ソフトウェア

今日は毎月恒例「Windows Update」の日、3つのゼロデイ脆弱性と206件の脆弱性を修正


Windowsのセキュリティ更新プログラムやバグ修正を配信する毎月恒例のWindows Updateが公開されました。

2026 年 6 月のセキュリティ更新プログラム (月例)
https://www.microsoft.com/en-us/msrc/blog/2026/06/202606-security-update

Microsoft June 2026 Patch Tuesday fixes 3 zero-day, 200 flaws
https://www.bleepingcomputer.com/news/microsoft/microsoft-june-2026-patch-tuesday-fixes-3-zero-day-200-flaws/

Windows 11 KB5094126 & KB5093998 cumulative updates released
https://www.bleepingcomputer.com/news/microsoft/windows-11-kb5094126-and-kb5093998-cumulative-updates-released/

今回のセキュリティ更新プログラムをインストールすると、Windows 11 25H2(KB5094126)のビルド番号が26200.8457 25H2および26100.8457(24H2)に変更され、23H2(KB5093998)は22631.7079に変更されます。アップデート後、より多くのPCでパフォーマンスの向上とXboxモードが利用できるようになります。XboxモードではPC上でXboxコンソールのような操作感を体験できます。このほか、2人が同時に1台のWindows 11 PCから同じオーディオを聴くことができる共有オーディオ機能が実装され、タスクマネージャーで、NPUを搭載したPCのNPU使用状況の可視性が向上するなど、さまざまな改善が施されています。


今回のアップデートで修正された脆弱(ぜいじゃく)性は以下の通り。

対象の製品最大深刻度最も大きな影響関連するサポート技術情報またはサポートのウェブページ
Windows 11 v26H1、v25H2、v24H2、v23H2緊急リモートでコードの実行が可能v26H1 5095051v25H2、v24H2 5094126v23H2 5093998
Windows Server 2025

(including Server Core installations)
緊急リモートでコードの実行が可能5094125
Windows Server 2022(including Server Core installations)緊急リモートでコードの実行が可能5094128
Windows Server 2019 、Windows Server 2016 (including Server Core installations)緊急リモートでコードの実行が可能Windows Server 2019:5094123、Windows Server 2016:5094122
Remote Desktop client for Windows Desktop重要リモートでコードの実行が可能https://docs.microsoft.com/en-us/windows-server/remote/remote-desktop-services/clients/windowsdesktop-whatsnew
Microsoft Office緊急リモートでコードの実行が可能https://learn.microsoft.com/officeupdates
Microsoft SharePoint緊急リモートでコードの実行が可能https://learn.microsoft.com/officeupdates/sharepoint-updates
Microsoft Exchange Server重要リモートでコードの実行が可能https://learn.microsoft.com/exchange

Exchange Team Blog:

Released: June 2026 Exchange Server Security Updates
Microsoft .NET重要特権の昇格https://learn.microsoft.com/dotnet
Microsoft Visual Studio重要特権の昇格https://learn.microsoft.com/visualstudio
Microsoft Dynamics 365重要特権の昇格https://learn.microsoft.com/dynamics365
Microsoft Azure緊急リモートでコードの実行が可能https://learn.microsoft.com/azure
Microsoft Defender for Endpoint for Mac

Microsoft Malware Protection Engine
重要リモートでコードの実行が可能Deploy updates for Microsoft Defender for Endpoint on macOS

Microsoft Defender Antivirus security intelligence and product updates and support - Microsoft Defender for Endpoint


今回のアップデートでは以下3つのゼロデイ脆弱性が修正されました。これらの脆弱性はいずれも、攻撃に悪用されたという報告はありません

◆CVE-2026-45586:Windows Collaborative Translation Framework (CTFMON) 権限昇格の脆弱性
既に公開済みの脆弱性で、認証済みの攻撃者がローカルで権限を昇格してSYSTEM権限の取得を可能にするものでした。

◆CVE-2026-49160:HTTP.sys サービス拒否(DoS)の脆弱性
「HTTP/2 Bomb」と呼ばれるDoS攻撃手法に用いられる脆弱性です。この攻撃により、ごく少量のデータを送信するだけでサーバーに不釣り合いなほど大量のメモリを割り当てさせることができます。

ウェブサーバーを数秒以内にダウンさせる「HTTP/2 Bomb」攻撃がOpenAIのCodexを使って発見される - GIGAZINE


この攻撃の緩和策として、Microsoftはリクエスト内のヘッダー数を制限するための新しい「MaxHeadersCount」レジストリ設定を導入し、その使用方法に関するサポート情報も公開しました。

◆CVE-2026-50507:Windows BitLocker セキュリティ機能回避の脆弱性
攻撃者が暗号化されたドライブへアクセスできるようになるBitLocker回避脆弱性です。Microsoftは、「Windows BitLockerにおける保護メカニズムの不備により、認証されていない攻撃者が物理的な攻撃によってセキュリティ機能を回避できる」と説明しています。

Microsoft BitLockerで保護されたドライブを回復キーなしにUSBメモリ上のファイルだけでアクセスできる脆弱性が明らかに - GIGAZINE


この脆弱性は主に、Windows 11およびWindows Server 2022/2025でTPMのみを利用したBitLocker保護を使用しているシステムに影響します。Microsoftは以前、この問題に対する暫定的な緩和策として、TPMのみの保護に依存するのではなく、TPM+PIN認証を有効化することを推奨していました。

なお、Windows Updateの公開はアメリカ時間の毎月第2火曜日で、次回のアップデート予定日は日本時間の2026年7月15日(水)です。

・つづき
Microsoft Defenderの新たなゼロデイ脆弱性「RoguePlanet」、2026年6月10日のWindows Updateのパッチを全て当てた状態でも攻撃されてしまう結果に - GIGAZINE

・関連記事
今日は毎月恒例「Windows Update」の日、120件の脆弱性を修正&Windows 11だけでなくWindows 10の拡張セキュリティ更新もあり - GIGAZINE

AIブームに便乗した犯罪が急増、ChatGPTやClaudeの名前で認証情報を盗む手口をMicrosoftが分析 - GIGAZINE

CodexがWindowsの自動操作に対応、自動でペイントで絵を描いたりブラウザを操作したりできる - GIGAZINE

Windowsのゼロデイ脆弱性を投稿したセキュリティ研究者が「Microsoftの報復でGitHubから追放された」と主張 - GIGAZINE

Microsoftが2026年6月のセキュアブート期限を無視した場合にWindows 11 PCに何が起こるかを明らかに - GIGAZINE

in ソフトウェア,   セキュリティ, Posted by log1p_kr

You can read the machine translated English article Today is the monthly 'Windows Update' da….