-
Analyst's Choice
Cyber Intelligence
フィッシング
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
Cyber Intelligence
OSINT
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
7月9日:サイバーセキュリティ関連ニュース
マイクロソフト、7月の月例パッチで脆弱性137件に対処 悪用確認済みのものはなし:CVE-2025-49719、CVE-2025-49695他
BleepingComputer – July 8, 2025
マイクロソフトは2025年7月の月例セキュリティ更新プログラムにおいて、137件の脆弱性に対処。これには、すでに公に開示されている脆弱性CVE-2025-49719が含まれる。
CVE-2025-49719は、Microsoft SQL Serverにおける情報開示の脆弱性。認証されていないリモートの攻撃者が悪用に成功した場合、初期化されていないメモリのデータへアクセスすることが可能になる恐れがある。CVSS 3.1のスコアは7.5で、マイクロソフトによる深刻度の評価は「Important(重要)」。実際の攻撃での悪用は確認されておらず、悪用可能性も比較的低いとされている。
このほか、今回の月例パッチでは「Critical(緊急)」評価の脆弱性が14件修正されており、うち以下の10件はリモートコード実行の脆弱性。
- CVE-2025-49695:Microsoft OfficeにおけるRCE、CVSS 3.1スコアは8.4。
- CVE-2025-49696:Microsoft OfficeにおけるRCE、CVSS 3.1スコアは8.4。
- CVE-2025-49697:Microsoft OfficeにおけるRCE、CVSS 3.1スコアは8.4。
- CVE-2025-49702:Microsoft OfficeにおけるRCE、CVSS 3.1スコアは7.8。
- CVE-2025-49704:Microsoft SharePointにおけるRCE、CVSS 3.1スコアは8.8。
- CVE-2025-49703:Microsoft WordにおけるRCE、CVSS 3.1スコアは7.8。
- CVE-2025-49698:Microsoft WordにおけるRCE、CVSS 3.1スコアは7.8。
- CVE-2025-48822:Windows Hyper-V 個別デバイス割り当て(DDA)におけるRCE、CVSS 3.1スコアは8.6。
- CVE-2025-49717:Microsoft SQL ServerにおけるRCE、CVSS 3.1スコアは8.5。
- CVE-2025-49735:Windows KDC プロキシ サーバー(KPSSVC)におけるRCE、CVSS 3.1スコアは8.1。
Adobe、ColdFusionなどの「Critical」な脆弱性にパッチ:CVE-2025-49535他
Adobeは8日、13製品における脆弱性58件のパッチリリースをアナウンス。これには、Adobe Connect、ColdFusion、Adobe Experience Manager(AEM) Formsに影響を与える「Critical」評価の脆弱性3件が含まれる。
今回修正された中で最も深刻度が高いのは、JEE上で動作するAEM Forms(6.5.23.0以前のバージョン)における信頼されていないデータのデシリアライゼーションに起因するCVE-2025-49533で、CVSS 3.1スコアは9.8。この脆弱性が悪用された場合、任意コードの実行に繋がる恐れがあるとされている。実際の攻撃での悪用は観測されていないものの、Adobeは同脆弱性に対するパッチの優先度を最高スコアの「1」と評価。6.5.0.0.20250527.0へのアップデートをユーザーに呼びかけた。
ColdFusionにおける「Critical」評価の脆弱性CVE-2025-49535も対応優先度が「1」とされており、CVSSスコアは9.3。XML 外部エンティティ参照の不適切な制限に起因する脆弱性で、悪用に成功した攻撃者は脆弱なシステム上で任意のコードを実行できるようになる恐れがある。ColdFusionではこのほか、「Critical」評価の脆弱性が4件(CVE-2025-49551、CVE-2025-49536、CVE-2025-49537、CVE-2025-49538)修正されており、悪用成功時に想定される影響としてそれぞれ特権昇格、セキュリティ機能のバイパス、任意のファイルの読み取りが挙げられている。
また、AdobeはAdobe Connectにおける重大な脆弱性CVE-2025-27203も修正。同じく「Critical」評価でCVSSスコアが9.3の同脆弱性は、信頼されていないデータのデシリアライゼーションに起因するもので、悪用が成功した場合は任意のコードが実行される恐れがあるとされる。
このほか、AdobeはDimension、FrameMaker、Illustrator、InDesign、InCopy、Substance 3D Viewerの「Critical」なコード実行の脆弱性(いずれもCVSSスコアは7.8)に関しても注意喚起。加えて、深刻度が「Medium」と評価される脆弱性も複数修正している。同社はいずれの脆弱性に関しても「公のエクスプロイトは認識していない」としているが、ユーザーには可及的速やかにアプリケーションをアップデートすることが推奨される。
【無料配布中!】インテリジェンス要件定義ガイド
インテリジェンス要件定義に関するガイドブック:『要件主導型インテリジェンスプログラムの構築方法』
以下のバナーより、優先的インテリジェンス要件(PIR)を中心とした効果的なインテリジェンスプログラムを確立するためのポイントなどを解説したSilobreaker社のガイドブック『要件主導型インテリジェンスプログラムの構築方法』の日本語訳バージョンを無料でダウンロードいただけます。
<ガイドブックの主なトピック>
本ガイドブックでは、優先的インテリジェンス要件(PIR)の策定にあたって検討すべき点と、PIRをステークホルダーのニーズに沿ったものにするために考慮すべき点について詳しく解説しています。具体的には、以下のトピックを取り上げます。
- 脅威プロファイルの確立
- ステークホルダーの特定・分析
- ユースケースの確立
- 要件の定義と管理
- データの収集と処理
- 分析と生産
- 報告
- フィードバック
- 実効性の評価
