Table of Contents
2025年1月。Microsoftセキュリティ更新プログラム公開。早急な更新プログラムの適用を
2025年1月14日マイクロソフトは、マイクロソフト製品に影響する脆弱性を修正するために、セキュリティ更新プログラムを公開しました。
以下の脆弱性は更新プログラムが公開されるよりも前に悪用が行われていることや脆弱性の詳細が一般へ公開されていることを確認しています。早急な対応を推奨しています。
- CVE-2025-21395 / CVE-2025-21366 / CVE-2025-21186 Microsoft Access のリモート コードが実行される脆弱性
- CVE-2025-21308 Windows テーマのなりすましの脆弱性
- CVE-2025-21275 Windows アプリ パッケージ インストーラーの特権昇格の脆弱性
- CVE-2025-21334 / CVE-2025-21333 / CVE-2025-21335 Windows Hyper-V NT Kernel Integration VSP の特権昇格の脆弱性
以下の脆弱性は、CVSS 基本値が9.8 と高いスコアで、認証やユーザーの操作なしで悪用が可能な脆弱性です。急なリスク評価とセキュリティ更新プログラムの適用を推奨しています
- CVE-2025-21311 Windows NTLM V1 の特権昇格の脆弱
- CVE-2025-21298 Windows OLE のリモートでコードが実行される脆弱性
- CVE-2025-21307 Windows Reliable Multicast Transport Driver (RMCAST) のリモートでコードが実行される脆弱性
<参考URL>
2025年1月のセキュリティ更新プログラム (月例)
2025年1月セキュリティ更新プログラム リリースノート
2025年1月のセキュリティ更新プログラム一覧
製品ファミリ |
深刻度 |
最も大きな影響 |
関連するサポート技術情報またはサポートの Web ページ |
Windows 11 v24H2, v23H2, v22H2 |
緊急 |
リモートでコードの実行が可能 |
|
Windows 10 v22H2 |
緊急 |
リモートでコードの実行が可能 |
v22H2 5049981 |
Windows Server 2025 (Server Core installationを含む) |
緊急 |
リモートでコードの実行が可能 |
|
Windows Server 2022,23H2 (Server Core installationを含む) |
緊急 |
リモートでコードの実行が可能 |
|
Windows Server 2019 , 2016 (Server Core installation を含む) |
緊急 |
リモートでコードの実行が可能 |
|
Microsoft Office |
緊急 |
リモートでコードの実行が可能 |
|
Microsoft SharePoint |
重要 |
リモートでコードの実行が可能 |
https://learn.microsoft.com/officeupdates/sharepoint-updates |
Microsoft .NET |
重要 |
リモートでコードの実行が可能 |
|
Microsoft Visual Studio |
重要 |
リモートでコードの実行が可能 |
|
Microsoft Azure |
重要 |
情報漏えい |
|
デスクトップ用 Microsoft Power Automate |
重要 |
リモートでコードの実行が可能 |
既存の脆弱性情報の更新
既存の脆弱性情報 3 件を更新しました。
- CVE-2021-45985 MITRE: CVE-2021-45985 LUA での誤ったファイナライザー呼び出しにより、ヒープベースのバッファーのオーバーリードが発生する
以下の更新を行いました:- セキュリティ更新プログラムの表に Windows ソフトウェアを追加しました。マイクロソフトは、Windows OS を最新バージョンへアップデートすることを推奨しています。
- この脆弱性から保護するため、お客様が行うべきアクションについて説明する FAQ を追加しました。
- CVE-2024-49120 Windows リモート デスクトップ サービスのリモートでコードが実行される脆弱性
CVE-2024-49120 に包括的に対処するために、Microsoft は、Windows Server 2025 / 2022 / 23H2 Edition / 2022 / 2019 / 2016 のすべてのサポートされているエディションに対して 2025 年 1 月のセキュリティ更新プログラムをリリースしました。
マイクロソフトは、この脆弱性から完全に保護するために、更新プログラムをインストールすることを推奨します。自動で更新を受け取るようにシステムが設定されているお客様は、これ以上の対応をする必要はありません。 - CVE-2022-0001 Intel: CVE-2022-0001 Branch History Injection
この脆弱性に対処するための変更により、仮想セキュア モードのコンポーネントを更新したことをお客様にお知らせする FAQ を追加しました。最新の変更に対応するため、仮想化ベースのセキュリティ (VBS) 関連のセキュリティ更新プログラムのロールバックをブロックするためのガイダンス に記載しているポリシーを更新しました。このポリシーをデプロイした場合は、更新されたポリシーを使用して再デプロイする必要があります。