Microsoftは2026年3月13日(現地時間)、Windows 11 25H2/24H2(LTSC 2024を含む)向けに、緊急のセキュリティアップデート「KB5084597」を公開しました。更新は通常の月例パッチとは異なる「out-of-band(臨時)」のホットパッチで、ネットワーク関連の重大な脆弱性に対応するものとなっています。
今回修正されたのは、以下の3件のリモートコード実行(RCE)脆弱性です。
- CVE-2026-25172
- CVE-2026-25173
- CVE-2026-26111
これらの脆弱性は、Windows Routing and Remote Access Service(RRAS)に存在する整数オーバーフローが原因とされ、攻撃者がネットワーク経由で任意コードを実行できる可能性がありました。RRASは企業ネットワークでVPNやルーティング機能を提供する重要なコンポーネントであり、影響範囲は広めです。
Microsoftは脆弱性について次のように説明しています。
Windows Routing and Remote Access Service (RRAS) Remote Code Execution Vulnerability: Integer overflow or wraparound in Windows Routing and Remote Access Service (RRAS) allows an authorized attacker to execute code over a network
Windows Routing and Remote Access Service(RRAS)のリモートコード実行の脆弱性: Windows Routing and Remote Access Service(RRAS)における整数オーバーフロー(またはラップアラウンド)が原因で、認証済みの攻撃者がネットワーク経由でコードを実行できる可能性があります。
アップデートは自動適用
KB5084597はホットパッチ対応デバイスでは自動的にダウンロード・インストールされます。企業環境でRRASを利用している場合は、適用状況を早めに確認することが推奨されます。
