Microsoftは今月のPatch Tuesdayアップデートで、Microsoft Office SharePointの現在悪用されている脆弱性を含む、その様々な製品と基盤となるシステムに影響する165個の脆弱性に対処しました。
「私の数え方では、これはMicrosoftの歴史における2番目に大きい月間リリースです」と、Trend MicroのZero Day Initiativeの脅威認識責任者であるDustin Childsは火曜日のブログ投稿に書きました。
Microsoftは今月なぜ月間パッチバッチがこんなに大きくなったのかについて説明していませんが、Childsは多くの脆弱性プログラムが人工知能ツールによって発見された提出物の大幅な増加を経験していることに注目しました。「私たちにとって、入ってくるレートは本質的に3倍になっており、トリアージが課題になっていると言わざるを得ません」と彼は付け加えました。
ゼロデイ脆弱性—CVE-2026-32201—は6.5のCVSSレーティングを持ち、攻撃者が機密情報を表示し、開示された情報に変更を加えることができます。Microsoftは、Microsoft Office SharePointの不適切な入力検証欠陥により、認証されていない攻撃者がネットワーク上でスプーフィングを実行できると述べました。
サイバーセキュリティおよびインフラストラクチャセキュリティ庁は、Microsoftの開示後すぐに、このゼロデイを既知の悪用された脆弱性カタログに追加しました。
Microsoftはまた、リリース時点で公開されていた高度な深刻度の脆弱性—CVE-2026-33825—に対処しました。ベンダーはMicrosoft Defenderの欠陥がより悪用される可能性が高く、認可されていない攻撃者が権限をローカルに昇格させることを可能にする可能性があると述べました。
「足がかりとして始まるものは、すぐに完全なシステム支配になることができます」と、Action1の脆弱性研究責任者であるJack Bicerは脆弱性についてのブログ投稿で述べました。
「悪用されると、エンドポイントに対する完全な制御が可能になり、データの流出、セキュリティツールの無効化、ネットワーク全体への横方向の移動が可能になります」とBicerは述べました。
欠陥の概念実証エクスプロイトコードは公開されており、これは野生での悪用の可能性を高めています、と彼は付け加えました。
Microsoftは今月2つの重大な脆弱性を開示しました—CVE-2026-33824 Windows IKE Extensionに影響し、CVE-2026-26149 Microsoft Power Appsに影響しています—が、両方の欠陥を悪用される可能性が低いと指定しました。
Microsoftによると、今月開示された脆弱性の4分の3以上は悪用される可能性が低いです。一方、同社は19の脆弱性をより悪用される可能性が高いと指定しました。
今月対処された脆弱性の完全なリストは、Microsoftのセキュリティレスポンスセンターで入手可能です。
翻訳元: https://cyberscoop.com/microsoft-patch-tuesday-april-2026/
