米国土安全保障省サイバーセキュリティ・インフラストラクチャーセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は1月14日(米国時間)、「Microsoft Releases January 2025 Security Updates|CISA」において、MicrosoftがWindowsを含む複数の製品の脆弱性に対処する2025年1月のセキュリティ更新プログラムをリリースしたと伝えた。
修正された脆弱性は159件に上り、すでに攻撃への悪用が確認されている脆弱性も3件含まれている。これら脆弱性を放置すると、遠隔から任意のコードを実行されたり、管理者権限を奪われるなど攻撃を受ける危険性がある。
脆弱性に関する情報
脆弱性に関する情報は次のページにまとまっている。
- 2025 年 1 月のセキュリティ更新プログラム - リリース ノート - セキュリティ更新プログラム ガイド - Microsoft
- Security Update Guide - Microsoft
-
Security Update Guide - Microsoft
悪用が確認されている3件の脆弱性と3件の重大な脆弱性の内容
修正された脆弱性のうち、すでに悪用が確認されている脆弱性は次のとおり。
- CVE-2025-21333 - Windows Hyper-V NT Kernel Integration VSPにヒープベースバッファーオーバーフローの脆弱性。攻撃者は特権を昇格する可能性がある(CVSSスコア: 7.8)
- CVE-2025-21334、CVE-2025-21335 - Windows Hyper-V NT Kernel Integration VSPに解放後使用(UAF: use-after-free)の脆弱性。攻撃者は特権を昇格する可能性がある(CVSSスコア: 7.8)
悪用は確認されていないものの、深刻度が緊急(Critical)に分類されている脆弱性は次のとおり。
- CVE-2025-21298 - Windows OLEに解放後使用の脆弱性。リモートコード実行(RCE: Remote Code Execution)の可能性がある(CVSSスコア: 9.8)
- CVE-2025-21307 - Reliable Multicast Transport Driver (RMCAST)に解放後使用の脆弱性。リモートコード実行の可能性がある(CVSSスコア: 9.8)
- CVE-2025-21311 - Windows NTLM V1に認証アルゴリズムの不正確な実装の脆弱性。攻撃者は特権を昇格する可能性がある(CVSSスコア: 9.8)
ただちにアップデートを
セキュリティアップデートの対象となる製品は多岐にわたる上、積極的に悪用されている脆弱性および深刻度が緊急(Critical)に分類される脆弱性の修正が含まれている。CISAは、上記のセキュリティ情報をチェックするとともに、必要に応じてアップデートを適用することを推奨している。
MicrosoftはすでにWindows Updateなどを通じて修正プログラムの配信を行っている。該当する製品を使用している場合は、内容を確認するとともに迅速にアップデートを適用することが望まれる。
TP-Link製ルータに重大な脆弱性、使用中止を
