Microsoft、6月の月例更新で多数の脆弱性を修正 - 緊急度高いものも複数

今回の更新で、悪用が確認されていた、または脆弱性情報が公表済みだった複数の問題が修正された。

対象は「HTTP.sys」のサービス拒否脆弱性CVE-2026-49160や、WindowsのCollaborative Translation Framework（CTFMON）の特権昇格脆弱性CVE-2026-45586、「Windows BitLocker」のセキュリティ機能バイパス脆弱性CVE-2026-50507、CVE-2026-45585、「Microsoft Exchange Server」のなりすまし脆弱性CVE-2026-42897や「Microsoft Defender」の特権昇格脆弱性CVE-2026-41091、サービス拒否脆弱性CVE-2026-45498が含まれる。Microsoftは早急な更新適用を推奨している。

深刻度の高い脆弱性も多数修正された。共通脆弱性評価システム（CVSS）基本値9.8で、認証や利用者操作を必要とせず悪用可能な問題として、HTTP.sysのリモートコード実行脆弱性CVE-2026-47291、Windowsカーネルのリモートコード実行脆弱性CVE-2026-45657、「動的ホスト構成プロトコル（DHCP）クライアントサービス」のリモートコード実行脆弱性CVE-2026-44815、「Nuance PowerScribe」のリモートコード実行脆弱性CVE-2026-26142、「Azure Stack Edge」のリモートコード実行脆弱性CVE-2026-47643が挙げられた。公開時点で悪用や情報公開は確認されていないものの、企業には迅速なリスク評価と更新適用が求められている。

更新対象は広範囲に及ぶ。「Windows 11」各バージョン、「Windows Server 2016」以降、「Microsoft Office」「Microsoft SharePoint」、Exchange Server、「Microsoft Azure」「.NET」「Visual Studio」「Microsoft Dynamics 365」「Remote Desktop Client」「Microsoft Defender for Endpoint for Mac」などが含まれる。多くの製品でリモートコード実行に関する脆弱性が修正され、WindowsやOffice、Azure関連製品では「緊急」に分類された更新も提供された。

Microsoftは既存の脆弱性情報も更新した。Exchange Serverのなりすまし脆弱性CVE-2026-42897には6月版更新プログラムへの参照を追加し、Office関連ではWindowsリッチテキストエディットの特権昇格脆弱性CVE-2026-21530の対象製品情報を補完した。Android用「Microsoft 365 Copilot」のスプーフィング脆弱性CVE-2026-41100において、「Microsoft Excel」「Microsoft Word」「Microsoft Loop」「Microsoft PowerPoint」「Microsoft OneNote」のAndroid版を対象製品へ追加した。

過去に公表されたリモートデスクトップ関連の複数の脆弱性についても、包括的な対策としてWindows 11 Version 26H1用更新プログラムが対象に加えられた。MicrosoftはWindows オペレーティングシステム（OS）への2026年6月更新プログラム適用を推奨している。

既存のセキュリティアドバイザリーでは「ADV990001 最新のサービススタック更新プログラム」が更新された。新しいサービススタック更新プログラムが利用可能になったことを通知する内容で、詳細はFAQで案内している。