Microsoft、2025年9月の「Windows Update」を実施 ～深刻度最高の脆弱性は8件

Microsoft、2025年9月の「Windows Update」「Microsoft Update」を実施

　米Microsoftは9月9日（現地時間）、すべてのサポート中バージョンのWindowsに対し月例のセキュリティ更新プログラムをリリースした（パッチチューズデー）。現在、「Windows Update」や「Windows Update カタログ」などから入手可能。Windows以外の製品も含め、今月のパッチではCVE番号ベースで80件の脆弱性が新たに対処されている。

　このうち、すでに攻撃手法が明らかになっているゼロデイ脆弱性は、以下の1件。

• CVE-2025-33051：Microsoft Exchange Server の情報漏えいの脆弱性

　深刻度の評価は、「Important」。悪用の報告はまだないが、できるだけ早い対処が望ましい。

　深刻度が最高の「Critical」と評価された脆弱性は、以下の8件。グラフィックス カーネルや「Office」、「Hyper-V」などに影響する。

• CVE-2025-55226：グラフィックス カーネルのリモートでコードが実行される脆弱性
• CVE-2025-55236：グラフィックス カーネルのリモートでコードが実行される脆弱性
• CVE-2025-54910：Microsoft Office のリモート コードが実行される脆弱性
• CVE-2025-53800：Windows Graphics コンポーネントの特権の昇格の脆弱性
• CVE-2025-55228：Windows グラフィックス コンポーネントのリモートでコードが実行される脆弱性
• CVE-2025-55224：Windows Hyper-V のリモートでコードが実行される脆弱性
• CVE-2025-53799：Windows Imaging Component の情報漏えいの脆弱性
• CVE-2025-54918：Windows NTLM の特権の昇格の脆弱性

Windows 10/11およびWindows Server 2016/2019/2022

　最大深刻度は「緊急」（リモートでコードが実行される）。

• Windows 11 バージョン 24H2：KB5065426
• Windows 11 バージョン 23H2：KB5065431
• Windows 10 バージョン 22H2：KB5065429
• Windows Server 2025：KB5065426
• Windows Server 2022：KB5065432
• Windows Server 2019：KB5065428
• Windows Server 2016：KB5065427

　「Windows 11 バージョン 24H2」におけるハイライトは以下の通り。

• 2025年8月プレビューパッチ「KB5064081」の改善
  ・パーソナライズされた「リコール」アプリの新しいホーム画面
  ・「Click to Do」の初回起動時にインタラクティブなチュートリアルを表示
  ・刷新されたプライバシーダイアログ
  ・タスクバーから「Windows Search」を利用した際、検索結果の画像がグリッド表示されるように
  ・ロック画面をより柔軟にカスタマイズできるように
• Windows更新プログラムをインストールするコンポーネント「サービシング スタック」の品質改善
• インストーラーの修復でUACが必須になる問題を緩和
• 「SMB Server」署名および「SMB Server Extended Protection for Authentication」（EPA）の「Server Message Block」（SMB）クライアント互換性の監査が可能に
• 「NDI」（Network Device Interface）を利用してストリーミングしたり、PC間でオーディオ・ビデオフィードを転送したりすると、オーディオ・ビデオの深刻なスタッタリング（カクつき）、ラグ、途切れが発生する問題を解決

パーソナライズされた「リコール」アプリの新しいホーム画面

「Click to Do」のインタラクティブチュートリアル

刷新されたプライバシーダイアログ

ロック画面をより柔軟にカスタマイズ

　なお、サポート終了の近い「Windows 10 バージョン 22H2」では、個人向け拡張セキュリティ更新プログラム（Extended Security Update：ESU）が提供される。特定の条件を満たせば1年間、追加でセキュリティ更新を受けることができる。

Microsoft Office関連のソフトウェア

　「Microsoft Office」関連のセキュリティ修正に関しては、以下のドキュメントを参照のこと。

• Release notes for Microsoft Office security updates - Office release notes
• Microsoft Office の 2025 年 9 月の更新プログラム - Microsoft サポート

　深刻度「Critical」の脆弱性（CVE-2025-54910、リモートコード実行）が含まれているので、できるだけ早い対応が望ましい。

Microsoft Edge

　「Microsoft Edge」は、「パッチチューズデー」とは関係なくアップデートされている。直近のセキュリティ修正は、米国時間9月5日にリリースされたv140.0.3485.54。

Microsoft SQL Server

　「Microsoft SQL Server」関連では、3件の脆弱性が修正された。

• CVE-2025-47997（重要：情報漏洩）
• CVE-2025-55227（重要：特権の昇格）
• CVE-2024-21907（Unknown）

Microsoft SharePoint

　「Microsoft SharePoint」関連でも、3件の脆弱性が修正されている。

• CVE-2025-54897（重要：リモートでコードが実行される）
• CVE-2025-54905（重要：情報漏洩）
• CVE-2025-54906（重要：リモートでコードが実行される）

そのほかの製品

　そのほかにも、以下の製品に対しセキュリティアップデートが提供されている。括弧内は最大深刻度。

• Xbox Gaming Services：2件（緊急）
• Microsoft HPC Pack 2019：1件（重要）
• Microsoft Entra ID：1件（緊急）
• Microsoft AutoUpdate for Mac：1件（重要）
• Dynamics 365 FastTrack Implementation：1件（緊急）
• cbl2 libsoup 3.0.4-7：1件（不明）
• cbl2 glib 2.71.0-5：1件（不明）
• Azure Networking：1件（緊急）
• Azure Connected Machine Agent：2件（重要）
• Azure Bot Service：1件（緊急）
• azl3 libsoup 3.4.4-9：1件（不明）
• azl3 libcontainers-common 20240213-3：1件（不明）
• azl3 kernel 6.6.96.2-1：86件（不明）
• azl3 glib 2.78.6-3：1件（不明）
• azl3 ceph 18.2.2-10：1件（不明）