マイクロソフト、2025年4月のパッチ・チューズデーで悪用されたゼロデイ、134件の欠陥を修正

.crit { font-weight:bold; color:red; } .article_section td { font-size: 14px！important;}。

本日は、マイクロソフトの4月2025年パッチ・チューズデーであり、積極的に悪用されているゼロデイ脆弱性1件を含む、134件の欠陥に対するセキュリティ更新が含まれている。

今回のパッチ・チューズデーでは、11件の「クリティカル」な脆弱性も修正されており、いずれもリモート・コード実行の脆弱性である。

各脆弱性カテゴリーにおけるバグの数は以下の通り：

• 49件の特権昇格の脆弱性
• 9 セキュリティ機能迂回の脆弱性
• 31 リモート・コード実行の脆弱性
• 17 情報漏えいの脆弱性
• 14 サービス拒否の脆弱性
• 3 スプーフィング脆弱性

上記の件数には、今月初めに修正されたMarinerの欠陥および13件のMicrosoft Edgeの脆弱性は含まれていません。

本日リリースされたセキュリティ更新プログラム以外の更新プログラムの詳細については、Windows 11 KB5055523 & KB5055528 累積更新プログラムおよびWindows 10 KB5055518 更新プログラムに関する専用記事をご覧ください。

アクティブに悪用されるゼロデイ

今月のパッチ・チューズデーでは、アクティブに悪用されるゼロデイが1つ修正されました。マイクロソフトでは、公式な修正プログラムが提供されていないゼロデイを、一般に公開されているゼロデイまたはアクティブに悪用されているゼロデイと分類しています。

本日のアップデートに含まれるアクティブに悪用されるゼロデイ脆弱性は以下の通り：

CVE-2025-29824– Windows Common Log File System Driver の特権昇格の脆弱性

マイクロソフト社によると、この脆弱性により、ローカル攻撃者がデバイス上で SYSTEM 権限を得ることが可能になるとのことです。

このセキュリティ更新プログラムは、Windows ServerおよびWindows 11に対してのみ提供され、Windows 10の更新プログラムは後日公開される。

「x64ベースのシステム用のWindows 10と32ビットのシステム用のWindows 10のセキュリティ更新プログラムは、すぐには利用できません。

「更新プログラムはできるだけ早くリリースされ、利用可能になった時点で、このCVE情報の改訂版を通じて顧客に通知される。

この記事の公開後、マイクロソフトは、この欠陥がランサムウェア集団RansomEXXによってゼロデイとして悪用され、昇格した特権を獲得した経緯について、さらに詳細を共有した。

マイクロソフトは、この欠陥の発見をMicrosoft Threat Intelligence Centerによるものだとしている。

他社の最近のアップデート

2025年4月にアップデートまたはアドバイザリをリリースした他のベンダーは以下の通り：

• Apache は、Apache Parquet の最大重大度 RCE の不具合を修正しました。
• Appleは、積極的に悪用される欠陥の修正を古いデバイスにバックポートした。
• Googleは 、標的型攻撃で悪用された2件のゼロデイを含む、62件のAndroidの脆弱性に対するセキュリティアップデートをリリースしました。
• Ivantiは、4月のセキュリティ・アップデートをリリースし、今月初めには、中国の脅威行為者に悪用されたConnect Secureのリモート・コード実行の重大な欠陥にパッチを当てた。
• フォーティネットは、FortiSwitchの管理者パスワードを攻撃者に変更させる重大な欠陥を含む、多数の製品のセキュリティアップデートをリリースした。
• Mikrotekは、2025年4月のセキュリティ情報の一部として、セキュリティアップデートをリリースした。
• Minioは、「署名されていないトレーラーのアップロードに対する不完全な署名検証」の欠陥に対するセキュリティアップデートをリリースし、ユーザーに早急にアップグレードするよう促している。
• SAP 、3つの重大な欠陥を含む複数の製品のセキュリティアップデートを公開。
• WinRARは、Mark of the Webのアップデートが解凍したファイルに伝搬しない不具合を公開。

2025年4月パッチ・チューズデー・セキュリティ・アップデート

以下は、2025年4月のパッチ・チューズデー・アップデートで解決された脆弱性の完全なリストです。

各脆弱性の完全な説明と影響するシステムにアクセスするには、ここで完全なレポートを見ることができます。

.ia_ad { background-color：#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border：1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }：0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; object-fit: cover; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding：display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color：#line-height: 1.4; font-family：margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color：#border：1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding：10px 20px; width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; text-align: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding：15px; width: 100%; } .ia_button { width: 100%; } .

攻撃の93%を支えるMITRE ATT&CK©テクニック・トップ10

1,400万件の悪意のあるアクションの分析に基づき、攻撃の93%を支えるMITRE ATT&CKテクニックのトップ10とその防御方法をご覧ください。

レッドレポート2025を読む