先日、10月の第2火曜日でした。
毎月第2火曜日は、MicrosoftのPatch Tuesdayです。
今月も大量のパッチがリリースされました。
2025年10月16日時点で確認すると、その数は実に196件(Microsoftが発行したCVE:175件 + Microsoft以外が発行したCVE:21件)です。
内容も厳しいものが多数含まれています。
脆弱性の内容を多い順に列挙するとその厳しさが見えてきます。
- 権限昇格の脆弱性
- リモートコード実行
- 情報漏えい
- スプーフィング
- サービス拒否
- セキュリティ機能バイパス
また、これらの中にはすでに悪用が確認されている脆弱性も含まれています。
次の脆弱性です。
- CVE-2025-24990
CVSS スコア: 7.8
これは、Windows Agereモデムドライバ(ltmdm64.sys)の特権昇格の脆弱性です。
このドライバは関連するハードウェアが存在するか、使用されているかに関係なく、すべてのWindowsシステムにデフォルトでインストールされているという点で非常に危険です。
このデバイスドライバを必要とする部品があなたの手元のPCに搭載されていないとしてもそのPCはすでに脆弱で、最小限の権限しか持たないアカウントを持つローカルの攻撃者が管理者権限に昇格する可能性があります。 - CVE-2025-59230
CVSS スコア: 7.8
これは、Windowsリモートアクセス接続マネージャ(RasMan)の特権昇格の脆弱性です。
これまでこのRasManに対しては実際に脆弱性が悪用される前にMicrosoftがパッチをリリースしてこれたと考えられていますが、この脆弱性についてはゼロデイ脆弱性となってしまいました。 - CVE-2025-47827
CVSS スコア: 4.6
これは、IGEL OS 11より前のバージョンにあるセキュアブートバイパスの脆弱性です。
IGELは世界中で大きなシェアを誇るシンクライアント専用OSでUSBメモリにインストールして利用することができるものです。
この脆弱性を悪用されると最終的には、検証されていないSquashFSイメージから細工されたルートファイルシステムがマウントされる恐れがあります。
シンクライアントでシステムを運用すると安全というイメージがありますが、それはやはり使用している仕組みが意図動作している範囲では、ということになりますね。
セキュリティパッチは、適用しているかどうかだけでなく、適切なタイミングで適用できているかという点が重要になってきます。
パッチ適用は面倒に感じる時もあると思いますが、もっと面倒なことになることを回避するためにも、よい運用状態を維持していきたいところですね。
October 2025 Security Updates
https://msrc.microsoft.com/update-guide/releaseNote/2025-Oct
※ 2025/10/17(金)と2025/10/20(月)は、ほぼこもはお休みです。再開は2025/10/21(火)です。
| この記事をシェア |
|
|---|
