人工知能プラットフォームは人間と同じくらい社会工学的攻撃の影響を受けやすいかもしれませんが、人間が作成したコンピューターコード内のセキュリティ脆弱性を見つけることに非常に優れていることが証明されています。この現実は今月、Apple、Google、Microsoft、Mozilla、Oracleを含む、より広く使用されているいくつかのソフトウェアメーカーが記録に近い量のセキュリティバグを修正し、またはパッチリリースのペースを加速させることで、十分に示されています。
毎月第2火曜日と同じように、Microsoftは本日、様々なWindowsオペレーティングシステムおよび他の製品における少なくとも118個のセキュリティ脆弱性に対処するためのソフトウェアアップデートをリリースしました。注目すべきことに、これはMicrosoftが既に悪用されている緊急のゼロデイ欠陥に対処するための修正を提供していない、ほぼ2年ぶりのパッチチューズデーです。また、本日修正された欠陥の何れも以前に開示されていません(攻撃者に弱点の悪用方法についてのヒントを与える可能性があります)。
脆弱性のうち16個がMicrosoftの最も重大な「クリティカル」ラベルを獲得しました。つまり、マルウェアまたは悪者がこれらのバグを悪用して、ユーザーの支援がほとんどまたはまったくなく、脆弱なWindowsデバイスの遠隔制御を奪取することができます。Rapid7は今月のより懸念される重大な弱点のいくつかを特定するのに多くの作業を行いました。
- CVE-2026-41089:Windows Netlogon内の重大なスタックベースのバッファオーバーフローで、攻撃者にドメインコントローラー上のSYSTEM特権を与えます。特権またはユーザーインタラクションは必要なく、攻撃の複雑さは低いです。パッチは2012年以降のWindows Serverのすべてのバージョンで利用可能です。
- CVE-2026-41096:Windows DNSクライアント実装内の重大なRCEで、Microsoftが悪用の可能性が低いと評価しているにもかかわらず、注目する価値があります。
- CVE-2026-41103:許可されていない攻撃者が偽造された認証情報を提示することで既存のユーザーになりすまし、Entra IDをバイパスすることを可能にする、重大な権限昇格脆弱性です。Microsoftは悪用の可能性がより高いことを予想しています。
5月のパッチチューズデーは4月からの歓迎すべき休息です。4月はMicrosoftが記録に近い167個のセキュリティ欠陥を修正した月です。Microsoftは「プロジェクトグラスウィング」にアクセスを与えられた数十社のテクノロジー大手の1つで、それはAnthropicによって開発された非常に注目されているAI機能で、コード内のセキュリティ脆弱性を発掘するのに非常に効果的であるようです。
プロジェクトグラスウィングのもう1つの初期参加者であるAppleは、通常、iOSデバイスのセキュリティアップデートを出荷するたびに平均20個の脆弱性を修正していると、IvantiのプロダクトマネジメントVPChris Goettlは述べています。5月11日、Appleは少なくとも52個の脆弱性に対処するためのアップデートを出荷し、iPhone 6sおよびiOS 15まですべての変更をバックポートしました。
先月、MozillaはFirefox 150をリリースしました。これはグラスウィング評価中に発見されたと報告された驚くべき271個の脆弱性を解決しました。
「Firefox 150.0.0がリリースされて以来、彼らはセキュリティアップデートのより積極的な週次ペースにあり、5月パッチチューズデーのFirefox 150.0.3のリリースを含めて、各リリースで3〜5つのCVEを解決しています」とGoettlは述べました。
ソフトウェア大手のOracleも同様に、グラスウィングでの作業に対応してパッチペースを最近増加させました。最新の四半期パッチアップデートで、Oracleは少なくとも450個の欠陥に対処し、遠隔で悪用可能で認証されていない欠陥に対する300以上の修正を含めました。しかし、4月末に、Oracleは重大なセキュリティ問題に対する月次アップデートサイクルに切り替えることを発表しました。
5月8日、Googleは驚くべき127個のセキュリティ欠陥を修正したChromeブラウザへのアップデートのロールアウトを開始しました(前月から30個増加)。Chromeは利用可能なセキュリティアップデートを自動的にダウンロードしますが、インストールにはブラウザを完全に再起動する必要があります。
Microsoftまたはここに記載されている他のベンダーのアップデートを適用する際に何か問題が発生した場合は、以下のコメントで自由に述べてください。その間、最近データおよび/またはドライブをバックアップしていない場合は、更新する前にそれを実行することは一般的に良いアドバイスです。本日リリースされたMicrosoftアップデートのより詳細な見方については、このインベントリをSANS Internet Storm Centerでチェックアウトしてください。
翻訳元: https://krebsonsecurity.com/2026/05/patch-tuesday-may-2026-edition/
