Microsoftが6月の月例パッチを公開 BitLockerやExchangeにゼロデイ脆弱性:セキュリティニュースアラート
Microsoftが2026年6月の月例セキュリティ更新プログラムを公開した。WindowsやOffice、Azureなど広範囲な製品が対象で、悪用確認済みのゼロデイ脆弱性などが修正された。同社は早急な適用を呼びかけている。
この記事は会員限定です。会員登録すると全てご覧いただけます。
Microsoftは2026年6月9日(現地時間)、同社製品に影響する脆弱(ぜいじゃく)性へ対応するため、2026年6月の月例セキュリティ更新プログラムを公開した。
今回の更新は、既に悪用などが確認されている複数のゼロデイ脆弱性が修正対象となっており、対象製品の利用者に対し、速やかな更新適用を呼びかけている。「Windows」製品では原則として自動更新が有効となっており、多くの環境では更新プログラムが自動的に導入される。
Windows、Office、Azureなど広範囲の製品が対象
今回の更新で、悪用が確認されていた、または脆弱性情報が公表済みだった複数の問題が修正された。
対象は「HTTP.sys」のサービス拒否脆弱性CVE-2026-49160や、WindowsのCollaborative Translation Framework(CTFMON)の特権昇格脆弱性CVE-2026-45586、「Windows BitLocker」のセキュリティ機能バイパス脆弱性CVE-2026-50507、CVE-2026-45585、「Microsoft Exchange Server」のなりすまし脆弱性CVE-2026-42897や「Microsoft Defender」の特権昇格脆弱性CVE-2026-41091、サービス拒否脆弱性CVE-2026-45498が含まれる。Microsoftは早急な更新適用を推奨している。
深刻度の高い脆弱性も多数修正された。共通脆弱性評価システム(CVSS)基本値9.8で、認証や利用者操作を必要とせず悪用可能な問題として、HTTP.sysのリモートコード実行脆弱性CVE-2026-47291、Windowsカーネルのリモートコード実行脆弱性CVE-2026-45657、「動的ホスト構成プロトコル(DHCP)クライアントサービス」のリモートコード実行脆弱性CVE-2026-44815、「Nuance PowerScribe」のリモートコード実行脆弱性CVE-2026-26142、「Azure Stack Edge」のリモートコード実行脆弱性CVE-2026-47643が挙げられた。公開時点で悪用や情報公開は確認されていないものの、企業には迅速なリスク評価と更新適用が求められている。
更新対象は広範囲に及ぶ。「Windows 11」各バージョン、「Windows Server 2016」以降、「Microsoft Office」「Microsoft SharePoint」、Exchange Server、「Microsoft Azure」「.NET」「Visual Studio」「Microsoft Dynamics 365」「Remote Desktop Client」「Microsoft Defender for Endpoint for Mac」などが含まれる。多くの製品でリモートコード実行に関する脆弱性が修正され、WindowsやOffice、Azure関連製品では「緊急」に分類された更新も提供された。
Microsoftは既存の脆弱性情報も更新した。Exchange Serverのなりすまし脆弱性CVE-2026-42897には6月版更新プログラムへの参照を追加し、Office関連ではWindowsリッチテキストエディットの特権昇格脆弱性CVE-2026-21530の対象製品情報を補完した。Android用「Microsoft 365 Copilot」のスプーフィング脆弱性CVE-2026-41100において、「Microsoft Excel」「Microsoft Word」「Microsoft Loop」「Microsoft PowerPoint」「Microsoft OneNote」のAndroid版を対象製品へ追加した。
過去に公表されたリモートデスクトップ関連の複数の脆弱性についても、包括的な対策としてWindows 11 Version 26H1用更新プログラムが対象に加えられた。MicrosoftはWindows オペレーティングシステム(OS)への2026年6月更新プログラム適用を推奨している。
既存のセキュリティアドバイザリーでは「ADV990001 最新のサービススタック更新プログラム」が更新された。新しいサービススタック更新プログラムが利用可能になったことを通知する内容で、詳細はFAQで案内している。
関連記事
米2強が狙う“AI社員”の普及 Anthropicは「業務代行」、OpenAIは「運用プラットフォーム」
AnthropicのCoworkとOpenAIのFrontierは、AIが実務をこなす時代の到来を象徴している。ビジネスの現場はどう変わるのだろうか。
ジョーシス、セキュリティ基盤に3つの新機能 ランサムウェア対策強化へ
ジョーシスは、漏えい認証情報の検知、AIエージェントの発見・管理、AIによるポリシー自動実行の3機能を投入し、人・AI・システムの認証情報を統合管理するアイデンティティーセキュリティ基盤を強化した。
サプライチェーン評価制度、大企業の8割超が対応着手 今後は取引先への要求強化へ
エムオーテックスは、大企業の83.5%が「SCS評価制度」の準備・検討を進めているとの調査結果を発表した。取引先に求める対策水準は、制度開始初年度の「星3相当」から、数年後には「星4相当」へ高まる傾向が分かった。
B2B発注担当者の75%がAI検索利用 選定での利用が増加傾向に
Pifteeは、B2B発注担当者の75%がAI検索を利用し、82%が新規企業を発見したとの調査結果を公表した。利用者の98%は公式サイト確認などで情報を検証し、発注先選定で活用が広がっている。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
アイティメディアからのお知らせ
注目のテーマ
人気記事ランキング
- 「英数・記号の混在」はもう古い NISTが禁じたパスワード慣行と組織のリアル
- 「現行機能保証」はなぜ“悪魔の言葉”になったのか PM歴40年の筆者が解説
- AI・ロボット人材は約340万人不足 労働市場のスキル需給、AIでどう可視化する?
- 50%が無許可で公開AIに業務内容を入力するも、“勝手にAIを使う同僚”を許さない日本
- AIで思考力が奪われる? 世界の研究が警告するAIバカの壁【動画あり】
- Gartnerが分類した「2026〜2027年の脅威マップ」 CISOが取るべき防御策は?
- SMBCグループ、AI時代に向けIT環境再構築へ 日本総研とNECが提携
- セキュリティ対策はもう「コスト」ではない 経営層の意識を変えた背景とは
- 「ECC移行もAI活用もスピードが鍵」 SAPジャパン新社長の堀川氏に聞く
- Claude Codeで支出管理 ド素人がバイブコーディングで見えた問題点は?【動画あり】
ITmediaはアイティメディア株式会社の登録商標です。