Microsoft、2025年9月の月例更新 - CVEベースで86件の脆弱性への対応が行われる

マイクロソフトは、2025年9月10日（米国時間）、2025年9月のセキュリティ更新プログラム（月例パッチ）を公開した。該当するソフトウェアはCVEベースで86件である。（）内は対応するCVEである。

SQL Server（CVE-2025-47997）
Azure Windows Virtual Machine Agent（CVE-2025-49692）
Windows PowerShell（CVE-2025-49734）
Microsoft Edge（Chromium-based）（CVE-2025-53791）
Windows Routing and Remote Access Service （RRAS）（CVE-2025-53796）
Windows Routing and Remote Access Service （RRAS）（CVE-2025-53797）
Windows Routing and Remote Access Service （RRAS）（CVE-2025-53798）
Windows Imaging Component（CVE-2025-53799）
Microsoft Graphics Component（CVE-2025-53800）
Windows DWM（CVE-2025-53801）
Windows Bluetooth Service（CVE-2025-53802）
Windows Kernel（CVE-2025-53803）
Windows Kernel（CVE-2025-53804）
Windows Internet Information Services（CVE-2025-53805）
Windows Routing and Remote Access Service （RRAS）（CVE-2025-53806）
Microsoft Graphics Component（CVE-2025-53807）
Windows Defender Firewall Service（CVE-2025-53808）
Windows Local Security Authority Subsystem Service (LSASS)（CVE-2025-53809）
Windows Defender Firewall Service（CVE-2025-53810）
Role: Windows Hyper-V（CVE-2025-54091）
Role: Windows Hyper-V（CVE-2025-54092）
Windows TCP/IP（CVE-2025-54093）
Windows Defender Firewall Service（CVE-2025-54094）
Windows Routing and Remote Access Service （RRAS）（CVE-2025-54095）
Windows Routing and Remote Access Service （RRAS）（CVE-2025-54096）
Windows Routing and Remote Access Service （RRAS）（CVE-2025-54097）
Role: Windows Hyper-V（CVE-2025-54098）
Windows Ancillary Function Driver for WinSock（CVE-2025-54099）
Windows SMBv3 Client（CVE-2025-54101）
Windows Connected Devices Platform Service（CVE-2025-54102）
Windows Management Services（CVE-2025-54103）
Windows Defender Firewall Service（CVE-2025-54104）
Microsoft Brokering File System（CVE-2025-54105）
Windows Routing and Remote Access Service （RRAS）（CVE-2025-54106）
Windows MapUrlToZone（CVE-2025-54107）
Capability Access Management Service（camsvc）（CVE-2025-54108）
Windows Defender Firewall Service（CVE-2025-54109）
Windows Kernel（CVE-2025-54110）
Windows UI XAML Phone DatePickerFlyout（CVE-2025-54111）
Microsoft Virtual Hard Drive（CVE-2025-54112）
Windows Routing and Remote Access Service （RRAS）（CVE-2025-54113）
Windows Connected Devices Platform Service（CVE-2025-54114）
Role: Windows Hyper-V（CVE-2025-54115）
Windows MultiPoint Services（CVE-2025-54116）
Windows Local Security Authority Subsystem Service（LSASS）（CVE-2025-54894）
Windows SPNEGO Extended Negotiation（CVE-2025-54895）
Microsoft Office Excel（CVE-2025-54896）
Microsoft Office SharePoint（CVE-2025-54897）
Microsoft Office Excel（CVE-2025-54898）
Microsoft Office Excel（CVE-2025-54899）
Microsoft Office Excel（CVE-2025-54900）
Microsoft Office Excel（CVE-2025-54901）
Microsoft Office Excel（CVE-2025-54902）
Microsoft Office Excel（CVE-2025-54903）
Microsoft Office Excel（CVE-2025-54904）
Microsoft Office Word（CVE-2025-54905）
Microsoft Office（CVE-2025-54906）
Microsoft Office Visio（CVE-2025-54907）
Microsoft Office PowerPoint（CVE-2025-54908）
Microsoft Office（CVE-2025-54910）
Windows BitLocker（CVE-2025-54911）
Windows BitLocker（CVE-2025-54912）
Windows UI XAML Maps MapControlSettings（CVE-2025-54913）
Windows Defender Firewall Service（CVE-2025-54915）
Windows NTFS（CVE-2025-54916）
Windows MapUrlToZone（CVE-2025-54917）
Windows NTLM（CVE-2025-54918）
Windows Win32K - GRFX（CVE-2025-54919）
Graphics Kernel（CVE-2025-55223）
Windows Win32K - GRFX（CVE-2025-55224）
Windows Routing and Remote Access Service （RRAS）（CVE-2025-55225）
Graphics Kernel（CVE-2025-55226）
SQL Server（CVE-2025-55227）
Windows Win32K - GRFX（CVE-2025-55228）
Microsoft High Performance Compute Pack（HPC）（CVE-2025-55232）
Windows SMB（CVE-2025-55234）
Graphics Kernel（CVE-2025-55236）
Microsoft Office（CVE-2025-55243）
Xbox（CVE-2025-55245）
Azure Arc（CVE-2025-55316）
Microsoft AutoUpdate（MAU）（CVE-2025-55317）

図1 2025年9月のセキュリティ更新プログラム（月例パッチ）が公開された

マイクロソフトでは、セキュリティ更新プログラム、セキュリティアドバイザリに関する注意点として、以下をあげる。

今月のセキュリティ更新プログラムで修正した脆弱性のうち、以下の脆弱性は更新プログラムが公開されるよりも前に詳細が一般へ公開されていることを確認している。ユーザーにおいては、更新プログラムの適用を早急に行ってほしい。脆弱性の詳細は、各CVEのページを参照してほしい。
- CVE-2025-55234 Windows SMBの特権昇格の脆弱性
- CVE-2024-21907 VulnCheck：CVE-2024-21907 Newtonsoft.Jsonでの例外的な状態の不適切な処理
今月のセキュリティ更新プログラムで修正した脆弱性のうち、CVE-2025-55232 Microsoftのハイパフォーマンスコンピューティング（HPC）パックのリモートでコードが実行される脆弱性は、CVSS基本値が9.8と高いスコアで、認証やユーザーの操作なしで悪用が可能な脆弱性である。これらの脆弱性が存在する製品、および悪用が可能となる条件については、各CVEのページの「よく寄せられる質問」を参照してほしい。セキュリティ更新プログラムが公開されるよりも前に、脆弱性の情報の一般への公開、脆弱性の悪用はないが、脆弱性の特性を鑑み、企業組織では早急なリスク評価とセキュリティ更新プログラムの適用を推奨している。
今月のセキュリティ更新プログラムを適用すると、KB5014754：Windowsドメインコントローラーでの証明書ベースの認証の変更が完全適用モードに移行し、StrongCertificateBindingEnforcementレジストリキーがサポートされなくなる。StrongCertificateBindingEnforcementレジストリキーを利用している環境は、事前に検証を行ったうえで更新プログラムを適用してほしい。
今月のセキュリティ更新プログラムを適用すると、Windows Server 2025およびWindows 11 バージョン24H2において、KerberosからDES（Data Encryption Standard）暗号アルゴリズムが削除される。DESを使用しているアプリケーションを利用している場合は、より強力な暗号を使用するように再構成することを推奨している。詳細は、Removal of DES in Kerberos for Windows Server and Clientを参照してほしい。
セキュリティ更新プログラムにおける既知の問題は、各セキュリティ更新プログラムのサポート技術情報を参照してほしい。既知の問題が確認されている各セキュリティ更新プログラムのサポート技術情報一覧は、2025年9月セキュリティ更新プログラムリリースノートに掲載されている。

新たに確認した脆弱性に対応した新しいセキュリティ更新プログラムは、以下の通り。

Windows 11 v24H2、v23H2

緊急（リモートでコードの実行が可能）

v24H2：KB5065426
v24H2ホットパッチ：KB5065474
v23H2：KB5065431

Windows 11 v24H2の更新プログラムであるKB5065426のハイライトの一部は

Windowsオペレーティングシステムのセキュリティの問題に対処する

である。

Windows 10 v22H2

緊急（リモートでコードの実行が可能）

KB5065429

Windows Server 2025（Server Core installationを含む）

緊急（リモートでコードの実行が可能）

KB5065426
ホットパッチ：KB5065474

Windows Server 2022、23H2（Server Core installationを含む）

緊急（リモートでコードの実行が可能）

Windows Server 2022：KB5065432
ホットパッチ：KB5065306
Windows Server 23H2：KB5065425

Windows Server 2019、2016（Server Core installationを含む）

緊急（リモートでコードの実行が可能）

Windows Server 2019：KB5065428
Windows Server 2016：KB5065427

Microsoft Office

緊急（リモートでコードの実行が可能）

セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/officeupdates を参照してほしい。

Microsoft SharePoint

緊急（リモートでコードの実行が可能）

セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/officeupdates/sharepoint-updates を参照してほしい。

Microsoft SQL Server

重要（特権の昇格）

セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/sql を参照してほしい。

Microsoft Azure

緊急（リモートでコードの実行が可能）

セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/azure を参照してほしい。