Microsoft December 2025 Patch Tuesday fixes 3 zero-days, 57 flaws
2025/12/09 BleepingComputer — 今日は Microsoft の December 2025 Patch Tuesday の日だ。この月例セキュリティ更新プログラムでは、57 件の脆弱性が修正されている。そこには、現在悪用されている脆弱性1件と、公開済みゼロデイ脆弱性2件が含まれる。また、今回の月例セキュリティ更新プログラムでは、深刻度 Critical のリモート・コード実行の脆弱性3件も修正されている。
それぞれの脆弱性カテゴリのバグ件数は以下の通りである。
28 件:権限昇格脆弱性
19 件:リモート・コード実行脆弱性
4 件:情報漏洩脆弱性
3 件:サービス拒否脆弱性
2 件:なりすまし脆弱性
BleepingComputer が Microsoft の月例セキュリティ更新プログラムを報告する際には、当日に同社がリリースした更新プログラムのみをカウントしている。したがって、この脆弱性件数には Microsoft Edge (15 件) および、今月の初めに修正された Mariner の脆弱性は含まれない。
今日のセキュリティ関連以外の更新プログラムの詳細については、Windows 11 KB5072033/KB5071417 の累積更新プログラムに関する専用記事を参照されたい。
悪用されている脆弱性1件と公開済み脆弱性2件
今月の月例パッチでは、現在悪用されている脆弱性1件と、公開済み脆弱性2件が修正されている。
Microsoft によるゼロデイ脆弱性の定義では、公式修正プログラムが未提供の状態で、公開/悪用されている脆弱性がゼロデイとして分類される。
悪用されているゼロデイ脆弱性は以下の1件
CVE-2025-62221: Windows Cloud Files Mini Filter Driver における権限昇格の脆弱性
Microsoft が、現時点で悪用されている脆弱性として発表したのは、Windows Cloud Files Mini Filter Driver に存在する権限昇格の欠陥である。
Microsoft は、「Windows Cloud Files Mini Filter Driver における解放後メモリ使用により、権限を付与された攻撃者が、ローカルで権限を昇格する可能性がある」と説明している。
Microsoft によると、この脆弱性の悪用に成功した攻撃者は SYSTEM 権限を取得できるという。
この脆弱性は Microsoft Threat Intelligence Center (MSTIC) および Microsoft Security Response Center (MSRC) により報告されたものであるが、悪用方法の詳細については明らかにされていない。
公開されているゼロデイ脆弱性は以下の2件
CVE-2025-64671:JetBrains 向け GitHub Copilot におけるリモート・コード実行脆弱性
GitHub Copilot において公開されている脆弱性が修正された。この脆弱性の悪用に成功した攻撃者は、ローカルでのコマンド実行が可能となる。
Microsoft は、「Copilot のコマンドで使用される特殊要素の不適切な無効化 (コマンド・インジェクション) により、権限を持たない攻撃者がローカルでコード実行を可能にする」と説明している。
Microsoft によると、この脆弱性は、信頼できないファイルや MCP サーバにおけるクロス・プロンプト・インジェクションにより悪用される可能性があるという。
Microsoft は、「このクロス・プロンプト・インジェクションを悪用する攻撃者は、ユーザーのターミナル自動承認設定で許可されたコマンドを追加し、実行する可能性がある」と述べている。
先日に IDEsaster: A Novel Vulnerability Class in AI IDEs を公表した Ari Marzuk が、この脆弱性を報告したと、Microsoft は付け加えている。
CVE-2025-54100:PowerShell におけるリモート・コード実行脆弱性
Invoke-WebRequest を使用して Web ページを取得した際に、Web ページに埋め込まれたスクリプトの実行に至る、PowerShell の脆弱性が修正された。
Microsoft は、「Windows PowerShell のコマンドで使用される特殊要素 (コマンド・インジェクション) が適切に無効化されていないため、権限のない攻撃者がローカルでコードを実行する可能性がある」と説明している。
Microsoft が追加した変更は、PowerShell が Invoke-WebRequest を使用する際の警告により、ユーザーに -UseBasicParsing オプションを追加するよう促し、コード実行を防止することを目的としている。
Security Warning: Script Execution Risk
Invoke-WebRequest parses the content of the web page. Script code in the web page might be run when the page is parsed.
RECOMMENDED ACTION:
Use the -UseBasicParsing switch to avoid script code execution.
Do you want to continue?
```
For additional details, see [KB5074596: PowerShell 5.1: Preventing script execution from web content](https://support.microsoft.com/help/5072034).
詳細については KB5074596 を参照されたい。
この脆弱性を発見したのは、Justin Necke/DeadOverflow/Pēteris Hermanis Osipovs/Anonymous/Melih Kaan Yıldız/Osman Eren Guneş であり、Microsoft は謝辞を述べている。
他社からの最近のアップデート
2025年12月にアップデート/アドバイザリをリリースした他ベンダーには、以下が含まれる。
- Adobe:ColdFusion/Experience Manager/DNG SDK/Acrobat Reader/Creative Cloud Desktop のセキュリティ・アップデートをリリースした。
- Fortinet:FortiCloud SSO ログイン認証バイパスの深刻な脆弱性を含む、複数製品のセキュリティ・アップデートをリリースした。
- Google:Android の 12月セキュリティ情報を公開し、現在悪用されている2件の脆弱性に対処した。
- Ivanti:2025年12月の月例パッチ・アップデートの一環として、Ivanti Endpoint Manager の蓄積型 XSS 脆弱性 (CVSS:9.6) に対する修正をリリースした。
- React:React Server Components の深刻なリモート・コード実行 (RCE) 脆弱性に対するセキュリティ・アップデートをリリースした。この React2Shell と呼ばれる脆弱性は、攻撃者により積極的に悪用されている。
- SAP:12月のセキュリティ・アップデートをリリースし、SAP Solution Manager のコード・インジェクション脆弱性 (CVSS:9.9) にも対処している。
2025年12月 Patch Tuesday のフルリストは、ココで参照できる。
今月の Patch Tuesday では 57 件の脆弱性が修正され、3件のゼロデイ脆弱性も対処されています。その中では、Windows Cloud Files Mini Filter Driver における権限昇格の脆弱性 CVE-2025-62221 が、積極的に悪用されています。ご利用のチームは、ご注意ください。よろしければ、Microsoft + 月例 での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.