Windows 8.1、Windows RT 8.1、および Windows Server 2012 R2 用の .NET Framework 4.6、4.6.1、4.6.2、4.7、4.7.1、4.7.2 のセキュリティおよび品質ロールアップについて (KB 4483450)

適用対象: .NET Framework

概要


このセキュリティ更新プログラムは、Microsoft .NET Framework の脆弱性を解決します。以下の脆弱性が対象です。

  • .NET ソフトウェアがファイルのソース マークアップをチェックしない場合に、リモートでコードが実行される脆弱性。 この脆弱性の悪用に成功した攻撃者は、現在のユーザーのコンテキストで任意のコードを実行する可能性があります。 現在のユーザーが管理者ユーザー権限を使用してログオンしている場合、攻撃者が影響を受けるコンピューターを制御する可能性があります。 また、プログラムのインストール、データの表示、変更、削除などを行ったり、完全なユーザー権限を持つ新たなアカウントを作成したりする可能性があります。 システムに関するユーザー権限が低く設定されているアカウントを使用しているユーザーは、管理者ユーザー権限のあるユーザーよりも影響が少なくなると考えられます。

    この脆弱性が悪用されるには、影響を受けるバージョンの .NET Framework で、特別に細工されたファイルをユーザーが開くことが攻撃者にとっての必要条件となります。 電子メールの攻撃シナリオでは、攻撃者は特別に細工したファイルをユーザーに送信し、ユーザーにそのファイルを開くよう誘導することにより、この脆弱性を悪用する可能性があります。

    このセキュリティ更新プログラムは、.NET Framework がファイルのソース マークアップをチェックする方法を修正することにより、この脆弱性を解決します。

    この脆弱性の詳細については、Microsoft の一般的な脆弱性と露出に関する記事 CVE-2019-0613 を参照してください。

  • URL を解析する特定の .NET Framework API に存在する脆弱性。 攻撃者がこの脆弱性を悪用した場合、ユーザーが指定した URL が特定のホスト名またはそのホスト名のサブドメインに属していることを確認するためのセキュリティ ロジックを回避するのに利用する可能性があります。 この脆弱性は、信頼できるサービスであるかのように、信頼できないサービスに対して特権が必要な通信を行うために使用される可能性があります。 

    攻撃者がこの脆弱性を悪用するには、URL が特定のホスト名またはそのホスト名のサブドメインに属していることを確認しようとするアプリケーションに対して、URL 文字列を提示する必要があります。 次に、アプリケーションは、攻撃者が提示した URL に対して、直接送信するか、攻撃者が提示した URL の処理済みバージョンを Web ブラウザーに送信することによって、HTTP 要求を実行する必要があります。

    この脆弱性の詳細については、Microsoft の一般的な脆弱性と露出に関する記事 CVE-2019-0657 を参照してください。

重要

  • Windows 8.1、Windows RT 8.1、および Windows Server 2012 R2 のすべての更新プログラムを適用するには、更新プログラム KB 2919355 がインストールされている必要があります。 今後、更新プログラムを適用できるように、Windows 8.1 ベース、Windows RT 8.1 ベース、または Windows Server 2012 R2 ベースのコンピューターに更新プログラム KB 2919355 をインストールしておくことをお勧めします。
  • この更新プログラムをインストールした後に言語パックをインストールした場合は、この更新プログラムを再インストールする必要があります。 そのため、この更新プログラムをインストールする前に、必要な言語パックをすべてインストールすることをお勧めします。 詳細については、「Add language packs to Windows」(英語情報) を参照してください。

この更新プログラムの関連情報


この更新プログラムは、Windows 8.1、Windows RT 8.1 および Windows Server 2012 R2 に関連しているため、このセキュリティ更新プログラムの詳細情報については、次のマイクロソフト サポート技術情報を参照してください。

4487080 Windows 8.1、Windows RT 8.1 および Windows Server 2012 R2 用の .NET Framework 3.5、4.5.2、4.6、4.6.1、4.6.2、4.7、4.7.1、4.7.2 のセキュリティおよび品質ロールアップ更新プログラム (KB 4487080)

更新プログラムの入手方法およびインストール方法


方法 1: Windows Update

この更新プログラムは、Windows Update を介して利用可能です。 自動更新を有効にすると、この更新プログラムは自動的にダウンロードおよびインストールされます。 セキュリティ更新プログラムを自動的に入手する方法の詳細については、「Windows Update: FAQ」を参照してください。
 

方法 2: Microsoft Update カタログ

この更新プログラムのスタンドアロン パッケージを入手するには、Microsoft Update カタログに移動してください。
 

方法 3: Windows Software Update Services (WSUS)

WSUS サーバーで、次の手順を実行します。

  1. [スタート]、[管理ツール]、[Microsoft Windows Server Update Services 3.0] の順に選択します。
  2. [ComputerName] を展開し、[操作] を選択します。
  3. [更新のインポート] を選択します。
  4.  ブラウザーのウィンドウが開き、ActiveX コントロールをインストールするようにというメッセージが表示される場合があります。 操作を続行するには、ActiveX コントロールをインストールする必要があります。
  5. この ActiveX コントロールをインストールすると、[Microsoft Update カタログ] 画面が表示されます。 [検索] ボックスに「4487080」と入力し、[検索] を選択します。
  6. 実際の環境のオペレーティング システム、言語、プロセッサに合った .NET Framework パッケージを選択します。 [追加] を選択してバスケットに追加します。
  7. 必要なパッケージをすべて選択したら、[バスケットの表示] を選択します。 
  8. WSUS サーバーにパッケージをインポートするには、[インポート] を選択します。
  9. パッケージがインポートされたら、[閉じる] をクリックして WSUS に戻ります。

これで、WSUS 経由で更新プログラムをインストールすることができます。

更新プログラムの展開に関する情報

このセキュリティ更新プログラムの展開の詳細については、以下のサポート技術情報番号をクリックしてください。

20190212 セキュリティ更新プログラムの展開に関する情報: 2019 年 2 月 12 日

更新プログラムのアンインストール情報

注: セキュリティ更新プログラムのアンインストールはお勧めしません。 この更新プログラムを削除するには、コントロール パネルの [プログラムの追加と削除] または [プログラムと機能] を使用します。

更新プログラムに伴う再起動に関する情報

更新対象のファイルがロックされたり使用されていない限り、この更新プログラムを適用した後にシステムを再起動する必要はありません。

更新プログラムの置き換えに関する情報

この更新プログラムを適用すると、以前にリリースされた更新プログラムの 4481484 および 4481490 が置き換えられます。

ファイル情報


保護とセキュリティに関する情報