対象製品:
Microsoft .NET Framework 2.0 Service Pack 2、Microsoft .NET Framework 3.0 Service Pack 2
概要
このセキュリティ更新プログラムは、以下を引き起こす可能性がある Microsoft .NET Framework の脆弱性を解決します。
-
.NET Framework ソフトウェアがファイルのソース マークアップをチェックしない場合に、リモートでコードが実行される脆弱性が存在します。 この脆弱性の悪用に成功した攻撃者は、現在のユーザーのコンテキストで任意のコードを実行する可能性があります。 現在のユーザーが管理者ユーザー権限を使用してログオンしている場合、攻撃者が影響を受けるコンピューターを制御する可能性があります。 また、プログラムのインストール、データの表示、変更、削除などを行ったり、完全なユーザー権限を持つ新たなアカウントを作成したりする可能性があります。 システムに関するユーザー権限が低く設定されているアカウントを使用しているユーザーは、管理者ユーザー権限のあるユーザーよりも影響が少なくなると考えられます。
この脆弱性が悪用されるには、影響を受けるバージョンの .NET Framework を使用しているユーザーが、特別に細工されたファイルを開くことが攻撃者にとっての必要条件となります。 電子メールの攻撃シナリオでは、攻撃者は特別に細工したファイルをユーザーに送信し、ユーザーにそのファイルを開くよう誘導することにより、この脆弱性を悪用する可能性があります。
このセキュリティ更新プログラムは、.NET Framework がファイルのソース マークアップをチェックする方法を修正することにより、この脆弱性を解決します。
この脆弱性の詳細については、Microsoft Common Vulnerabilities and Exposures CVE-2019-0613 を参照してください。 -
URL を解析する一部の .NET Framework API の脆弱性。 攻撃者がこの脆弱性を悪用した場合、ユーザーが指定した URL が特定のホスト名またはそのホスト名のサブドメインに属していることを確認するためのセキュリティ ロジックを回避するのに利用する可能性があります。 この脆弱性は、信頼できるサービスであるかのように、信頼できないサービスに対して特権が必要な通信を行うために使用される可能性があります。
攻撃者がこの脆弱性を悪用するには、URL が特定のホスト名またはそのホスト名のサブドメインに属していることを確認しようとするアプリケーションに対して、URL 文字列を提示する必要があります。 次に、アプリケーションは、攻撃者が提示した URL に対して、直接送信するか、攻撃者が提示した URL の処理済みバージョンを Web ブラウザーに送信することによって、HTTP 要求を実行する必要があります。
この脆弱性の詳細については、Microsoft Common Vulnerabilities and Exposures CVE-2019-0657 を参照してください。
重要
-
Windows Server 2008 Service Pack 2 (SP2) 用の .NET Framework 4.6 のすべての更新プログラムを適用するには、d3dcompiler_47.dll の更新プログラムがインストールされている必要があります。 この更新プログラムを適用する前に、含まれている d3dcompiler_47.dll の更新プログラムをインストールすることをお勧めします。 d3dcompiler_47.dll の更新プログラムの詳細については、サポート技術情報 4019478 を参照してください。
-
この更新プログラムをインストールした後に言語パックをインストールした場合は、この更新プログラムを再インストールする必要があります。 そのため、この更新プログラムをインストールする前に、必要な言語パックをすべてインストールすることをお勧めします。 詳細については、「Add language packs to Windows」(英語情報) を参照してください。
この更新プログラムの関連情報
以下の資料では製品バージョン別に、この更新プログラムに関する追加情報が掲載されています。
-
4483482 Windows Server 2008 SP2 用の .NET Framework 2.0 SP2 および 3.0 SP2 のセキュリティのみの更新プログラムについて (KB 4483482)
-
4483474 Windows 7 SP1、Windows Server 2008 R2 SP1、および Windows Server 2008 SP2 用の .NET Framework 4.5.2 のセキュリティのみの更新プログラムについて (KB 4483474)
-
4483470 Windows 7 SP1 と Windows Server 2008 R2 SP1 用の .NET Framework 4.6、4.6.1、4.6.2、4.7、4.7.1、および 4.7.2、および Windows Server 2008 SP2 用の .NET Framework 4.6 のセキュリティのみの更新プログラムについて (KB 4483470)
保護とセキュリティに関する情報
-
オンライン上で自分を守る: Windows セキュリティ サポート
-
サイバー攻撃に対して防御する方法: マイクロソフト セキュリティ