2025-13637 Downloads における不適切な実装 | 不明 |
| Microsoft Edge (Chromium-based) | CVE-2025-13720 | Chromium: CVE-2025-13720 Loader における不正なキャスト | 不明 |
| Microsoft Edge (Chromium-based) | CVE-2025-13635 | Chromium: CVE-2025-13635 Downloads における不適切な実装 | 不明 |
| Microsoft Edge (Chromium-based) | CVE-2025-13636 | Chromium: CVE-2025-13636 Split View における不適切な実装 | 不明 |
| Microsoft Edge for iOS | CVE-2025-62223 | Mac 向け Microsoft Edge (Chromium-based) のなりすましの脆弱性 | 低 |
| Microsoft Exchange Server | CVE-2025-64666 | Microsoft Exchange Server の特権昇格の脆弱性 | 重要 |
| Microsoft Exchange Server | CVE-2025-64667 | Microsoft Exchange Server のなりすましの脆弱性 | 重要 |
| Microsoft Graphics Component | CVE-2025-64670 | Windows DirectX の情報漏えいの脆弱性 | 重要 |
| Microsoft Office | CVE-2025-62554 | Microsoft Office のリモートコード実行の脆弱性 | 重大 |
| Microsoft Office | CVE-2025-62557 | Microsoft Office のリモートコード実行の脆弱性 | 重大 |
| Microsoft Office Access | CVE-2025-62552 | Microsoft Access のリモートコード実行の脆弱性 | 重要 |
| Microsoft Office Excel | CVE-2025-62560 | Microsoft Excel のリモートコード実行の脆弱性 | 重要 |
| Microsoft Office Excel | CVE-2025-62563 | Microsoft Excel のリモートコード実行の脆弱性 | 重要 |
| Microsoft Office Excel | CVE-2025-62561 | Microsoft Excel のリモートコード実行の脆弱性 | 重要 |
| Microsoft Office Excel | CVE-2025-62564 | Microsoft Excel のリモートコード実行の脆弱性 | 重要 |
| Microsoft Office Excel | CVE-2025-62553 | Microsoft Excel のリモートコード実行の脆弱性 | 重要 |
| Microsoft Office Excel | CVE-2025-62556 | Microsoft Excel のリモートコード実行の脆弱性 | 重要 |
| Microsoft Office Outlook | CVE-2025-62562 | Microsoft Outlook のリモートコード実行の脆弱性 | 重大 |
| Microsoft Office SharePoint | CVE-2025-64672 | Microsoft SharePoint Server のなりすましの脆弱性 | 重要 |
| Microsoft Office Word | CVE-2025-62558 | Microsoft Word のリモートコード実行の脆弱性 | 重要 |
| Microsoft Office Word | CVE-2025-62559 | Microsoft Word のリモートコード実行の脆弱性 | 重要 |
| Microsoft Office Word | CVE-2025-62555 | Microsoft Word のリモートコード実行の脆弱性 | 重要 |
| Storvsp.sys Driver | CVE-2025-64673 | Windows Storage VSP Driver の特権昇格の脆弱性 | 重要 |
| Windows Camera Frame Server Monitor | CVE-2025-62570 | Windows Camera Frame Server Monitor の情報漏えいの脆弱性 | 重要 |
| Windows Client-Side Caching (CSC) Service | CVE-2025-62466 | Windows Client-Side Caching の特権昇格の脆弱性 | 重要 |
| Windows Cloud Files Mini Filter Driver | CVE-2025-62457 | Windows Cloud Files Mini Filter Driver の特権昇格の脆弱性 | 重要 |
| Windows Cloud Files Mini Filter Driver | CVE-2025-62454 | Windows Cloud Files Mini Filter Driver の特権昇格の脆弱性 | 重要 |
| Windows Cloud Files Mini Filter Driver | CVE-2025-62221 | Windows Cloud Files Mini Filter Driver の特権昇格の脆弱性 | 重要 |
| Windows Common Log File System Driver | CVE-2025-62470 | Windows Common Log File System Driver の特権昇格の脆弱性 | 重要 |
| Windows Defender Firewall Service | CVE-2025-62468 | Windows Defender Firewall Service の情報漏えいの脆弱性 | 重要 |
| Windows DirectX | CVE-2025-62463 | DirectX Graphics Kernel のサービス拒否(DoS)の脆弱性 | 重要 |
| Windows DirectX | CVE-2025-62465 | DirectX Graphics Kernel のサービス拒否(DoS)の脆弱性 | 重要 |
| Windows DirectX | CVE-2025-62573 | DirectX Graphics Kernel の特権昇格の脆弱性 | 重要 |
| Windows DWM Core Library | CVE-2025-64679 | Windows DWM Core Library の特権昇格の脆弱性 | 重要 |
| Windows DWM Core Library | CVE-2025-64680 | Windows DWM Core Library の特権昇格の脆弱性 | 重要 |
| Windows Hyper-V | CVE-2025-62567 | Windows Hyper-V のサービス拒否(DoS)の脆弱性 | 重要 |
| Windows Installer | CVE-2025-62571 | Windows Installer の特権昇格の脆弱性 | 重要 |
| Windows Message Queuing | CVE-2025-62455 | Microsoft Message Queuing (MSMQ) の特権昇格の脆弱性 | 重要 |
| Windows PowerShell | CVE-2025-54100 | PowerShell のリモートコード実行の脆弱性 | 重要 |
| Windows Projected File System | CVE-2025-62464 | Windows Projected File System の特権昇格の脆弱性 | 重要 |
| Windows Projected File System | CVE-2025-55233 | Windows Projected File System の特権昇格の脆弱性 | 重要 |
| Windows Projected File System | CVE-2025-62462 | Windows Projected File System の特権昇格の脆弱性 | 重要 |
| Windows Projected File System | CVE-2025-62467 | Windows Projected File System の特権昇格の脆弱性 | 重要 |
| Windows Projected File System Filter Driver | CVE-2025-62461 | Windows Projected File System の特権昇格の脆弱性 | 重要 |
| Windows Remote Access Connection Manager | CVE-2025-62474 | Windows Remote Access Connection Manager の特権昇格の脆弱性 | 重要 |
| Windows Remote Access Connection Manager | CVE-2025-62472 | Windows Remote Access Connection Manager の特権昇格の脆弱性 | 重要 |
| Windows Resilient File System (ReFS) | CVE-2025-62456 | Windows Resilient File System (ReFS) のリモートコード実行の脆弱性 | 重要 |
| Windows Routing and Remote Access Service (RRAS) | CVE-2025-62549 | Windows Routing and Remote Access Service (RRAS) のリモートコード実行の脆弱性 | 重要 |
| Windows Routing and Remote Access Service (RRAS) | CVE-2025-62473 | Windows Routing and Remote Access Service (RRAS) の情報漏えいの脆弱性 | 重要 |
| Windows Routing and Remote Access Service (RRAS) | CVE-2025-64678 | Windows Routing and Remote Access Service (RRAS) のリモートコード実行の脆弱性 | 重要 |
| Windows Shell | CVE-2025-62565 | Windows ファイルエクスプローラーの特権昇格の脆弱性 | 重要 |
| Windows Shell | CVE-2025-64661 | Windows Shell の特権昇格の脆弱性 | 重要 |
| Windows Shell | CVE-2025-64658 | Windows ファイルエクスプローラーの特権昇格の脆弱性 | 重要 |
| Windows Storage VSP Driver | CVE-2025-59517 | Windows Storage VSP Driver の特権昇格の脆弱性 | 重要 |
| Windows Storage VSP Driver | CVE-2025-59516 | Windows Storage VSP Driver の特権昇格の脆弱性 | 重要 |
| Windows Win32K – GRFX | CVE-2025-62458 | Win32k の特権昇格の脆弱性 | 重要 |
