Microsoft は 4 月 14 日、月例セキュリティ更新「Patch Tuesday」を公開し、168 件の脆弱性を修正しました。過去 2 番目の大規模リリースで、実環境で悪用が確認された SharePoint の 0-day や、Windows IKE / Active Directory を含む 8 件の Critical が含まれます。
主なポイント
- CVE-2026-32201 は SharePoint Server のスプーフィング脆弱性で、野良での悪用を確認。CISA の KEV カタログに登録され、連邦機関には 4 月 28 日までの対処が求められる
- Critical は 8 件、Important は 157 件。最多は権限昇格の 93 件で、RCE は 21 件
- CVE-2026-33824 は Windows IKE Service Extensions の RCE (CVSSv3 9.8)、未認証で細工パケットを送るだけで攻撃が成立する
- 2025 年 10 月の 183 件に次ぐ規模で、2026 年に入って最大の修正数
- 影響範囲が広く SharePoint / AD 利用組織は優先適用が推奨される
出典: Microsoft Issues Patches for SharePoint Zero-Day and 168 Other New Vulnerabilities