マイクロソフト月例パッチ：悪用観測のゼロデイ3件含む脆弱性172件を修正（CVE-2025-24990、CVE-2025-59230など）

佐々山 Tacos

2025.10.15

マイクロソフト月例パッチ：攻撃で悪用されたゼロデイ3件含む脆弱性172件を修正（CVE-2025-24990、CVE-2025-59230など）

BleepingComputer – October 14, 2025

マイクロソフトは2025年10月の月例セキュリティ更新プログラムにおいて、攻撃で悪用されているゼロデイ3件を含む172件の脆弱性に対処。10月14日でWindows 10のサポートが終了したことから、同OS向けの無料セキュリティアップデートを提供する月例パッチは今回が最後となる。

今回修正された中で、攻撃での悪用が観測されているのは以下の3件。いずれもすでに米CISAのKEVカタログ（悪用が確認済みの脆弱性カタログ）に追加されており、11月4日までの対応が米連邦政府機関に命じられている。

CVE-2025-24990：Windows Agereモデムドライバにおける権限昇格の脆弱性。この悪用に成功した攻撃者は、管理者権限を獲得できるようになるとされる。これに対処するためマイクロソフトはドライバltmdm64.sysの削除をアナウンスしたが、このドライバが削除されると関連するFaxモデムハードウェアが動作しなくなる点について注意喚起している。CVSSスコア（v3.1）は7.8で、マイクロソフトによる深刻度評価は「Important（重要）」。悪用の詳細は不明。
CVE-2025-59230：Windows リモートアクセス接続マネージャーにおける権限昇格の脆弱性。不適切なアクセス制御に起因する脆弱性で、認可された攻撃者によるローカルでの権限昇格を可能にするもの。悪用に成功した攻撃者はSYSTEM権限を獲得できるようになるとされる。CVSSスコア（v3.1）は7.8で、マイクロソフトによる深刻度評価は「Important（重要）」。悪用の詳細は不明。
CVE-2025-47827：11より前のバージョンのIGEL OSにおけるセキュアブートバイパスの脆弱性。igel-flash-driverモジュールによるデジタル署名の検証が不適切であることからセキュアブートのバイパスが可能になるというもので、最終的には、検証されていないSquashFSイメージから細工されたrootファイルシステムをマウントすることが可能になるとされる。CVSSスコア（v3.1）は4.6で、マイクロソフトによる深刻度評価は「Important（重要）」。悪用の詳細は不明。

このほか、今月の月例パッチの対象となった脆弱性のうち、深刻度が「Critical（緊急）」と評価されるものには以下が含まれる。

CVE-2025-0033：VMのセキュリティ機構SEV-ES（Secure Encrypted Virtualization-Encrypted State）を用いるAMD EPYC プロセッサにおける脆弱性。Reverse Map Table（RMP）の初期化中に生じる競合状態に関するもので、悪意ある、または侵害されたハイパーバイザーはRMPエントリがロックされる前にこれを変更することが可能になり、SEV-SNPのゲストメモリの完全性に影響が及ぶ恐れがある。
CVE-2016-9535：LibTIFFにおけるヒープバッファオーバーフローの脆弱性。
CVE-2025-49708：Windows Graphics コンポーネントにおける権限昇格の脆弱性。
CVE-2025-59227：Microsoft Officeにおけるリモートコード実行の脆弱性。
CVE-2025-59234：Microsoft Officeにおけるリモートコード実行の脆弱性。
CVE-2025-59236：Microsoft Excelにおけるリモートコード実行の脆弱性。