Note:
この記事は 2025年5月13日(太平洋標準時)に公開された Microsoft セキュリティ更新プログラムの概要をまとめたものです。
以下の製品群にフォーカスしたものとなっています。(主にデバイス管理者向け)
・各クライアントOS ( bitness は x64 対象 )
Windows 11 (24H2/23H2/22H2)
Windows 10 (22H2/1607LTSB)
・Microsoft Office (Microsoft 365 Apps for Enterprise)
・Microsoft Edge (Stable v136)
Microsoft がナレッジ内で言及している推奨手法(回避策)については"タメ語"で一部表現しておりますが、ご容赦ください。
Summary
・.NET Framework系更新なし。(4Cリリースでのプレビュー版はあり、セキュリティFixがなかった模様。)
・高スコア 0件、一般公開 0件、悪用実績 5件。
Windows Client 今月の献立
| Version | Build | CU KB | NetFx KB | SSU KB | Other |
|---|---|---|---|---|---|
| 24H2 | 26100.4061 | 5058411 | (5054979) | - | - |
| 23H2 | 22631.5335 | 5058405 | (5054980) | - | - |
| 22H2 (Win11) | 22621.5335 | 5058405 | (5054980) | - | (5012170) |
| 22H2 (Win10) | 19045.5854 | 5058379 | (5055683) | (5031539) ※1 | (5012170) |
| 1607 | 14393.8066 | 5058383 | (5055170) | 5058524 | (5012170) (4589210) ※2 |
※1 単体SSUにおける最新。各種前提を適用できていない場合は 2022年5月のSSU(KB5014032) を先に適用してね。
※2 Intel マイクロコード更新。
# 先月以前からの継続
2025-04 .NET Framework 3.5 および 4.8.1 の累積的な更新プログラム (x64 向け Windows 11, version 24H2 用) (KB5054979)
# 先月以前からの継続
2025-04 .NET Framework 3.5 および 4.8.1 の累積的な更新プログラム (x64 向け Windows 11, version 23H2 用) (KB5054980)
# 先月以前からの継続
2025-04 .NET Framework 3.5 および 4.8.1 の累積的な更新プログラム (x64 向け Windows 11, version 22H2 用) (KB5054980)
# 先月以前からの継続
2025-04 x64 (KB5055683) 向け Windows 10 Version 22H2 用 .NET Framework 3.5、4.8 および 4.8.1 の累積的な更新プログラム
2023-10x64 ベース システム用 Windows 10 Version 22H2 サービス スタック更新プログラム (KB5031539)
2025-05x64 ベース システム用 Windows 10 Version 1607 サービス スタック更新プログラム (KB5058524)
# LCU では最新の SSU の適用を強く推奨するという表現。 # 先月以前からの継続
2025-04 Windows 10 Version 1607 (x64 版) 用 .NET Framework 4.8 の累積的な更新プログラム (KB5055170)
2022-12 x64 ベース システム用 Windows 10 Version 22H2 のセキュリティ更新プログラム (KB5012170)
Microsoft Edge-WebView2 Runtime バージョン 136 Update の x64 ベース エディション (ビルド 136.0.3240.64)
Windows Known issues (2025/4/9 15:00 JST)
バージョン共通
| Issues | Status/WorkAround |
|---|---|
| 特定のCitrixコンポーネントがインストールされているデバイスで25年1月のセキュリティ更新プログラムをインストールが完了しない可能性あり。 Citrix Session Recording Agent (SRA) バージョン 2411にて確認。 |
Citrix Session Recording Agent 2503以降で解決。 Citrix社のナレッジ |
| Active Directory グループポリシーのローカルポリシーで、ログオン/ログオフイベントの監査が有効になっていて、正常に動作している場合でもデバイス上では有効として表示されない場合あり。 #ローカル監査ポリシーにて、セキュリティ設定が"監査なし"となっている |
4月のOOBリリースにて修正。 または、レジストリキー設定とコマンド実行にて回避可能 ★レジストリキー HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Audit\SystemPolicy\LogonLogoff\AccessRights 上記キーのアクセス許可として所有者を Administrators に変更。 "サブコンテナとオブジェクトの所有者を置き換える"を有効として、適用する。 Administratorsに対して古コントロール権限を付与する。 ★GUIDキー変更 以下コマンドの実行 auditpol /set /subcategory:{0CCE924B-69AE-11D9-BED3-505054503030} /success:enable /failure:enable |
| 特定の条件で Windows Hello が利用できない事象あり。 更新適用後、回復メニューからこのPCをリセット、またはプッシュボタンリセットを実施し、「個人用ファイルを保持」と「ローカルインストール」を選択した場合に、顔認証とPINの利用ができなくなる。 |
PINを使用するには Windows Hello (PIN/顔認証) を再設定してね。 |
24H2
| Issues | Status/WorkAround |
|---|---|
| ARMデバイスにて、Microsoftストアを介して"Roblox"(ゲーム)がダウンロード・実行できない問題あり | (回避策)Robloxの公式サイトからDL可能。 |
23H2/22H2(Win11)
| Issues | Status/WorkAround |
|---|---|
| 4月のKB5055528を適用した場合、WSUS経由で24H2へ更新できない。 | 5B(KB5058405)で修正。 |
22H2/21H2(Win10)
単独では情報なし
1607 (Win10 / Windows Server 2016)
単独では情報なし
Vulnerability
以下の基準でピックアップしたものです。(脆弱性全ての一覧ではありません。)
・ゼロデイ(一般公開/悪用実績あり)
・CVSSスコアが高い (9.0以上)
・その他話題になっているもの
| CVE# | タイトル | 深刻度 | 一般公開 | 悪用実績 | 悪用可能性指標 | CVSSスコア関連 | 備考 |
|---|---|---|---|---|---|---|---|
| CVE-2025-30400 | Microsoft DWM Core ライブラリの特権の昇格の脆弱性 | 重要 | なし | あり | 悪用の事実を確認済み | スコア : 7.8 攻撃経路:LOCAL 条件複雑:低 必要特権 :低 ユーザー関与:不要 スコープ:変更なし 機密性:高 完全性:高 可用性:高 |
今月のゼロデイ 攻撃者は DWM の Use-After-Freeエラーを利用してSYSTEM権限を取得する可能性あり。 |
| CVE-2025-30397 | スクリプト エンジンのメモリ破損の脆弱性 | 重要 | なし | あり | 悪用の事実を確認済み | スコア : 7.5 攻撃経路:NW 条件複雑:高 必要特権 :なし ユーザー関与:必要 スコープ:変更なし 機密性:高 完全性:高 可用性:高 |
今月のゼロデイ 攻撃者は特別に細工されたURLをユーザーにクリックさせることで、認証されていないはずの攻撃者がネットワーク経由で任意のコードを実行できる可能性あり。 ※EdgeのIEモードの利用が前提となる。 |
| CVE-2025-32709 | WinSock 用 Windows Ancillary Function Driver の特権の昇格の脆弱性 | 重要 | なし | あり | 悪用の事実を確認済み | スコア : 7.8 攻撃経路:LOCAL 条件複雑:低 必要特権 :低 ユーザー関与:不要 スコープ:変更なし 機密性:高 完全性:高 可用性:高 |
今月のゼロデイ 攻撃者は当ドライバーの Use-After-Freeエラーを利用して管理者権限を取得する可能性あり。 |
| CVE-2025-32701/32706 | Windows 共通ログ ファイル システム ドライバーの特権の昇格の脆弱性 | 重要 | なし | あり | 悪用の事実を確認済み | スコア : 7.8 攻撃経路:LOCAL 条件複雑:低 必要特権 :低 ユーザー関与:不要 スコープ:変更なし 機密性:高 完全性:高 可用性:高 |
今月のゼロデイ 攻撃者は当ドライバーの Use-After-Freeエラーを利用してSYSTEM権限を取得する可能性あり。 |
M365Apps 今月の献立
| Channel | Build | Remarks |
|---|---|---|
| Current | Version 2504 (Build 18730.20168) | |
| Monthly Enterprise | Version 2503 (Build 18623.20266) Version 2502 (Build 18526.20336) |
|
| Semi-Annual Enterprise Preview | Version 2502 (Build 18526.20336) | |
| Semi-Annual Enterprise | Version 2408 (Build 17928.20538) Version 2402 (Build 17328.20794) |
|
| Perpetual Enterprise (Office 2019 Standard) | Version 1808 (Build 10417.20012) |
Office Known Issues (2025/5/14 9:30 JST)
| Apps | Status | Issues | Remarks/WorkAround |
|---|---|---|---|
| Outlook | 修正済 | 複数の予定表を選択表示中に、特定の時間帯をクリックしても間違った時間帯が選択される。 (カレンダー内でクリックした2~3行上の指定となってしまう) 条件 ・3つの他の予定表を開き、デュアルディスプレイ環境に発生。 ・クラシックOutlookのみ |
サービス側で修正済。(要アプリ再起動) |
| Outlook | 修正済 | 複数のカレンダー表示ビューにおいて、一部空白のセクションがレンダリングされる可能性あり。 最新チャネル・月次エンタープライズチャネル2501、半期エンタープライズチャネル2408にて事象を確認。 |
サービス側で修正済。(要アプリ再起動) |
| Outlook | 調査中 | Windows 11 24H2へのアップデート後、Outlookのタスクバー通知がフォアグラウンドで表示されない可能性あり。 他のアプリ(PowerPoint、Word、Teams等)をアクティブで開いている際に発生し、タスクバーのOutlookアイコンは5回点滅する |
現在 Windows チームにて調査中。 |
| Outlook | 修正済 | 新しい Outlook で従来の差し込み印刷を開始すると、Wordの初期化時にハングする可能性あり。 | 5月にリリースする各種更新にて修正展開予定(Beta、最新プレビュー、最新チャネルが対象。) もしくは、クラシックのOutlookを利用するか、COMアドインを無効化してね。 |
| Outlook | 調査中 | メール管理者は Outlook Classic に対して OnlineMeetingsByDefaultEnabled の設定値を適用させることができない | 現在調査中。 |
| Outlook | 調査中 | 自分または共有カレンダーで会議を更新するときにエラーが発生する可能性あり。(「アイテムは別のユーザーによって、または別のウィンドウで変更されたため、保存できません」等) | サポートに問い合わせてね。 |
| Outlook | 調査中 | Outlookデスクトップアプリ(Ver2309以上)を起動した際、予期したプロフィール画像の代わりにサインインボタンが表示され、資格情報を入力して認証しようとしても、「この電子メールアドレスはすでに追加されています」というエラーダイアログが表示されてしまう | 調査中。現時点正式リリースの見通し無し。 |
| Outlook | 調査中 | タッチモードで各アプリ(ToDo)が機能しない。 | 回避策→マウス使ってね。 |
| Outlook | 調査中 | Outlook(Classic)で一部の出席者に会議のキャンセルが予期せず送信される。 | 共有カレンダーの改善を有効にする機能をオフにして再起動してね |
| Outlook | 調査中 | 会議出席者が、代理人によって変更された添付ファイルを含む会議の更新またはその一部を取得できない可能性あり。 | 可能な限り添付ファイルを SharePoint か OneDrive に保存し、リンクを使用して共有することを推奨。 |
| PowerPoint | 調査中 | 32bitアプリでは秘密度ラベルの自動適用・推奨機能が利用できない。(US英語環境を除く) | 32bitアプリでは当機能がサポートできていないため |
| PowerPoint | 修正済(中) | PowerPoint 2019(Version 1808,ビルド 10409.20028)において、ボリュームライセンスインストールにおいてはファイル破損やデータ損失の可能性があるため、一部機能の無効化を実施中。(オブジェクトの挿入→アイコンとして表示、形式を指定して貼り付けメニューからの図の貼り付け等) | ファイル破損の一部解決があり、ビルド10412.20006にて対応。以下2機能の無効化は継続中。 ・[形式を指定して貼り付け] ダイアログ ボックスから [図 (Windows メタファイル)] として貼り付け。 ・Shapes.PasteSpecial メソッドと View.PasteSpecialメソッド から ppPasteMetafilePicture として貼り付け。 |