Microsoft 2025-11 月例アップデート：１件のゼロデイを含む 63件の脆弱性に対応

Microsoft November 2025 Patch Tuesday fixes 1 zero-day, 63 flaws

2025/11/11 BleepingComputer — 今日は Microsoft の November 2025 Patch Tuesday の日だ。このパッチに含まれるのは、63 件の脆弱性に対するセキュリティ・アップデートであり、その中には現在悪用されているゼロデイ脆弱性１件がある。今回の Patch Tuesday では、深刻度 Critical の脆弱性４件が修正されている。そのうち２件はリモート・コード実行の脆弱性であり、権限昇格と情報漏洩の脆弱性が１件ずつとなる。

それぞれの脆弱性カテゴリにおけるバグ件数は、以下のとおりである。

29 件：権限昇格の脆弱性
2 件：セキュリティ機能バイパスの脆弱性
16 件：リモート・コード実行の脆弱性
11 件：情報漏洩の脆弱性
3 件：サービス拒否の脆弱性
2 件：なりすましの脆弱性

BleepingComputer が月例パッチのセキュリティ・アップデートを報告する際には、今日 Microsoft がリリースした脆弱性のみをカウントしている。そのため、この脆弱性件数には、今月の初めに修正された Microsoft Edge および Mariner の脆弱性は含まれていない。

今日の発表には、Windows 10 向けの最初の Extended Security Update (ESU) も含まれる。現時点で、サポート対象外のオペレーティングシステムを利用している場合には、Windows 11 へのアップグレードもしくは、ESU プログラムへの登録を強く推奨する。

このプログラムで問題が発生する場合には、今日 Microsoft がリリースした、登録関連のバグを修正する更新プログラムを使用してほしい。

なお、セキュリティ以外の更新プログラムの詳細については、Windows 11 KB5066835／KB5066793 更新プログラム、ならびに、Windows 10 KB5068781 拡張セキュリティ更新プログラムのレポートを参照してほしい。

Patch Tuesday の更新における遅延／盲点／優先順位付けなどで問題に直面している場合には、2025年12月2日に開催される Action1 とのウェビナーに参加するとよい。最新のパッチ管理によりパッチ適用を迅速化し、リスクを軽減する方法を学習できる。

積極的に悪用されている１件のゼロデイ脆弱性

今月の Patch Tuesday では、Windows カーネルに存在し、積極的に悪用されているゼロデイ脆弱性１件が修正された。

Microsoft のゼロデイ脆弱性の定義は、情報が公開されている状況、または、公式の修正プログラムが提供されていない状況で、アクティブに悪用されている脆弱性を指す。

悪用されているゼロデイ脆弱性 CVE-2025-62215 は、Windows カーネルにおける権限昇格の欠陥に起因する。この脆弱性を悪用する攻撃者は、Windows デバイスで SYSTEM 権限を取得できる。

Microsoft は、「Windows カーネルにおける不適切な同期により、共有リソースのコンカレント実行が生じるため、何らかの権限を持つ攻撃者がローカルで権限を昇格する可能性がある」と説明している。

ただし、この脆弱性を悪用する攻撃者は、競合状態を勝ち抜き、SYSTEM 権限を取得する必要があるとされる。

この脆弱性は、Microsoft Threat Intelligence Center (MSTIC) と Microsoft Security Response Center (MSRC) により発見／報告されたものだが、悪用の方法については明らかにされていない。

他社からの最近のアップデート

2025年11月に、アップデートまたはアドバイザリをリリースした他ベンダーは以下のとおり。

Adobe：InDesign／InCopy／Photoshop／Illustrator／Substance 3D／Pass／Adobe Format のセキュリティ・アップデートをリリース。
Cisco：Cisco ASA／Unified Contact Center／Identity サービスなどの、複数製品に対するパッチをリリース。また、古い脆弱性を悪用する新たな攻撃が発見されたと警告。
expr-eval：JavaScript ライブラリにおける深刻なリモート・コード実行 (RCE) の脆弱性を修正するパッチをリリース。
Fortinet：FortiOS に存在する Medium レベルの権限昇格の脆弱性に対するセキュリティ・アップデートをリリース。
Google：２つの脆弱性を修正する、Android の 11月のセキュリティ情報をリリース。
Ivanti：2025年11月の Patch Tuesday アップデートの一環として、セキュリティ・パッチをリリース。
runc：Docker／Kubernetes コンテナの分離回避を、攻撃者に対して 許す可能性のある脆弱性を修正。
QNAP：Pwn2Own Ireland 2025 ハッキング・コンテストで悪用が実証された、NAS デバイスの７件のゼロデイ脆弱性に対するセキュリティ・アップデートをリリース。
SAP：複数の製品に対する 11月のセキュリティ・アップデートをリリース。その中には、SQL Anywhere Monitor における認証情報のハードコードの脆弱性の修正も含まれる。
Samsung：25 件の脆弱性を修正する、11月のセキュリティ・アップデートをリリース。

2025年11月 Patch Tuesday のフルリストは、ココで参照できる。

今回の Patch Tuesday では更新は 63件の脆弱性が修正されましたが、権限昇格が 29 件と多いことが目立っています。ゼロデイは１件ですが、Windows カーネルの不適切な同期による競合状態に起因し、ローカル権限を持つ攻撃者が SYSTEM まで昇格するという深刻な問題です。よろしければ、Microsoft 月例 で、検索してみてください。