先月の予測は半分しか当たりませんでした。AnthropicマイトスのアナウンスやMozillaなど各ベンダーから相次いだ脆弱性情報の大量開示があったにもかかわらず、Microsoftのアップデートは例年通りの内容で、Windows 11では65件、Windows 10では58件のCVEが報告されました。
Microsoft Officeのリリースはやや多く、オンラインバージョンでは約19件のCVEが報告されました。AppleはPatch Tuesdayの前日にOSセキュリティアップデートをリリースし、注目を集めるとともに、WindowsとmacOSを組み合わせた展開作業の一助となりました。Windows 11の軽微な問題を除けば、その後の数日間で大きな問題が報告されることなく、すべて正常に完了したことは朗報です。
Microsoft Defender、新たに悪用されたRedSunとUnDefendの脅威をブロック
5月のPatch Tuesday以降、Microsoftの帯域外リリースは1件のみでした。5月21日のリリースでは、Windows SharePoint Serverのリモートコード実行脆弱性であるCVE-2026-45659に対処しました。SharePoint Enterprise Server 2016、Server 2019、Server Subscription Editionを対象とした3つのKBが公開されています。この脆弱性のCVSSスコアは8.8で、現時点では公開または悪用されたという情報はありません。
この修正は6月のPatch Tuesdayリリースに組み込まれる予定です。6月のPatch TuesdayリリースにはWindows 11向けKB5089549のインストール時に発生する失敗やエラーへの修正も含まれます。Microsoftは「この問題は、EFIシステムパーティション(ESP)の空き容量が不足しているデバイス、特に10MB以下の場合に発生する」と認めています。
先月、Microsoft DefenderのエクスプロイトBluehammerが4月のPatch Tuesdayのゼロデイアップデートで修正されたことをお伝えしました。さらに2つのエクスプロイト、CVE-2026-41091に関連するRedSunと、CVE-2026-45498に関連するUnDefendの修正が5月19日にリリースされ、Microsoft Defenderのマルウェア保護エンジンが動的に更新されました。
これらの脆弱性をめぐっては、概念実証コードとともに開示されたことで脅威アクターに素早く悪用されたとして、一部で物議を醸しました。いずれにせよ、Microsoft Defenderが有効になっており、最新バージョンに更新されていることを必ず確認してください。
Microsoft、ドライバー品質向上イニシアチブを発表
MicrosoftはMicrosoft Exchange ServerでCritical評価のなりすまし脆弱性CVE-2026-42897の悪用を確認したと報告しています。CVSSスコアは8.1で、Outlook Web Access内のクロスサイトスクリプティングの問題です。現時点でこの脆弱性に対するパッチは提供されていませんが、Microsoftによると「Exchange Emergency Mitigation ServiceはデフォルトでONになっており、自動的に緩和策を提供する」とのことです。設定を確認し、サービスが有効になっていることを確かめて、既知の脅威から保護されていることをご確認ください。
今月、Microsoftは2018年以来初となるWindows Hardware Engineering Conference(WinHEC 2026)を開催しました。同カンファレンスでは新たなDriver Quality Initiativeプロジェクトが発表されました。同記事によると、Microsoftは「Windows全体におけるドライバーの品質、信頼性、セキュリティの基準を根本的に引き上げたい」としています。快適なユーザー体験はハードウェアデバイス、ドライバー、ソフトウェアがスムーズに連携して動作することを前提としており、Microsoftはこれにはハードウェアとソフトウェアのベンダー間のパートナーシップが不可欠だと強調しました。
このプロジェクトでは、Microsoftがパートナーと緊密に連携しながら、ドライバーの品質向上を目的とするツールやユーティリティを提供していく予定です。注目すべきイニシアチブであり、今後の展開とユーザー体験への影響を引き続き注視していく必要があります。
2026年6月 Patch Tuesday予測
- Microsoft OS、Office、SharePointの標準アップデートが予想されます。悪用が報告された脆弱性CVE-2026-42897に対処するExchange Serverのアップデートにも注目が必要です。
- Creative Cloud AppsのAdobe定期アップデートには、InCopy、InDesign、Photoshopが含まれる可能性が高く、確認された脆弱性によってはAcrobatも対象になるかもしれません。
- 5月11日のAppleセキュリティアップデートはすべてのOSとSafariをカバーしました。リリーススケジュールを踏まえると、来週は新たなアップデートは期待できないでしょう。
- Google Chrome 150が今週ベータチャンネルでリリースされたため、Patch Tuesdayには最終デスクトップ版が登場する見込みです。
- Mozillaは今週Firefox 151.0.3をリリースし、High評価の2つの脆弱性に対処しました。Patch Tuesday前後に、対応するThunderbird、Thunderbird ESR、Firefox ESRのアップデートが公開されると予想されます。Mozillaはここ数週間、一部のリリースを週1回のペースに加速させています。
- Oracleは四半期ごとのCritical Patch Updateの間の月にもセキュリティアップデートを提供すると発表しました。Critical Security Patch Update Advisory(2026年5月版)が最近公表されています。
今月は私が報告した多くの企業活動があったにもかかわらず、Microsoftが月間を通じてリリースした新規パッチは多くありませんでした。AIツールがさらなる問題を発見し、今月報告されるCVEが増加するかどうか、引き続き注目が必要です。
翻訳元: https://www.helpnetsecurity.com/2026/06/05/june-2026-patch-tuesday-forecast/
