Windows 8.1、RT 8.1、Windows Server 2012 R2 用 .NET Framework 3.5、4.5.2、4.6、4.6.1、4.6.2、4.7、4.7.1、4.7.2、4.8 のセキュリティおよび品質ロールアップ (KB4556401)

適用対象: .NET Framework

概要


.NET Framework ソフトウェアがファイルのソース マークアップをチェックできない場合に、リモートでコードが実行される脆弱性が存在します。 この脆弱性の悪用に成功した攻撃者は、現在のユーザーのコンテキストで任意のコードを実行する可能性があります。 現在のユーザーが管理者ユーザー権限でログオンしている場合、攻撃者が影響を受けるコンピューターを制御する可能性があります。 攻撃者は、その後、プログラムのインストール、データの表示、変更、削除などを行ったり、完全なユーザー権限を持つ新たなアカウントを作成したりする可能性があります。 コンピューターでのユーザー権限が低い設定のアカウントを持つユーザーは、管理者特権で実行しているユーザーよりもこの脆弱性による影響が少ないと考えられます。 この脆弱性が悪用されるには、ユーザーが影響を受けるバージョンの .NET Framework で、特別に細工されたファイルを開くことが攻撃者にとっての必要条件となります。 電子メールの攻撃シナリオでは、攻撃者は特別に細工したファイルをユーザーに送信し、ユーザーにそのファイルを開くよう誘導することにより、この脆弱性を悪用する可能性があります。 このセキュリティ更新プログラムは、.NET Framework がファイルのソース マークアップをチェックする方法を修正することにより、この脆弱性を解決します。

脆弱性の詳細については、次の Common Vulnerabilities and Exposures (CVE) を参照してください。

.NET Framework が Web 要求を正しく処理しない場合にサービス拒否の脆弱性が存在します。 この脆弱性を悪用することに成功した攻撃者は、.NET Framework Web アプリケーションに対してサービス拒否を起こす可能性があります。 この脆弱性は、認証なしでリモートから悪用される可能性があります。 認証されていないリモートの攻撃者は、.NET Framework アプリケーションに対して特別に細工された要求を出すことで、この脆弱性を悪用する可能性があります。 この更新プログラムは、.NET Framework Web アプリケーションが Web 要求を処理する方法を修正することにより、この脆弱性を解決します。

脆弱性の詳細については、次の Common Vulnerabilities and Exposures (CVE) を参照してください。

重要

  • 高度な知識を持つ IT 管理者向けの注意です。Windows 8.1 および Windows Server 2012 R2 用の .NET Framework 3.5 の更新プログラムは、.NET Framework 3.5 が存在し、有効になっているシステムにのみ適用する必要があります。 有効な .NET Framework 3.5 製品が含まれていないオフライン イメージに .NET Framework 3.5 の更新プログラムをプレインストールしようとすると、システムがオンラインになった後で .NET Framework 3.5 を有効することができない問題が発生します。 .NET Framework 3.5 の展開の詳細については、「Microsoft .NET Framework 3.5 Deployment Considerations」(英語情報) を参照してください。
  • Windows 8.1、Windows RT 8.1、および Windows Server 2012 R2 のすべての更新プログラムを適用するには、更新プログラム KB 2919355 がインストールされている必要があります。 今後、更新プログラムを適用できるように、Windows 8.1 ベース、Windows RT 8.1 ベース、または Windows Server 2012 R2 ベースのコンピューターに更新プログラム KB 2919355 をインストールしておくことをお勧めします。
  • この更新プログラムをインストールした後に言語パックをインストールした場合は、この更新プログラムを再インストールする必要があります。 そのため、この更新プログラムをインストールする前に、必要な言語パックをすべてインストールすることをお勧めします。 詳細については、「Add language packs to Windows」(英語情報) を参照してください。

この更新プログラムの関連情報


以下の資料では製品バージョン別に、この更新プログラムに関する追加情報が掲載されています。
  • 4552982 Windows 8.1、RT 8.1、Windows Server 2012 R2 用 .NET Framework 3.5 のセキュリティおよび品質ロールアップについて (KB4552982)
  • 4552946 Windows 8.1、RT 8.1、Windows Server 2012 R2 用 .NET Framework 4.5.2 のセキュリティおよび品質ロールアップについて (KB4552946)
  • 4552923 Windows 8.1、RT 8.1、Windows Server 2012 R2 用 .NET Framework 4.6、4.6.1、4.6.2、4.7、4.7.1、4.7.2 のセキュリティおよび品質ロールアップについて (KB4552923)
  • 4552933 Windows 8.1、RT 8.1、Windows Server 2012 R2 用 .NET Framework 4.8 のセキュリティおよび品質ロールアップについて (KB4552933)

保護とセキュリティに関する情報