Microsoft 2025-09 月例アップデート:2件のゼロデイを含む 81件の脆弱性に対応

Microsoft September 2025 Patch Tuesday fixes 81 flaws, two zero-days

2025/09/09 BleepingComputer — 今日は、Microsoft の 2025年9月 Patch Tuesday の日だ。今月のパッチでは、81件の脆弱性に対するセキュリティ・アップデートが提供され、その中には、公開済みのゼロデイ脆弱性2件が含まれる。この月例パッチでは、”Critical” 9件 が修正されている。そのうち5件はリモートコード実行の脆弱性、1件は情報漏洩の脆弱性、2件は権限昇格の脆弱性である。

それぞれの脆弱性カテゴリのバグ件数は、以下の通りである:

  • 41件:権限昇格の脆弱性
  • 2件:セキュリティ機能バイパスの脆弱性
  • 22件:リモートコード実行の脆弱性
  • 16件:情報漏洩の脆弱性
  • 3件:サービス拒否の脆弱性
  • 1件:スプーフィングの脆弱性

Patch Tuesday について、BleepingComputer が記事を掲載する際には、当月の月例パッチでリリースされたものだけをカウントしている。

したがって、この脆弱性の数からは、9月前半に修正された、以下のものが除外されている:

  • Azure の脆弱性:3件
  • Dynamics 365 FastTrack 実装アセットの脆弱性:1件
  • Mariner の脆弱性:2件
  • Microsoft Edge の脆弱性:5件
  • Xbox の脆弱性:1件

今日のリリースにおける、セキュリティ関連以外の更新プログラムの詳細については、Windows 11 KB5065426/KB5065431 の累積更新プログラム、ならびに、Windows 10 KB5065429 の更新プログラムに関する記事を参照してほしい。

すでに情報が公開されたゼロデイ脆弱性2件を修正

今月の月例パッチでは、Windows SMB Server/Microsoft SQL Server において、すでに情報が公開されているゼロデイ脆弱性2件が修正された。Microsoft におけるゼロデイの定義は、公式の修正プログラムがまだ提供されていない状態で、情報が公開された脆弱性と、悪用が始まっている脆弱性である。

公開された2つのゼロデイ脆弱性は以下のとおりである:

CVE-2025-55234:Windows SMB における権限昇格の脆弱性

リレー攻撃により悪用される可能性のある、SMB サーバの権限昇格の脆弱性が修正された。

Microsoft は、「SMB サーバは、コンフィグの内容に応じて、リレー攻撃の影響を受ける可能性がある。これらの脆弱性の悪用に成功した攻撃者は、対象となるユーザーに対してリレー攻撃を実行し、権限昇格攻撃の標的にできる」と説明している。

Microsoft の説明によると、すでに Windows には、リレー攻撃に対する SMB Server 強化のための設定として、SMB サーバ署名/SMB サーバ認証に対する Protection for Authentication (EPA) などが取り込まれている。

ただし、これらの機能を有効化すると、古いデバイスや実装との間で、互換性の問題が発生する可能性がある。

Microsoft が管理者に対して推奨するのは、これらの強化機能を完全に適用した場合の、問題発生の有無を確認するために、SMB サーバ監査を有効化することだ。

Microsoft は、「2025年9月9日以降にリリースされた Windows Update (CVE-2025-55234) は、SMB サーバ署名および SMB Server EPA における、SMB クライアントの互換性監査の有効化をサポートする」と説明している。

この脆弱性の発見について、Microsoft は特定の研究者に帰属させておらず、どこで公開されたのかは不明である。

CVE-2024-21907:Newtonsoft.Json における例外条件の不適切な処理

Microsoft SQL Server に取り込まれている、Newtonsoft.Json に存在する既知の脆弱性が修正された。

Microsoft は、「CVE-2024-21907 は、Newtonsoft.Json のバージョン 13.0.1 以下における、例外条件の不適切な処理に起因する」と説明している。

JsonConvert.DeserializeObject メソッドに渡される細工されたデータにより、StackOverflow 例外が引き起こされ、サービス拒否に至る可能性がある。したがって、このライブラリの使用方法に応じて、未認証のリモート攻撃者に対して、サービス拒否攻撃を許す可能性がある。

SQL Server のアップデートには、この脆弱性に対処する Newtonsoft.Json のアップデートが組み込まれている。この脆弱性は 2024年に公開されたものだ。

他社からの最近のアップデート

2025年9月にアップデートまたはアドバイザリをリリースしたベンダーには、以下が含まれる:

  • Adobe:Magento eCommerce ストアに影響を与える、SessionReaper の脆弱性に対するセキュリティ・アップデートをリリース。
  • Argo:API エンドポイントへの、低権限 API トークン・アクセスにより、対象となるプロジェクトに関連付けられた、すべてのリポジトリ認証情報の取得が可能になってしまう、Argo CD の脆弱性を修正。
  • Cisco:WebEx/Cisco ASA などの製品向けのパッチをリリース。
  • Google:現時点で悪用されている2件の脆弱性を含む、合計84件の脆弱性に対処する、2025年9月の Android セキュリティ・アップデートをリリース。
  • SAP:Netweaver における高深刻度のコマンド実行のバグを修正。その他の、複数の製品に対する 2025年9月のセキュリティ・アップデートをリリース。
  • Sitecore:脆弱性 CVE-2025-53690 に対する、セキュリティ・アップデートをリリースした。この脆弱性は、現時点で悪用されている。
  • TP-Link:一部のルーターに新たなゼロデイ脆弱性が存在することを確認した。同社は、この脆弱性の悪用可能性を調査しており、米国の顧客向けにパッチを作成している。

September 2025 Patch Tuesday のフルリストは、ココで参照できる。

今月の Patch Tuesday では 81 件の脆弱性が修正され、その中には、公開済みゼロデイ 2件が含まれています。1つ目の Windows SMB Server の問題は、認証リレー攻撃を受ける可能性があり、サーバ設定の不備が原因となっています。SMB サーバ署名や EPA といった強化機能は既に用意されていますが、古い環境との互換性のため無効化されているケースも多いようです。もう1つは SQL Server に組み込まれている Newtonsoft.Json のバグであり、例外処理が不十分なためサービス拒否につながります。 2024年に公開された、外部ライブラリの脆弱性が、改めて Microsoft のゼロデイとして扱われています。よろしければ、Microsoft + 月例 で検索も、ご参照ください。