August 13, 2025 – IoT OT Security News

Microsoft Office の脆弱性 CVE-2025-53731／53740／53730 が FIX：メモリ解放後使用によるRCE の可能性

Microsoft Office Vulnerabilities Allow Attackers to Execute Remote Code

2025/08/13 gbhackers — Microsoft が公開したのは、Office Suite に存在する、３件の深刻なセキュリティ脆弱性に関する情報である。これらの脆弱性を悪用する攻撃者は、影響を受けるシステム上で悪意のリモート・コード実行の可能性を手にする。これらの脆弱性 CVE-2025-53731／CVE-2025-53740／CVE-2025-53730 は、2025年8月12日の Patch Tuesday で公開されたものであり、世界中の組織／個人ユーザーに深刻なセキュリティリスクをもたらすものだ。一連の脆弱性は、メモリ解放後使用 (use-after-free) による、メモリ破損の問題に起因し、昇格された権限での不正なコード実行にいたる恐れがある。

GitHub Copilot の RCE 脆弱性 CVE-2025-53773 が FIX：Visual Studio に生じる YOLO モードとは？

GitHub Copilot RCE Vulnerability via Prompt Injection Enables Full System Compromise

2025/08/13 gbhackers — GitHub Copilot に深刻なセキュリティ脆弱性が発見された。この脆弱性を悪用する攻撃者は、高度なプロンプト挿入技術を用いて、リモート・コード実行やシステムへの完全な侵入を可能にする。この脆弱性 CVE-2025-53773 は、セキュリティ研究者による責任ある開示を受けて修正されたものであり、Microsoft の 2025年8月の Patch Tuesday において、Visual Studio のバグとして情報公開された。

Exchange Server の脆弱性 CVE-2025-25007／25005：成りすまし攻撃などの可能性

Microsoft Exchange Server Vulnerabilities Let Attackers Spoof and Tamper Over Network

2025/08/13 CyberSecurityNews — Microsoft Exchange Server に存在する、深刻なセキュリティ脆弱性を悪用する攻撃者は、ネットワーク接続を介して成りすまし攻撃などを仕掛けられるという。それらの脆弱性には、成りすましや改ざん攻撃を可能にする２件の脆弱性 CVE-2025-25007／CVE-2025-25005 と、権限昇格攻撃を容易にする Windows Graphics Component の脆弱性 CVE-2025-49743 が含まれる。

Windows RDP サービスの脆弱性 CVE-2025-53722 が FIX：認証／操作を必要としないサービス拒否攻撃

Windows Remote Desktop Services Flaw Allows Network-Based Denial-of-Service Attacks

2025/08/13 gbhackers — 2025年8月12日の Patch Tuesday で Microsoft が公表したのは、Windows RDP サービスに存在する深刻な脆弱性に関する情報である。この脆弱性を悪用するリモートの攻撃者は、認証やユーザー操作を必要とすることなく、サービス拒否攻撃を仕掛けられる。この脆弱性 CVE-2025-53722 (CVSS：7.5) は、深刻度 Important と評価されている。

Microsoft Teams の RCE 脆弱性 CVE-2025-53783 が FIX：データの読取／書込／削除の可能性

Microsoft Teams RCE Vulnerability Let Attackers Read, Write and Delete Messages

2025/08/13 CyberSecurityNews — Microsoft は 2025年8月の Patch Tuesday の一環として、Teams コラボレーション・ソフトウェアにおける深刻なリモート・コード実行 (RCE) 脆弱性を修正した。この脆弱性 CVE-2025-53783 を悪用する権限を持たない攻撃者は、ネットワーク経由でコード実行を達成し、ユーザーのメッセージ／データの読取／書込／削除の可能性を手にするという。

Fortinet FortiWeb の脆弱性 CVE-2025-52970 が FIX：認証バイパスの恐れ

FortiWeb Authentication Bypass Vulnerability Allows Logins as Any Existing User

2025/08/13 gbhackers — Fortinet の FortiWeb WAF に、深刻なセキュリティ脆弱性 CVE-2025-52970 が発見された。この脆弱性を悪用する攻撃者は認証をバイパスし、影響を受けるデバイス上の既存ユーザーに成りすませる。この脆弱性は、アプリケーションの Cookie 解析メカニズムにおける、不適切なパラメータ処理に起因するものであり、発見者により Fort-Majeure (不可抗力) と名付けられた。

Google Chrome の５件の脆弱性が FIX：影響を受けるシステムで攻撃者に任意のコード実行を許す可能性

Multiple Chrome High-Severity Vulnerabilities Let Attackers Execute Arbitrary Code

2025/08/13 CyberSecurityNews — Google が公表したのは、Chrome に存在する５件の脆弱性を修正する重要なセキュリティアップデートである。この更新には、Windows/Mac/Linux 向けの Stable チャネル・アップデートが含まれ、Windows／Mac にはバージョン 139.0.7258.127／.128 が、Linux にはバージョン 139.0.7258.127 が提供されている。このアップデートに取り込まれるものには、影響を受けるシステム上での任意のコード実行にいたる、高深刻度の脆弱性の修正がある。この脆弱性が悪用されると、ユーザー・データおよびシステム整合性に重大なリスクを生じるとされる。

Windows NTLM 脆弱性 CVE-2025-50154：ゼロクリック NTLM 認証情報漏洩の恐れ

New Zero-Click NTLM Credential Leak Exploit Bypasses Microsoft Patch for CVE-2025-24054

2025/08/13 gbhackers — Microsoft の NTLM 認証に存在する、深刻なゼロクリック情報漏洩の脆弱性を、Cymulate Research Labs のセキュリティ研究者たちが発見した。2025年4月の時点で、脆弱性 CVE-2025-24054 に対して、セキュリティ修正が適用されているが、それが不完全であったことで、数百万台の Windows システムに高度な攻撃の可能性が生じていることが判明した。新たに確認された脆弱性 CVE-2025-50154 を悪用する攻撃者は、以前の修正プログラムが完全に適用された Windows システムであっても、ユーザー操作を必要とすることなく、NTLMv2-SSP ハッシュの抽出を可能にするという。なお、この脆弱性 CVE-2025-50154 は、2025年8月の Patch Tuesday で修正されている。

Fortinet FortiSIEM の脆弱性 CVE-2025-25256 が FIX：実環境での PoC の悪用試行を確認

Critical FortiSIEM Vulnerability Allows Attackers to Execute Malicious Commands, PoC Found in the Wild

2025/08/13 gbhackers — Fortinet の FortiSIEM プラットフォームに存在する、深刻な脆弱性がセキュリティ研究者たちにより発見された。この脆弱性を悪用するリモートの攻撃者は、認証を必要とすることなく任意のコマンド実行を達成するという。この脆弱性 CVE-2025-25256 (CVSS：9.8) については、すでに実用レベルの PoC エクスプロイト・コードが確認されており、世界中の組織にとって差し迫った脅威となっている。