Microsoftは10月14日(米国時間)、「2025 年 10 月のセキュリティ更新プログラム (月例)」において、複数の製品の脆弱性に対処する2025年10月のセキュリティ更新プログラムをリリースしたと発表した。
修正された脆弱性は175件に上り、深刻度が緊急と評価される脆弱性も5件含まれている。これら脆弱性を放置すると、遠隔から任意のコードを実行されたり、管理者権限を奪われるなど攻撃を受けたりする危険性がある。
-
Security Update Guide - Microsoft Security Response Center
脆弱性に関する情報
脆弱性に関する情報は次のページにまとまっている。
- 2025 年 10 月のセキュリティ更新プログラム - リリース ノート - セキュリティ更新プログラム ガイド - Microsoft
- Security Update Guide - Microsoft
5件のゼロデイの脆弱性と、5件の重大な脆弱性
修正前に悪用が確認された脆弱性、および詳細情報が公開された脆弱性は次のとおり。
- CVE-2025-2884 - TPM2.0リファレンス実装における境界外読み取りの脆弱性(CVSSスコア: 6.6)
- CVE-2025-24052、CVE-2025-24990 - Agere Windowsモデムドライバーに特権昇格の脆弱性。Microsoftは10月の更新プログラムで当該ドライバーを削除した(CVSSスコア: 7.8)
- CVE-2025-47827 - IGEL OS 11およびこれ以前のバージョンにセキュアブートバイパスの脆弱性(CVSSスコア: 4.6)
- CVE-2025-59230 - Windows Remote Access Connection Managerに特権昇格の脆弱性(CVSSスコア: 7.8)
深刻度が緊急(Critical)に分類されている脆弱性は次のとおり。
- CVE-2025-49708 - Microsoft Graphicsコンポーネントに解放後使用(UAF: use-after-free)の脆弱性(CVSSスコア: 9.9)
- CVE-2025-55315 - ASP.NET CoreにHTTPリクエストの不整合な解釈の脆弱性(CVSSスコア: 9.9)
- CVE-2025-59218 - Azure Entra IDに特権昇格の脆弱性(CVSSスコア: 9.6)
- CVE-2025-59246 - Azure Entra IDに特権昇格の脆弱性(CVSSスコア: 9.8)
- CVE-2025-59287 - Windows Server Update Serviceに安全でないデシリアライゼーションの脆弱性(CVSSスコア: 9.8)
直ちにアップデートを
セキュリティアップデートの対象となる製品は多岐にわたる上、ゼロデイの脆弱性および深刻度が緊急(Critical)に分類される脆弱性の修正が含まれている。Microsoftは上記のセキュリティ情報をチェックするとともに、速やかなアップデートの適用を推奨している。
Windows 11/10の10月更新プログラムですべてのデータを失う可能性
