Microsoftは3月11日(米国時間)、「2025 年 3 月のセキュリティ更新プログラム (月例) | MSRC Blog | Microsoft Security Response Center」において、複数の製品のセキュリティ脆弱性に対処する2025年3月のセキュリティ更新プログラムをリリースした。

修正された脆弱性は57件に上り、すでに攻撃への悪用が確認されている脆弱性も6件含まれている。これら脆弱性を放置すると、遠隔から任意のコードを実行されたり、管理者権限を奪われるなど攻撃を受けたりする危険性がある。

  • 2025 年 3 月のセキュリティ更新プログラム - リリース ノート - セキュリティ更新プログラム ガイド - Microsoft

    2025 年 3 月のセキュリティ更新プログラム - リリース ノート - セキュリティ更新プログラム ガイド - Microsoft

脆弱性に関する情報

脆弱性に関する情報は次のページにまとまっている。

悪用が確認されている6件の脆弱性

修正された脆弱性のうち、すでに悪用が確認されているものは次のとおり。

  • CVE-2025-24983 - Windows Win32カーネルサブシステムに解放後使用(UAF: use-after-free)の脆弱性。認証されたローカルの攻撃者は特権昇格の可能性がある(CVSSスコア: 7.0)
  • CVE-2025-24984 - Windows NTFSに機密情報漏洩の脆弱性。物理的な攻撃が可能な攻撃者は、ログファイルに挿入される機密情報を窃取できる可能性がある(CVSSスコア: 4.6)
  • CVE-2025-24985 - Windows Fast FATドライバーに整数オーバーフローの脆弱性。認証されていないローカルの攻撃者は、コードを実行できる可能性がある(CVSSスコア: 7.8)
  • CVE-2025-24991 - Windows NTFSに境界外読み取りの脆弱性。認証されたローカルの攻撃者は、情報を窃取できる可能性がある(CVSSスコア: 5.5)
  • CVE-2025-24993 - Windows NTFSにヒープベースのバッファーオーバーフローの脆弱性。認証されていないローカルの攻撃者は、コードを実行できる可能性がある(CVSSスコア: 7.8)
  • CVE-2025-26633 - Microsoft管理コンソールに不適切な無害化の脆弱性。認証されていないローカルの攻撃者は、セキュリティ機能をバイパスできる可能性がある(CVSSスコア: 7.0)

なお、次の脆弱性については、詳細が一般公開されているとして注意を呼びかけている。

  • CVE-2025-26630 - Microsoft Office Accessに解放後使用の脆弱性。認証されていないローカルの攻撃者は、コードを実行できる可能性がある(CVSSスコア: 7.8)

ただちにアップデートを

セキュリティアップデートの対象となる製品は多岐にわたる上、積極的に悪用されている脆弱性の修正が含まれている。Microsoftは上記セキュリティ情報をチェックするとともに、速やかなアップデートの適用を推奨している。