注
- リリース日:
2020 年 10 月 13 日 - Version:
.NET Framework 3.5 および 4.8
概要
.NET Framework がメモリ内のオブジェクトを適切に処理しない場合に情報漏えいの脆弱性が存在します。 この脆弱性の悪用に成功した攻撃者は、影響を受けるシステムのメモリの内容を開示する可能性があります。 この脆弱性を悪用するには、認証された攻撃者が特別に細工したアプリケーションを実行する必要があります。 .NET Framework がメモリ内のオブジェクトを処理する方法を修正することで脆弱性を修正しています。
脆弱性の詳細については、次の Common Vulnerabilities and Exposures (CVE) を参照してください。
この更新プログラムの既知の問題
エラー メッセージ ASP.Net プリコンパイル中にアプリケーションが失敗する
現象
この 2020 年 10 月 13 日のセキュリティと品質のロールアップを .NET Framework 4.8 に適用すると、プリコンパイル中に一部の ASP.Net アプリケーションが失敗します。 表示されるエラー メッセージには、"エラー ASPCONFIG" という単語が含まれている可能性があります。
原因
"System.web" 構成の "sessionState"、"anonymouseIdentification"、または "authentication/forms" セクションの構成状態が無効です。 これは、構成変換によって Web.config ファイルがプリコンパイルのために中間状態のままになっている場合、ビルドおよび発行ルーチン中に発生する可能性があります。
回避策
この問題は 、KB4601056で解決されました。
ASP.Net アプリケーションが URI で Cookie レス トークンを配信しない可能性がある
現象
この 2020 年 10 月 1 日のセキュリティと品質のロールアップを .NET Framework 4.8 に適用した後、一部の ASP.Net アプリケーションが URI で Cookie レス トークンを配信せず、302 リダイレクト ループが発生したり、セッション状態が失われたりする可能性があります。
原因
セッション状態、匿名識別、フォーム認証の ASP.Net 機能はすべて、Web クライアントへのトークンの発行に依存しており、これらのトークンを Cookie に配信するか、Cookie をサポートしていないクライアントの URI に埋め込むオプションを使用できます。 URI 埋め込みは長い間安全ではなく、コミットされていない方法であり、この KB では、これら 3 つの機能のいずれかが構成で Cookie モードの "UseUri" を明示的に要求しない限り、URI のトークンの発行を静かに無効にします。 "AutoDetect" または "UseDeviceProfile" を指定する構成では、URI にこれらのトークンの埋め込みが誤って試行され、失敗する可能性があります。
回避策
この問題は 、KB4601056で解決されました。
この更新プログラムの入手方法
この更新プログラムのインストール
| リリース チャネル | 使用可能 | 次の手順 |
|---|---|---|
| Windows Update および Microsoft Update | はい | ありません。 この更新プログラムは、Windows Update から自動的にダウンロードおよびインストールされます。 |
| Microsoft Update カタログ | はい | この更新プログラムのスタンドアロン パッケージを入手するには、Microsoft Update カタログ Web サイトに移動してください。 |
| Windows Server Update Services (WSUS) | はい | 次のように [製品と分類] を構成すると、この更新プログラムは WSUS と自動的に同期されます。 Product:Windows 10、バージョン 1903、Windows Server、バージョン 1903、Windows 10、バージョン 1909、Windows Server、バージョン 1909 分類:セキュリティ更新プログラム |
ファイル情報
この更新プログラムで提供されるファイルのリストについては、累積的な更新プログラムのファイル情報をダウンロードしてください。
保護とセキュリティに関する情報
- オンラインでの自分の保護: Windows セキュリティのサポート
- サイバー脅威から保護する方法についての説明: Microsoft セキュリティ