2020 年 10 月 14 日 - KB4578972 Windows 10 Version 1803 用 .NET Framework 4.8 の累積的な更新プログラム
リリース日:
2020 年 10 月 14 日
バージョン:
.NET Framework 4.8
概要
セキュリティの機能強化
.NET Framework がメモリ内のオブジェクトを適切に処理しない場合に情報漏えいの脆弱性が存在します。 この脆弱性の悪用に成功した攻撃者は、影響を受けるシステムのメモリの内容を開示する可能性があります。 この脆弱性を悪用するには、認証された攻撃者が特別に細工したアプリケーションを実行する必要があります。 .NET Framework がメモリ内のオブジェクトを処理する方法を修正することで脆弱性を修正しています。
脆弱性の詳細については、次の Common Vulnerabilities and Exposures (CVE) を参照してください。
品質と信頼性の強化
WCF1 |
- 複数のサービスを同時に開始すると、WCF サービスの開始に失敗することがある問題を修正しました。 |
Windows フォーム |
- .NET Framework 4.8 では、Label、GroupBox、ToolStrip、ToolStripItems、StatusStrip、StatusStripItems、PropertyGrid、ProgressBar、ComboBox、MenuStrip、MenuItems、DataGridView のコントロールに対して Control.AccessibleName、Control.AccessibleRole、Control.AccessibleDescription の各プロパティが機能しなくなるという不具合がありました。この不具合を修正しました。 - データ バインド コンボ ボックスのコンボ ボックス項目のアクセス可能な名前に関する不具合を修正しました。 .NET Framework 4.8 では、DisplayMember プロパティの値ではなく型名をアクセス可能な名前として使用するようになりました。この機能強化には DisplayMember が再び使用されます。 |
ASP.NET |
- ASP.Net コントロール出力での AppPathModifier の再使用を無効にしました。 - ASP.Net 要求コンテキストの HttpCookie オブジェクトは、'new HttpCookie(name)' の動作に合わせて、.NET スタイル プリミティブの既定値ではなく、Cookie フラグの既定値が構成された状態で作成されるようになります。 |
SQL |
- ユーザーがある Azure SQL データベースに接続し、エンクレーブ ベースの操作を実行してから、同じ構成証明 URL を持つ同じサーバーで管理されている別のデータベースに接続し、2 つ目のサーバー上でエンクレーブ操作を実行した場合に発生することがあるエラーを解決しました。 |
CLR2 |
- CLR 構成変数 Thread_AssignCpuGroups (既定値は 1) を追加しました。この値を 0 に設定すると、Thread.Start() を使用して作成された新しいスレッドとスレッド プール スレッドに対して CLR によって実行される自動 CPU グループ割り当てが無効になり、アプリで独自のスレッド拡散を実行できるようになります。 - 新しい Span 型でよく使用される Unsafe.ByteOffset<T> など、新しい API を使用するときにまれに発生することがあるデータ破損の問題を修正しました。 スレッドがループ内から Unsafe.ByteOffset<T> を呼び出しているときに GC 操作が実行されると、破損が発生することがありました。 - AppContext スイッチ "Switch.System.Threading.UseNetCoreTimer" が有効な場合に、非常に長いタイマーが予想よりもはるかに早く期限が切れる問題を修正しました。 |
1 Windows Communication Foundation (WCF)
2 共通言語ランタイム (CLR)
この更新プログラムの既知の問題
ASP.Net アプリケーションがプリコンパイル中にエラー メッセージで失敗する
現象
この 2020 年 10 月 14 日の .NET Framework 4.8 用セキュリティおよび品質ロールアップを適用した後、一部の ASP.Net アプリケーションはプリコンパイル中に失敗します。 受け取るエラー メッセージには、“Error ASPCONFIG” という単語が含まれている可能性があります。
原因
“System.web” 構成のセクション “sessionState”、“anonymouseIdentification”、または “authentication/forms” のいずれかに、無効な構成状態があります。 ビルドから発行までのルーチンで、構成の変換によって、Web.config ファイルがプリコンパイルのために中間状態のままになる場合に、この問題が発生します。
回避策
予期しない新しいエラーや機能上の問題が発生した場合は、次のコードをアプリケーションの構成ファイルに追加 (またはマージ) することで、アプリケーション設定を実装できます。 “true” または “false” を設定すると、問題が回避されます。 ただし、Cookie なしの機能に依存しないサイトの場合は、この値を “true” に設定することをお勧めします。
<?xml version="1.0" encoding="utf-8" ?>
<configuration>
<appSettings>
<add key=”aspnet:DisableAppPathModifier” value=”true” />
</appSettings>
</configuration>
ASP.Net アプリケーションから URI で Cookie なしのトークンが渡されない場合がある
現象
この 2020 年 10 月 2 日付けの .NET Framework 4.8 用セキュリティおよび品質ロールアップを適用した後、一部の ASP.Net アプリケーションから URI で Cookie なしのトークンが渡されない場合があり、302 リダイレクト ループまたはセッション状態の喪失または欠落が発生する可能性があります。
原因
セッション状態、匿名 ID、およびフォーム認証に関する ASP.Net 機能は、いずれも Web クライアントへのトークンの発行に依存しており、いずれにも、こうしたトークンを Cookie で渡すか、Cookie をサポートしていないクライアントの場合は URI に埋め込む選択肢が用意されています。 URI 埋め込みは長い間セキュリティで保護されておらず、推奨されていない方法です。この KB を適用すると、これら 3 つの機能のいずれかの構成で “UseUri” の Cookie モードが明示的に要求されない限り、URI でのトークンの発行は既定で無効になります。 “AutoDetect” または “UseDeviceProfile” を指定する構成の場合、このようなトークンを URI に埋め込むと失敗する可能性があります。
回避策
想定しない新しい動作が見られる場合は、可能であれば、3 つすべての Cookie なしの設定を “UseCookies” に変更することをお勧めします。
<?xml version="1.0" encoding="utf-8" ?>
<configuration>
<system.web>
<anonymousidentification cookieless="UseCookies" />
<sessionState cookieless="UseCookies" />
<authentication>
<forms cookieless="UseCookies" />
</authentication>
</system.web>
</configuation>
URI 埋め込みトークンをアプリケーションに使用し続ける必要があり、安全に使用できる場合は、次の appSeting を使用して改めて有効にすることができます。 ただし、繰り返しになりますが、このようなトークンを URI に埋め込むことは止めることを強くお勧めします。
<?xml version="1.0" encoding="utf-8" ?>
<configuration>
<appSettings>
<add key="aspnet:DisableAppPathModifier" value="false" />
</appSettings>
</configuation>
この更新プログラムの入手方法
この更新プログラムのインストール
リリース チャネル |
使用可能 |
次の手順 |
Windows Update および Microsoft Update |
あり |
なし。 この更新プログラムは、Windows Update から自動的にダウンロードおよびインストールされます。 |
Microsoft Update カタログ |
あり |
この更新プログラムのスタンドアロン パッケージを入手するには、Microsoft Update カタログ Web サイトを参照してください。 |
Windows Server Update Services (WSUS) |
あり |
次のように [製品と分類] を構成すると、この更新プログラムは WSUS と自動的に同期されます。 製品: Windows 10 Version 1803 分類: セキュリティ更新プログラム |
ファイル情報
この更新プログラムで提供されるファイルの一覧については、累積的な更新プログラムのファイル情報をダウンロードしてください。
保護とセキュリティに関する情報
-
オンライン環境で身を守る: Windows セキュリティ サポート
-
サイバー脅威を防ぐ方法の詳細: マイクロソフト セキュリティ