Microsoftは、最新の月例セキュリティ更新プログラムにおいて、ビジネスオペレーション向け製品および中核システムに影響する57件の脆弱性に対処したと発表した。その中には、実際に悪用されているゼロデイ脆弱性が1件含まれている。
ゼロデイ脆弱性であるCVE-2025-62221は、Windows Cloud Files Mini Filter Driverに影響し、CVSSスコアは7.8となっている。Microsoftによると、攻撃者はこのuse-after-freeの欠陥を悪用することで、システム権限を取得できる可能性があるという。
「この種のバグは、システムを乗っ取るためにコード実行のバグと組み合わせて使われることがよくあります」と、Trend MicroのZero Day Initiativeで脅威認識部門を率いるDustin Childs氏はブログ投稿で述べ、この脆弱性はサポートされているすべてのバージョンのWindowsに影響しているようだと付け加えた。
米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、このゼロデイを火曜日に既知の悪用脆弱性カタログに追加した。
Childs氏によると、Microsoftの今年最後のパッチチューズデーリリースにより、2025年にベンダーが修正した脆弱性の総数は1,139件のCVEに達した。「これにより、2025年は件数ベースで2番目に多い年となり、2020年をわずか11件のCVE差で追う形となりました。Microsoftのポートフォリオが拡大し、AI関連のバグがより一般的になるにつれて、この数字は2026年にはさらに増加する可能性があります」と同氏は述べている。
Microsoftは今月、クリティカルな脆弱性は開示していない。今回開示された中で最も深刻な欠陥には、5件の高深刻度の脆弱性が含まれる。Windows Resilient File Systemに影響するCVE-2025-62456およびCVE-2025-64678、Windows Routing and Remote Access Serviceに影響するCVE-2025-62549、Azure Monitor Agentに影響するCVE-2025-62550、Microsoft Office SharePointに影響するCVE-2025-64672であり、いずれもCVSSスコアは8.8となっている。
Microsoftは今月、ゼロデイを含む6件の脆弱性について、悪用される可能性が高いと警告している。Windows Storage VSP Driverに影響するCVE-2025-59516およびCVE-2025-59517、Windows Win32Kに影響するCVE-2025-62458、Windows Common Log File System Driverに影響するCVE-2025-62470、Windows Remote Access Connection Managerに影響するCVE-2025-62472がそれに含まれる。
今月対処された脆弱性の完全な一覧は、MicrosoftのSecurity Response Centerで確認できる。
翻訳元: https://cyberscoop.com/microsoft-patch-tuesday-december-2025/
