はてなブックマーク

2024 年のセキュリティ更新プログラムの公開予定日は下記のとおりです。更新プログラムの評価、テスト、適用の計画にご活用ください。なお、2023 年のリリース スケジュールは「セキュリティ更新プログラム リリース スケジュール (2023 年)」をご覧ください。 概要 概要 IT 管理者やユーザーの皆様の計画的なシステムの更新ができるよう、マイクロソフトでは、セキュリティ更新プログラムを定期的なスケジュールで公開しており、セキュリティ更新プログラムは、 米国太平洋標準時間の毎月第 2 火曜日 に公開しています。日本では、時差の関係上、毎月第 2 火曜日の翌日 (第 2 水曜または第 3 水曜) の公開となります。なお、未修正の脆弱性の悪用が広がっているため迅速にセキュリティ更新プログラムを公開する必要性がある場合など、定期的なスケジュール以外の日程でセキュリティ更新プログラムを公開する場合

This blog post is older than a year. The information provided below may be outdated. Summary Microsoft recently fixed a set of Server-Side Request Forgery (SSRF) vulnerabilities in four Azure services (Azure API Management, Azure Functions, Azure Machine Learning, and Azure Digital Twins) reported by Orca Security. These SSRF vulnerabilities were determined to be low risk as they do not allow acce

This blog post is older than a year. The information provided below may be outdated. 2023 年 1 月 10 日 (米国時間) 、マイクロソフトは、マイクロソフト製品に影響する脆弱性を修正するために、セキュリティ更新プログラムを公開しました。影響を受ける製品をご利用のお客様は、できるだけ早期に、公開したセキュリティ更新プログラムを適用してください。なお、マイクロソフト製品では、一部の例外を除き既定で自動更新が有効になっており、自動的にセキュリティ更新プログラムが適用されます。最新の情報は、セキュリティ更新プログラム ガイド を確認してください。 なお、今月の「悪意のあるソフトウェアの削除ツール」では、新たに対応を追加したファミリはありません。 ■ セキュリティ更新プログラム、セキュリティ アドバイザリに

This blog post is older than a year. The information provided below may be outdated. October 28, 2022 update: Added a Customer FAQ section. Summary Security researchers at SOCRadar informed Microsoft on September 24, 2022, of a misconfigured Microsoft endpoint. This misconfiguration resulted in the potential for unauthenticated access to some business transaction data corresponding to interactions

本ブログは、Improvements in Security Update Notifications Delivery – And a New Delivery Method の抄訳版です。最新の情報は原文を参照してください。 MSRC では、お客様がマイクロソフト セキュリティ更新プログラムガイド (SUG) を使用する際に、お客様にポジティブな体験をしていただけるように注力しています。その体験を向上させる大きなポイントは、お客様がタイムリーで簡単にアクセス可能な通知を確実に提供することです。そのため、通知の提供方法の変更について 2 つの重要なお知らせがあります。まずは、「セキュリティ更新プログラム ガイドの通知システム : 今すぐプロファイルを作成しましょう 」です。次に、お客様が通知を受け取ることができる新しいチャネル、RSS フィードを追加しました。 Microsoft テクニ

This blog post is older than a year. The information provided below may be outdated. パソコンやタブレットを利用している際に、突然、“ウイルスに感染した” といった内容を示す画面とともに、音声や警告音が鳴り、サポートに連絡するよう求められることがあります。これは、お使いのパソコンやタブレットに問題が発生したように見せかけ、ユーザーをだまそうとする、サポート詐欺の手口です。 サポート詐欺では、ユーザーがインターネットを閲覧している際に、検索結果などから、偽の警告を表示するウェブサイトに誘導します。サポート詐欺の画面では、セキュリティ問題が発生しているかのような表示をし、電話をかけるよう誘導します。電話をすると、サポート代金の支払いや、お使いのコンピューターの遠隔操作を要求されます。遠隔操作を許可した場合、情報

2022 年のセキュリティ更新プログラムの公開予定日は下記のとおりです。更新プログラムの評価、テスト、適用の計画にご活用ください。なお、2021 年のリリース スケジュールは「セキュリティ更新プログラム リリース スケジュール (2021 年)」をご覧ください。 概要 IT 管理者やユーザーの皆様の計画的なシステムの更新ができるよう、マイクロソフトでは、セキュリティ更新プログラムを定期的なスケジュールで公開しており、セキュリティ更新プログラムは、 米国太平洋標準時間の毎月第 2 火曜日 に公開しています。日本では、時差の関係上、毎月第 2 火曜日の翌日 (第 2 水曜または第 3 水曜) の公開となります。なお、未修正の脆弱性の悪用が広がっているため迅速にセキュリティ更新プログラムを公開する必要性がある場合など、定期的なスケジュール以外の日程でセキュリティ更新プログラムを公開する場合もあり

2021 年 7 月 7 日 (日本時間)、マイクロソフトは以下のソフトウェアのセキュリティ更新プログラムを定例外で公開しました。 Microsoft Windows 注: 2021 年 7 月 8 日 (日本時間) に、Windows 10 version 1607、Windows Server 2016、Windows Server 2012 向けのセキュリティ更新プログラムを公開しました。 本日、マイクロソフトは CVE-2021-34527 を修正するセキュリティ更新プログラムを定例外でリリースしました。この脆弱性は “PrintNightmare” として一般に知られています。本日公開したセキュリティ更新プログラムは累積的な更新プログラムで、過去のすべてのセキュリティの修正が含まれています。マイクロソフトはシステムを完全に保護するために、セキュリティ更新プログラムを早急に適用する

This blog post is older than a year. The information provided below may be outdated. Update March 15, 2021: If you have not yet patched, and have not applied the mitigations referenced below, a one-click tool, the Exchange On-premises Mitigation Tool is now our recommended path to mitigate until you can patch. Microsoft previously blogged our strong recommendation that customers upgrade their on-p

This blog post is older than a year. The information provided below may be outdated. 「Microsoft Exchange Server Vulnerabilities Mitigations – March 2021」の日本語抄訳です。 マイクロソフトは先週公開したブログにて、 お客様がオンプレミス Exchange 環境を最新のサポート提供内のバージョンにアップグレードすることを強く推奨 しています。すぐにセキュリティ更新プログラムを適用できないお客様向けに、別の緩和策を本ブログ記事にて提供することで、セキュリティ更新プログラムの展開までに時間が必要なお客様や、サービス機能継続のために一定期間リスクを受容する必要のあるお客様を支援します。 これらの緩和策は、もしお客様の Exchange Server

This blog post is older than a year. The information provided below may be outdated. We believe the Solorigate incident is an opportunity to work with the community, to share information, strengthen defenses and respond to attacks. We have now completed our internal investigation into the activity of the actor and want to share our findings, which confirm that we found no evidence of access to pro

This blog post is older than a year. The information provided below may be outdated. 2021 年 2 月 10 日 (日本時間)、マイクロソフトは以下のソフトウェアのセキュリティ更新プログラムを公開しました。 .NET Core .NET Framework Azure IoT Developer Tools Microsoft Azure Kubernetes Service Microsoft Dynamics Microsoft Edge for Android Microsoft Exchange Server Microsoft Graphics Component Microsoft Office Excel Microsoft Office SharePoint Microsoft Wind

This blog post is older than a year. The information provided below may be outdated. Today Microsoft released a set of fixes affecting Windows TCP/IP implementation that include two Critical Remote Code Execution (RCE) vulnerabilities (CVE-2021-24074, CVE-2021-24094) and an Important Denial of Service (DoS) vulnerability (CVE-2021-24086). The two RCE vulnerabilities are complex which make it diffi

This blog post is older than a year. The information provided below may be outdated. As we said in our recent blog, we believe the Solorigate incident is an opportunity to work together in important ways, to share information, strengthen defenses and respond to attacks. Like other SolarWinds customers, we have been actively looking for indicators of the Solorigate actor and want to share an update

This blog post is older than a year. The information provided below may be outdated. 日本では年末年始は多くの方が休暇になり、企業組織の業務はおやすみになります。しかしながら、サイバー犯罪者は必ずしも休みではありません。また、休暇中のちょっとしたメールチェックや急に業務をする必要が出た場合や、休暇明けの仕事始めは、PC の状態やご自身の頭が普段とは違う動きをして、予期せぬセキュリティ被害にあったり、ミスによるセキュリティ事故を起こしたりしやすい環境でもあります。休暇に入る前や休暇が明けたあとは、ひとりひとりが自分の使っている PC 環境をぜひ確認しておきましょう。(注意: 所属の企業・組織で、PC のログオフや電源管理について指示がある場合はそちらに従いましょう) 休暇前のセキュリティ チェック ポイント

This blog post is older than a year. The information provided below may be outdated. 新しいバージョンのセキュリティ更新プログラムについては下記の関連ブログもご覧ください。 「新しいセキュリティ更新プログラム ガイドでの脆弱性情報の詳細」 「[IT 管理者向け] CVSS を読み解いて脆弱性をより正しく理解する」 2020 年 11 月より、セキュリティ更新プログラム ガイドポータルがリニューアルしました。 すでに新しいサイトをご利用いただいている方も多いかと思いますが、「まだ慣れていない」「初めてこのポータルを知った」という方もいらっしゃると思います。そこで今回は、リニューアル後のセキュリティ更新プログラム ガイドの基本的な使い方をご紹介します。 セキュリティ更新プログラム ガイドとは？ セキュリティ更新

This blog post is older than a year. The information provided below may be outdated. 新しいバージョンのセキュリティ更新プログラムについては下記の関連ブログもご覧ください。 「新しいセキュリティ更新プログラム ガイド (Security Update Guide) を使ってみよう」 「[IT 管理者向け] CVSS を読み解いて脆弱性をより正しく理解する」 「Vulnerability Descriptions in the New Version of the Security Update Guide」の日本語抄訳です。 マイクロソフトは新しいバージョンのセキュリティ更新プログラム ガイドを公開しました。新しいセキュリティ更新プログラム ガイドでは、共通脆弱性スコアリング システム (CVSS) を使用

This blog post is older than a year. The information provided below may be outdated. 2020 年 8 月の月例セキュリティ更新プログラム (2020 年 8 月 11 日 公開 (米国時間)) にて、Active Directory で利用されている Netlogon プロトコルの実装における特権昇格の脆弱性 CVE-2020-1472 を修正しました。 本脆弱性が修正している Netlogon プロトコルは、Windows デバイスだけではなく、非 Windows のデバイスにおいても実装されています。このため非 Windows デバイスの Netlogon 実装への互換性を考慮し、本脆弱性への対処を 2 段階に分けて実施する予定です。 2020 年 8 月の月例セキュリティ更新プログラム公開から 1

Active Directory 管理者のみなさん、Local Administrator Password Solution (LAPS) ツールはご存じですか? LAPS ツールは、Active Directory (AD) に参加しているコンピューターの、ローカル管理者アカウントのパスワードを AD にて管理することができる無償のツールです。 Active Directory 環境への侵害では、ローカル管理者アカウントに設定されている安易なパスワードや、複数の端末で同一のパスワードが利用されていることが要因となり、侵害が広がるケースが報告されています。組織内への攻撃の広がりや侵入拡大を防ぐために、ローカル管理者のパスワードを適切に管理することが重要です。 マイクロソフトでは、LAPS ツールを、2015 年に マイクロソフト セキュリティ アドバイザリ 3062591 で広く周知を始

This blog post is older than a year. The information provided below may be outdated. As part of our ongoing efforts towards safer systems programming, we’re pleased to announce that Windows Control Flow Guard (CFG) support is now available in the Clang C/C++ compiler and Rust. What is Control Flow Guard? CFG is a platform security technology designed to enforce control flow integrity. It has been

This blog post is older than a year. The information provided below may be outdated. データを暗号化し安全にやり取りを行う Transport Layer Security (TLS)。本ブログでも、過去に何度かお知らせしてきたように、より安全な TLS プロトコルのバージョンである TLS 1.2 以降の利用が、業界全体で推奨されており、TLS 1.1/TLS 1.0 の廃止が進められています。マイクロソフトでも、すべてのサポート対象の製品やサービスで TLS 1.2 の利用が可能となっており、TLS 1.0/1.1 の利用の廃止または既定での無効化が進められています。ブラウザでは、既に 2020 年 7 月に Edge Chromium 版 (Version 84) で TLS 1.0/1.1 が既定で

This blog post outlines the work that Microsoft is doing to eliminate uninitialized kernel pool memory vulnerabilities from Windows and why we’re on this path. For a background on why uninitialized memory matters and what options have been used in the past to tackle this issue, please see our previous blog post. The brief recap is that uninitialized kernel pool vulnerabilities account for a little

This blog post is older than a year. The information provided below may be outdated. 昨今、働き方の変化に伴い、BYOD (Bring Your Own Device) 端末のご利用やリモートワークの必要性が増加しています。それに伴い、従来よりもセキュリティ意識が高まり、マイクロソフトへは、日々多くの脅威に関するご相談が寄せられています。なかでも、悪意のあるソフトウェア (マルウェア） に関する相談は多く寄せられており、マルウェア感染が判明した場合の対処方法をご案内することが多くあります。そこで、今回はご利用のデバイスにてマルウェアの感染が判明した場合の一般的な対応方法をご紹介します。なお、企業組織環境においては、マルウェア感染などのセキュリティインシデント発生時に取るべき対応が情報セキュリティポリシー等で