Microsoft 2025-08 月例アップデート:1件のゼロデイを含む 107件の脆弱性に対応

Microsoft August 2025 Patch Tuesday fixes one zero-day, 107 flaws

2025/08/12 BleepingComputer — 今日は、Microsoft の 2025年8月 Patch Tuesday の日だ。今月のセキュリティ・アップデートは、107 件の脆弱性に対するセキュリティ・アップデートが取り込まれ、その中には、Windows Kerberos の公開済みゼロデイ脆弱性1件が含まれている。今回のセキュリティ・アップデートでは、13 件の Critical 脆弱性も修正されている。それらのうちの9件はリモートコード実行の脆弱性であり、3件は情報漏洩、1件は権限昇格となっている。

それぞれの脆弱性カテゴリにおける、バグ件数は以下の通りである。

44 件:権限昇格の脆弱性 
35 件:リモートコード実行の脆弱性 
18 件:情報漏洩の脆弱性 
4 件:サービス拒否の脆弱性 
9 件:なりすましの脆弱性 

BleepingComputer では、月例セキュリティ・アップデートを報告する際に、そこでリリースされたものだけをカウントしている。そのため、上記の脆弱性件数には、今月初めに修正された Mariner/Azure/Edge のバグは含まれない。

今日にリリースされた、セキュリティ関連以外のアップデートの詳細については、Windows 11 KB5063878/KB5063875 の累積アップデート、Windows 10 KB5063709 の累積アップデートの記事を参照する必要がある。

公開されたゼロデイ脆弱性1件を修正

今月の月例パッチでは、Microsoft SQL Server に存在する、情報公開済のゼロデイ脆弱性1件が修正された。Microsoft のゼロデイ脆弱性の定義は、先行して情報が公開されている脆弱性、または、修正プログラムの提供前に悪用された脆弱性である。

今回の、先行して情報が公開されたゼロデイ脆弱性は以下の通りである。

CVE-2025-53779:Windows Kerberos の権限昇格の脆弱性

Microsoft が修正したのは、認証済の攻撃者に対して、ドメイン管理者権限の取得を許す Windows Kerberos の脆弱性である。Microsoft は、「Windows Kerberos の相対パス・トラバーサルにより、認証済みの攻撃者が、ネットワーク経由で権限を昇格する可能性が生じている」と説明している。

Microsoft によると、この脆弱性を悪用する攻撃者は、その前提として、以下の dMSA 属性へのアクセス権を昇格させる必要がある。

msds-groupMSAMembership:この属性により、ユーザーは dMSA を利用できる。
msds-ManagedAccountPrecededByLink: この属性への書き込みアクセス権により、代理として dMSA を操作できるユーザーを、攻撃者は指定できる。

この脆弱性を発見したのは Akamai の Yuval Gordon であり、2025年5 月の時点で同氏は、この脆弱性に関する技術レポートを公開している。

他社からの最近のアップデート

2025年7 月に、アップデート/アドバイザリをリリースした、他ベンダーは以下の通りである:

  • 7-Zip:リモート・コード実行を引き起こす可能性のある、パス・トラバーサルの脆弱性に対するセキュリティ・アップデートをリリース。
  • Adobe:PoC が公開された後に、AEM Forms のゼロデイ脆弱性に対する緊急アップデートをリリース。
  • Cisco:WebEx/Identity Services Engine に対するパッチをリリース。
  • Fortinet:FortiOS/FortiManager/FortiSandbox/FortiProxy などの、各種製品向けのセキュリティ・アップデートをリリース。
  • Google:現時点で悪用されている Qualcomm の2件の脆弱性を修正する、Android 向けセキュリティ・アップデートをリリース。
  • Microsoft:クラウド環境の乗っ取りに悪用される可能性のある、Microsoft Exchange の脆弱性 CVE-2025-53786 について警告。
  • Proton:iOS 向けの新しい Authenticator アプリにおける、ユーザーの機密性の高い TOTP シークレットを平文で記録するバグを修正。
  • SAP:複数の製品向けに7月のセキュリティ・アップデートをリリース。
  • Trend Micro:現時点で悪用されている Apex One のリモートコード実行の脆弱性に対する、修正ツールをリリース。完全なセキュリティ・アップデートは、後日に提供される予定。
  • WinRAR:リモートコード実行を引き起こす可能性のある、現時点で悪用されているパス・トラバーサルのバグに対するセキュリティ・アップデートを 7 月末にリリース。

August 2025 Patch Tuesday のフルリストは、ココで参照できる。

今月の Patch Tuesday では、107件の脆弱性が修正されましたが、ゼロデイとして注目すべきは、Windows Kerberos のゼロデイ脆弱性 CVE-2025-53779 です。この脆弱性は、Kerberos の相対パス・トラバーサルに起因し、認証済みの攻撃者がドメイン管理者権限まで昇格できてしまう問題とのことです。ご利用のチームは、ご注意ください。よろしければ、Microsoft + 月例で検索も、ご参照ください。