WordPressサイトのセキュリティ | Webサイトに必要なことと道具 https://xn--ecka7j.biz セキュリティ対策、最適化、ツール、工作 Wed, 08 Apr 2026 00:05:36 +0000 ja hourly 1 https://wordpress.org/?v=6.9.4 https://xn--ecka7j.biz/wp-content/uploads/2020/02/cropped-ogt-512-512-024-068-32x32.png WordPressサイトのセキュリティ | Webサイトに必要なことと道具 https://xn--ecka7j.biz 32 32 Windowsセキュリティ更新プログラム リリース スケジュール (2026 年) https://xn--ecka7j.biz/toolboox/windows11/13295/ Wed, 31 Dec 2025 16:01:00 +0000 https://xn--ecka7j.biz/?p=13295 Windows 11

 次の月例更新は、2026/04/15 水曜日です。直近のセキュリティ更新は、2026/03/11でした。利用者の皆様が計画的にシステムの更新ができるよう、マイクロソフトでは、セキュリティ更新プログラムを定期的なスケジュールで公開しています。

IT 管理者やユーザーの皆様が計画的にシステムの更新ができるよう、マイクロソフトでは、セキュリティ更新プログラムを定期的なスケジュールで公開しています。セキュリティ更新プログラムは、米国太平洋標準時間の毎月第 2 火曜日に公開します。日本では、時差の関係上、毎月第 2 火曜日の翌日 (第 2 または第 3 水曜) です。 なお、未修正の脆弱性の悪用が広がっており迅速にセキュリティ更新プログラムを公開する必要性がある場合など、定期的なスケジュール以外の日程でセキュリティ更新プログラムを公開する場合があります。マイクロソフトでは、セキュリティ更新プログラムの新着情報及び更新情報を、次の方法で配信しています。まだ購読されていない方は、この機会にぜひご登録ください。
” https://www.microsoft.com/en-us/msrc/blog/2025/11/securityupdatereleaseschedule2026 “

 Table Top

 Security Update 2026 Schedule
セキュリティ更新プログラム公開予定日(最終更新日:2026/02/12 )
2026 日本標準時間/jump詳細記事
2月  2026/02/11 水
  25H2  Build 26200.7840 – KB5077181
1月  2026/01/14 水
  25H2  Build 26200.7623 – KB5074109
3月 予定  2026/03/11 水
4月  2026/04/15 水
5月  2026/05/13 水
6月  2026/06/10 水
7月  2026/07/15 水
8月  2026/08/12 水
9月  2026/09/09 水
10月  2026/10/14 水
11月  2026/11/11 水
12月  2026/12/09 水

 TableTopに戻る

Windows
Update
2026

Windows
Update
2026

Windows
Update
2026

Windows
Update
2026

Windows
Update
2026

Windows
Update
2026

]]> Windows 11 Update 月例 24H2 KB5051987 Build 26100.3194 https://xn--ecka7j.biz/toolboox/windows11/11448/ Wed, 12 Feb 2025 01:38:46 +0000 https://xn--ecka7j.biz/?p=11448 KB5051987 は必須のセキュリティ更新プログラムです。

つまり、将来のある時点で自動的にダウンロードされ、インストールされます。
これは Windows Update の設定によって異なりますが、
最新の更新プログラムを取得するトグルがオンになっている場合、セキュリティ更新プログラムは、好むと好まざるとにかかわらず、通常 2 ~ 3 日で強制的にインストールされます。

ハイライト

この更新プログラムは、Windows オペレーティング システムのセキュリティ問題に対処します。

改善点

 このセキュリティ更新プログラムには、更新プログラムKB5050094 (2025/01/28 リリース)の一部であった機能強化が含まれています。

このアップデートでは、OS 内部機能のセキュリティがさまざまな点で改善されています。このリリースでは追加の問題は報告されていません。

以前の更新プログラムをインストールした場合は、このパッケージに含まれる新しい更新プログラムのみがダウンロードされ、デバイスにインストールされます。

アップデート後

Windows 11
AE8 24H2 Build 26100.3194

このアップデートの既知の問題

1.ロブロックス
 対象:すべてのユーザ
 Arm デバイスのプレイヤーが Windows 上の Microsoft Store から Roblox をダウンロードしてプレイできないという問題を認識しています。

 対応:Arm デバイスのプレイヤーは、 www.Roblox.comからタイトルを直接ダウンロードして Roblox をプレイできます。

2.セキュアシェルサービスを開く
 対象:すべてのユーザ

2024 年 10 月のセキュリティ更新プログラムのインストール後、OpenSSH (Open Secure Shell) サービスの起動に失敗し、SSH 接続ができなくなるという報告が一部のお客様から寄せられています。サービスは詳細なログなしで失敗し、sshd.exeプロセスを実行するには手動による介入が必要です。

この問題は、企業、IoT、教育機関の顧客に影響を及ぼしており、影響を受けるデバイスの数は限られています。MicrosoftWindows の Home エディションまたは Pro エディションを使用している消費者の顧客が影響を受けるかどうかを調査中です。

  • 影響を受けるディレクトリの権限 (ACL) を更新することで、一時的にこの問題を解決できます。次の手順に従います。
  • PowerShell を管理者として開きます。
  • C:\ProgramData\ssh および C:\ProgramData\ssh\logs の権限を更新して、SYSTEM および Administrators グループにフル コントロールを許可し、認証済みユーザーには読み取りアクセスを許可します。必要に応じて権限文字列を変更して、特定のユーザーまたはグループへの読み取りアクセスを制限できます。
  • 権限を更新するには、次のコマンドを使用します。
    $directoryPath = “C:\ProgramData\ssh” $acl = Get-Acl -Path $directoryPath $sddlString = “O:BAD:PAI(A;OICI;FA;;;SY)(A;OICI;FA;;;BA)(A;OICI;0x1200a9;;;AU)” $securityDescriptor = New-Object System.Security.AccessControl.RawSecurityDescriptor $sddlString $acl.SetSecurityDescriptorSddlForm($securityDescriptor.GetSddlForm(“All”)) Set-Acl -Path $directoryPath -AclObject $acl
  • C:\ProgramData\ssh\logs に対して上記の手順を繰り返します。

マイクロソフトはこの問題を積極的に調査しており、今後の Windows アップデートで解決策を提供する予定です。解決策または追加の回避策が利用可能になった場合は、さらにお知らせします。

3.シトリックス(Citrix)
 対象:IT管理者

特定の Citrix コンポーネントがインストールされているデバイスでは、2025 年 1 月の Windows セキュリティ更新プログラムのインストールを完了できない場合があります。この問題は、Citrix Session Recording Agent (SRA)バージョン 2411 を搭載したデバイスで確認されました。このアプリケーションの 2411 バージョンは、2024 年 12 月にリリースされました。

影響を受けるデバイスでは、最初は設定の Windows Update ページなどから、2025 年 1 月の Windows セキュリティ更新プログラムを正しくダウンロードして適用できます。ただし、更新プログラムのインストールを完了するためにデバイスを再起動すると、「計画どおりに進みませんでした。心配する必要はありません。変更を元に戻しています」のようなテキストを含むエラー メッセージが表示されます。その後、デバイスは、以前デバイスに存在していた Windows 更新プログラムに戻ります。SRA

アプリケーションのバージョン 2411 は新しいバージョンであるため、この問題は限られた数の組織に影響を与える可能性があります。ホーム ユーザーはこの問題の影響を受けないと予想されます。

Citrix は、2025 年 1 月の Windows セキュリティ更新プログラムをインストールする前に実行できる回避策を含むこの問題を文書化しています。詳細については、Citrix のドキュメントを参照してください。

マイクロソフトこの問題に対処するために Citrix と協力しており、解決策が見つかり次第このドキュメントを更新します。

23H2は、こちらから

Windows 11 Update 月例 23H2 KB5051989 Build 22631.4890
23H2あなたが、もし未だに22H2をお使いなら直ぐに23H2に更新することを、おすすめします。重要: EKB KB5027397を使用して、 バージョン 23H2 に更新してください。KB5051989 は必須のセキュリティ更新プログラム...
イイネ.biz
2025.02.12

Let’s Note SZ6

Windows 11
Let’s Note CF-sz6 ➡ 24H2 Build 26100.3194

Spectre x360 14

Windows 11
Spectre x360 14
]]> WordPress 6.5.5 Security updates 2024/06/25 https://xn--ecka7j.biz/site-operation/wordpress/9867/ Tue, 25 Jun 2024 02:50:45 +0000 https://xn--ecka7j.biz/?p=9867 バージョン 6.5.5 はいくつかのセキュリティ問題に対応し、3個のバグを修正しました。

WordPress 6.5.5 はセキュリティアップデートを中心としたマイナーリリースです。
3つの重要なセキュリティ修正が含まれているため、すぐにサイトを更新することが推奨されています。

修正された脆弱性の詳細

  • HTML API のクロスサイトスクリプティング (XSS) 脆弱性: 悪意のあるスクリプトが仕込まれる可能性があり、サイトの改ざんや マルウェア配布などの被害につながる恐れがあります。
  • テンプレートパートブロックのクロスサイトスクリプティング (XSS) 脆弱性: こちらも悪意のあるスクリプトが仕込まれる可能性があり、サイトの改ざんや マルウェア配布などの被害につながる恐れがあります。
  • Windows環境でのパス トラバーサル脆弱性: 本来アクセスできないファイルやディレクトリにアクセスできてしまう可能性があり、情報漏洩などの被害につながる恐れがあります。

XSS

XSS
xss:クロスサイトスクリプティング 出典:IPA 情報処理推進機構

クロスサイトスクリプティング (XSS:cross-site scripting) とは、悪意のあるスクリプトが正当なスクリプトとして仕込まれるウェブアプリケーションの脆弱性のことです。
このスクリプトは、ユーザーのブラウザで実行され、サイト管理者や他のユーザーの機密情報窃取、サイトの改ざん、さらにはマルウェアの配布などの悪用がされる可能性があります。

IPA XSS(CSS)図
IPA 情報処理推進機構が示すXSS(CSS)図

パス トラバーサル

ディレクトリトラバーサル攻撃とは、アクセスされることを想定していない非公開情報が保存されているディレクトリ(ファイル)に不正な手段でアクセスするサイバー攻撃手法です。 「パス・トラバーサル」とも呼ばれています。 「ディレクトリ」とは、コンピュータで複数のファイル管理を行う際に使用する、フォルダの格納場所を指す言葉です。(フォルダ(ディレクトリ)を遡り、任意のファイルにアクセス
する脆弱性。)

path traversal

パス トラバーサル(path traversal)とは、本来アクセス制限されているディレクトリやファイルに不正にアクセスできてしまうウェブアプリケーションの脆弱性の総称です。攻撃者はこの脆弱性を悪用して、ウェブサーバー上に保存されている機密情報やシステムファイルを窃取したり、ウェブサーバーの設定を変更したりするなどができてしまいます。

IPA: directory-traversal

変更ログ

改訂されたファイルのリスト

/wp-admin/about.php
/wp-admin/includes/plugin-install.php
/wp-includes/version.php/wp-includes/blocks.php
/wp-includes/formatting.php
/wp-includes/functions.php
/wp-includes/fonts.php
/wp-includes/rest-api/endpoints/class-wp-rest-font-faces-controller.php
/wp-includes/html-api/class-wp-html-tag-processor.php

改訂されたパッケージのリスト

@wordpress/block-directory
@wordpress/block-library
@wordpress/customize-widgets
@wordpress/edit-post
@wordpress/edit-site
@wordpress/edit-widgets
]]> WordPress 6.4.2 Maintenance & Security Release https://xn--ecka7j.biz/site-operation/wordpress/8528/ Thu, 07 Dec 2023 17:53:29 +0000 https://xn--ecka7j.biz/?p=8528 このリリースには、セキュリティ修正も 1 つ含まれています。
これはセキュリティ リリースであるため、サイトをすぐに更新することをお勧めします。
このマイナーリリースでは、Core の 7 つのバグ修正が行われています。
この修正には、スタイルシートとテーマのディレクトリが誤った結果を返すことがある原因となる問題のバグ修正が含まれています。

Security

「リモート コード実行の脆弱性」に対処

A Remote Code Execution vulnerability that is not directly exploitable in core, however the security team feels that there is a potential for high severity when combined with some plugins, especially in multisite installs.

https://wordpress.org/news/2023/12/wordpress-6-4-2-maintenance-security-release/

「リモート コード実行の脆弱性は、コアでは直接悪用できませんが、一部のプラグインと組み合わせると、特にマルチサイト インストールで重大度が高くなる可能性があるとセキュリティ チームは考えています。」: Google翻訳

➡ リモートコード実行攻撃は、一般的にWebアプリケーションやネットワークインフラの脆弱性を介して発生します。 リモートコード実行の脆弱性とは、攻撃者がターゲットシステム上で悪意のあるコードを実行できてしまうソフトウェアの欠陥のことです。

Maintenance

Written:2023/12/15
No 問題# 概要 種類 キーワード
1#59819 CSS align-item を start / end から
flex-start / flex-end に変更し、
ブラウザーを完全にサポートするようにしました。
Change CSS align-item from start / end
to flex-start / flex-end for full browser support		 バグ has-patch dev-reviewed コミット
2#59821 翻訳者への無関係なコメント
Irrelevant comment for translators		 バグ has-patch 固定メジャー
3#59847 WordPress6.4以降、register_theme_directoryを
使用して別の場所に移動されたテーマのfunctions.php
Since WordPress 6.4,
the functions.php of a theme moved
to a different location using register_theme_directory is no longer called		 バグ has-patch fixed-major dev-reviewed commit has-testing-info has-unit-tests
4#59869 register_theme_block_patterns の
docblock の参照が正しくない
Incorrect reference in docblock for _register_theme_block_patterns		 バグ 開発者レビュー済み
5#59882 シリアル化されたテンプレートの内容を、 ‘hooked_block_types’
フィルターに登録されたコールバックに公開します。
Expose serialized template content
to callbacks registered to the `hooked_block_types` filter.		 バグ has-patch 固定メジャーコミット
6#59891 WP_HTML_Tag_Processorクラスの誤った例
Incorrect example for WP_HTML_Tag_Processor class		 バグ has-patch 固定メジャー
7#59935 サイト編集者:ロゴ
Site editor: logo		 バグ has-testing-info has-unit-tests has-patch commit fixed-major dev-reviewed
]]> Windows 11 Update 月例 Build 22621.2134 – KB5029263 https://xn--ecka7j.biz/toolboox/windows11/7875/ Wed, 09 Aug 2023 05:22:02 +0000 https://xn--ecka7j.biz/?p=7875

更新プログラムは主にシステムの品質を改善し、セキュリティ問題を修正するものです。

CVE-2023-38180 .NET and Visual Studio Denial of Service Vulnerability
ADV230003 Microsoft Office の多層防御機能の更新プログラム
ADV230004 Memory Integrity System Readiness Scan Tool Defense in Depth Update

今月のセキュリティ更新プログラムで修正した脆弱性のうち、
以下の脆弱性は、CVSS 基本値が9.8 と高いスコアで、認証やユーザーの操作なしで悪用が可能な脆弱性です。
これらの脆弱性が存在する製品、および悪用が可能となる条件については、各CVEのページの「よく寄せられる質問」 を参照してください。
セキュリティ更新プログラムが公開されるよりも前に、脆弱性の情報の一般への公開、脆弱性の悪用はありませんが、脆弱性の特性を鑑み、企業組織では早急なリスク評価とセキュリティ更新プログラムの適用を推奨しています。

CVE-2023-21709 Microsoft Exchange Server の特権の昇格の脆弱性
CVE-2023-35385 Microsoft Message Queuing のリモートでコードが実行される脆弱性
CVE-2023-36910 Microsoft Message Queuing のリモートでコードが実行される脆弱性
CVE-2023-36911 Microsoft Message Queuing のリモートでコードが実行される脆弱性

セキュリティ更新プログラム一覧

 
セキュリティ更新プログラム一覧 2023/08/09
製品ファミリ 最大
深刻度		 最も大きな
影響		 関連するサポート技術情報
または
サポートの Web ページ
01 Windows 11
v22H2, v21H2		 緊急 リモートで
コードの実行が
可能		 V22H25029263
V21H25029253
02 Windows 10
v22H2, v21H2		 緊急 リモートで
コードの実行が
可能		 5029247
03 Windows
Server 2022
(Server
Core installation
を含む)		 緊急 リモートで
コードの実行が
可能		 5029250
Security
Hotpatch Update5029367
04 Windows
Server
2019 , 2016
(Server
Core installation
を含む)		 緊急 リモートで
コードの実行が
可能		 Windows Server 2019,5029247
Windows Server 2016,5029242
05 Windows
Server 2012 R2,
Windows
Server 2012
(Server
Core installation
を含む)		 緊急 リモートで
コードの実行が
可能		 Windows Server 2012 R2
Monthly Rollup5029312
Security Only5029304
Windows Server 2012
Monthly Rollup5029295
Security Only5029308
06 Microsoft
Office		 緊急 リモートで
コードの実行が
可能		 https://learn.microsoft.com/ja-jp/officeupdates/
07 Microsoft
SharePoint		 重要 情報漏えい https://learn.microsoft.com/officeupdates/sharepoint-updates
08 Microsoft
Exchange
Server		 重要 リモートで
コードの実行が
可能		 https://learn.microsoft.com/exchange
Released: August 2023
Exchange Server Security Updates
09 Microsoft .NET 重要 リモートで
コードの実行が
可能		 https://learn.microsoft.com/dotnet
10 Microsoft
Visual Studio		 重要 リモートで
コードの実行が
可能		 https://learn.microsoft.com/visualstudio
11 Microsoft
Dynamics 365		 重要 リモートで
コードの実行が
可能		 https://learn.microsoft.com/dynamics365
12 Azure
関連ソフトウェア		 重要 特権の昇格 https://learn.microsoft.com/azure
13 Windows Defender
Antimalware
Platform		 重要 特権の昇格 https://learn.microsoft.com/defender

既存の脆弱性情報の更新

既存の脆弱性 1 件を更新しました。

CVE-2023-36884 Windows Search のセキュリティ機能のバイパスの脆弱性
影響を受けるソフトウェアを更新し、2023 年 8 月のセキュリティ更新プログラムへのリンクを記載した Windows 製品を追加しました。FAQ の情報を修正しました。Office の更新プログラムは ADV230003 に記載しています。

新規セキュリティ アドバイザリの公開

新規のアドバイザリ 2 件を公開しました。

  • ADV230003 Microsoft Office の多層防御機能の更新プログラム
    マイクロソフトは、多層防御策としてセキュリティを強化する Microsoft Office 用更新プログラムをリリースしました。ADV230004 Memory Integrity System Readiness Scan Tool Defense in Depth Update
  • メモリ整合性システム準備スキャン ツール (hvciscan_amd64.exe および hvciscan_arm64.exe) を使用して、ハイパーバイザーで保護されたコード整合性 (HVCI) とも呼ばれるメモリ整合性との互換性の問題を確認しています。
    従来のバージョンは RSRC セクションなしで公開されました。このセクションにはモジュールのリソース情報が含まれています。新しいバージョンでは、この問題が解決されます。詳細については、「メモリの整合性と VBS とのドライバーの互換性」を参照してください。

既存のセキュリティ アドバイザリの更新

既存のアドバイザリ 3 件を更新しました。

  • ADV230001 Microsoft 署名済みドライバーが悪用された場合のガイダンス マイクロソフトは、2023 年 8 月 8 日の Windows セキュリティ更新プログラム (「セキュリティ更新プログラム」一覧を参照) で、信頼されていないドライバーとドライバーの署名証明書を Windows Driver STL 失効リストに追加したことをお知らせします。これらの追加のドライバーおよびドライバー証明書を追加するために、2023 年 8 月の更新プログラムをインストールすることを強く推奨します。自動更新が有効に設定されているお客様は、これ以上対応する必要はありません。
  • ADV190023 LDAP チャネル バインディングと LDAP 署名を有効にするためのマイクロソフト ガイダンス マイクロソフトは、2023 年 8 月 8 日にWindows Server 2022 および Windows Server 2022 (Server Core インストール) 用の更新プログラムをリリースし、Active Directory ドメイン コントローラー上のイベントを介して LDAP チャネル バインディング トークンを使用できないクライアント マシンを監査することをお知らせします。この更新プログラムにより、ディレクトリ サービスのイベント ログでイベント ソース Microsoft-Windows-ActiveDirectory_DomainService で CBT イベント 3074 および 3075 を有効にする機能が追加されます。
  • ADV990001 最新のサービス スタック更新プログラム
    新しいバージョンのサービス スタック更新プログラムが入手可能であることをお知らせするために、アドバイザリが更新されました。詳細については、FAQ を参照してください。

補足情報

最新のサービス スタック更新プログラム (SSU) は、アドバイザリ ADV990001 を確認してください。

  • Microsoft Edge (Chromium-based) のセキュリティ情報は、公開のスケジュールが月例のリリースとは異なりますので、セキュリティ更新プログラム ガイド上で製品にて Microsoft Edge (Chromium-based) を選択し、確認してください。または、Edge のセキュリティ リリース情報にてご確認ください。
  • 各脆弱性情報 (CVE) のページには、緩和策、回避策、注意事項やよく寄せられる質問など、追加の情報が掲載されている場合があります。セキュリティ更新プログラムの適用の前に、併せてご確認ください。
  • 最新の情報は、セキュリティ更新プログラム ガイド を確認してください。セキュリティ更新プログラムガイドでは、セキュリティの脆弱性および更新プログラムの情報を、CVE、KB 番号、製品、またはリリース日別に並べ替えたりフィルターをかけたりすることができます。各月のセキュリティ更新プログラムを絞り込むには、日付範囲に絞り込む月の第 2 火曜日を指定して検索してください。なお、セキュリティ更新プログラム ガイド API を活用して、自社に特化したカスタム レポートを作成することができます。API の活用方法を紹介する 6 つのビデオ (API の情報 (GitHub)、API へのアクセス、HTML ファイルの出力、Excel へのエクスポート、CVE リストの取得、KB リストの取得) を公開していますので、是非ご活用ください。
  • マイクロソフトでは、セキュリティ更新プログラムの新着情報及び更新情報を、お客様がタイムリーに受け取れるように、通知方法法をリニューアルしました。まだ購読されていない方、これまでのメールでの通知のみ受信している方は、この機会にどちらかの方法で、是非ご登録ください。
  • 通知方法1 プロファイルを作成する方法 : セキュリティ更新プログラム ガイドの通知システム : 今すぐプロファイルを作成しましょう
    通知方法2 RSS フィードで購読する方法 : セキュリティ更新プログラムの通知・配信の改善 – 新しい配信方法について
Microsoft https://msrc.microsoft.com/blog/2023/08/202308-security-update/

次回以降の更新スケジュール

2023/09分、および2023年中の月例更新スケジュールは、以下のブログカードのクリックで確認できます。

windows 11 2023 Update スケジュール
Windows 11の定例(月例)アップデート  2023年:主にセキュリティ関係(月例)で行われる予定アップデート日付(スケジュール)をお知らせします。➡速報:2023/11/09: 23H2 Build 22631.2506:22H2で...
イイネ.biz
2023.12.13
]]> Windows 11 Build 22621.819 KB5019980 Security Update https://xn--ecka7j.biz/toolboox/windows11/5182/ Wed, 09 Nov 2022 02:54:11 +0000 https://xn--ecka7j.biz/?p=5182 Windows 11 の定例(月例)アップデートです。
今回は、エクスプローラに影響する問題への対処とWindows OSのセキュリティ問題への対処ですので、もれのない様にUpdateすることをお勧めします。

ハイライト

  • ファイル エクスプローラに影響する問題に対処
  • Windows オペレーティング システムのセキュリティ問題に対処 

改良点

このセキュリティ更新プログラムには、更新プログラムKB5018496  (2022/10/26リリース) の一部であった改善が含まれています。

  • ファイル エクスプローラに影響する問題に対処(フォルダのローカライズ)

以前の更新プログラムをインストールした場合、このパッケージに含まれる新しい更新プログラムのみがダウンロードされ、デバイスにインストールされます。

セキュリティの脆弱性の詳細については、「セキュリティ更新プログラム ガイドWeb サイト」および「2022 年 11 月のセキュリティ更新プログラム 」を参照してください。

Microsoft

この更新プログラム()は、Windows 更新プログラムをインストールするコンポーネントであるサービス スタックの品質を向上させます。サービス スタック更新プログラム (SSU) により、デバイスが Microsoft 更新プログラムを受信して​​インストールできるように、堅牢で信頼性の高いサービス スタックが確保されます。

Microsoft
Windows 11
Windows 11 Build22621.819 – KB5019980

既知の問題(KB5019980以前の問題)

適用 症状 回避策
IT 管理者 Windows 11 バージョン 22H2 (Windows 11 2022 Updateとも呼ばれます) で
プロビジョニング パッケージを使用すると、期待どおりに動作しない場合があります。

Windows が部分的にしか構成されていない可能性があり、
Out Of Box Experienceが終了しないか、予期せず再起動する可能性があります。

プロビジョニング パッケージは、企業または学校の
ネットワークで使用する新しいデバイスを構成するために使用される.PPKGファイルです。
初期セットアップ中に適用されるプロビジョニング パッケージは、
この問題の影響を受ける可能性が最も高いです。

プロビジョニング パッケージの詳細については、
Windows 用のプロビジョニング パッケージを参照してください。

注:Windows Autopilotを使用した Windows デバイスのプロビジョニングは、
この問題の影響を受けません。

家庭や小規模オフィスで消費者が使用する Windows デバイスは、
この問題の影響を受ける可能性はほとんどありません。		 Windows 11 バージョン 22H2 にアップグレードする前に
Windows デバイスをプロビジョニングできる場合、これにより問題が回避されます。

現在調査中であり、今後のリリースでアップデートを提供する予定です。
IT 管理者 Windows 11 バージョン 22H2 では、大きな数ギガバイト (GB) のファイルをコピーすると、
完了までに予想以上に時間がかかる場合があります。
この問題は、
サーバー メッセージ ブロック (SMB) を介してネットワーク共有から
Windows 11 バージョン 22H2 にファイルをコピーする際に発生する可能性が高くなりますが、
ローカル ファイル コピーも影響を受ける可能性があります。

消費者が自宅や小規模オフィスで使用する Windows デバイスは、ほとんど発生しません。 		この問題を軽減するために、
キャッシュ マネージャー (バッファー I/O) を使用しないファイル コピー ツールを使用できます。
これは、
以下にリストされている組み込みのコマンドライン ツールを使用して行うことができます。

robocopy \\someserver\someshare c:\somefolder somefile.img /J
or
xcopy \\someserver\someshare c:\somefolder /J

※. someは、該当する部分を指しています。

解決に向けて取り組んでおり、今後のリリースでアップデートを提供する予定です。

同時更新プログラム

同時更新プログラム
]]> WordPress 6.0.3 Security Update https://xn--ecka7j.biz/site-operation/5080/ Tue, 18 Oct 2022 02:01:32 +0000 https://xn--ecka7j.biz/?p=5080 WordPress 6.0.3 が公開されました。
これは、セキュリティ・メンテナンスの為、早急に対応(メンテ)されることをお勧めします。
詳細を以下の一覧に記載しますが、
XSSの問題9個を含む、SQLインジェクションCSRFの問題など、合わせて16個のセキュリティ対策です。

XSS

XSScross site scripting

ウェブアプリケーションの中には、検索のキーワードの表示画面や個人情報登録時の確認画面、掲示板、ウェブのログ統計画面等、利用者からの入力内容やHTTPヘッダの情報を処理し、ウェブページとして出力するものがあります。
ここで、ウェブページへの出力処理に問題がある場合、そのウェブページにスクリプト等を埋め込まれてしまいます。
この問題をXSS「クロスサイト・スクリプティングの脆弱性」と呼び、この問題を悪用した攻撃手法を、「クロスサイト・スクリプティング攻撃」と呼びます。
クロスサイト・スクリプティング攻撃の影響は、ウェブサイト自体に対してではなく、そのウェブサイトのページを閲覧している利用者に及びます

出典:IPA 独立行政法人 情報処理推進機構

SQLi

SQLインジェクション攻撃により、発生しうる脅威は次のとおりです。

  • データベースに蓄積された非公開情報の閲覧:個人情報の漏えい 等
  • データベースに蓄積された情報の改ざん、消去:ウェブページの改ざん、パスワード変更、システム停止 等
  • 認証回避による不正ログイン:ログインした利用者に許可されている全ての操作を不正に行われる
  • ストアドプロシージャ等を利用したOSコマンドの実行:システムの乗っ取り、他への攻撃の踏み台としての悪用 等

注意が必要なウェブサイトの特徴:運営主体やウェブサイトの性質を問わず、データベースを利用するウェブアプリケーションを設置しているウェブサイトに存在しうる問題です。
個人情報等の重要情報をデータベースに格納しているウェブサイトは、特に注意が必要です。                         

出典:IPA 独立行政法人 情報処理推進機構

CSRF

CSRF:クロスサイトリクエストフォージェリ (cross-site request forgeries)は、
Webアプリケーションの脆弱性の一つ、もしくはそれを利用した攻撃。
 またはXSRF:リクエスト強要、セッションライディング (session riding) とも呼ばれます。

WordPress 6.0.3

# WordPress Security Update ver.6.0.3
01 wp-mail.php 経由で保存された XSS (メールで投稿)
Stored XSS via wp-mail.php (post by email)
02 wp_nonce_ays でリダイレクト
Open redirect in `wp_nonce_ays`
03 送信者のメールアドレスが wp-mail.php に公開される
Sender’s email address is exposed in wp-mail.php
04 メディア ライブラリ – SQLi(SQLインジェクション攻撃)経由で XSS を反映
Media Library – Reflected XSS via SQLi
05 wp-trackback.php の CSRF
CSRF in wp-trackback.php
06 カスタマイザー経由で保存された XSS
Stored XSS via the Customizer
07 50790 で導入された共有ユーザー インスタンスを元に戻す
Revert shared user instances introduced in 50790
08 コメント編集を介して WordPress コアに XSS を保存
Stored XSS in WordPress Core via Comment Editing
09 REST 用語/タグ エンドポイントを介したデータ公開
Data exposure via the REST Terms/Tags Endpoint
10 マルチパート電子メール内容が流出
Content from multipart emails leaked
11 「WP_Date_Query」の不適切なサニタイズによる SQL インジェクション
SQL Injection due to improper sanitization in `WP_Date_Query`
12 RSS ウィジェット: 保存された XSS の問題
RSS Widget: Stored XSS issue
13 XSS を検索ブロックに保存
Stored XSS in the search block
14 Feature Image Block: XSS の問題
Feature Image Block: XSS issue
15 RSS ブロック: 保存された XSS の問題
RSS Block: Stored XSS issue
16 ウィジェット ブロックの XSS を修正
Fix widget block XSS
]]> Windows 11 Update 月例 22H2 Build 22621.674 KB5018472 セキュリティ・アップデート https://xn--ecka7j.biz/toolboox/windows11/5025/ Wed, 12 Oct 2022 04:28:19 +0000 https://xn--ecka7j.biz/?p=5025 Windows 11 月例のセキュリティ・アップデートです。
セキュリティの問題への対処ですので、漏れの無い様に更新をお勧めします。

深刻度
Critical(致命的)13件を含む、84件の脆弱性対処ゼロデイ脆弱性も)

ゼロデイ(zero-day)とは、情報セキュリティにおいて、セキュリティホールが発見された日から、その脆弱性を解消するための対処方法が確立される日までの期間のことであり、その期間に、当該脆弱性を利用して行われるサイバー攻撃のことを、ゼロデイ攻撃(zero-day attack)という。

出典: フリー百科事典『ウィキペディア(Wikipedia)

改善点

このセキュリティ更新プログラムには、
更新プログラム KB5017389 (2022/09/30 リリース) の一部であった機能強化が含まれています。

Windows 11
Build 22621.674 KB5018427

このリリースの主な変更点は次のとおりです。

  • この更新プログラムには、
    内部の OS 機能に関するさまざまなセキュリティ機能の強化が含まれています。
  • このリリースについて追加の問題は記録されていません。
  • 以前の更新プログラムをインストール済みであれば、
    このパッケージに含まれる新しい更新プログラムのみがダウンロードされ、デバイスにインストールされます。
  • セキュリティ更新の詳細は、
    以下「2022 年 10 月のセキュリティ 更新」を参照してください。
Windows 11
Build 22621.674 KB5018427

i5-7200Uでも更新完了

Windows 11
sz6 i5-7200U Windows 11 Build 22621.674

目次へ戻る

severity

深刻度別脆弱性

CVE番号 深刻度「Critical」脆弱性
1 2022-37976 Active Directory 証明書サービスの特権の昇格の脆弱性
2 2022-37968 Azure Arc Connect の特権の昇格の脆弱性
3 2022-38048 Microsoft Office のリモート コードが実行される脆弱性
4 2022-41038 Microsoft SharePoint Server のリモートでコードが実行される脆弱性
5 2022-34689 Windows CryptoAPI のなりすましの脆弱性
6 2022-37979 Windows Hyper-V の特権の昇格の脆弱性
7 2022-30198 Windows Point-to-Point トンネリング プロトコルのリモートでコードが実行される脆弱性
8 2022-24504 Windows Point-to-Point トンネリング プロトコルのリモートでコードが実行される脆弱性
9 2022-33634 Windows Point-to-Point トンネリング プロトコルのリモートでコードが実行される脆弱性
10 2022-22035 Windows Point-to-Point トンネリング プロトコルのリモートでコードが実行される脆弱性
11 2022-38047 Windows Point-to-Point トンネリング プロトコルのリモートでコードが実行される脆弱性
12 2022-38000 Windows Point-to-Point トンネリング プロトコルのリモートでコードが実行される脆弱性
13 2022-41081 Windows Point-to-Point トンネリング プロトコルのリモートでコードが実行される脆弱性
CVE番号 深刻度「Important」脆弱性
14 2022-41043 Microsoft Office の情報漏えいの脆弱性
15 2022-41033 Windows COM + イベント システム サービスの特権の昇格の脆弱性
この脆弱性はセキュリティ攻撃への悪用がすでに確認されており、一刻も早い対応を

目次へ戻る

Security

2022年10月のセキュリティ更新

# 2022年10月のセキュリティ更新
Active Directory Domain Services
Azure
Azure Arc
Client Server Run-time Subsystem (CSRSS)
Microsoft Edge (Chromium ベース)
Microsoft Graphics コンポーネント
Microsoft Office
Microsoft Office SharePoint
Microsoft Office Word
SQL 用 Microsoft WDAC OLE DB プロバイダー
NuGet クライアント
リモート アクセス サービス Point-to-Point トンネリング プロトコル
ロール: Windows Hyper-V
Service Fabric
Visual Studio Code
Windows Active Directory 証明書サービス
Windows ALPC
Windows CD-ROM ドライバー
Windows COM+ イベント システム サービス
Windows 接続ユーザー エクスペリエンスとテレメトリ サービス
Windows CryptoAPI
Windows Defender
Windows DHCP クライアント
Windows 分散ファイル システム (DFS)
Microsoft DWM Core ライブラリ
Windows Event Logging Service
Windows グループ ポリシー
Windows グループ ポリシーの基本設定クライアント
Windows インターネット キー交換 (IKE) プロトコル
Windows カーネル
Windows Local Security Authority (LSA)
Windows ローカル セキュリティ機関サブシステム サービス (LSASS)
Windows ローカル セッション マネージャー (LSM)
Windows NTFS
Windows NTLM
Windows ODBC ドライバー
Windows Perception Simulation Service
Windows Point-to-Point Tunneling プロトコル
Windows Portable Device Enumerator Service
Windows 印刷スプーラー コンポーネント
Windows Resilient File System (ReFS)
Windows セキュリティで保護されたチャネル
Windows Security Support Provider Interface
Windows Server のリモートからアクセス可能なレジストリ キー
Windows Server Service
Windows Storage
Windows TCP/IP
Windows USB シリアル ドライバー
Windows Web アカウント マネージャー
Windows Win32K
Windows WLAN サービス
Windows ワークステーション サービス

目次へ戻る

]]> Windows 11 Update 月例 KB5017328 セキュリティ・ https://xn--ecka7j.biz/toolboox/windows11/4859/ Wed, 14 Sep 2022 01:13:41 +0000 https://xn--ecka7j.biz/?p=4859

ハイライトBuild22000.978

  • Windows オペレーティング システムのセキュリティの問題に対処します。
  • Microsoft アカウント (MSA) に影響する既知の問題に対処します。サインインまたはサインアウトに使用する Web ダイアログが表示されない場合があります。この問題は、KB5016691がインストールされているデバイスで発生します。

改良点

このセキュリティ更新プログラムには、更新プログラムKB5016691  (2022/08/25 リリース) の一部であった改善が含まれており、次の問題も解決されています

  • Microsoft アカウント (MSA) に影響する既知の問題に対処します。サインインまたはサインアウトに使用する Web ダイアログが表示されない場合があります。この問題は、KB5016691がインストールされているデバイスで発生します。

以前の更新プログラムをインストールした場合、このパッケージに含まれる新しい更新プログラムのみがダウンロードされ、デバイスにインストールされます。

セキュリティの脆弱性の詳細については、セキュリティ更新プログラム ガイドWeb サイトおよび2022 年 9 月のセキュリティ更新プログラム を参照してください。

同時更新

Windows 11
KB5017328 – Build22000.978

更新後Build22000.978

Windows 11
Windows 11 Build22000.978 – KB5017328

i5-7200uも更新

Windows 11
Let’s note sz-6 Windows 11 Build22000.978
]]> WordPress 2022/09 最新 https://xn--ecka7j.biz/site-operation/wordpress/4733/ Thu, 01 Sep 2022 03:00:50 +0000 https://xn--ecka7j.biz/?p=4733

WordPress最新セキュリティリリース

WordPress6.0branchと、それ以外のbranch最新バージョンをお知らせします。
以前は、「WordPressの脆弱性と更新履歴」の方に、追記する形にしていたのですが、

各branchの表(Table)が、あまりにも長くなり過ぎて、
一覧性を欠く(各branchの最新版を知るためには多くのスクロールを必要とする)ため、

WordPress 6.0.2のリリースに合わせ、
今後はこちらの方の表(Table)に追記していく形にしようと思っています。
(「WordPressの脆弱性と更新履歴」にも、こちらのぺーじへのLinkを貼って置こうと思います)

尚、WordPress 6.0.2のリリースに合わせて、
ほぼ同時、または1日遅れでリリースされた
branchの最新バージョンも WordPress 6.0.2と同様にセキュリティ リリースですので、

この表から、あなたがお使いのbranchの最新リリースを見つけて戴き、
あなたのウェブサイト(ホームページ)に適用して戴ければ幸いです。

WordPress 6.0.2 他セキュリティ

branch
最新		 release
米国太平洋標準		 release詳細別記
6.0.2 2022/08/30 ➡詳細6.0.2記事
6.0 以下6.0.2 release時
5.9.4 2022/08/30 ➡詳細6.0.2記事
5.8.5 2022/08/30 ➡詳細6.0.2記事
5.7.7 2022/08/30 ➡詳細6.0.2記事
5.6.9 2022/08/30 ➡詳細6.0.2記事
5.5.10 2022/08/30 ➡詳細6.0.2記事
5.4.11 2022/08/30 ➡詳細6.0.2記事
5.3.13 2022/08/30 ➡詳細6.0.2記事
5.2.16 2022/08/30 ➡詳細6.0.2記事
5.1.14 2022/08/30 ➡詳細6.0.2記事
5.0.17 2022/08/30 ➡詳細6.0.2記事
5.0以下5.0で大巾な改定下位互換
4.9.21 2022/08/30 ➡詳細6.0.2記事
4.8.20 2022/08/30 ➡詳細6.0.2記事
4.7.24 2022/08/30 ➡詳細6.0.2記事
4.6 以下他と1日遅れ
4.6.24 2022/08/31 ➡詳細6.0.2記事
4.5.27 2022/08/31 ➡詳細6.0.2記事
4.4.28 2022/08/31 ➡詳細6.0.2記事
4.3.29 2022/08/31 ➡詳細6.0.2記事
4.2.33 2022/08/31 ➡詳細6.0.2記事
4.1.36 2022/08/31 ➡詳細6.0.2記事
以下事実上のサポート終了
4.0以下 2022/09/08 正式発表
バージョン 3.7 – 4.0 への
セキュリティアップデート提供の終了
4.0 branch 以下、未対応
4.0.1 2014/12/15
WordPress New
WordPress New
]]>