CVE

undercodetesting.com

Microsoft’s October 2025 Patch Tsunami: A Defender’s Guide to Surviving 195 CVEs

Introduction: Microsoft has unleashed its largest security update in history, addressing a monumental 195 CVEs, including three zero-days under active attack and 16 critical-rated vulnerabilities. This unprecedented volume, affecting core components from Windows and Azure to BitLocker and Copilot, signals a new era of relentless cyber threats where strategic, risk-based patching is no longer a best practice but a critical survival skill for every IT and security team.

nvd.nist.gov

NVD - CVE-2025-24990

news.sophos.com

Microsoft's Record October Patch Tuesday

expel.com

Patch Tuesday: October 2025 (Expel’s version)

This month, we're highlighting top critical vulnerabilities, including six zero-day vulnerabilities, and one in Cisco IOS.

securityboulevard.com

Microsoft’s October 2025 Patch Tuesday Addresses 167 CVEs (CVE-2025-24990, CVE-2025-59230)

Microsoft's October 2025 Patch Tuesday is the largest update to date, addressing 167 CVEs. This includes three zero-day vulnerabilities, with two actively exploited in the wild. The update targets an array of Microsoft products, including Windows, Office, and Exchange Server. Elevation of Privilege vulnerabilities are the most prevalent, followed by Remote Code Execution flaws. Key vulnerabilities include EoP exploits in the Agere Modem driver and the Windows Remote Access Connection Manager. A critical RCE vulnerability exists in Windows Server Update Service, with a high exploitability rating. Microsoft Office also sees RCE vulnerabilities, though assessed as less likely to be exploited. The Windows Cloud Files Mini Filter Driver has an important EoP vulnerability. October 14 marked the end of support for Windows 10 and several other Microsoft products. Users should patch systems promptly and regularly scan for vulnerabilities.

undercodenews.com

CVE-2025-59282: New Microsoft IIS Vulnerability Exposes Systems to Local Code Execution Risk

The Hidden Flaw in IIS That Could Let Attackers Take Over Systems When Microsoft patched its October 2025 security updates, one particular vulnerability caught the attention of security professionals worldwide. Tracked as CVE-2025-59282, this flaw hides deep inside Internet Information Services (IIS) Inbox COM Objects—components rarely noticed by everyday administrators but fundamental to Windows Server’s web infrastructure. The issue isn’t your typical bug.

buff.ly

Cloud-Managed Remote Mailboxes: Now Generally Available! | Microsoft Community Hub

We are happy to announce General Availability of cloud-managed Remote Mailboxes.  

blackhatnews.tokyo

最後のWindows 10パッチチューズデー、6件のゼロデイ脆弱性を修正

Microsoftが172件の脆弱性を修正するセキュリティアップデートを発表し、そのうち6件がゼロデイと分類されたため、システム管理者にとって10月は忙しい月となりそうです。 今月のパッチチューズデーリストにあるゼロデイ脆弱性のうち3件は、すでに積極的に悪用されています。 CVE-2025-59230は、Windowsリモートアクセス接続マネージャにおけるローカル権限昇格（EoP）のバグです。 「ユーザー操作が不要なため、攻撃者の標準的なツールキットにすぐに組み込まれるでしょう」とRapid7のリードソフトウェアエンジニア、アダム・バーネット氏は警告しています。 「アドバイザリ自体にはほとんど情報がありませんが、誰かがこの脆弱性の悪用方法を正確に知っています。」 CVE-2025-24990は、Windowsに同梱されているサードパーティ製Agere Modemドライバー（ltmdm64.sys）における別のEoP脆弱性です。興味深いことに、Microsoftはこの脆弱性を修正するのではなく、ドライバー自体を削除しました。 Immersiveのリードサイバーセキュリティエンジニア、ベン・マッカーシー氏は、このバグがレガシーコンポーネントのリスクを浮き彫りにしていると主張しています。 「このドライバーは1990年代後半から2000年代初頭のハードウェアをサポートしており、現在の安全な開発手法が確立される前のもので、長年ほとんど変更されていません。カーネルモードドライバーはシステムで最も高い権限で動作するため、攻撃者が権限を昇格させる際の主要な標的となります」と彼は説明しました。 「Microsoftがパッチを提供するのではなくドライバー自体を完全に削除した決定は、サポートされていないサードパーティ製レガシーコードの修正に伴うリスクへの直接的な対応です。このようなコンポーネントにパッチを適用しようとすると信頼性が低くなり、システムの不安定化や脆弱性の根本的な原因を完全に解決できない可能性があります。」 パッチチューズデーの詳細：今月のパッチチューズデーCVEに含まれる2件のゼロデイ 現在野放しで積極的に悪用されている3つ目のゼロデイはCVE-2025-47827で、これはIGEL OS（仮想デスクトップインフラストラクチャを提供するサードパーティ製OS）に影響を与えるセキュアブートバイパスのバグです。 Immersiveの脅威リサーチ担当シニアディレクター、ケブ・ブリーン氏によると、この脆弱性の概念実証は5月から公開されており、悪用は容易だと主張しています。 「セキュアブートバイパスの影響は重大であり、攻撃者はカーネルレベルのルートキットを展開してIGEL OS自体にアクセスし、さらに仮想デスクトップを改ざんしたり、認証情報を取得したりすることができます」と彼は付け加えました。 「これはリモート攻撃ではなく、通常は物理的なアクセスが必要なため、頻繁に出張する従業員に影響を与える『イービルメイド』型攻撃が最も想定される経路であることに注意が必要です。」 公開された3件のゼロデイ 残りの3件のゼロデイは公開されていますが、現時点では悪用されていません。それらは次の通りです： CVE-2025-0033：Secure Encrypted Virtualization – Secure Nested Paging（SEV-SNP）を使用するAMD EPYCプロセッサの重大な脆弱性。まだパッチは提供されていません。 CVE-2025-24052：CVE-2025-24990と同様のAgere ModemドライバーにおけるEoPバグ CVE-2025-2884：TCG TPM2.0における範囲外読み取りの脆弱性で、情報漏洩やサービス拒否につながる可能性があります。 これはWindows 10ユーザーが無料アップデートを受け取る最後のパッチチューズデーです。 今後もパッチを受け取り続けるには、一般消費者および法人顧客はMicrosoftの拡張セキュリティアップデート（ESU）プログラムに料金を支払う必要があります。 画像クレジット：gguy / Shutterstock.com 翻訳元:

blackhatnews.tokyo

FortinetとIvantiによる高深刻度の脆弱性修正

FortinetとIvantiは、製品全体に潜在的に深刻な脆弱性を修正する2025年10月のPatch Tuesdayアップデートを発表しました。 Fortinetは、30件以上の脆弱性を対象とした29件の新しいアドバイザリを公開しました。いくつかの脆弱性には「高深刻度」の評価が付与されており、その中にはFortiDLPに影響を与えるCVE-2025-54988も含まれます。これはApache Tikaの使用によるもので、Tikaには攻撃者が機密データを読み取ったり、内部リソースやサードパーティサーバーへの悪意あるリクエストを送信したりできる重大な脆弱性があります。 FortiDLPはまた、認証済み攻撃者が特別に細工されたリクエストを送信することでLocalServiceやRootへの権限昇格を可能にするCVE-2025-53951およびCVE-2025-54658の影響も受けています。 認証済み攻撃者がシステムコマンドを実行できる権限昇格の脆弱性がFortiOSで修正されました。このセキュリティホールはCVE-2025-58325として追跡されています。 もう一つの高深刻度の問題は、FortiIsolatorに影響を与えるCVE-2024-33507で、リモート攻撃者が特別に細工されたクッキーを使用してログイン中の管理者を認証解除（未認証攻撃者）したり、書き込み権限を取得したり（認証済み攻撃者）することができます。 FortiClientMacのLaunchDaemonコンポーネントにおける権限昇格の問題も「高深刻度」と分類されています。この問題はCVE-2025-57741として追跡されています。 最後の高深刻度の問題は、FortiPAMおよびFortiSwitchManagerに影響を与え、攻撃者がブルートフォース攻撃によって認証を回避できるCVE-2025-49201です。 中程度および低深刻度の脆弱性は、FortiOS、FortiPAM、FortiProxy、FortiClientMac、FortiClientWindows、FortiADC、FortiDLP、FortiSwitchManager、FortiManager、FortiAnalyzer、FortiSRA、FortiRecorder、FortiTester、FortiVoice、FortiWeb、FortiSASE、FortiSOAR、FortiSIEMで修正されています。 これらの脆弱性は、任意のコード実行、DLLハイジャック、機密データの取得、セキュリティ機能の回避、DoS状態の引き起こし、XSS攻撃の実行、ユーザーのリダイレクト、権限昇格などに悪用される可能性があります。 これらの脆弱性が実際に悪用された証拠はありません。多くの問題はFortinetによって内部的に発見されました。 Ivantiは、Endpoint Manager Mobile（EPMM）およびNeurons for MDMの脆弱性に対するパッチの提供を発表しました。Ivantiはまた、今月初めに公開された脆弱性の緩和策を提供するため、Endpoint Manager向けのアドバイザリも公開しています。 EPMMでは、Ivantiは管理者権限を持つ認証済み攻撃者が任意のコードを実行できる3件の高深刻度の脆弱性に対応しました。また、認証済み攻撃者がディスク上にデータを書き込める中程度の脆弱性も1件修正しました。 Neurons for MDMでは、Ivantiは2件の高深刻度の問題を修正しました。そのうちの1件は、管理者権限を持つ認証済み攻撃者が「任意のデバイスの登録を解除し、対象デバイスをUnified Endpoint Manager UIから消失させる」ことを可能にします。2件目は、リモートの認証済み攻撃者が悪用可能なMFAバイパスです。 また、リモートの未認証攻撃者がAPIエンドポイントを介して機密ユーザー情報にアクセスできる中程度の脆弱性もNeurons for MDMで修正されました。 Ivantiも、これらの脆弱性が実際に悪用されている証拠はないと述べています。 しかし、IvantiとFortinetの両製品の脆弱性はしばしば脅威アクターに標的にされるため、利用可能なパッチをできるだけ早く適用することが重要です。 翻訳元:

securityonline.info

Critical RCE Flaws CVE-2025-48983 & CVE-2025-48984 (CVSS 9.9) Found in Veeam Backup & Replication

Veeam patched two Critical RCE flaws (CVE-2025-48983 & -48984) in Backup & Replication v12 that let authenticated domain users compromise backup infrastructure.

securityonline.info

Chrome Fix: New Use-After-Free Flaw (CVE-2025-11756) in Safe Browsing Component Poses High Risk

Google released an urgent update for Chrome (v141.0.7390.107), patching a High-severity Use-After-Free flaw (CVE-2025-11756) in the Safe Browsing component. Update immediately.

msrc.microsoft.com

CVE-2025-48004 Microsoft Brokering File System Elevation of Privilege Vulnerability

Use after free in Microsoft Brokering File System allows an unauthorized attacker to elevate privileges locally.

devblogs.microsoft.com

Announcing the .NET Security Group - .NET Blog

Learn how to join the .NET Security Group for early access to CVE information and help deliver security patches to your .NET distribution simultaneously with Microsoft.

cyberscoop.com

Microsoft’s Patch Tuesday fixes 175 vulnerabilities, including two actively exploited zero-days

blackhatnews.tokyo

Microsoft、驚異的な規模の10月パッチアップデートを公開

出典: Zoonar GmbH via Alamy Stock Photo Microsoftの10月のPatch Tuesdayセキュリティアップデートは、すでに攻撃者によって悪用されている2件、以前に公開された3件、そして同社が悪用される可能性が高いと考える十数件以上を含む、合計175件のCVEという大規模なものでした。 これは近年のMicrosoftのPatch Tuesdayアップデートとしては最大規模であり、今年これまでに公開された固有の脆弱性の数は、2024年に記録されたすべての脆弱性数を上回りました。 10月のMicrosoft脆弱性数、昨年1年分を上回る 「今年はまだ2か月残っていますが、今月のリリースで昨年修正された1,009件のCVEをすでに上回り、1,021件に達しました」とTenableのシニアスタッフリサーチエンジニア、Satnam Narang氏は声明で述べています。このアップデートは、Tenableが2017年にMicrosoftのパッチリリースの記録を開始して以来最大であり、Patch Tuesday以前に発行された臨時パッチや、発行元がMicrosoftでないものは含まれていないとも述べています。 例年通り、Microsoftが今週公開した脆弱性は幅広い製品に影響し、リモートコード実行（RCE）脆弱性、権限昇格の脆弱性、データ窃取を可能にする脆弱性、サービス拒否（DoS）攻撃、セキュリティ機能のバイパスなどが含まれています。 今週Microsoftが公開した多くの脆弱性は優先的な対応が必要ですが、特に攻撃者によってすでに積極的に悪用されている2つのゼロデイ脆弱性は注目に値します。 ゼロデイ脅威による権限昇格 ゼロデイの1つ、CVE-2025-59230（CVSS 7.8）はWindows Remote Access Connection Managerの脆弱性で、影響を受けるシステムにすでにアクセスしている攻撃者が、管理者権限まで権限を昇格できるものです。Action1の社長兼共同創設者であるMike Walters氏は、この脆弱性はVPNやリモートアクセス接続を管理するサービスが、低権限ユーザーからのコマンドを適切な認証なしに処理する方法に起因すると評価しています。「この脆弱性の悪用は比較的容易であり、技術的スキルが中程度の攻撃者でも利用可能です」と彼はコメントで警告しています。 もう1つの積極的に悪用されているゼロデイ、CVE-2025-24990（CVSS 7.8）もEoP（権限昇格）脆弱性で、今回はWindows Agereモデム用のサードパーティドライバーに存在します。このドライバーは、サポートされているすべてのWindows OSバージョンに標準搭載されています。攻撃者は、モデム自体が使用されていなくても、この脆弱性を悪用してシステムレベルの権限を取得できます。Microsoftはこのドライバーを削除しており、これによりAgereモデムはWindows上で動作しなくなります。「Microsoftは、このハードウェアへの既存の依存関係を削除することを推奨しています」とアドバイザリで述べています。 積極的に悪用されているゼロデイに加え、Microsoftは同じWindows Agereモデムサービスに関する、すでに概念実証（PoC）が公開されている別の脆弱性も公開しました。このゼロデイはCVE-2025-24052（CVSS 7.8）として追跡されており、これもEoP問題で、攻撃者がシステムレベルの権限を取得できるものです。 「モデムが使用されていなくても、悪用の危険性が残っており、攻撃者に管理者権限を与える可能性があります」とTenableのSatnam氏は指摘します。「この脆弱性の修正は注目に値します。Microsoftは10月の累積アップデートを通じて、Windows OSからドライバーltmdm64.sysを削除しています。」 注目すべきは、Microsoftのパッチアップデートには、攻撃者が積極的に悪用しているもう1つのゼロデイバグの修正も含まれていたことです。ただし、技術的にはこれはMicrosoftのCVEではありません。このバグ、CVE-2025-47827（CVSS 4.6）は、エンドポイントデバイス上で仮想デスクトップやクラウドワークスペースを管理する軽量LinuxベースのOSであるIGEL OSに影響します。この脆弱性は5月に公開され、CVE番号はMicrosoftではなくMITREによって割り当てられました。このバグはSecure Bootメカニズムのバイパスを可能にします。「この脆弱性が5月に公開された時点でPoCがすでに公開されており、脅威アクターがこの脆弱性を武器化するのは非常に容易です」とImmersiveのシニアディレクター、Kev Breen氏はメールコメントで述べています。 優先度の高いWindowsセキュリティ機能のバグ Action1のWalters氏は、CVE-2025-59287（CVSS 9.8）、Windows Server Update ServiceのRCEバグを、セキュリティチームが優先して対応すべき問題として挙げています。WSUSは組織がアップデートやパッチを一元配信・管理する仕組みであり、このサービスのバグが悪用されると、攻撃者が大きな被害をもたらす可能性があります。これには「パッチインフラの完全な侵害、管理対象システムへの悪意ある“アップデート”の配布、環境内での横移動、アップデートインフラへの永続的なバックドア作成」などが含まれるとWalters氏は述べています。MicrosoftはCVE-2025-59287を、攻撃者による悪用の可能性が高い脆弱性としてタグ付けしています。 CVE-2025-55315（CVSS 9.9）も、Microsoftが今週公開したセキュリティ機能バイパスの1つです。このバグはASP.Net Coreフレームワークに影響し、悪用された場合、システムの機密性、完全性、可用性に大きな影響を及ぼす可能性があるとMicrosoftは述べています。攻撃者はユーザー認証情報の閲覧、ターゲットサーバー上のファイル内容の変更、さらにはシステムクラッシュの引き金まで可能になります。深刻ではありますが、「この脆弱性は匿名の攻撃者によって悪用されるものではなく、まず有効な低権限ユーザー認証情報で認証されている必要があります」とImmersiveのリードサイバーセキュリティエンジニア、Ben McCarthy氏はパッチリリースへのコメントで述べています。 パッチ提供終了：Windows 10のサポート終了 特筆すべきは、今週のパッチアップデートがWindows 10のサポート終了を示したことです。つまり、Microsoftは今後、Patch Tuesdayの定例アップデートの一環として、Windows 10の脆弱性に対する定期的なパッチを提供しなくなります。世界的に見ても、同OSはデスクトップWindowsバージョン市場の41%近くのシェアを持っているため、その影響は大きい可能性があります。 Nightwingのサイバーインシデントレスポンスマネージャー、Nick Carroll氏は、Windows 10を利用し続ける組織は、今後もパッチを受け取るには拡張セキュリティアップデートプログラムへの移行が必要になると述べています。また、今週サポート終了となった他のあまり知られていない製品には、Exchange Server 2016、Exchange Server 2019、Skype for Business 2016、Windows 11 IoT Enterprise Version 22H2、Outlook 2016などがあります。「これらすべての製品は今後セキュリティパッチが提供されなくなります」とCarroll氏は述べ、「しかし、それは脅威アクターが新たなエクスプロイトを作るのをやめるという意味ではありません」と警告しています。 翻訳元:

itnerd.blog

October Patch Tuesday Commentary From Fortra

By Tyler Reguly, Associate Director, Security R&D, Fortra Today is a record setting day, one that should likely concern everyone in a few different ways. Today, Microsoft addressed, via direct and third-party CVE assignments, 196 CVEs. Since Microsoft moved away from security bulletins and toward security guidance in 2017, the record CVEs in a single month was 161 in January of this year.

www.cisa.gov

CISA Adds 5 CVEs to KEV Catalog

tinyurl.com

Microsoft October 2025 Security Updates

The Microsoft October 2025 security updates have been released and consist of 177 new CVEs to Microsoft products. Of the Microsoft CVEs re...