ニュース
Microsoft、2025年9月の「Windows Update」を実施 ~深刻度最高の脆弱性は8件
グラフィックス カーネルや「Office」、「Hyper-V」などでリモートコード実行のおそれ
2025年9月10日 09:35
米Microsoftは9月9日(現地時間)、すべてのサポート中バージョンのWindowsに対し月例のセキュリティ更新プログラムをリリースした(パッチチューズデー)。現在、「Windows Update」や「Windows Update カタログ」などから入手可能。Windows以外の製品も含め、今月のパッチではCVE番号ベースで80件の脆弱性が新たに対処されている。
このうち、すでに攻撃手法が明らかになっているゼロデイ脆弱性は、以下の1件。
- CVE-2025-33051:Microsoft Exchange Server の情報漏えいの脆弱性
深刻度の評価は、「Important」。悪用の報告はまだないが、できるだけ早い対処が望ましい。
深刻度が最高の「Critical」と評価された脆弱性は、以下の8件。グラフィックス カーネルや「Office」、「Hyper-V」などに影響する。
- CVE-2025-55226:グラフィックス カーネルのリモートでコードが実行される脆弱性
- CVE-2025-55236:グラフィックス カーネルのリモートでコードが実行される脆弱性
- CVE-2025-54910:Microsoft Office のリモート コードが実行される脆弱性
- CVE-2025-53800:Windows Graphics コンポーネントの特権の昇格の脆弱性
- CVE-2025-55228:Windows グラフィックス コンポーネントのリモートでコードが実行される脆弱性
- CVE-2025-55224:Windows Hyper-V のリモートでコードが実行される脆弱性
- CVE-2025-53799:Windows Imaging Component の情報漏えいの脆弱性
- CVE-2025-54918:Windows NTLM の特権の昇格の脆弱性
Windows 10/11およびWindows Server 2016/2019/2022
最大深刻度は「緊急」(リモートでコードが実行される)。
- Windows 11 バージョン 24H2:KB5065426
- Windows 11 バージョン 23H2:KB5065431
- Windows 10 バージョン 22H2:KB5065429
- Windows Server 2025:KB5065426
- Windows Server 2022:KB5065432
- Windows Server 2019:KB5065428
- Windows Server 2016:KB5065427
「Windows 11 バージョン 24H2」におけるハイライトは以下の通り。
- 2025年8月プレビューパッチ「KB5064081」の改善
・パーソナライズされた「リコール」アプリの新しいホーム画面
・「Click to Do」の初回起動時にインタラクティブなチュートリアルを表示
・刷新されたプライバシーダイアログ
・タスクバーから「Windows Search」を利用した際、検索結果の画像がグリッド表示されるように
・ロック画面をより柔軟にカスタマイズできるように - Windows更新プログラムをインストールするコンポーネント「サービシング スタック」の品質改善
- インストーラーの修復でUACが必須になる問題を緩和
- 「SMB Server」署名および「SMB Server Extended Protection for Authentication」(EPA)の「Server Message Block」(SMB)クライアント互換性の監査が可能に
- 「NDI」(Network Device Interface)を利用してストリーミングしたり、PC間でオーディオ・ビデオフィードを転送したりすると、オーディオ・ビデオの深刻なスタッタリング(カクつき)、ラグ、途切れが発生する問題を解決
なお、サポート終了の近い「Windows 10 バージョン 22H2」では、個人向け拡張セキュリティ更新プログラム(Extended Security Update:ESU)が提供される。特定の条件を満たせば1年間、追加でセキュリティ更新を受けることができる。
Microsoft Office関連のソフトウェア
「Microsoft Office」関連のセキュリティ修正に関しては、以下のドキュメントを参照のこと。
- Release notes for Microsoft Office security updates - Office release notes
- Microsoft Office の 2025 年 9 月の更新プログラム - Microsoft サポート
深刻度「Critical」の脆弱性(CVE-2025-54910、リモートコード実行)が含まれているので、できるだけ早い対応が望ましい。
Microsoft Edge
「Microsoft Edge」は、「パッチチューズデー」とは関係なくアップデートされている。直近のセキュリティ修正は、米国時間9月5日にリリースされたv140.0.3485.54。
Microsoft SQL Server
「Microsoft SQL Server」関連では、3件の脆弱性が修正された。
- CVE-2025-47997(重要:情報漏洩)
- CVE-2025-55227(重要:特権の昇格)
- CVE-2024-21907(Unknown)
Microsoft SharePoint
「Microsoft SharePoint」関連でも、3件の脆弱性が修正されている。
- CVE-2025-54897(重要:リモートでコードが実行される)
- CVE-2025-54905(重要:情報漏洩)
- CVE-2025-54906(重要:リモートでコードが実行される)
そのほかの製品
そのほかにも、以下の製品に対しセキュリティアップデートが提供されている。括弧内は最大深刻度。
- Xbox Gaming Services:2件(緊急)
- Microsoft HPC Pack 2019:1件(重要)
- Microsoft Entra ID:1件(緊急)
- Microsoft AutoUpdate for Mac:1件(重要)
- Dynamics 365 FastTrack Implementation:1件(緊急)
- cbl2 libsoup 3.0.4-7:1件(不明)
- cbl2 glib 2.71.0-5:1件(不明)
- Azure Networking:1件(緊急)
- Azure Connected Machine Agent:2件(重要)
- Azure Bot Service:1件(緊急)
- azl3 libsoup 3.4.4-9:1件(不明)
- azl3 libcontainers-common 20240213-3:1件(不明)
- azl3 kernel 6.6.96.2-1:86件(不明)
- azl3 glib 2.78.6-3:1件(不明)
- azl3 ceph 18.2.2-10:1件(不明)