マイクロソフトは、2025年1月14日(米国時間)、2025年1月のセキュリティ更新プログラム(月例パッチ)を公開した。該当するソフトウェアはCVEベースで159件である。()内は対応するCVEである。
- .NET(CVE-2025-21171)
- .NETとVisual Studio(CVE-2025-21172)
- .NET(CVE-2025-21173)
- .NET、.NET Framework、Visual Studio(CVE-2025-21176)
- Visual Studio(CVE-2025-21178)
- Microsoft Office Access(CVE-2025-21186)
- Power Automate(CVE-2025-21187)
- Windows MapUrlToZone(CVE-2025-21189)
- Active Directoryフェデレーションサービス(CVE-2025-21193)
- Windows回復環境エージェント(CVE-2025-21202)
- Windows Connected Devices Platform Service(CVE-2025-21207)
- Windowsトラステッドプラットフォームモジュール(CVE-2025-21210)
- Windowsブートローダー(CVE-2025-21211)
- Windows BitLocker(CVE-2025-21213)
- Windows BitLocker(CVE-2025-21214)
- Windows Boot Manager(CVE-2025-21215)
- Windows Mark of the Web (MOTW)(CVE-2025-21217)
- Windows Kerberos(CVE-2025-21218)
- Windows MapUrlToZone(CVE-2025-21219)
- Windowsメッセージキュー(CVE-2025-21220)
- Windowsテレフォニーサービス(CVE-2025-21223)
- ラインプリンターデーモン(LPD)サービス(CVE-2025-21224)
- Windowsリモートデスクトップサービス(CVE-2025-21225)
- Windows Digital Media(CVE-2025-21226)
- Windows Digital Media(CVE-2025-21227)
- Windows Digital Media(CVE-2025-21228)
- Windows Digital Media(CVE-2025-21229)
- Windowsメッセージキュー(CVE-2025-21230)
- IPヘルパー(CVE-2025-21231)
- Windows Digital Media(CVE-2025-21232)
- Windowsテレフォニーサービス(CVE-2025-21233)
- Windows PrintWorkflowUserSvc(CVE-2025-21234)
- Windows PrintWorkflowUserSvc(CVE-2025-21235)
- Windowsテレフォニーサービス(CVE-2025-21236)
- Windowsテレフォニーサービス(CVE-2025-21237)
- Windowsテレフォニーサービス(CVE-2025-21238)
- Windowsテレフォニーサービス(CVE-2025-21239)
- Windowsテレフォニーサービス(CVE-2025-21240)
- Windowsテレフォニーサービス(CVE-2025-21241)
- Windows Kerberos(CVE-2025-21242)
- Windowsテレフォニーサービス(CVE-2025-21243)
- Windowsテレフォニーサービス(CVE-2025-21244)
- Windowsテレフォニーサービス(CVE-2025-21245)
- Windowsテレフォニーサービス(CVE-2025-21246)
- Windowsテレフォニーサービス(CVE-2025-21248)
- Windows Digital Media(CVE-2025-21249)
- Windowsテレフォニーサービス(CVE-2025-21250)
- Windowsメッセージキュー(CVE-2025-21251)
- Windowsテレフォニーサービス(CVE-2025-21252)
- Windows Digital Media(CVE-2025-21255)
- Windows Digital Media(CVE-2025-21256)
- Windows WLAN Auto Config Service(CVE-2025-21257)
- Windows Digital Media(CVE-2025-21258)
- Windows Digital Media(CVE-2025-21260)
- Windows Digital Media(CVE-2025-21261)
- Windows Digital Media(CVE-2025-21263)
- Windows Digital Media(CVE-2025-21265)
- Windowsテレフォニーサービス(CVE-2025-21266)
- Windows MapUrlToZone(CVE-2025-21268)
- Windows MapUrlToZone(CVE-2025-21269)
- Windowsメッセージキュー(CVE-2025-21270)
- Windows Cloud Files Mini Filter Driver(CVE-2025-21271)
- Windows COM(CVE-2025-21272)
- Windowsテレフォニーサービス(CVE-2025-21273)
- Windowsイベントトレーシング(CVE-2025-21274)
- Windowsインストーラー(CVE-2025-21275)
- Windows MapUrlToZone(CVE-2025-21276)
- Windowsメッセージキュー(CVE-2025-21277)
- Windowsリモートデスクトップサービス(CVE-2025-21278)
- Windowsトラステッドプラットフォームモジュール(CVE-2025-21280)
- Windows COM(CVE-2025-21281)
- Windowsテレフォニーサービス(CVE-2025-21282)
- Windowsトラステッドプラットフォームモジュール(CVE-2025-21284)
- Windowsメッセージキュー(CVE-2025-21285)
- Windowsテレフォニーサービス(CVE-2025-21286)
- Windowsインストーラー(CVE-2025-21287)
- Windows COM(CVE-2025-21288)
- Windowsメッセージキュー(CVE-2025-21289)
- Windowsメッセージキュー(CVE-2025-21290)
- Windows DirectShow(CVE-2025-21291)
- Microsoft Windows検索コンポーネント(CVE-2025-21292)
- Active Directory Domain Services(CVE-2025-21293)
- Microsoftダイジェスト認証(CVE-2025-21294)
- Windows SPNEGO Extended Negotiation(CVE-2025-21295)
- BranchCache(CVE-2025-21296)
- Windowsリモートデスクトップサービス(CVE-2025-21297)
- Windows OLE(CVE-2025-21298)
- Windows Kerberos(CVE-2025-21299)
- Windows UPnP Device Host(CVE-2025-21300)
- Windows位置情報サービス(CVE-2025-21301)
- Windowsテレフォニーサービス(CVE-2025-21302)
- Windowsテレフォニーサービス(CVE-2025-21303)
- Windows DWM Core ライブラリ(CVE-2025-21304)
- Windowsテレフォニーサービス(CVE-2025-21305)
- Windowsテレフォニーサービス(CVE-2025-21306)
- Reliable Multicast Transportドライバー (RMCAST)(CVE-2025-21307)
- Windows Themes(CVE-2025-21308)
- Windowsリモートデスクトップサービス(CVE-2025-21309)
- Windows Digital Media(CVE-2025-21310)
- Windows NTLM(CVE-2025-21311)
- Windowsスマートカード(CVE-2025-21312)
- Windows Security Account Manager(CVE-2025-21313)
- Windows SmartScreen(CVE-2025-21314)
- Microsoft Brokering File System(CVE-2025-21315)
- Windowsカーネルメモリ(CVE-2025-21316)
- Windowsカーネルメモリ(CVE-2025-21317)
- Windowsカーネルメモリ(CVE-2025-21318)
- Windowsカーネルメモリ(CVE-2025-21319)
- Windowsカーネルメモリ(CVE-2025-21320)
- Windowsカーネルメモリ(CVE-2025-21321)
- Windowsカーネルメモリ(CVE-2025-21323)
- Windows Digital Media(CVE-2025-21324)
- Internet Explorer(CVE-2025-21326)
- Windows Digital Media(CVE-2025-21327)
- Windows MapUrlToZone(CVE-2025-21328)
- Windows MapUrlToZone(CVE-2025-21329)
- Windowsリモートデスクトップサービス(CVE-2025-21330)
- Windowsインストーラー(CVE-2025-21331)
- Windows MapUrlToZone(CVE-2025-21332)
- Windows Hyper-V NT Kernel Integration VSP(CVE-2025-21333)
- Windows Hyper-V NT Kernel Integration VSP(CVE-2025-21334)
- Windows Hyper-V NT Kernel Integration VSP(CVE-2025-21335)
- Windows Cryptographicサービス(CVE-2025-21336)
- Windows Win32K: GRFX(CVE-2025-21338)
- Windowsテレフォニーサービス(CVE-2025-21339)
- Windows Hello(CVE-2025-21340)
- Windows Digital Media(CVE-2025-21341)
- Windows Web Threat Defenseユーザーサービス(CVE-2025-21343)
- Microsoft Office SharePoint(CVE-2025-21344)
- Microsoft Office Visio(CVE-2025-21345)
- Microsoft Office(CVE-2025-21346)
- Microsoft Office SharePoint(CVE-2025-21348)
- Microsoft Office Excel(CVE-2025-21354)
- Microsoft Office Visio(CVE-2025-21356)
- Microsoft Office Outlook(CVE-2025-21357)
- Microsoft AutoUpdate (MAU)(CVE-2025-21360)
- Microsoft Office Outlook for Mac(CVE-2025-21361)
- Microsoft Office Excel(CVE-2025-21362)
- Microsoft Office Word(CVE-2025-21363)
- Microsoft Office Excel(CVE-2025-21364)
- Microsoft Office(CVE-2025-21365)
- Microsoft Office Access(CVE-2025-21366)
- Windows 仮想化ベースのセキュリティ(VBS)エンクレーブ(CVE-2025-21370)
- Microsoft Brokering File System(CVE-2025-21372)
- Windowsクライアント側のキャッシュ(CSC)サービス(CVE-2025-21374)
- Windowsクライアント側のキャッシュ(CSC)サービス(CVE-2025-21378)
- Azure Marketplace SaaSリソース(CVE-2025-21380)
- Microsoft Graphicsコンポーネント(CVE-2025-21382)
- Microsoft Purview(CVE-2025-21385)
- Windows UPnP Device Host(CVE-2025-21389)
- Microsoft Office SharePoint(CVE-2025-21393)
- Microsoft Office Access(CVE-2025-21395)
- Microsoft Office OneNote(CVE-2025-21402)
- Microsoft Azureゲートウェイマネージャー(CVE-2025-21403)
- Visual Studio(CVE-2025-21405)
- Windowsテレフォニーサービス(CVE-2025-21409)
- Windowsテレフォニーサービス(CVE-2025-21411)
- Windowsテレフォニーサービス(CVE-2025-21413)
- Windowsテレフォニーサービス(CVE-2025-21417)
マイクロソフトでは、セキュリティ更新プログラム、セキュリティアドバイザリに関する注意点として、以下をあげる。
〇 今月のセキュリティ更新プログラムで修正した脆弱性のうち、以下の脆弱性は更新プログラムが公開されるよりも前に悪用が行われていることや脆弱性の詳細が一般へ公開されていることを確認している。ユーザーにおいては、更新プログラムの適用を早急に行ってほしい。脆弱性の詳細は、各CVEのページを参照してほしい。
- CVE-2025-21395/ CVE-2025-21366/ CVE-2025-21186 Microsoft Access のリモートコードが実行される脆弱性
- CVE-2025-21308 Windowsテーマのなりすましの脆弱性
- CVE-2025-21275 Windowsアプリパッケージインストーラーの特権昇格の脆弱性
- CVE-2025-21334/ CVE-2025-21333/ CVE-2025-21335 Windows Hyper-V NT Kernel Integration VSPの特権昇格の脆弱性
〇 今月のセキュリティ更新プログラムで修正した脆弱性のうち、以下の脆弱性は、CVSS基本値が9.8と高いスコアで、認証やユーザーの操作なしで悪用が可能な脆弱性である。これらの脆弱性が存在する製品、および悪用が可能となる条件については、各CVEのページの「よく寄せられる質問」を参照してほしい。セキュリティ更新プログラムが公開されるよりも前に、脆弱性の情報の一般への公開、脆弱性の悪用はないが、脆弱性の特性を鑑み、企業組織では早急なリスク評価とセキュリティ更新プログラムの適用を推奨している。
- CVE-2025-21311 Windows NTLM V1の特権昇格の脆弱
- CVE-2025-21298 Windows OLE のリモートでコードが実行される脆弱性
- CVE-2025-21307 Windows Reliable Multicast Transport Driver (RMCAST) のリモートでコードが実行される脆弱性
〇 セキュリティ更新プログラムにおける既知の問題は、各セキュリティ更新プログラムのサポート技術情報を参照のこと。既知の問題が確認されている各セキュリティ更新プログラムのサポート技術情報一覧は、2025年1月セキュリティ更新プログラムリリースノートに掲載されている。
新たに確認した脆弱性に対応した新しいセキュリティ更新プログラムは、以下の通り。
Windows 11 v24H2、v23H2、v22H2
緊急(リモートでコードの実行が可能)
- v24H2:KB5050009
- v23H2、v22H2:KB5050021
Windows 11 v24H2の更新プログラムであるKB5050009のハイライトの一部は
- Windowsオペレーティングシステムのセキュリティの問題に対処する
である。
Windows 10 v22H2
緊急(リモートでコードの実行が可能)
- KB5049981
Windows Server 2025(Server Core installationを含む)
緊急(リモートでコードの実行が可能)
- KB5050009
Windows Server 2022、23H2(Server Core installationを含む)
緊急(リモートでコードの実行が可能)
- Windows Server 2022:KB5049983
- Windows Server 23H2:KB5049984
Windows Server 2019、2016(Server Core installationを含む)
緊急(リモートでコードの実行が可能)
- Windows Server 2019:KB5050008
- Windows Server 2016:KB5049993
Microsoft Office
緊急(リモートでコードの実行が可能)
セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/officeupdates を参照してほしい。
Microsoft SharePoint
重要(リモートでコードの実行が可能)
セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/officeupdates/sharepoint-updates を参照してほしい。
Microsoft .NET
重要(リモートでコードの実行が可能)
セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/dotnet を参照してほしい。
Microsoft Visual Studio
重要(リモートでコードの実行が可能)
セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/visualstudio を参照してほしい。
Microsoft Azure
重要(情報漏えい)
セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/ja-jp/azure を参照してほしい。
デスクトップ用Microsoft Power Automate
重要(リモートでコードの実行が可能)
セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/ja-jp/power-automate を参照してほしい。