Microsoft 2025-10 月例アップデート:6件のゼロデイを含む 172件の脆弱性に対応

Microsoft October 2025 Patch Tuesday fixes 6 zero-days, 172 flaws

2025/10/14 BleepingComputer — 今日は October 2025 Patch Tuesday の日だ。今月の更新プログラムでは、172件の脆弱性に対するセキュリティ更新プログラムが提供され、その中には6件のゼロデイ脆弱性が含まれる。今回の月例セキュリティ更新プログラムでは、8件の Critical 脆弱性も修正され、そのうちの5件はリモートコード実行の脆弱性であり、3件は権限昇格の脆弱性である。

それぞれの脆弱性カテゴリごとのバグ件数は以下のとおりである。

  • 80件:権限昇格の脆弱性
  • 11件:セキュリティ機能バイパスの脆弱性
  • 31件:リモートコード実行の脆弱性
  • 28件:情報漏洩の脆弱性
  • 11件:サービス拒否の脆弱性
  • 10件:なりすましの脆弱性

BleepingComputer が Patch Tuesday をレポートする際には、 その日に Microsoft がリリースした脆弱性のみをカウントしている。したがって、この脆弱性の件数には、Azure/ Mariner/Microsoft Edge および、今月の前半で修正された他の脆弱性は含まれていない。

特筆すべき点として、今日で Windows 10 のサポートが終了する。したがって、この OS に対して Microsoft が無償のセキュリティ更新プログラムを提供する、最後の Patch Tuesday となる。

Windows 10 のセキュリティ更新プログラムを引き続き受け取る場合に、一般ユーザーは1年間の Extended Security Updates (ESU) にサインアップできる。また、企業ユーザーであれば、合計で3年間のサブスクリプションにサインアップできる。

また、本日のセキュリティ更新以外のプログラムの詳細については、 Windows 11 KB5066835/KB5066793 更新プログラムに関する専用記事を参照してほしい。

10月の Patch Tuesday で6件のゼロデイ脆弱性が修正

今月の Patch Tuesday では、 Windows SMB Server と Microsoft SQL Server に存在する、2件の公開済のゼロデイ脆弱性が修正された。 Microsoft のゼロデイ脆弱性の定義は、公式の修正プログラムが提供されていない状態で、情報公開もしくは悪用が確認されているものを指す。

悪用された3件のゼロデイ脆弱性

CVE-2025-24990:Windows Agere モデム・ドライバーにおける権限昇格の脆弱性

Microsoft は、管理者権限の取得に悪用された Agere モデムドライバを削除した。

同社は、「サポート対象の Windows オペレーティング・システムに、ネイティブとして取り込まれるサードパーティ製の Agere モデム・ドライバーに脆弱性があることを認識している。そのため、ltmdm64.sys ドライバーは、10月の累積更新プログラムで削除されている」と述べている。

このドライバーを削除すると、関連する FAX モデム・ハードウェアが機能しなくなる可能性があると、Microsoft は警告している。この脆弱性は、Fabian Mosch と Jordan Jay により発見/報告された。

CVE-2025-59230:Windows Remote Access Connection Manager における権限昇格の脆弱性

Microsoft は、 SYSTEM 権限の取得に悪用された、Windows Remote Access Connection Manager の脆弱性を修正した。

同社は、「Windows Remote Access Connection Manager のアクセス制御が不適切であるため、権限のある攻撃者がローカルで権限昇格する可能性がある。ただし、この脆弱性を悪用する攻撃者が、準備や実行に相当量の労力を費やす必要がある」と説明している。

この脆弱性は、Microsoft Threat Intelligence Center (MSTIC) と Microsoft Security Response Center (MSRC) の内部で特定された。

CVE-2025-47827:IGEL OS 11 以下のバージョンにおけるセキュア・ブートのバイパス

Microsoft は、 IGEL OS におけるセキュア・ブートのバイパスに関する修正を追加した。

同社は、「IGEL OS 11 以下のバージョンでは、igel-flash-driver モジュールが暗号署名を適切に検証しないため、セキュア・ブートがバイパスされる可能性がある。最終的には、未検証の SquashFS イメージから、細工されたルート・ファイル・システムがマウントされる」と説明している。

この CVE は MITRE が作成したものだ。今回の Windows アップデートには、この脆弱性に対処する IGEL OS のアップデートが組み込まれている。詳細については、セキュリティ更新ガイドは業界パートナーにより割り当てられた、CVE 情報を参照してほしい。

この脆弱性は Zack Didcott により発見され、 GitHub の記事で公開されている。

情報が公開された3件の脆弱性

CVE-2025-0033:SNP 初期化中の RMP 破損

Microsoft は、メモリの整合性に影響を与え得る AMD の脆弱性の修正に取り組んでいる。

同社は、「CVE-2025-0033 は、 Secure Encrypted Virtualization – Secure Nested Paging (SEV-SNP) を使用する AMD EPYC プロセッサに存在する脆弱性である。この脆弱性は、Reverse Map Table (RMP) の初期化中に競合状態を引き起こし、悪意のハイパーバイザーまたは侵害されたハイパーバイザーにより、RMP エントリ・ロック前に変更を許す可能性がある。したがって、 SEV-SNP ゲスト・メモリの整合性に影響を与える恐れが生じる。この問題は、平文データや機密情報を漏洩させるものではなく、悪用するにはハイパーバイザーに対する特権制御が必要である」と説明している。

Azure Confidential Computing 製品全体において、分離/整合性検証/継続的な監視などを組み合わせた、複数のセキュリティ・ガードレールを導入し、ホストへの侵害を防いでいる。すべてのホスト操作は、監査/承認が完了した管理経路に従い、管理アクセスは厳格に制御/制限され、ログに記録される。これらの保護機能を組み合わせることで、ホストの侵害や不正なメモリ操作のリスクが軽減される。その結果として、機密性の高いワークロードと、VM が Azure ホスト上におけるユーザー VM の機密性/整合性が維持される。

Microsoft によると、 Azure Confidential Computing (ACC) の AMD ベース・クラスターでは、現時点において、この脆弱性に対するセキュリティ更新プログラムは提供されていない。更新プログラムが展開可能になった時点で、 Azure サービス正常性アラートを通じてユーザーに通知されるという。

この脆弱性は、昨日に AMD により公開されたものだ。発見と報告は、ETH チューリッヒの Benedict Schlueter/Supraja Sridhara/ Shweta Shinde による。

CVE-2025-24052:Windows Agere モデム・ドライバーにおける権限昇格の脆弱性

前述の CVE-2025-24990 と同様の脆弱性であり、すでに情報が公開されているものだ。

Microsoft は、この脆弱性は、すべてのバージョンの Windows に影響するとしている。その一方で、この脆弱性の悪用において、対象となるモデムを使用する必要がないことを強調している。

同社は、「この脆弱性が悪用されると、モデムが実際に使用されていない場合であっても、サポート対象となっている、すべての Windows バージョンが影響を受ける可能性がある」と説明している。

この脆弱性の発見は、特定の研究者によるものではない。

CVE-2025-2884:TCG TPM2.0 リファレンス実装における境界外読み取りの脆弱性

Microsoft は、情報漏洩または TPM のサービス拒否につながる可能性のある、TCG TPM 2.0 の脆弱性を修正した。

同社は、「脆弱性 CVE-2025-2884 は、 CG TPM2.0 リファレンス実装における、CryptHmacSign ヘルパー関数に存在するものだ。署名キー・アルゴリズムによる、署名スキームの検証が不十分なため、境界外読み取りが引き起こされる」と説明している。

この CVE は、CERT/CC により作成されたものだ。今回の Windows アップデートには、この脆弱性に対処する CG TPM2.0 リファレンス実装のアップデートが組み込まれている。詳細については、 CVE-2025-2884 を参照されたい。

この脆弱性の発見/報告は、 Trusted Computing Group (TCG) と匿名の研究者による。

他社からの最近のアップデート

2025年10月にアップデートまたはアドバイザリをリリースした、他のベンダーは以下のとおりだ。

  • Synacor:Zimbra Collaboration Suite のゼロデイ脆弱性を悪用する、データ窃取に対するためのセキュリティ・アップデートをリリース。
  • Adobe:各種の製品向けのセキュリティ・アップデートをリリース。
  • Cisco:Cisco IOS/Cisco Unified Communications Manager/Cyber Vision Center 向けのパッチをリリース。
  • Draytek: Vigor ルーターの複数のモデルにおける、認証前リモートコード実行 (RCE) 脆弱性に対するセキュリティ・アップデートをリリース。
  • Gladinet:サーバ侵入に積極的に悪用されている、CentreStack のゼロデイ脆弱性について顧客に注意を促している。
  • Ivanti:Endpoint Manager Mobile (EPMM) および Neurons for MDM 向けのセキュリティ・アップデートをリリース。
  • Oracle:積極的に悪用されている、2つの E-Business Suite ゼロデイ脆弱性に対するセキュリティ・アップデートをリリース。しかし、非常に分かりにくい方法で、情報が提供されている。
  • Redis:深刻度が最大級のリモートコード実行 (RCE) 脆弱性を修正する、セキュリティ・アップデートをリリース。
  • SAP:複数の製品向けの 10月 の、セキュリティ・アップデートをリリース。その中には、Netweaver の深刻度が最大級のコマンド実行の脆弱性も含まれる。

ーーー

それぞれの脆弱性の詳細な説明と、影響を受けるシステムの一覧については、レポート全文を参照されたい。

今月の Patch Tuesday で目立つのは、サードパーティに関連する脆弱性です。具体的には、Agere ドライバー/レガシー機能/仮想化周り (SEV-SNP の RMP 競合)/署名検証やリファレンス実装の境界処理の不備 (IGEL/TPM) などです。よろしければ、Microsoft + 月例 で検索も、ご参照ください。