今日は毎月恒例「Windows Update」の日、3つのゼロデイ脆弱性と206件の脆弱性を修正

Windowsのセキュリティ更新プログラムやバグ修正を配信する毎月恒例のWindows Updateが公開されました。
2026 年 6 月のセキュリティ更新プログラム (月例)
https://www.microsoft.com/en-us/msrc/blog/2026/06/202606-security-update
Microsoft June 2026 Patch Tuesday fixes 3 zero-day, 200 flaws
https://www.bleepingcomputer.com/news/microsoft/microsoft-june-2026-patch-tuesday-fixes-3-zero-day-200-flaws/
Windows 11 KB5094126 & KB5093998 cumulative updates released
https://www.bleepingcomputer.com/news/microsoft/windows-11-kb5094126-and-kb5093998-cumulative-updates-released/
今回のセキュリティ更新プログラムをインストールすると、Windows 11 25H2(KB5094126)のビルド番号が26200.8457 25H2および26100.8457(24H2)に変更され、23H2(KB5093998)は22631.7079に変更されます。アップデート後、より多くのPCでパフォーマンスの向上とXboxモードが利用できるようになります。XboxモードではPC上でXboxコンソールのような操作感を体験できます。このほか、2人が同時に1台のWindows 11 PCから同じオーディオを聴くことができる共有オーディオ機能が実装され、タスクマネージャーで、NPUを搭載したPCのNPU使用状況の可視性が向上するなど、さまざまな改善が施されています。
今回のアップデートで修正された脆弱(ぜいじゃく)性は以下の通り。
| 対象の製品 | 最大深刻度 | 最も大きな影響 | 関連するサポート技術情報またはサポートのウェブページ |
|---|---|---|---|
| Windows 11 v26H1、v25H2、v24H2、v23H2 | 緊急 | リモートでコードの実行が可能 | v26H1 5095051v25H2、v24H2 5094126v23H2 5093998 |
| Windows Server 2025 (including Server Core installations) | 緊急 | リモートでコードの実行が可能 | 5094125 |
| Windows Server 2022(including Server Core installations) | 緊急 | リモートでコードの実行が可能 | 5094128 |
| Windows Server 2019 、Windows Server 2016 (including Server Core installations) | 緊急 | リモートでコードの実行が可能 | Windows Server 2019:5094123、Windows Server 2016:5094122 |
| Remote Desktop client for Windows Desktop | 重要 | リモートでコードの実行が可能 | https://docs.microsoft.com/en-us/windows-server/remote/remote-desktop-services/clients/windowsdesktop-whatsnew |
| Microsoft Office | 緊急 | リモートでコードの実行が可能 | https://learn.microsoft.com/officeupdates |
| Microsoft SharePoint | 緊急 | リモートでコードの実行が可能 | https://learn.microsoft.com/officeupdates/sharepoint-updates |
| Microsoft Exchange Server | 重要 | リモートでコードの実行が可能 | https://learn.microsoft.com/exchange Exchange Team Blog: Released: June 2026 Exchange Server Security Updates |
| Microsoft .NET | 重要 | 特権の昇格 | https://learn.microsoft.com/dotnet |
| Microsoft Visual Studio | 重要 | 特権の昇格 | https://learn.microsoft.com/visualstudio |
| Microsoft Dynamics 365 | 重要 | 特権の昇格 | https://learn.microsoft.com/dynamics365 |
| Microsoft Azure | 緊急 | リモートでコードの実行が可能 | https://learn.microsoft.com/azure |
| Microsoft Defender for Endpoint for Mac Microsoft Malware Protection Engine | 重要 | リモートでコードの実行が可能 | Deploy updates for Microsoft Defender for Endpoint on macOS Microsoft Defender Antivirus security intelligence and product updates and support - Microsoft Defender for Endpoint |
今回のアップデートでは以下3つのゼロデイ脆弱性が修正されました。これらの脆弱性はいずれも、攻撃に悪用されたという報告はありません
◆CVE-2026-45586:Windows Collaborative Translation Framework (CTFMON) 権限昇格の脆弱性
既に公開済みの脆弱性で、認証済みの攻撃者がローカルで権限を昇格してSYSTEM権限の取得を可能にするものでした。
◆CVE-2026-49160:HTTP.sys サービス拒否(DoS)の脆弱性
「HTTP/2 Bomb」と呼ばれるDoS攻撃手法に用いられる脆弱性です。この攻撃により、ごく少量のデータを送信するだけでサーバーに不釣り合いなほど大量のメモリを割り当てさせることができます。
ウェブサーバーを数秒以内にダウンさせる「HTTP/2 Bomb」攻撃がOpenAIのCodexを使って発見される - GIGAZINE

この攻撃の緩和策として、Microsoftはリクエスト内のヘッダー数を制限するための新しい「MaxHeadersCount」レジストリ設定を導入し、その使用方法に関するサポート情報も公開しました。
◆CVE-2026-50507:Windows BitLocker セキュリティ機能回避の脆弱性
攻撃者が暗号化されたドライブへアクセスできるようになるBitLocker回避脆弱性です。Microsoftは、「Windows BitLockerにおける保護メカニズムの不備により、認証されていない攻撃者が物理的な攻撃によってセキュリティ機能を回避できる」と説明しています。
Microsoft BitLockerで保護されたドライブを回復キーなしにUSBメモリ上のファイルだけでアクセスできる脆弱性が明らかに - GIGAZINE

この脆弱性は主に、Windows 11およびWindows Server 2022/2025でTPMのみを利用したBitLocker保護を使用しているシステムに影響します。Microsoftは以前、この問題に対する暫定的な緩和策として、TPMのみの保護に依存するのではなく、TPM+PIN認証を有効化することを推奨していました。
なお、Windows Updateの公開はアメリカ時間の毎月第2火曜日で、次回のアップデート予定日は日本時間の2026年7月15日(水)です。
・つづき
Microsoft Defenderの新たなゼロデイ脆弱性「RoguePlanet」、2026年6月10日のWindows Updateのパッチを全て当てた状態でも攻撃されてしまう結果に - GIGAZINE

・関連記事
今日は毎月恒例「Windows Update」の日、120件の脆弱性を修正&Windows 11だけでなくWindows 10の拡張セキュリティ更新もあり - GIGAZINE
AIブームに便乗した犯罪が急増、ChatGPTやClaudeの名前で認証情報を盗む手口をMicrosoftが分析 - GIGAZINE
CodexがWindowsの自動操作に対応、自動でペイントで絵を描いたりブラウザを操作したりできる - GIGAZINE
Windowsのゼロデイ脆弱性を投稿したセキュリティ研究者が「Microsoftの報復でGitHubから追放された」と主張 - GIGAZINE
Microsoftが2026年6月のセキュアブート期限を無視した場合にWindows 11 PCに何が起こるかを明らかに - GIGAZINE
・関連コンテンツ
in ソフトウェア, セキュリティ, Posted by log1p_kr
You can read the machine translated English article Today is the monthly 'Windows Update' da….







