Windows 8.1、RT 8.1、および Server 2012 R2 用 .NET Framework 3.5 SP1 のセキュリティおよび品質ロールアップについて (KB 4054999)

適用対象: .NET Framework 3.5 Service Pack 1

注意事項


この更新プログラムは 2018 年 2 月 Windows 8.1、Windows RT 8.1 および Windows Server 2012 R2 用の .NET Framework 3.5 SP1、4.5.2、4.6、4.6.1、4.6.2、4.7、4.7.1 の品質ロールアップのプレビュー (KB 4074807)に含まれます。 この更新プログラムの一部は 2018 年 2 月 13 日のセキュリティおよび品質ロールアップ (KB 4076494)、2018 年 1 月 17 日の品質ロールアップのプレビュー (KB 4057272) に含まれ、および、2018 年 1 月 9 日のセキュリティおよび品質ロールアップの一部 (KB 4055266) として含まれています。 

概要


このセキュリティ更新プログラムは、Microsoft .NET Framework (および .NET Core) コンポーネントが証明書を完全に検証しない場合に、存在するセキュリティ機能のバイパスの脆弱性を解決します。 このセキュリティ更新プログラムは、.NET Framework (および .NET Core) コンポーネントが証明書を完全に検証できるようにサポートすることで、脆弱性を解決します。 この脆弱性の詳細については、Microsoft Common Vulnerabilities and Exposures CVE-2018-0786 (英語情報) を参照してください。

さらに、このセキュリティ更新プログラムは、.NET Framework および .NET Core コンポーネントが XML ドキュメントを正しく処理しない場合に存在するサービス拒否の脆弱性を解決します。 この更新プログラムは、.NET Framework と .NET Core コンポーネント アプリケーションが XML ドキュメント プロセスを処理する方法を修正することにより、この脆弱性を解決します。 この脆弱性の詳細については、Microsoft Common Vulnerabilities and Exposures CVE-2018-0764 (英語情報) を参照してください。

重要

  • Windows RT 8.1、Windows 8.1、および Windows Server 2012 R2 のすべての更新プログラムを適用するには、更新プログラム KB 2919355 がインストールされている必要があります。 今後、更新プログラムを適用できるように、Windows RT 8.1 ベース、Windows 8.1 ベース、または Windows Server 2012 R2 ベースのコンピューターに更新プログラム KB 2919355 をインストールしておくことをお勧めします。.
  • この更新プログラムをインストールした後に言語パックをインストールした場合は、この更新プログラムを再インストールする必要があります。 そのため、この更新プログラムをインストールする前に、必要な言語パックをすべてインストールすることをお勧めします。 詳細については、「Windows への言語パックの追加」を参照してください。

このセキュリティ更新プログラムの関連情報


  • 拡張キー使用法 (EKU) については、RFC 5280 のセクション 4.2.1.12 を参照してください。 このエクステンションは、証明書付きの公開キーの使用目的を示します。この使用目的は、キー使用法エクステンションで指定されている基本的な目的に追加するか、それを置き換えます。   たとえば、サーバーでクライアントを認証するために使用する証明書は、クライアント認証目的に設定されていなければなりません。 同様に、サーバーを認証するために使用する証明書は、サーバー認証目的に設定されていなければなりません。 この変更では、証明書の適切なクライアント/サーバー EKU が必要なだけでなく、ルート証明書が無効化されている場合、証明書チェーンの検証が失敗します。

    認証用に証明書が使用される場合は、認証アプリがリモートのエンドポイントで提供される証明書を調べ、アプリケーションのポリシー拡張機能で正しい目的のオブジェクトの識別子を探します。 クライアント認証用に証明書が使用される場合は、クライアント認証用のオブジェクトの識別子が証明書の EKU 拡張機能に存在しなければりません。この識別子が存在しないと、認証に失敗します。 クライアント認証用のオブジェクト識別子は 1.3.6.1.5.5.7.3.2 です。同様に、サーバー認証に証明書が使用されている場合、サーバー認証用のオブジェクト識別子が証明書の EKU 拡張機能に存在する必要があります。そうでない場合、認証に失敗します。 サーバー認証用のオブジェクトの識別子は 1.3.6.1.5.5.7.3.1 です。 EKU 拡張機能がない証明書は、そのまま正しく認証されます。

    最初に、正しい EKU OID 属性を使用し、正しく保護されるよう、コンポーネント証明書に変更を加えることを検討します。 再発行された証明書に一時的に正常にアクセスできない場合、接続の影響を避けるために、すべてのコンピューターでセキュリティの変更をオプトインするかまたはオプトアウトするかを選択できます。 これを行うには、構成ファイルで次の appsetting を指定します。
    <appSettings>    <add key="wcf:useLegacyCertificateUsagePolicy" value="true" /></appSettings>
    注: この値を “true” に変更すると、セキュリティの変更がオプトアウトされます。
  • Windows 8.1、Windows RT 8.1、および Windows Server 2012 R2 に関連するこのセキュリティ更新プログラムの詳細については、次のマイクロソフト サポート技術情報の資料を参照してください。

4074807  2018 年 2 月 Windows 8.1、Windows RT 8.1 および Windows Server 2012 R2 用の .NET Framework 3.5 SP1、4.5.2、4.6、4.6.1、4.6.2、4.7、4.7.1 の品質ロールアップのプレビュー (KB 4074807)

4076494 Windows 8.1、Windows RT 8.1 および Windows Server 2012 R2 用の .NET Framework 3.5 SP1、4.5.2、4.6、4.6.1、4.6.2、4.7、および 4.7.1 のセキュリティおよび品質ロールアップ (KB 4076494)

4057272 2018 年 1 月 Windows 8.1、Windows RT 8.1 および Windows Server 2012 R2 用の .NET Framework 3.5 SP1、4.5.2、4.6、4.6.1、4.6.2、4.7、4.7.1 の品質ロールアップのプレビュー (KB 4057272)

4055266 Windows 8.1、Windows RT 8.1 および Windows Server 2012 R2 用の .NET Framework 3.5 SP1、4.5.2、4.6、4.6.1、4.6.2、4.7、および 4.7.1 の更新プログラムのセキュリティおよび品質ロールアップ (KB 4055266)

更新プログラムの入手方法およびインストール方法


方法 1: Windows Update

この更新プログラムは、Windows Update を介して利用可能です。 自動更新を有効にすると、この更新プログラムは自動的にダウンロードおよびインストールされます。 セキュリティ更新プログラムを自動的に入手する方法の詳細については、「Windows Update: FAQ」を参照してください。

方法 2: Microsoft Update カタログ

この更新プログラムのスタンドアロン パッケージを入手するには、 更新プログラム KB 4074807 にアクセスしてください。

方法 3: Windows Software Update Services (WSUS)

WSUS サーバーで、次の手順を実行します。

  1. スタート]、[ 管理ツール]、Microsoft Windows Server Update Services 3.0] の順に選択します。
  2. [ComputerName] を展開し、操作] を選択します。
  3. 更新のインポート] を選択します。
  4. ブラウザーのウィンドウが開き、ActiveX コントロールをインストールするようにというメッセージが表示される場合があります。 操作を続行するには、ActiveX コントロールをインストールします。
  5. このコントロールを インストールした後、Microsoft Update カタログの画面が表示されます 。[検索] ボックスに「4074807」と入力し 、[検索] をクリックします。
  6. 実際の環境のオペレーティング システム、言語、プロセッサに合った .NET Framework パッケージを選択します。 追加] を選択してバスケットに追加します。
  7. 必要なパッケージをすべて選択したら、バスケットの表示] を選択します。
  8. [インポート] を選択して、WSUS サーバーにパッケージをインポートします。
  9. パッケージがインポートされたら [閉じる] を選択して WSUS に戻ります。

これで、WSUS 経由で更新プログラムをインストールすることができます。

更新プログラムの展開に関する情報

このセキュリティ更新プログラムの展開の詳細については、次のマイクロソフト サポート技術情報の資料を参照してください。

20180109 セキュリティ更新プログラムの展開に関する情報: 2018 年 1 月 10 日

更新プログラムのアンインストール情報

注: セキュリティ更新プログラムのアンインストールはお勧めしません。 この更新プログラムを削除するには、コントロール パネルの [プログラムの追加と削除] または [プログラムと機能] を使用します。

更新プログラムに伴う再起動に関する情報

更新対象のファイルがロックされたり使用されていない限り、この更新プログラムを適用した後にシステムを再起動する必要はありません。

更新プログラムの置き換えに関する情報

この更新プログラムを適用すると、 更新プログラムKB 4049017KB 4041085KB 4042078、および KB 4057272 が置き換えられます。

このセキュリティ更新プログラムに関するヘルプとサポートを受ける方法