.crit { font-weight:bold; color:red; } .article_section td { font-size: 14px!important;}。
本日はマイクロソフトの6月2025年パッチ・チューズデーであり、積極的に悪用されている脆弱性1件と公開されている脆弱性1件を含む66件の欠陥に対するセキュリティ更新プログラムが含まれている。
このパッチ・チューズデーでは、10件の「クリティカル」な脆弱性も修正されており、8件はリモート・コード実行の脆弱性、2件は特権昇格のバグである。
各脆弱性カテゴリーにおけるバグの数は以下の通り:
- 特権昇格の脆弱性 13件
- 3 セキュリティ機能バイパス脆弱性
- 25 リモート・コード実行の脆弱性
- 17 情報漏洩の脆弱性
- 6 サービス拒否の脆弱性
- 2 スプーフィング脆弱性
この件数には、今月初めに修正されたMariner、Microsoft Edge、Power Automateの不具合は含まれていません。
本日リリースされた非セキュリティ更新プログラムの詳細については、Windows 11 KB5060842 および KB5060999 累積更新プログラム、およびWindows 10 KB5060533 累積更新プログラムに関する専用記事をご覧ください。
2つのゼロデイ
今月のパッチ・チューズデーでは、活発に悪用されているゼロデイが1件と、一般に公開されている脆弱性が1件修正されました。マイクロソフトは、公式な修正プログラムが提供されていないゼロデイ脆弱性を、一般に公開されている脆弱性または積極的に悪用されている脆弱性と分類しています。
本日のアップデートに含まれる積極的に悪用されるゼロデイ脆弱性は以下の通り:
CVE-2025-33053– Web Distributed Authoring and Versioning (WEBDAV) リモートコード実行の脆弱性
マイクロソフトは、Check Point Research が発見したリモートコード実行の脆弱性を修正した。
「Microsoft Windows の Web Distributed Authoring and Versioning には、リモートでコードが実行される脆弱性が存在します。この脆弱性の悪用に成功すると、リモートの攻撃者が影響を受けたシステム上で任意のコードを実行できる可能性があります。
マイクロソフト社のアドバイザリではさらに、この脆弱性を悪用するには、ユーザーが特別に細工されたWebDavのURLをクリックする必要があるとしている。
チェック・ポイント・リサーチの新しいレポートによると、CVE-2025-33053は、「Stealth Falcon」と名付けられたAPTグループによるゼロデイ攻撃で悪用されたという。
「チェック・ポイントは、「2025年3月、チェック・ポイント・リサーチは、トルコの防衛関連企業に対するサイバー攻撃の未遂を確認しました。
「脅威者は、これまで公開されていなかった手法を使って、Windowsに組み込まれた正規のツールの作業ディレクトリを操作し、自分たちが管理するWebDAVサーバ上でホストされているファイルを実行しました。
“責任ある開示を受けて、Microsoftは脆弱性CVE-2025-33053を割り当て、2025年6月10日に6月のパッチチューズデーアップデートの一部としてパッチをリリースした。”
マイクロソフトは、この欠陥の発見者をAlexandra GofmanとDavid Driker(Check Point Research)としている。
公表されているゼロデイとは
CVE-2025-33073– Windows SMB クライアントの特権昇格の脆弱性
マイクロソフトは、攻撃者が脆弱なデバイス上で SYSTEM 権限を取得できる Windows SMB の欠陥を修正します。
「Windows SMB の不適切なアクセス制御により、許可された攻撃者がネットワーク上で特権を昇格させることができます。
「この脆弱性を悪用するには、攻撃者が特別に細工した悪意のあるスクリプトを実行し、被害マシンにSMBを使用して攻撃システムに接続し、認証するよう強制します。これは特権の昇格につながる可能性があります」とマイクロソフト社はさらに説明している。
マイクロソフト社は、この欠陥が公表された経緯については明らかにしていない。しかしボーンシティによると、DFN-CERT(ドイツ研究ネットワークのコンピューター緊急対応チーム)は今週、この欠陥に関する警告をRedTeam Pentestingから流し始めたという。
現在アップデートが提供されているが、この欠陥は、グループ・ポリシーによってサーバー側のSMB署名を強制することで軽減できると報告されている。
マイクロソフトは、この欠陥の発見について、CrowdStrikeのKeisuke Hirata氏、SynacktivのSynacktiv research氏、SySS GmbHのStefan Walter氏、RedTeam Pentesting GmbH、Google Project ZeroのJames Forshaw氏など、複数の研究者によるものだとしている。
他社の最新アップデート
2025年6月にアップデートやアドバイザリをリリースした他のベンダーは以下のとおりです:
- Adobeは、InCopy、Experience Manager、Commerce、InDesign、Substance 3D Sampler、Acrobat Reader、Substance 3D Painterのセキュリティアップデートをリリースした。
- シスコは 、Identity Services Engine(ISE)およびCustomer Collaboration Platform(CCP)製品において、悪用コードが公開されている3件の脆弱性に対するパッチをリリースした。
- フォーティネットは、FortiManager、FortiAnalyzer、FortiAnalyzer-BigData製品におけるOSコマンド(「OSコマンドインジェクション」)の脆弱性に対するセキュリティアップデートをリリースした。
- Google の 2025 年 6 月のAndroid 向けセキュリティ更新プログラムでは、多数の脆弱性が修正された。Google はまた、積極的に悪用される Google Chrome のゼロデイ欠陥を修正した。
- Hewlett Packard Enterprise(HPE)は、StoreOnceに影響する8件の脆弱性を修正するセキュリティアップデートを発表した、
- Ivantiは、Workspace Control(IWC)のハードコードされたキーの脆弱性3件を修正するセキュリティアップデートをリリースした。
- クアルコムは、標的型攻撃で悪用されるAdrenoグラフィックス・プロセッシング・ユニット(GPU)ドライバのゼロデイ脆弱性3件に対するセキュリティ・アップデートをリリースした。
- Roundcube社は、現在攻撃で悪用されているパブリックエクスプロイトによるリモートコード実行(RCE)の重大な欠陥に対するセキュリティアップデートをリリースした。
- SAPは 、SAP NetWeaver Application Server for ABAPの重大な認証チェックの欠落を含む、複数の製品のセキュリティアップデートをリリース。
2025年6月パッチチューズデーセキュリティアップデート
以下は、2025年6月のパッチチューズデーのアップデートで解決された脆弱性の完全なリストです。
各脆弱性の完全な説明と影響するシステムにアクセスするには、ここで完全なレポートを見ることができます。
| タグ | CVE ID | CVE タイトル | 深刻度 |
|---|---|---|---|
| .NET および Visual Studio | CVE-2025-30399 | .NET および Visual Studio におけるリモートコード実行の脆弱性 | 重要 |
| ビジネス向けアプリ制御 (WDAC) | CVE-2025-33069 | Windows App Control for Business セキュリティ機能バイパスの脆弱性 | 重要 |
| マイクロソフト自動更新 (MAU) | CVE-2025-47968 | Microsoft AutoUpdate (MAU) の特権昇格の脆弱性 | 重要 |
| マイクロソフトローカルセキュリティ権限サーバ (lsasrv) | CVE-2025-33056 | Windows ローカルセキュリティ権限 (LSA) のサービス拒否の脆弱性 | 重要 |
| マイクロソフトオフィス | CVE-2025-47164 | Microsoft Office のリモートコード実行の脆弱性 | 重要 |
| マイクロソフトオフィス | CVE-2025-47167 | Microsoft Office リモートコード実行の脆弱性 | クリティカル |
| マイクロソフトオフィス | CVE-2025-47162 | Microsoft Office リモートコード実行の脆弱性 | クリティカル |
| マイクロソフトオフィス | CVE-2025-47173 | Microsoft Office リモートコード実行の脆弱性 | 重要 |
| マイクロソフトオフィス | CVE-2025-47953 | Microsoft Office リモートコード実行の脆弱性 | 重要 |
| Microsoft Office Excel | CVE-2025-47165 | Microsoft Excel リモートコード実行の脆弱性 | 重要 |
| Microsoft Office Excel | CVE-2025-47174 | Microsoft Excel リモートコード実行の脆弱性 | 重要 |
| Microsoft Office Outlook | CVE-2025-47171 | Microsoft Outlook リモートコード実行の脆弱性 | 重要 |
| Microsoft Office Outlook | CVE-2025-47176 | Microsoft Outlook リモートコード実行の脆弱性 | 重要 |
| Microsoft Office PowerPoint | CVE-2025-47175 | Microsoft PowerPoint のリモートコード実行の脆弱性 | 重要 |
| Microsoft Office SharePoint | CVE-2025-47172 | Microsoft SharePoint Server のリモートコード実行の脆弱性 | 重要 |
| Microsoft Office SharePoint | CVE-2025-47166 | Microsoft SharePoint Server のリモートコード実行の脆弱性 | 重要 |
| Microsoft Office SharePoint | CVE-2025-47163 | Microsoft SharePoint Server のリモートコード実行の脆弱性 | 重要 |
| Microsoft Office Word | CVE-2025-47170 | Microsoft Word のリモートコード実行の脆弱性 | 重要 |
| Microsoft Office Word | CVE-2025-47957 | Microsoft Word リモートコード実行の脆弱性 | 重要 |
| Microsoft Office Word | CVE-2025-47169 | Microsoft Word リモートコード実行の脆弱性 | 重要 |
| Microsoft Office Word | CVE-2025-47168 | Microsoft Word リモートコード実行の脆弱性 | 重要 |
| ニュアンスデジタルエンゲージメントプラットフォーム | CVE-2025-47977 | Nuance Digital Engagement Platform のなりすましの脆弱性 | 重要 |
| リモートデスクトップクライアント | CVE-2025-32715 | リモートデスクトッププロトコルクライアントの情報漏えいの脆弱性 | 重要 |
| ビジュアルスタジオ | CVE-2025-47959 | Visual Studio リモートコード実行の脆弱性 | 重要 |
| WebDAV | CVE-2025-33053 | Web Distributed Authoring and Versioning (WEBDAV) リモートコード実行の脆弱性 | 重要 |
| Windows 共通ログファイルシステムドライバ | CVE-2025-32713 | Windows 共通ログファイルシステムドライバの特権昇格の脆弱性 | 重要 |
| Windows 暗号化サービス | CVE-2025-29828 | Windows Schannel リモートコード実行の脆弱性 | 重要 |
| Windows DHCP サーバ | CVE-2025-33050 | DHCP サーバーサービス拒否の脆弱性 | 重要 |
| Windows DHCP サーバ | CVE-2025-32725 | DHCP サーバサービス拒否の脆弱性 | 重要 |
| Windows DWM コアライブラリ | CVE-2025-33052 | Windows DWM コアライブラリ情報漏えいの脆弱性 | 重要 |
| Windows Hello | CVE-2025-47969 | Windows 仮想化ベースのセキュリティ (VBS) 情報漏えいの脆弱性 | 重要 |
| Windows インストーラ | CVE-2025-33075 | Windows インストーラの特権昇格の脆弱性 | 重要 |
| Windows インストーラ | CVE-2025-32714 | Windows インストーラの特権昇格の脆弱性 | 重要 |
| Windows KDC プロキシサービス (KPSSVC) | CVE-2025-33071 | Windows KDC プロキシサービス (KPSSVC) のリモートコード実行の脆弱性 | 重要 |
| Windows カーネル | CVE-2025-33067 | Windows タスクスケジューラの特権昇格の脆弱性 | 重要 |
| Windows ローカルセキュリティ権限 (LSA) | CVE-2025-33057 | Windows ローカルセキュリティ権限 (LSA) のサービス拒否の脆弱性 | 重要 |
| Windows ローカルセキュリティ権限サブシステムサービス (LSASS) | CVE-2025-32724 | ローカルセキュリティオーソリティサブシステムサービス (LSASS) のサービス拒否の脆弱性 | 重要 |
| Windows メディア | CVE-2025-32716 | Windows Media における特権昇格の脆弱性 | 重要 |
| Windows ネットログオン | CVE-2025-33070 | Windows ネットログオンにおける特権昇格の脆弱性 | 重要 |
| Windows 回復ドライバ | CVE-2025-32721 | Windows 回復ドライバに特権昇格の脆弱性 | 重要 |
| Windows リモートアクセス接続マネージャ | CVE-2025-47955 | Windows リモートアクセス接続マネージャの特権昇格の脆弱性 | 重要 |
| Windows リモートデスクトップサービス | CVE-2025-32710 | Windows リモートデスクトップサービスのリモートコード実行の脆弱性 | 重要 |
| Windows ルーティングおよびリモートアクセスサービス (RRAS) | CVE-2025-33064 | Windows ルーティングおよびリモートアクセスサービス (RRAS) のリモートコード実行の脆弱性 | 重要 |
| Windows ルーティングおよびリモートアクセスサービス (RRAS) | CVE-2025-33066 | Windows ルーティングおよびリモートアクセスサービス (RRAS) のリモートコード実行の脆弱性 | 重要 |
| Windows SDK | CVE-2025-47962 | Windows SDK における特権昇格の脆弱性 | 重要 |
| Windows セキュアブート | CVE-2025-3052 | Cert CC: CVE-2025-3052 InsydeH2O セキュアブートバイパス | 重要 |
| Windows セキュリティアプリ | CVE-2025-47956 | Windows セキュリティアプリのなりすましの脆弱性 | 重要 |
| Windows シェル | CVE-2025-47160 | Windows ショートカットファイルのセキュリティ機能バイパスの脆弱性 | 重要 |
| Windows SMB | CVE-2025-33073 | Windows SMB クライアントの特権昇格の脆弱性 | 重要 |
| Windows SMB | CVE-2025-32718 | Windows SMB クライアントの特権昇格の脆弱性 | 重要 |
| Windows 標準ベースのストレージ管理サービス | CVE-2025-33068 | Windows 標準ベースのストレージ管理サービスにおけるサービス拒否の脆弱性 | 重要 |
| Windows ストレージ管理プロバイダ | CVE-2025-32719 | Windows ストレージ管理プロバイダ情報漏えいの脆弱性 | 重要 |
| Windows ストレージ管理プロバイダ | CVE-2025-24065 | Windows ストレージ管理プロバイダ情報漏えいの脆弱性 | 重要 |
| Windows ストレージ管理プロバイダ | CVE-2025-24068 | Windows ストレージ管理プロバイダ情報漏えいの脆弱性 | 重要 |
| Windows ストレージ管理プロバイダ | CVE-2025-33055 | Windows ストレージ管理プロバイダ情報漏えいの脆弱性 | 重要 |
| Windows ストレージ管理プロバイダ | CVE-2025-24069 | Windows ストレージ管理プロバイダ情報漏えいの脆弱性 | 重要 |
| Windows ストレージ管理プロバイダ | CVE-2025-33060 | Windows ストレージ管理プロバイダ情報漏えいの脆弱性 | 重要 |
| Windows ストレージ管理プロバイダ | CVE-2025-33059 | Windows ストレージ管理プロバイダ情報漏えいの脆弱性 | 重要 |
| Windows ストレージ管理プロバイダ | CVE-2025-33062 | Windows ストレージ管理プロバイダ情報漏えいの脆弱性 | 重要 |
| Windows ストレージ管理プロバイダ | CVE-2025-33061 | Windows ストレージ管理プロバイダ情報漏えいの脆弱性 | 重要 |
| Windows ストレージ管理プロバイダ | CVE-2025-33058 | Windows ストレージ管理プロバイダ情報漏えいの脆弱性 | 重要 |
| Windows ストレージ管理プロバイダ | CVE-2025-32720 | Windows ストレージ管理プロバイダ情報漏えいの脆弱性 | 重要 |
| Windows ストレージ管理プロバイダ | CVE-2025-33065 | Windows ストレージ管理プロバイダ情報漏えいの脆弱性 | 重要 |
| Windows ストレージ管理プロバイダ | CVE-2025-33063 | Windows ストレージ管理プロバイダ情報漏えいの脆弱性 | 重要 |
| Windows ストレージポートドライバ | CVE-2025-32722 | Windows ストレージポートドライバ情報漏えいの脆弱性 | 重要 |
| Windows Win32K – GRFX | CVE-2025-32712 | Win32k における特権昇格の脆弱性 | 重要 |
.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; object-fit: cover; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:10px 20px; width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; text-align: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px; width: 100%; } .ia_button { width: 100%; } .
ITチームが手作業によるパッチ管理をやめる理由
かつてはパッチ適用といえば、複雑なスクリプト、長時間の作業、終わりのない消火訓練が必要でした。今は違います。
この新しいガイドでは、Tines氏が最新のIT組織が自動化によってどのようにレベルアップしているかを解説している。複雑なスクリプトは必要ありません。
Comments