マイクロソフトは火曜日、2025年12月のセキュリティ更新プログラムの一環として、57件の脆弱性に対するパッチを発表しました。そのうち3件はゼロデイですが、実際に悪用されているのは1件のみです。
悪用が確認されているゼロデイは、CVE-2025-62221(CVSSスコア 7.8)として追跡されており、Windows Cloud Files Mini Filter Driver における use-after-free 問題として説明されています。
マイクロソフトによると、このセキュリティ欠陥を悪用されると、攻撃者は Windows デバイス上で権限を System まで昇格させることが可能になります。
同社は、この脆弱性が実際に悪用されていることを把握しているものの、観測された攻撃の詳細は共有していません。
Cloud Files Mini Filter Driver で解決された2つ目の欠陥は、CVE-2025-62454(CVSSスコア 7.8)として追跡されており、権限昇格につながる問題で、攻撃で悪用される可能性が高いとテック大手は警告しています。
マイクロソフトの2025年12月のパッチチューズデー 更新プログラムでは、Copilot for Jetbrains(CVE-2025-64671)および PowerShell(CVE-2025-54100)で修正された、リモートコード実行につながる2件のコマンドインジェクションにも注目が集まっています。
どちらの問題もパッチが公開される前に情報が公開されていましたが、攻撃で悪用される可能性は低いと同社は述べています。ただし、CVE-2025-64671 については概念実証(PoC)が存在します。
マイクロソフトの新たな更新プログラムでは、Office スイートに存在する13件の脆弱性にも対処しており、そのうち2件は「クリティカル」と分類されていますが、CVSSスコアは8.4で、高深刻度の問題とされています。
これら2件の欠陥は、CVE-2025-62554 および CVE-2025-62557 として追跡されており、リモートの攻撃者が任意のコードを実行できる可能性のある、型の混同(type confusion)および use-after-free のバグとして説明されています。
マイクロソフトによると、脅威アクターはソーシャルエンジニアリングを用いて、ユーザーに悪意のあるリンクをクリックさせることで、これらの脆弱性を悪用する可能性があります。いずれの場合も、Office のプレビューウィンドウが攻撃ベクターとなります。
「最悪のメール攻撃シナリオでは、攻撃者は特別に細工したメールをユーザーに送信するだけでよく、被害者がリンクを開く、読む、クリックするといった操作を行う必要はありません。この結果、攻撃者が被害者のマシン上でリモートコードを実行できる可能性があります」とマイクロソフトは述べています。
2025年12月のパッチチューズデーで修正を受けたその他のマイクロソフト製品には、Visual Studio、Azure Monitor Agent、Hyper-V、iOS 版 Edge、Application Information Service などがあります。
2025年、マイクロソフトはおよそ1,200件の脆弱性に対するパッチを展開しました。同社が2年連続で1,000件を超える欠陥を解消したことになります。
翻訳元: https://www.securityweek.com/microsoft-patches-57-vulnerabilities-three-zero-days/
