Microsoft 2025-06 月例アップデート:2件のゼロデイを含む 66件の脆弱性に対応

Microsoft June 2025 Patch Tuesday fixes exploited zero-day, 66 flaws

2025/06/10 BleepingComputer — 今日は、Microsoft June 2025 Patch Tuesday の日だ。このパッチにより、66件の脆弱性に対するセキュリティ・アップデートが提供されるが、その中には、現時点で悪用されている脆弱性1件と、すでに情報が公開されている脆弱性1件が含まれる。今回の月例パッチでは、10件の Critical 脆弱性が修正されている。そのうちの8件はリモート・コード実行の脆弱性であり、2件は権限昇格の脆弱性である。

脆弱性カテゴリごとの件数は以下のとおりである。

  • 13件:権限昇格の脆弱性
  • 3件:セキュリティ機能バイパスの脆弱性
  • 25件:リモート・コード実行の脆弱性
  • 17件:情報漏洩の脆弱性
  • 6件:サービス拒否の脆弱性
  • 2件:スプーフィングの脆弱性

なお、上記の件数には、今月の初めに修正された Mariner/Edge/Power Automate の脆弱性は含まれていない。

また、同時にリリースされたセキュリティ関連以外のアップデートの詳細については、Windows 11 KB5060842/KB5060999 の累積アップデート、および、Windows 10 KB5060533 の累積アップデートに関する記事を参照してほしい。

ゼロデイ脆弱性2件

今月の月例パッチでは、現時点で悪用されているゼロデイ脆弱性1件と、情報公開済みの脆弱性1件が修正されている。Microsoft におけるゼロデイ脆弱性の定義は、公式の修正プログラムが提供されない状態で悪用されている脆弱性と、情報が公開されている脆弱性となる。

悪用されているゼロデイ脆弱性

CVE-2025-33053: WEBDAV における RCE の脆弱性

Check Point Research により発見された、リモート・コード実行の脆弱性が修正された。

Check Point Research のアドバイザリには、「Microsoft Windows の Web Distributed Authoring and Versioning (WEBDAV) には、リモート・コード実行の脆弱性が存在する。この脆弱性の悪用に成功したリモート攻撃者は、影響を受けるシステム上で任意のコード実行の可能性を得る」と記されている。

Microsoft のアドバイザリでは、この脆弱性の悪用の前提として、細工された WebDAV URL へのユーザーによるクリックが必要になると述べられている。

Check Point Research の最新レポートによると、Stealth Falcon という APT グループによるゼロデイ攻撃で、CVE-2025-33053 が悪用されたとのことだ。

Check Point Research は、「2025年3月の時点で、トルコの防衛関連企業に対する、サイバー攻撃の試みを確認した。この脅威アクターは、これまで未公開の手法を用いて、正規の Windows ビルトイン・ツールの作業ディレクトリを操作し、自らが管理する WebDAV サーバ上にホストされているファイルを実行した」と説明している。

Check Point からの責任ある情報開示を受けた Microsoft は、この脆弱性に対して CVE-2025-33053 を採番し、2025年6月10日の Patch Tuesday の一部として、修正プログラムをリリースした。

この脆弱性を発見したのは、Check Point Research の Alexandra Gofman と David Driker である。

情報が公開されたゼロデイ脆弱性

CVE-2025-33073: Windows SMBクライアントの権限昇格の脆弱性

脆弱なデバイスでの SYSTEM 権限の取得を許す、Windows SMB の脆弱性が修正された。

Microsoft は、「Windows SMB の不適切なアクセス制御により、権限のある攻撃者に対して、ネットワーク上での権限の昇格を許す可能性がある。この脆弱性を悪用する攻撃者は、特別に細工された悪意のあるスクリプトを実行し、SMB を介して被害者のマシンを攻撃システムに再接続させ、認証させる可能性を手にする。それにより、権限昇格の可能性が生じる」と説明している。

この脆弱性が公表に至った経緯について、Microsoft は何も明らかにしていない。しかし、Born City が報じるのは、RedTeam Pentesting からの警告を、今週になって DFN-CERT (Computer Emergency Response Team of the German Research Network) が配布し始めたことだ。

現時点において、更新プログラムが提供されているが、サーバ側でグループ・ポリシーを介して SMB 署名を強制することで、この脆弱性を軽減できるとも報告されている。

この脆弱性を発見したのは、CrowdStrike の Keisuke Hirata/Synacktiv/SySS GmbH の Stefan Walter/RedTeam Pentesting GmbH/Google Project Zero のJames Forshaw などの複数の研究者だと、Microsoft は述べている。

他社からの最近のアップデート

2025年6月に、アップデート/アドバイザリをリリースしたベンダーは以下のとおりだ。

  • Adobe:InCopy/Experience Manager/Commerce/InDesign/Substance 3D Sampler/Acrobat Reader/Substance 3D Painter に対するセキュリティ・アップデートをリリース。
  • Cisco:Identity Services Engine (ISE) および Customer Collaboration Platform (CCP) に存在する、オープン・エクスプロイト・コードが存在する、3件の脆弱性に対するパッチをリリース。
  • Fortinet:FortiManager/FortiAnalyzer/FortiAnalyzer-BigData に存在するOS コマンド・インジェクションの脆弱性に対する、セキュリティ・アップデートをリリース。
  • Google:2025年6月の Android 向けセキュリティ・アップデートで多数の脆弱性を修正。また、現在も悪用されている Google Chrome のゼロデイ脆弱性も修正。
  • Hewlett Packard Enterprise (HPE):StoreOnce に影響を及ぼす8 件の脆弱性を修正する、セキュリティ・アップデートをリリース。
  • Ivanti:Workspace Control (IWC) に存在する、深刻なハードコード・キーの脆弱性 3件を修正する、セキュリティ・アップデートをリリース。
  • Qualcomm:標的型攻撃で悪用される、Adreno GPU ドライバーの3件のゼロデイ脆弱性に対する、セキュリティ・アップデートをリリース。
  • Roundcube:セキュリティ・アップデートをリリース。

June 2025 Patch Tuesday のフルリストは、ココで参照できる。

2025年6 月の Patch Tuesday では、66件の脆弱性が修正され、また、ゼロデイ脆弱性としては、WebDAV の CVE-2025-33053 と、SMBクライアントの CVE-2025-33073 が対処されています。よろしければ、Microsoft で検索も、ご参照ください。