4月の「パッチチューズデイ」は、これを見過ごすことが重大な怠慢行為になるほどの結果をもたらして到着しました。業界の大手企業は集団で数百の修復プログラムを配布しており、複数の脆弱性はすでに実際に悪用されています。そのため、これらの更新を延期することはシステムの整合性に受け入れられないリスクをもたらします。
Adobeは12製品のポートフォリオ全体で61の脆弱性に対処しており、Acrobat Reader、InDesign、Photoshop、Illustrator、およびColdFusionが含まれています。最も懸念される問題はAcrobat Readerに関するもので、重大な欠陥が現在攻撃者によって利用されています。この脆弱性は最高優先度レベルが割り当てられており、パッチの即座の導入が必要です。さらに、Readerに付随する修復スイート全体も同等の緊急度で扱われるべきです。
ColdFusionも同様に注意を要し、「緊急」優先度ステータスの下で7つの高重大度脆弱性が解決されました。他のAdobe製品は様々な欠陥を示していますが、パッチのリリース前にこれらの特定のバグの実際の悪用事例は記録されていません。
このサイクルにおけるMicrosoftの貢献は非常に広大です。同社は163の脆弱性を修復しました。これはサードパーティコンポーネントとChromiumのアップデートを考慮に入れると247に上ります。単なる量の観点から、これは同社の歴史における最も広大なリリースの1つを表しています。
特に注目すべき点として、SharePoint Server内に存在する欠陥であるCVE-2026-32201は、すでにアクティブな攻撃で利用されています。具体的な詳細は明らかになっていませんが、そのような異常はクロスサイトスクリプティングに関連していることが多く、攻撃者がサーバデータを操作または流出させることを可能にする可能性があります。公開インターネットに露出しているSharePointインスタンスの場合、即座の修復が最重要です。もう1つの公開された問題であるWindows DefenderのセキュリティCVE-2026-33825が開示されています。その悪用はまだ不安定ですが、脅威は確認されており、現在対処されています。
ネットワーク
2つの特定の脆弱性は「ワームable」な特性を示しています。最初のCVE-2026-33827はWindowsネットワークスタックを狙い、ユーザー介入なしに権限のないリモートコード実行を可能にします。特定のネットワーク構成下では、攻撃者は自己伝播型の攻撃を調整できます。2番目のCVE-2026-33824はインターネットキーエクスチェンジ(IKE)プロトコルに関するものです。UDPポート500および4500のブロックによるリスク軽減は可能ですが、内部横方向の脅威は残存します。
重大な欠陥はオフィスアプリケーションも含みます。プレビュー画面は再び潜在的な攻撃ベクトルとして浮かび上がります。Remote Desktopクライアントの脆弱性も特定されていますが、それは悪意のあるサーバへの接続を必要とします。
4月の修復の相当部分が権限昇格(EoP)に対処しています。ほとんどのシナリオでは、すでに初期アクセスを達成した攻撃者はAdministratorまたはSYSTEMレベルの権限にステータスをエスカレートできます。例外には、rootアクセスを付与するAzure Monitor Agentの欠陥とデータベース管理者権限を容易にするSQL Serverの異常が含まれます。
アップデートの別のレイヤーはセキュリティメカニズムの破壊に焦点を当てており、BitLocker、Secure Boot、Windows Hello、およびPowerShellに影響します。あるケースでは、攻撃者は式の検証をバイパスしてコード実行を達成できます。別のケースでは、仮想化ベースのセキュリティ(VBS)を侵害して保護されたメモリエンクレーブへのアクセスを取得できます。
情報開示は急性度が低いと認識されていますが、より複雑な攻撃の重要な前兆として残存し、通常はメモリアドレスまたはサンドボックスデータの漏洩を伴います。注記された稀なケースは、Copilotとのインタラクション中のModel Context Protocolコンテンツの流出を含みます。圧倒的な規模と自己伝播型の脅威の存在を考えると、この4月のサイクルは迅速で決定的なアクションを要求します。
