Microsoft 2025-04 月例アップデート:1件のゼロデイを含む 134件の脆弱性に対応

Microsoft April 2025 Patch Tuesday fixes exploited zero-day, 134 flaws

2025/04/08 BleepingComputer — 今日は Microsoft の April 2025 Patch Tuesday の日だ。今回のパッチでは、134件の脆弱性に対するセキュリティ・アップデートが提供され、その中には、現時点で悪用されているゼロデイ脆弱性1件が含まれる。なお、今回の月例パッチでは、Critical レベルの脆弱性が 11件も修正されているが、そこにはリモートコード実行の脆弱性も含まれている。

各脆弱性カテゴリのバグ件数は以下の通りである:

  • 49件:権限昇格の脆弱性
  • 9件:セキュリティ機能バイパスの脆弱性
  • 31件:リモートコード実行の脆弱性
  • 17件:情報漏洩の脆弱性
  • 14件:サービス拒否の脆弱性
  • 3件:なりすましの脆弱性

なお、上記の件数には、Mariner の脆弱性と、今月初めに修正された Microsoft Edge の脆弱性 13件は含まれていない。

また、同時にリリースされた、セキュリティ関連以外のアップデートの詳細については、Windows 11 KB5055523/ KB5055528 累積アップデート、および、Windows 10 KB5055518 アップデートに関する記事を参照してほしい。

現在悪用されているゼロデイ脆弱性1件

今月の月例パッチでは、現時点で悪用されているゼロデイ脆弱性1件が修正された。Microsoft におけるゼロデイ脆弱性の定義は、すでに情報が公開されている脆弱性と、公式の修正プログラムが提供されずに悪用されている脆弱性が対象となる。

本日のアップデートで情報が提供される、現時点で悪用されているゼロデイ脆弱性は以下のとおりである:

CVE-2025-29824
Windows Common Log File System ドライバーの権限昇格の脆弱性

Microsoft によると、この脆弱性を悪用するローカル攻撃者は、標的デバイス上で SYSTEM 権限を取得する機会を得るという。

脆弱性 CVE-2025-29824 に対するセキュリティ・アップデートは、現時点で Windows Server/Windows 11 だけに提供されており、Windows 10 向けのアップデートは後日のリリースとなる。

Microsoft は、「Windows 10 for x64-based Systems および、Windows 10 for 32-bit Systems 向けのセキュリティ更新プログラムは、すぐには提供されない。可能な限り早急に、更新プログラムをリリースする要諦であり、提供開始時には、この CVE 情報の改訂版を通じて通知する」と説明している。

この記事の公開後に Microsoft は、RansomEXX ランサムウェア・グループが、この脆弱性をゼロデイ脆弱性として悪用し、権限昇格を狙った方法について、より詳細な情報を提供している。

なお、この脆弱性を発見したのは、Microsoft Threat Intelligence Center であるという。

他社による最近のアップデート

2025年4月に、アップデート/アドバイザリをリリースした他のベンダーには、以下のものがある:

  • Apache:Apache Parquet におけるリモートコード実行 (RCE) 脆弱性 (CVSS:10.0) を修正した。
  • Apple:現時点で悪用されている脆弱性に対する修正プログラムを、古いデバイスに対してバックポートした。
  • Google:標的型攻撃で悪用された2つのゼロデイ脆弱性を含む、62件の Android 脆弱性に対する、セキュリティ更新プログラムをリリースした。
  • Ivanti:4月のセキュリティ・アップデートと修正プログラムをリリースした。この修正プログラムは、中国の脅威アクターに悪用された、Connect Secure の深刻なリモートコード実行の脆弱性を修正するものである。
  • Fortinet:FortiSwitch の管理者パスワードが、攻撃者に変更されるという深刻な脆弱性を含む、多数の製品向けのセキュリティ・アップデートをリリースした。
  • Mikrotek:2025年4月のセキュリティ情報の一部として、セキュリティ・アップデートをリリースした。
  • Minioは、unsigned-trailer アップロードにおける、不完全な署名検証の脆弱性に対するセキュリティ・アップデートをリリースした。
  • SAP:3つの深刻な脆弱性を含む、複数の製品向けのセキュリティ・アップデートをリリースした。
  • WinRAR:Mark of the Web の更新が、抽出されたファイルに伝播されないという脆弱性を公開した。

April 2025 Patch Tuesday のフルリストは、ココで参照できる。

2025年3月 Patch Tuesday では、134 件の脆弱性が FIX しました。Windows Common Log File System ドライバの脆弱性 CVE-2025-29824 ですが、Patch Tuesday の翌日の 2025年4月9日に、Windows 10 向けのアップデートも提供されているようです。この脆弱性はすでに悪用が確認され、CISA KEV に登録されています。ご利用のチームは、十分にご注意ください。よろしければ、月例 + Microsoft で検索も、ご参照ください。