マイクロソフトは2025年4月のセキュリティ更新プログラムをリリース。ゼロデイ脆弱性1件を含む、システム全体で134件の悪意のあるバグを修正しました。
Windowsおよびマイクロソフトのユーザーは、今すぐデバイスが最新のパッチ・最新の状態になっていることを確認しましょう!
2025年4月のパッチチューズデーアップデート
今月修正された脆弱性の1つは「ゼロデイ脆弱性」、つまり開発者によって公式パッチがリリースされる前に悪用または公開されてしまったバグでした。
現在悪用されている脆弱性(CVE-2025-29824)は、WindowsのCommon Log File System (CLFS)という仕組みに問題があり、それを悪用すると、本来できないはずの操作(たとえば管理者権限での実行)ができてしまう危険性がある……「特権昇格の脆弱性」と呼ばれるタイプの脆弱性なんです。
マイクロソフトのセキュリティチーム「Threat Intelligence Center」が見つけたこの問題を使って、攻撃者はパソコンの中で一番強い権限(SYSTEM権限)を手に入れることができました。
Bleeping Computerによると、RansomEXXというランサムウェアの犯罪グループによって実際に使われていたそうです。
マイクロソフトは、Windows ServerおよびWindows 11向けのパッチをリリース。x64ベースシステム用Windows 10および32ビットシステム用Windows 10向けのセキュリティアップデートについて、ユーザーに通知する予定です。
4月のアップデートでは、49件の特権昇格の脆弱性、9件のセキュリティ機能バイパスの脆弱性、31件の遠隔コード実行の脆弱性、17件の情報漏洩の脆弱性、14件のサービス拒否の脆弱性、そして3件のスプーフィングの脆弱性が修正されています。
中でも、11件の遠隔コード実行の脆弱性は「critical」と分類され、Microsoft Office、Microsoft Office Excel、リモートデスクトップゲートウェイサービス、Windows Hyper-V、Windows LDAP、およびWindows TCP/IPに存在していました。
マイクロソフトは今月、Marinerの脆弱性と13件のMicrosoft Edgeのバグに対するパッチもリリースしています。
マイクロソフトのユーザーがすべきこと
通常、WindowsとMicrosoftのセキュリティアップデートは自動的にダウンロードおよびインストールされますが「スタート」>「設定」>「Windows Update」と移動して「Windows Updateの確認」を選択することで、PCの状態を確認できます。
パッチチューズデーの修正プログラムは、毎月第2火曜日の午前10時にリリースされるため、今すぐシステムが最新の状態になっていることを確認することをオススメします。
Source: Bleeping Computer, Microsoft
Views: 0
