マイクロソフトは今月、WindowsとOfficeの100以上のセキュリティ欠陥を修正した。

Windowsアップデート

画像: PixieMe / Shutterstock

昨日はマイクロソフトのパッチ火曜日でした。これは、同社の製品とサービス全体にわたる大量のセキュリティアップデートがリリースされたことを意味します。具体的には、107件の新たなセキュリティ脆弱性が修正されました。

マイクロソフトは、Windows と Office の脆弱性のいくつかを重大と分類していますが、現在これらの脆弱性が悪用されている事例はないとも述べています。

修正されたセキュリティ上の欠陥の概要と、それがお客様にどのような影響を与えるかについては、引き続きお読みください。次回のパッチチューズデーは2025年9月9日です。

Windowsのセキュリティアップデート

多数の脆弱性（今回は 67 件）は、Microsoft が現在もセキュリティ更新プログラムを提供しているさまざまな Windows バージョン、つまり Windows 10、Windows 11、Windows Server に分散しています。

Windows 7およびWindows 8.1をご利用のお客様は、セキュリティアップデートを長期間受信していないため、脆弱性が残っています。システム要件を満たし、セキュリティアップデートの受信を継続できるよう、Windows 11 24H2へのアップグレードをおすすめします。

重大なWindowsの脆弱性

マイクロソフトは、グラフィカルアプリケーション用のグラフィックスデバイスインターフェイスAPIに存在するリモートコード実行（RCE）の脆弱性CVE-2025-53766と、Windowsグラフィックスコンポーネントに存在する別のRCEの脆弱性CVE-2025-50165を「緊急」と特定しました。特別に用意されたWebサイトにアクセスするだけで、ユーザーの操作なしに任意のコードを挿入して実行できます。後者の脆弱性では、攻撃者はWebページに埋め込む画像を作成するだけで済みます。

Microsoftは、Hyper-Vの3つの脆弱性を「重大」に分類しました。CVE-2025-48807はリモートコード実行（RCE）の脆弱性であり、悪用されるとゲストシステムからホスト上でコード実行が可能になります。CVE-2025-53781は、機密情報へのアクセスを可能にするデータ漏洩の脆弱性です。CVE-2025-49707は、仮想マシンが外部システムとの通信時に異なるIDを偽装できるスプーフィングの脆弱性です。

マイクロソフトは、ルーティングとリモートアクセスサービス（RRAS）における12件の脆弱性を修正しました。そのうち半分はリモートコード実行（RCE）脆弱性、残りの半分はデータ漏洩脆弱性です。いずれも高リスクに分類されています。

今回の月例パッチで既に公開されている唯一の脆弱性は、Windows Server 2025 の Kerberos に存在する CVE-2025-53779 です。特定の条件下では、攻撃者がドメインの管理者権限を取得できる可能性があります。Microsoft はこれを中程度のリスクと分類しています。

Officeのセキュリティ更新プログラム

Microsoftは、Office製品ファミリにおける18件の脆弱性を修正しました。そのうち16件はRCE脆弱性です。これらのRCE脆弱性のうち4件は、プレビューウィンドウが攻撃ベクトルとなる可能性があるため、「緊急」と分類されています。つまり、ユーザーがファイルをクリックしたり開いたりしていなくても、プレビューに表示されているファイルを介して攻撃が行われる可能性があるということです。これらの脆弱性のうち2件はWordに存在します。

Microsoftは、その他のOfficeの脆弱性を高リスクに分類しています。この場合、エクスプロイトコードが発動するには、ユーザーが用意されたファイルを開く必要があります。