Microsoft、2025年10月の「Windows Update」「Microsoft Update」を実施
米Microsoftは10月14日(現地時間)、すべてのサポート中バージョンのWindowsに対し月例のセキュリティ更新プログラムをリリースした(パッチチューズデー)。現在、「Windows Update」や「Windows Update カタログ」などから入手可能。Windows以外の製品も含め、今月のパッチではCVE番号ベースで177件(サードパーティーのものを含めると195件)の脆弱性が新たに対処されている。
このうち、すでに悪用が確認されているゼロデイ脆弱性は3件。
CVE-2025-47827:IGEL OS 11 以前のセキュア ブート バイパスCVE-2025-24990:Windows Agere モデム ドライバーの特権昇格の脆弱性CVE-2025-59230:Windows Remote Access Connection Manager の特権昇格の脆弱性
深刻度の評価は「Important」にとどまるが、できるだけ早い対処が望ましい。
すでに攻撃手法が明らかになっており、いつ悪用されてもおかしくない脆弱性は、以下の3件。
CVE-2025-0033:AMD CVE-2025-0033: SNP 初期化中の RMP の破損CVE-2025-2884:Cert CC: CVE-2025-2884 TPM2.0 リファレンス実装における境界外読み取りの脆弱性CVE-2025-24052:Windows Agere モデム ドライバーの特権昇格の脆弱性
深刻度の評価は、AMD CPUの仮想化セキュリティ機能「SEV-SNP」におけるメモリページ破損の脆弱性「CVE-2025-0033」が「Critical」。リストにあるほかの2件は「Important」と評価されている。
深刻度が最高の「Critical」と評価された脆弱性は、以下の16件(前述のAMD脆弱性を除く)。「Office」や「Microsoft 365 Copilot」、「Windows Server Update Service」(WSUS)などに影響する。
CVE-2025-59292:Azure Compute Gallery の特権昇格の脆弱性CVE-2025-59218:Azure Entra ID に存在する特権昇格の脆弱性CVE-2025-59246:Azure Entra ID に存在する特権昇格の脆弱性CVE-2025-55321:Azure Monitor Log Analytics のスプーフィングの脆弱性CVE-2025-59247:Azure PlayFab の特権昇格の脆弱性CVE-2025-59291:Confidential Azure Container Instances の特権昇格の脆弱性CVE-2025-59272:Copilot のスプーフィングの脆弱性CVE-2025-59286:Copilot のスプーフィングの脆弱性CVE-2025-59252:Microsoft 365 Copilot のスプーフィングの脆弱性CVE-2025-59236:Microsoft Excel のリモートでコードが実行される脆弱性CVE-2025-59227:Microsoft Office のリモート コードが実行される脆弱性CVE-2025-59234:Microsoft Office のリモート コードが実行される脆弱性CVE-2016-9535:MITRE CVE-2016-9535: LibTIFF ヒープ バッファ オーバーフローの脆弱性CVE-2025-59271:Redis Enterprise の特権昇格の脆弱性CVE-2025-49708:Microsoft Graphics コンポーネントの特権昇格の脆弱性CVE-2025-59287:Windows Server Update Service (WSUS) のリモートでコードが実行される脆弱性
なお、今月は「Windows 10」「Office 2016」「Office 2019」を筆頭に、サービス終了やサポート終了を迎える製品が多くある。これらの製品に対するセキュリティパッチの提供は今後なくなるので、利用の継続はセキュリティリスクが高い。後継バージョンや代替製品への移行をできるだけ早く済ませるべきだ。
Windows 10/11およびWindows Server 2016/2019/2022
最大深刻度は「緊急」(リモートでコードが実行される)。今月より「Windows 11 バージョン 25H2」にもパッチが配信されるが、内容は「バージョン 24H2」と共通だ。
一方で、「Windows 10 バージョン 22H2」(「Windows 10」の最終バージョン)はサービスの終了を迎える。「Windows 11」への移行や「拡張セキュリティ更新プログラム」(Extended Security Update:ESU)への加入が必要だ。
「Windows 10」はサービス終了
なお、「Windows 11 バージョン 25H2」におけるハイライトは以下の通り。パッチの内容は「バージョン 24H2」と同じなので、これらの改善の恩恵は「バージョン 24H2」でも受けられる。
ハードウェアインジケーターの表示位置をカスタマイズ
セカンダリモニターでも通知センターが利用可能に
「エクスプローラー」でAIアクションが利用可能に
なお、一部機能は当初対象を絞って提供される。そのため、アップデートしてもすぐには利用できるようになるとは限らない点には注意したい。
Microsoft Office関連のソフトウェア
「Microsoft Office」関連のセキュリティ修正に関しては、以下のドキュメントを参照のこと。
深刻度「Critical」の脆弱性が複数含まれているので、できるだけ早い対応が望ましい。
Microsoft Edge
「Microsoft Edge」は、「パッチチューズデー」とは関係なくアップデートされている。直近のセキュリティ修正は、米国時間10月9日にリリースされたv141.0.3537.7。
加えて、今夏よりセキュリティ攻撃の的となっている「IE モード」に制限が加えられる。「IE モード」を利用している個人ユーザーは注意が必要だ。
Microsoft Exchange Server
「Microsoft Exchange Server」関連では、3件の脆弱性が修正された。
Microsoft Visual Studio
「Microsoft Visual Studio」では、4件の脆弱性が修正された(影響範囲はバージョンによって異なる)。
以下の対策済みバージョンへのアップデートが必要だ。
「Visual Studio 2022」v17.14「Visual Studio 2022」v17.12「Visual Studio 2022」v17.10「Visual Studio 2019」v16.11「Visual Studio 2017」v15.9
なお、「Visual Studio 2015」はサービスを終了した。今後、セキュリティパッチが提供されることはない。
Microsoft SharePoint
「Microsoft SharePoint」関連でも、6件の脆弱性が修正された。
Microsoft .NET Framework/.NET
「.NET Framework」では、1件の脆弱性が修正された。
「.NET 8.0」「.NET 9.0」における脆弱性修正は、2件。
「ASP.NET Core」では、1件の脆弱性が修正された。
「Unity」製のゲーム
今月初め、「Unity」ランタイムでリモート攻撃のおそれのある脆弱性「CVE-2025-59489」が発見され、多くのアプリ・ゲームが影響を受けることが明らかになった。
Microsoft製のアプリ・ゲームのなかにも、アップデートが必要となる製品が大量にあるので注意したい。
Zoo Tycoon FriendsWasteland RemasteredWasteland 3Warcraft RumbleThe Elder Scrolls: LegendsThe Elder Scrolls: CastlesThe Elder Scrolls: BladesThe Elder Scrolls IV: Oblivion Remastered Companion AppThe Bard’s Tale TrilogyStarfield Companion AppPillars of Eternity: Hero EditionPillars of Eternity: Definitive EditionPillars of Eternity II: Deadfire – Ultimate EditionPillars of Eternity II: DeadfirePillars of EternityMighty DoomMicrosoft Mesh PC ApplicationsMicrosoft Mesh for Meta QuestKnights and BikesHearthstoneHalo RecruitGrounded 2 ArtbookGhostwire: Tokyo – PreludeGears POP!Forza CustomsFallout ShelterDOOM: Dark Ages Companion AppDOOM IIDOOMAvowed Artbookそのほかの製品
そのほかにも、以下の製品に対しセキュリティアップデートが提供されている。括弧内は最大深刻度。
Xbox Gaming Services:1件(重要)Windows App Client for Windows Desktop:1件(重要)Remote Desktop client for Windows Desktop:1件(重要)PowerShell 7.5:1件(重要)PowerShell 7.4:1件(重要)Microsoft JDBC Driver 13.2 for SQL Server:1件(重要)Microsoft JDBC Driver 12.8 for SQL Server:1件(重要)Microsoft JDBC Driver 12.6 for SQL Server:1件(重要)Microsoft JDBC Driver 12.4 for SQL Server:1件(重要)Microsoft JDBC Driver 12.2 for SQL Server:1件(重要)Microsoft JDBC Driver 12.10 for SQL Server:1件(重要)Microsoft JDBC Driver 11.2 for SQL Server:1件(重要)Microsoft JDBC Driver 10.2 for SQL Server:1件(重要)Microsoft Entra ID:2件(重要)Microsoft Defender for Endpoint for Linux:1件(重要)Microsoft Configuration Manager 2503:2件(重要)Microsoft Configuration Manager 2409:2件(重要)Microsoft Configuration Manager 2403:2件(重要)Microsoft 365 Copilot’s Business Chat:2件(緊急)Azure PlayFab:1件(緊急)Azure Monitor Agent:2件(重要)Azure Monitor:1件(緊急)Azure Managed Redis:1件(緊急)Azure Confidential Compute VM SKU ECasv6/ECadsv6:1件(緊急)Azure Confidential Compute VM SKU ECasv5/ECadsv5:1件(緊急)Azure Confidential Compute VM SKU DCasv6/DCadsv6:1件(緊急)Azure Confidential Compute VM SKU DCasv5/DCadsv5:1件(緊急)Azure Compute Gallery:2件(緊急)Azure Cache for Redis Enterprise:1件(緊急)Arc Enabled Servers – Azure Connected Machine Agent:2件(重要)