今日は毎月恒例「Windows Update」の日、ゼロデイ脆弱性6件・脆弱性58件を修正し6月の期限切れ前に新しいセキュアブート証明書を導入 – GIGAZINE

Windowsのセキュリティ更新プログラムやバグ修正を配信する毎月恒例のWindows Updateが公開されました。今回のWindows Updateでは、「メモ帳」に存在する脆弱(ぜいじゃく)性など複数の脆弱性が修正されています。

2026 年 2 月のセキュリティ更新プログラム (月例)
https://www.microsoft.com/en-us/msrc/blog/2026/02/202602-security-update

2026年2月のアップデートでは、実際に悪用されている6件の脆弱性が修正されました。そのうち3件はすでに公開されていました。実際に悪用されていた6件の脆弱性は以下の通りです。

◆CVE-2026-21510：Windows Shell セキュリティ機能バイパスの脆弱性
特別に細工されたリンクやショートカットファイルを開くことで悪用される脆弱性です。Microsoftは「Windows Shellコンポーネントにおける不適切な処理を悪用することで、攻撃者はWindows SmartScreenおよびWindows Shellのセキュリティプロンプトを回避し、ユーザーへの警告や同意なしに攻撃者が制御するコンテンツを実行できる可能性があります」と説明しました。

◆CVE-2026-21513：MSHTML Framework セキュリティ機能バイパスの脆弱性
WindowsにおけるMSHTMLのセキュリティ機能バイパスの脆弱性で、「MSHTML Frameworkにおける保護メカニズムの不備により、認証されていない攻撃者がネットワーク経由でセキュリティ機能を回避できる可能性があります」とMicrosoftは説明しています。

どのように悪用されたのかについての詳細は公表されていません。

◆CVE-2026-21514：Microsoft Word セキュリティ機能バイパスの脆弱性
ユーザーが悪意のあるOfficeファイルを開くことで、権限のない攻撃者がセキュリティ機能をローカルで回避できるようになるものです。

◆CVE-2026-21519：Desktop Window Manager 特権昇格の脆弱性
Desktop Window Managerにおける脆弱性で、互換性のないタイプを使用してリソースにアクセスすると権限のある攻撃者がローカルで権限を昇格できるようになります。

◆CVE-2026-21525：Windows リモートデスクトップ接続マネージャー サービス拒否の脆弱性
リモートデスクトップ接続マネージャーのNULLポインター参照により、権限のない攻撃者がローカルでサービスを拒否できるようになる脆弱性です。

◆CVE-2026-21533：Windows Remote Desktop Services 特権昇格の脆弱性
リモートデスクトップサービスにおける特権昇格の脆弱性で、認証済みの攻撃者がローカルでSYSTEM権限を取得する可能性があります。

これらに加えて、Microsoftは2026年6月下旬に期限切れとなるオリジナルの2011年証明書を置き換えるため、毎月のWindowsアップデートを通じて更新されたセキュアブート証明書の展開を開始しています。

Windows Updateの公開は太平洋標準時間の毎月第2火曜日で、次回のアップデートは太平洋標準時間の2026年3月10日(火)提供予定となっています。