GitHub CopilotとVS Codeに脆弱性 速やかなアップデートを：セキュリティニュースアラート

MicrosoftはGitHub CopilotとVisual Studioに関する2件の脆弱性を公開した。これらはローカル環境の認証済み利用者による操作を前提とし、セキュリティ機能のバイパスにつながる。ユーザーは速やかに更新プログラムの適用が望まれる。

[後藤大地，ITmedia]

　Microsoftは2025年11月11日（現地時間）、「GitHub Copilot」および「Visual Studio」に関する2件のセキュリティアドバイザリーを公開した。いずれもローカル環境における権限保持者によるセキュリティ機能の回避に関する脆弱（ぜいじゃく）性とされている。

GitHub Copilot／VS Codeに2件の脆弱性　速やかなアップデートを

　対象の脆弱性は脆弱性情報データベース（CVE）に登録されている。CVE情報は次の通りだ。

• CVE-2025-62449：　「Visual Studio Code Copilot Chat Extension」におけるディレクトリへの制限の不備が要因とされている。パス名の処理に起因する不正なアクセス制御が存在し、許可済みの利用者が特定ディレクトリ外の情報に到達できる可能性がある。共通脆弱性評価システム（CVSS）v3.1のスコアは6.8で、深刻度「警告」（Medium）と評価されている
• CVE-2025-62453：　GitHub CopilotとVisual Studio Codeに関する生成AI出力の検証に関する問題とされている。生成物が適切に生成されない状態が発生し、セキュリティ機能の回避につながる可能性がある。CVSSv3.1のスコアは5.0で深刻度は警告（Medium）と評価されている

　CVE-2025-62449についてはCWE-22に分類される経路の扱いに関する欠陥であり、機密性と完全性に対して高い影響が想定される。攻撃によって機微なファイルの閲覧やリポジトリー内コードの改変が可能となり、可用性についても一定の影響が予測されている。

　CVE-2025-62453はCWE-1426およびCWE-693が関連する弱点とされ、生成内容に依存する検証手続が十分でない構造が問題視されている。これらは、ローカル環境で認証済み利用者が作業することを前提としており、攻撃者が細工したファイルをリポジトーに配置し、その後に利用者がCoPilotに内容確認を促す過程で不正動作が引き起こされる可能性がある。

　両件とも、攻撃の成立にはローカル環境での認証済み利用者の操作が前提条件とされており、インターネット経由での攻撃が成立する構造とはなっていない。現時点で実際の悪用は確認されていないが、開発環境におけるファイル保護機構の安全性に関する問題が示されている。Microsoftは2025年11月の更新プログラムでこれらの問題を修正しており、ユーザーは速やかに更新することが望まれる。