マイクロソフトが6月のパッチチューズデーで公開済みのゼロデイ3件を含む200件の脆弱性を修正するアップデートを公開し、システム管理者にとって多忙な数週間となりそうです。
対処された重大なCVEは合計33件で、そのうち28件がリモートコード実行(RCE)バグでした。
特に注目すべきゼロデイの一つが、「HTTP/2 Bomb」とも呼ばれるCVE-2026-49160です。
これはAIを活用した研究ツールによって発見されたサービス拒否(DoS)脆弱性で、攻撃者が1台の家庭用コンピューターを使って、わずか20秒でウェブサーバーをダウンさせることが可能です。
「HTTP/2やHTTP/3標準を実装するウェブサーバーに影響を与えるサービス拒否脆弱性の新たな波は、定期的に発生します」とRapid7のプリンシパルソフトウェアエンジニアであるアダム・バーネット氏は説明します。
「CVE-2026-49160の発見者を含む研究者たちが、特定のソフトウェアだけでなくソフトウェアの基盤となる標準規格そのものを調査するためにLLMの進歩を活用するようになるにつれ、この種の脆弱性はさらに拡大する可能性があります。」
パッチチューズデー関連記事: マイクロソフト、5月のパッチチューズデーで重大な欠陥17件を修正
2件目のゼロデイはCVE-2026-50507で、Windows BitLockerのセキュリティ機能バイパス脆弱性です。
Action1の脆弱性調査ディレクターであるジャック・ビサー氏によると、この脆弱性を悪用すると、脆弱なシステムに物理的にアクセスした攻撃者が主要なセキュリティ機能を回避し、デバイスに保存された暗号化データへアクセスできる可能性があるとのことです。
「バイパスに成功すると、このセキュリティ制御が無効化され、機密ビジネス情報、顧客データ、知的財産、財務記録、規制対象データが露出する可能性があります」と同氏は付け加えました。
「エンドポイント暗号化がコンプライアンス要件となっている環境では、悪用によって規制上のリスク、侵害通知義務、評判の低下、財務的損失が生じる可能性があります。」
3件目のゼロデイは、Windows Collaborative Translation Framework(CTFMON)における権限昇格(EoP)の欠陥です。
CVE-2026-45586は「リンクフォロー」が原因で発生しており、ローカルの認証済み攻撃者がシステム権限を取得できる可能性があるとAction1の共同創業者アレックス・ボフク氏は警告しています。
「Windowsが誤ったタイミングで誤ったリンクをたどると、低権限の足がかりが完全なシステム制御へと発展する可能性があります」と同氏は付け加えました。
「システムアクセスにより、マルウェアのインストール、防御回避、認証情報の窃取、データ改ざん、環境内でのさらなる横断的移動が可能になります。企業にとっては、フィッシング、認証情報の盗難、標準ユーザーアカウントの侵害による影響が拡大する恐れがあります。」
優先的に適用すべきパッチ
今月最も多かった脆弱性カテゴリは権限昇格(EoP)で、65件のCVEを占めました。続いてRCEバグ(55件)、情報漏えい(30件)、スプーフィング(27件)、セキュリティ機能バイパス(19件)がトップ5を構成しています。
- CVE-2026-44812:Windows Graphics Component(Win32K-GRFX)のRCE脆弱性。攻撃者がターゲットシステム上で任意のコードを実行できる可能性があります
- CVE-2026-42985:リモートデスクトップクライアントのRCEバグ。攻撃者が機密性の高い企業システムへのアクセスを取得できる可能性があります
- CVE-2026-44815:スタックベースのバッファオーバーフローに起因するWindows DHCPクライアントの重大な欠陥。ネットワークトラフィックを悪用してシステム全体の侵害につながる可能性があります
- CVE-2026-47652:Windows Hyper-VのRCE脆弱性。不正なコードの実行、機密ワークロードの侵害、ホストサービスの中断につながる可能性があります
翻訳元: https://www.infosecurity-magazine.com/news/microsoft-fixes-200-cves-in-june/
