出版
アフィリエイトリンクまたはスポンサーシップを通じて、ベンダーから収益を得る場合があります。これにより、サイト上の商品配置が影響を受ける可能性がありますが、レビューの内容には影響しません。詳細は利用規約をご覧ください。
Microsoft の月次パッチには、Hyper-V NT カーネル統合 VSP、Visual Studio の Git などが含まれます。
Microsoftの最新のセキュリティパッチには、特定のWindowsカーネルの脆弱なドライバーに対するブラックリストの拡張と、複数の権限昇格脆弱性の修正が含まれています。2025年1月のセキュリティ更新プログラムでは、159件の脆弱性が修正されました。
ソフトウェアを最新の状態に保つには、セキュリティパッチを適用する必要があります。ただし、初期バージョンのパッチは信頼性が低い場合があり、慎重に検討し、まずはテスト環境で適用する必要があります。
マイクロソフトが脆弱なドライバーのブラックリストを更新
Windows 11 バージョン 24H2 の 2025 年 1 月のセキュリティ更新プログラムでは、脆弱なドライバーのリストが拡張され、BYOD(Bring Your Own Vulnerable Driver)攻撃に悪用される可能性があります。カーネルドライバーの BYOVD 脆弱性により、脅威アクターがカーネルにマルウェアを侵入させる可能性があります。
Microsoft が推奨するドライバー ブロック ルールによると、「脆弱なドライバー ブロックリストは、Windows エコシステム全体で Microsoft 以外が開発したドライバーに対してシステムを強化するために設計されています」。
Windows Hyper-V NTカーネル統合VSPの脆弱性が修正されました
マイクロソフトは、既に悪用されている3つのWindows Hyper-V NTカーネル統合VSPの特権昇格脆弱性(CVE-2025-21333、CVE-2025-21334、CVE-2025-21335)に対するパッチをリリースしました。これらの脆弱性のいずれかが悪用された場合、攻撃者にSYSTEM権限が付与される可能性があります。
参照: 従業員がセキュリティ提案を無視することは、企業にとって依然として大きな懸念事項です。
いくつかの脆弱性はCVSSの深刻度スコアで高いスコアを獲得している
今回のアップデートに含まれるその他の重要なCVEには、Microsoft Outlookでリンクを可能にする技術であるObject Linking and Embeddingにおけるリモートコード実行の脆弱性が含まれています。この脆弱性の深刻度は9.8ですが、実際に悪用された事例は確認されていません。
同様に、NTLMv1プロトコルにおける権限昇格の脆弱性は、評価が9.8ですが、公開された悪用事例はありません。3つ目のリスクは、Windows Reliable Multicast Transport Driverにおけるリモートコード実行の脆弱性で、評価は9.8で、1月に修正されています。
Citrixコンポーネントが1月のセキュリティアップデートのインストールを妨げる可能性がある
マイクロソフトは、Citrixコンポーネントを搭載したコンピューターを使用しているユーザーは、2025年1月のWindowsセキュリティアップデートをインストールできない可能性があると指摘しました。マイクロソフトとCitrixは現在修正に取り組んでおり、Citrixは回避策を提供しています。
その他の脆弱性に対するダウンロードまたは自動パッチが利用可能
Microsoftは、最新のWindows 11ビルドにいくつかの問題があることを認識しています。2024年10月のセキュリティ更新プログラムをインストールしたユーザーの場合、OpenSSH(Open Secure Shell)が開かない可能性があります。Microsoftは修正プログラムをリリースしました。一方、Armユーザーは、現時点ではWindows上のMicrosoft Store経由ではなく、ビデオゲームRobloxに直接アクセスすることしかできません。
1月7日、MicrosoftはPowerPoint 2016のアップデートをリリースしました。PowerPointでOLEが自動的に読み込まれ、インスタンス化される問題を修正しました。Microsoft Updateをご利用のユーザーは、パッチを自動的に受け取るか、手動でダウンロードすることができます。
マイクロソフトは1月に、自社のエコシステム外から1つのパッチを公開しました。Microsoft Visual StudioのGitにおける情報漏洩の脆弱性であるCVE-2024-50338が修正されました。この脆弱性により、Visual Studioユーザーの機密情報や特権情報が漏洩する可能性があります。
こちらもご覧ください
- 2025 年のオープンソース ソフトウェア セキュリティの今後はどうなるのでしょうか?
- パッチチューズデーとは?マイクロソフトの月例アップデート解説
- 2025年にカレンダーに追加すべきトップテックカンファレンス&イベント
- サイバーセキュリティ:さらに読むべき記事
ミーガン・クラウス
メーガン・クラウスは、B2Bニュースおよび特集記事の執筆で10年の経験を有し、Manufacturing.netのライター、そして後に編集者として活躍しました。彼女のニュース記事や特集記事は、Military & Aerospace Electronics、Fierce Wireless、TechRepublic、eWeekに掲載されています。また、Security Intelligenceではサイバーセキュリティに関するニュースや特集記事の編集も担当しました。フェアリー・ディキンソン大学で英文学の学位を取得し、クリエイティブライティングを副専攻しました。
