Microsoftの主力製品に影響する脆弱性が見つかり、同社はパッチを公開した。システムを守るために知っておきたい、脆弱性情報をまとめた。
Microsoftは2025年6月のセキュリティ更新プログラムにおいて、約70件の脆弱(ぜいじゃく)性を修正した。中には、同社OS「Windows」をはじめ、広く使われている製品に影響する脆弱性や、すでに攻撃が確認されている脆弱性も含まれている。どのような脆弱性で、なぜ危険なのか。
Microsoftが2025年6月のセキュリティ更新プログラムで修正した脆弱性には、通信プロトコル「WebDAV」(Web Distributed Authoring and Versioning)に間する脆弱性「CVE-2025-33053」が含まれる。CVE-2025-33053は、WevDAVに対して不正プログラムを動作させるリモートコード実行(RCE)を可能にする脆弱性だ。脆弱性の危険度を10段階で示す「CVSSスコア」の評価は「重要」(スコア8.8)だ。
CVE-2025-33053を悪用した攻撃には、細工されたリンクをエンドユーザーにクリックさせるなどの操作が必要だとMicrosoftは説明する。セキュリティベンダーIvanti Softwareのセキュリティ製品担当バイスプレジデントであるクリス・ゲトル氏は、CVE-2025-33053がすでに悪用されている可能性が高いとみて、緊急にパッチ(修正プログラム)を適用する必要があると言う。
CVSSで重要(スコア8.8)と評価された別の脆弱性として、「Server Message Block」(SMB)に存在する「CVE-2025-33073」が修正された。SMBとは、ファイルやプリンタを共有するためのプロトコルだ。攻撃者がこの脆弱性を悪用すれば、不正なスクリプト(簡易プログラム)を実行し、SMB経由で標的システムに侵入可能になる。権限昇格を実行して攻撃の範囲を広げられる。CVE-2025-33073を悪用する攻撃は、エンドユーザーによる操作が不要な点で危険だとみられる。
ポータルサイト構築ツール「Microsoft SharePoint」のオンプレミス版「SharePoint Server」についても、複数の脆弱性が修正された。特に危険度が高いと見られるのは、RCE脆弱性「CVE-2025-47172」だ。CVE-2025-47172が悪用された場合、SQLインジェクションによる攻撃が成功しやすくする。SQLインジェクションとは、SQLクエリ(データベース言語「SQL」による問い合わせ)に悪意のある操作を挿入して標的システムでの実行を可能にする手口だ。
Microsoftは2025年6月のセキュリティ更新プログラムとは別に、サーバOS「Windows Server 2016」以降のバージョンの「Windows Server」を利用するユーザー企業に対し、時刻修正機能「Secure Time Seeding」(STS)の無効化を推奨している。ドメインコントローラーや仮想マシンのホストにおいて時刻同期の不具合が報告されており、STSがその一因とみられると同社は説明する。MicrosoftはSTSの無効化について、公式ドキュメントで具体的な手順を公開している。
TechTarget.AI編集部は生成AIなどのサービスを利用し、米国Informa TechTargetの記事を翻訳して国内向けにお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
本記事は制作段階でChatGPT等の生成系AIサービスを利用していますが、文責は編集部に帰属します。
なぜクラウド全盛の今「メインフレーム」が再び脚光を浴びるのか
メインフレームを支える人材の高齢化が進み、企業の基幹IT運用に大きなリスクが迫っている。一方で、メインフレームは再評価の時を迎えている。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
ITmediaはアイティメディア株式会社の登録商標です。
