エクスプロイト&脆弱性
2025年8月 セキュリティアップデート解説:SharePointの脆弱性を含め、Microsoft社は107件、Adobe社は68件の脆弱性に対応
今月も第2火曜日がやってきました。Microsoft社とAdobe社が最新のセキュリティアップデートを公開しました。それぞれの最新セキュリティアラートの詳細をご確認ください。リリース全体をまとめた動画(英語)もご覧いただけます。
今月も第2火曜日がやってきました。Microsoft社とAdobe社が最新のセキュリティアップデートを公開しました。それぞれの最新セキュリティアラートの詳細をご確認ください。リリース全体をまとめた動画(英語)もご覧いただけます。
2025年8月Adobe社からのセキュリティアップデート
Adobe社は、2025年8月Commerce、Substance 3D Viewer、Animate、Illustrator、Photoshop、Substance 3D Modeler、Substance 3D Painter、Substance 3D Sampler、InDesign、InCopy、Substance 3D Stager、FrameMaker、Dimensionに関して、合計68件の脆弱性に対応する13件のセキュリティ情報を公開しました。
優先的に対応するのであれば、まずCommerceのアップデートから始めるのがよいでしょう。これは6件の脆弱性を修正しており、優先度は2に設定されています。InCopyのパッチには8件の不具合修正が含まれており、いずれも「緊急」の評価でリモートコード実行につながる可能性があります。InDesignの修正は規模が大きく、14件の脆弱性が対象となっています。そのうち12件が「緊急」の評価です。Substance 3D Modelerの修正も規模が大きく、13件の脆弱性に対応していますが、そのほとんどは「重要」の評価です。Substance 3D Painterの修正も同様で、9件の脆弱性のうち「緊急」の評価は1件のみです。Substance 3D Stagerのパッチでは2件の脆弱性を修正し、そのうち1件が「緊急」の評価です。Substance 3D Samplerの修正は、「重要」の評価の脆弱性1件に対応するものです。Substance 3Dファミリーの最後はSubstance 3D Viewerで、「緊急」の評価の脆弱性が2件修正されています。
Animateの修正は2件で、そのうち1件が「緊急」の評価です。Illustratorのパッチには4件の修正が含まれ、そのうち2件は任意のリモートコード実行につながります。Photoshopの単独修正もリモートコード実行の恐れがある脆弱性に対応したもので、いずれも典型的な「開くだけで乗っ取られる」タイプの脆弱性です。FrameMakerのパッチには5件の脆弱性修正が含まれています。今月のAdobe社による最後のパッチはDimensionで、「重要」に評価された脆弱性1件に対応するものです。
今月Adobe社が修正した脆弱性は、リリース時点で周知されているものや実際に悪用されているものはありません。Commerceのパッチを除き、すべてのアップデートの展開優先度は3に設定されています。
2025年8月Microsoft社からのセキュリティアップデート
今月、Microsoft社はWindowsおよびWindowsコンポーネント、OfficeおよびOfficeコンポーネント、Microsoft Edge(Chromiumベース)、Azure、GitHub Copilot、Dynamics 365、SQL Server、Hyper-V Serverに関して、合計107件という非常に多くの新たな脆弱性対応を公開しました。このうち7件はTrend ZDIプログラムを通じて報告されたものです。
今回リリースされたパッチのうち、12件が「緊急」の評価され、2件が「中」、1件が「低」、残りは「重要」となっています。これにより、件数としては昨年よりやや多く、2020年以来最多の修正件数となりました。ただし、今年の総件数が2020年を超える可能性は低いと見られます。
Microsoft社は、リリース時点で1件の脆弱性が周知されていたとしていますが、実際に悪用されているとの情報はありません。ここからは、今月のアップデートの中でも特に注目すべき修正について見ていきます。まずはCVSSスコア9.8と評価された脆弱性からです。
CVE-2025-53766 - GDI+ リモートコード実行の脆弱性
前述のとおり、この脆弱性はCVSS 9.8と評価されており、悪意のあるウェブページを閲覧するだけでコードが実行される可能性があります。攻撃者は特別に細工したメタファイルを文書内に埋め込み、標的にそのファイルを開かせることも可能です。最悪のケースでは、攻撃者が広告ネットワーク経由で細工したコンテンツをアップロードし、それがユーザに配信されるというシナリオも考えられます。広告ブロッカーは単に煩わしい広告を除去するだけでなく、悪意ある広告から保護する役割も持っています。このような事例は稀ですが、過去に発生しています。GDI+は多くのコンポーネントに関わっており、ユーザは何でもクリックしてしまう傾向があるため、この修正は早急にテストと展開を行うことを推奨します。
CVE-2025-50165 - Windows グラフィックスコンポーネントのリモートコード実行の脆弱性
いわゆる「閲覧するだけで乗っ取られる」タイプに該当する脆弱性であり、こちらもCVSS 9.8と評価されています。特別に細工された画像を表示するだけでコード実行につながる可能性があります。このタイプの脆弱性はセキュリティリサーチャーから常に注目を集めるため、今回「悪用される可能性は低い」とされていても、重要なパッチとして早急な展開を検討するべきです。
CVE-2025-53731 / CVE-2025-53740 - Microsoft Office リモートコード実行の脆弱性
少なくとも1つのOfficeコンポーネントでプレビューウィンドウを通じたコード実行が可能となる事例は、これで7か月連続となります。これだけ多くの異なるコンポーネントが影響を受けていることから、すべてがパッチ回避によるものとは考えにくく、むしろこれまであまり精査されてこなかったコードを攻撃者が調べて、有効な脆弱性を見つけ出しているように見えます。Microsoft社のセキュリティ担当者がこの問題を解決するまでの間、一時的にプレビューウィンドウを無効化することも検討するべきかもしれません。
CVE-2025-49712 - Microsoft SharePoint リモートコード実行の脆弱性
SharePointの脆弱性は、先月から間違いなく注目の的となっており、複数の米国政府機関がこの製品を狙った攻撃を受けています。この脆弱性は現時点で実際に悪用されているとはされていませんが、既存の攻撃の第2段階で利用されている脆弱性と同じタイプです。第1段階は認証バイパスであり、この脆弱性は認証が必要ですが、すでに複数の認証バイパス手法が公に知られており、修正も提供されています。SharePointのパッチは、すべて最新の状態に保ち、インターネットから直接アクセス可能な状態にしておく構成は再検討することを強く推奨します。
その他の脆弱性
「緊急」に分類された脆弱性
残りの「緊急」関連のパッチを見ると、Word向けが2件あり、いずれも攻撃経路としてプレビューウィンドウが含まれています。Hyper-Vには「緊急」の脆弱性が3件あり、そのうち1件は依然として詳細が不明な「機密情報」の漏洩を引き起こす可能性があります。もう1件は、仮想マシンが外部システムとの通信で自身のアイデンティティを偽装できるというものです。さらにもう1件は、ゲストOSからハイパーバイザー上でコード実行が可能になる脆弱性です。Azure Stackの脆弱性も、攻撃者がネットワーク経由で情報を漏洩させることを可能にします。DirectX Graphics Kernelには魅力的なコード実行の脆弱性がありますが、こちらは認証が必要です。
NTLMに関する脆弱性は興味深いケースで、認証済みの攻撃者がネットワーク越しに権限昇格できるというものです。このタイプの脆弱性は、通常はローカル環境での悪用例として見ることが多いものです。最後に、Windows Message Queuing(MSMQ)コンポーネントにはUse-After-Freeの脆弱性があります。この場合、攻撃者は特別に細工されたMSMQパケットをHTTP経由で対象サーバに高速かつ連続的に送信する必要があります。攻撃者はレースコンディションを制する必要がありますが、Pwn2Ownでレースコンディションを突いた脆弱性が成功した例は数多くあるため、その点だけに安心しないことが重要です。
リモートコード実行関連
これまでに説明したものを含め、今月修正されたリモートコード実行の脆弱性は30件以上にのぼります。Officeコンポーネントのうち「緊急」ではなく「重要」の評価のものは、攻撃経路としてプレビューウィンドウを使用せず、「開くだけで乗っ取られる」タイプの脆弱性です。今月もRRASに関する修正が含まれていますが、これらが実際に野放し状態で悪用されるのを待っているわけではありません。MSMQにはさらに3件の脆弱性がありますが、その説明は先に触れた緊急評価のものとほぼ同じで、なぜこれらが重要評価にとどまっているのかは不明です。
Web Deploy(msdeploy)を使用している場合は、早急にテストと展開を行うことが推奨されます。認証されていない攻撃者でも、特別に細工されたリクエストを対象サーバに送信するだけでリモートコード実行が可能になるためです。SMBの脆弱性は、ユーザがSMBサーバへの接続を開始する必要があり、通常はメール内のリンクをクリックすることで誘発されます。Teamsにおける脆弱性はZDI経由で報告されたもので、リアルタイムメディアマネージャに存在します。問題はユーザからの入力データを適切に検証していないことにあり、その結果、メモリへの書き込み前に整数アンダーフローが発生する可能性があります。Desktop Windows Managerの脆弱性は認証が必要で、ローカル権限昇格(LPE)に近い内容です。最後に、GitHub CopilotおよびVisual Studioに存在するAI関連のコード実行の脆弱性があります。これはユーザがペイロードを実行する必要があるため、何らかのソーシャルエンジニアリングが関与することになります。それでも、AIに関する脆弱性という点で注目されます。
特権昇格関連
7月のリリースには、40件を超える特権昇格の脆弱性が含まれています。幸い、これらの多くは認証済みユーザが特別に細工したコードを実行した場合に、SYSTEMレベルのコード実行や管理者権限の取得につながるものです。SQL Serverの脆弱性は、攻撃者がsysadmin権限を取得できる可能性があり、パッチ適用時には特に注意が必要です。完全に保護されるよう、バージョン番号をしっかり確認することが重要です。Hyper-Vの脆弱性は、攻撃者がローカルシステムのセキュリティコンテキストで任意のファイル内容を上書きできる可能性があります。SharePointの脆弱性は、攻撃者が侵害されたユーザの権限を取得することを許します。Push Notificationsにある4件の脆弱性は、サンドボックスからの脱出を可能にします。Connected Devices Platform Serviceの脆弱性は、Medium Integrity LevelからLocal Serviceへの特権昇格を許します。Desktop Windows Managerの脆弱性については、攻撃者が「システムリソース」にアクセスでき、それがさらなる侵害につながる可能性があるとだけ記載されています。StateRepository API Serverファイルにおける特権昇格の脆弱性は、影響を受けるアプリケーションを実行しているユーザの権限にアクセスできる可能性があります。最後に、Exchange管理者には作業が残されています。Microsoft社は4月にホットフィックスをリリースしており、今回その変更が正式なものとなります。Exchange Serverおよびハイブリッド環境において、ホットフィックスを適用し、必要な変更を実装する必要があります。
情報漏洩関連
8月のリリースでは、10件以上の情報漏洩に関するパッチが含まれています。予想通り、その多くは特定されていないメモリ内容やメモリアドレスといった情報の漏洩にとどまります。これらはシステム上のコンポーネントを悪用する際には有用な情報となりますが、それ以外では特筆すべきものではありません。いくつかの例外もあります。Exchangeにおける情報漏洩の脆弱性は、攻撃者がメールアドレスの有効性を判別できるようにします。MSDTCおよびDynamics 365に存在する脆弱性は、短期間しか有効でない「機密情報」を漏らす可能性があります。Azureに存在する脆弱性の1つは公開されており、デプロイメントAPIやシステム内部構成が漏れる可能性があります。Azure Stack Hubにおける脆弱性はさらに深刻で、ログ内に管理者アカウントのパスワードが漏れる可能性があります。
サービス拒否(DoS攻撃)関連
今回のリリースでサービス拒否(DoS)に関するパッチはわずか4件です。ただし、Microsoft社はこれらの脆弱性について実用的な情報を提供しておらず、「攻撃者がネットワーク経由でそのコンポーネントにサービス拒否を行う可能性がある」としか記載していません。唯一の例外はHyper-Vの脆弱性で、この場合、権限の低いゲストVMがHyper-Vホスト環境にサービス拒否を行うことが可能です。
なりすまし関連
今月のリリースに含まれるなりすまし関連の脆弱性に目を移すと、Remote Desktopの脆弱性は認可バイパスとして現れます。File Explorerの脆弱性については、ユーザ操作が必要であること以外はほとんど明らかになっていません。Security Appの脆弱性についても明確な情報はありませんが、攻撃者がSecurity Appの保護を回避できる可能性があると推測されます。Exchangeにおけるなりすまし脆弱性はやや明確で、これらの脆弱性により、攻撃者はユーザに表示されるメールアドレス「5322.From」を偽装することが可能となり、ソーシャルエンジニアリングに便利な手口となります。最後に、Edgeにおけるなりすまし脆弱性は、トラフィックのリダイレクトを可能にします。
改ざん関連
Microsoft Exchangeには改ざんに関する脆弱性が1件ありますが、Microsoft社が提供している情報は「認証済みの攻撃者がネットワーク経由で改ざんを行う可能性がある」というものだけです。推測するに、受信トレイやカレンダーを操作できる可能性があるのかもしれませんが、詳細は不明です。
クロスサイトスクリプティング関連
8月のリリースの締めくくりとして、Dynamics 365におけるクロスサイトスクリプティングの脆弱性が1件含まれています。
今月は新しいアドバイザリの公開はありません。
次回のセキュリティアップデート
次回のパッチチューズデーは2025年9月9日です。それでは次回まで、今回の更新プログラムを適用してシステムを最新化しておくことを推奨します。
Microsoft社2025年8月発表の全リスト
2025年8月にMicrosoft社が発表した脆弱性(CVE)の全リストはこちらご参照ください。
参考記事:
The August 2025 Security Update Review
By: Dustin Childs, Zero Day Initiative
翻訳:与那城 務(Platform Marketing, Trend Micro™ Research)