Microsoft Exchange CVE-2026-42897——Patch Tuesday後に発覚した未パッチXSSゼロデイが悪用中
Exchange Server 2016/2019/SEのOWAにXSS/スプーフィングの未パッチゼロデイCVE-2026-42897(CVSS 8.1)が5月15日に公開。メールを開くだけで任意JSが実行される。EEMSによる緊急緩和策と管理者向け対応手順を解説。
← タグ一覧
#microsoft (8 件)
Microsoft Patch Tuesday 2026年5月——Netlogon CVSS 9.8・Outlookゼロクリックを含む120件超のCVEを解析
2026年5月13日のPatch Tuesdayは120件超のCVEを修正。CVSS 9.8のNetlogon RCE(ワーマブル)・ゼロクリックOutlook RCE・Dynamics 365 CVSS 9.9など企業環境への影響が大きい重大CVEを優先順位付きで解説。
全米主要AIラボがCAISI事前評価に合意——セーフガードを外したフロンティアモデルを政府が国家安全保障の観点で審査する仕組み
2026年5月5日、Microsoft・Google・xAIが米商務省CAISIとフロンティアAIの事前評価協定に署名。OpenAI・Anthropicに続き全主要ラボが参加し、公開前に安全対策を削減した状態でのモデル審査体制が確立した。
OpenAIがAWS Bedrockに上陸——Azure独占終了とGPT-5.5マルチクラウド時代が開発者にもたらすもの
2026年4月27〜28日、MicrosoftとOpenAIの独占契約が終了し翌日にOpenAIがAWS Bedrockへ参入。GPT-5.5・Codex・Managed Agentsが標準BedrockAPIから利用可能になった意味を整理する。
CVE-2026-40372(CVSS 9.1):ASP.NET Core Data ProtectionのHMACバグが全認証Cookieを偽造可能にした——.NET 10.0.0〜10.0.6が対象、即時10.0.7へ更新+鍵ローテーション必須
Microsoft.AspNetCore.DataProtection 10.0.0〜10.0.6に存在するHMACの計算誤りにより、攻撃者がゼロバイトHMACで認証Cookieを偽造できる。CVSS 9.1、主にLinux/macOS上の.NET 10アプリが対象。10.0.7へのアップグレードに加え、DataProtection鍵リングのローテーションが必須。
Microsoft Agent 365が5月1日GA:エンタープライズAIエージェントの管理・観測・権限を一元化する制御プレーン
Microsoft Agent 365が2026年5月1日に一般提供(GA)を開始する。$15/ユーザー/月で、組織内のAIエージェントにEntra IDベースの身元管理・観測・セキュリティポリシーを適用する制御プレーン。Agent 365 SDKはOpenAI・LangChain・Agent Frameworkと統合可能で、Foundryとネイティブに連携する。
GitHub Copilot個人プラン大改訂——6月1日からトークン従量課金、新規申込停止とOpus 4.7制限が示す「エージェント時代の課金モデル限界」
GitHubは2026年4月20日にCopilot個人プランの新規申込を一時停止し、Opus 4.7をPro+のみに制限。6月1日からリクエスト定額課金を廃止しトークン消費量ベースの従量課金へ移行する。エージェントワークフローが1ユーザーあたりのAPI呼び出し数を2024年比で数十倍に押し上げ、月額固定モデルが維持不可能になったと公式に認めた形だ。
MicrosoftがAIエージェント向けオープンソース「Agent Governance Toolkit」を公開——OWASP Agentic Top 10を全カバー、p99 0.1ms以下のランタイムポリシーエンジン
Microsoftが4月2日にAgent Governance Toolkitをオープンソース公開(MIT)。LangChain・CrewAI・Google ADK対応、p99 0.1ms以下のポリシー適用でOWASP Agentic AI Top 10を業界初の完全網羅。Python/TypeScript/Go/Rust/.NET対応。