Microsoft、2026年4月の「Windows Update」「Microsoft Update」を実施
米Microsoftは4月14日(現地時間)、すべてのサポート中バージョンのWindowsに対し月例のセキュリティ更新プログラムをリリースした(パッチチューズデー)。現在、「Windows Update」や「Windows Update カタログ」などから入手可能。Windows以外の製品も含め、今月のパッチではCVE番号ベースで163件の脆弱性(サードパーティーのものも含めると247件)が新たに対処されている。
このうち、以下の2件はすでに悪用が確認されている。一刻も早い対応が必要だ。
CVE-2026-32201:Microsoft SharePoint Server のなりすましの脆弱性(重要)CVE-2026-5281:Chromium: CVE-2026-5281 Dawn における解放後使用(High)
また、以下の脆弱性に関しては攻撃手法が明らかにされている。いずれセキュリティ攻撃に悪用される可能性があるため、できるだけ早い対処を心掛けたい。
深刻度が最高の「Critical」(緊急)と評価された脆弱性は、以下の8件。「.NET Framework」や「Office」、リモートデスクトップ接続クライアントなどに影響する。
CVE-2026-23666:.NET Framework のサービス拒否の脆弱性CVE-2026-32190:Microsoft Office のリモート コードが実行される脆弱性CVE-2026-33114:Microsoft Word のリモートでコードが実行される脆弱性CVE-2026-33115:Microsoft Word のリモートでコードが実行される脆弱性CVE-2026-32157:リモート デスクトップ クライアントのリモートでコードが実行される脆弱性CVE-2026-33826:Windows Active Directory のリモートでコードが実行される脆弱性CVE-2026-33824:Windows インターネット キー交換 (IKE) サーバー拡張機能のリモートでコードが実行される脆弱性CVE-2026-33827:Windows TCP/IP のリモートでコードが実行される脆弱性Windows 10/11およびWindows Server 2016/2019/2022
最大深刻度は「緊急」(リモートでコードが実行される)。
「Windows 11 バージョン 25H2」におけるハイライトは以下の通り。
プレビューパッチ「KB5079391」や、それに続けてリリースされた定例外パッチ「KB5086672」の内容Windows更新プログラムをインストールするコンポーネントである「サービス スタック」の品質改善新しい「セキュア ブート」証明書を自動で受信できるデバイスを拡充。万が一不具合が発生してもその影響を最小限に抑えるため、このプロセスは段階的に行われ、更新成功のシグナルが十分に得られた場合に自動受信が実施されるQUIC経由のSMB圧縮の信頼性を向上。タイムアウトを削減し、より一貫性のある、信頼性の高いパフォーマンスを実現リモート デスクトップ(.rdp)ファイルを利用したフィッシング攻撃に対する保護を強化
なお、「バージョン 25H2」のOSコアは「バージョン 24H2」と共通で、パッチの内容も同じだ。そのため、これらの改善は「バージョン 24H2」環境でも享受できる。
ただし、Home/Proエディションの「バージョン 24H2」はサービス終了まであと半年を切っている。そろそろ「バージョン 25H2」への移行を検討したい。
また、「Windows 10 バージョン 22H2」はすでに一般向けのサポートが終了しており、「拡張セキュリティ更新プログラム」(Extended Security Update:ESU)に登録しないとセキュリティパッチを受け取れない点には注意。
Microsoft Office関連のソフトウェア
「Microsoft Office」関連のセキュリティ修正に関しては、以下のドキュメントを参照のこと。
「Office」と「Word」で、深刻度「Critical」と評価された脆弱性の修正が行われている点には注意。
Microsoft Edge
「Microsoft Edge」は、「パッチチューズデー」とは関係なくアップデートされている。直近のセキュリティ修正は、米国時間4月11日にリリースされたv147.0.3912.60。
なお、WebGPU実装「Dawn」におけるゼロデイ脆弱性には注意。すでに攻撃が確認されており、できるだけ早い対応が必要だ。かならず「Edge」を最新バージョンに保っておきたい。
Microsoft Visual Studio
「Microsoft Visual Studio」では、4件の脆弱性が修正された。
以下のバージョンでセキュリティアップデートが提供中。
「Microsoft Visual Studio 2022」v17.14「Microsoft Visual Studio 2022」v17.12「Microsoft Visual Studio 2019」v16.11「Microsoft Visual Studio 2019」v16.4「Microsoft Visual Studio 2017」v15.9Microsoft SQL Server
「Microsoft SQL Server」関連では、3件の脆弱性が修正された。
Microsoft SharePoint
「Microsoft SharePoint」関連では、2件の脆弱性が修正されている。
Microsoft .NET Framework/.NET
「Microsoft .NET Framework 4.8」では、3件の脆弱性が修正された。
「.NET 10.0」「.NET 9.0」「.NET 8.0」でも、以下の4件の脆弱性が修正されている。
そのほかの製品
そのほかにも、以下の製品に対しセキュリティアップデートが提供中だ。括弧内は最大深刻度。
Windows App Client for Windows Desktop:1件(緊急)Windows Admin Center:1件(重要)Remote Desktop client for Windows Desktop:1件(緊急)PowerShell 7.5:1件(重要)PowerShell 7.4:1件(重要)Microsoft Visual Studio Code CoPilot Chat Extension:1件(重要)Microsoft Power Apps:1件(重要)Microsoft HPC Pack 2019:1件(重要)Microsoft Dynamics 365:1件(重要)Microsoft Defender Antimalware Platform:1件(重要)Azure Monitor Agent:2件(重要)Azure Logic Apps:1件(重要)