ニュース
Windows OSやMicrosoft Officeが「緊急」 Microsoftが2025年5月の月例セキュリティ更新プログラムを公開:リモートコードが実行される脆弱性に対応
Microsoftは2025年5月の月例セキュリティ更新プログラムを公開した。Windows 11をはじめ、利用者が多いと想定される製品で「緊急」扱いの更新プログラムが含まれるため、Microsoftは早急に更新プログラムを適用するよう呼び掛けている。
Microsoftは2025年5月13日、2025年5月の月例セキュリティ更新プログラムを公開した。「Windows 11」「Microsoft Office」などで深刻度が「緊急」とされている脆弱(ぜいじゃく)性に対応する更新プログラムが含まれている。
影響を受ける全バージョンのMicrosoft Officeの更新プログラムを含む
2025年5月のセキュリティ更新プログラムは78件のCVE(共通脆弱性識別子)で構成されている。対象製品は以下の通り。なお、最新の情報はセキュリティ更新プログラムガイドで確認できる。
- Windows 11 v24H2/v23H2
- Windows 10 v22H2
- Windows Server 2025
- Windows Server 2022/23H2
- Windows Server 2019/2016
- Remote Desktop client for Windows Desktop
- Microsoft Office
- Microsoft SharePoint
- Microsoft .NET
- Microsoft Visual Studio
- Microsoft Azure
- Microsoft Defender
特にMicrosoft Officeについては、影響を受ける全てのバージョンに対する更新プログラムをリリースしたとしている。
セキュリティ更新プログラムで修正された脆弱性のうち、既に悪用が確認された、または詳細が一般公開されているものは以下の通り。
- CVE-2025-32702 Visual Studio のリモートでコードが実行される脆弱性
- CVE-2025-26685 「Microsoft Defender for Identity」のスプーフィングの脆弱性
- CVE-2025-30397 スクリプトエンジンのメモリ破損の脆弱性
- CVE-2025-32709 WinSock用Windows Ancillary Function Driverの特権の昇格の脆弱性
- CVE-2025-32706 Windows共通ログファイルシステムドライバーの特権の昇格の脆弱性
- CVE-2025-32701 Windows共通ログファイルシステムドライバーの特権の昇格の脆弱性
- CVE-2025-30400 「Microsoft DWM Core」ライブラリの特権の昇格の脆弱性
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
ゼロトラスト戦略の“盲点”? ガートナージャパンが生成AI、AIエージェント全盛時代のセキュリティに警鐘
ガートナージャパンは、ゼロトラストの最新トレンドを発表した。クラウドへの移行や「マシンID」の台頭など、企業が直面する課題と対策の重点領域を明らかにした。
従業員にサイバーリスクをより真剣に受け止めさせるには
長年、セキュリティ部門はサイバーリスクと取るべきリスク軽減策について、従業員に認識してもらおうと努力してきたが、あまり効果的ではなかった。従業員は、日常業務を最小限の労力で完了する便利なコツの一つとして、サイバーリスク対策をすり抜けることに慣れてしまっている。この問題は組織文化的に、そして価値観の変革による解決が必要だ。効果的なセキュリティ行動様式/組織文化の変革プログラムを構築するにはどうすればよいのか。
気付かないうちに忍び寄る“透明な脅威” ポリグロット手法についてKasperskyが解説
Kasperskyは2025年4月2日、「ポリグロット手法」について解説するブログエントリを公開した。ポリグロット技術を使ったファイルは、ユーザーには画像など無害なものに見えるが、実際には内部に悪意のあるコードが含まれている。