Windows 7 SP1、Windows Server 2008 R2 SP1、Windows Server 2008 SP2 用 .NET Framework 4.6、4.6.1、4.6.2、4.7、4.7.1、4.7.2 のセキュリティおよび品質ロールアップ (KB4565623)

適用対象: .NET Framework

注意事項


2020 年 7 月 24 日、Windows 7 SP1、Windows Server 2008 R2 SP1、および Windows Server 2008 SP2 用 .NET Framework 4.6、4.6.1、4.6.2、4.7、4.7.1、4.7.2 に、更新プログラム KB4565623 v2 が v1 の置き換えとしてリリースされました。   一部の ESU 構成を使用しているお客様には v1 更新プログラムがインストールされませんでした。  v2 更新プログラムをインストールすると、v1 更新プログラムをインストールできなかったお客様の問題が修正されます。     


KB4565623 v1 を既にインストールしている場合、操作は必要ありません。  


KB4565623 v2 を入手するには、「更新プログラムの入手方法およびインストール方法」セクションを参照してください。

概要


.NET Framework が XML ファイル入力のソース マークアップをチェックできない場合に、リモートでコードが実行される脆弱性が存在します。 攻撃者がこの脆弱性を悪用した場合、XML コンテンツの逆シリアル化を担当するプロセスのコンテキストで、任意のコードを実行する可能性があります。 この脆弱性を悪用するために、攻撃者は影響を受ける製品を利用して特別に細工されたドキュメントをサーバーにアップロードし、コンテンツを処理する可能性があります。 このセキュリティ更新プログラムは、.NET Framework が XML コンテンツのソース マークアップを検証する方法を修正することにより、この脆弱性を解決します。

このセキュリティ更新プログラムは、.NET Framework's System.Data.DataTable の種類と System.Data.DataSet の種類が XML シリアル化されたデータを読み取る方法に影響を及ぼします。 ほとんどの .NET Framework アプリケーションでは、この更新プログラムのインストール後も動作に変化は見られません。 影響を受ける可能性のあるシナリオの例を含む、この更新プログラムが .NET Framework にどう影響するのかに関する詳細については、DataTable および DataSet に関するセキュリティ ガイダンスを参照してください (https://go.microsoft.com/fwlink/?linkid=2132227)。

脆弱性の詳細については、次の Common Vulnerabilities and Exposures (CVE) を参照してください。

この更新プログラムの関連情報


以下の資料では製品バージョン別に、この更新プログラムに関する追加情報が掲載されています。
  • 4566520 Windows Server 2008 SP2 用 .NET Framework 2.0、3.0、4.5.2 および 4.6 のセキュリティおよび品質ロールアップについて (KB4566520)
  • 4566517 Windows 7 SP1 および Windows Server 2008 R2 SP1 用 .NET Framework 3.5.1、4.5.2、4.6、4.6.1、4.6.2、4.7、4.7.1、4.7.2、4.8 のセキュリティおよび品質ロールアップについて (KB4566517)

更新プログラムの入手方法およびインストール方法


この更新プログラムをインストールする前に

必要条件:

この更新プログラムを適用するには、.NET Framework 4.6、4.6.1、4.6.2、4.7、4.7.1、4.7.2 がインストールされている必要があります。

以下の更新プログラムをインストールし、デバイスを再起動してから、最新のロールアップをインストールする必要があります。 これらの更新プログラムをインストールすると、更新プログラム プロセスの信頼性が向上し、ロールアップをインストールして Microsoft セキュリティ修正プログラムを適用するときに発生する可能性がある問題が緩和されます。

  1. 2019 年 3 月 13 日のサービス スタック更新プログラム (SSU) (KB4490628)。 この SSU のスタンドアロン パッケージを入手するには、Microsoft Update カタログで検索してください。 この更新プログラムは、SHA-2 のみで署名された更新プログラムをインストールするために必要です。
  2. 2019 年 9 月 11 日にリリースされた最新の SHA-2 の更新プログラム (KB4474419)。 Windows Update を使用している場合は、最新の SHA-2 の更新プログラムが自動的に提供されます。 この更新プログラムは、SHA-2 のみで署名された更新プログラムをインストールするために必要です。 SHA-2 の更新プログラムの詳細については、「Windows および WSUS の 2019 sha-2 コード署名のサポートの要件」を参照してください。
  3. 2020 年 2 月 12 日にリリースされた拡張セキュリティ更新プログラム (ESU) ライセンス準備パッケージ (KB4538483)。 ESU ライセンス準備パッケージは、WSUS から提供されます。 ESU ライセンス準備パッケージのスタンドアロン パッケージを入手するには、Microsoft Update カタログで検索してください。

この更新プログラムのインストール

リリース チャネル 使用可能 次の手順
Windows Update および Microsoft Update はい なし。 ESU ユーザーの場合、この更新プログラムは、Windows Update から自動的にダウンロードおよびインストールされます。
Microsoft Update カタログ はい この更新プログラムのスタンドアロン パッケージを入手するには、Microsoft Update カタログ Web サイトを参照してください。
Windows Server Update Services (WSUS) はい

次のように [製品と分類] を構成すると、この更新プログラムは WSUS と自動的に同期されます。

製品: Windows 7 Service Pack 1、Windows Server 2008 R2 Service Pack 1、Windows Embedded Standard 7 Service Pack 1、Windows Embedded POSReady 7

分類: セキュリティ更新プログラム

再起動の必要性

影響を受けるファイルが使用されている場合、この更新プログラムの適用後、コンピューターを再起動する必要があります。 この更新プログラムを適用する前に、すべての .NET Framework ベースのアプリケーションを終了することをお勧めします。

更新プログラムの展開に関する情報

このセキュリティ更新プログラムの展開の詳細については、以下のサポート技術情報番号をクリックしてください。

20200714 セキュリティ更新プログラムの展開に関する情報: 2020 年 7 月 15 日

更新プログラムのアンインストール情報

注: セキュリティ更新プログラムのアンインストールはお勧めしません。 この更新プログラムを削除するには、コントロール パネルの [プログラムの追加と削除] または [プログラムと機能] を使用します。

更新プログラムに伴う再起動に関する情報

更新対象のファイルがロックされたり使用されていない限り、この更新プログラムを適用した後にシステムを再起動する必要はありません。

更新プログラムの置き換えに関する情報

この更新プログラムを適用すると、以前にリリースされた Windows 7 SP1 と Windows Server 2008 R2 SP1 用の更新プログラムの 4535102 および 4556399 と、Windows Server 2008 SP2 用の更新プログラムの 4535105 および 4556402 が置き換えられます。       

ファイル情報


このソフトウェア更新プログラムの英語 (米国) 版では、次の表に示す各属性を持つファイルがインストールされます。

保護とセキュリティに関する情報