Microsoft は、3 件のゼロデイ脆弱性を含む 57 件のセキュリティ脆弱性を解決するための拡張セキュリティ更新プログラム KB5071546 をリリースしました。
Windows 10 Enterprise LTSC を実行している場合、または ESU プログラムに登録している場合は、設定を開き、Windows Update をクリックし、手動で「更新プログラムのチェック」を実行することで、通常どおりこの更新プログラムをインストールできます。
出典: BleepingComputer
この更新プログラムは必須であるため、自動的にインストールされ、完了後にデバイスの再起動を促すメッセージが表示されます。
この更新プログラムをインストールすると、Windows 10 はビルド 19045.6691 に更新され、Windows 10 Enterprise LTSC 2021 はビルド 19044.6691 に更新されます。
Windows 10 KB5071546 の新機能
Microsoft は Windows 10 に対して新機能をこれ以上提供せず、KB5071546 更新プログラムには、セキュリティ更新プログラムと、以前のセキュリティ更新プログラムによって発生した不具合の修正のみが含まれています。
今回のリリースでは、PowerShell におけるリモートコード実行のゼロデイ脆弱性 CVE-2025-54100 が修正されました。この脆弱性により、”Invoke-WebRequest” コマンドを使ってページを取得した際に、そのページに埋め込まれた悪意のあるスクリプトが実行される可能性がありました。
- [PowerShell 5.1] Invoke-WebRequest コマンドに、スクリプト実行リスクに関するセキュリティ警告付きの確認プロンプトが追加されました。処理を続行するか、要求を取り消すかを選択できます。詳細については、CVE-2025-54100 および KB5074596: PowerShell 5.1: Preventing script execution from web content を参照してください。
“Invoke-WebRequest” コマンドを使用する PowerShell スクリプトを実行すると、Windows 10 のデフォルトバージョンである PowerShell 5.1 では、ページ上のスクリプトが実行される可能性があることを警告するメッセージが表示されるようになりました。
ページが信頼できない場合、Windows ユーザーは埋め込みスクリプトが解析されないようにするため、コマンドライン引数 -UseBasicParsing を使用する必要があります。
セキュリティ警告: スクリプト実行のリスク
Invoke-WebRequest は Web ページのコンテンツを解析します。Web ページ内のスクリプトコードは、ページが解析されるときに実行される可能性があります。
Security Warning: Script Execution Risk
Invoke-WebRequest parses the content of the web page. Script code in the web page might be run when the page is parsed.
RECOMMENDED ACTION:
Use the -UseBasicParsing switch to avoid script code execution.
Do you want to continue?
For additional details, see [KB5074596: PowerShell 5.1: Preventing script execution from web content](https://support.microsoft.com/help/5072034).Microsoft は、このコマンドラインフラグをいつ、どのように使用するかについてのアドバイザリを公開しています。
Microsoft は、この更新プログラムに既知の問題はないと述べています。
