2025年8月 Patch Tuesday まとめ:Microsoft・Adobe・SAP・Intel・Googleの主要修正
1. Microsoftの修正概要
今月の Microsoft Patch Tuesday では、111件の脆弱性 が修正され、そのうち 12件がクリティカル と判定されました。幸い、現時点で「アクティブな攻撃は確認されていない」とされていますが、過去に同様の前例(SharePoint脆弱性)があるため油断は禁物です。
公開済みの既知バグ
- CVE-2025-53779(Windows Kerberos 権限昇格)
- CVSS: 7.2
- 悪用には dMSA(委任マネージドサービスアカウント) への権限が必要。
- 成功すれば ドメイン管理者権限の取得 につながる可能性あり。
- 発見者: Akamaiの研究者 Yuval Gordon。
注目のクリティカル脆弱性
- CVE-2025-53766(GDI+ Heap-based Buffer Overflow)
- CVSS: 9.8
- 権限不要で 悪意あるWebページの閲覧 だけでRCEが可能。
- 広告ネットワーク経由での拡散リスクあり。
- CVE-2025-50165(Windows Graphics Component JPEG処理 RCE)
- CVSS: 9.8
- Officeや他のファイル内に埋め込まれた画像を閲覧するだけで感染。
- CVE-2025-49712(SharePoint RCE)
- CVSS: 8.8
- 認証ユーザーであれば遠隔実行可能。過去の 認証バイパス脆弱性 と組み合わされる恐れ。
- 公開インターネットからのアクセス遮断 が推奨。
その他、Message Queuing、Office、Windows、Hyper-V、NTLM、Azure Stack Hub などにも複数のクリティカル修正が含まれています。
2. Adobeの修正(68件のCVE)
Adobeも大規模アップデートを実施。
- InCopy:8件すべてクリティカル(RCE)。
- InDesign:14件中12件がクリティカル。
- Commerce:6件修正(RCE含む)。
- Substance 3Dシリーズ:Modeler(13件)、Painter(9件)、Stager(2件)、Sampler(1件)、Viewer(2件)。
- Illustrator:4件修正(うち2件クリティカルRCE)。
- Photoshop:1件クリティカル。
- FrameMaker:5件。
- Animate:2件修正。
- Dimension:1件(重要度「重要」)。
3. SAPの修正(15件+更新4件)
- CVE-2025-42957 / CVE-2025-42950(S/4HANAコードインジェクション)
→ CVSS 9.9、クラウド・オンプレ双方に影響。 - CVE-2025-27429(S/4HANA既知のコードインジェクション) 更新版。
4. Intelの修正(34アドバイザリ/66脆弱性)
- Xeon 6 プロセッサ における権限昇格の高危険度バグ。
- Linux用Intel Ethernet Drivers における権限昇格・情報漏えい・DoS脆弱性。
5. Googleの修正(Android)
- 7月はゼロでしたが、8月は複数の更新をリリース。
- 特に Qualcomm脆弱性 CVE-2025-27038 / CVE-2025-21479 を修正。
- 6月にQualcommが「限定的ながら実際に悪用されている」と警告していた案件。
6. まとめと推奨アクション
- Windows環境:GDI+とGraphics ComponentのRCE、SharePointのRCEは優先パッチ対象。
- Adobe製品:特にInCopy/InDesign/Commerceユーザーは直ちに更新。
- SAPユーザー:S/4HANAのコードインジェクション脆弱性は最優先で修正。
- Intelユーザー:Xeonサーバー利用環境はアップデート必須。
- Androidデバイス:Qualcomm脆弱性の悪用事例があるため早急な更新が推奨。
