Microsoftは2025年9月のパッチ火曜日のセキュリティアップデートをリリースし、2つの公開されたゼロデイの欠陥を含む合計81の脆弱性に対処しました。更新には、9つの重要な脆弱性の修正、リモートコードの実行、情報の開示、特権問題の昇格も含まれます。火曜日のこのパッチで修正された脆弱性は、次のように分類されます。

  • 41特権の脆弱性の上昇
  • 2セキュリティ機能バイパスの脆弱性
  • 22リモートコード実行の脆弱性
  • 16情報開示の脆弱性
  • 3サービスの脆弱性
  • 1スプーフィングの脆弱性

81の脆弱性のカウントには、火曜日にパッチでリリースされたもののみが含まれていることに注意することが重要です。 3つのAzure、1つのDynamics 365 FastTrack実装アセット、2つのマリナー、5つのMicrosoft Edge、および1つのXboxの脆弱性を9月上旬に取り上げたものは含まれません。今月のパッチ火曜日は、公開されている2つのゼロデイの脆弱性に対処します。

  • CVE-2025-55234 – Windows SMB特権の脆弱性の高さ: SMBサーバーのこの欠陥は、リレー攻撃を通じて活用される可能性があり、攻撃者が特権攻撃の上昇を実行できるようにします。 Microsoftは、「SMBサーバーは構成に応じて攻撃を中継しやすい可能性があります。これらの脆弱性を成功裏に悪用した攻撃者は、リレー攻撃を実行し、ユーザーを特権攻撃の昇格に伴う可能性があります。」 Windowsには、SMBサーバーの署名を有効にするなど、これを軽減する設定やSMB Serverの拡張保護のための保護(EPA)が含まれています。ただし、Microsoftは、これらの機能を有効にすると、古いデバイスとの互換性の問題を引き起こす可能性があることを認めています。管理者は、これらの硬化機能を完全に実施する前に、SMBサーバーでの監査を潜在的な問題を評価できるようにすることをお勧めします。 「2025年9月9日以降にリリースされたWindowsアップデートの一部(CVE-2025-55234)として、SMBサーバーの署名とSMBサーバーEPAのSMBクライアントの互換性を監査するためのサポートが有効になっています」とMicrosoftは述べています。この脆弱性の情報源と研究者は、承認されていないままです。
  • CVE-2024-21907 – Vulncheck:CVE-2024-21907 Newtonsoft.jsonの例外的な条件の不適切な取り扱い: Microsoft SQL Server内のNewtonsoft.jsonに存在するこの脆弱性には、例外的な条件の誤りが含まれます。 Microsoftは、「CVE-2024-21907は、バージョン13.0.1の前にnewtonsoft.jsonの脆弱性の脆弱性の誤りを誤って対処しています。 状態。” SQL Server Updatesは、Newtonsoft.jsonに更新を組み込んで、2024年に公開されたこの問題に対処しました。

他のいくつかのベンダーも2025年9月にセキュリティの更新とアドバイザリをリリースしました。

You Might Also Like
Openaiは、著作権のオプトインでSORAポリシーを更新します
Openaiは、著作権のオプトインでSORAポリシーを更新します
MW2 Beta がアップデートのチェックで動かなくなった: 修正方法は?
MW2 Beta がアップデートのチェックで動かなくなった: 修正方法は?
ハッカーがCrowdStrikeを騙そうとする
ハッカーがCrowdStrikeを騙そうとする
  • アドビ: Magento Ecommerceストアに影響を与える「SessionReaper」の欠陥のセキュリティ更新をリリースしました。
  • アルゴ: ARGO CDの脆弱性を修正し、低主種のAPIトークンがAPIエンドポイントにアクセスし、プロジェクトに関連するすべてのリポジトリ資格情報を取得できるようにしました。
  • シスコ: WebEx、Cisco ASA、およびその他の製品のパッチをリリースしました。
  • グーグル: 84の脆弱性に対処する9月のAndroidセキュリティアップデートをリリースしました。
  • 樹液: NetWeaverの最大重大度コマンド実行バグの修正を含む、複数の製品の9月のセキュリティ更新をリリースしました。
  • Sitecore: 攻撃で積極的に活用されたCVE-2025-53690として追跡されたゼロデイの脆弱性のセキュリティアップデートをリリースしました。
  • TP-Link: いくつかのルーターに新しいゼロデイが存在することを確認し、同社はその悪用可能性を調査し、米国の顧客向けのパッチを作成しました。

以下は、2025年9月9月のマイクロソフトのパッチ火曜日の更新の解決された脆弱性の包括的なリストです。

  • Azure-ネットワーキング| CVE-2025-54914 | Azure Networking特権の脆弱性|致命的
  • Azure Arc | CVE-2025-55316 | Azure Arc特権の上昇脆弱性|重要
  • Azure Bot Service | CVE-2025-55244 | Azure Bot Serviceの特権の昇格脆弱性|致命的
  • Azure Entra | CVE-2025-55241 | Azure Entra特権の上昇脆弱性|致命的
  • Azure Windows仮想マシンエージェント| CVE-2025-49692 | Azure Connected Machine Agent特権の昇格脆弱性|重要
  • 機能アクセス管理サービス(CAMSVC)| CVE-2025-54108 |機能アクセス管理サービス(CAMSVC)特権脆弱性の昇格|重要
  • Dynamics 365 FastTrack実装資産| CVE-2025-55238 | Dynamics 365 FastTrack実装資産情報情報開示脆弱性|致命的
  • グラフィックカーネル| CVE-2025-55236 |グラフィックカーネルリモートコード実行の脆弱性|致命的
  • グラフィックカーネル| CVE-2025-55223 | DirectX Graphics Kernel特権脆弱性の標高|重要
  • グラフィックカーネル| CVE-2025-55226 |グラフィックカーネルリモートコード実行の脆弱性|致命的
  • Microsoft AutopDate(MAU)| CVE-2025-55317 | Microsoft AutoupDate(MAU)特権の脆弱性の上昇|重要
  • Microsoftブローカーファイルシステム| CVE-2025-54105 | Microsoftブローカーファイルシステムの特権の脆弱性の昇格|重要
  • Microsoft Edge(Chromiumベース)| CVE-2025-9866 |クロム:CVE-2025-9866拡張機能における不適切な実装|未知
  • Microsoft Edge(Chromiumベース)| CVE-2025-9867 |クロム:CVE-2025-9867ダウンロードにおける不適切な実装|未知
  • Microsoft Edge(Chromiumベース)| CVE-2025-53791 | Microsoft Edge(Chromiumベース)セキュリティ機能バイパスの脆弱性|適度
  • Microsoft Edge(Chromiumベース)| CVE-2025-9864 |クロム:CVE-2025-9864 V8 |で無料で使用します未知
  • Microsoft Edge(Chromiumベース)| CVE-2025-9865 |クロム:CVE-2025-9865ツールバーでの不適切な実装|未知
  • Microsoftグラフィックコンポーネント| CVE-2025-53807 | Windowsグラフィックコンポーネントの特権の高さ脆弱性|重要
  • Microsoftグラフィックコンポーネント| CVE-2025-53800 | Windowsグラフィックコンポーネントの特権の高さ脆弱性|致命的
  • Microsoft High Performance Compute Pack(HPC)| CVE-2025-55232 | Microsoft High Performance Compute(HPC)パックリモートコード実行脆弱性|重要
  • Microsoft Office | CVE-2025-54910 | Microsoft Officeリモートコード実行の脆弱性|致命的
  • Microsoft Office | CVE-2025-55243 | Microsoft OfficePlusスプーフィングの脆弱性|重要
  • Microsoft Office | CVE-2025-54906 | Microsoft Officeリモートコード実行の脆弱性|重要
  • Microsoft Office Excel | CVE-2025-54902 | Microsoft Excelリモートコード実行の脆弱性|重要
  • Microsoft Office Excel | CVE-2025-54899 | Microsoft Excelリモートコード実行の脆弱性|重要
  • Microsoft Office Excel | CVE-2025-54904 | Microsoft Excelリモートコード実行の脆弱性|重要
  • Microsoft Office Excel | CVE-2025-54903 | Microsoft Excelリモートコード実行の脆弱性|重要
  • Microsoft Office Excel | CVE-2025-54898 | Microsoft Excelリモートコード実行の脆弱性|重要
  • Microsoft Office Excel | CVE-2025-54896 | Microsoft Excelリモートコード実行の脆弱性|重要
  • Microsoft Office Excel | CVE-2025-54900 | Microsoft Excelリモートコード実行の脆弱性|重要
  • Microsoft Office Excel | CVE-2025-54901 | Microsoft Excel情報開示の脆弱性|重要
  • Microsoft Office PowerPoint | CVE-2025-54908 | Microsoft PowerPointリモートコード実行の脆弱性|重要
  • Microsoft Office SharePoint | CVE-2025-54897 | Microsoft SharePointリモートコード実行の脆弱性|重要
  • Microsoft Office Visio | CVE-2025-54907 | Microsoft Office Visioリモートコード実行の脆弱性|重要
  • Microsoft Office Word | CVE-2025-54905 | Microsoft Word情報開示の脆弱性|重要
  • Microsoft Virtual Hard Drive | CVE-2025-54112 | Microsoft Virtual Hard Disk特権脆弱性の高さ|重要
  • 役割:Windows Hyper-V | CVE-2025-54092 | Windows Hyper-V特権の上昇脆弱性|重要
  • 役割:Windows Hyper-V | CVE-2025-54091 | Windows Hyper-V特権の上昇脆弱性|重要
  • 役割:Windows Hyper-V | CVE-2025-54115 | Windows Hyper-V特権の上昇脆弱性|重要
  • 役割:Windows Hyper-V | CVE-2025-54098 | Windows Hyper-V特権の上昇脆弱性|重要
  • SQL Server | CVE-2025-47997 | Microsoft SQL Server情報開示脆弱性|重要
  • SQL Server | CVE-2025-55227 | Microsoft SQL Serverの特権の脆弱性の昇格|重要
  • SQL Server | CVE-2024-21907 | Vulncheck:CVE-2024-21907 Newtonsoft.jsonの例外的な条件の不適切な取り扱い|未知
  • WinsockのWindows Ancillary Function Driver | CVE-2025-54099 | Winsockの特権の高さのためのWindows Ancillary Function Driver脆弱性|重要
  • Windows BitLocker | CVE-2025-54911 | Windows BitLocker特権の昇格脆弱性|重要
  • Windows BitLocker | CVE-2025-54912 | Windows BitLocker特権の昇格脆弱性|重要
  • Windows Bluetoothサービス| CVE-2025-53802 | Windows Bluetoothサービスの特権の高度脆弱性|重要
  • Windows接続デバイスプラットフォームサービス| CVE-2025-54102 | Windows Connected Devices Platform Serviceの特権の高さ脆弱性|重要
  • Windows接続デバイスプラットフォームサービス| CVE-2025-54114 | Windows接続デバイスプラットフォームサービス(CDPSVC)サービス拒否脆弱性|重要
  • Windows Defenderファイアウォールサービス| CVE-2025-53810 | Windows Defender Firewallサービスの特権の高さ脆弱性|重要
  • Windows Defenderファイアウォールサービス| CVE-2025-53808 | Windows Defender Firewallサービスの特権の高さ脆弱性|重要
  • Windows Defenderファイアウォールサービス| CVE-2025-54094 | Windows Defender Firewallサービスの特権の高さ脆弱性|重要
  • Windows Defenderファイアウォールサービス| CVE-2025-54915 | Windows Defender Firewallサービスの特権の高さ脆弱性|重要
  • Windows Defenderファイアウォールサービス| CVE-2025-54109 | Windows Defender Firewallサービスの特権の高さ脆弱性|重要
  • Windows Defenderファイアウォールサービス| CVE-2025-54104 | Windows Defender Firewallサービスの特権の高さ脆弱性|重要
  • Windows DWM | CVE-2025-53801 | Microsoft DWM Core Libraryの特権の高さの脆弱性|重要
  • Windowsイメージングコンポーネント| CVE-2025-53799 | Windowsイメージングコンポーネント情報開示脆弱性|致命的
  • Windowsインターネット情報サービス| CVE-2025-53805 | http.sys拒否サービスの脆弱性|重要
  • Windowsカーネル| CVE-2025-53803 | Windowsカーネルメモリ情報開示脆弱性|重要
  • Windowsカーネル| CVE-2025-53804 | Windowsカーネルモードドライバー情報開示脆弱性|重要
  • Windowsカーネル| CVE-2025-54110 | Windows Kernel特権の上昇脆弱性|重要
  • Windows Local Security Authorityサブシステムサービス(LSASS)| CVE-2025-54894 |地元のセキュリティ局サブシステムサービス特権の昇格脆弱性|重要
  • Windows Local Security Authorityサブシステムサービス(LSASS)| CVE-2025-53809 |ローカルセキュリティ局のサブシステムサービス(LSASS)サービス拒否脆弱性|重要
  • Windows管理サービス| CVE-2025-54103 | Windows Management Serviceの特権の脆弱性|重要
  • Windows mapurltozone | CVE-2025-54107 | Mapurltozoneセキュリティ機能バイパスの脆弱性|重要
  • Windows mapurltozone | CVE-2025-54917 | Mapurltozoneセキュリティ機能バイパスの脆弱性|重要
  • Windows Multipoint Services | CVE-2025-54116 | Windows Multipoint Servicesの特権の高さ脆弱性|重要
  • Windows NTFS | CVE-2025-54916 | Windows NTFSリモートコード実行の脆弱性|重要
  • Windows NTLM | CVE-2025-54918 | Windows ntlm特権の上昇脆弱性|致命的
  • Windows PowerShell | CVE-2025-49734 | PowerShell特権の直接昇格脆弱性|重要
  • Windowsルーティングとリモートアクセスサービス(RRAS)| CVE-2025-54095 | Windowsルーティングおよびリモートアクセスサービス(RRAS)情報開示脆弱性|重要
  • Windowsルーティングとリモートアクセスサービス(RRAS)| CVE-2025-54096 | Windowsルーティングおよびリモートアクセスサービス(RRAS)情報開示脆弱性|重要
  • Windowsルーティングとリモートアクセスサービス(RRAS)| CVE-2025-53797 | Windowsルーティングおよびリモートアクセスサービス(RRAS)情報開示脆弱性|重要
  • Windowsルーティングとリモートアクセスサービス(RRAS)| CVE-2025-53796 | Windowsルーティングおよびリモートアクセスサービス(RRAS)情報開示脆弱性|重要
  • Windowsルーティングとリモートアクセスサービス(RRAS)| CVE-2025-54106 | Windowsルーティングおよびリモートアクセスサービス(RRAS)リモートコード実行脆弱性|重要
  • Windowsルーティングとリモートアクセスサービス(RRAS)| CVE-2025-54097 | Windowsルーティングおよびリモートアクセスサービス(RRAS)情報開示脆弱性|重要
  • Windowsルーティングとリモートアクセスサービス(RRAS)| CVE-2025-53798 | Windowsルーティングおよびリモートアクセスサービス(RRAS)情報開示脆弱性|重要
  • Windowsルーティングとリモートアクセスサービス(RRAS)| CVE-2025-54113 | Windowsルーティングおよびリモートアクセスサービス(RRAS)リモートコード実行脆弱性|重要
  • Windowsルーティングとリモートアクセスサービス(RRAS)| CVE-2025-55225 | Windowsルーティングおよびリモートアクセスサービス(RRAS)情報開示脆弱性|重要
  • Windowsルーティングとリモートアクセスサービス(RRAS)| CVE-2025-53806 | Windowsルーティングおよびリモートアクセスサービス(RRAS)情報開示脆弱性|重要
  • Windows SMB | CVE-2025-55234 | Windows SMBの特権の高さの脆弱性|重要
  • Windows SMBV3クライアント| CVE-2025-54101 | Windows SMBクライアントリモートコード実行の脆弱性|重要
  • Windows spnego拡張交渉| CVE-2025-54895 | SPNEGO拡張交渉(NEGOEX)セキュリティメカニズムの特権の昇格脆弱性|重要
  • Windows TCP/IP | CVE-2025-54093 | Windows TCP/IPドライバーの特権の高さの脆弱性|重要
  • Windows UI XAMLマップMapControlSettings | CVE-2025-54913 | Windows UI XAMLマップMapControlSettings特権の標高脆弱性|重要
  • Windows UI XAML電話datePickerFlyout | CVE-2025-54111 | Windows UI XAML Phone datePickerflyout特権の標高脆弱性|重要
  • Windows win32k -grfx | CVE-2025-55224 | Windows Hyper-Vリモートコード実行の脆弱性|致命的
  • Windows win32k -grfx | CVE-2025-55228 | Windowsグラフィックコンポーネントリモートコード実行の脆弱性|致命的
  • Windows win32k -grfx | CVE-2025-54919 | Windowsグラフィックコンポーネントリモートコード実行の脆弱性|重要
  • Xbox | CVE-2025-55242 | Xbox認定バグCopilot Djando情報開示脆弱性|致命的
  • Xboxゲームサービス| CVE-2025-55245 | Xbox Gaming Services特権の昇格脆弱性|重要
  2023 年 2 月の Avatar Generations コード

Source: Microsoftは2025年9月にリリースされ、火曜日の更新