Windows 8.1、Windows RT 8.1 および Windows Server 2012 R2 用の .NET Framework 3.5、4.5.2、4.6、4.6.1、4.6.2、4.7、4.7.1、4.7.2 のセキュリティおよび品質ロールアップ更新プログラム (KB 4340558)

概要

このセキュリティ更新プログラムは、以下の脆弱性を解決します。

• .NET Framework が入力を正しく検証しないときに、"リモートでコードが実行される" 脆弱性が存在します。 この脆弱性の悪用に成功した攻撃者は対象のシステムを制御する可能性があります。  また、プログラムのインストール、データの表示、変更、削除などを行ったり、完全なユーザー権限を持つ新たなアカウントを作成したりする可能性があります。 システムに関するユーザー権限が低く設定されているアカウントを使用しているユーザーは、管理者ユーザー権限のあるユーザーよりも影響が少なくなると考えられます。  攻撃者がこの脆弱性を悪用するには、影響を受けやすい .NET Framework メソッドを介して特定の入力をアプリケーションに渡す必要があります。 このセキュリティ更新プログラムは、.NET Framework が入力を検証する方法を変更することにより、この脆弱性を解決します。 この脆弱性の詳細については、Microsoft Common Vulnerabilities and Exposures CVE-2018-8284 (英語情報) を参照してください。

• .NET Framework には、攻撃者がユーザーの権利レベルを昇格できる可能性がある "特権の昇格" の脆弱性が存在します。 この脆弱性を悪用するために、攻撃者は、まずローカル コンピューターにアクセスし、悪意のあるプログラムを実行します。 この更新プログラムは、.NET Framework が COM オブジェクトを有効にする方法を修正することによりこの脆弱性を解決します。 この脆弱性の詳細については、Microsoft Common Vulnerabilities and Exposures CVE-2018-8202 (英語情報) を参照してください。

• .NET Framework コンポーネントが証明書を正しく検証しない場合に "セキュリティ機能のバイパス" の脆弱性が存在します。 攻撃者は、証明書のチャレンジ時に期限切れの証明書を提示することができます。 このセキュリティ更新プログラムは、.NET Framework コンポーネントが証明書を正しく検証できるように修正することで、この脆弱性を解決します。 この脆弱性の詳細については、Microsoft Common Vulnerabilities and Exposures CVE-2018-8356 (英語情報) を参照してください。

重要

• Windows RT 8.1、Windows 8.1、および Windows Server 2012 R2 のすべての更新プログラムを適用するには、更新プログラム 2919355 がインストールされている必要があります。 今後、更新プログラムを適用できるように、Windows RT 8.1 ベース、Windows 8.1 ベース、または Windows Server 2012 R2 ベースのコンピューターに更新プログラム 2919355 をインストールしておくことをお勧めします。

• この更新プログラムをインストールした後に言語パックをインストールした場合は、この更新プログラムを再インストールする必要があります。 そのため、この更新プログラムをインストールする前に、必要な言語パックをすべてインストールすることをお勧めします。 詳細については、「Windows への言語パックの追加」を参照してください。

このセキュリティ更新プログラムの関連情報

以下の資料では製品バージョン別に、このセキュリティ更新プログラムに関する追加情報が掲載されています。 資料には、既知の問題に関する情報が掲載されている場合があります。

• 4338424 Windows 8.1、Windows RT 8.1、および Windows Server 2012 R2 用の .NET Framework 3.5 のセキュリティおよび品質ロールアップ更新プログラムについて (KB 4338424)

• 4338415 Windows 8.1、Windows RT 8.1、および Windows Server 2012 R2 用の .NET Framework 4.5.2 のセキュリティおよび品質ロールアップ更新プログラムについて (KB 4338415)

• 4338419 Windows 8.1、Windows RT 8.1、および Windows Server 2012 R2 用の .NET Framework 4.6、4.6.1、4.6.2、4.7、4.7.1、4.7.2 のセキュリティおよび品質ロールアップ更新プログラムについて (KB 4338419)

既知の問題

• 2018 年 7 月の .NET Framework セキュリティ更新プログラムのいずれかをインストールすると、“アクセスが拒否されました”、“クラスが登録されていません”、または“不明な理由で内部エラーが発生しました” というエラーのため、COM コンポーネントが読み込まれません。   最も一般的な失敗の特徴は次のとおりです。 

  例外の種類: System.UnauthorizedAccessException 

  メッセージ: アクセスが拒否されました。  (HRESULT からの例外: 0x80070005 (E_ACCESSDENIED))

  この問題の詳細については、次のマイクロソフト サポート技術情報を参照してください。 

  4345913 2018 年 7 月の .NET Framework のセキュリティおよび品質ロールアップ更新プログラムをインストールした後に、"アクセスが拒否されました" エラーが発生し、COM を有効にしたアプリケーションが失敗する 

• .NET Framework 4.7.2 がインストールされているシステム、または .NET Framework 4.6、4.6.1、4.6.2、4.7、4.7.1、または 4.7.2 用の 2018 年 7 月の更新プログラムがインストールされているシステムで、Azure Active Directory (Azure AD) Connect Health for Sync 監視エージェントを実行している場合にこの問題が発生することがあります。 このシナリオでは、パフォーマンスが低下し、CPU 使用率が高くなることがあります。
  
  この問題の詳細については、次のマイクロソフト サポート技術情報を参照してください。

  4457331 .NET Framework 4.7.2 がインストールされているシステム、または .NET Framework 4.6、4.6.1、4.6.2、4.7、4.7.1、または 4.7.2 用の 2018 年 7 月の更新プログラムがインストールされているシステムで、Azure Active Directory (Azure AD) Connect Health for Sync 監視エージェントを実行している場合、パフォーマンスが低下し、CPU 使用率が高くなることがある

このセキュリティ更新プログラムに関するヘルプとサポートを受ける方法

• 更新プログラムのインストールのヘルプ: Windows Update に関する FAQ

• IT 専門家のためのセキュリティ ソリューション: TechNet セキュリティに関するサポートとトラブルシューティング

• Windows ベースの製品およびサービスをウイルスとマルウェアから保護する: Microsoft Secure

• 国ごとのローカル サポート: インターナショナル サポート