Microsoft 4月の更新プログラム公開、126件の脆弱性修正

Microsoftは4月8日(米国時間)、「2025 年 4 月のセキュリティ更新プログラム (月例)｜MSRC Blog｜Microsoft Security Response Center」において、同社の複数製品の脆弱性に対処する2025年4月のセキュリティ更新プログラムをリリースしたと発表した。
修正された脆弱性は126件に上り、すでに攻撃への悪用が確認されている脆弱性も1件含まれている。これら脆弱性を放置すると、遠隔から任意のコードを実行されたり、管理者権限を奪われるなど攻撃を受ける危険性がある。
○脆弱性に関する情報
脆弱性に関する情報は次のページにまとまっている。
April 2025 Security Updates - リリース ノート - セキュリティ更新プログラム ガイド - Microsoft
Security Update Guide - Microsoft
○悪用が確認されている1件の脆弱性と、11件の重大な脆弱性
修正された脆弱性のうち、すでに悪用が確認されている脆弱性は次のとおり。
CVE-2025-29824 - Windows Common Log File System Driverに解放後使用(UAF: use-after-free)の脆弱性。認証された攻撃者は特権昇格の可能性がある(CVSSスコア: 7.8)
悪用は確認されていないものの、Microsoftが深刻度を緊急(Critical)と評価している脆弱性は次のとおり。
CVE-2025-27745、CVE-2025-27748、CVE-2025-27749 - Microsoft Officeに解放後使用の脆弱性。認証されていないローカルの攻撃者はコードを実行できる可能性がある(CVSSスコア: 7.8)
CVE-2025-29791 - Microsoft Officeに型の取り違えの脆弱性。認証されていないローカルの攻撃者はコードを実行できる可能性がある(CVSSスコア: 7.8)
CVE-2025-27752 - Microsoft Officeにヒープベースのバッファーオーバーフローの脆弱性。認証されていないローカルの攻撃者はコードを実行できる可能性がある(CVSSスコア: 7.8)
CVE-2025-27482 - Remote Desktop Gateway Serviceに不適切な機密データ保存の脆弱性。認証されていないリモートの攻撃者はコードを実行できる可能性がある(CVSSスコア: 8.1)
CVE-2025-27480 - Remote Desktop Gateway Serviceに解放後使用の脆弱性。認証されていないリモートの攻撃者はコードを実行できる可能性がある(CVSSスコア: 8.1)
CVE-2025-27491 - Windows Hyper-Vに解放後使用の脆弱性。認証されたリモートの攻撃者はコードを実行できる可能性がある(CVSSスコア: 7.1)
CVE-2025-26663、CVE-2025-26670 - Windows LDAPに解放後使用の脆弱性。認証されていないリモートの攻撃者はコードを実行できる可能性がある(CVSSスコア: 8.1)
CVE-2025-26686 - Windows TCP/IPに不適切な機密データ保存の脆弱性。認証されていないリモートの攻撃者はコードを実行できる可能性がある(CVSSスコア: 7.5)
○ただちにアップデートを
セキュリティアップデートの対象となる製品は多岐にわたる上、積極的に悪用されている脆弱性および深刻度が緊急(Critical)に分類される脆弱性の修正が含まれている。Microsoftは上記のセキュリティ情報をチェックするとともに、速やかなアップデートの適用を推奨している。