概要
この Microsoft .NET Framework 用セキュリティ更新プログラムは、.NET Framework (および .NET Core) のコンポーネントが証明書を完全に検証しないときに発生する、セキュリティ機能のバイパスによる脆弱性を解決します。 この脆弱性の詳細については、「CVE-2017-0248 | .NET のセキュリティ機能のバイパスの脆弱性」を参照してください。
この更新プログラムでは、Windows Presentation Framework の PackageDigitalSignatureManager コンポーネントが SHA256 ハッシュアルゴリズムを使ってパッケージに署名するためのセキュリティの強化も行われます。
重要
-
この更新プログラムをインストールした後に言語パックをインストールした場合は、この更新プログラムを再インストールする必要があります。 そのため、この更新プログラムをインストールする前に、必要な言語パックをすべてインストールすることをお勧めします。 詳細については、「Windows への言語パックの追加」を参照してください。
このセキュリティ更新プログラムの関連情報
警告
レジストリ エディターまたは別の方法を使用してレジストリを誤って編集すると、深刻な問題が発生することがあります。 最悪の場合、オペレーティング システムの再インストールが必要になることがあります。 マイクロソフトは、このような問題の解決に関して、一切責任を負わないものとします。 レジストリの変更は、自己の責任において行ってください。
-
拡張キー使用法 (EKU) は、「RFC 5280 のセクション 4.2.1.12」で説明されています。 このエクステンションは、証明書付きの公開キーの使用目的を示します。この使用目的は、キー使用法エクステンションで指定されている基本的な目的に追加するか、それを置き換えます。 たとえば、サーバーでクライアントを認証するために使用する証明書は、クライアント認証目的に設定されていなければなりません。 同様に、サーバーを認証するために使用する証明書は、サーバー認証目的に設定されていなければなりません。
認証用に証明書が使用される場合は、認証アプリがクライアントの証明書を調べ、アプリケーションのポリシー エクステンションにある正しい目的オブジェクトの識別子を探します。 たとえば、クライアント認証用のオブジェクトの識別子は 1.3.6.1.5.5.7.3.2 です。 クライアント認証用に証明書が使用される場合は、このオブジェクトの識別子が証明書の EKU エクステンションに存在しなければりません。この識別子が存在しないと、認証に失敗します。 EKU エクステンションのない証明書は、そのまま正しく認証されます。
再発行された証明書に一時的に正しくアクセスできない場合は、接続の問題が発生するのを防ぐために、コンピューターのあらゆる処理でセキュリティの変更をオプトインまたはオプトアウトするかを選択できます。 このためには、アプリケーションが対応している .NET Framework のバージョンに応じて、次のレジストリ キーを設定します。
方法 1: レジストリ キーを更新する (すべてのバージョンに適用)
注: このレジストリ エントリは DWORD エントリでなければなりません。-
32 ビット システム上での 32 ビット処理および 64 ビット システム上での 64 ビット処理の場合:
HKEY_LOCAL_MACHINE\Software\Microsoft\.NETFramework\v4.0.30319@RequireCertificateEKUs=0
-
64 ビット システム上での 32 ビット処理の場合:
HKEY_LOCAL_MACHINE \Software\Wow6432Node\Microsoft\.NETFramework\v4.0.30319@RequireCertificateEKUs=0
アプリケーションごとにオプトアウトすることもできます。 次に、アプリケーションの互換性が維持されるように、この変更を無効にするオプションを示します。
方法 2: アプリケーションごとにポリシーを無効にする
注: このレジストリ エントリは DWORD エントリでなければなりません。 有効な値は 0 だけです。 他の値はすべて無視されます。-
32 ビット システム上での 32 ビット処理および 64 ビット システム上での 64 ビット処理の場合:
HKEY_LOCAL_MACHINE\Software\Microsoft\.NETFramework\v4.0.30319@System.Net.ServicePointManager.RequireCertificateEKUs
S:\Prj\console_pg\console_pg45\bin\Release\console_pg45.exe=0
C:\MyApp\MyApp.exe=0 -
64 ビット システム上での 32 ビット処理の場合:
HKEY_LOCAL_MACHINE \Software\Wow6432Node\Microsoft\.NETFramework\v4.0.30319@System.Net.ServicePointManager.RequireCertificateEKUs
S:\Prj\console_pg\console_pg45\bin\Release\console_pg45.exe=0
C:\MyApp\MyApp.exe=0
方法 3: 構成 API を使用する (.NET Framework バージョン 4.6 以降で使用可能)
.NET Framework 4.6 から、コード、アプリケーションの構成、またはレジストリを変更することにより、アプリケーション レベルの構成を変更できるようになりました。
.NET Framework 4.6 でスイッチを構成する
注: 次の例は、セキュリティ機能を無効にします。-
プログラムで変更
アプリケーションで最初に次のコードを実行する必要があります。 これは、サービス ポイント マネージャーを 1 回だけ初期化するためです。
private const string DisableCachingName = @"TestSwitch.LocalAppContext.DisableCaching"; private const string DontCheckCertificateEKUsName= @"Switch.System.Net.DontCheckCertificateEKUs"; AppContext.SetSwitch(DisableCachingName, true); AppContext.SetSwitch(DontCheckCertificateEKUsName, true); -
アプリケーションの構成を変更
アプリケーションの構成を変更するには、次のエントリを追加します。
<runtime> <AppContextSwitchOverrides value="Switch.System.Net.DontCheckCertificateEKUsName=true"/> </runtime> -
レジストリ キーを変更 (コンピューター全体):
レジストリの場所: HKEY_LOCAL_MACHINE\Software\[Wow6432Node\]Microsoft\.NETFramework\AppContext\Switch.System.Net.DontCheckCertificateEKUsName
種類: 文字列
値: "true"
注: 既定では、.NET Framework バージョン 4.6 以降で実行されているすべての .NET Framework 4.x アプリケーションで Switch.System.Net.DontCheckCertificateEKUsName = True になっています。
-
-
Windows Server 2012 に関連するこのセキュリティ更新プログラムの詳細については、次のマイクロソフト サポート技術情報を参照してください。
4019113 Windows Server 2012 用の .NET Framework 3.5 Service Pack 1、4.5.2、4.6、4.6.1、4.6.2 のセキュリティと品質ロールアップ: 2017 年 5 月 10 日
更新プログラムの入手方法およびインストール方法
方法 1: Windows Update
この更新プログラムは、Windows Update を介して利用可能です。 自動更新を有効にすると、この更新プログラムは自動的にダウンロードおよびインストールされます。 セキュリティ更新プログラムを自動的に入手する方法の詳細については、「Windows Update: FAQ」のコントロール パネルで自動更新を有効にする方法のセクションを参照してください。
方法 2: Windows Software Update Services (WSUS)
WSUS サーバーで、次の手順を実行します。
-
[スタート] ボタンをクリックし、[管理ツール] をポイントし、[Microsoft Windows Server Update Services 3.0] をクリックします。
-
[ComputerName] を展開し、[操作] をクリックします。
-
[更新のインポート] をクリックします。
-
ブラウザーのウィンドウが開き、ActiveX コントロールをインストールするようにというメッセージが表示される場合があります。 操作を続行するために、ActiveX コントロールをインストールする必要があります。
-
このコントロールをインストールすると、Microsoft Update カタログの画面が表示されます。[検索] ボックスに「4019113」と入力し、[検索] をクリックします。
-
実際の環境のオペレーティング システム、言語、プロセッサに合った .NET Framework パッケージを選択します。 [追加] をクリックしてバスケットに追加します。
-
必要なパッケージをすべて選択したら、[バスケットの表示] をクリックします。
-
[インポート] をクリックして、WSUS サーバーにパッケージをインポートします。
-
パッケージのインポートが完了したら、[閉じる] をクリックして WSUS に戻ります。
これで、WSUS 経由で更新プログラムをインストールすることができます。
更新プログラムの展開に関する情報
このセキュリティ更新プログラムの展開の詳細については、次のマイクロソフト サポート技術情報を参照してください。
20170509 セキュリティ更新プログラムの展開に関する情報: 2017 年 5 月 10 日
更新プログラムのアンインストール情報
注: セキュリティ更新プログラムのアンインストールはお勧めしません。
この更新プログラムを削除するには、コントロール パネルの [プログラムの追加と削除] または [プログラムと機能] を使用します。
更新プログラムに伴う再起動に関する情報
更新対象のファイルがロックされたり使用されたりしていない限り、この更新プログラムを適用した後にシステムを再起動する必要はありません。
更新プログラムの置き換えに関する情報
この更新プログラムを適用しても、これまでにリリースされた更新プログラムが置き換えられることはありません。
ファイル情報
|
パッケージ名 |
パッケージ ハッシュ SHA 1 |
パッケージ ハッシュ SHA 2 |
|---|---|---|
|
Windows8-RT-KB4014506-x64.msu |
8A04C235576F908D31712C6B50D67C356D09F1A1 |
F74E36660A062B7D04DE0299B8C72D093DC4A374912979E3B636B4EDC6D8EBC7 |
この修正プログラムの英語 (米国) 版では、次の表に示す各属性を持つファイル群がインストールされます。 これらのファイルの日付と時刻は世界協定時刻 (UTC) で記載されています。 お使いのコンピューターでは、これらのファイルの日付と時刻は夏時間 (DST) 調整済みのローカル時刻で表示されます。 さらに、ファイルに対して特定の操作を実行すると、日時が変更される場合があります。
すべての x64 ベースのシステム
|
ファイル名 |
ファイル バージョン |
ファイル サイズ |
日付 |
時刻 |
|---|---|---|---|---|
|
msvcp120_clr0400.dll |
12.0.52512.0 |
690,016 |
09-Mar-2017 |
20:22 |
|
msvcr120_clr0400.dll |
12.0.52512.0 |
993,632 |
09-Mar-2017 |
20:22 |
|
penimc.dll |
4.6.1647.0 |
97,432 |
27-Mar-2017 |
04:01 |
|
presentationframework.dll |
4.6.1647.0 |
6,190,960 |
27-Mar-2017 |
04:08 |
|
presentationhost_v0400.dll |
4.6.1647.0 |
254,680 |
27-Mar-2017 |
04:01 |
|
presentationnative_v0400.dll |
4.6.1647.0 |
1,107,680 |
27-Mar-2017 |
04:01 |
|
system.core.dll |
4.6.1647.0 |
1,349,280 |
27-Mar-2017 |
04:08 |
|
system.management.dll |
4.6.1646.0 |
415,424 |
20-Mar-2017 |
08:06 |
|
system.windows.controls.ribbon.dll |
4.6.1647.0 |
742,808 |
27-Mar-2017 |
04:08 |
|
system.xaml.dll |
4.6.1647.0 |
631,456 |
27-Mar-2017 |
04:08 |
|
system.dll |
4.6.1647.0 |
3,506,824 |
27-Mar-2017 |
04:08 |
|
windowsbase.dll |
4.6.1647.0 |
1,277,768 |
27-Mar-2017 |
04:08 |
|
wminet_utils.dll |
4.6.1646.0 |
188,080 |
20-Mar-2017 |
08:01 |
|
wpfgfx_v0400.dll |
4.6.1647.0 |
2,262,712 |
27-Mar-2017 |
04:01 |
|
presentationcore.dll |
4.6.1647.0 |
3,504,320 |
27-Mar-2017 |
04:01 |
|
system.data.dll |
4.6.1636.0 |
3,454,640 |
30-Nov-2016 |
06:43 |
|
presentationframework.dll |
4.6.1647.0 |
6,190,960 |
27-Mar-2017 |
04:08 |
|
system.core.dll |
4.6.1647.0 |
1,349,280 |
27-Mar-2017 |
04:08 |
|
system.management.dll |
4.6.1646.0 |
415,424 |
20-Mar-2017 |
08:06 |
|
system.windows.controls.ribbon.dll |
4.6.1647.0 |
742,808 |
27-Mar-2017 |
04:08 |
|
system.xaml.dll |
4.6.1647.0 |
631,456 |
27-Mar-2017 |
04:08 |
|
system.dll |
4.6.1647.0 |
3,506,824 |
27-Mar-2017 |
04:08 |
|
windowsbase.dll |
4.6.1647.0 |
1,277,768 |
27-Mar-2017 |
04:08 |
|
msvcp120_clr0400.dll |
12.0.52512.0 |
484,552 |
09-Mar-2017 |
20:22 |
|
msvcr120_clr0400.dll |
12.0.52512.0 |
987,848 |
09-Mar-2017 |
20:22 |
|
penimc.dll |
4.6.1647.0 |
81,560 |
27-Mar-2017 |
04:08 |
|
presentationhost_v0400.dll |
4.6.1647.0 |
197,848 |
27-Mar-2017 |
04:08 |
|
presentationnative_v0400.dll |
4.6.1647.0 |
826,592 |
27-Mar-2017 |
04:08 |
|
system.core.dll |
4.6.1647.0 |
1,349,280 |
27-Mar-2017 |
04:08 |
|
wminet_utils.dll |
4.6.1646.0 |
136,368 |
20-Mar-2017 |
08:06 |
|
wpfgfx_v0400.dll |
4.6.1647.0 |
1,759,920 |
27-Mar-2017 |
04:08 |
|
presentationcore.dll |
4.6.1647.0 |
3,521,880 |
27-Mar-2017 |
04:08 |
|
system.data.dll |
4.6.1636.0 |
3,389,616 |
30-Nov-2016 |
06:49 |
このセキュリティ更新プログラムに関するヘルプとサポートを受ける方法
-
更新プログラムのインストールのヘルプ: Windows Update に関する FAQ
-
IT 専門家のためのセキュリティ ソリューション: TechNet セキュリティに関するサポートとトラブルシューティング
-
Windows ベースの製品およびサービスをウイルスとマルウェアから保護する: Microsoft Secure
-
国ごとのローカル サポート: インターナショナル サポート
適用対象
この資料は、以下を対象としています。
-
Microsoft .NET Framework 4.6.2 を以下のオペレーティング システムと共に使用した場合:
-
Windows Server 2012
-
