マイクロソフトは、攻撃者がネットワーク経由でコードを実行できる可能性がある、グラフィック コンポーネントにおける「極めて高リスク」のメモリ破損の脆弱性である CVE-2025-50165 を修正しました。
マイクロソフトは8月12日、製品全体にわたる100件以上の脆弱性を修正するセキュリティアップデートをリリースしました。そのうち13件は「緊急」と評価されています。これらのパッチには、「極めて高いリスク」とされるグラフィックコンポーネントの脆弱性と、AzureのOpenAIサービスにおける最も深刻度の高い脆弱性の修正が含まれています。
「今月のリリースは、コード実行バグよりも侵害後の脆弱性の増加傾向を浮き彫りにしています」と、TenableのシニアスタッフリサーチエンジニアであるSatnam Narang氏はTechRepublicへのメールで述べています。「2ヶ月連続で、権限昇格の脆弱性が今月パッチ適用されたCVEの大部分を占め、39.3%(7月は41.4%)となりました。」
1セムペリス
企業規模
企業規模ごとの従業員数
マイクロ(0~49)、スモール(50~249)、ミディアム(250~999)、ラージ(1,000~4,999)、エンタープライズ(5,000以上)
小規模(従業員50~249名)、中規模(従業員250~999名)、大規模(従業員1,000~4,999名)、エンタープライズ(従業員5,000名以上) 小規模、中規模、大規模、エンタープライズ
特徴
高度な攻撃検出、高度な自動化、どこからでも復旧など
2 ManageEngine Log360
企業規模
企業規模ごとの従業員数
マイクロ(0~49)、スモール(50~249)、ミディアム(250~999)、ラージ(1,000~4,999)、エンタープライズ(5,000以上)
小規模企業(従業員数0~49名)、小規模企業(従業員数50~249名)、中規模企業(従業員数250~999名)、大規模企業(従業員数1,000~4,999名)、エンタープライズ企業(従業員数5,000名以上) 小規模企業、小規模企業、中規模企業、大規模企業、エンタープライズ企業
特徴
アクティビティ監視、ブラックリスト、ダッシュボードなど
3グレイログ
企業規模
企業規模ごとの従業員数
マイクロ(0~49)、スモール(50~249)、ミディアム(250~999)、ラージ(1,000~4,999)、エンタープライズ(5,000以上)
中規模企業(従業員数250~999名)、大規模企業(従業員数1,000~4,999名)、エンタープライズ企業(従業員数5,000名以上) 中規模企業、大規模企業、エンタープライズ企業
特徴
アクティビティモニタリング、ダッシュボード、通知
メモリ破損の脆弱性は「極めて高いリスク」と判断
マイクロソフトが今月修正した主要な脆弱性には、CVE-2025-50165が含まれます。Action1のCEO兼共同創設者であるアレックス・ヴォフク氏は、これを「極めて高いリスク」と評しました。
Vovk氏はTechRepublicへの電子メールで、「これは、オペレーティングシステムの画像処理パイプラインのコアレベルで発生するため、特に危険なメモリ破損の脆弱性であり、多くのアプリケーションやサービスに影響を及ぼす」と述べた。
CVE-2025-50165はMicrosoft Graphics Componentに影響を及ぼし、信頼されていないポインタ参照により、攻撃者がネットワーク経由でコードを実行できる可能性があります。Microsoftはこの脆弱性が悪用される可能性は「低い」と述べていますが、Vovk氏はCVSSスコアが9.8であることと、「攻撃条件の完璧な組み合わせ(ネットワークベクトル、低複雑性、権限不要、ユーザー操作不要)」が、この脆弱性を高優先度としていると述べています。
「これは、オペレーティングシステムの画像処理パイプラインのコアレベルで発生し、多くのアプリケーションやサービスに影響を及ぼすため、特に危険なメモリ破損の脆弱性です」とVovk氏は述べた。
Immersive の主任サイバーセキュリティエンジニアである Ben McCarthy 氏もこの脆弱性を指摘しました。
「攻撃ベクトルは極めて広範囲にわたります。この脆弱性は、OSが特別に細工されたJPEG画像を処理する際に発動されるからです」とマッカーシー氏はTechRepublicへのメールで述べています。「つまり、画像をレンダリングするあらゆるアプリケーション、つまりプレビューを生成するメールクライアントや写真を表示するインスタントメッセージアプリ、画像が埋め込まれたオフィス文書など、あらゆるものが攻撃の標的になり得るのです。」
マイクロソフト、Azure OpenAI の権限昇格リスクを解消
今月修正されたもう 1 つの脆弱性 (CVE-2025-53767) は、Azure の OpenAI サービスにおける権限昇格の脆弱性で、最大 CVSS スコアは 10 です。
「Azure OpenAI以降、エンドユーザーは何もする必要はありません。MicrosoftがAzureプラットフォームの脆弱性に対処しているからです。しかし、これはAIテクノロジーにも、組織のスタックにある他のテクノロジーと同様に、綿密な監視、慎重なパッチ適用、強力なガードレールが必要であることを浮き彫りにする興味深い指摘です」と、インテリジェンスソリューションハウスNightwingのサイバーインシデント対応マネージャー、ニック・キャロル氏はTechRepublicへのメールで述べています。
マイクロソフトが今回のパッチ火曜日に対処した追加の脆弱性
今月修正されたその他の注目すべき脆弱性は次のとおりです。
- CVE-2025-53766: Windows GDI+ のヒープベースのバッファ オーバーフロー。CVSS スコアは 9.8 で、使用にユーザーの操作は必要ありません。
- CVE-2025-53740およびCVE-2025-53731: Microsoft Office における 2 つの解放後使用の脆弱性。
- CVE-2025-53784: Microsoft Word のメモリ使用後の脆弱性により、攻撃者が現在のユーザーとしてコードを実行できる可能性があります。
- CVE-2025-53733:任意のコード実行につながる可能性のある、Microsoft Word の重大な脆弱性。
- CVE-2025-53786:修正プログラムを手動でインストールする必要がある Microsoft Exchange Server の脆弱性。
- CVE-2025-53778: Windows NTLM における権限昇格の脆弱性。
パッチ火曜日のお知らせと今後の Windows 10 の変更点
パッチチューズデーは、組織にとってMicrosoft製品に関連するすべてのアップデートが適用されていることを確認するための重要な機会です。SAPやCISAなどの他のベンダーも、8月の第2火曜日にセキュリティアドバイザリやパッチをリリースしています。
Windows 10 は、10 月 14 日の Patch Tuesday 以降、無料のセキュリティ アップデートを受けられなくなります。ユーザーは、新しいバージョンに移行するか、Microsoft の Extended Security Updates プログラムに登録して保護を維持することができます。
その他のセキュリティ関連ニュースでは、WinRAR の欠陥を悪用した攻撃が、ロシアに関連する 2 つの脅威グループによるものであることが判明しました。
