マイクロソフト セキュリティ情報 MS16-019 - 重要

サービス拒否に対処する .NET Framework 用のセキュリティ更新プログラム (3137893)

公開日:2016 年 2 月 10 日

バージョン: 1.0

このセキュリティ更新プログラムは、Microsoft .NET Framework の脆弱性を解決します。これらの中で比較的深刻な脆弱性が悪用されると、攻撃者がクライアント側 XML Web パーツに特別に細工された XSLT を挿入し、サーバーで XSLT を再帰的にコンパイルさせた場合、サービス拒否が発生する可能性があります。

このセキュリティ更新プログラムは、影響を受けるリリースの Microsoft Windows 上の Microsoft .NET Framework 2.0 Service Pack 2、Microsoft .NET Framework 3.5、Microsoft .NET Framework 3.5.1、Microsoft .NET Framework 4.5.2、Microsoft .NET Framework 4.6、および Microsoft .NET Framework 4.6.1 について、深刻度が「重要」と評価されています。詳細については、「影響を受けるソフトウェア」のセクションを参照してください。

このセキュリティ更新プログラムは、Microsoft WinForms がデコーダーの結果を検証する方法を修正し、.NET Framework が XSL (Extensible Stylesheet Language) 変換 (XSLT) を処理する方法を修正することにより、これらの脆弱性を解決します。脆弱性の詳細については、「脆弱性の情報」を参照してください。

この更新プログラムの詳細については、マイクロソフト サポート技術情報 3137893 を参照してください。

次のソフトウェア バージョンまたはエディションが影響を受けます。一覧にないバージョンまたはエディションは、サポート ライフサイクルが終了しているか、この脆弱性の影響を受けません。ご使用中のソフトウェアのバージョンまたはエディションのサポート ライフ サイクルを確認するには、Microsoft サポート ライフサイクルの Web サイトを参照してください。

影響を受ける各ソフトウェアの深刻度の評価は、脆弱性の影響が最も深刻な場合を想定しています。深刻度の評価およびセキュリティ上の影響に関連して、このセキュリティ情報の公開から 30 日以内にこの脆弱性が悪用される可能性に関する情報については、2 月のセキュリティ情報の概要の Exploitability Index (悪用可能性指標) を参照してください。

 

オペレーティング システム

コンポーネント

.NET Framework のスタック オーバーフロー サービス拒否の脆弱性 - CVE-2016-0033

Windows フォームの情報漏えいの脆弱性 - CVE-2016-0047

置き換えられる更新プログラム

Windows Vista

Windows Vista Service Pack 2

Microsoft .NET Framework 2.0 Service Pack 2

重要 
サービス拒否
(3122646)

重要
情報漏えい
(3127219)

3122646 – なし

3127219 - MS12-025 の 2656374 が置き換えられる

Windows Vista Service Pack 2

Microsoft .NET Framework 4.5.2[1]

重要 
サービス拒否
(3122656)

重要
情報漏えい
(3127229)

なし

Windows Vista Service Pack 2

Microsoft .NET Framework 4.6[1]

重要 
サービス拒否
(3122661)

重要
情報漏えい
(3127233)

なし

Windows Vista x64 Edition Service Pack 2

Microsoft .NET Framework 2.0 Service Pack 2

重要 
サービス拒否
(3122646)

重要
情報漏えい
(3127219)

3122646 – なし

3127219 - MS12-025 の 2656374 が置き換えられる

Windows Vista x64 Edition Service Pack 2

Microsoft .NET Framework 4.5.2[1]

重要 
サービス拒否
(3122656)

重要
情報漏えい
(3127229)

なし

Windows Vista x64 Edition Service Pack 2

Microsoft .NET Framework 4.6[1]

重要 
サービス拒否
(3122661)

重要
情報漏えい
(3127233)

なし

Windows Server 2008

Windows Server 2008 for 32-bit Systems Service Pack 2

Microsoft .NET Framework 2.0 Service Pack 2

重要 
サービス拒否
(3122646)

重要
情報漏えい
(3127219)

3122646 – なし

3127219 - MS12-025 の 2656374 が置き換えられる

Windows Server 2008 for 32-bit Systems Service Pack 2

Microsoft .NET Framework 4.5.2[1]

重要 
サービス拒否
(3122656)

重要
情報漏えい
(3127229)

なし

Windows Server 2008 for 32-bit Systems Service Pack 2

Microsoft .NET Framework 4.6[1]

重要 
サービス拒否
(3122661)

重要
情報漏えい
(3127233)

なし

Windows Server 2008 for x64-based Systems Service Pack 2

Microsoft .NET Framework 2.0 Service Pack 2

重要 
サービス拒否
(3122646)

重要
情報漏えい
(3127219)

3122646 – なし

3127219 - MS12-025 の 2656374 が置き換えられる

Windows Server 2008 for x64-based Systems Service Pack 2

Microsoft .NET Framework 4.5.2[1]

重要 
サービス拒否
(3122656)

重要
情報漏えい
(3127229)

なし

Windows Server 2008 for x64-based Systems Service Pack 2

Microsoft .NET Framework 4.6[1]

重要 
サービス拒否
(3122661)

重要
情報漏えい
(3127233)

なし

Windows Server 2008 for Itanium-based Systems Service Pack 2

Microsoft .NET Framework 2.0 Service Pack 2

重要 
サービス拒否
(3122646)

重要
情報漏えい
(3127219)

3122646 – なし

3127219 - MS12-025 の 2656374 が置き換えられる

Windows 7

Windows 7 for 32-bit Systems Service Pack 1

Microsoft .NET Framework 3.5.1

重要 
サービス拒否
(3122648)

重要
情報漏えい
(3127220)

なし

3127220 - MS12-025 の 2656373 が置き換えられる

Windows 7 for 32-bit Systems Service Pack 1

Microsoft .NET Framework 4.5.2[1]

重要 
サービス拒否
(3122656)

重要
情報漏えい
(3127229)

なし

Windows 7 for 32-bit Systems Service Pack 1

Microsoft .NET Framework 4.6/4.6.1

重要
サービス拒否
(3122661)

重要
情報漏えい
(3127233)

なし

Windows 7 for x64-based Systems Service Pack 1

Microsoft .NET Framework 3.5.1

重要 
サービス拒否
(3122648)

重要
情報漏えい
(3127220)

なし

3127220 - MS12-025 の 2656373 が置き換えられる

Windows 7 for x64-based Systems Service Pack 1

Microsoft .NET Framework 4.5.2[1]

重要 
サービス拒否
(3122656)

重要
情報漏えい
(3127229)

なし

Windows 7 for x64-based Systems Service Pack 1

Microsoft .NET Framework 4.6/4.6.1

重要
サービス拒否
(3122661)

重要
情報漏えい
(3127233)

なし

Windows Server 2008 R2

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Microsoft .NET Framework 3.5.1

重要 
サービス拒否
(3122648)

重要
情報漏えい
(3127220)

なし

3127220 - MS12-025 の 2656373 が置き換えられる

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Microsoft .NET Framework 4.5.2[1]

重要 
サービス拒否
(3122656)

重要
情報漏えい
(3127229)

なし

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Microsoft .NET Framework 4.6/4.6.1

重要
サービス拒否
(3122661)

重要
情報漏えい
(3127233)

なし

Windows Server 2008 R2 for Itanium-based Systems Service Pack 1

Microsoft .NET Framework 3.5.1

重要 
サービス拒否
(3122648)

重要
情報漏えい
(3127220)

なし

3127220 - MS12-025 の 2656373 が置き換えられる

Windows 8.1

Windows 8.1 for 32-bit Systems

Microsoft .NET Framework 3.5

重要 
サービス拒否
(3122651)

重要
情報漏えい
(3127222)

なし

Windows 8.1 for 32-bit Systems

Microsoft .NET Framework 4.5.2[1]

重要 
サービス拒否
(3122654)

重要
情報漏えい
(3127226)

なし

Windows 8.1 for 32-bit Systems

Microsoft .NET Framework 4.6/4.6.1[1]

重要 
サービス拒否
(3122660)

重要
情報漏えい
(3127231)

なし

Windows 8.1 for x64-based Systems

Microsoft .NET Framework 3.5

重要 
サービス拒否
(3122651)

重要
情報漏えい
(3127222)

なし

Windows 8.1 for x64-based Systems

Microsoft .NET Framework 4.5.2[1]

重要 
サービス拒否
(3122654)

重要
情報漏えい
(3127226)

なし

Windows 8.1 for x64-based Systems

Microsoft .NET Framework 4.6/4.6.1[1]

重要 
サービス拒否
(3122660)

重要
情報漏えい
(3127231)

なし

Windows Server 2012 および Windows Server 2012 R2

Windows Server 2012

Microsoft .NET Framework 3.5

重要 
サービス拒否
(3122649)

重要
情報漏えい
(3127221)

なし

Windows Server 2012

Microsoft .NET Framework 4.5.2[1]

重要 
サービス拒否
(3122655)

重要
情報漏えい
(3127227)

なし

Windows Server 2012

Microsoft .NET Framework 4.6/4.6.1[1]

重要 
サービス拒否
(3122658)

重要
情報漏えい
(3127230)

なし

Windows Server 2012 R2

Microsoft .NET Framework 3.5

重要 
サービス拒否
(3122651)

重要
情報漏えい
(3127222)

なし

Windows Server 2012 R2

Microsoft .NET Framework 4.5.2[1]

重要 
サービス拒否
(3122654)

重要
情報漏えい
(3127226)

なし

Windows Server 2012 R2

Microsoft .NET Framework 4.6/4.6.1[1]

重要 
サービス拒否
(3122660)

重要
情報漏えい
(3127231)

なし

Windows RT 8.1

Windows RT 8.1

Microsoft .NET Framework 4.5.2[1][2]

重要 
サービス拒否
(3122654)

重要
情報漏えい
(3127226)

なし

Windows RT 8.1

Microsoft .NET Framework 4.6/4.6.1[1][2]

重要 
サービス拒否
(3122660)

重要
情報漏えい
(3127231)

なし

Windows 10

Windows 10 for 32-bit Systems [3]
(3135174)

Microsoft .NET Framework 3.5

重要 
サービス拒否

重要
情報漏えい

3124266

Windows 10 for 32-bit Systems [3]
(3135174)

Microsoft .NET Framework 4.6

重要 
サービス拒否

重要
情報漏えい

3124266

Windows 10 for x64-based Systems [3]
(3135174)

Microsoft .NET Framework 3.5

重要 
サービス拒否

重要
情報漏えい

3124266

Windows 10 for x64-based Systems [3]
(3135174)

Microsoft .NET Framework 4.6

重要 
サービス拒否

重要
情報漏えい

3124266

Windows 10 Version 1511 for 32-bit Systems [2](3135173)

Microsoft .NET Framework 3.5

重要 
サービス拒否

重要
情報漏えい

3124263

Windows 10 Version 1511 for 32-bit Systems [2](3135173)

Microsoft .NET Framework 4.6.1

重要 
サービス拒否

重要
情報漏えい

3124263

Windows 10 Version 1511 for x64-based Systems [2](3135173)

Microsoft .NET Framework 3.5

重要 
サービス拒否

重要
情報漏えい

3124263

Windows 10 Version 1511 for x64-based Systems [2](3135173)

Microsoft .NET Framework 4.6.1

重要 
サービス拒否

重要
情報漏えい

3124263

Server Core インストール オプション

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core インストール)

Microsoft .NET Framework 3.5.1

重要 
サービス拒否
(3122648)

重要
情報漏えい
(3127220)

なし

3127220 - MS12-025 の 2656373 が置き換えられる

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core インストール)

Microsoft .NET Framework 4.5.2[1]

重要 
サービス拒否
(3122656)

重要
情報漏えい
(3127229)

なし

Windows Server 2012 (Server Core インストール)

Microsoft .NET Framework 3.5

重要 
サービス拒否
(3122649)

重要
情報漏えい
(3127221)

なし

Windows Server 2012 (Server Core インストール)

Microsoft .NET Framework 4.5.2[1]

重要 
サービス拒否
(3122655)

重要
情報漏えい
(3127227)

なし

Windows Server 2012 (Server Core インストール)

Microsoft .NET Framework 4.6/4.6.1[1]

重要 
サービス拒否
(3122658)

重要
情報漏えい
(3127230)

なし

Windows Server 2012 R2 (Server Core インストール)

Microsoft .NET Framework 3.5

重要 
サービス拒否
(3122651)

重要
情報漏えい
(3127222)

なし

Windows Server 2012 R2 (Server Core インストール)

Microsoft .NET Framework 4.5.2[1]

重要 
サービス拒否
(3122654)

重要
情報漏えい
(3127226)

なし

Windows Server 2012 R2 (Server Core インストール)

Microsoft .NET Framework 4.6/4.6.1[1]

重要 
サービス拒否
(3122660)

重要
情報漏えい
(3127231)

なし

[1].NET Framework 4.x のサポートの変更の詳細については、「Internet Explorer および .NET Framework 4.x のサポートに関する発表」を参照してください。

[2]Windows RT 8.1 の更新プログラムは、Windows Update を介してのみ利用可能です。

[3]Windows 10 の更新プログラムは累積的です。セキュリティ以外の更新プログラムに加えて、今月のセキュリティ リリースと共に出荷されたすべての Windows 10 に影響を与える脆弱性のセキュリティ修正プログラムも含まれます。これらの更新プログラムは、Microsoft Update カタログを介して入手可能です。

注: Windows Server Technical Preview 4 が影響を受けます。このオペレーティング システムを実行しているお客様は、Windows Update から入手できる更新プログラムを適用することをお勧めします。

.NET Framework のスタック オーバーフロー サービス拒否の脆弱性 - CVE-2016-0033

.NET Framework がある種の XSL (Extensible Stylesheet Language) 変換 (XSLT) を適切に処理できない場合に、サービス拒否の脆弱性が存在します。攻撃者がこの脆弱性を悪用した場合、サービス拒否状態になるのに十分なほどの著しいサーバーのパフォーマンス低下を引き起こす可能性があります。

攻撃者はこの脆弱性の悪用を目的として、クライアント側 XML Web パーツに特別に細工された XSLT を挿入し、サーバーで XSLT を再帰的にコンパイルさせる可能性があります。これによりサービス拒否攻撃が発生し、サーバーの可用性が損なわれる可能性があります。このセキュリティ更新プログラムは、.NET Framework が XSLT を処理する方法を修正することで脆弱性を解決します。

マイクロソフトは、協調的な脆弱性の公開を通じてこの脆弱性に関する情報を得ました。このセキュリティ情報が最初に公開された時点で、マイクロソフトはこの脆弱性を悪用しようとする限定的な攻撃を示す可能性のある報告を受けました。

問題を緩和する要素

マイクロソフトは、この脆弱性の問題を緩和する要素を確認していません。

回避策

お客様の状況で、次の回避策が役立つ場合があります。

  • 信頼されないソースから XSL スタイルシートを読み込まない

    信頼されないソースからの外部 XSL スタイルシートの読み込みを禁止するようにアプリケーションをコーディングすることで、脆弱性の悪用を防止できます。

Windows フォームの情報漏えいの脆弱性 - CVE-2016-0047

Microsoft .NET Framework に存在する情報漏えいの脆弱性は、.NET の Windows フォーム (WinForms) がアイコン データを不適切に処理する際に生じます。攻撃者がこの脆弱性を悪用すると、特別に細工されたアイコン データを .NET サービスに送信する可能性があります。このアイコン データにより情報がキャプチャされ、アイコンのデータ内で攻撃者に返される可能性があります。

攻撃者はこの脆弱性の悪用を目的として、サーバー コンピューターから情報を取得する試行で、特別に細工されたアイコンをリモート サービスにアップロードする可能性があります。

この更新プログラムは、Microsoft WinForms がアイコン データを処理する方法を修正することにより、この脆弱性を解決します。マイクロソフトは、協調的な脆弱性の公開を通じてこの脆弱性に関する情報を得ました。このセキュリティ情報が最初に公開された時点で、マイクロソフトはこの脆弱性を悪用しようとする限定的な攻撃を示す可能性のある報告を受けました。

問題を緩和する要素

マイクロソフトは、この脆弱性の問題を緩和する要素を確認していません。

回避策

マイクロソフトは、これらの脆弱性の回避策を確認していません。

セキュリティ更新プログラムの展開については、「概要」のこちらで言及されているマイクロソフト サポート技術情報を参照してください。

マイクロソフトでは、協調的な脆弱性の公開によるお客様の保護に際して、セキュリティ コミュニティの方々からいただいたご助力に感謝いたします。詳細については、謝辞を参照してください。

マイクロソフト サポート技術情報に含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation およびその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation およびその関連会社は、本文書に含まれている情報の使用および使用結果につき、正確性、真実性など、いかなる表明・保証も行いません。Microsoft Corporation、その関連会社およびこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社およびこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含むすべての損害に対して、状況のいかんを問わず一切責任を負いません。結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。

  • V1.0 (2016/02/10):このセキュリティ情報ページを公開しました。

Page generated 2016-02-08 15:42-08:00.
表示: