Microsoft セキュリティ情報 MS16-035 - 重要

公開日: 2016 年 3 月 8 日 |更新日: 2016 年 11 月 8 日

バージョン: 2.6

このセキュリティ更新プログラムは、Microsoft .NET Framework の脆弱性を解決します。 セキュリティ機能のバイパスは、署名付き XML ドキュメントの特定の要素を適切に検証しない .NET Framework コンポーネントに存在します。

このセキュリティ更新プログラムは、影響を受ける Microsoft Windows のリリースで、Microsoft .NET Framework 2.0 Service Pack 2、Microsoft .NET Framework 3.0 Service Pack 2、Microsoft .NET Framework 3.5、Microsoft .NET Framework 3.5.1、Microsoft .NET Framework 4.5.2、Microsoft .NET Framework 4.6、および Microsoft .NET Framework 4.6.1 について重要と評価されています。 詳細については、「影響を受けるソフトウェア」セクションを参照してください。

この更新プログラムは、.NET Framework が XML ドキュメントを検証する方法を修正することで、この脆弱性を解決します。 この脆弱性の詳細については、「脆弱性情報」セクションを参照してください。

この更新プログラムの詳細については、マイクロソフト サポート技術情報の記事3141780を参照してください。

次のソフトウェア バージョンまたはエディションが影響を受ける。 一覧にないバージョンまたはエディションは、サポート ライフサイクルを過ぎたか、影響を受けません。 ソフトウェアのバージョンまたはエディションのサポート ライフサイクルを確認するには、「Microsoft サポート ライフサイクル」を参照してください。

影響を受けるソフトウェアごとに示される重大度評価は、脆弱性の潜在的な最大の影響を想定しています。 このセキュリティ情報のリリースから 30 日以内に、脆弱性の重大度評価とセキュリティへの影響に関する脆弱性の悪用可能性に関する情報については、3 月のセキュリティ情報の概要にある Exploitability Index を参照してください。

^[1].NET Framework 4.x のサポートに関する変更については、「インターネット エクスプローラーおよび .NET Framework 4.x サポートのお知らせ」を参照してください。

^[2]Windows RT 8.1 の更新プログラムは、Windows Update でのみ使用できます。

^[3]Windows 10 更新プログラムは累積的です。 セキュリティ以外の更新プログラムを含むだけでなく、毎月のセキュリティ リリースに付属するすべての Windows 10 の影響を受ける脆弱性に対するすべてのセキュリティ修正プログラムも含まれています。 更新プログラムは、Microsoft Update カタログから入手できます。

注 : Windows Server Technical Preview 4 が影響を受けます。 このオペレーティング システムを実行しているお客様は、Windows Update から入手できる更新プログラムを適用することをお勧めします。

このセキュリティ情報が 2016 年 5 月 10 日に再リリースされた理由
Microsoft .NET Framework 4.5.2 または Microsoft .NET Framework 4.6/4.6.1 のセキュリティ更新プログラムをインストールした後に発生した可能性のある印刷の問題に対処するために、次のようにこれらのバージョンの Microsoft .NET Framework の更新プログラムが再リリースされました。

• Microsoft .NET Framework 4.5.2 の更新プログラムは、制限付き配布リリース (LDR) のお客様にのみ再リリースされました。
• Microsoft .NET Framework 4.6/4.6.1 の更新プログラムは、すべてのお客様に再リリースされました。

これらの再リリースは、Windows Update と Microsoft Update カタログから入手できます。

インストールされている Microsoft .NET Framework のバージョンを確認操作方法。
.NET Framework の複数のバージョンをシステムにインストールして実行し、任意の順序でバージョンをインストールできます。 現在インストールされている .NET Framework のバージョンを確認するには、いくつかの方法があります。 詳細については、マイクロソフト サポート技術情報の記事318785を参照してください。

影響を受ける一部のソフトウェアでは、複数の更新プログラム パッケージを使用できます。 ソフトウェアの影響を受けるソフトウェアの表に記載されているすべての更新プログラムをインストールする必要がありますか?
はい。 お客様は、システムにインストールされているソフトウェアに対して提供されるすべての更新プログラムを適用する必要があります。

これらのセキュリティ更新プログラムを特定の順序でインストールする必要がありますか?
いいえ。 特定のシステムに対して複数の更新プログラムを任意の順序で適用できます。

署名付き XML ドキュメントの特定の要素を適切に検証しない .NET Framework コンポーネントに、セキュリティ機能バイパスの脆弱性が存在します。 攻撃者がこの脆弱性を悪用した場合、ファイルに関連付けられている署名を無効にすることなく、XML ファイルの内容を変更する可能性があります。 .NET アプリケーションが署名に依存して悪意のない場合、アプリケーションの動作が予測不能になる可能性があります。 カスタム アプリケーションでは、セキュリティへの影響は特定の使用シナリオによって異なります。

.NET アプリケーション攻撃シナリオでは、攻撃者は、ファイルに関連付けられている署名を無効にすることなく、XML ファイルの内容を変更する可能性があります。 この更新プログラムは、.NET Framework が XML ドキュメントを検証する方法を修正することで、この脆弱性を解決します。

次の表に、一般的な脆弱性と公開の一覧の各脆弱性の標準エントリへのリンクを示します。

Microsoft は、この脆弱性の 軽減要因 を特定していません。

Microsoft は、この脆弱性の 回避策を 特定していません。

セキュリティ更新プログラムの展開情報については、「エグゼクティブの概要」で参照されている Microsoft サポート技術情報の記事を参照してください。

Microsoft は、連携した脆弱性の開示を通じてお客様を保護するのに役立つセキュリティ コミュニティの人々の取り組みを認識しています。 詳細については、「 受信確認 」を参照してください。

Microsoft サポート技術情報で提供される情報は、いかなる種類の保証もなく"現状のまま" 提供されます。 Microsoft は、商品性と特定の目的に対する適合性の保証を含め、明示または黙示を問わず、すべての保証を放棄します。 Microsoft Corporation またはそのサプライヤーは、Microsoft Corporation またはそのサプライヤーがこのような損害の可能性について通知された場合でも、直接的、間接的、付随的、派生的、ビジネス上の利益の損失、または特別な損害を含む一切の損害について一切の責任を負いません。 一部の州では、派生的損害または付随的損害に対する責任の除外または制限が認められていないため、前述の制限は適用されない場合があります。

• V1.0 (2016 年 3 月 8 日): セキュリティ情報が公開されました。
• V2.0 (2016 年 5 月 10 日): 特定の印刷シナリオの問題に対処するために、Microsoft .NET Framework 4.5.2 および Microsoft .NET Framework 4.6/4.6.1 のセキュリティ更新プログラムを発表するために更新されたセキュリティ情報が再リリースされました。 再リリースは、Windows Update と Microsoft Update カタログから入手できます。 この再リリースは、LDR (制限付き配布リリース) のお客様にのみ適用されることに注意してください。 GDR (一般配布リリース) のお客様は影響を受けません。 再リリースされた特定のセキュリティ更新プログラムの詳細については、このセキュリティ情報 (MS16-035) の「更新プログラムに関する FAQ」セクションを参照してください。
• V2.1 (5 月 18 日、 2016 年: 2016 年 5 月 10 日に再リリースされた Microsoft .NET Framework 4.5.2 および Microsoft .NET Framework 4.6/4.6.1 セキュリティ更新プログラムの配布対象ユーザーを明確にするように更新されました。Microsoft .NET Framework 4.5.2 のセキュリティ更新プログラムは、限定配布リリース (LDR) のお客様のみに再リリースされました。 Microsoft .NET Framework 4.6/4.6.1 のセキュリティ更新プログラムが、すべてのユーザーに再リリースされました。
• V2.2 (2016 年 7 月 13 日): 3135996更新プログラムが更新されたことをお客様に通知するように、セキュリティ情報を改訂しました。 これは情報通知のみです。 更新プログラムを既に正常にインストールしているお客様は、それ以上の操作を行う必要はありません。
• V2.3 (2016 年 8 月 11 日): 3135996のオファリングの問題を修正するための検出の変更を発表するために、セキュリティ情報を改訂しました。 これは検出の変更のみです。 更新ファイルに変更はありませんでした。 更新プログラムを既に正常にインストールしているお客様は、何も行う必要はありません。
• V2.4 (2016 年 8 月 11 日): v2.3 の更新に関する説明 - 制限付き配布リリース (LDR) のお客様だけでなく、すべてのユーザーが新しいバージョンの更新プログラム 3135996を利用できるようになりました。 一部のお客様は、2016 年 7 月 13 日から 2016 年 8 月 11 日までの間、この最新バージョンを提供されていない可能性があります。 2016 年 8 月 11 日にリリースされた最新バージョンの更新3135996により、お客様は最新の状態になります。
• V2.5 (2016 年 10 月 11 日): Windows Server 2012、Windows 8.1、および Windows Server 2012 R2 の Microsoft .NET Framework 4.5.2 のセキュリティ更新プログラムの3135994と3135995が WSUS チャネルにのみ再リリースされたことをお知らせするために更新されたセキュリティ情報。 この再リリースは、Windows Update または Microsoft Update カタログのお客様には適用されません。 この再リリースでは、WSUS 環境内の特定の GDR ユーザーが "新しいリビジョンによって期限切れになったときに更新プログラムを自動的に辞退する" 機能を有効にした場合に、これらの更新プログラムを受信できなくなるオファリングの問題に対処します。 ファイル ペイロードに変更はありません。 更新プログラム3135994および3135995が既に正常にデプロイされている場合は、何も行う必要はありません。
• V2.6 (2016 年 11 月 8 日): .NET Framework 4.6.1 に適用されるセキュリティ更新プログラムが適切に提供されていない .NET Framework 4.6.1 修正プログラム ロールアップのお客様に対して検出の変更が行われたことをお知らせするために、セキュリティ情報を改訂しました。

Page generated 2016-11-28 12:58-08:00.