.crit { font-weight:bold; color:red; } .article_section td { font-size: 14px!important;}。
本日は、マイクロソフトの11月2025年パッチ・チューズデーであり、ゼロデイ脆弱性1件を含む63件の欠陥に対するセキュリティ更新が含まれている。
このパッチ・チューズデーでは、4件の「クリティカル」な脆弱性にも対処しており、そのうちの2件はリモート・コード実行の脆弱性、1件は特権の昇格、4件目は情報漏えいの脆弱性である。
各脆弱性カテゴリーにおけるバグの数は以下の通り:
- 29 特権昇格の脆弱性
- 2 セキュリティ機能バイパス脆弱性
- 16 リモート・コード実行の脆弱性
- 11 情報漏えいの脆弱性
- 3 サービス拒否の脆弱性
- 2 スプーフィング脆弱性
パッチ・チューズデーのセキュリティ更新プログラムに関するレポートでは、マイクロソフトが本日リリースしたもののみをカウントしている。したがって、不具合の数には、今月初めに修正されたMicrosoft EdgeおよびMarinerの脆弱性は含まれていない。
本日は、Windows 10の最初の拡張セキュリティ更新プログラム(ESU)でもあるため、未対応のオペレーティング・システムを使用している場合は、Windows 11にアップグレードするか、ESUプログラムに登録することを強くお勧めする。
ESUプログラムへの登録に問題がある方のために、マイクロソフトは本日、登録を妨げるバグを修正する帯域外の更新プログラムをリリースしました。
本日リリースされた非セキュリティ更新プログラムの詳細については、Windows 11 KB5066835 および KB5066793 の更新プログラム、およびWindows 10 KB5068781 の拡張セキュリティ更新プログラムについての記事をご覧ください。
パッチチューズデーの更新プログラムの遅延、盲点、優先順位付けの問題に直面している場合は、Action1との12月2日のウェビナーに参加し、最新のパッチ管理によってパッチを迅速に適用してリスクを低減する方法について学んでください。
1 アクティブに悪用されるゼロデイ
今月のパッチ・チューズデーは、Windowsカーネルにおけるアクティブに悪用されるゼロデイ欠陥1件を修正します。
マイクロソフトでは、公式な修正プログラムが提供されていないゼロデイ欠陥は、一般に公開されているか、または積極的に悪用されているものとして分類しています。
悪用されたゼロデイとは
CVE-2025-62215– Windows カーネルの特権昇格の脆弱性
マイクロソフトは、Windows デバイス上で SYSTEM 権限を得るために悪用される Windows カーネルの欠陥にパッチを適用しました。
Windows カーネルにおける不適切な同期(「競合状態」)を伴う共有リソースを使用した同時実行により、許可された攻撃者がローカルで特権を昇格させることができる」とマイクロソフトは説明している。
マイクロソフト社によると、この欠陥は、攻撃者がレースコンディションに勝利し、SYSTEM権限を獲得する必要があるという。
マイクロソフトは、この欠陥をマイクロソフト脅威インテリジェンスセンター(MSTIC)とマイクロソフト・セキュリティ・レスポンス・センター(MSRC)に起因するとしているが、この欠陥がどのように悪用されたかは明らかにしていない。
他社の最近のアップデート
2025年11月にアップデートやアドバイザリをリリースした他のベンダーは以下の通り:
- Adobeは、InDesign、InCopy、PhotoShop、Illustrator、Substance 3D、Pass、Adobe Formatのセキュリティアップデートをリリースした。
- Ciscoは 、Cisco ASA、Unified Contact Center、Identityサービスなど、複数の製品にパッチをリリースした。また、Ciscoは今月、古い欠陥を悪用した新たな攻撃が発見されたことを警告している。
- expr-eval の開発者は、JavaScript ライブラリの重大な RCE を修正するパッチをリリースした。
- フォーティネットは、FortiOS の中程度の深刻度の特権昇格の欠陥に対するセキュリティアップデートをリリースした。
- Googleは、2 件の脆弱性を修正したAndroid の 11 月セキュリティ情報を公開した。
- Ivanti は、2025 年 11 月のパッチチューズデーアップデートの一部としてセキュリティパッチをリリースした。
- runCの セキュリティアップデートは、攻撃者がDockerおよびKubernetesコンテナから逃れることを可能にする欠陥を修正する。
- QNAPは、ハッキングコンテスト「Pwn2Own Ireland 2025」において、ネットワーク接続ストレージ(NAS)デバイスをハッキングするために悪用された7件のゼロデイ脆弱性に対するセキュリティアップデートをリリースした。
- SAPは 、SQL Anywhere Monitorの10/10ハーカード認証情報の欠陥の修正を含む、複数の製品の11月のセキュリティアップデートをリリースした。
- サムスンは、25件の不具合を修正した11月のセキュリティアップデートをリリースした。
2025年11月パッチ・チューズデー・セキュリティ・アップデート
以下は、2025年11月のパッチ・チューズデー・アップデートで解決された脆弱性の完全なリストです。
各脆弱性の完全な説明と影響するシステムにアクセスするには、ここで完全なレポートを見ることができます。
| タグ | CVE ID | CVE タイトル | 深刻度 |
|---|---|---|---|
| Azure Monitor エージェント | CVE-2025-59504 | Azure Monitor Agent のリモートコード実行の脆弱性 | 重要 |
| カスタマーエクスペリエンス向上プログラム (CEIP) | CVE-2025-59512 | カスタマーエクスペリエンス向上プログラム (CEIP) の特権昇格の脆弱性 | 重要 |
| Dynamics 365 フィールドサービス (オンライン) | CVE-2025-62211 | Dynamics 365 フィールドサービス (オンライン) のなりすましの脆弱性 | 重要 |
| Dynamics 365 フィールドサービス (オンライン) | CVE-2025-62210 | Dynamics 365 フィールドサービス (オンライン) のなりすましの脆弱性 | 重要 |
| GitHub Copilot および Visual Studio コード | CVE-2025-62453 | GitHub Copilot および Visual Studio Code のセキュリティ機能バイパスの脆弱性 | 重要 |
| Windows タスクのホストプロセス | CVE-2025-60710 | Windows タスク用ホストプロセスにおける特権昇格の脆弱性 | 重要 |
| マイクロソフト構成マネージャ | CVE-2025-47179 | Configuration Manager における特権昇格の脆弱性 | 重要 |
| Microsoft Dynamics 365 (オンプレミス) | CVE-2025-62206 | Microsoft Dynamics 365 (オンプレミス) 情報漏えいの脆弱性 | 重要 |
| Microsoft グラフィックスコンポーネント | CVE-2025-60724 | GDI+ リモートコード実行の脆弱性 | 重要 |
| マイクロソフトオフィス | CVE-2025-62216 | Microsoft Office リモートコード実行の脆弱性 | 重要 |
| マイクロソフトオフィス | CVE-2025-62199 | Microsoft Office リモートコード実行の脆弱性 | 重要 |
| Microsoft Office Excel | CVE-2025-62200 | Microsoft Excel リモートコード実行の脆弱性 | 重要 |
| Microsoft Office Excel | CVE-2025-62201 | Microsoft Excel リモートコード実行の脆弱性 | 重要 |
| Microsoft Office Excel | CVE-2025-60726 | Microsoft Excel 情報漏えいの脆弱性 | 重要 |
| Microsoft Office Excel | CVE-2025-62203 | Microsoft Excel リモートコード実行の脆弱性 | 重要 |
| マイクロソフトオフィスエクセル | CVE-2025-62202 | Microsoft Excel 情報漏えいの脆弱性 | 重要 |
| Microsoft Office Excel | CVE-2025-60727 | Microsoft Excel リモートコード実行の脆弱性 | 重要 |
| マイクロソフトオフィスエクセル | CVE-2025-60728 | Microsoft Excel 情報漏えいの脆弱性 | 重要 |
| Microsoft Office Excel | CVE-2025-59240 | Microsoft Excel 情報漏えいの脆弱性 | 重要 |
| Microsoft Office SharePoint | CVE-2025-62204 | Microsoft SharePoint リモートコード実行の脆弱性 | 重要 |
| Microsoft Office Word | CVE-2025-62205 | Microsoft Office リモートコード実行の脆弱性 | 重要 |
| マイクロソフト ストリーミング サービス | CVE-2025-59514 | Microsoft ストリーミングサービスプロキシにおける特権昇格の脆弱性 | 重要 |
| マイクロソフト ワイヤレス プロビジョニング システム | CVE-2025-62218 | Microsoft Wireless Provisioning System の特権昇格の脆弱性 | 重要 |
| マイクロソフト ワイヤレス プロビジョニング システム | CVE-2025-62219 | Microsoft Wireless Provisioning System の特権昇格の脆弱性 | 重要 |
| マルチメディアクラススケジューラサービス (MMCSS) | CVE-2025-60707 | マルチメディアクラススケジューラサービス (MMCSS) ドライバにおける特権昇格の脆弱性 | 重要 |
| ニュアンス PowerScribe | CVE-2025-30398 | Nuance PowerScribe 360 情報漏えいの脆弱性 | 重要 |
| Android 版 OneDrive | CVE-2025-60722 | Microsoft OneDrive for Android における特権昇格の脆弱性 | 重要 |
| 役割Windows Hyper-V | CVE-2025-60706 | Windows Hyper-V 情報漏えいの脆弱性 | 重要 |
| SQL サーバ | CVE-2025-59499 | Microsoft SQL Server における特権昇格の脆弱性 | 重要 |
| Storvsp.sys ドライバ | CVE-2025-60708 | Storvsp.sys ドライバにサービス拒否の脆弱性 | 重要 |
| ビジュアルスタジオ | CVE-2025-62214 | Visual Studio におけるリモートコード実行の脆弱性 | 重要 |
| Visual Studio コード CoPilot チャット拡張 | CVE-2025-62449 | Microsoft Visual Studio Code CoPilot Chat Extension セキュリティ機能バイパスの脆弱性 | 重要 |
| Visual Studio コード CoPilot チャット拡張 | CVE-2025-62222 | Agentic AIとVisual Studioコードのリモートコード実行の脆弱性 | 重要 |
| Windows 管理者保護 | CVE-2025-60721 | Windows 管理者保護の特権昇格の脆弱性 | 重要 |
| Windows 管理者の保護 | CVE-2025-60718 | Windows 管理者保護特権昇格の脆弱性 | 重要 |
| WinSock 用 Windows 補助機能ドライバ | CVE-2025-62217 | WinSock 用 Windows 補助機能ドライバに特権昇格の脆弱性 | 重要 |
| WinSock 用 Windows 補助機能ドライバ | CVE-2025-60719 | WinSock 用 Windows 補助機能ドライバに特権昇格の脆弱性 | 重要 |
| WinSock 用 Windows 補助機能ドライバ | CVE-2025-62213 | WinSock 用 Windows 補助機能ドライバに特権昇格の脆弱性 | 重要 |
| Windows Bluetooth RFCOM プロトコルドライバー | CVE-2025-59513 | Windows Bluetooth RFCOM プロトコルドライバ情報漏えいの脆弱性 | 重要 |
| Windows ブロードキャスト DVR ユーザーサービス | CVE-2025-59515 | Windows Broadcast DVR ユーザーサービスにおける特権昇格の脆弱性 | 重要 |
| Windows ブロードキャスト DVR ユーザーサービス | CVE-2025-60717 | Windows Broadcast DVR ユーザーサービスにおける特権昇格の脆弱性 | 重要 |
| Windows クライアントサイドキャッシュ (CSC) サービス | CVE-2025-60705 | Windows クライアントサイドキャッシングの特権昇格の脆弱性 | 重要 |
| Windows 共通ログファイルシステムドライバ | CVE-2025-60709 | Windows 共通ログファイルシステムドライバにおける特権昇格の脆弱性 | 重要 |
| Windows DirectX | CVE-2025-59506 | DirectX グラフィックカーネルにおける特権昇格の脆弱性 | 重要 |
| Windows DirectX | CVE-2025-60716 | DirectX グラフィックカーネルにおける特権昇格の脆弱性 | 重要 |
| Windows DirectX | CVE-2025-60723 | DirectX グラフィックカーネルにおけるサービス拒否の脆弱性 | 重要 |
| Windows ケルベロス | CVE-2025-60704 | Windows Kerberos における特権昇格の脆弱性 | 重要 |
| Windows カーネル | CVE-2025-62215 | Windows カーネルの特権昇格の脆弱性 | 重要 |
| Windows ライセンスマネージャ | CVE-2025-62208 | Windows ライセンスマネージャの情報漏えいの脆弱性 | 重要 |
| Windows ライセンスマネージャ | CVE-2025-62209 | Windows ライセンスマネージャ情報漏えいの脆弱性 | 重要 |
| Windows OLE | CVE-2025-60714 | Windows OLE リモートコード実行の脆弱性 | 重要 |
| Windows リモートデスクトップ | CVE-2025-60703 | Windows リモートデスクトップサービスにおける特権昇格の脆弱性 | 重要 |
| Windows ルーティングおよびリモートアクセスサービス (RRAS) | CVE-2025-62452 | Windows ルーティングおよびリモートアクセスサービス (RRAS) のリモートコード実行の脆弱性 | 重要 |
| Windows ルーティングおよびリモートアクセスサービス (RRAS) | CVE-2025-59510 | Windows ルーティングおよびリモートアクセスサービス (RRAS) のサービス拒否の脆弱性 | 重要 |
| Windows ルーティングおよびリモートアクセスサービス (RRAS) | CVE-2025-60715 | Windows ルーティングおよびリモートアクセスサービス (RRAS) のリモートコード実行の脆弱性 | 重要 |
| Windows ルーティングおよびリモートアクセスサービス (RRAS) | CVE-2025-60713 | Windows ルーティングおよびリモートアクセスサービス (RRAS) の特権昇格の脆弱性 | 重要 |
| Windows スマートカード | CVE-2025-59505 | Windows スマートカードリーダーの特権昇格の脆弱性 | 重要 |
| Windows スピーチ | CVE-2025-59507 | Windows スピーチランタイムの特権昇格の脆弱性 | 重要 |
| Windows スピーチ | CVE-2025-59508 | Windows 音声認識における特権昇格の脆弱性 | 重要 |
| Windows スピーチ | CVE-2025-59509 | Windows 音声認識における情報漏えいの脆弱性 | 重要 |
| Linux GUI 用 Windows サブシステム | CVE-2025-62220 | Windows Subsystem for Linux GUI リモートコード実行の脆弱性 | 重要 |
| Windows TDX.sys | CVE-2025-60720 | Windows トランスポートドライバインタフェース (TDI) トランスレーションドライバの特権昇格の脆弱性 | 重要 |
| Windows WLAN サービス | CVE-2025-59511 | Windows WLAN サービスにおける特権昇格の脆弱性 | 重要 |
.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px;
width: 100%;
}
.ia_button {
width: 100%;
margin: 0px auto;
}
}
2026年CISO予算ベンチマーク
予算の季節です!300人以上のCISOやセキュリティ・リーダーが、来年に向けてどのような計画、支出、優先順位付けを行っているかを発表しました。本レポートでは、2026年に向けた戦略のベンチマーク、新たなトレンドの特定、優先事項の比較を可能にするために、彼らの洞察をまとめています。
トップリーダーがどのように投資を測定可能なインパクトに変えているかをご覧ください。
Comments