Microsoft、2026年5月の「Windows Update」を実施 ~138件中30件は“緊急”の脆弱性/OSや「Azure」製品、「Copilot」、「Office」、「.NET」などに影響
Microsoft、2026年5月の「Windows Update」「Microsoft Update」を実施
米Microsoftは5月12日(現地時間)、すべてのサポート中バージョンのWindowsに対し月例のセキュリティ更新プログラムをリリースした(パッチチューズデー)。現在、「Windows Update」や「Windows Update カタログ」などから入手可能。Windows以外の製品も含め、今月のパッチではCVE番号ベースで138件の脆弱性が新たに対処されている。
このうち、深刻度が最高の「Critical」(緊急)と評価された脆弱性は、以下の30件。OSや「Azure」製品、「Copilot」、「Dynamics 365」、「Office」、「.NET」などに影響する。
・CVE-2026-35435:Azure AI Foundry の特権昇格の脆弱性
・CVE-2026-35428:Azure Cloud Shell のスプーフィングの脆弱性
・CVE-2026-42826:Azure DevOps の情報漏えいの脆弱性
・CVE-2026-32207:Azure Machine Learning Notebook のスプーフィングの脆弱性
・CVE-2026-33109:Azure Managed Instance for Apache Cassandra のリモートでコードが実行される脆弱性
・CVE-2026-33844:Azure Managed Instance for Apache Cassandra のリモートでコードが実行される脆弱性
・CVE-2026-41105:Azure Monitor のアクション グループの通知システムの特権昇格の脆弱性
・CVE-2026-33111:Copilot Chat (Microsoft Edge) の情報漏えいの脆弱性
・CVE-2026-26129:M365 Copilot の情報漏えいの脆弱性
・CVE-2026-26164:M365 Copilot の情報漏えいの脆弱性
・CVE-2026-33821:Microsoft Dynamics 365 Customer Insights の特権昇格の脆弱性
・CVE-2026-42898:Microsoft Dynamics 365 オンプレミスのリモートでコードが実行される脆弱性
・CVE-2026-40379:Microsoft Enterprise セキュリティ トークン サービス (ESTS) のスプーフィングの脆弱性
・CVE-2026-40363:Microsoft Office のリモート コードが実行される脆弱性
・CVE-2026-40358:Microsoft Office のリモート コードが実行される脆弱性
・CVE-2026-34327:Microsoft パートナー センターのスプーフィングの脆弱性
・CVE-2026-40365:Microsoft SharePoint Server のリモートでコードが実行される脆弱性
・CVE-2026-41103:Jira と Confluence 用の Microsoft SSO プラグインの特権昇格の脆弱性
・CVE-2026-33823:Microsoft Teams のイベント ポータルの報漏えいの脆弱性
・CVE-2026-40364:Microsoft Word のリモートでコードが実行される脆弱性
・CVE-2026-40366:Microsoft Word のリモートでコードが実行される脆弱性
・CVE-2026-40361:Microsoft Word のリモートでコードが実行される脆弱性
・CVE-2026-40367:Microsoft Word のリモートでコードが実行される脆弱性
・CVE-2026-42831:Microsoft Office のリモート コードが実行される脆弱性
・CVE-2026-41096:Windows DNS クライアントのリモートでコードが実行される脆弱性
・CVE-2026-35421:Windows GDI のリモートでコードが実行される脆弱性
・CVE-2026-40403:Windows グラフィックス コンポーネントのリモートでコードが実行される脆弱性
・CVE-2026-40402:Windows Hyper-V の特権の昇格の脆弱性
・CVE-2026-32161:Windows ネイティブ WiFi ミニポート ドライバーのリモートでコードが実行される脆弱性
Windows 10/11およびWindows Server 2016/2019/2022
最大深刻度は「緊急」(リモートでコードが実行される)。
・Windows 11 バージョン 26H1:KB5089548
・Windows 11 バージョン 25H2:KB5089549
・Windows 11 バージョン 24H2:KB5089549
・Windows 11 バージョン 23H2:KB5087420
・Windows 10 バージョン 22H2(ESU):KB5087544
・Windows Server 2025:KB5087539
・Windows Server 2022:KB5087545
・Windows Server 2019:KB5087538
・Windows Server 2016:KB5087537
「Windows 11 バージョン 25H2」におけるハイライトは以下の通り。
・2026年4月プレビューパッチ「KB5083631」の内容
・ゲーム専用モード「Xbox モード」
・入力機能の拡充。「PowerPoint」ではペンの触覚フィードバックに対応
・プリインストールされた「Microsoft Store」アプリをグループポリシーで一括削除するポリシー(Windows Enterprise/Education向け)が拡充。IT管理者側で削除アプリを追加できるように
・スタートアップ アプリを起動する際のパフォーマンスが向上
・「エクスプローラー」の強化。展開できるファイル拡充、プレビューブロックの強制解除など
・OSの再起動なしにON/OFFできる「スマート アプリ コントロール」(Smart App Control:SAC)
・「ドラッグトレイ」(drag tray)は「ドロップトレイ」(drop tray)に
・「Windows 保護印刷モード」を示す新しいプリンターアイコン
・AIエージェントの進捗をWindowsのタスクバーでチェックできる「Agents on Taskbar」
・MIDI機器との非互換性を改善
・Windows更新プログラムをインストールするコンポーネントであるサービス スタックの品質向上
・新しい「セキュアブート」証明書を自動的に受信できるデバイスの対象範囲を拡大
・ブートファイルを更新した後の起動の信頼性向上・デバイスが「BitLocker」リカバリモードに入ることなく正常に起動するように
・「Simple Service Discovery Protocol」(SSDP)通知の信頼性向上。サービスが応答しなくなるのを防止
ゲーム専用モード「Xbox モード」
「エクスプローラー」の強化。展開できるファイル拡充、プレビューブロックの強制解除など
OSの再起動なしにON/OFFできる「スマート アプリ コントロール」(Smart App Control:SAC)
「ドラッグトレイ」(drag tray)|n@@は「ドロップトレイ」(drop tray)に
「Windows 保護印刷モード」を示す新しいプリンターアイコン
AIエージェントの進捗をWindowsのタスクバーでチェックできる「Agents on Taskbar」
なお、「バージョン 25H2」のOSコアは「バージョン 24H2」と共通で、パッチの内容も同じだ。そのため、これらの改善は「バージョン 24H2」環境でも享受できる。
ただし、Home/Proエディションの「バージョン 24H2」はサービス終了まであと3カ月を切っている。そろそろ「バージョン 25H2」への移行を検討したい。
また、「Windows 10 バージョン 22H2」はすでに一般向けのサポートが終了しており、「拡張セキュリティ更新プログラム」(Extended Security Update:ESU)に登録しないとセキュリティパッチを受け取れない点には注意。
Microsoft Office関連のソフトウェア
「Microsoft Office」関連のセキュリティ修正に関しては、以下のドキュメントを参照のこと。
・Release notes for Microsoft Office security updates - Office release notes
「Office」と「Word」で、深刻度「Critical」と評価された脆弱性の修正が行われているので、できるだけ早い対処を心掛けたい。
Microsoft Edge
「Microsoft Edge」は、「パッチチューズデー」とは関係なくアップデートされている。直近のセキュリティ修正は、米国時間5月7日にリリースされたv148.0.3967.54。
「Edge」内蔵のAI機能「Copilot Chat」で、深刻度「緊急」の脆弱性「CVE-2026-33111」(情報漏えい)が修正されている点にも注意。
Microsoft Visual Studio
「Microsoft Visual Studio」では、2件の脆弱性が修正された。
・CVE-2026-32175(重要:Tampering)
・CVE-2026-32177(重要:特権の昇格)
以下のバージョンでセキュリティアップデートが提供中。
・「Microsoft Visual Studio 2026」v18.5
・「Microsoft Visual Studio 2022」v17.14
・「Microsoft Visual Studio 2022」v17.12
・「Microsoft Visual Studio 2019」v16.11
・「Microsoft Visual Studio 2017」v15.9
Microsoft SQL Server
「Microsoft SQL Server」関連では、1件の脆弱性が修正された。
・CVE-2026-40370(重要:リモートでコードが実行される)
Microsoft SharePoint
「Microsoft SharePoint」関連では、7件の脆弱性が修正されている。
・CVE-2026-40365(緊急:リモートでコードが実行される)
・CVE-2026-40367(緊急:リモートでコードが実行される)
・CVE-2026-33110(重要:リモートでコードが実行される)
・CVE-2026-33112(重要:リモートでコードが実行される)
・CVE-2026-35439(重要:リモートでコードが実行される)
・CVE-2026-40357(重要:リモートでコードが実行される)
・CVE-2026-40368(重要:リモートでコードが実行される)
深刻度が「緊急」と評価された脆弱性が含まれているので、警戒が必要だ。
Microsoft Dynamics 365
「Microsoft Dynamics 365」でも、以下の2件の脆弱性が修正された。深刻度が「緊急」と評価された脆弱性が含まれている。
・CVE-2026-42898(緊急:リモートでコードが実行される)
・CVE-2026-42833(重要:リモートでコードが実行される)
Microsoft .NET Framework/.NET
「Microsoft .NET Framework」「.NET」関連のセキュリティ修正に関しては、公式ブログを参照のこと。CVE番号ベースで4件の修正がアナウンスされている。
そのほかの製品
そのほかにも、以下の製品に対しセキュリティアップデートが提供中だ。括弧内は最大深刻度。
・Windows Admin Center in Azure Portal:1件(重要)
・Windows Admin Center:1件(重要)
・Visual Studio Code - Live Preview extension:1件(重要)
・Visual Studio Code:4件(重要)
・Power Automate for Desktop:1件(重要)
・Microsoft Teams for Android:1件(重要)
・Microsoft Teams:1件(緊急)
・Microsoft Partner Center:1件(緊急)
・Microsoft JIRA SAML SSO plugin:1件(緊急)
・Microsoft Enterprise Security Token Service:1件(緊急)
・Microsoft Data Formulator:1件(重要)
・Microsoft Confluence SAML SSO plugin:1件(緊急)
・Microsoft 365 Copilot's Business Chat:2件(緊急)
・Microsoft 365 Copilot for Android:1件(重要)
・M365 Copilot for Desktop:1件(重要)
・Dynamics 365 Customer Insights:1件(緊急)
・Copilot Chat:1件(緊急)
・Azure SDK for Java:1件(重要)
・Azure Monitor Agent Metrics Extension:1件(重要)
・Azure Monitor Agent:1件(重要)
・Azure Monitor Action Group notification system:1件(重要)
・Azure Managed Instance for Apache Cassandra:1件(重要)
・Azure Machine Learning:2件(緊急)
・Azure Logic Apps:1件(重要)
・Azure DevOps:1件(緊急)
・Azure Connected Machine Agent:1件(重要)
・Azure Cloud Shell:1件(緊急)
・Azure AI Foundry:1件(緊急)
![舞台は極上のラブレター!SEVENTEENのDKとSEUNGKWANによるスペシャルユニット初単独公演『DxS [SERENADE] ON STAGE - JAPAN 全曲ノーカット版』TV初独占放送](https://s.alongwalker.co/thumb/id/aHR0cHM6Ly9wcmNkbi5mcmVldGxzLmZh-c3RseS5uZXQvcmVsZWFzZV9pbWFnZS8z-MDY1LzE0MjUvMzA2NS0xNDI1LTBjNjlj-YTg4MDkwZmJiNTEzYjM4ZWRiYzVlZjMz-ZDJkLTEwMDB4NjY2LmpwZz93aWR0aD01-MzYmYW1wO3F1YWxpdHk9ODUlMkM3NSZh-bXA7Zm9ybWF0PWpwZWcmYW1wO2F1dG89-d2VicCZhbXA7Zml0PWJvdW5kcyZhbXA7-YmctY29sb3I9ZmZm/3869afde050da58d7161ad2b856043ad.jpg)
