パッチカリプス、再び:Microsoftが先月の記録を更新する622件のPatch Tuesday CVE

先月、Microsoftが206件のCVEに対応する記録破りのPatch Tuesdayで話題になったのを覚えているでしょうか。今月と比べれば、あれはまだ牧歌的な時代だったと言えます。Redmondは今回、自社製品に関連する622件のCVEに対するパッチを一挙に公開し、先月の史上最多記録を3倍以上に塗り替えました。

Redmondの今回のPatch Tuesdayリリースもまた記録的な内容となり、あらゆる製品にセキュリティ修正が施されています。この中には、Edgeに影響する非Microsoft製のChromium関連CVE428件が含まれており、これらは先ほどの622件のカウントには含まれていません。そのうち58件が「緊急」評価で、2件は実際に悪用が確認されており、1件はすでに一般公開されている状態です。つまり、この1件も近いうちに悪用済みの2件に加わる可能性があります。

今回のリリースは非常に膨大で、その全容をここで網羅することは到底できません。先月も触れたとおり、セキュリティ業界ではAIを活用した脆弱性発見が進むことで、今後は膨大な量のパッチが当たり前になるのではないかという懸念が広がっていました。Microsoftは今回の膨大なパッチリストにAIがどの程度寄与したかを明らかにしていませんが、この量を見る限り、人間の担当者も何らかの支援を受けていたと考えて間違いなさそうです。

Microsoftの大量パッチ月間

まずは、Microsoftが修正した実際に悪用されている2件の脆弱性から見ていきましょう。

1つ目のCVE-2026-56155は、Active Directory Federation Servicesにおける権限昇格の脆弱性です。Microsoftはこの問題について「ADFSにおけるアクセス制御の粒度が不十分」であることが原因とだけ説明しており、これを悪用した攻撃者は管理者権限を取得できる可能性があります。ただし、悪用にはすでにアクセス権を持ち、かつローカルからのアクセスである必要があるため、CVSSスコアは7.8にとどまっています。

2つ目の実際に悪用されている脆弱性CVE-2026-56164は、Microsoft SharePointにおける別の権限昇格の問題です。SharePointでは重要な機能に対する認証が欠落しているとみられ、ネットワーク上の未認証の攻撃者がSharePointの権限を昇格させられる可能性があります。この問題も、悪用されているもう1件と同様に条件がやや限定的であり、CVSSスコアはわずか5.3となっています。

ただし、どちらも実際に悪用されている以上、スコアの高低よりも、適切なパッチ管理によって脆弱性を確実に排除することの方がはるかに重要です。

一般に公開されているもののまだ悪用は確認されていないCVE-2026-50661は、BitLockerで保護されたマシンにローカルアクセスできる人物であれば、物理的にBitLockerのセキュリティ対策を回避できてしまうという問題です。

続いて、58件の「緊急」評価の脆弱性からいくつかピックアップして紹介します。

誰もがお馴染みの信頼性に難のあるAI製品、Copilotには、CVSS 9.6のリモートコード実行の脆弱性が存在します。CVE-2026-48561は、Copilotが入力を適切に無害化できていないことに起因するもので、未認証の攻撃者がHyper-Vゲストの低権限アクセスさえあればコードを実行できてしまいます。この脆弱性は、たとえば悪意あるWebサイトを用意し、Windowsマシンに組み込まれている数多くのCopilot機能にそのページへのアクセス時点でプロンプトを処理させるといった形で、ユーザーに気づかれることなく悪用できてしまいます。

Microsoft Exchangeでは、入力の無害化に失敗していることが原因で、CVSS 9.6のなりすまし脆弱性が確認されています。これにより、悪意を持って細工されたメールからクロスサイトスクリプティングが可能になります。CVE-2026-55008は、未認証の攻撃者が標的にこうした悪意あるメールを送信するだけで、ネットワーク経由のなりすましを実行し、任意のJavaScriptを実行させられるというものです。

最後にもう1点、今回の膨大なリストの中から個別の脆弱性を1つだけ取り上げるのではなく、Microsoft OfficeとそのファミリーアプリケーションにおけるリモートコードC実行の脆弱性が実に16件に上ることをまとめて紹介しておきます。これらはヒープベースのバッファオーバーフローや解放済みメモリの使用(use after free)といったOfficeスイートに存在するさまざまな問題に起因するもので、いずれもCVSSスコアはおおむね7.8前後となっています。

言うまでもありませんが、Microsoftの助言に従い、これら数百件に上るセキュリティパッチを速やかに適用することを推奨します。

Adobeも複数製品の緊急脆弱性に対応

Patch Tuesdayといえば、600件を超えるCVEを一日で公開したMicrosoftが話題を独占しがちですが、Adobeも自社エコシステム全体にわたる大量のパッチを公開しました。CommerceExperience ManagerCreative Cloud DesktopIllustratorContent Credentials SDKColdFusionAnimateという7件のセキュリティ情報にわたり、合計64件のユニークなCVEが対象となっています。いずれのセキュリティ情報にも、少なくとも数件の緊急度の脆弱性が含まれています。

Adobeが今回公開した多数の脆弱性の中で最も深刻度が高いのは、ColdFusionに存在するCVSS 9.9のパストラバーサルの脆弱性で、任意のコード実行を許してしまう恐れがあります。CVE-2026-48318はまだオンラインのCVEデータベースには登録されていませんが、情報が限られているとはいえ、CVSS 9.9レベルの問題であれば速やかに対応すべきであると言えるでしょう。

Adobeが本日対応した中で2番目に深刻な問題は、Commerceスイートに存在します。CVE-2026-48356は、Commerceが危険なファイル種別のアップロードを適切に制限していないことに起因するCVSS 9.6の権限昇格の脆弱性です。

Adobe Experience Managerにも、CVSS 9.6の脆弱性が2件(CVE-2026-48259CVE-2026-48359)含まれています。いずれも任意のコード実行を許すもので、1つはサーバーサイドリクエストフォージェリの脆弱性に起因し、もう1つはXML外部エンティティ参照の制限が不適切であることに起因しています。

その他の注目すべきPatch Tuesdayリリース

Broadcomは本日、Avi Load Balancerに存在する7件のCVEに対応しました。CVSSスコアは7.1から9.8までとなっており、認証バイパス、リモートコード実行、権限昇格、ディレクトリトラバーサルといった脆弱性が含まれています。

SAPは本日、16件のセキュリティ更新と1件のGitHubアドバイザリを公開しました。このうち9件はCVSSスコアが8.1以上となっています。CVE-2026-44747(CVSS 9.9)は、SAP NetWeaver Application Server ABAPにおけるメモリ破損の問題で、認証済みの攻撃者がシステムデータへの不正アクセスを取得できる恐れがあります。CVE-2026-27690(CVSS 9.1)は、未認証の攻撃者がSAP Approuter経由でHTTPリクエストスマグリングを実行し、システムを利用不能に陥らせる可能性がある脆弱性です。そしてCVE-2026-44761(CVSS 9.1)は、SAP Commerce Cloudにドキュメント化されていないサンプル用OAuth2クライアントが残存している問題で、その存在が知られた場合、攻撃者による侵入を許す恐れがあります。

過去2カ月連続でMicrosoftのパッチ件数が史上最多記録を更新し続けていることを踏まえると、8月はもう少し落ち着いてほしいところですが、正直なところあまり期待はできそうにありません。システム管理者やセキュリティチームの皆さんの健闘を祈ります。®

翻訳元: https://www.theregister.com/security/2026/07/14/patchpocalypse-now-microsoft-tops-last-months-record-with-622-patch-tuesday-cves/5271434

ソース: theregister.com