注
- リリース日:
2020 年 10 月 13 日 - Version:
.NET Framework 4.8
概要
セキュリティの機能強化
.NET Framework がメモリ内のオブジェクトを適切に処理しない場合に情報漏えいの脆弱性が存在します。 この脆弱性の悪用に成功した攻撃者は、影響を受けるシステムのメモリの内容を開示する可能性があります。 この脆弱性を悪用するには、認証された攻撃者が特別に細工したアプリケーションを実行する必要があります。 .NET Framework がメモリ内のオブジェクトを処理する方法を修正することで脆弱性を修正しています。
脆弱性の詳細については、次の Common Vulnerabilities and Exposures (CVE) を参照してください。
品質と信頼性の強化
| WCF1 | - 複数のサービスを同時に開始すると、WCF サービスの開始に失敗することがある問題を修正しました。 |
|---|---|
| Windows フォーム | - .NET Framework 4.8 では、Label、GroupBox、ToolStrip、ToolStripItems、StatusStrip、StatusStripItems、PropertyGrid、ProgressBar、ComboBox、MenuStrip、MenuItems、DataGridView のコントロールに対して Control.AccessibleName、Control.AccessibleRole、Control.AccessibleDescription の各プロパティが機能しなくなるという不具合がありました。この不具合を修正しました。 - データ バインド コンボ ボックスのコンボ ボックス項目のアクセス可能な名前に関する不具合を修正しました。 .NET Framework 4.8 では、DisplayMember プロパティの値ではなく型名をアクセス可能な名前として使用するようになりました。この機能強化には DisplayMember が再び使用されます。 |
| ASP.NET | - ASP.Net コントロール出力での AppPathModifier の再使用を無効にしました。 - ASP.Net 要求コンテキストの HttpCookie オブジェクトは、'new HttpCookie(name)' の動作に合わせて、.NET スタイル プリミティブの既定値ではなく、Cookie フラグの既定値が構成された状態で作成されるようになります。 |
| SQL | - ユーザーがある Azure SQL データベースに接続し、エンクレーブ ベースの操作を実行してから、同じ構成証明 URL を持つ同じサーバーで管理されている別のデータベースに接続し、2 つ目のサーバー上でエンクレーブ操作を実行した場合に発生することがあるエラーを解決しました。 |
| CLR2 | - CLR 構成変数 Thread_AssignCpuGroups (既定値は 1) を追加しました。この値を 0 に設定すると、Thread.Start() を使用して作成された新しいスレッドとスレッド プール スレッドに対して CLR によって実行される自動 CPU グループ割り当てが無効になり、アプリで独自のスレッド拡散を実行できるようになります。 - 新しい Span 型でよく使用される Unsafe.ByteOffset<T> などの新しい API を使用するときに発生する可能性があるまれなデータ破損に対処しました。 スレッドが Unsafe.ByteOffset<T> をループ内から呼び出している間に GC 操作が実行されると、破損が発生する可能性があります。 - AppContext スイッチ "Switch.System.Threading.UseNetCoreTimer" が有効になっている場合に、期限が非常に長いタイマーが予想よりもはるかに早く停止する問題に対処しました。 |
1 Windows Communication Foundation (WCF)
2共通言語ランタイム (CLR)
この更新プログラムの既知の問題
エラー メッセージ ASP.Net プリコンパイル中にアプリケーションが失敗する
現象
この 2020 年 10 月 13 日のセキュリティと品質のロールアップを .NET Framework 4.8 に適用すると、プリコンパイル中に一部の ASP.Net アプリケーションが失敗します。 表示されるエラー メッセージには、"エラー ASPCONFIG" という単語が含まれている可能性があります。
原因
"System.web" 構成の "sessionState"、"anonymouseIdentification"、または "authentication/forms" セクションの構成状態が無効です。 これは、構成変換によって Web.config ファイルがプリコンパイルのために中間状態のままになっている場合、ビルドおよび発行ルーチン中に発生する可能性があります。
回避策
新しい予期しないエラーや機能の問題が発生したお客様は、次のコードをアプリケーション構成ファイルに追加 (またはマージ) することで、アプリケーション設定を実装できます。 "true" または "false" を設定すると、この問題は回避されます。 ただし、Cookie レス機能に依存しないサイトでは、この値を "true" に設定することをお勧めします。
<?xml version="1.0" encoding="utf-8" ?>
<configuration>
<appSettings>
<add key=”aspnet:DisableAppPathModifier” value=”true” />
</appSettings>
</configuration>
ASP.Net アプリケーションが URI で Cookie レス トークンを配信しない可能性がある
現象
この 2020 年 10 月 1 日のセキュリティと品質のロールアップを .NET Framework 4.8 に適用した後、一部の ASP.Net アプリケーションが URI で Cookie レス トークンを配信せず、302 リダイレクト ループが発生したり、セッション状態が失われたりする可能性があります。
原因
セッション状態、匿名識別、フォーム認証の ASP.Net 機能はすべて、Web クライアントへのトークンの発行に依存しており、これらのトークンを Cookie に配信するか、Cookie をサポートしていないクライアントの URI に埋め込むオプションを使用できます。 URI 埋め込みは長い間安全ではなく、コミットされていない方法であり、この KB では、これら 3 つの機能のいずれかが構成で Cookie モードの "UseUri" を明示的に要求しない限り、URI のトークンの発行を静かに無効にします。 "AutoDetect" または "UseDeviceProfile" を指定する構成では、URI にこれらのトークンの埋め込みが誤って試行され、失敗する可能性があります。
回避策
新しい予期しない動作を観察したお客様は、可能であれば、3 つの Cookie レス設定すべてを "UseCookies" に変更することをお勧めします。
<?xml version="1.0" encoding="utf-8" ?>
<configuration>
<system.web>
<anonymousidentification cookieless="UseCookies" />
<sessionState cookieless="UseCookies" />
<authentication>
<forms cookieless="UseCookies" />
</authentication>
</system.web>
</configuation>
アプリケーションが URI 埋め込みトークンを絶対に使用し続ける必要があり、安全に使用できる場合は、次の appSeting で再度有効にすることができます。 ただし、もう一度、これらのトークンを URI に埋め込むのをやめておくことを強くお勧めします。
<?xml version="1.0" encoding="utf-8" ?>
<configuration>
<appSettings>
<add key="aspnet:DisableAppPathModifier" value="false" />
</appSettings>
</configuation>
この更新プログラムの入手方法
この更新プログラムのインストール
| リリース チャネル | 使用可能 | 次の手順 |
|---|---|---|
| Windows Update および Microsoft Update | はい | ありません。 この更新プログラムは、Windows Update から自動的にダウンロードおよびインストールされます。 |
| Microsoft Update カタログ | はい | この更新プログラムのスタンドアロン パッケージを入手するには、Microsoft Update カタログ Web サイトに移動してください。 |
| Windows Server Update Services (WSUS) | はい | 次のように [製品と分類] を構成すると、この更新プログラムは WSUS と自動的に同期されます。 製品:Windows 10 バージョン 1803 分類:セキュリティ更新プログラム |
ファイル情報
この更新プログラムで提供されるファイルのリストについては、累積的な更新プログラムのファイル情報をダウンロードしてください。
保護とセキュリティに関する情報
- オンラインでの自分の保護: Windows セキュリティのサポート
- サイバー脅威から保護する方法についての説明: Microsoft セキュリティ