「Microsoft SQL Server」利用者は要注意 Microsoftが2025年7月の月例セキュリティ更新プログラムを公開:CVSSスコア「9.8」の脆弱性対応も含む
Microsoftは、2025年7月の月例セキュリティ更新プログラムを公開した。130件の脆弱性に対する修正が含まれており、中でも「Microsoft SQL Server」のゼロデイ脆弱性は公開前に情報が出ていたため、特に早急な対応が必要だ。
Microsoftは2025年7月8日、2025年7月の月例セキュリティ更新プログラムを公開した。「Remote Desktop client for Windows Desktop」「Microsoft Office」「Microsoft SharePoint」「Microsoft SQL Server」などが「緊急」とされていることからできるだけ早期に更新プログラムを適用する必要がある。
CVSSのスコアが「9.8」の脆弱性対応を含む
対象製品は以下の通り。なお、最新の情報はセキュリティ更新プログラムガイドリリースノートで確認できる。
- Windows 11 v24H2/v23H2
- Windows 10 v22H2
- Windows Server 2025
- Windows Server 2022/23H2
- Windows Server 2019/2016
- Remote Desktop client for Windows Desktop
- Microsoft Office
- Microsoft SharePoint
- Microsoft SQL Server
- Microsoft Visual Studio
- Microsoft Azure
リリースノートによると、2025年7月のセキュリティ更新プログラムは130件のCVE(共通脆弱〈ぜいじゃく〉性識別子)で構成されている。
修正対象の脆弱性のうち特に、「CVE-2025-47981」(クライアントとサーバの認証方式を選択する仕組みである「SPNEGO Extended Negotiation <NEGOEX> Security Mechanism」のリモートコード実行の脆弱性)は、CVSS(共通脆弱性評価システム)のスコアが「9.8」と非常に高く、認証やユーザー操作なしで悪用可能なため、早急なパッチ適用が強く推奨されている。
CVE-2025-49719はSQL Serverの不適切な入力バリデーションが原因で、認証されていない攻撃者がネットワーク経由でSQL Serverの未初期化メモリなどを取得できる脆弱性だ。パッチ公開前に脆弱性情報が公開された、いわゆる「ゼロデイ脆弱性」となるため、こちらも対応の優先度は高い。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
APIセキュリティ徹底ガイド 脅威に備えるための「13の実践ポイント」を解説
TechTargetは「APIセキュリティのベストプラクティス」に関する記事を公開した。APIセキュリティを確保するために有用な13個の施策を紹介している。
なぜ「セキュリティのシフトレフト」が下火になったのか、ネガティブじゃないその理由 Dockerが解説
Dockerは、「The 2025 Docker State of Application Development Report」の中から、セキュリティに関する調査結果の概要を抜粋し、ブログで紹介した。
外部公開資産から内部サーバまで、企業の脆弱性を徹底診断するサービス ソフトクリエイトが提供開始
ソフトクリエイトは2025年6月12日、サーバやネットワーク機器の脆弱性を診断するサービス「SCSmart プラットフォーム診断」の提供を開始した。1つのIPアドレスから診断可能で、外部公開資産から内部サーバまで幅広く対応するという。