マイクロソフト、2025年1月のパッチ・チューズデーで8件のゼロデイと159件の欠陥を修正

.crit { font-weight:bold; color:red; } .article_section td { font-size: 14px！important;}。

本日は、マイクロソフトの1月2025年パッチ・チューズデーであり、8件のゼロデイ脆弱性を含む159件の欠陥に対するセキュリティ更新プログラムが含まれている。

また、今回のパッチ・チューズデーでは、情報漏えい、権限昇格、リモートコード実行の不具合を含む12の「クリティカル」な脆弱性も修正されている。

各脆弱性カテゴリーにおけるバグの数は以下の通り：

• 40件の特権昇格の脆弱性
• 14 セキュリティ機能バイパス脆弱性
• 58 リモート・コード実行の脆弱性
• 24 情報開示の脆弱性
• 20 サービス拒否の脆弱性
• 5 スプーフィング脆弱性

本日リリースされた非セキュリティ更新プログラムの詳細については、Windows 11 KB5050009 & KB5050021 累積更新プログラムおよびWindows 10 KB5048652 累積更新プログラムに関する専用記事をご覧ください。

アクティブに悪用される3つのゼロデイが公開

今月のパッチ・チューズデーでは、3件のアクティブに悪用されるゼロデイ脆弱性と5件の公開されたゼロデイ脆弱性が修正されました。

マイクロソフトでは、ゼロデイ脆弱性を、公式な修正プログラムが提供されていないにもかかわらず、一般に公開されているもの、または積極的に悪用されているものと分類している。

本日のアップデートに含まれるアクティブに悪用されるゼロデイ脆弱性は以下の通り：

CVE-2025-21333,CVE-2025-21334,CVE-2025-21335– Windows Hyper-V NT カーネル統合 VSP における特権昇格の脆弱性

マイクロソフトは、Windows デバイス上で SYSTEM 権限を取得する攻撃に悪用された Windows Hyper-V の特権昇格の脆弱性 3 件を修正した。

これらの欠陥が攻撃でどのように悪用されたかについての情報は公表されておらず、いずれも匿名で公開されたものであることが示されている。

これら3つの脆弱性のCVEは連続しており、同じ機能に対するものであることから、これらはすべて同じ攻撃で使用されたか、発見された可能性が高い。

公開されているゼロデイ脆弱性は以下の通り：

CVE-2025-21275– Windows アプリパッケージインストーラの特権昇格の脆弱性

マイクロソフトは、SYSTEM 特権につながる可能性のある Windows App Package Installer の特権昇格の不具合を修正しました。

「この脆弱性の悪用に成功した攻撃者は、SYSTEM 特権を獲得する可能性がある」とマイクロソフトのアドバイザリは説明している。

この脆弱性は匿名でマイクロソフトに提出された。

CVE-2025-21308– Windows テーマのなりすましの脆弱性

マイクロソフトは、Windowsエクスプローラで特別に細工されたテーマファイルを表示するだけで悪用されるWindowsテーマの脆弱性を修正した。

「攻撃者は、通常、電子メールやインスタント・メッセンジャー・メッセージの誘い文句によって、脆弱なシステムに悪意のあるファイルをロードするようユーザーを説得し、特別に細工されたファイルを操作するようユーザーを説得する必要があるが、必ずしも悪意のあるファイルをクリックしたり開いたりする必要はない」と、マイクロソフト社のアドバイザリは説明している。

この欠陥は、ACROS Security社の0patchを使用してBlaz Satler氏によって発見されたもので、CVE-2024-38030として追跡されている以前の欠陥のバイパスである。0patchは10月にこの欠陥に対するマイクロパッチをリリースしており、マイクロソフトが修正するのを待っていた。

Windowsエクスプローラでテーマファイルを表示し、ネットワークファイルパスを指定するBrandImageおよびWallpaperオプションを使用すると、Windowsは自動的にリモートホストに認証要求を送信し、これにはログインしているユーザーのNTLM認証情報が含まれる。

これらのNTLMハッシュは、プレーンテキストのパスワードを取得するためにクラックされたり、パスザハッシュ攻撃に使用される可能性がある。

マイクロソフト社によれば、この不具合は NTLM が無効化されているか、「Restrict NTLM: Outgoing NTLM traffic to remote servers」ポリシーが有効化されている場合に軽減されるとのことである。

CVE-2025-21186,CVE-2025-21366,CVE-2025-21395– Microsoft Access リモートコード実行の脆弱性

マイクロソフトは、特別に細工された Microsoft Access ドキュメントを開くと悪用される Microsoft Access のリモートコード実行の脆弱性 3 件を修正しました。

マイクロソフトは、以下の Microsoft Access ドキュメントが電子メールで送信された場合、そのドキュメントへのアクセスをブロックすることで、この問題を緩和しています：

• accdb
• accde
• accdw
• accdb accde accdw accdt
• accda
• accdr
• accdu

興味深いのは、AIによる脆弱性発見プラットフォームであるUnpatched.aiが、この3つの欠陥をすべて発見したことだ。

他社の最近のアップデート

2025年1月にアップデートや勧告をリリースした他のベンダーは以下の通り：

• Adobeは、Photoshop、Substance3D StagerおよびDesigner、Adobe Illustrator for iPad、Adobe Animateのセキュリティアップデートをリリースした。
• Cisco は、Cisco ThousandEyes Endpoint Agent および Cisco Crosswork Network Controller を含む複数の製品のセキュリティ更新プログラムをリリースした。
• Ivantiは、デバイス上にカスタムマルウェアを展開する攻撃で悪用されるConnect Secureのゼロデイ欠陥に対するセキュリティアップデートをリリース。
• フォーティネットは、11月以降の攻撃で悪用されたFortiOSおよびFortiProxyの認証バイパスのゼロデイ脆弱性に対するセキュリティアップデートをリリースした。
• GitHubは、Gitの脆弱性2件に対するセキュリティアップデートをリリース。
• Moxa は、同社の産業用ネットワークおよび通信ネットワークデバイスの深刻度の高い脆弱性および重要な脆弱性に対するセキュリティアップデートをリリースした。
• ProjectDiscoveryは、悪意のあるテンプレートが署名検証をバイパスできるNucleiの欠陥に対するセキュリティアップデートを9月にリリース。
• SAPは 、SAP NetWeaverの2つの重大な（9.9/10）脆弱性の修正を含む、複数の製品のセキュリティアップデートをリリース。
• SonicWall は、SSL VPN および SSH 管理における認証バイパスの脆弱性（”実際に悪用される可能性がある”）に対するパッチをリリース。
• Zyxelは、ウェブ管理インターフェイスにおける不適切な権限管理の脆弱性を修正するセキュリティアップデートをリリースした。

2025年1月パッチチューズデーのセキュリティアップデート

以下は、2025年1月のパッチ・チューズデー・アップデートで解決された脆弱性の完全なリストです。

各脆弱性の完全な説明と影響するシステムにアクセスするには、ここで完全なレポートを見ることができます。