Microsoft June 2026 Patch Tuesday fixes 3 zero-day, 200 flaws
2026/06/09 BleepingComputer — Microsoft の 2026年06月 Patch Tuesday では、200 件の脆弱性に対するセキュリティ更新が提供されたが、そのうちの 3 件は、すでに情報が公開済みのゼロデイ脆弱性である。また、今回の Patch Tuesday では、Critical に分類される脆弱性が 33 件修正されているが、その内訳はリモートコード実行 28 件/権限昇格 4 件/情報漏洩 1 件となる。
脆弱性カテゴリ別の件数は以下の通りである:
- 65 件:権限昇格脆弱性
- 19 件:セキュリティ機能バイパス脆弱性
- 55 件:リモートコード実行脆弱性
- 30 件:情報漏えい脆弱性
- 7 件:サービス拒否脆弱性
- 27 件:スプーフィング脆弱性
BleepingComputer による Patch Tuesday の件数は、当日に Microsoft が公開したものだけを対象としている。そのため、今月初旬に修正された Mariner/Azure HorizonDB/Microsoft Copilot/Copilot Chat/M365 Copilot/Exchange Online/Graph の脆弱性は含まれていない。
また、今月に Google が修正した 360 件に及ぶ Chromium/Microsoft Edge の脆弱性も今回の集計から除外されている。
本日リリースされた非セキュリティ更新については、Windows 11 KB5094126/KB5093998 累積更新および、Windows 10 KB5094127 拡張セキュリティ更新に関する別記事を参照してほしい。
注目すべき脆弱性
今月の Patch Tuesday では、3 件の公開済みゼロデイ脆弱性が修正されたが、いずれも攻撃で悪用された形跡は確認されていない。Microsoft のゼロデイ脆弱性の定義は、修正が存在しない状態で公開された脆弱性および、実際に悪用されている脆弱性である。
公開済みゼロデイ脆弱性は以下の通りである:
CVE-2026-45586:Windows Collaborative Translation Framework (CTFMON) 権限昇格脆弱性
Microsoft が修正した Windows CTFMON の脆弱性は、SYSTEM 権限の取得を許すものである。同社は、「Windows Collaborative Translation Framework におけるファイル・アクセス前の不適切なリンク解決 (link following) により、認証済み攻撃者がローカルで権限昇格可能となる」と説明している。
この脆弱性は匿名の研究者により報告されたが、詳細な開示経路は明らかにされていない。
CVE-2026-49160:HTTP.sys サービス拒否脆弱性
Microsoft は “HTTP/2 Bomb”と呼ばれる公開済みサービス拒否脆弱性を修正した。この脆弱性は攻撃的セキュリティ企業 Calif の研究者により、今月に公開されたものだ。同社は、「HTTP/2 におけるリソース消費の制御不備により、未認証の攻撃者がネットワーク経由でサービス拒否を引き起こす可能性がある」と説明している。
HTTP/2 Bomb 攻撃は、HTTP/2 のヘッダ圧縮および管理メカニズムを悪用することで、きわめて小さなデータの送信により、サーバ側に過剰なメモリ・アロケーションを強制する DoS 手法である。
研究者が確認したのは、この攻撃により対象サーバのメモリ使用量が大幅に増加することである。さらに、フロー制御を操作することでメモリ解放を妨げ、性能低下やサービス停止を引き起こす可能性がある。
この攻撃への緩和策として、Microsoft は MaxHeadersCount レジストリ設定を新たに導入し、HTTP/2 および HTTP/3 リクエストで許容されるヘッダ数の制限を可能にした。また、使用方法に関するサポート文書も提供している。
この脆弱性は Calif.io の Quang Luong および Codex により報告された。
CVE-2026-50507:Windows BitLocker セキュリティ機能バイパス脆弱性
Microsoft は、BitLocker のセキュリティ機能バイパス脆弱性を修正した。この脆弱性を悪用するローカル攻撃者は、暗号化ドライブへのアクセスを可能にする。同社は、「Windows BitLocker における保護メカニズムの不備により、物理的な攻撃を仕掛ける未認証の脅威アクターが、セキュリティ機能の回避を可能にする」と説明している。
この脆弱性は匿名の研究者が報告したものとされているが、実際には Nightmare Eclipse により公開された YellowKey 脆弱性に対する修正であると、BleepingComputer は報じている。
YellowKey は、細工されたファイルを USB ドライブまたは EFI パーティションに配置し、Windows Recovery Environment (WinRE) で起動した後に CTRL キーを押すことで、BitLocker 保護されたドライブに対して無制限アクセス可能な、コマンドシェルの起動に至る脆弱性である。
この脆弱性は、主に Windows 11/10 および Windows Server 2025/2022/2019/2016/2012 R2 において、TPM のみで保護された BitLocker 構成に影響する。Microsoft は暫定対策として、TPM のみの保護ではなく TPM+PIN 認証の有効化を推奨している。
Nightmare Eclipse は、Microsoft のバグバウンティおよび脆弱性開示対応への抗議として、BlueHammer/MiniPlasma/RedSun/UnDefend など複数の Windows ゼロデイ脆弱性を公開している。
他ベンダーの最近の更新
2026年05月にアップデート/アドバイザリを公開した主なベンダーは、以下の通りである:
- Acer:2 件の高深刻度かつ未修正の脆弱性について警告し、Acer Wave 7 Routers が乗っ取りに悪用される可能性を示した。
- Adobe:Experience Manager/InDesign/InCopy/Substance 3D Sampler/Dreamweaver/Reader/ColdFusion などに対するセキュリティ更新を公開した。
- Check Point:Qilin ランサムウェア攻撃で悪用された、Remote Access VPN および Mobile Access の脆弱性に対する更新を公開した。
- Cisco:Unified CM の PoC 公開済み脆弱性および、攻撃で悪用された SD-WAN ゼロデイを含む複数製品の更新を公開した。
- Fortinet:FortiOS/FortiSandbox/FortiProxy の複数脆弱性に対する更新を公開した。
- Google:Android の 06月セキュリティ情報で 124 件の脆弱性と、1 件の悪用済み脆弱性を修正した。さらに、Chrome の新たなゼロデイも修正した。
- Ivanti:EPMM および Ivanti Sentry の脆弱性に対する更新を公開した (悪用確認なし)。
- Ubiquiti:リモートコード実行につながる、最大深刻度の 3 件の脆弱性に対する更新を公開した。
- SAP:6月セキュリティ更新を公開し、4 件の深刻な脆弱性に対処した。
- Veeam:Backup & Replication における RCE の脆弱性に対する更新を公開した。
2026年6月 Patch Tuesday セキュリティ更新における、脆弱性の一覧も参照してほしい。
訳者後書:2026年6月の Microsoft Patch Tuesday で修正された、いくつかの深刻な脆弱性について解説する記事です。Windows の複数のゼロデイ脆弱性は、それぞれの機能における処理や制御の不備に起因するものです。たとえば CVE-2026-45586 は、ファイル・アクセス前のリンク解決の不適切な処理、CVE-2026-49160 は HTTP/2 におけるリソース消費の制御不備、そして CVE-2026-50507 は BitLocker の保護メカニズムの不備が原因となっています。それらにより、権限昇格やサービス停止の恐れが生じています。ご利用のチームは、ご注意ください。よろしければ、Microsoft + 月例での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.