「Microsoft Defender」に権限昇格やDoS脆弱性 - 悪用を確認
マイクロソフトは現地時間2026年5月19日、Windowsで動作する「Microsoft Defender」のセキュリティアドバイザリを公開し、複数の脆弱性が悪用されたことを明らかにした。
「CVE-2026-41091」は、「Microsoft Defender」の「Microsoft Malware Protection Engine」に判明した権限昇格の脆弱性。悪用にはローカル環境における認証が必要となるが、リンクの解決における不備に起因し、SYSTEM権限を取得することが可能となる。
共通脆弱性評価システム「CVSSv3.1」のベーススコアは「7.8」。重要度を4段階中2番目にあたる「重要(Important)」とレーティングした。
また「Microsoft Defender Antimalware Platform」において、サービス拒否の脆弱性「CVE-2026-45498」が確認された。ローカルから悪用可能で認証は不要としている。CVSS基本値は「4.0」、重要度は「注意(Low)」。
いずれの脆弱性も悪用が確認されており、脆弱性情報も公開済みだという。「Microsoft Defender」を無効化している環境では、脆弱性を悪用できないとしている。
(Security NEXT - 2026/05/21 )
ツイート
PR
関連記事
サポートツール「SimpleHelp」の脆弱性悪用を確認 - 米当局が注意喚起
「GitLab」にセキュリティ更新 - 脆弱性13件を修正
権威DNSサーバ「NSD」に複数脆弱性 - 修正版が公開
先週注目された記事(2026年6月21日〜2026年6月27日)
「libssh2」に整数オーバーフローの脆弱性 - 実証コードも公開
ログ収集ツール「Fluentd」に深刻な脆弱性 - 修正版を公開
「FortiBleed」に国内組織の情報も - 影響調査など実施を
DB管理ツール「pgAdmin 4」に脆弱性 - 3件が「クリティカル」
Synology製NAS向けのメールサーバアドオンに深刻な脆弱性
「OpenDJ」にクリティカル脆弱性 - アップデートで修正

