パッチ火曜日今月もこの時期がやってきました。マイクロソフトは、現在も悪用されているという 5 つの脆弱性を公開し、さらに刺激的なニュースに仕上がっています。これらの脆弱性は、重大な修正というよりは、重要な修正として評価されています。
マイクロソフトが今月のパッチ火曜日にリリースした 78 件の修正バンドルは、それほど大きなものではありませんでしたが、現在攻撃を受けている 5 つの問題はすべて、CVSS の深刻度スコアが 10 点満点中 7.5 または 7.8 であり、Windows 10 および 11 デバイス、および 2019 年以降の Windows Server リリースに影響を及ぼしています。これらは、次回の変更ウィンドウでのパッチ適用リストの最上位に位置付けられる有力な候補のようです。
悪用された 5 つの欠陥は次のとおりです。
- CVE-2025-30397 は、攻撃者が型混乱攻撃によって Microsoft のスクリプトエンジンを欺くことを可能にします。この場合、ネットワーク上の権限のないユーザーが、パッチを適用していないシステム上で完全なコード実行を実行できる可能性があります。
- CVE-2025-30400は、基本的なネットワーク権限を持つユーザーがWindowsデスクトップウィンドウマネージャーに対してuse-after-free攻撃を仕掛けることができる権限昇格攻撃です。他の脆弱性とは異なり、Windows Server 2025もこの脆弱性に対して脆弱です。
- CVE-2025-32701 にも同様の問題があり、Windows 共通ログ ファイル システム ドライバー システムに対する use-after-free 攻撃後に権限が昇格されるのを防ぎ、悪意のあるユーザーが SYSTEM 権限を取得できるようにします。
- CVE-2025-32706 は、Windows 共通ログ ファイル システム ドライバー システムにも影響を及ぼします。今回は、誰かが不適切な入力検証を使用して、ネットワーク上で同じ SYSTEM 機能を取得した場合に影響を受けます。
- CVE-2025-32709 により、攻撃者は、WinSock 用の Windows 補助機能ドライバーを use-after-free 攻撃で攻撃し、完全な管理者アクセス権に昇格することができます。
上記に対処した後、次に注目すべき Microsoft のパッチ 3 つは Azure の問題です。特に、クラウド プラットフォームの DevOps プラットフォームに対する認証バイパス攻撃である、10/10 評価の CVE-2025-29813 です。
CVE-2025-29827 は、Azure Automation に対する権限昇格攻撃を許し、CVE-2025-29972 は、Azure Storage に対するスプーフィング攻撃です。
重要なのは、Microsoft がすでに 3 つの問題を本番環境で修正しており、「透明性をさらに高めるため」にパッチ バンドルに CVE 情報を追加したと述べていることです。
5 月のバッチに含まれる残りの重要な修正プログラムと重要なパッチの概要は、以下でご覧いただけます。これは、トレンドマイクロの Zero Day Initiative の提供によるものです。
| CVE | タイトル | 重大度 | CVSS | 公共 | 搾取された | タイプ |
|---|---|---|---|---|---|---|
| CVE-2025-30400 | Microsoft DWM コア ライブラリの特権昇格の脆弱性 | 重要 | 7.8 | いいえ | はい | 終了 |
| CVE-2025-30397 | スクリプトエンジンのメモリ破損の脆弱性 | 重要 | 7.5 | いいえ | はい | RCE |
| CVE-2025-32709 | WinSock 用 Windows 補助機能ドライバーの特権昇格の脆弱性 | 重要 | 7.8 | いいえ | はい | 終了 |
| CVE-2025-32701 | Windows 共通ログ ファイル システム ドライバーの権限昇格の脆弱性 | 重要 | 7.8 | いいえ | はい | 終了 |
| CVE-2025-32706 | Windows 共通ログ ファイル システム ドライバーの権限昇格の脆弱性 | 重要 | 7.8 | いいえ | はい | 終了 |
| CVE-2025-26685 | Microsoft Defender の ID スプーフィングの脆弱性 | 重要 | 6.5 | はい | いいえ | なりすまし |
| CVE-2025-32702 | Visual Studio のリモートコード実行の脆弱性 | 重要 | 7.8 | はい | いいえ | RCE |
| CVE-2025-29827 | Azure Automation の権限昇格の脆弱性 | 致命的 | 9.9 | いいえ | いいえ | 終了 |
| CVE-2025-29813 | Azure DevOps の権限昇格の脆弱性 | 致命的 | 10 | いいえ | いいえ | 終了 |
| CVE-2025-29972 | Azure ストレージ リソース プロバイダーのスプーフィング脆弱性 | 致命的 | 9.9 | いいえ | いいえ | なりすまし |
| CVE-2025-47732 | Microsoft Dataverse のリモートコード実行の脆弱性 | 致命的 | 8.7 | いいえ | いいえ | RCE |
| CVE-2025-33072 | Microsoft msagsfeedback.azurewebsites.net 情報漏洩の脆弱性 | 致命的 | 8.1 | いいえ | いいえ | 情報 |
| CVE-2025-30377 | Microsoft Office のリモートコード実行の脆弱性 | 致命的 | 8.4 | いいえ | いいえ | RCE |
| CVE-2025-30386 | Microsoft Office のリモートコード実行の脆弱性 | 致命的 | 8.4 | いいえ | いいえ | RCE |
| CVE-2025-47733 | Microsoft Power Apps の情報漏洩脆弱性 | 致命的 | 9.1 | いいえ | いいえ | 情報 |
| CVE-2025-29833 | Microsoft 仮想マシン バス (VMBus) のリモート コード実行の脆弱性 | 致命的 | 7.1 | いいえ | いいえ | RCE |
| CVE-2025-29966 | リモート デスクトップ クライアントのリモート コード実行の脆弱性 | 致命的 | 8.8 | いいえ | いいえ | RCE |
| CVE-2025-29967 | リモート デスクトップ クライアントのリモート コード実行の脆弱性 | 致命的 | 8.8 | いいえ | いいえ | RCE |
「今月は幸運にも7件のサービス拒否(DoS)脆弱性が修正プログラムとして公開されました」と、トレンドマイクロのZDIで脅威認識責任者を務めるダスティン・チャイルズ氏はコメントしています。しかし、Microsoftはこれらの脆弱性について具体的な対策情報を一切提供していません。ただ、攻撃者がネットワーク経由(またはローカル)で該当コンポーネントへのサービスを拒否できる可能性があると述べているだけです。
Adobe 等
Adobeは火曜日にパッチをリリースするのが少し遅れたため、パッチ情報共有に関する同社の最近の方針転換がうまくいかなかったのではないかとの憶測が飛び交った。しかし、サンノゼの堅実な企業は期待を裏切らなかった。
Photoshopには3つの重大な脆弱性があり、いずれも任意のコード実行を許すものです。これらはすべて、Adobeを専門とするバグハンターyjdfyによって発見されました。同じ人物がIllustratorの重大な脆弱性1件と、Adobe Animateで発見された5つの脆弱性のうち3件も発見しました。
ColdFusionは今月Adobe製品の中で最もバグが多かったパッケージで、8件の脆弱性が修正されました。次いでSubstance 3D Stagerが6件で、そのうち5件は重大なものでした。Connectは4件の脆弱性が修正され、そのうち1件は重大なものです。
Bridge と InDesign の 3 つの修正をリストから削除し、Dimension のいくつかの修正に対処する必要があります。
Substance 3D Painter と Lightroom はそれぞれ 1 つずつ取得します。どちらも重要です。
Appleはパッチ火曜日の前日に多数の修正プログラムをリリースしましたが、そのうちの1つだけが「iOS 18.4.1より前のバージョンのiOSにおいて、特定の個人を標的とした非常に高度な攻撃」に悪用されています。この脆弱性はwatchOS 11.5のCoreAudio APIに存在し、このコードに対する21の修正プログラムのうちの1つです。これは、政府レベルのスパイウェアなどに悪用される脆弱性のようです。
インテルのデータ漏洩対策スペクターが再び脅威にさらされる
続きを読む
Cupertino は、iOS/iPadOS 18.5 の修正を 31 件 (パッチではなくコード削除を含む)、iOS/iPadOS 17.77 の修正を 29 件、Safari 18.5 の修正を 8 件提供したが、いずれも WebKit の問題である。
デスクトップでは、Apple は macOS Sequoia 15.5 に 46 件、macOS Sonoma 14.7.6 に 31 件、Ventura 13.7.6 に 29 件の修正プログラムを発見しました。
tvOS ユーザーは、22 の修正を実装すると目が四角くなる可能性があります。
Apple のヘッドセット オペレーティング システム visionOS 2.5 には 23 個の欠陥があるが、一般ユーザー 1 人あたり 1 個ずつあるのではないかと推測してもいいだろうか?
注目すべきは、今月、独立した脆弱性発見者がAppleの多くの欠陥を発見したことです。Appleの強化されたバグ報奨金制度は、おそらく意図したとおりに機能しているのでしょう。
でも待ってください、SAPとIvantiからはまだ続きがあります
セキュリティ面で苦戦を強いられた1ヶ月だったSAPは、18件の修正プログラムをリリースしました。これには、4月末にNetWeaverに深刻な影響を与えたCVSS 10の問題の再リリースが含まれています。SAPはまた、NetWeaverの2件目の重大な脆弱性を修正し、深刻度が中程度のパッチもリリースしました。
比較的最近になってパッチ火曜日の話題に加わったIvantiは、3つのパッチをリリースしました。Ivanti Neurons for ITSMには、CVSS 9.8の重大な修正が含まれています。この修正により、コードを実行しているマシンに物理的にアクセスできるユーザーであれば誰でも管理者権限を取得できるようになります。また、クラウドサービスアプリケーションにおける、CVSS 7.8の権限昇格に関する脆弱性も修正されています。さらに、同社はNeurons for MDMにおけるCVSS 5.4の軽微な脆弱性も修正しました。®
