一言で言えば: Microsoft は毎月第 2 火曜日に、多くのソフトウェア製品の全体的なセキュリティに取り組んでいます。 Patch Tuesday の伝統は 20 年以上続いていますが、毎月のアップデートで対処される脆弱性の数は本当に急増しています。
Microsoft は最近、Windows、Office、および同社が販売するその他の製品で見つかった脆弱性に対する月例セキュリティ パッチの最新バッチをリリースしました。今月の Patch Tuesday は、記録的な数の CVE 追跡欠陥で注目に値します。200 件の個別のバグと 33 件の「重大な」脆弱性があり、Microsoft の顧客に深刻な影響を与える可能性があります。
6 月のアップデートでは、幅広いセキュリティ問題に対処しています。最も一般的なカテゴリには、特権昇格の脆弱性 (65 件)、リモート コード実行のバグ (55 件)、情報漏えいの問題 (30 件) などが含まれます。 Patch Tuesday リリースには、今月だけで 360 件の問題が修正された Chromium ベースの Edge ブラウザで発見された欠陥は含まれていません。
このアップデートでは、サイバー犯罪者によってすでに積極的に悪用されている公開されたバグである 5 つのゼロデイ脆弱性にも対処しました。ゼロデイ欠陥には、特権昇格の脆弱性である CVE-2026-45586 が含まれます。 CVE-2026-49160、Http.sys のサービス拒否の脆弱性。 CVE-2026-42897、Microsoft Exchange のサーバー スプーフィングの脆弱性。
パッチ CVE-2026-45586 は、以前は GreenPlasma として知られていた脆弱性を対象としています。この欠陥は、評判を傷つけようとした疑いで Microsoft と対立していた Nightmare-Eclipse として知られるセキュリティ研究者によって発見されました。
今月の Patch Tuesday は、Nightmare-Eclipse によって発見されたセキュリティ上の欠陥にも対処しています。 「YellowKey」と呼ばれるこのバグは、Microsoft の全容量 BitLocker 暗号化機能にステルスなバックドアを導入しようとする潜在的な試みであると説明されています。 CVE-2026-45585 として追跡されており、この問題は完全に修正されるはずです。ただし、Microsoft は Nightmare-Eclipse の貢献を公的には認めていません。
そういえば、この研究者は「RoguePlanet」と呼ばれる別のエクスプロイトも公開しました。概念実証コードを悪用すると、完全な「SYSTEM」権限でコマンド プロンプトを開くことができます。 Microsoftが最初の発見者の功績を明かさずにこの問題に静かに対処するかどうかはまだ分からない。
セキュリティ専門家は、Patch Tuesday やその他の定期的なパッチ適用プログラムを通じて対処されるソフトウェアのバグの数は今後も増加すると予想されていると警告しています。 Microsoftは、セキュリティ専門家や脅威アクターも現在、高度なAIモデルを使用して新たな脆弱性を発見していると指摘した。その結果、攻撃対象領域が急速に拡大し、ソフトウェアベンダーは自動検出方法によって発見された問題の修正により多くの時間を費やすことが予想されます。
