セキュリティ

今日は毎月恒例「Windows Update」の日、Microsoft Officeに深刻度「緊急」の脆弱性あり


Windowsのセキュリティ更新プログラムやバグ修正を配信する毎月恒例のWindows Updateが公開されました。 今回配信されたKB5072033およびKB5071417のセキュリティ更新プログラムには、Windows Cloud Files Mini Filterドライバーの特権昇格ゼロデイ脆弱(ぜいじゃく)性「CVE-2025-62221」を含む57件の欠陥に対する修正パッチが含まれており、インストールするとWindows 11 25H2(KB5072033)のビルド番号はビルド26200.7462(24H2の場合は26100.7462)に、23H2(KB5068865)のビルド番号は226x1.6050に変更されます。

2025 年 12 月のセキュリティ更新プログラム (月例)
https://www.microsoft.com/en-us/msrc/blog/2025/12/202512-security-update


公開されたセキュリティ更新プログラムの一覧は次の通り。

製品ファミリ最大深刻度最も大きな影響関連するサポート技術情報またはサポートのウェブページ
Windows 11 v25H2, v24H2, v23H2重要リモートでコードの実行が可能v25H2, v24H2 5072033 v25H2, v24H2 Hotpatch 5072014 v23H2 5071417
Windows Server 2025 (Server Core installationを含む)重要リモートでコードの実行が可能5072033 HotPatch 5072014
Windows Server 2022,23H2 (Server Core installationを含む)重要リモートでコードの実行が可能Windows Server 2022, 5071547 Windows Server 2022 Hotpatch 5071413 Windows Server 23H2, 5071542
Windows Server 2019, 2016 (Server Core installation を含む)重要リモートでコードの実行が可能Windows Server 2019, 5071544 Windows Server 2016, 5071543
Microsoft Office緊急リモートでコードの実行が可能https://learn.microsoft.com/officeupdates
Microsoft SharePoint重要なりすましhttps://learn.microsoft.com/officeupdates/sharepoint-updates
Microsoft Exchange Server重要特権の昇格https://learn.microsoft.com/exchange Released: December 2025 Exchange Server Security Updates
Microsoft Azure重要リモートでコードの実行が可能https://learn.microsoft.com/azure


今月のセキュリティ更新プログラムで修正した脆弱性のうち、ゼロデイ脆弱性は以下の3つ。このうち、CVE-2025-62221についてMicrosoftは「積極的に悪用されている」と報告しています。
CVE-2025-62221:Windows Cloud Files Mini Filterドライバーの特権昇格の脆弱性
CVE-2025-54100:PowerShellのリモートでコードが実行される脆弱性
CVE-2025-64671:GitHub Copilot for Jetbrainsのリモートでコードが実行される脆弱性

そのほか54件の脆弱性が以下。

製品CVE IDCVEタイトル深刻度
Application Information ServicesCVE-2025-62572権限昇格の脆弱性重要
Azure MonitorエージェントCVE-2025-62550リモートコード実行の脆弱性重要
CopilotCVE-2025-64671GitHub Copilot for JetBrainsでのリモートコード実行の脆弱性重要
Microsoft Brokering File SystemCVE-2025-62569権限昇格の脆弱性重要
Microsoft Brokering File SystemCVE-2025-62469権限昇格の脆弱性重要
Microsoft Edge (Chromium-based)CVE-2025-13634ダウンロードにおける不適切な実装未知
Microsoft Edge (Chromium-based)CVE-2025-13721Chromium V8におけるレースコンディション未知
Microsoft Edge (Chromium-based)CVE-2025-13630Chromium V8の型混同未知
Microsoft Edge (Chromium-based)CVE-2025-13631Google Updaterでのリモート不適切な実装未知
Microsoft Edge (Chromium-based)CVE-2025-13632DevToolsでのリモート不適切な実装未知
Microsoft Edge (Chromium-based)CVE-2025-13633デジタル認証情報におけるUse-After-Free未知
Microsoft Edge (Chromium-based)CVE-2025-13638Media Stream のUse-After-Free未知
Microsoft Edge (Chromium-based)CVE-2025-13639WebRTC における不適切な実装未知
Microsoft Edge (Chromium-based)CVE-2025-13640パスワードにおける不適切な実装未知
Microsoft Edge (Chromium-based)CVE-2025-13637ダウンロードにおける不適切な実装未知
Microsoft Edge (Chromium-based)CVE-2025-13720ローダーの不正なキャスト未知
Microsoft Edge (Chromium-based)CVE-2025-13635ダウンロードにおける不適切な実装未知
Microsoft Edge (Chromium-based)CVE-2025-13636分割ビューにおける不適切な実装未知
Microsoft Edge for iOSCVE-2025-62223Microsoft Edge(iOS版) のスプーフィング脆弱性
Microsoft Exchange ServerCVE-2025-64666権限昇格の脆弱性重要
Microsoft Exchange ServerCVE-2025-64667スプーフィング脆弱性重要
MicrosoftグラフィックスコンポーネントCVE-2025-64670Windows DirectXでの情報漏洩の脆弱性重要
Microsoft OfficeCVE-2025-62554リモートコード実行の脆弱性緊急
Microsoft OfficeCVE-2025-62557リモートコード実行の脆弱性緊急
Microsoft Office AccessCVE-2025-62552リモートコード実行の脆弱性重要
Microsoft Office ExcelCVE-2025-62560リモートコード実行の脆弱性重要
Microsoft Office ExcelCVE-2025-62563リモートコード実行の脆弱性重要
Microsoft Office ExcelCVE-2025-62561リモートコード実行の脆弱性重要
Microsoft Office ExcelCVE-2025-62564リモートコード実行の脆弱性重要
Microsoft Office ExcelCVE-2025-62553リモートコード実行の脆弱性重要
Microsoft Office ExcelCVE-2025-62556リモートコード実行の脆弱性重要
Microsoft Office OutlookCVE-2025-62562リモートコード実行の脆弱性緊急
Microsoft Office SharePointCVE-2025-64672スプーフィング脆弱性重要
Microsoft Office WordCVE-2025-62558リモートコード実行の脆弱性重要
Microsoft Office WordCVE-2025-62559リモートコード実行の脆弱性重要
Microsoft Office WordCVE-2025-62555リモートコード実行の脆弱性重要
Storvsp.sys DriverCVE-2025-64673WindowsストレージVSPドライバーでの権限昇格の脆弱性重要
Windows Camera Frame Server MonitorCVE-2025-62570情報漏洩の脆弱性重要
Windows Client-Side Caching (CSC) ServiceCVE-2025-62466権限昇格の脆弱性重要
Windows Cloud Files Mini Filter DriverCVE-2025-62457権限昇格の脆弱性重要
Windows Cloud Files Mini Filter DriverCVE-2025-62454権限昇格の脆弱性重要
Windows Cloud Files Mini Filter DriverCVE-2025-62221権限昇格の脆弱性重要
Windows Common Log File System DriverCVE-2025-62470権限昇格の脆弱性重要
Windows Defender Firewall ServiceCVE-2025-62468情報漏洩の脆弱性重要
Windows DirectXCVE-2025-62463Direct Xグラフィックスカーネルでのサービス拒否の脆弱性重要
Windows DirectXCVE-2025-62465Direct Xグラフィックスカーネルでのサービス拒否の脆弱性重要
Windows DirectXCVE-2025-62573Direct Xグラフィックスカーネルでの権限昇格の脆弱性重要
Windows DWM コアライブラリCVE-2025-64679権限昇格の脆弱性重要
Windows DWM コアライブラリCVE-2025-64680権限昇格の脆弱性重要
Windows Hyper-VCVE-2025-62567サービス拒否の脆弱性重要
Windows インストーラーCVE-2025-62571権限昇格の脆弱性重要
Windows Message QueuingCVE-2025-62455権限昇格の脆弱性重要
Windows PowerShellCVE-2025-54100リモートコード実行の脆弱性重要
Windows投影ファイルシステムCVE-2025-62464権限昇格の脆弱性重要
Windows投影ファイルシステムCVE-2025-55233権限昇格の脆弱性重要
Windows投影ファイルシステムCVE-2025-62462権限昇格の脆弱性重要
Windows投影ファイルシステムCVE-2025-62467権限昇格の脆弱性重要
Windows投影ファイルシステム フィルタドライバーCVE-2025-62461権限昇格の脆弱性重要
Windowsリモートアクセス接続マネージャーCVE-2025-62474権限昇格の脆弱性重要
Windowsリモートアクセス接続マネージャーCVE-2025-62472権限昇格の脆弱性重要
Windows Resilient File System (ReFS)CVE-2025-62456リモートコード実行の脆弱性重要
Windows Routing and Remote Access Service (RRAS)CVE-2025-62549リモートコード実行の脆弱性重要
Windows Routing and Remote Access Service (RRAS)CVE-2025-62473情報漏洩の脆弱性重要
Windows Routing and Remote Access Service (RRAS)CVE-2025-64678リモートコード実行の脆弱性重要
WindowsシェルCVE-2025-62565Windows File Explorerでの権限昇格の脆弱性重要
WindowsシェルCVE-2025-64661権限昇格の脆弱性重要
WindowsシェルCVE-2025-64658Windows File Explorerでの権限昇格の脆弱性重要
WindowsストレージVSPドライバーCVE-2025-59517権限昇格の脆弱性重要
WindowsストレージVSPドライバーCVE-2025-59516権限昇格の脆弱性重要
Windows Win32K - GRFXCVE-2025-62458権限昇格の脆弱性重要


KB5072033およびKB5071417のセキュリティアップデート以外の内容は以下の通り。
・ファイルエクスプローラーにおいて、コピー、移動、削除などのダイアログやプログレスバーがダークモードに対応しました。
・ファイルエクスプローラーのコンテキストメニューが簡素化され、共有、コピー、移動などの一般的な操作が1つのメニューにまとめられました。
・設定の「システム」>「詳細設定」から、Hyper-VやWindows Sandboxなどの仮想環境を管理できる「Virtual Workspaces」機能が追加されました。
・Windows Spotlightをデスクトップ背景に設定している場合、コンテキストメニューから背景の詳細情報を表示したり、次の背景へ切り替えたりできるようになりました。
・携帯ゲーム機向けのフルスクリーンエクスペリエンス(FSE)がより多くのデバイスで利用可能になり、コンソール風のインターフェースが提供されます。
・ハプティックフィードバック対応のペンを使用する際、ウィンドウ操作時などに振動による触覚反応が得られるようになりました。
・対応キーボードにおいてバックライトのパフォーマンスが向上し、低照度環境での視認性が改善されました。
・設定の「Bluetoothとデバイス」内に、モバイルデバイスの管理ページが追加されました。
・コントロールパネルにあったキーボードの文字リピート設定やカーソルの点滅速度設定が、設定アプリの「アクセシビリティ」へ移動しました。
・タスクバー上のアプリアイコンにカーソルを合わせた際のアニメーションが更新されました。
・タスクバーから開いているアプリのウィンドウを直接Copilotと共有し、内容について会話できる機能が追加されました。
・ウィジェットボードでデフォルトのダッシュボードを選択できるようになり、ナビゲーションバーに通知数が表示されるようになりました。
・Windows共有のドラッグトレイが複数ファイルの共有に対応しました。
・高解像度モニターにおいて、アプリが対応モードを照会する際に発生していたカクつきが改善されました。
・「Quick Machine Recovery(QMR)」機能により、設定が有効なPCで1回限りのスキャンと修復が自動実行されるようになりました。

また、Windows 10向けの拡張セキュリティ更新プログラムとしてKB5071546がリリースされました。この更新を適用すると、Windows 10のビルド番号は19045.6691に、Windows 10 Enterprise LTSC 2021は19044.6691になります。なお、Windows 10に対する新機能の追加は終了しているため、今回の更新内容はセキュリティ修正と以前の更新で発生したバグの修正に限定されています。

KB5071546には、PowerShellにおけるリモートコード実行のゼロデイ脆弱性であるCVE-2025-54100への対処が含まれています。これは「Invoke-WebRequest」コマンドを使用してウェブページを取得する際、ページに埋め込まれた悪意のあるスクリプトが実行される可能性があるというもの。対策として、Windows 10の標準であるPowerShell 5.1では同コマンド実行時にスクリプト実行のリスクを警告する確認プロンプトが表示されるように変更されました。信頼できないページに対しては「-UseBasicParsing」引数を使用することが推奨されています。

この記事のタイトルとURLをコピーする

・関連記事
中国製KVMにひっそりマイクが搭載されていることが判明、中国拠点のサーバーと通信している痕跡も - GIGAZINE

法務アシストAIツールに部外者がアクセス可能な脆弱性が存在し10万件近くの機密ファイルが閲覧可能な状態だったことが判明 - GIGAZINE

ウェブサイト上でユーザーをだましてデータを盗み出す新たな攻撃手法「SVGクリックジャッキング」が登場 - GIGAZINE

SMSフィッシングの手口が年末に向けて巧妙化、ポイント獲得や税務署の通知を装ってモバイルウォレット連携を狙う - GIGAZINE

ステルス性の高いブラウザ拡張機能で430万人がマルウェアに感染、「ShadyPanda」による7年間の攻撃で影響を受けたChrome・Edge拡張機能リストはコレ - GIGAZINE

「Amazonのブラックフライデーを装った詐欺が横行している」とAmazonが警告 - GIGAZINE

「公共Wi-Fiを避ける」「QRコードをスキャンしない」「公共のUSBポートでデバイスを充電しない」「パスワードを定期的に変更する」など時代遅れのセキュリティアドバイスを止めろと専門家グループが声を上げる - GIGAZINE

・関連コンテンツ

in ソフトウェア,   セキュリティ, Posted by log1i_yk

You can read the machine translated English article Today is the monthly Windows Update day,….