Microsoftは2月11日(米国時間)、「2025 年 2 月のセキュリティ更新プログラム (月例)|MSRC Blog|Microsoft Security Response Center」において、複数の製品の脆弱性に対処する2025年2月のセキュリティ更新プログラムをリリースしたと発表した。

修正された脆弱性は63件に上り、すでに攻撃への利用が確認されている脆弱性も2件含まれている。これら脆弱性を放置すると、遠隔から任意のコードを実行されたり、管理者権限を奪われたりするなどの攻撃を受ける危険性がある。

  • 2025 年 2 月のセキュリティ更新プログラム (月例)|MSRC Blog|Microsoft Security Response Center

    2025 年 2 月のセキュリティ更新プログラム (月例)|MSRC Blog|Microsoft Security Response Center

脆弱性に関する情報

脆弱性に関する情報は次のページにまとまっている。

悪用が確認されている2件の脆弱性と、1件の重大な脆弱性

修正された脆弱性のうち、すでに悪用が確認されているものは次のとおり。

  • CVE-2025-21391 - Windowsストレージにリンクフォローの脆弱性。攻撃者は特権昇格の可能性がある(CVSSスコア: 7.1)
  • CVE-2025-21418 - WinSock用Windows Ancillary Function Driverにヒープベースのバッファーオーバーフローの脆弱性。攻撃者は特権昇格の可能性がある(CVSSスコア: 7.8)

悪用は確認されていないものの、深刻度が緊急(Critical)に分類されている脆弱性は次のとおり。

  • CVE-2025-21198 - Microsoft High Performance Compute(HPC)パックに不適切な認証の脆弱性。リモートの攻撃者はコードを実行できる可能性がある(CVSSスコア: 9.0)

なお、次の2件の脆弱性は、詳細が一般公開されているとして注意が呼びかけられている。

  • CVE-2025-21377 - NTLM(NT LAN Manager)にファイル名およびパスの外部制御の脆弱性。NTLMハッシュを漏洩し、攻撃者がユーザーになりすます可能性がある(CVSSスコア: 6.5)
  • CVE-2025-21194 - Microsoft Surfaceに不適切な入力検証の脆弱性。攻撃者にセキュリティ機能をバイパスされる可能性がある(CVSSスコア: 7.1)

ただちにアップデートを

セキュリティアップデートの対象となる製品は多岐にわたる上、積極的に悪用されている脆弱性および深刻度が緊急(Critical)に分類される脆弱性の修正が含まれている。Microsoftは、上記のセキュリティ情報をチェックするとともに、速やかなアップデートの適用を推奨している。