Microsoftの最新セキュリティアップデートはゼロデイ脆弱性で溢れており、アクティブに悪用された欠陥が今月のパッチチューズデーアップデートでベンダーが対処した全CVEの10%以上を占めています。
同ベンダーは、ビジネス運用および基盤システム向けの各種製品に影響する59件の脆弱性に対処しました。これには、Microsoftが月次パッチ群をリリースする前にアクティブに悪用されていた6件の欠陥が含まれます。Microsoftによると、悪用された脆弱性のうち3件は公に知られていたとのことで、火曜日のリリース前に攻撃者がすでに欠陥の詳細を把握していたことを示唆しています。
「アクティブな攻撃を受けているバグの数は異常なほど多い」と、Trend MicroのZero Day Initiativeで脅威認識責任者を務めるDustin Childsはブログ投稿で述べています。
Microsoftの2月のセキュリティアップデートは、昨年3月に6件のアクティブに悪用されたゼロデイを公開した際の最高記録に並びました。
最高評価のゼロデイは、CVSSスコア8.8の2件の欠陥で、Windows Shell 8.8に影響するCVE-2026-21510とInternet Explorerに影響するCVE-2026-21513が含まれます。両脆弱性ともユーザーの操作が必要で、攻撃者がコードを実行できる可能性があります。
Action1の社長兼共同創業者であるMike Waltersは、CVE-2026-21510は保護メカニズムの障害によって引き起こされ、攻撃者がユーザーを騙して単一の悪意あるリンクをクリックさせることでWindowsの保護をバイパスできると述べています。
「機能的なエクスプロイト技術が存在し、細工されたリンクやショートカットファイルを通じてWindows ShellおよびSmartScreenセキュリティプロンプトの確実なバイパスを実証しています。攻撃者には権限が不要なため、この脆弱性はフィッシングベースの攻撃にとって非常に魅力的です」とWaltersはブログ投稿で述べています。
残りのゼロデイには、CVSSスコア7.8の3件の欠陥が含まれます:Microsoft Office Wordに影響するCVE-2026-21514、Desktop Window Managerに影響するCVE-2026-21519、Windows Remote Desktopに影響するCVE-2026-21533です。Windows Remote Access Connection Managerに影響するCVE-2026-21525のCVSSスコアは6.2です。
サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、火曜日に6件のゼロデイすべてを既知の悪用された脆弱性カタログに追加しました。
3件の脆弱性 — CVE-2026-21510、CVE-2026-21513、CVE-2026-21514 — はセキュリティ機能バイパスとして強い類似性を持っていると、TenableのシニアスタッフリサーチエンジニアであるSatnam Narangは電子メールで述べています。
これらのセキュリティ機能はユーザーを悪意あるファイルを開くことから保護すると彼は述べました。「ユーザーはこれらのアラートを受け取ることに慣れているため、脆弱性がこれらの保護メカニズムをバイパスできる場合、ユーザーは侵害のリスクがより高くなります。」
Microsoftは今月、CVSSスコア9.8の2件の重大な脆弱性を公開しました。Azure SDKに影響するCVE-2026-21531とAzure Front Doorに影響するCVE-2026-24300です。
Microsoftが今月対処した欠陥の大部分は高深刻度カテゴリに分類され、合計43件の脆弱性を占めています。ベンダーはこれらの脆弱性のうち5件を悪用される可能性が高いと説明しました。
今月対処された脆弱性の完全なリストは、MicrosoftのSecurity Response Centerで入手できます。
翻訳元: https://cyberscoop.com/microsoft-patch-tuesday-february-2026/
