マイクロソフトは2026年6月のパッチチューズデーにあたるセキュリティ更新プログラムをリリースし、同社製品エコシステム全体で198件の脆弱性に対処しました。これは近年の単月パッチとしては最大規模の一つです。
今回の更新プログラムには、パッチ適用前に公開されていたゼロデイ脆弱性3件の修正に加え、深刻度「緊急(Critical)」の欠陥32件および「重要(Important)」の問題166件が含まれており、管理者・エンドユーザーともに早急な対応が求められています。
今月のリリースで特に注目されるのは、公開済みの3件のゼロデイ脆弱性です。いずれも深刻度は「重要(Important)」と評価されています。
深刻度「緊急(Critical)」と評価された32件の脆弱性のうち、リモートコード実行(RCE)の欠陥が最多を占めており、全深刻度合計でRCEは54件に上ります。
CVE-2026-47652 – Windows Hyper-V RCE は、Hyper-Vハイパーバイザー環境内でリモートコード実行を可能にする緊急の脆弱性です。仮想化インフラに対して深刻なリスクをもたらします。
CVE-2026-47288 – Windows Kerberos KDC RCE は、Kerberosキー配布センター(KDC)を標的とした脆弱性で、攻撃者がドメイン認証インフラに対してコードを実行できる可能性があります。Active Directory環境にとっては最悪のシナリオと言えます。
CVE-2026-47291 – HTTP.sys RCE は、Windows HTTP.sys における別の緊急RCE脆弱性です。ゼロデイのDoSバリアントとは異なり、外部に公開されたサーバーに対して認証なしでリモートコード実行が可能になる恐れがあります。
CVE-2026-45648 – Active Directory ドメインサービス RCE は、攻撃者がドメインコントローラー上でコードを実行できる可能性がある緊急の脆弱性です。すべてのエンタープライズ環境において最優先で適用すべきパッチとなっています。
Windowsコアの修正にとどまらず、今回の更新プログラムはマイクロソフト製品の広い範囲に及んでいます。SharePoint Serverでは、CVE-2026-47636からCVE-2026-48562にわたる少なくとも10件のなりすまし(スプーフィング)脆弱性にパッチが適用されました。
リモートデスクトップクライアントでも、CVE-2026-44799、CVE-2026-44801、CVE-2026-42985、CVE-2026-42992、CVE-2026-47654を含む複数の緊急・重要のRCE欠陥が修正されています。
Windows セキュアブートにはセキュリティ機能バイパスに関する複数の修正が施され、Visual Studio Code では特権昇格、情報漏えい、改ざんに関する脆弱性への対処が行われました。
各組織は、2026年6月の累積更新プログラムをできる限り速やかに適用してください。公開済みのゼロデイ脆弱性と多数の緊急RCE脆弱性が重なった今月のパッチチューズデーは、今年最も重大なアップデートの一つと言えます。
翻訳元: https://cyberpress.org/microsoft-patches-198-vulnerabilities/
