Microsoft、2025年4月の月例パッチでゼロデイを含む134件の脆弱性を修正

2025年4月のMicrosoftの月例セキュリティ更新プログラム（Patch Tuesday）では、合計134件の脆弱性が修正されました。そのうち11件が”Critical（緊急）”に分類されており、1件はすでに悪用が確認されているゼロデイ脆弱性です。

ゼロデイ脆弱性：CVE-2025-29824

特に注目されるのは、「Windows Common Log File System Driver（CLFS）」に存在したゼロデイ脆弱性（CVE-2025-29824）です。この脆弱性は「Use After Free」型で、ローカルの認証済み攻撃者がSYSTEM権限を奪取できる恐れがあり、RansomEXXランサムウェアグループによってすでに悪用されていたことが報告されています。CISA（米サイバーセキュリティ・インフラセキュリティ庁）はこの脆弱性を「既知の悪用済み脆弱性カタログ」に追加し、4月29日までにパッチを適用するよう呼びかけています。

主な緊急レベルの修正項目

以下のようなリモートコード実行（RCE）に関する深刻な脆弱性も多数修正されました：

• CVE-2025-26686：Windows TCP/IPのRCE。レースコンディションの問題により、ネットワーク経由でのコード実行が可能。
• CVE-2025-27491：Windows Hyper-VのRCE。Use After Free脆弱性。
• CVE-2025-27752、CVE-2025-29791：Microsoft Excelのバッファオーバーフローおよび型混乱によるRCE。
• CVE-2025-27480、CVE-2025-27482：Remote Desktop GatewayのRCE。
• CVE-2025-26663、CVE-2025-26670：LDAPクライアントにおけるRCE。
• CVE-2025-27745、CVE-2025-27748、CVE-2025-27749：Microsoft OfficeにおけるUse After Free脆弱性。

脆弱性の種類別内訳

• 権限昇格：49件
• セキュリティ機能のバイパス：9件
• リモートコード実行：31件
• 情報漏洩：17件
• サービス拒否（DoS）：14件
• スプーフィング：3件

対象製品

今回のアップデートは、Windows 10/11、Windows Server、Microsoft Edge（Chromiumベース）、Office、Visual Studio、Kerberos、Hyper-V、LDAPなど広範囲な製品を対象としています。Microsoft Edgeのみに関する脆弱性も13件が含まれており、Edgeユーザーもアップデートが推奨されます。

適用の推奨

特にゼロデイ脆弱性やRCEに該当する項目については、被害が発生する前に早急にパッチを適用することが重要です。Microsoftは、Windows 10の一部バージョンについては現在更新が未提供であることを明記しており、後日改めて提供される予定です。

IT管理者やセキュリティ担当者は、早急に自社環境の脆弱性管理を見直し、未適用のパッチがないかを確認する必要があります。