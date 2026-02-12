2026年02月12日 12時10分 ソフトウェア

今日は毎月恒例「Windows Update」の日、ゼロデイ脆弱性6件・脆弱性58件を修正し6月の期限切れ前に新しいセキュアブート証明書を導入



Windowsのセキュリティ更新プログラムやバグ修正を配信する毎月恒例のWindows Updateが公開されました。今回のWindows Updateでは、「メモ帳」に存在する脆弱(ぜいじゃく)性など複数の脆弱性が修正されています。



2026 年 2 月のセキュリティ更新プログラム (月例)

https://www.microsoft.com/en-us/msrc/blog/2026/02/202602-security-update











2026年2月のアップデートでは、実際に悪用されている6件の脆弱性が修正されました。そのうち3件はすでに公開されていました。実際に悪用されていた6件の脆弱性は以下の通りです。



◆CVE-2026-21510：Windows Shell セキュリティ機能バイパスの脆弱性

特別に細工されたリンクやショートカットファイルを開くことで悪用される脆弱性です。Microsoftは「Windows Shellコンポーネントにおける不適切な処理を悪用することで、攻撃者はWindows SmartScreenおよびWindows Shellのセキュリティプロンプトを回避し、ユーザーへの警告や同意なしに攻撃者が制御するコンテンツを実行できる可能性があります」と説明しました。



◆CVE-2026-21513：MSHTML Framework セキュリティ機能バイパスの脆弱性

WindowsにおけるMSHTMLのセキュリティ機能バイパスの脆弱性で、「MSHTML Frameworkにおける保護メカニズムの不備により、認証されていない攻撃者がネットワーク経由でセキュリティ機能を回避できる可能性があります」とMicrosoftは説明しています。



どのように悪用されたのかについての詳細は公表されていません。



◆CVE-2026-21514：Microsoft Word セキュリティ機能バイパスの脆弱性

ユーザーが悪意のあるOfficeファイルを開くことで、権限のない攻撃者がセキュリティ機能をローカルで回避できるようになるものです。



◆CVE-2026-21519：Desktop Window Manager 特権昇格の脆弱性

Desktop Window Managerにおける脆弱性で、互換性のないタイプを使用してリソースにアクセスすると権限のある攻撃者がローカルで権限を昇格できるようになります。



◆CVE-2026-21525：Windows リモートデスクトップ接続マネージャー サービス拒否の脆弱性

リモートデスクトップ接続マネージャーのNULLポインター参照により、権限のない攻撃者がローカルでサービスを拒否できるようになる脆弱性です。



◆CVE-2026-21533：Windows Remote Desktop Services 特権昇格の脆弱性

リモートデスクトップサービスにおける特権昇格の脆弱性で、認証済みの攻撃者がローカルでSYSTEM権限を取得する可能性があります。



これらに加えて、Microsoftは2026年6月下旬に期限切れとなるオリジナルの2011年証明書を置き換えるため、毎月のWindowsアップデートを通じて更新されたセキュアブート証明書の展開を開始しています。



IMPORTANT: Secure Boot certificates used by most Windows devices are set to expire starting in June 2026. This might affect the ability of certain personal and business devices to boot securely if not updated in time. To avoid disruption, we recommend reviewing the guidance and… — Windows Update (@WindowsUpdate) January 13, 2026



Windows Updateの公開は太平洋標準時間の毎月第2火曜日で、次回のアップデートは太平洋標準時間の2026年3月10日(火)提供予定となっています。

