Microsoftは11月11日(米国時間)、「2025 年 11 月のセキュリティ更新プログラム (月例)」において、複数の製品のセキュリティ脆弱性に対処する2025年11月のセキュリティ更新プログラムをリリースした。

修正された脆弱性は63件に上り、深刻度が緊急と評価される脆弱性も1件含まれている。これら脆弱性を放置すると、遠隔から任意のコードを実行されたり、管理者権限を奪われたりするなど攻撃を受ける危険性がある。

  • 2025 年 11 月のセキュリティ更新プログラム (月例)

    2025 年 11 月のセキュリティ更新プログラム (月例)

脆弱性に関する情報

脆弱性に関する情報は次のページにまとまっている。

1件のゼロデイの脆弱性と、1件の重大な脆弱性

修正前に悪用が確認された脆弱性、および詳細情報が公開された脆弱性は次のとおり。

  • CVE-2025-62215 - 共有リソースの同期処理に競合状態の脆弱性。認証されたローカルの攻撃者は、特権昇格できる可能性がある(CVSSスコア: 7.0)

深刻度が緊急(Critical)に分類されているセキュリティ脆弱性は次のとおり。

  • CVE-2025-60724 - Microsoft Graphicsコンポーネントにヒープベースのバッファーオーバーフローの脆弱性。認証されていないリモートの攻撃者は、リモートコード実行(RCE: Remote Code Execution)できる可能性がある(CVSSスコア: 9.8)

CVSSスコア評価では緊急(Critical)に分類されていないが、Microsoftの評価基準で重大とされる脆弱性は次のとおり。

  • CVE-2025-30398 - Nuance PowerScribeに不十分な認証の脆弱性。認証されていないリモートの攻撃者は、情報を窃取できる可能性がある(CVSSスコア: 8.1)
  • CVE-2025-60716 - Windows DirectXに解放後使用(UAF: use-after-free)の脆弱性。認証されたローカルの攻撃者は、特権昇格できる可能性がある(CVSSスコア: 7.0)
  • CVE-2025-62214 - Visual Studioにコマンドインジェクションの脆弱性。リモートの攻撃者は、認証されたローカルの標的ユーザーを介してリモートコード実行(RCE: Remote Code Execution)できる可能性がある(CVSSスコア: 6.7)

直ちにアップデートを

セキュリティアップデートの対象となる製品は多岐にわたる上、ゼロデイの脆弱性および深刻度が緊急(Critical)に分類される脆弱性の修正が含まれている。Microsoftはユーザーおよび管理者に対して上記セキュリティ情報をチェックするとともに、速やかなアップデートの適用を推奨している。