マイクロソフトは2026年4月のパッチチューズデー更新をリリースし、Windows、クラウド、アプリケーション製品全体で168の脆弱性を修正しました。これには積極的に悪用されているマイクロソフト SharePoint Serverのゼロデイを含みます。
組織は、継続的な悪用と広範な権限昇格のリスクへの露出を減らすため、この更新を優先することを強く推奨されています。
今月の主要な欠陥はCVE-2026-32201で、マイクロソフト SharePoint Serverのスプーフィング脆弱性であり、攻撃者はすでに野生で悪用しています。
このバグは不適切な入力検証に由来し、リモート攻撃者がユーザーの操作なしにSharePoint環境に対してスプーフィング攻撃を実行することを可能にし、信頼されたエンティティになりすまし、機密データにアクセスまたは変更することができます。
多くの企業が日常のコラボレーションとドキュメント ワークフローにSharePointに依存しているため、この脆弱性は深刻なビジネス リスクであり、他の問題の前にパッチを適用する必要があります。
セキュリティ チームは、インターネットに接続されているすべてのSharePoint サーバーを直ちに更新し、パッチが正しく適用されたことを確認し、認証に関連する疑わしいアクティビティまたは異常なユーザーになりすましに関するアクセス ログを確認する必要があります。
パッチの適用が遅延する可能性がある場合、管理者は外部への露出を制限し、ネットワーク セグメンテーションを厳しくし、SharePoint アクセスに関する強力な認証ポリシーを実施する必要があります。linkedin+2
ゼロデイを超えて、マイクロソフトのガイダンスと独立した勧告は、迅速な修復が必要ないくつかの重要な脆弱性を強調しています。
Azure Data StudioのCVE-2024-26203は権限昇格の欠陥で、低い権限を持つローカル攻撃者がアクセス制御をバイパスして権限をエスカレートすることを可能にし、影響を受けるシステムの機密性、完全性、可用性を侵害する可能性があります。
Xbox Gaming ServicesはCVE-2024-28916の影響を受けています。これはXbox暗号化サービスの権限昇格の問題で、悪用されると攻撃者により高いアクセス権を付与することができます。
.NET FrameworkのCVE-2024-29059は情報開示脆弱性で、機密情報を露出させる可能性があり、高いCVSSスコア7.5を持っており、アプリケーション サーバーでの迅速なパッチの必要性を強調しています。
別の開示バグである、Outlook for AndroidのCVE-2024-26204は、プライベート メール関連のデータを漏らす可能性があり、モバイル ユーザーと管理者が公式ストアから最新のアプリ バージョンをインストールすることが重要になります。
4月のリリースはまた、マイクロソフト Edge(Chromiumベース)の複数のハードニング更新をもたらし、低い深刻度のスプーフィング バグ(CVE-2024-29057)と、ブラウザ セキュリティ 境界を弱める可能性のある複数のセキュリティ機能バイパス脆弱性(CVE-2024-26246、CVE-2024-26247)に対処しています。
Marinerとそれらのオープンソース ツールの追加パッチは、ONNXディレクトリ トラバーサル(CVE-2024-27318)、ONNX境界外読み取り(CVE-2024-27319)、LoongArchメモリ外アクセス(CVE-2024-26588)、およびTLSレース条件(CVE-2024-26583、CVE-2024-26585)を解決し、Linuxベースのワークロードとコンテナ環境を強化します。
セキュリティ チームは、2026年4月のパッチをできるだけ早くすべてのWindowsおよびサーバー 資産全体にデプロイする必要があり、インターネットに接続されているSharePoint サーバー、Azure Data Studio インスタンス、高リスク ブラウザ プラットフォームに最優先を与える必要があります。