1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. 情報セキュリティ
  4. Microsoft、2025年8月の定例パッチで107件の脆弱性を修正 -CVSS 9.8のRCE含む重大バグ多数(CVE-2025-53779)

Microsoft、2025年8月の定例パッチで107件の脆弱性を修正 -CVSS 9.8のRCE含む重大バグ多数(CVE-2025-53779)

セキュリティニュース

投稿日時: 更新日時:

Microsoft、2025年8月の定例パッチで107件の脆弱性を修正 -CVSS 9.8のRCE含む重大バグ多数(CVE-2025-53779)

米Microsoftは2025年8月の月例セキュリティ更新(Patch Tuesday)で、Windows、Office、Hyper-V、Azure、SQL Server、GitHub Copilotなど同社製品全般にわたる107件の脆弱性を修正しました。このうち12件は重大(Critical)、1件は中程度(Moderate)、1件は低(Low)、残りは重要(Important)と評価されています。
修正対象にはTrend MicroのZero Day Initiative(ZDI)経由で報告された7件も含まれます。

公開済みゼロデイは1件

今回修正された脆弱性のうち、CVE-2025-53779(Windows Kerberos権限昇格)は公開済みゼロデイとして報告されています。
この不具合はWindows Kerberosにおける相対パス・トラバーサルにより、認証済みの攻撃者がドメイン管理者権限を取得できる可能性があり、AkamaiのYuval Gordon氏によって発見・報告されました。

特に注意すべき高深刻度RCE

今回のパッチには、CVSSスコア9.8の遠隔コード実行(RCE)脆弱性が複数含まれています。

  • CVE-2025-53766(GDI+ RCE)
    悪意あるWebページの閲覧や細工されたドキュメントを開くだけでコード実行が可能。広告ネットワーク経由で拡散されるケースも想定され、ZDIは迅速な適用を推奨。

  • CVE-2025-50165(Windows Graphics Component RCE)
    特殊な画像ファイルを表示するだけでRCEが可能になる脆弱性。Microsoft評価は「重要」だが、実質的にはクリティカル相当。

  • CVE-2025-53731 / CVE-2025-53740(Microsoft Office RCE)
    Officeのプレビューウィンドウ経由でコード実行が可能。7か月連続で同種の脆弱性が確認されており、必要に応じてプレビュー機能の無効化を検討すべきとZDIは指摘。

  • CVE-2025-49712(SharePoint RCE)
    認証が必要だが、既知の認証バイパスと組み合わせることで危険度が増す。最近の米政府機関攻撃で悪用された手口に類似。

その他、Hyper-VやAzure Stack Hubの重大な情報漏えい・RCE脆弱性も含まれています。

修正件数の内訳

Microsoftと各種セキュリティベンダーのまとめによると、8月の修正は以下の通りです。

  • 権限昇格(EoP):44件

  • RCE:35件

  • 情報漏えい:18件

  • サービス拒否(DoS):4件

  • なりすまし(Spoofing):9件

  • 改ざん(Tampering):1件

  • XSS:1件

管理者への推奨対応

  • GDI+(CVE-2025-53766)やWindows Graphics(CVE-2025-50165)などのRCEパッチは最優先で適用

  • SharePoint、Hyper-V、SQL Serverなど、サーバー側製品のアップデートは全て実施

  • Officeのプレビューウィンドウ経由RCEの継続的発生を踏まえ、一時的なプレビュー無効化も検討

  • 公開済みゼロデイ(CVE-2025-53779)の修正は早急に適用

Microsoftは「現時点で積極的な悪用は確認されていない」としていますが、ZDIは「ブラウザ閲覧のみで感染可能な“browse-and-own”型脆弱性が複数含まれており、攻撃研究者の注目を集める可能性が高い」と警告しています。
次回のPatch Tuesdayは2025年9月9日に予定されています。

一部参照

https://www.zerodayinitiative.com/blog/2025/8/12/the-august-2025-security-update-review

関連記事

Microsoft SharePointの深刻な脆弱性に対する攻撃が活発化 PoCも公開(CVE-2025-53770,CVE-2025-53771,CVE-2025-49704,CVE-2025-49706)Microsoft SharePointの深刻な脆弱性に対する攻撃が活発化 PoCも公開(CVE-2025-53770,CVE-2025-53771,CVE-2025-49704,CVE-2025-49706) SharePointで危険性の高い脆弱性-既に悪用も確認(CVE-2025-53770,CVE-2025-53771)Microsoft SharePointで危険性の高い脆弱性-既に悪用も確認(CVE-2025-53770,CVE-2025-53771) MicrosoftのSharePoint 脆弱性は中国系ハッカーに悪用され、バグ修正も中国拠点のエンジニアが実施MicrosoftのSharePoint 脆弱性は中国系ハッカーに悪用され、バグ修正も中国拠点のエンジニアが実施 Microsoft Office(マイクロソフト オフィス) 2016/2019がサポート終了に到達 いま取るべき対応と移行先まとめMicrosoft Office(マイクロソフト オフィス) 2016/2019がサポート終了に到達 いま取るべき対応と移行先まとめ Microsoft、2025年4月の月例パッチでゼロデイを含む134件の脆弱性を修正Microsoft、2025年4月の月例パッチでゼロデイを含む134件の脆弱性を修正 FortiWebのFabric Connectorに重大なSQLインジェクション脆弱性、POC公開とRCE成功の技術検証(CVE-2025-25257)FortiWebのFabric Connectorに重大なSQLインジェクション脆弱性、POC公開とRCE成功の技術検証(CVE-2025-25257) QNAPがPwn2Own 2025で突かれた複数の脆弱性を修正(CVE-2025-62847、CVE-2025-62848、CVE-2025-62849)QNAPがPwn2Own 2025で突かれた複数の脆弱性を修正(CVE-2025-62847、CVE-2025-62848、CVE-2025-62849) Microsoft、7月の月例パッチで緊急性の高い脆弱性を多数修正 - 特にNEGOEX脆弱性に注意(CVE-2025-47981)Microsoft、7月の月例パッチで緊急性の高い脆弱性を多数修正、特にNEGOEX脆弱性に注意(CVE-2025-47981) Microsoftの2025年10月「月例パッチ」—172件の修正と6件のゼロデイ、Windows 10は最終配布にMicrosoftの2025年10月「月例パッチ」—172件の修正と6件のゼロデイ、Windows 10は最終配布に