Microsoft 6 月パッチ、過去最多 208 件の脆弱性を修正 Defender ゼロデイ悪用中

Microsoft は 6 月 9 日 (米国時間) の月例セキュリティ更新で 208 件の脆弱性を修正しました。2017 年以降で最大規模となる過去最多のリリースで、Microsoft Defender の権限昇格脆弱性 CVE-2026-41091 が既に実際に悪用されています。

主なポイント

• 修正対象 208 件のうち 1 件が悪用確認済みゼロデイ。CVE-2026-41091 (CVSS 7.8) は Defender の権限昇格欠陥で、Defender 側で自動更新されるためユーザー操作は通常不要
• 公表済み (Public) かつ重大度クリティカル (CVSS 9.8) の RCE が複数含まれる: Windows Kernel の CVE-2026-45657 (TCP/IP 経由で SYSTEM 権限の RCE)、HTTP.sys の CVE-2026-47291、DHCP クライアントの CVE-2026-44815。いずれも未認証・ユーザー操作不要
• 影響範囲は Windows、Office、Edge、SharePoint、SQL Server、Visual Studio、Azure 関連製品まで広範
• JPCERT/CC も 6 月 10 日付で注意喚起 (JPCERT-AT-2026-0017) を発出。Exchange Server の CVE-2026-42897 が悪用中である点にも触れている
• 管理者は Windows Update / WSUS を通じた即時適用、特にインターネット境界に近い IIS / DHCP / Kernel 関連の優先パッチ適用が推奨される

出典: Microsoft June 2026 Patch Tuesday fixes 3 zero-day, 200 flaws — BleepingComputer