Windows 7 SP1 および Windows Server 2008 R2 SP1 用 .NET Framework 4.8 のセキュリティのみの更新プログラム (KB4552953)

適用対象: .NET Framework

概要


.NET Framework ソフトウェアがファイルのソース マークアップをチェックできない場合に、リモートでコードが実行される脆弱性が存在します。 この脆弱性の悪用に成功した攻撃者は、現在のユーザーのコンテキストで任意のコードを実行する可能性があります。 現在のユーザーが管理者ユーザー権限でログオンしている場合、攻撃者が影響を受けるコンピューターを制御する可能性があります。 攻撃者は、その後、プログラムのインストール、データの表示、変更、削除などを行ったり、完全なユーザー権限を持つ新たなアカウントを作成したりする可能性があります。 コンピューターでのユーザー権限が低い設定のアカウントを持つユーザーは、管理者特権で実行しているユーザーよりもこの脆弱性による影響が少ないと考えられます。 この脆弱性が悪用されるには、ユーザーが影響を受けるバージョンの .NET Framework で、特別に細工されたファイルを開くことが攻撃者にとっての必要条件となります。 電子メールの攻撃シナリオでは、攻撃者は特別に細工したファイルをユーザーに送信し、ユーザーにそのファイルを開くよう誘導することにより、この脆弱性を悪用する可能性があります。 このセキュリティ更新プログラムは、.NET Framework がファイルのソース マークアップをチェックする方法を修正することにより、この脆弱性を解決します。

脆弱性の詳細については、次の Common Vulnerabilities and Exposures (CVE) を参照してください。

.NET Framework が Web 要求を正しく処理しない場合にサービス拒否の脆弱性が存在します。 この脆弱性を悪用することに成功した攻撃者は、.NET Framework Web アプリケーションに対してサービス拒否を起こす可能性があります。 この脆弱性は、認証なしでリモートから悪用される可能性があります。 認証されていないリモートの攻撃者は、.NET Framework アプリケーションに対して特別に細工された要求を出すことで、この脆弱性を悪用する可能性があります。 この更新プログラムは、.NET Framework Web アプリケーションが Web 要求を処理する方法を修正することにより、この脆弱性を解決します。

脆弱性の詳細については、次の Common Vulnerabilities and Exposures (CVE) を参照してください。

品質と信頼性の強化

Windows フォーム

- AD FS MMC UI での WinForms ComboBox コントロールの再初期化に関する問題を修正します。

- 項目の存在と有効性の検証を追加し、PropertyGridView ComboBox プロパティ項目のアクセス可能なオブジェクトを取得する際の問題を修正します。

- キーボード入力を処理するときの WPF ユーザー コントロールとホストしている WinForms アプリ間の相互作用に関する問題を修正します。

ワークフロー

- ハイ コントラスト テーマの場合に、Windows Workflow Foundation Visual Basic Editor 内のテキストに不適切な色を使用されるというアクセシビリティの問題を修正します。

CLR1

- サーバー GC が有効で GC が発生しているときに、別のスレッドで NGen 済みコードが実行され、2 つ目のモジュールで NGen 済みコードの最初の呼び出しが行われ、3 つ目のモジュールで 1 つまたは複数のパラメーターの型に値型が定義されている場合に、まれに発生するクラッシュを解決します。

- ホットアドされた CPU またはマルチグループ マシンを含み、グループごとの CPU 数がすべてのグループで一貫していない特定のシナリオで発生する可能性があるクラッシュを解決します

- GC が発生しているときに、別のスレッドで NGen 済みコードが実行され、同じモジュール内で静的メソッドの最初の呼び出しが行われ、1 つまたは複数のパラメーターの型に型フォワードされた値型が含まれる場合に、まれに発生するクラッシュを解決します。

- ネイティブ コードが混合モード DLL の管理対象部分に行う最初の呼び出し中に、まれに発生する可能性のあるクラッシュを解決します。


1 共通言語ランタイム (CLR)

この更新プログラムの関連情報


以下の資料では製品バージョン別に、この更新プログラムに関する追加情報が掲載されています。
  • 4556403 Windows 7 SP1、Windows Server 2008 R2 SP1 用 .NET Framework 3.5.1、4.5.2、4.6、4.6.1、4.6.2、4.7、4.7.1、4.7.2、4.8 のセキュリティのみの更新プログラムについて (KB4556403)

更新プログラムの入手方法およびインストール方法


この更新プログラムをインストールする前に

必要条件:

この更新プログラムを適用するには、.NET Framework 4.8 がインストールされている必要があります。

以下の更新プログラムをインストールし、デバイスを再起動してから、最新のロールアップをインストールする必要があります。 これらの更新プログラムをインストールすると、更新プログラム プロセスの信頼性が向上し、ロールアップをインストールして Microsoft セキュリティ修正プログラムを適用するときに発生する可能性がある問題が緩和されます。

  1. 2019 年 3 月 13 日のサービス スタック更新プログラム (SSU) (KB4490628)。 この SSU のスタンドアロン パッケージを入手するには、Microsoft Update カタログで検索してください。 この更新プログラムは、SHA-2 のみで署名された更新プログラムをインストールするために必要です。
  2. 2019 年 9 月 11 日にリリースされた最新の SHA-2 の更新プログラム (KB4474419)。 Windows Update を使用している場合は、最新の SHA-2 の更新プログラムが自動的に提供されます。 この更新プログラムは、SHA-2 のみで署名された更新プログラムをインストールするために必要です。 SHA-2 の更新プログラムの詳細については、「Windows および WSUS の 2019 sha-2 コード署名のサポートの要件」を参照してください。
  3. 2020 年 2 月 12 日にリリースされた拡張セキュリティ更新プログラム (ESU) ライセンス準備パッケージ (KB4538483)。 ESU ライセンス準備パッケージは、WSUS から提供されます。 ESU ライセンス準備パッケージのスタンドアロン パッケージを入手するには、Microsoft Update カタログで検索してください。

この更新プログラムのインストール

リリース チャネル 使用可能 次の手順
Microsoft Update カタログ はい この更新プログラムのスタンドアロン パッケージを入手するには、Microsoft Update カタログ Web サイトを参照してください。
Windows Server Update Services (WSUS) はい

次のように [製品と分類] を構成すると、この更新プログラムは WSUS と自動的に同期されます。

製品: Windows 7 Service Pack 1、Windows Server 2008 R2 Service Pack 1、Windows Embedded Standard 7 Service Pack 1、Windows Embedded POSReady 7

分類: セキュリティ更新プログラム

再起動の必要性

影響を受けるファイルが使用されている場合、この更新プログラムの適用後、コンピューターを再起動する必要があります。 この更新プログラムを適用する前に、すべての .NET Framework ベースのアプリケーションを終了することをお勧めします。

更新プログラムの展開に関する情報

このセキュリティ更新プログラムの展開の詳細については、以下のサポート技術情報番号をクリックしてください。

20200512 セキュリティ更新プログラムの展開に関する情報: 2020 年 5 月 13 日

更新プログラムのアンインストール情報

注: セキュリティ更新プログラムのアンインストールはお勧めしません。 この更新プログラムを削除するには、コントロール パネルの [プログラムの追加と削除] または [プログラムと機能] を使用します。

更新プログラムに伴う再起動に関する情報

更新対象のファイルがロックされたり使用されていない限り、この更新プログラムを適用した後にシステムを再起動する必要はありません。

ファイル情報


このソフトウェア更新プログラムの英語 (米国) 版では、次の表に示す各属性を持つファイルがインストールされます。

保護とセキュリティに関する情報