Microsoft、2025年10月の月例セキュリティ更新プログラムを公開 Windows 10サポート終了も発表:IPAも更新を呼び掛け
既に悪用が確認されている脆弱性やCVSS基本値9.8以上の高リスクな脆弱性の更新が含まれており、企業ユーザーには早急な適用が推奨される。
Microsoftは2025年10月14日(米国時間)、「Windows」「Microsoft Office」など同社主要製品を対象とした月例セキュリティ更新プログラムを公開した。更新プログラムが公開されるよりも前に攻撃で悪用が確認されている脆弱(ぜいじゃく)性や、CVSS基本値9.8以上の高リスク脆弱性が含まれており、同社は「できるだけ早期の適用」を強く推奨している。
加えて、同日をもって「Windows 10」のサポートを正式に終了した。今後の機能更新プログラムとセキュリティ更新プログラムではWindows 10は対象外となるので、「Windows 11」への移行や「拡張セキュリティアップデート」(ESU)プログラムの適用を早急に進めるよう呼び掛けている。
2025年10月のセキュリティ更新プログラム一覧は次の通り。今回の更新では、Windows 11、Office、「Windows Server 2025」「Microsoft Exchange Server」「Microsoft Azure」といった製品が対象となっている。中でもWindowsおよびOffice製品群は「リモートでコード実行が可能」となる緊急レベルの脆弱性を修正している。
既に悪用が確認された脆弱性
今月修正された脆弱性のうち、以下の5件は攻撃者による悪用が確認済み、または脆弱性情報が既に公開済みだ。
- CVE-2025-2884:TPM(Trusted Platform Module)2.0レファレンス実装における境界外読み取りの脆弱性(Cert CC報告)
- CVE-2025-59230:「Windows Remote Access Connection Manager」の特権昇格の脆弱性
- CVE-2025-47827:リモートアクセスツール「IGEL OS」のバージョン11以前のセキュアブートバイパスの脆弱性
- CVE-2025-24052:Windows用「Agere」モデムドライバの特権昇格の脆弱性
- CVE-2025-24990:Windows用Agereモデムドライバの特権昇格の脆弱性
高深刻度(CVSS 9.8以上)の脆弱性
悪用は未確認ながら、深刻度が「緊急」とされる脆弱性も複数含まれる。
- CVE-2025-55315:「ASP.NET」のセキュリティ機能バイパス
- CVE-2025-49708:「Microsoft Graphics」コンポーネントの特権昇格
- CVE-2025-59287:「Windows Server Update Service」(WSUS)のリモートコード実行
IPAも呼び掛け
今回の更新プログラムについて、IPA(情報処理推進機構)も「Microsoft 製品の脆弱性対策について(2025年10月)」で「脆弱性を悪用された場合、アプリケーションプログラムが異常終了する、攻撃者によってPCを制御される、といった被害が発生する恐れがある」として、更新プログラムの適用を推奨している。
最新情報はセキュリティ更新プログラムガイドで確認できる。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
【Windows 10】すぐにWindows 11に移行できない人の救済措置「拡張セキュリティ更新プログラム」への登録方法教えます
Windows 10が2025年10月14日にサポート終了を迎える。ただ、すぐにWindows 11に移行できない人もそれなりにいるのではないだろうか。そのような人は、セキュリティ更新プログラムを期間限定で提供してもらえる「拡張セキュリティ更新プログラム」に登録するとよい。条件を満たせば、無料で登録できるので、Windows 11への移行に猶予が欲しい人は、登録するとよい。本稿では、登録のための条件や登録方法について解説する。Windows 10/11、Office、Azureなどに影響 Microsoftが2025年9月の月例セキュリティ更新プログラムを公開
Microsoftは、2025年9月の月例セキュリティ更新プログラムを公開した。WindowsやOffice、Azureなど広範囲の製品に影響し、認証不要で悪用可能な深刻度「緊急」の脆弱性も含まれる。認証やユーザー操作なしで悪用できる脆弱性対応を含む Microsoftが2025年8月セキュリティ更新プログラムを公開
Microsoftは2025年8月の月例セキュリティ更新プログラムを公開した。CVSS基本値が9.8の脆弱性対応が含まれているため早急な対応が必要だ。