Microsoft は本日、Windows オペレーティング システムおよび関連ソフトウェアにおける膨大な 167 のセキュリティ脆弱性を修正するソフトウェア更新をリリースしました。これには SharePoint Server のゼロデイと、「BlueHammer」と呼ばれる Windows Defender における公開されている脆弱性が含まれています。別途、Google Chrome は 2026 年の 4 番目のゼロデイを修正し、Adobe Reader の緊急更新はリモート コード実行につながる可能性のある積極的に悪用されている欠陥を排除しました。
マイクロソフトは、攻撃者が既に CVE-2026-32201 をターゲットにしていることを警告しており、これは Microsoft SharePoint Server の脆弱性で、攻撃者はネットワーク経由で信頼されたコンテンツまたはインターフェースをなりすましすることができます。
Mike Walters、Action1 の社長兼共同創業者は、CVE-2026-32201 を使用して、信頼できる SharePoint 環境内で偽造情報を提示することで、従業員、パートナー、または顧客を欺くことができると述べています。
「このCVEはフィッシング攻撃、不正なデータ操作、またはさらなる侵害につながるソーシャル エンジニアリング キャンペーンを引き起こす可能性があります」と Walters は述べました。「積極的な悪用が存在することは、組織のリスクを大幅に増加させます。」
Automox のセキュリティおよび IT マネージャーである Ryan Braunstein は、この欠陥が別個の SQL Server リモート コード実行脆弱性(CVE-2026-33120)と同時にリリースされたと指摘しています。
「1つのバグは、攻撃者がネットワークから SQL インスタンスに侵入することを許可します」と Braunstein は述べました。「もう1つは、既に内部にいるユーザーが自身を完全な制御権に昇格させることを可能にします。」
Microsoft は BlueHammer(CVE-2026-33825)にも対処しました。これは Windows Defender の権限昇格バグです。BleepingComputer によると、この脆弱性を発見した研究者は、Microsoft に通知した後、Microsoft の対応に不満を募らせてエクスプロイト コードを公開しました。Tharros のシニア プリンシパル脆弱性アナリストである Will Dormann は、本日のパッチをインストールした後、公開されている BlueHammer エクスプロイト コードが機能しなくなったことを確認したと述べています。
Tenable のシニア スタッフ リサーチ エンジニアである Satnam Narang は、4 月の Patch Tuesday は Microsoft にとって過去 2 番目に大きいものであると述べました。Narang はまた、Adobe が 4 月 11 日の緊急更新で修正したゼロデイ欠陥 — CVE-2026-34621 — が 2025 年 11 月以降積極的に悪用されているという兆候があると述べました。
Rapid7 のリード ソフトウェア エンジニアである Adam Barnett は、本日 Microsoft が発表したパッチの総数を「その分野の新記録」と呼びました。ほぼ 60 のブラウザー脆弱性が含まれているためです。Barnett はまた、この急激な増加が 1 週間前に発表された Project Glasswing のバズと関連していると想像するのは魅力的かもしれないと述べました — Anthropic からの大いに宣伝されていますが、まだリリースされていない新しい AI 機能で、多くのソフトウェアのバグを見つけるのに優れていると報告されています。
しかし、彼は Microsoft Edge が Chromium エンジンに基づいており、Chromium のメンテナーが Microsoft が先週金曜日に再発行した脆弱性について多くの研究者の貢献を認めていることに注目しています。
「この増加が常に拡大している AI 機能によるものであることは確実です」と Barnett は述べました。「AI モデルの影響が機能と可用性の両面でさらに拡大するにつれて、脆弱性報告量のさらなる増加が見られることを期待すべきです。」
最後に、どのブラウザーを使用してウェブをサーフィンするにせよ、ブラウザーを定期的に完全に閉じて再起動することが重要です。これは本当に先延ばしにしやすいです(特にいつでも大量のタブを開いている場合)が、利用可能な更新がインストールされるようにするための唯一の方法です。たとえば、今月初めにリリースされた Google Chrome の更新は、高重要度のゼロデイ欠陥 CVE-2026-5281 を含む 21 のセキュリティ ホールを修正しました。
パッチごとの詳細な内訳については、SANS Internet Storm Center の Patch Tuesday roundup を確認してください。これらの更新を適用する際に問題が発生していますか?下記のコメント欄にメモを残してください。ここの誰かが解決策を提供してくれるかもしれません。
翻訳元: https://krebsonsecurity.com/2026/04/patch-tuesday-april-2026-edition/
