マイクロソフト、2025年12月の「Windows Update」を実施 ~「Office」に致命的な脆弱性/Jetbrains向け「GitHub Copilot」、「PowerShell」のゼロデイ脆弱性にも注意

Microsoft、2025年12月の「Windows Update」「Microsoft Update」を実施

米Microsoftは12月9日(現地時間)、すべてのサポート中バージョンのWindowsに対し月例のセキュリティ更新プログラムをリリースした(パッチチューズデー)。現在、「Windows Update」や「Windows Update カタログ」などから入手可能。Windows以外の製品も含め、今月のパッチではCVE番号ベースで70件(サードパーティーも含む)の脆弱性が新たに対処されている。

このうち、すでに悪用が確認されているゼロデイ脆弱性は1件。

・CVE-2025-62221:Windows Cloud Files Mini Filter Driver Elevation of Privilege Vulnerability

攻撃手法が公開されている脆弱性は2件。

・CVE-2025-64671:GitHub Copilot for Jetbrains Remote Code Execution Vulnerability

・CVE-2025-54100:PowerShell Remote Code Execution Vulnerability

いずれも深刻度の評価は「Important」にとどまるが、警戒が必要だ。「CVE-2025-54100」に関しては、対策として「PowerShell」の「Invoke-WebRequest」コマンドにセキュリティ警告の確認プロンプトが追加されている。スクリプトが停止する可能性がある点には注意したい。

深刻度が最高の「Critical」と評価された脆弱性は、以下の3件。「Microsoft Office」、「Outlook」に影響する。

・CVE-2025-62554:Microsoft Office Remote Code Execution Vulnerability

・CVE-2025-62557:Microsoft Office Remote Code Execution Vulnerability

・CVE-2025-62562:Microsoft Outlook Remote Code Execution Vulnerability

Windows 10/11およびWindows Server 2016/2019/2022

最大深刻度は「重要」(リモートでコードが実行される)。今月末は休暇のためプレビューパッチの提供がないので、これが年内最後のパッチとなる。

・Windows 11 バージョン 25H2:KB5072033

・Windows 11 バージョン 24H2:KB5072033

・Windows 11 バージョン 23H2:KB5071417

・Windows 10 バージョン 22H2:KB5071546

・Windows Server 2025:KB5072033

・Windows Server 2022:KB5071547

・Windows Server 2019:KB5071544

・Windows Server 2016:KB5071543

「Windows 10 バージョン 22H2」は一般向けのサポートが終了しており、「拡張セキュリティ更新プログラム」(Extended Security Update:ESU)に登録しないとセキュリティパッチを受け取れない点には注意。

「Windows 11 バージョン 25H2」におけるハイライトは以下の通り。パッチの内容は「バージョン 24H2」と同じなので、これらの改善の恩恵は「バージョン 24H2」で享受できる。

・プレビューパッチ「KB5070311」で導入された新機能と改善

・「Ask Copilot」が期待通りに「Click to Do」ウィンドウを起動できない問題に対処。「Copilot」とデータを共有する際、このウィンドウが前面に表示されるようになる

・ページ遷移で「エクスプローラー」が一瞬白くなる問題を修正

・ホストの再起動後に外部仮想スイッチが物理ネットワークアダプター(NIC)のバインディングを失う問題を修正

「エクスプローラー」のダークモードで一貫性を向上させるデザイン更新

「ドラッグ トレイ」の改善

[ウィジェット]ボードをアップデート

セマンティック検索対応をアピールする「エクスプローラー」検索ボックスのプレースホルダーテキスト

なお、一部機能は当初対象を絞って提供される。そのため、アップデートしてもすぐには利用できるようになるとは限らない点には注意したい。

Microsoft Office関連のソフトウェア

「Microsoft Office」関連のセキュリティ修正に関しては、以下のドキュメントを参照のこと。

・Microsoft Office の 2025 年 12 月の更新プログラム - Microsoft サポート

・Release notes for Microsoft Office security updates - Office release notes

深刻度「Critical」の脆弱性修正が含まれているので、できるだけ早い対応が望ましい。

Microsoft Edge

「Microsoft Edge」は、「パッチチューズデー」とは関係なくアップデートされている。直近のセキュリティ修正は、米国時間12月4日にリリースされたv143.0.3650.66。

Microsoft SharePoint

「Microsoft SharePoint」関連でも、4件の脆弱性が修正された。

・CVE-2025-62555(重要:リモートでコードが実行される)

・CVE-2025-62558(重要:リモートでコードが実行される)

・CVE-2025-62559(重要:リモートでコードが実行される)

・CVE-2025-62562(重要:リモートでコードが実行される)

Microsoft Exchange Server

「Microsoft Exchange Server」関連の脆弱性修正は、以下の2件。

・CVE-2025-64666(重要:特権の昇格)

・CVE-2025-64667(重要:なりすまし)

そのほかの製品

そのほかにも、以下の製品に対しセキュリティアップデートが提供されている。括弧内は最大深刻度。

・Microsoft Office for Android:2件(緊急)

・GitHub Copilot Plugin for JetBrains IDEs:1件(重要)

Post Related