Applies To.NET

対象製品:

Microsoft .NET Framework 3.5、Microsoft .NET Framework 4.6.2、Microsoft .NET Framework 4.7、Microsoft .NET Framework 4.7.1、Microsoft .NET Framework 4.7.2、Microsoft .NET Framework 4.8

注:

2023 年 6 月 15 日に改訂され、X.509 証明書の既知の問題の文言が修正されました

CVE-2023-32030 のリンクを修正するために 2023 年 6 月 20 日に変更されました

リマインダー

  • 高度な知識を持つ IT 管理者向けの注意点として、Windows Embedded 8.1 および Windows Server 2012 R2 用の .NET Framework 3.5 の更新プログラムは、.NET Framework 3.5 が存在し、有効になっているシステムにのみ適用する必要があります。 有効な .NET Framework 3.5 製品が含まれていないオフライン イメージに .NET Framework 3.5 の更新プログラムをプレインストールしようとすると、システムがオンラインになった後で .NET Framework 3.5 を有効することができない問題が発生します。 .NET Framework 3.5 の展開の詳細については、「Microsoft .NET Framework 3.5 Deployment Considerations」(英語情報) を参照してください。

  • この更新プログラムをインストールした後に言語パックをインストールした場合は、この更新プログラムを再インストールする必要があります。 そのため、この更新プログラムをインストールする前に、必要な言語パックをすべてインストールすることをお勧めします。 詳細については、「Add language packs to Windows」(英語情報) を参照してください。

概要

CVE-2023-24897 - .NET Framework のリモートでコードが実行される脆弱性               このセキュリティ更新プログラムは、破損した PDB がヒープ オーバーフローを引き起こし、クラッシュや削除コードの実行につながる可能性がある MSDIA SDK の脆弱性に対処します。 詳細については、CVE 2023-24897 を参照してください。

CVE-2023-29326 - .NET Framework のリモートコード実行の脆弱性 このセキュリティ更新プログラムは、BAML が特権の昇格につながる型をインスタンス化する他の方法を提供する WPF の脆弱性を解決します。 詳細については、CVE-2023-29326 を参照してください。

CVE-2023-24895 - .NET Framework のリモートコード実行の脆弱性 このセキュリティ更新プログラムは、サンドボックス化されていないパーサーがリモートでコードを実行する可能性がある WPF XAML パーサーの脆弱性に対処します。 詳細については、CVE-2023-24895 を参照してください。

CVE-2023-24936 - .NET Framework の特権昇格の脆弱性 このセキュリティ更新プログラムは、DATASet または DataTable を XML から逆シリアル化すると特権が昇格されるバイパス制限の脆弱性を解決します。 詳細については、CVE-2023-24936 を参照してください。

CVE-2023-29331 - .NET Framework のサービス拒否の脆弱性 このセキュリティ更新プログラムは、クライアント証明書の AIA フェッチ プロセスによってサービス拒否が発生する可能性がある脆弱性を解決します。 詳細については、CVE 2023-29331 を参照してください。

CVE-2023-32030 - .NET Framework サービス拒否の脆弱性 このセキュリティ更新プログラムは、X509Certificate2 ファイル処理によってサービス拒否が発生する可能性がある脆弱性を解決するものです。 詳細については、CVE 2023-32030 を参照してください。

この更新プログラムの既知の問題

現象

この更新プログラムは、.NET Framework ランタイムが X.509 証明書をインポートする方法に影響を与える可能性があります。 この問題の詳細については、KB5025823 を参照してください。

回避策 

この問題を軽減するには、KB5025823 を参照してください。

この更新プログラムの関連情報

以下の資料では製品バージョン別に、この更新プログラムに関する追加情報が掲載されています。

  • 5027116 Windows Embedded 8.1 および Windows Server 2012 R2 用 .NET Framework 3.5 のセキュリティのみの更新プログラムについて (KB5027116)

  • 5027112 Windows Embedded 8.1 および Windows Server 2012 R2 用 .NET Framework 4.6.2、4.7、4.7.1、4.7.2 のセキュリティのみの更新プログラムについて (KB5027112)

  • 5027109 Windows Embedded 8.1 および Windows Server 2012 R2 用 .NET Framework 4.8 のセキュリティのみの更新プログラムについて (KB5027109)

この更新プログラムの入手方法

リリース チャネル

使用可能

次の手順

Windows Update および Microsoft Update

なし

他のオプションについては以下を参照してください。

Microsoft Update カタログ

あり

この更新プログラムのスタンドアロン パッケージを入手するには、Microsoft Update カタログ Web サイトを参照してください。

Windows Server Update Services (WSUS)

あり

このオペレーティング システムの更新プログラムは、必要に応じて提供され、個々の .NET Framework 製品の更新プログラムがインストールされます。 個々の .NET Framework 製品の更新の詳細については、この更新に関する追加情報 セクションを参照してください。

次のように設定すると、この更新プログラムは WSUS と自動的に同期します。

製品: Windows Server 2012 R2、Windows Embedded 8.1 Industry Enterprise、Windows Embedded 8.1 Industry Pro

            分類: セキュリティ更新プログラム

この更新プログラムに関するヘルプとサポートを受ける方法

ヘルプを表示

その他のオプションが必要ですか?

サブスクリプションの特典の参照、トレーニング コースの閲覧、デバイスのセキュリティ保護方法などについて説明します。

コミュニティは、質問をしたり質問の答えを得たり、フィードバックを提供したり、豊富な知識を持つ専門家の意見を聞いたりするのに役立ちます。