セキュリティホール memo

Last modified: Wed Jul 15 19:51:05 2026 +0900 (JST)


Security Watch さんが店じまいされてしまったので、 個人で追いかけてみるテストです。 備忘録として書いておくつもりなので、 Security Watch さんのような詳細なものではありません。 基本的なターゲットは UNIX、Windows、Mac OS (priority 順) とします。 また、このページの内容はどのページにも増して無保証であることを宣言しておきます。全ての情報が集まっているわけもありません。

ここに載せる情報については、可能な限り 1 次情報源へのリンクを作成しておきます。 各自で 1 次情報源の内容を確認してください。 このページの内容をくれぐれも鵜飲みにしないように。 間違いを発見された方、記載されていない情報をご存知の方、ぜひおしえてください。よろしくお願いいたします。

このページの情報を利用される前に、注意書きをお読みください。


[ 定番情報源 ] 過去の記事: 2026 | 2025 | 2024 | 2023 | 2022 | 2021 | 2020 | 2019 | 2018 | 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998


[SCAN Security Wire NP Prize 2001]

「Scan Security Wire」 主催の SCAN Security Wire NP Prize 2001 を受賞しました。

 

「ネットランナー」の ベスト・オブ・常習者サイト 2003 で金賞を、ベスト・オブ・常習者サイト 2004 で銀賞を受賞しました。


復刊リクエスト受付中:

ジェイムズ.F.ダニガン「 新・戦争のテクノロジー」(現在58票)
中山信弘「ソフトウェアの法的保護」 (現在112票) (オンデマンド購入可)
陸井三郎訳・編「ベトナム帰還兵の証言」 (現在109票)
林克明「カフカスの小さな国 チェチェン独立運動始末」 (現在175票)
田中徳祐「我ら降伏せず−サイパン玉砕戦の狂気と真実」 (復刊決定)

RSS に対応してみました。 小ネタは含まれていません。「政治ねたウゼェ」という人は RSS ベースで読むと幸せになれるでしょう (ウザくない人は こっちの RSS がよいかもしれません)。 RSS 1.0 ですので、あくまで RDF Site Summary です。 G現在は Really Simple Syndication には対応していません。
今すぐ Really Simple Syndication がほしい人は、のいんさんによる Web サイトの RSS を勝手に出力するプロジェクト ……のものがうまくいっていないようなので、 セキュmemoのRSS生成 をご利用ください。Tamo さん情報ありがとうございます。

実用 SSH 第2版: セキュアシェル徹底活用ガイド

2026.07.15

2026 年 7 月のセキュリティ更新プログラム (月例)
(Microsoft, 2026.07.14)

 出ました。622 Microsoft CVE + 428 non-MS CVE (Chrome) 。 July 2026 Security Updates から CVE 一覧が消滅しました。 この↓一覧で十分ということなのでしょうか。 Copilot AI 訳:

製品ファミリ 個別更新数 対処した脆弱性数 製品/バージョンごとの更新数 更新タイプ
Azure 13 11 1 個別
Defender 2 5 1 累積
Developer Tools 36 27 1 累積
Exchange Server 4 5 1 累積
Microsoft Edge 1 46 1 累積
Office 10 82 1 累積(2016 を除く)
Office 2016 18 82 1 個別
Other 4 5 1 個別
SharePoint Server 3 17 1 累積
SQL Server 8 8 1 累積
Windows 35 416 1 累積

 Other が気になるのだけど……。

 KB のリリースノートに何かないかな:

 July 2026 Security Updates では 「Notable CVEs (注目すべきCVE)」として 0-day 物件が挙げられているようです。 Copilot AI 訳:

CVE ID タイトル 特記事項
CVE-2026-50661 Windows BitLocker セキュリティ機能バイパスの脆弱性 公知
CVE-2026-56155 Active Directory Federation Services 権限昇格の脆弱性 悪用検出
CVE-2026-56155 Microsoft SharePoint Server 権限昇格の脆弱性 悪用検出

 2026 年 7 月のセキュリティ更新プログラム (月例) も、 これまでは「今月のセキュリティ更新プログラムで修正した脆弱性のうち、以下の脆弱性は CVSS 基本値が9.8 と高いスコアで……」という文章がありましたが、 今月はありません。 いずれも、BOD26-04 に従った運用に変わった、ということでもあるのかなあ。

 あとこちら:

Microsoft Exchange の更新プログラムを展開する際は、Microsoft Exchange チームブログ Released: July 2026 Exchange Server Security Updates も併せてご参照ください。

 関連:


2026.07.14

いろいろ (2026.07.14)
(various)

OpenBSD PPP PAP

GPSD

GNU patch (2.8.0 以前)


2026.07.13

いろいろ (2026.07.13)
(various)

PostgreSQL JDBC

GitHub Agentic Workflows

  • GitHubの公開IssueだけでAIに非公開リポジトリの情報を吐き出させる脆弱性「GitLost」が報告される (gigazine, 2026.07.09)

  • GitLost: How We Tricked GitHub’s AI Agent into Leaking Private Repos (Sasi Levi / Noma Labs, 2026.07.06)。DeepL AI 訳:

    GitLostは、エージェント型AIシステムに関してあらゆる組織が直面する根本的なセキュリティ上の課題の一つを如実に示しています。エージェントのコンテキストウィンドウは、同時にその攻撃対象領域でもあります。エージェントが読み込むコンテンツ(イシュー、プルリクエスト、コメント、ファイルなど)は、エージェントがそれを指示として扱う場合、すべて悪用される可能性があります。

    従来のセキュリティモデルでは、通常、信頼境界がコードによって強制されると想定されています。エージェント型システムでは、信頼境界はモデルの挙動によって部分的に強制され、モデルは本質的に指示に従う性質を持っています。プロンプト注入攻撃は、エージェント型AIにとって、WebアプリケーションにおけるSQLインジェクションと同様の存在となっています。つまり、体系的でカテゴリー全体に及ぶ脆弱性の分類であり、これに対処するには同様の体系的な戦略と防御策が必要となります。

    これはまた、たいへんな時代になったなあ。

GNU Wget


2026.07.10

追記

Microsoft Defenderの新たなゼロデイ脆弱性「RoguePlanet」、2026年6月10日のWindows Updateのパッチを全て当てた状態でも攻撃されてしまう結果に (2026.06.22)

 Microsoft Defender Elevation of Privilege Vulnerability CVE-2026-50656 (Microsoft) が 2026.07.08 付で改訂されて 2.0 版になった。 DeepL AI 訳を若干修正:

2026年7月8日  マイクロソフトは、CVE-2026-50656 で特定された脆弱性に対処する「Microsoft Malware Protection Engine」の更新プログラムをリリースしました。新しいバージョンがインストールされているかどうかを確認する方法の詳細については、FAQ をご覧ください。
この脆弱性の影響を受ける Microsoft Malware Protection Engineの最後のバージョン 1.1.26050.11
この脆弱性が修正されたMicrosoft Malware Protection Engineの最初のバージョン 1.1.26060.3008

いろいろ (2026.07.10)
(various)

X.Org 方面

Go

AnyDesk

WinRAR

Wireshark


2026.07.09


2026.07.08

いろいろ (2026.07.08)
(various)

Linux

追記

Adobe 方面 Priority: 1 (ColdFusion / Campaign Classic) (2026.07.02)

 CISA orders feds to patch max severity ColdFusion flaw by Friday (Bleeping Computer, 2026.07.08)。 ColdFusion の欠陥 CVE-2026-48282 の攻略ツールが出回っている模様。


2026.07.07


2026.07.06

いろいろ (2026.07.06)
(various)

PHP

OpenVPN


2026.07.03

Apple 方面 (iOS / iPadOS, macOS, Safari)
(Apple, 2026.06.29)

 0-day は無いみたい。WebKit の修正が多い。

いろいろ (2026.07.03)
(various)

NUT upsmon

hostapd

ClamAV


2026.07.02

「Google Chrome 150」がリリース ~UI刷新を段階展開、セキュリティ修正は実に382件
(窓の杜, 2026.07.01)

 Chrome 150 ですか。 はあ。

追記

Firefox 152.0 / ESR 140.12.0 / ESR 115.37.0、Thunderbird 152.0 / 140.12.0esr 公開 (2026.06.17)

 Firefox 152.0.4、Thunderbird 152.0.1 / 140.12.1esr 公開。 セキュリティ修正あり。

いろいろ (2026.07.02)
(various)

Fluentd

ProFTPD

  • ProFTPD 1.3.9 Release Notes (ProFTPD, 2026.07.01)。iida さん情報ありがとうございます。

    Additional fixes for SQL injection (CVE-2026-42167), notably for handling `%{env:...}` and `%{note:...}` variables.

Squid

Adobe 方面 Priority: 1 (ColdFusion / Campaign Classic)
(Adobe, 2026.06.30)

 ColdFusion と Campaign Classic の advisory 出ました。どちらも Priority: 1 です。

2026.07.08 追記:

 CISA orders feds to patch max severity ColdFusion flaw by Friday (Bleeping Computer, 2026.07.08)。 ColdFusion の欠陥 CVE-2026-48282 の攻略ツールが出回っている模様。


過去の記事: 2026 | 2025 | 2024 | 2023 | 2022 | 2021 | 2020 | 2019 | 2018 | 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998


[セキュリティホール memo]
[私について]