このセキュリティ更新プログラムには深刻度が『緊急』のものが含まれていますので、早急なアップデートが望まれます。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、『新型コロナウイルス感染症』の影響で在宅勤務を強いられている方々、どのように在宅で業務をこなされていますか？

私は音楽を流しながら行っています。

普段聴いている好きなジャンルではなく、嫌いなジャンルでもない、リラックスできそうなBGMとしてジャズ系のラジオを流しています。

小さ目な音量で♪

さて、今日はMicrosoft（マイクロソフト）からリリースされている月例パッチ（セキュリティ更新プログラム）に関してお伝えします。

（例によって深刻度『緊急』のものが含まれています。）

2020年4月のセキュリティ更新プログラム

前述の通り、今回の月例パッチ（セキュリティ更新プログラム）にも深刻度が『緊急』のものが含まれています。

脆弱性を悪用された場合、リモートからの攻撃により任意のコードが実行されるなどの危険性がありますので、早急なアップデートが望まれます。

以下が今回のアップデート対象製品です。

・Microsoft Windows

・Microsoft Edge (EdgeHTML ベース)

・Microsoft Edge (Chromium ベース)

・ChakraCore

・Internet Explorer

・Microsoft Office、Microsoft Office Services および Web Apps

・Windows Defender

・Visual Studio

・Microsoft Dynamics

・Android 向け Microsoft アプリ

・Mac 向け Microsoft アプリ

また、深刻度が『緊急』のものには以下のものがあります。

・Microsoft Graphics のリモートでコードが実行される脆弱性

・Windows Hyper-V のリモートでコードが実行される脆弱性

・Microsoft SharePoint のリモート コードが実行される脆弱性

・Adobe フォント ライブラリでコードがリモートで実行される脆弱性

・メディア ファンデーションのメモリ破損の脆弱性

・Microsoft Windows Codecs Library Remote Code Execution Vulnerability

・VBScript のリモートでコードが実行される脆弱性

・スクリプト エンジンのメモリ破損の脆弱性

・Chakra スクリプト エンジンのメモリ破損の脆弱性

・Dynamics Business Central のリモートでコードが実行される脆弱性

以上となります。

今回の脆弱性対応の中には既に脆弱性の悪用が確認されているものも含まれているようですので、早急にセキュリティパッチを適用した方が良いでしょう。

定期的にデスクから離れ、ストレッチなどして体をほぐしながら頑張りましょう！

このセキュリティ更新プログラムには深刻度が『緊急』のものが含まれていますので、早急なアップデートが望まれます。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、今日はMicrosoft（マイクロソフト）からリリースされている月例パッチ（セキュリティ更新プログラム）に関してお伝えします。

（例によって深刻度『緊急』のものが含まれています。）

2020年3月のセキュリティ更新プログラム

前述の通り、今回の月例パッチ（セキュリティ更新プログラム）にも深刻度が『緊急』のものが含まれています。

脆弱性を悪用された場合、リモートからの攻撃により任意のコードが実行されるなどの危険性がありますので、早急なアップデートが望まれます。

以下が今回のアップデート対象製品です。

・Microsoft Windows

・Microsoft Edge (EdgeHTML ベース)

・Microsoft Edge (Chromium ベース)

・ChakraCore

・Internet Explorer

・Microsoft Exchange Server

・Microsoft Office、Microsoft Office Services および Web Apps

・Azure DevOps

・Windows Defender

・Visual Studio

・オープン ソース ソフトウェア

・Azure

・Microsoft Dynamics

また、深刻度が『緊急』のものには以下のものがあります。

・LNK のリモートでコードが実行される脆弱性

・スクリプト エンジンのメモリ破損の脆弱性

・メディア ファンデーションのメモリ破損の脆弱性

・Chakra スクリプト エンジンのメモリ破損の脆弱性

・Microsoft Edge のメモリ破損の脆弱性

・Internet Explorer のメモリ破損の脆弱性

・VBScript のリモートでコードが実行される脆弱性

・Microsoft Word のリモートでコードが実行される脆弱性

・GDI+ のリモート コードが実行される脆弱性

・Dynamics Business Central のリモートでコードが実行される脆弱性

以上となります。

今回の月例パッチは過去最大規模となる115件の脆弱性が修正されているということ、ショートカットファイルの処理に含まれている脆弱性は簡単に悪用できるものであるということなどから、早急にセキュリティパッチを適用した方が良いでしょう。

このセキュリティ更新プログラムには深刻度が『緊急』のものが含まれていますので、早急なアップデートが望まれます。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、今日はMicrosoft（マイクロソフト）からリリースされている月例パッチ（セキュリティ更新プログラム）に関してお伝えします。

（例によって深刻度『緊急』のものが含まれています。）

2020年2月のセキュリティ更新プログラム

前述の通り、今回の月例パッチ（セキュリティ更新プログラム）にも深刻度が『緊急』のものが含まれています。

脆弱性を悪用された場合、リモートからの攻撃により任意のコードが実行されるなどの危険性がありますので、早急なアップデートが望まれます。

以下が今回のアップデート対象製品です。

・Microsoft Windows

・Microsoft Edge (EdgeHTML ベース)

・Microsoft Edge (Chromium ベース)

・ChakraCore

・Internet Explorer

・Microsoft Exchange Server

・Microsoft SQL Server

・Microsoft Office、Microsoft Office Services および Web Apps

・Windows 悪意のあるソフトウェアの削除ツール

・Windows Surface Hub

また、深刻度が『緊急』のものには以下のものがあります。

・Windows のリモートでコードが実行される脆弱性

・スクリプト エンジンのメモリ破損の脆弱性

・リモート デスクトップ クライアントのリモートでコードが実行される脆弱性

・LNK のリモートでコードが実行される脆弱性

・メディア ファンデーションのメモリ破損の脆弱性

以上となります。

また、今回のセキュリティ更新には2020年1月17日 (米国時間) に公開されたIE（Internet Explorer）の脆弱性修正が含まれています。既に悪用が確認されている脆弱性であるため、セキュリティ更新プログラムの早めの適用がお勧めです。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、今日は冒頭に書いた昨日の記事『Chrome 80でECサイトに影響』の続きです。

Chrome 80の登場とECサイト対策

昨日の記事の最後では、

ECサイトなどにおいてこの『SameSite属性』が指定されていない場合、・・・中略・・・ECサイトなどによっては『ログイン情報が保持できない』、『カートの商品が保持できない』、『複数商品が購入できない』などといったことが起こる可能性があります。

これ以外にも問題が発生し得る条件などがあり・・・

ということを書きましたが、その条件というのは『クロスサイト（異なるドメイン（複数サイト）間）』での挙動に関してということになります。

具体的には『ドメインA』でログインし、その後に『ドメインB』に遷移する挙動がある場合などです。

このケースにおいては『SameSite属性』によって対応が異なります。

＜SamteSite=None＞

・SSL化（HTTPS化）されていること

・Cookie（クッキー）にSecure属性が付与されていること

この2点が満たされていれば今まで通り動作します。

＜SameSite=Lax＞

※　ECサイト側で指定がない場合はGoogle Chromeの既定値となる『SameSite=Lax』となります。

・『SameSite=None』に変更して対応

・『SameSite=Lax』を使用する場合、『サイト全体の常時SSL化（HTTPS化）』＋カートボタンなどの『method属性』を『post』から『get』に変更して対応

＜SameSite=Strict＞

セキュリティレベルが3つの中で一番高いもので、主に金融機関などで用いられると考えられるため割愛します。

大まかには以上のよう感じです。

ご参考までに。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、冒頭に書いた通り『Google Chrome 80』がリリースされたわけですが、『Google Chrome』はこのバージョンから『プライバシー保護』などを目的に一部仕様が変更されます。

（実際には約2週間後あたりのマイナーアップデートから段階的に行われるようです。）

今回の仕様変更は『ECサイト』などに影響しますので、今日はそれをご紹介します。

Chrome 80がECサイトに与える影響

今回の『Google Chrome 80』では『Gookie（クッキー）』というブラウザに一時保存されたデータの動作が変更になります。

つまり、『ログイン』や『カート』に入っている商品などの情報を『Gookie（クッキー）』を使って保持している『ECサイト』などにおいては影響が出るわけです。

では、『Google Chrome』における『Cookie（クッキー）』の扱いはどのような変更がされるのか？

『Google Chrome』には、CSRF（cross-site request forgeries：クロスサイトリクエストフォージェリ）という攻撃からユーザーを保護するため『SameSite』という『Cookie（クッキー）』に付与される属性があります。

この属性には3つのものがあり、

None　⇒　Lax　⇒　Strict　の順にセキュリティレベルが厳格になっていきます。

そして、ECサイトなどにおいてこの『SameSite属性』が指定されていない場合、『Google Chrome』からアクセスした際の『Cookie（クッキー）』の扱いが『Google Chrome 79以前』の既定値『None』から『Google Chrome 80以降』では『Lax』に変更されるため、ECサイトなどによっては『ログイン情報が保持できない』、『カートの商品が保持できない』、『複数商品が購入できない』などといったことが起こる可能性があります。

これ以外にも問題が発生し得る条件などがありますが、それに関してはまた後日お伝えしたいと思います。

今日のところはこの辺で。。。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

今朝、ニュース記事を見ていた流れで面白い記事にたどり着きました。

それは、コンピュータ関連製品大手の『IBM』が従業員向けに実施した生産性と満足度の調査でした。

WindowsよりMacを選択した従業員

今朝読んだ記事によると、IBMが過去4年間に渡って導入した『Apple』製品に対する成果が掲載されていました。

それによると、IBM社内で従業員が使用する『Windows PC』を『Mac』に切り替えたところ、従業員の『生産性』と『満足度』が大幅に増加したとされています。

この調査では、社内のサポートスタッフに支援を求める従業員の割合が『Windows PC』では40%であったのに対し『Mac』を使っているその割合は5%という結果となったようで、その結果として社内のサポートスタッフを大幅に削減することができたそうです。

確かに、『Windows PC』に比べると『Mac』はOSのアップデートなども更新が簡単で、『iPhone』などのApple製デバイスを使っている人にとっては『クロスプラットフォーム』での連携性は非常に使い勝手が良いと感じるのも納得できます。

また、セキュリティ面を考えても『macOS』の方が優れているという意見もあり、アップデート時のトラブルも少ないともされています。

（WindowsがmacOSより市場シェアが大きいことで攻撃対象となりやすいという意見もあります。）

『Windows PC』に比べると『Mac』の方が初期投資額が高くなるとは言えますが、後々のサポートなども含めたトータルで考えた場合においては『Mac』の方がコスト削減にもなるということも言えるのかもしれません。

このセキュリティ更新プログラムには深刻度が『緊急』のものが含まれていますので、早急なアップデートが望まれます。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、今日はMicrosoft（マイクロソフト）からリリースされている月例パッチ（セキュリティ更新プログラム）に関してお伝えします。

（例によって深刻度『緊急』のものが含まれています。）

2020年1月のセキュリティ更新プログラム

前述の通り、今回の月例パッチ（セキュリティ更新プログラム）にも深刻度が『緊急』のものが含まれています。

脆弱性を悪用された場合、リモートからの攻撃により任意のコードが実行されるなどの危険性がありますので、早急なアップデートが望まれます。

以下が今回のアップデート対象製品です。

・Microsoft Windows

・Internet Explorer

・Microsoft Office、Microsoft Office Services および Web Apps

・ASP.NET Core

・.NET Core

・.NET Framework

・OneDrive for Android

・Microsoft Dynamics

また、深刻度が『緊急』のものには以下のものがあります。

・ASP.NET Core のリモートでコードが実行される脆弱性

・.NET Framework のリモートでコードが実行される脆弱性

・Windows RDP ゲートウェイ サーバーのリモートでコードが実行される脆弱性

・リモート デスクトップ クライアントのリモートでコードが実行される脆弱性

・Internet Explorer のメモリ破損の脆弱性

・.NET Framework のリモートでのコード実行の挿入の脆弱性

以上となります。

また、Windows 7、Windows Server 2008 / 2008 R2 はサポート終了ではありますが、1月14日（米国時間）に最後のセキュリティパッチが配信されていますのでご注意を。

今回のリリースは4件のセキュリティ修正を含む『Security and Maintenance』リリースです。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

日本時間の今日、『WordPress』の更新版『WordPress 5.3.1』が公開されました。

今日はそのニュースをお伝えします。

WordPress 5.3.1セキュリティ&メンテ

さて、今回のリリースは『WordPress 5.3以前のバージョン』で影響を受けるとされるセキュリティ修正、バグ修正、機能強化となります。

『更新を強く推奨する』といったコメントではなく、『アップグレードする必要がある』というコメントが掲載されているため、アップデートすべきでしょう。

以下、アップデートの内容です。

＜セキュリティアップデート＞

・非特権ユーザーがREST APIを介して投稿をスティッキーにする可能性のある問題を修正

・クロスサイトスクリプティング（XSS）が巧妙に作成されたリンクに保存される可能性のある問題を修正

・wp_kses_bad_protocol（）を強化して、名前付きコロン属性を認識できるようにするための修正

・ブロックエディターのコンテンツを使用して、保存されたクロスサイトスクリプティング（XSS）の脆弱性を修正

＜メンテナンスアップデート＞

・管理：管理フォームコントロールの高さおよびアライメントの標準化の改善、ダッシュボードウィジェットリンクのアクセシビリティ、および代替カラースキームの読みやすさの問題を改善

・ブロックエディター：Edgeのスクロールの問題と断続的なJavaScriptの問題を修正

・バンドルテーマ：作成者の略歴を表示/非表示にするカスタマイザーオプションを追加し、JSベースのスムーズスクロールをCSSに置き換え、Instagram埋め込みCSSを修正

・日付/時刻：非GMT日付の計算を改善し、特定の言語での日付形式の出力を修正し、get_permalink（）をPHPタイムゾーンの変更に対してより回復力のあるものにする

・埋め込み：サービスが存在しないため、CollegeHumor oEmbedプロバイダーを削除する

・外部ライブラリ：sodium_compatを更新する

・サイトの正常性：管理者の電子メール検証のリマインド間隔をフィルタリングできる

・アップロード：ファイル名が一致する場合、サムネイルが他のアップロードを上書きしないようにし、アップロード後にPNG画像をスケーリングから除外する

・ユーザー：管理メールの確認で、サイトロケールではなくユーザーのロケールが使用されていることを確認する

・その他

以上のようになっています。

例によって早めの段階で『WordPress 5.3.1』へアップデートされることがお勧めです。