Windows Server 2012 用 .NET Framework 3.5、4.5.2、4.6、4.6.1、4.6.2、4.7、4.7.1、4.7.2、4.8 のセキュリティおよび品質ロールアップ (KB4566518)

適用対象: .NET Framework

概要


.NET Framework が XML ファイル入力のソース マークアップをチェックできない場合に、リモートでコードが実行される脆弱性が存在します。 攻撃者がこの脆弱性を悪用した場合、XML コンテンツの逆シリアル化を担当するプロセスのコンテキストで、任意のコードを実行する可能性があります。 この脆弱性を悪用するために、攻撃者は影響を受ける製品を利用して特別に細工されたドキュメントをサーバーにアップロードし、コンテンツを処理する可能性があります。 このセキュリティ更新プログラムは、.NET Framework が XML コンテンツのソース マークアップを検証する方法を修正することにより、この脆弱性を解決します。

このセキュリティ更新プログラムは、.NET Framework's System.Data.DataTable の種類と System.Data.DataSet の種類が XML シリアル化されたデータを読み取る方法に影響を及ぼします。 ほとんどの .NET Framework アプリケーションでは、この更新プログラムのインストール後も動作に変化は見られません。 影響を受ける可能性のあるシナリオの例を含む、この更新プログラムが .NET Framework にどう影響するのかに関する詳細については、DataTable および DataSet に関するセキュリティ ガイダンスを参照してください (https://go.microsoft.com/fwlink/?linkid=2132227)。

脆弱性の詳細については、次の Common Vulnerabilities and Exposures (CVE) を参照してください。

重要

  • .NET Framework 4.6、4.6.1、4.6.2、4.7、4.7.1、4.7.2 のすべての更新プログラムを適用するには、d3dcompiler_47.dll の更新プログラムがインストールされている必要があります。 この更新プログラムを適用する前に、含まれている d3dcompiler_47.dll の更新プログラムをインストールすることをお勧めします。 d3dcompiler_47.dll の詳細については、KB 4019990 を参照してください。
  • この更新プログラムをインストールした後に言語パックをインストールした場合は、この更新プログラムを再インストールする必要があります。 そのため、この更新プログラムをインストールする前に、必要な言語パックをすべてインストールすることをお勧めします。 詳細については、「Add language packs to Windows」(英語情報) を参照してください。

この更新プログラムの関連情報


以下の資料では製品バージョン別に、この更新プログラムに関する追加情報が掲載されています。
  • 4565610 Windows Server 2012 用 .NET Framework 3.5 のセキュリティおよび品質ロールアップについて (KB4565610)
  • 4565615 Windows Server 2012 用 .NET Framework 4.5.2 のセキュリティおよび品質ロールアップについて (KB4565615)
  • 4565621 Windows Server 2012 用 .NET Framework 4.6、4.6.1、4.6.2、4.7、4.7.1、4.7.2 のセキュリティおよび品質ロールアップについて (KB4565621)
  • 4565634 Windows Server 2012 用 .NET Framework 4.8 のセキュリティおよび品質ロールアップについて (KB4565634)

保護とセキュリティに関する情報