Windows 10/11、Office、Azureなどに影響 Microsoftが2025年9月の月例セキュリティ更新プログラムを公開：CVEスコア9.8の脆弱性も

Microsoftは、2025年9月の月例セキュリティ更新プログラムを公開した。WindowsやOffice、Azureなど広範囲の製品に影響し、認証不要で悪用可能な深刻度「緊急」の脆弱性も含まれる。

[＠IT]

　Microsoftは2025年9月9日（米国時間）、同社製品に影響する脆弱（ぜいじゃく）性を修正する月例のセキュリティ更新プログラムを公開した。対象は「Windows 10」「Windows 11」「Windows Server」「Microsoft Office」「Microsoft SharePoint」「Microsoft SQL Server」「Microsoft Azure」で、複数の脆弱性が「緊急」と評価されている。

2025年9月のセキュリティ更新プログラム（提供：Microsoft）

　Windows 10/11やWindows Serverの各バージョン、Office、SharePoint、Azureにおいてリモートコード実行の脆弱性が修正された。SQL Serverに関しては特権昇格の問題が対処されている。

　9月の更新プログラムにより、幾つかの仕様変更も行われる。Windowsドメインコントローラーでの証明書ベース認証に関する「KB5014754」が完全適用モードに移行した。これまでの回避策として利用可能だった「StrongCertificateBindingEnforcement」レジストリキーはサポート外となる。「Windows Server 2025」「Windows 11バージョン24H2」では、「Kerberos」認証からDES（Data Encryption Standard）暗号アルゴリズムが削除されるので、利用中のアプリケーションはより強力な暗号方式への移行が必要となる。

　2025年9月のセキュリティ更新プログラムは85件のCVE（共通脆弱性識別子）で構成されている。

　リモートでコードが実行される「Microsoft HPC（ハイパフォーマンスコンピューティング） Pack」の脆弱性「CVE-2025-55232」は、CVSS（共通脆弱性評価システム）基本値が9.8と高い。認証やユーザー操作を必要とせずに悪用できるので、早急な更新プログラムの適用が推奨されている。

　ファイル／プリンタ共有プロトコルSMB（Server Message Block）のサーバにおける特権昇格の脆弱性「CVE-2025-55234」や.NET向けJSON処理ライブラリ「Newtonsoft.Json」の例外的な状態における不適切な処理に関する脆弱性「CVE-2024-21907」は、更新プログラム公開前に情報が一般公開されていた。速やかな更新プログラムの適用が求められる。

　最新情報はセキュリティ更新プログラムガイドで確認できる。