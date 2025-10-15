Microsoftは10月14日(米国時間)、「2025 年 10 月のセキュリティ更新プログラム (月例)」において、複数の製品の脆弱性に対処する2025年10月のセキュリティ更新プログラムをリリースしたと発表した。

修正された脆弱性は175件に上り、深刻度が緊急と評価される脆弱性も5件含まれている。これら脆弱性を放置すると、遠隔から任意のコードを実行されたり、管理者権限を奪われるなど攻撃を受けたりする危険性がある。

脆弱性に関する情報

脆弱性に関する情報は次のページにまとまっている。

5件のゼロデイの脆弱性と、5件の重大な脆弱性

修正前に悪用が確認された脆弱性、および詳細情報が公開された脆弱性は次のとおり。

CVE-2025-2884 - TPM2.0リファレンス実装における境界外読み取りの脆弱性(CVSSスコア: 6.6)

CVE-2025-24052、CVE-2025-24990 - Agere Windowsモデムドライバーに特権昇格の脆弱性。Microsoftは10月の更新プログラムで当該ドライバーを削除した(CVSSスコア: 7.8)

CVE-2025-47827 - IGEL OS 11およびこれ以前のバージョンにセキュアブートバイパスの脆弱性(CVSSスコア: 4.6)

CVE-2025-59230 - Windows Remote Access Connection Managerに特権昇格の脆弱性(CVSSスコア: 7.8)

深刻度が緊急(Critical)に分類されている脆弱性は次のとおり。

CVE-2025-49708 - Microsoft Graphicsコンポーネントに解放後使用(UAF: use-after-free)の脆弱性(CVSSスコア: 9.9)

CVE-2025-55315 - ASP.NET CoreにHTTPリクエストの不整合な解釈の脆弱性(CVSSスコア: 9.9)

CVE-2025-59218 - Azure Entra IDに特権昇格の脆弱性(CVSSスコア: 9.6)

CVE-2025-59246 - Azure Entra IDに特権昇格の脆弱性(CVSSスコア: 9.8)

CVE-2025-59287 - Windows Server Update Serviceに安全でないデシリアライゼーションの脆弱性(CVSSスコア: 9.8)

直ちにアップデートを

セキュリティアップデートの対象となる製品は多岐にわたる上、ゼロデイの脆弱性および深刻度が緊急(Critical)に分類される脆弱性の修正が含まれている。Microsoftは上記のセキュリティ情報をチェックするとともに、速やかなアップデートの適用を推奨している。