Microsoft 2025-07 月例アップデート:1件のゼロデイを含む 137件の脆弱性に対応

Microsoft July 2025 Patch Tuesday fixes one zero-day, 137 flaws

2025/07/08 BleepingComputer — 今日は、Microsoft の July 2025 Patch Tuesday の日だ。このパッチが提供するのは、Microsoft が公開した 137件の脆弱性に対するセキュリティ・アップデートであり、その中には1件のゼロデイ脆弱性が含まれている。今回の月例パッチでは、深刻度 Critical に分類される脆弱性 14件も修正されている。そのうちの 10件はリモート・コード実行の脆弱性、1件は情報漏洩の脆弱性、2件は AMD サイド・チャネル攻撃の脆弱性となっている。

各脆弱性カテゴリにおけるバグ件数は以下のとおりである:

  • 53件:権限昇格の脆弱性
  • 8件:セキュリティ機能バイパスの脆弱性
  • 41件:リモートコード実行の脆弱性
  • 18件:情報漏洩の脆弱性
  • 6件:サービス拒否の脆弱性
  • 4件:スプーフィングの脆弱性

なお、これらの件数には、今月の初めに修正された Mariner の脆弱性4件と、Microsoft Edge の脆弱性3件は含まれていない。

今日にリリースされたセキュリティ関連以外の更新プログラムの詳細は、Windows 11 KB5062553/KB5062552 の累積更新プログラムおよび、Windows 10 KB5062554 の累積更新プログラムに関する記事を参照してほしい。

1件のゼロデイ脆弱性と、Microsoft Office の深刻な脆弱性

今月の月例パッチでは、Microsoft SQL Server におけるゼロデイ脆弱性1件が修正されている。Microsoft のゼロデイ脆弱性の定義は、”すでに情報が公開されている脆弱性”、および、”公式の修正プログラムが未提供の状態で悪用されている脆弱性” となる。

公開されたゼロデイ脆弱性は以下の通りである。

CVE-2025-49719:Microsoft SQL Server 情報漏洩の脆弱性

Microsoft が修正した SQL Server の脆弱性は、未認証のリモート攻撃者に対して、初期化されていないメモリ内のデータへのアクセスを許すものである。Microsoft は、「SQL Server における不適切な入力検証により、権限を持たないリモート攻撃者が、ネットワーク経由で侵入して情報を漏洩する可能性がある」と説明している。

管理者に対して推奨されるのは、最新バージョンの Microsoft SQL Server と Microsoft OLE DB ドライバ 18/ 19 をインストールすることで、この脆弱性を緩和することだ。

Microsoft は、この脆弱性の発見者を Microsoft の Vladimir Aleksic としているが、公開に至る経緯についての詳細は明らかにしていない。

今回の Patch Tuesday で対応したゼロデイ脆弱性は1件だが、Microsoft Office に存在する、複数の深刻なリモート・コード実行の脆弱性も修正されている。それらの脆弱性は、細工されたドキュメントのオープン、または、プレビュー・ウィンドウでの表示により、容易に悪用されるものだ。

Microsoft によると、これら脆弱性に対するセキュリティ更新プログラムは、Microsoft Office LTSC for Mac 2021/2024 に対しては未提供であり、まもなくリリースされる予定とのことだ。

さらに Microsoft は、SharePoint の深刻なリモート・コード実行の脆弱性 CVE-2025-49704 も修正している。このプラットフォームにアカウントを有する攻撃者であれば、インターネット経由でのリモートから悪用が可能であるという。

他社による最近のアップデート

2025年7月にアップデート/アドバイザリをリリースした、他ベンダーは以下の通りである。

  • AMD:Microsoft のレポート “Enter, Exit, Page Fault, Leak: Testing Isolation Boundaries for Microarchitectural Leaks” に基づき、新たな Transient Scheduler Attacks を公開した。
  • Cisco:Unified CM に存在するハードコードされたルート SSH 認証情報などに対処する、多数のパッチをリリースした。
  • Fortinet:FortiOS/FortiManager/FortiSandbox/FortiIsolator/FortiProxy などの、各種の製品向けにセキュリティ・アップデートをリリースした。
  • Google:現在も悪用が確認されているゼロデイ脆弱性 CVE-2025-6554 を修正するための、Google Chrome 向けセキュリティ・アップデートをリリースした。なお、2025年7月の Android セキュリティ情報においては、この脆弱性に対するセキュリティ・パッチはリリースされていない。
  • Grafana:Grafana Image Renderer プラグインおよび Synthetic Monitoring Agent に存在する、Chromium 由来の4件の脆弱性に対するセキュリティ・パッチをリリースした。
  • Ivanti:Ivanti Connect Secure/Policy Secure/Ivanti EPMM/Ivanti EPM などに存在する脆弱性に対して、セキュリティ・アップデートをリリースした。これらの脆弱性について、現時点での悪用の報告はない。
  • SAP:SAP Supplier Relationship Management における既存の脆弱性 CVE-2025-30012 の評価を、CVSS 10.0 に引き上げている。複数製品に対する、7月のセキュリティ・アップデートをリリースした。

July 2025 Patch Tuesday のフルリストは、ココで参照できる。

今回の Microsoft の月例パッチでは、137件の脆弱性が修正されました。SQL Server /Office/SharePoint など広く使われる製品の、深刻な脆弱性への対処が重要だと、この記事は指摘しています。ご利用のチームは、ご注意ください。よろしければ、Microsoft + 月例 で検索も、ご参照ください。