認証やユーザー操作なしで悪用できる脆弱性対応を含む Microsoftが2025年8月セキュリティ更新プログラムを公開:Windowsのグラフィックス描画に関わる主要なコンポーネントが対象
Microsoftは2025年8月の月例セキュリティ更新プログラムを公開した。CVSS基本値が9.8の脆弱性対応が含まれているため早急な対応が必要だ。
Microsoftは2025年8月12日、2025年8月の月例セキュリティ更新プログラムを公開した。修正対象となった脆弱(ぜいじゃく)性の中には、更新プログラムが公開されるよりも前に詳細が一般公開されているものがあり、同社はできるだけ早期に適用するよう呼びかけている。
7月に続き、今回もCVSSのスコア「9.8」の脆弱性対応を含む
対象製品は以下の通り。なお、最新の情報はセキュリティ更新プログラムガイドリリースノートで確認できる。
- Windows 11 v24H2/v23H2
- Windows 10 v22H2
- Windows Server 2025
- Windows Server 2022/23H2
- Windows Server 2019/2016
- Microsoft Office
- Microsoft SharePoint
- Microsoft Teams
- Microsoft Exchange Server
- Microsoft Dynamics 365
- Microsoft SQL Server
- Microsoft Visual Studio
- Microsoft Azure
リリースノートによると、2025年8月のセキュリティ更新プログラムは111件のCVE(共通脆弱性識別子)で構成されている。
2025年8月のセキュリティ更新プログラムで修正した脆弱性のうち、特に深刻度が高いのは「GDI+(Graphics Device Interface Plus)のリモートコードが実行される脆弱性」(CVE-2025-53766)と「Windowsグラフィックスコンポーネントのリモートでコードが実行される脆弱性」(CVE-2025-50165)だ。認証やユーザーの操作なしで悪用できてしまう脆弱性のため、CVSS(共通脆弱性評価システム)基本値は9.8と高い。
CVE-2025-53766は、Windows GDI+のヒープバッファーオーバーフローが原因で「Windows 10 Version 1809」「Windows 10 Version 1809 21H2」「Windows 11 version 22H2」「Windows 11 version 23H2」「Windows 11 version 24H2」「Windows Server 2019」「Windows Server 2022」「Windows Server 2025」などが影響を受ける。
CVE-2025-50165は、グラフィックスコンポーネントの信頼されていないポインタ参照が原因でWindows 11 version 24H2とWindows Server 2025が影響を受ける。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
ランサムウェア攻撃被害が中小企業で増加、完全復旧できない企業が7割 「サイバーリカバリー」のポイントとは
警察庁の調査によると、ランサムウェア被害の報告件数が中小企業を中心に増加傾向にある。攻撃を完全に防げない今、求められるのはシステムやデータを復旧するプロセスを迅速化する「サイバーリカバリー」の取り組みだ。
「まさか自分が?」Windows 11のサイバー攻撃対策、いますぐ見直すべき5つの設定
「自分は怪しいサイトは見ないし、変なメールも開かないから大丈夫」、そう思っていないだろうか? しかし、サイバー攻撃は日々巧妙化しており、ちょっとした油断からターゲットにされてしまう危険性がある。そこで、本Tech TIPSでは、サイバー攻撃からWindows 11を守るために、今すぐ設定すべき5つのセキュリティ術を解説する。
シャドーAI問題への対処による安全なイノベーションの確保
AIの職場導入が急速に進む一方で、企業の承認を経ずに使われる「シャドーAI」が深刻なリスクをもたらしている。機密情報の漏えいやセキュリティ違反を引き起こす恐れがあり、CISOはその監視と管理が急務だ。本稿では、シャドーAIの実態と企業が取るべき対策について解説する。