本日はマイクロソフトの2025年9月パッチチューズデーであり、2件の公開済みゼロデイ脆弱性を含む81件の脆弱性に対するセキュリティ更新プログラムが含まれています。
今回のパッチチューズデーでは、「重大」な脆弱性9件も修正されており、そのうち5件はリモートコード実行、1件は情報漏洩、2件は権限昇格です。
各脆弱性カテゴリごとのバグの数は以下の通りです:
- 41件の権限昇格の脆弱性
- 2件のセキュリティ機能バイパスの脆弱性
- 22件のリモートコード実行の脆弱性
- 16件の情報漏洩の脆弱性
- 3件のサービス拒否(DoS)の脆弱性
- 1件のなりすましの脆弱性
BleepingComputerがパッチチューズデーのセキュリティ更新を報告する際は、パッチチューズデーにリリースされたもののみをカウントしています。
そのため、今月初めに修正された3件のAzure、1件のDynamics 365 FastTrack Implementation Assets、2件のMariner、5件のMicrosoft Edge、および1件のXboxの脆弱性は含まれていません。
本日リリースされた非セキュリティ更新について詳しく知りたい場合は、Windows 11 KB5065426 & KB5065431 累積更新プログラムに関する専用記事をご覧ください。
2件の公開済みゼロデイを修正
今月のパッチチューズデーでは、Windows SMBサーバーとMicrosoft SQLサーバーにおける2件の公開済みゼロデイ脆弱性が修正されています。マイクロソフトはゼロデイ脆弱性を、公式な修正が提供されていない状態で公開された、または積極的に悪用されているものと定義しています。
公開された2件のゼロデイは以下の通りです:
CVE-2025-55234 – Windows SMB 権限昇格の脆弱性
マイクロソフトは、リレー攻撃を通じて悪用されるSMBサーバーの権限昇格の脆弱性を修正しました。
「SMBサーバーは設定によってはリレー攻撃の影響を受ける可能性があります。これらの脆弱性を悪用した攻撃者は、リレー攻撃を実行し、ユーザーを権限昇格攻撃の対象にすることができます」とマイクロソフトは説明しています。
マイクロソフトによると、WindowsにはすでにSMBサーバーのリレー攻撃対策を強化する設定が含まれており、SMBサーバー署名やSMBサーバー認証の拡張保護(EPA)の有効化が可能です。
ただし、これらの機能を有効にすると、古いデバイスや実装との互換性問題が発生する可能性があります。
マイクロソフトは、管理者に対し、これらの強化機能を完全に適用した際に問題が発生するかどうかを判断するため、SMBサーバーで監査を有効にすることを推奨しています。
「2025年9月9日以降にリリースされたWindows更新プログラム(CVE-2025-55234)の一部として、SMBサーバー署名およびSMBサーバーEPAのSMBクライアント互換性監査のサポートが有効になります」とマイクロソフトは説明しています。
この脆弱性は誰によって報告されたかは明らかにされておらず、どこで公開されたかも不明です。
CVE-2024-21907 – VulnCheck: CVE-2024-21907 Newtonsoft.Jsonにおける例外的条件の不適切な処理
マイクロソフトは、Microsoft SQL Serverの一部として含まれるNewtonsoft.Jsonに既知の脆弱性を修正しました。
「CVE-2024-21907は、Newtonsoft.Jsonバージョン13.0.1より前に存在する例外的条件の不適切な処理の脆弱性に対応しています」とマイクロソフトは説明しています。
「JsonConvert.DeserializeObjectメソッドに細工されたデータが渡されると、StackOverflow例外が発生し、サービス拒否状態になる可能性があります。ライブラリの使用方法によっては、認証されていないリモートの攻撃者がサービス拒否状態を引き起こすことができる場合があります。」
「SQL Serverのドキュメント化された更新プログラムには、この脆弱性に対応するNewtonsoft.Jsonの更新が含まれています。」
この脆弱性は2024年に公開されました。
他社の最近のアップデート
2025年9月にアップデートやアドバイザリをリリースした他のベンダーは以下の通りです:
- Adobe Magento eCommerceストアに影響する「SessionReaper」脆弱性に対するセキュリティ更新をリリース。
- Argo Argo CDの脆弱性を修正。低権限APIトークンでプロジェクトに関連する全リポジトリの認証情報にアクセス可能な問題。
- Cisco WebEx、Cisco ASAなどの製品向けパッチをリリース。
- Google 9月のAndroidセキュリティアップデートをリリース。積極的に悪用されている2件を含む合計84件の脆弱性に対応。
- SAP 複数製品向け9月のセキュリティアップデートをリリース。Netweaverの最大深刻度コマンド実行バグの修正を含む。
- Sitecore CVE-2025-53690として追跡されるゼロデイ脆弱性に対するセキュリティ更新をリリース。実際の攻撃で悪用されていました。
- TP-Link 一部ルーターに新たなゼロデイが存在することを確認。同社は悪用可能性を調査し、米国顧客向けにパッチを作成中。
2025年9月パッチチューズデー セキュリティ更新一覧
以下は、2025年9月パッチチューズデーで解決された脆弱性の全リストです。
各脆弱性の詳細説明や影響を受けるシステムについては、こちらの完全レポートをご覧ください。
| タグ | CVE ID | CVEタイトル | 深刻度 |
|---|---|---|---|
| Azure – ネットワーク | CVE-2025-54914 | Azureネットワーク権限昇格の脆弱性 | 重大 |
