このセキュリティ更新プログラムには深刻度が『緊急』のものが含まれていますので、早急なアップデートが望まれます。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、『新型コロナウイルス感染症』の影響で在宅勤務を強いられている方々、どのように在宅で業務をこなされていますか？

私は音楽を流しながら行っています。

普段聴いている好きなジャンルではなく、嫌いなジャンルでもない、リラックスできそうなBGMとしてジャズ系のラジオを流しています。

小さ目な音量で♪

さて、今日はMicrosoft（マイクロソフト）からリリースされている月例パッチ（セキュリティ更新プログラム）に関してお伝えします。

（例によって深刻度『緊急』のものが含まれています。）

2020年4月のセキュリティ更新プログラム

前述の通り、今回の月例パッチ（セキュリティ更新プログラム）にも深刻度が『緊急』のものが含まれています。

脆弱性を悪用された場合、リモートからの攻撃により任意のコードが実行されるなどの危険性がありますので、早急なアップデートが望まれます。

以下が今回のアップデート対象製品です。

・Microsoft Windows

・Microsoft Edge (EdgeHTML ベース)

・Microsoft Edge (Chromium ベース)

・ChakraCore

・Internet Explorer

・Microsoft Office、Microsoft Office Services および Web Apps

・Windows Defender

・Visual Studio

・Microsoft Dynamics

・Android 向け Microsoft アプリ

・Mac 向け Microsoft アプリ

また、深刻度が『緊急』のものには以下のものがあります。

・Microsoft Graphics のリモートでコードが実行される脆弱性

・Windows Hyper-V のリモートでコードが実行される脆弱性

・Microsoft SharePoint のリモート コードが実行される脆弱性

・Adobe フォント ライブラリでコードがリモートで実行される脆弱性

・メディア ファンデーションのメモリ破損の脆弱性

・Microsoft Windows Codecs Library Remote Code Execution Vulnerability

・VBScript のリモートでコードが実行される脆弱性

・スクリプト エンジンのメモリ破損の脆弱性

・Chakra スクリプト エンジンのメモリ破損の脆弱性

・Dynamics Business Central のリモートでコードが実行される脆弱性

以上となります。

今回の脆弱性対応の中には既に脆弱性の悪用が確認されているものも含まれているようですので、早急にセキュリティパッチを適用した方が良いでしょう。

定期的にデスクから離れ、ストレッチなどして体をほぐしながら頑張りましょう！

このセキュリティ更新プログラムには深刻度が『緊急』のものが含まれていますので、早急なアップデートが望まれます。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、今日はMicrosoft（マイクロソフト）からリリースされている月例パッチ（セキュリティ更新プログラム）に関してお伝えします。

（例によって深刻度『緊急』のものが含まれています。）

2020年3月のセキュリティ更新プログラム

前述の通り、今回の月例パッチ（セキュリティ更新プログラム）にも深刻度が『緊急』のものが含まれています。

脆弱性を悪用された場合、リモートからの攻撃により任意のコードが実行されるなどの危険性がありますので、早急なアップデートが望まれます。

以下が今回のアップデート対象製品です。

・Microsoft Windows

・Microsoft Edge (EdgeHTML ベース)

・Microsoft Edge (Chromium ベース)

・ChakraCore

・Internet Explorer

・Microsoft Exchange Server

・Microsoft Office、Microsoft Office Services および Web Apps

・Azure DevOps

・Windows Defender

・Visual Studio

・オープン ソース ソフトウェア

・Azure

・Microsoft Dynamics

また、深刻度が『緊急』のものには以下のものがあります。

・LNK のリモートでコードが実行される脆弱性

・スクリプト エンジンのメモリ破損の脆弱性

・メディア ファンデーションのメモリ破損の脆弱性

・Chakra スクリプト エンジンのメモリ破損の脆弱性

・Microsoft Edge のメモリ破損の脆弱性

・Internet Explorer のメモリ破損の脆弱性

・VBScript のリモートでコードが実行される脆弱性

・Microsoft Word のリモートでコードが実行される脆弱性

・GDI+ のリモート コードが実行される脆弱性

・Dynamics Business Central のリモートでコードが実行される脆弱性

以上となります。

今回の月例パッチは過去最大規模となる115件の脆弱性が修正されているということ、ショートカットファイルの処理に含まれている脆弱性は簡単に悪用できるものであるということなどから、早急にセキュリティパッチを適用した方が良いでしょう。

このセキュリティ更新プログラムには深刻度が『緊急』のものが含まれていますので、早急なアップデートが望まれます。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、今日はMicrosoft（マイクロソフト）からリリースされている月例パッチ（セキュリティ更新プログラム）に関してお伝えします。

（例によって深刻度『緊急』のものが含まれています。）

2020年2月のセキュリティ更新プログラム

前述の通り、今回の月例パッチ（セキュリティ更新プログラム）にも深刻度が『緊急』のものが含まれています。

脆弱性を悪用された場合、リモートからの攻撃により任意のコードが実行されるなどの危険性がありますので、早急なアップデートが望まれます。

以下が今回のアップデート対象製品です。

・Microsoft Windows

・Microsoft Edge (EdgeHTML ベース)

・Microsoft Edge (Chromium ベース)

・ChakraCore

・Internet Explorer

・Microsoft Exchange Server

・Microsoft SQL Server

・Microsoft Office、Microsoft Office Services および Web Apps

・Windows 悪意のあるソフトウェアの削除ツール

・Windows Surface Hub

また、深刻度が『緊急』のものには以下のものがあります。

・Windows のリモートでコードが実行される脆弱性

・スクリプト エンジンのメモリ破損の脆弱性

・リモート デスクトップ クライアントのリモートでコードが実行される脆弱性

・LNK のリモートでコードが実行される脆弱性

・メディア ファンデーションのメモリ破損の脆弱性

以上となります。

また、今回のセキュリティ更新には2020年1月17日 (米国時間) に公開されたIE（Internet Explorer）の脆弱性修正が含まれています。既に悪用が確認されている脆弱性であるため、セキュリティ更新プログラムの早めの適用がお勧めです。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

Microsoft（マイクロソフト）は先週末、同社の提供するブラウザ『Internet Explorer（IE）』の『ゼロデイ脆弱性』を公開し、既に悪用されていることも公開しています。

今日はそれをお伝えします。

IEにゼロデイ脆弱性で既に悪用を確認

Microsoft（マイクロソフト）によると、今回見つかった脆弱性は第三者がユーザーを悪意のあるサイトへ接続させたり、加工済みのOffice文書などを実行させたりする攻撃が行われる可能性があるとしています。

これを受けてJPCERT/CC（JPCERTコーディネーションセンター）などでは、対策や回避策を適用するまでは不審なサイトへの接続やファイルの実行を控える様に注意喚起を促しています。

＜対象の製品とバージョン＞

・Microsoft Internet Explorer 9

・Microsoft Internet Explorer 10

・Microsoft Internet Explorer 11

＜対策＞

・後術の回避策を実施するか、別のブラウザを使用する

＜回避策＞

・『jscript.dll』へのアクセス権限を制限することで影響を回避可能

※　IE11、IE10、IE9 は、本脆弱性の影響を受けない jscript9.dll がデフォルトで使用されているが、古いバージョンの JScript をサポートするために jscript.dllが提供されており、回避策を実施することで、jscript.dll の使用を制限すると、古いバージョンの JScript を使用する Web サイトや文書ファイルの閲覧に影響が生じる可能性があるため注意が必要。

なお、本脆弱性の修正パッチは2月のセキュリティ更新にて提供される予定です。

スクリプト エンジンが Internet Explorer でメモリ内のオブジェクトを処理する方法に、リモートでコードが実行される脆弱性が存在します。この脆弱性により、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できるように、メモリを破損させる可能性があります。攻撃者によりこの脆弱性が悪用された場合、攻撃者が現在のユーザーと同じユーザー権限を取得する可能性があります。現在のユーザーが管理者ユーザー権限でログオンしているときに、攻撃者によりこれらの脆弱性が悪用された場合、影響を受けるコンピューターが制御される可能性があります。攻撃者は、その後、プログラムのインストール、データの表示、変更、削除などを行ったり、完全なユーザー権限を持つ新たなアカウントを作成したりする可能性があります。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

日本時間の今日、米Microsoft（マイクロソフト）が『IE（Internet Explorer）』の脆弱性対応パッチをリリースしています。

今日はそれをお伝えします。

IE（Internet Explorer）に脆弱性発覚

『IE（Internet Explorer）』に発覚した脆弱性は既に悪用を確認しているようで、早急な対応が望まれます。

対象製品とバージョンは以下通りです。

Internet Explorer 11

・Windows 10 Version 1703 for 32-bit Systems

・Windows 10 Version 1703 for x64-based Systems

・Windows 10 Version 1803 for 32-bit Systems

・Windows 10 Version 1803 for x64-based Systems

・Windows 10 Version 1803 for ARM64-based Systems

・Windows 10 Version 1809 for 32-bit Systems

・Windows 10 Version 1809 for x64-based Systems

・Windows 10 Version 1809 for ARM64-based Systems

・Windows Server 2019

・Windows 10 Version 1709 for 32-bit Systems

・Windows 10 Version 1709 for 64-based Systems

・Windows 10 Version 1709 for ARM64-based Systems

・Windows 10 Version 1903 for 32-bit Systems

・Windows 10 Version 1903 for x64-based Systems

・Windows 10 Version 1903 for ARM64-based Systems

・Windows 10 for 32-bit Systems

・Windows 10 for x64-based Systems

・Windows 10 Version 1607 for 32-bit Systems

・Windows 10 Version 1607 for x64-based Systems

・Windows Server 2016

・Windows 7 for 32-bit Systems Service Pack 1

・Windows 7 for x64-based Systems Service Pack 1

・Windows 8.1 for 32-bit systems

・Windows 8.1 for x64-based systems

・Windows Server 2008 R2 for x64-based Systems Service Pack 1

・Windows Server 2012

・Windows Server 2012 R2

Internet Explorer 10

・Windows Server 2012

Internet Explorer 9

・Windows Server 2008 for 32-bit Systems Service Pack 2

・Windows Server 2008 for x64-based Systems Service Pack 2

以上、ご参考までに。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

既に大半のブラウザで対応が打ち切られている『SHA-1証明書』ですが、先日Apple（アップル）も無効とする方針を表明しています。

AppleもSHA-1証明書を無効化表明

最近では当り前になっている『Webの暗号化（HTTPS化）』において『SSL/TLS証明書』というものが必要になります。

その『SSL/TLS証明書』において『SHA-1』というハッシュアルゴリズムが使われたものがある（あった）のですが、今回、Appleはそれを無効化するというものです。

これに関しては『Google Chrome』、『Mozilla Firefox』、『Microsoft Edge』、『Internet Explorer』においては既に対応が打ち切られており、大手のブラウザの中ではAppleが最後になったという感じです。

Appleの対応としては、『iOS 13』と『macOS 10.15』において『SHA-1』で署名された証明書を信頼できないものとし、『SHA-2』のハッシュアルゴリズムを使用しなければならない規定を発表しています。

もし『SHA-1』の『SSL/TLS証明書』がそのまま使われていた場合、同OSのSafariiブラウザでのWebサイトの読み込みには失敗する可能性があるとしています。

この『SHA-1証明書』問題に関しては既に『Google Chrome』、『Mozilla Firefox』、『Microsoft Edge』、『Internet Explorer』においてWebサイトをブロックする対応がされていますので問題はないかと思いますが、古いバージョンのブラウザを使っている方は要注意であることと、万が一まだ『SHA-1証明書』を使っているのであれば即切り替えを行うことが必要です。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

昨日、トレンドマイクロがブログで公表したところによると、Microsoftのブラウザ『Edge』と『IE（Internet Explorer）』に『ゼロディ脆弱性』が報告されており、ブラウザのセッション情報が露出する恐れがあるとされています。

今日はその話題です。

EdgeとIEのゼロディ脆弱性

今回発覚している脆弱性ですが、『同一生成元ポリシー違反』と呼ばれるもので、不正なWebサイトに埋め込まれたJavaScriptが、ユーザが訪問した別のWebサイトに関連した情報を収集することが可能になるというものです。

『Edge』か『IE（Internet Explorer）』を使用して不正なWebサイトを訪問した場合、このような脆弱性が利用されることによりブラウザのセッションに関する機密情報が攻撃者に転送される恐れがあると紹介されています。

この脆弱性に対処した修正プログラムは未だ公開されておらず、それが公開されるまでの間は『Edge』と『IE（Internet Explorer）』の使用を控え、他のブラウザ（ChromeやFirefoxなど）で対応することが良さそうです。

参考：『トレンドマイクロ セキュリティブログ “Microsoft EdgeとInternet Explorerにゼロデイ脆弱性、セッション情報が露出する恐れ”』

ご参考までに。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

先週、大阪市議会の『IT技術者議員』さんが意見書を提出し、大阪市議会はそれを全会一致で可決したそうです。

それは、Microsoft（マイクロソフト）のブラウザ『IE（Internet Explorer）』を前提としたオンラインサービスをやめるよう国に求める意見書だったそうです。

IE への依存から早急に脱却すべき

昨今、ブラウザに『IE（Internet Explorer）』を使用するユーザーは非常に少なくなっています。

また、最新のIE11以外（IE10やIE9以前のバージョン）はサポートが終了していることからセキュリティ上危険とされてもいます。

しかし、銀行系や行政のオンラインサービスを中心に、未だIE（Internet Explorer）での使用に限定した動作保証を行うサービスは多く存在します。

そんな状況を認識しているのかいないのか、オンラインサービスサイトをリニューアルした後もIE（Internet Explorer）に限定した動作保証のサービスも多々あります。

『見直しは行わないのか？』と、思ったりしませんか？

正直なところ、どのブラウザも動作保証を行うとしてしまった場合にはメンテナンスの観点からすると大変だと思う気持ちは理解できなくはありません。

であれば現状の利用状況も把握し直し、もう少し間口を広げても良いのではないでしょうか。

もしMicrosoft（マイクロソフト）ありきで進めようとするならば、『Edge』ともう1つ他社のブラウザくらいは使用可能にした方が利便性が上がるように思います。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、今日はMicrosoftのブラウザ『IE（Internet Explorer）』に関する話題です。

Microsoftは現在、『IE（Internet Explorer）』と『Microsoft Edge』の2つのブラウザを提供しています。

しかし、永久に2つのブラウザをサポートし続けるということはないはずですので、どこかのタイミングで『Edge』のみのサポートになっていくことでしょう。

では、『IE（Internet Explorer）』はいつまでサポートされるのでしょうか？

IEはいつまでサポートが提供されるのか

Microsoft はIE（Internet Explorer）のサポート期限などに関してはコメントを出していません。

しかし、Microsoftは公式ブログにてこのようにコメントしています。

2014年の8月7日にInternet Explorerのサポートポリシー変更を発表しました。この変更により、2016年1月12日をもって各OS上で動作する最新バージョンのInternet Exploreのみがサポート対象となりましたが、それから2年半が経過しました。

また、2015年7月29日にWindows 10をリリースしてから、つまり、Windows 10用の新しい既定のWeb ブラウザーとして「Microsoft Edge」の提供を開始してから、3年が経とうとしています。

＜中略＞

現在のWebアプリケーションが古いブラウザーであるInternet Explorer固有の機能に依存している状態であれば、そうした依存性を無くし、最新のブラウザーであるMicrosoft Edgeで閲覧できるように見直していただくことを、今からご検討いただくようお伝えをしていくことが、私たちサポート チームの使命と考えています。

公式ブログを読む限りでは『IE（Internet Explorer）』のサポートは当面継続されるものと思われますが、終了を模索していることも事実であると言えます。

これらのことを考えると、今の段階から『Microsoft Edge』、『Google Chrome』、『Mozilla Firefox』あたりへの対応を考えておく必要性があるのではないでしょうか。