2019 年 2 月 12 日 — KB4483452 Windows 10 Version 1809 および Windows Server 2019 用の .NET Framework 3.5 および 4.7.2 の累積的な更新プログラム

適用対象: .NET Framework

機能追加および修正


このセキュリティ更新プログラムは、Microsoft .NET Framework の脆弱性を解決します。以下の脆弱性が対象です。

  • .NET ソフトウェアがファイルのソース マークアップをチェックしない場合に、リモートでコードが実行される脆弱性。 この脆弱性の悪用に成功した攻撃者は、現在のユーザーのコンテキストで任意のコードを実行する可能性があります。  現在のユーザーが管理者ユーザー権限を使用してログオンしている場合、攻撃者が影響を受けるコンピューターを制御する可能性があります。 また、プログラムのインストール、データの表示、変更、削除などを行ったり、完全なユーザー権限を持つ新たなアカウントを作成したりする可能性があります。 システムに関するユーザー権限が低く設定されているアカウントを使用しているユーザーは、管理者ユーザー権限のあるユーザーよりも影響が少なくなると考えられます。

    この脆弱性が悪用されるには、影響を受けるバージョンの .NET Framework で、特別に細工されたファイルをユーザーが開くことが攻撃者にとっての必要条件となります。 電子メールの攻撃シナリオでは、攻撃者は特別に細工したファイルをユーザーに送信し、ユーザーにそのファイルを開くよう誘導することにより、これらの脆弱性を悪用する可能性があります。

    このセキュリティ更新プログラムは、.NET Framework がファイルのソース マークアップをチェックする方法を修正することにより、この脆弱性を解決します。

    この脆弱性の詳細については、Microsoft の一般的な脆弱性と露出に関する記事 CVE-2019-0613 を参照してください。

  • URL を解析する特定の .NET Framework API に存在する脆弱性。 攻撃者がこの脆弱性を悪用した場合、ユーザーが指定した URL が特定のホスト名またはそのホスト名のサブドメインに属していることを確認するためのセキュリティ ロジックを回避するのに利用する可能性があります。 この脆弱性は、信頼できるサービスであるかのように、信頼できないサービスに対して特権が必要な通信を行うために使用される可能性があります。  

    攻撃者がこの脆弱性を悪用するには、URL が特定のホスト名またはそのホスト名のサブドメインに属していることを確認しようとするアプリケーションに対して、URL 文字列を提示する必要があります。 次に、アプリケーションは、攻撃者が提示した URL に対して、直接送信するか、攻撃者が提示した URL の処理済みバージョンを Web ブラウザーに送信することによって、HTTP 要求を実行する必要があります。

    この脆弱性の詳細については、Microsoft の一般的な脆弱性と露出に関する記事 CVE-2019-0657 を参照してください。

この更新プログラムの既知の問題


マイクロソフトでは、この更新プログラムの問題については、現在のところ何も把握していません。

この更新プログラムの入手方法


この更新プログラムのインストール

この更新プログラムをダウンロードしてインストールするには、[設定] > [更新とセキュリティ] > [Windows Update] に進み、[更新の確認] を選択します。

この更新プログラムは、Windows Update から自動的にダウンロードおよびインストールされます。 この更新プログラムのスタンドアロン パッケージを入手するには、Microsoft Update カタログ Web サイトに移動してください。

ファイル情報

この更新プログラムで提供されているファイルの一覧については、x64 用の累積的な更新プログラム 4483452 のファイル情報x86 用の累積的な更新プログラム 4483452 のファイル情報をダウンロードしてください。

 

追加情報


KB4483452 に関係する個々の VSO バグ

ID

タイトル

739194、 740429、 740431、 740442

応答がリモート コード実行やセキュリティ バイパスの原因になる