マイクロソフト セキュリティ情報 MS16-155 - 重要

.NET Framework 用のセキュリティ更新プログラム (3205640)

公開日: 2016 年 12 月 14 日 | 最終更新日: 2016 年 12 月 20 日

バージョン: 2.0

このセキュリティ更新プログラムは、SQL サーバー用の Microsoft .NET 4.6.2 Framework のデータ プロバイダーの脆弱性を解決します。Microsoft .NET Framework 4.6.2 には、攻撃者に Always Encrypted 機能で保護されている情報へのアクセスを可能にするセキュリティ上の脆弱性が存在します。

このセキュリティ更新プログラムは、Microsoft .NET Framework 4.6.2 について、深刻度が「重要」と評価されています。詳細については、「影響を受けるソフトウェアと脅威の深刻度」のセクションを参照してください。

このセキュリティ更新プログラムは、開発者の提供したキーを .NET Framework が処理する方法を修正することにより、この脆弱性を解決し、データを適切に保護します。

詳細については、「影響を受けるソフトウェアと脅威の深刻度」のセクションを参照してください。

この更新プログラムの詳細については、「マイクロソフト サポート技術情報 3205640」を参照してください。

次のソフトウェア バージョンまたはエディションが影響を受けます。一覧にないバージョンまたはエディションは、サポート ライフサイクルが終了しているか、この脆弱性の影響を受けません。ご使用中のソフトウェアのバージョンまたはエディションのサポート ライフサイクルを確認するには、Microsoft サポート ライフサイクルの Web サイトを参照してください。

影響を受ける各ソフトウェアの深刻度の評価は、脆弱性の影響が最も深刻な場合を想定しています。深刻度の評価およびセキュリティ上の影響に関連して、このセキュリティ情報の公開から 30 日以内にこの脆弱性が悪用される可能性に関する情報については、「12 月のセキュリティ情報の概要」の Exploitability Index (悪用可能性指標) を参照してください。

注: セキュリティ更新プログラム情報の新しい利用方法の詳細については、Security Update Guide (セキュリティ更新プログラム ガイド) を参照してください。ビューのカスタマイズや影響を受けるソフトウェアの一覧の作成だけでなく、RESTful API を使ってデータをダウンロードすることもできます。詳細については、セキュリティ更新プログラム ガイドに関する FAQを参照してください。既にお知らせしたように、2017 年 2 月から、セキュリティ更新プログラムの情報は、セキュリティ情報サイトではなく、セキュリティ更新プログラム ガイドで公開されます。詳細については、ブログ記事「セキュリティ更新プログラムに対するコミットメントの促進について」を参照してください。

Microsoft .NET Framework – セキュリティのみのリリース[1]

オペレーティング システム

コンポーネント                                                            

.NET の情報漏えいの脆弱性 - CVE-2016-7270

置き換えられる更新プログラム         

Windows 7 および Windows Server 2008 R2
Microsoft .NET Framework 4.6.2 用の更新プログラム (KB3205406)
[2]

Windows 7

Windows 7 for 32-bit Systems Service Pack 1

Microsoft .NET Framework 4.6.2
(3204805)

重要
情報漏えい

なし

Windows 7 for x64-based Systems Service Pack 1

Microsoft .NET Framework 4.6.2
(3204805)

重要
情報漏えい

なし

Windows Server 2008 R2

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Microsoft .NET Framework 4.6.2
(3204805)

重要
情報漏えい

なし

Windows Server 2012
Microsoft .NET Framework 4.6.2 用の更新プログラム (KB3205407)
[2]

Windows Server 2012

Microsoft .NET Framework 4.6.2
(3204801)

重要
情報漏えい

なし

Windows 8.1 および Windows Server 2012 R2
Microsoft .NET Framework 4.6.2 用の更新プログラム (KB3205410)
[2]

Windows 8.1

Windows 8.1 for 32-bit Systems

Microsoft .NET Framework 4.6.2
(3204802)

重要
情報漏えい

なし

Windows 8.1 for x64-based Systems

Microsoft .NET Framework 4.6.2
(3204802)

重要
情報漏えい

なし

Windows 2012 R2

Windows Server 2012 R2

Microsoft .NET Framework 4.6.2
(3204802)

重要
情報漏えい

なし

Windows 10

Windows 10 Version 1607 for 32-bit Systems [3]
(3206632)

Microsoft .NET Framework 4.6.2

重要
情報漏えい

3200970

Windows 10 Version 1607 for x64-based Systems [3]
(3206632)

Microsoft .NET Framework 4.6.2

重要
情報漏えい

3200970

Windows Server 2016 for x64-based Systems [3]
(3206632)

Microsoft .NET Framework 4.6.2

重要
情報漏えい

3200970

Server Core インストール オプション

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core インストール)

Microsoft .NET Framework 4.6.2
(3204805)

重要
情報漏えい

なし

Windows Server 2012 (Server Core インストール)

Microsoft .NET Framework 4.6.2
(3204801)

重要
情報漏えい

なし

Windows Server 2012 R2 (Server Core インストール)

Microsoft .NET Framework 4.6.2
(3204802)

重要
情報漏えい

なし

Windows Server 2016 for x64-based Systems (Server Core インストール)[3]
(3206632)

Microsoft .NET Framework 4.6.2

重要
情報漏えい

3200970


[1]2016 年 10 月のリリースより、マイクロソフトは Microsoft .NET Framework 向けの更新プログラムのサービス モデルを変更しました。詳細については、「.NET Framework 用の月例のロールアップの詳細」を参照してください。

[2]この番号は、親パッケージの サポート技術情報番号です。ユーザーには親のサポート技術情報が提供されますが、[プログラムの追加と削除] には各プラットフォームのパッケージ サポート技術情報番号が表示されます。

[3]Windows 10 の更新プログラムは累積的です。月例のセキュリティ リリースには、セキュリティ以外の更新プログラムに加えて、Windows 10 に影響する脆弱性のすべてのセキュリティ修正プログラムが含まれています。これらの更新プログラムは、Microsoft Update カタログから入手できます。

注: このセキュリティ情報で説明されている脆弱性は、Windows Server 2016 Technical Preview 5 に影響を及ぼします。Windows Server 2016 Technical Preview 5 用の更新プログラムは、Windows Update を介して入手できますが、マイクロソフトは、できるだけ早く Window Server 2016 にアップグレードすることを推奨しています。

Microsoft .NET Framework – 月例のロールアップのリリース[1]

オペレーティング システム

コンポーネント                                                            

.NET の情報漏えいの脆弱性 - CVE-2016-7270

置き換えられる更新プログラム         

Windows Vista および Windows Server 2008
Microsoft .NET Framework 2.0、4.5.2、4.6 用の更新プログラム (KB3210142)
[2]

Windows Vista

Windows Vista for 32-bit Systems Service Pack 2

Microsoft .NET Framework 2.0 Service Pack 2
(3210129)

対象外[4]

MS16-120 の 3188744

MS16-091 の 3163244

Windows Vista for x64-based Systems Service Pack 2

Microsoft .NET Framework 2.0 Service Pack 2
(3210129)

対象外[4]

MS16-120 の 3188744

MS16-091 の 3163244

Windows Vista for 32-bit Systems Service Pack 2

Microsoft .NET Framework 4.5.2
(3210139)

対象外[4]

MS16-120 の 3188744

Windows Vista for x64-based Systems Service Pack 2

Microsoft .NET Framework 4.5.2
(3210139)

対象外[4]

MS16-120 の 3188744

Windows Vista for 32-bit Systems Service Pack 2

Microsoft .NET Framework 4.6
(3210136)

対象外[4]

MS16-120 の 3188744

Windows Vista for x64-based Systems Service Pack 2

Microsoft .NET Framework 4.6
(3210136)

対象外[4]

MS16-120 の 3188744

Windows Server 2008

Windows Server 2008 for 32-bit Systems Service Pack 2

Microsoft .NET Framework 2.0 Service Pack 2
(3210129)

対象外[4]

MS16-120 の 3188744

MS16-091 の 3163244

Windows Server 2008 for x64-based Systems Service Pack 2

Microsoft .NET Framework 2.0 Service Pack 2
(3210129)

対象外[4]

MS16-120 の 3188744

MS16-091 の 3163244

Windows Server 2008 for Itanium-based Systems Service Pack 2

Microsoft .NET Framework 2.0 Service Pack 2
(3210129)

対象外[4]

MS16-120 の 3188744

MS16-091 の 3163244

Windows Server 2008 for 32-bit Systems Service Pack 2

Microsoft .NET Framework 4.5.2
(3210139)

対象外[4]

MS16-120 の 3188744

Windows Server 2008 for x64-based Systems Service Pack 2

Microsoft .NET Framework 4.5.2
(3210139)

対象外[4]

MS16-120 の 3188744

Windows Server 2008 for 32-bit Systems Service Pack 2

Microsoft .NET Framework 4.6
(3210136)

対象外[4]

MS16-120 の 3188744

Windows Server 2008 for x64-based Systems Service Pack 2

Microsoft .NET Framework 4.6
(3210136)

対象外[4]

MS16-120 の 3188744

Windows 7 および Windows Server 2008 R2
Microsoft .NET Framework 3.5.1、4.5.2、4.6、4.6.1、4.6.2 用の更新プログラム (KB3205402)
[2]

Windows 7

Windows 7 for 32-bit Systems Service Pack 1

Microsoft .NET Framework 3.5.1
(3210131)

対象外[4]

なし

Windows 7 for x64-based Systems Service Pack 1

Microsoft .NET Framework 3.5.1
(3210131)

対象外[4]

なし

Windows 7 for 32-bit Systems Service Pack 1

Microsoft .NET Framework 4.5.2
(3210139)

対象外[4]

以前リリースされたすべての更新プログラム [4]

Windows 7 for x64-based Systems Service Pack 1

Microsoft .NET Framework 4.5.2
(3210139)

対象外[4]

以前リリースされたすべての更新プログラム [4]

Windows 7 for 32-bit Systems Service Pack 1

Microsoft .NET Framework 4.6/4.6.1
(3210136)

対象外[4]

以前リリースされたすべての更新プログラム [4]

Windows 7 for x64-based Systems Service Pack 1

Microsoft .NET Framework 4.6/4.6.1
(3210136)

対象外[4]

以前リリースされたすべての更新プログラム [4]

Windows 7 for 32-bit Systems Service Pack 1

Microsoft .NET Framework 4.6.2
(3205379)

重要
情報漏えい

なし

Windows 7 for x64-based Systems Service Pack 1

Microsoft .NET Framework 4.6.2
(3205379)

重要
情報漏えい

なし

Windows Server 2008 R2

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Microsoft .NET Framework 3.5.1
(3210131)

対象外[4]

なし

Windows Server 2008 R2 for Itanium-based Systems Service Pack 1

Microsoft .NET Framework 3.5.1
(3210131)

対象外[4]

なし

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Microsoft .NET Framework 4.5.2
(3210139)

対象外[4]

以前リリースされたすべての更新プログラム [4]

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Microsoft .NET Framework 4.6/4.6.1
(3210136)

対象外[4]

以前リリースされたすべての更新プログラム [4]

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Microsoft .NET Framework 4.6.2
(3205379)

重要
情報漏えい

なし

Windows Server 2012
Microsoft .NET Framework 3.5、4.5.2、4.6、4.6.1、4.6.2 用の更新プログラム (KB3205403)
[2]

Windows Server 2012

Microsoft .NET Framework 3.5
(3210130)

対象外[4]

なし

Windows Server 2012

Microsoft .NET Framework 4.5.2
(3210138)

対象外[4]

以前リリースされたすべての更新プログラム [4]

Windows Server 2012

Microsoft .NET Framework 4.6/4.6.1
(3210133)

対象外[4]

以前リリースされたすべての更新プログラム [4]

Windows Server 2012

Microsoft .NET Framework 4.6.2
(3205377)

重要
情報漏えい

なし

Windows 8.1 および Windows Server 2012 R2
Microsoft .NET Framework 3.5、4.5.2、4.6、4.6.1、4.6.2 用の更新プログラム (KB3205404)
[2]

Windows 8.1

Windows 8.1 for 32-bit Systems

Microsoft .NET Framework 3.5
(3210132)

対象外[4]

なし

Windows 8.1 for x64-based Systems

Microsoft .NET Framework 3.5
(3210132)

対象外[4]

なし

Windows 8.1 for 32-bit Systems

Microsoft .NET Framework 4.5.2
(3210137)

対象外[4]

以前リリースされたすべての更新プログラム [4]

Windows 8.1 for x64-based Systems

Microsoft .NET Framework 4.5.2
(3210137)

対象外[4]

以前リリースされたすべての更新プログラム [4]

Windows 8.1 for 32-bit Systems

Microsoft .NET Framework 4.6/4.6.1
(3210135)

対象外[4]

以前リリースされたすべての更新プログラム [4]

Windows 8.1 for x64-based Systems

Microsoft .NET Framework 4.6/4.6.1
(3210135)

対象外[4]

以前リリースされたすべての更新プログラム [4]

Windows 8.1 for 32-bit Systems

Microsoft .NET Framework 4.6.2
(3205378)

重要
情報漏えい

なし

Windows 8.1 for x64-based Systems

Microsoft .NET Framework 4.6.2
(3205378)

重要
情報漏えい

なし

Windows 8.1 RT

Windows 8.1 RT

Microsoft .NET Framework 4.5.2
(3210137)

対象外[4]

以前リリースされたすべての更新プログラム [4]

Windows 8.1 RT

Microsoft .NET Framework 4.6/4.6.1
(3210135)

対象外[4]

以前リリースされたすべての更新プログラム [4]

Windows 8.1 RT

Microsoft .NET Framework 4.6.2
(3205378)

重要
情報漏えい

なし

Windows 2012 R2

Windows Server 2012 R2

Microsoft .NET Framework 3.5
(3210132)

対象外[4]

なし

Windows Server 2012 R2

Microsoft .NET Framework 4.5.2
(3210137)

対象外[4]

以前リリースされたすべての更新プログラム [4]

Windows Server 2012 R2

Microsoft .NET Framework 4.6/4.6.1
(3210135)

対象外[4]

以前リリースされたすべての更新プログラム [4]

Windows Server 2012 R2

Microsoft .NET Framework 4.6.2
(3205378)

重要
情報漏えい

なし

Windows 10

Windows 10 Version 1607 for 32-bit Systems [3]
(3206632)

Microsoft .NET Framework 4.6.2

重要
情報漏えい

3200970

Windows 10 Version 1607 for x64-based Systems [3]
(3206632)

Microsoft .NET Framework 4.6.2

重要
情報漏えい

3200970

Windows Server 2016 for x64-based Systems [3]
(3206632)

Microsoft .NET Framework 4.6.2

重要
情報漏えい

3200970

Server Core インストール オプション

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core インストール)

Microsoft .NET Framework 3.5.1
(3210131)

対象外[4]

なし

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core インストール)

Microsoft .NET Framework 4.6/4.6.1
(3210136)

対象外[4]

以前リリースされたすべての更新プログラム [4]

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core インストール)

Microsoft .NET Framework 4.6.2
(3205379)

重要
情報漏えい

なし

Windows Server 2012 (Server Core インストール)

Microsoft .NET Framework 3.5
(3210130)

対象外[4]

なし

Windows Server 2012 (Server Core インストール)

Microsoft .NET Framework 4.5.2
(3210138)

対象外[4]

以前リリースされたすべての更新プログラム [4]

Windows Server 2012 (Server Core インストール)

Microsoft .NET Framework 4.6/4.6.1
(3210133)

対象外[4]

以前リリースされたすべての更新プログラム [4]

Windows Server 2012 (Server Core インストール)

Microsoft .NET Framework 4.6.2
(3205377)

重要
情報漏えい

なし

Windows Server 2012 R2 (Server Core インストール)

Microsoft .NET Framework 3.5
(3210132)

対象外[4]

なし

Windows Server 2012 R2 (Server Core インストール)

Microsoft .NET Framework 4.5.2
(3210137)

対象外[4]

以前リリースされたすべての更新プログラム [4]

Windows Server 2012 R2 (Server Core インストール)

Microsoft .NET Framework 4.6/4.6.1
(3210135)

対象外[4]

以前リリースされたすべての更新プログラム [4]

Windows Server 2012 R2 (Server Core インストール)

Microsoft .NET Framework 4.6.2
(3205378)

重要
情報漏えい

なし

Windows Server 2016 for x64-based Systems (Server Core インストール)[3]
(3206632)

Microsoft .NET Framework 4.6.2

重要
情報漏えい

3200970

[1]2016 年 10 月のリリースより、マイクロソフトは Microsoft .NET Framework 向けの更新プログラムのサービス モデルを変更しました。詳細については、「.NET Framework 用の月例のロールアップの詳細」を参照してください。

[2] この番号は、親パッケージのサポート技術情報番号です。ユーザーには親のサポート技術情報が提供されますが、[プログラムの追加と削除] には各プラットフォームのパッケージ サポート技術情報番号が表示されます。

[3]Windows 10 の更新プログラムは累積的です。月例のセキュリティ リリースには、セキュリティ以外の更新プログラムに加えて、Windows 10 に影響する脆弱性のすべてのセキュリティ修正プログラムが含まれています。これらの更新プログラムは、Microsoft Update カタログから入手できます。2016 年 12 月 14 日から、Windows 10 と Windows Server 2016 の累積的な更新プログラムの詳細は、リリース ノートに記載されます。OS ビルド番号、既知の問題、および影響を受けるファイルの一覧情報については、リリース ノートを参照してください。

[4]Microsoft .NET Framework 2.0、4.5.2 および 4.6/4.6.1 はロールアップの修正プログラムで、今月の更新プログラムだけでなく、以前リリースされたすべての更新プログラムが含まれています。詳細については、こちらを参照してください。

注: このセキュリティ情報で説明されている脆弱性は、Windows Server 2016 Technical Preview 5 に影響を及ぼします。Windows Server 2016 Technical Preview 5 用の更新プログラムは、Windows Update を介して入手できます。この脆弱性からシステムを保護するために、Windows Server 2016 Technical Preview 5 を実行しているお客様は、Windows Server 2016 にアップグレードすることをお勧めします。

.NET Framework の情報漏えいの脆弱性 - CVE-2016-7270

.NET Framework 4.6.2 には、Always Encrypted 機能で保護されているはずの情報へのアクセスを攻撃者に許可してしまう情報漏えいの脆弱性が存在します。この脆弱性は、開発者が指定したキーを .NET Framework が不適切に使用した場合に発生します。このキーが不適切に使用されると、データへのアクセスが一時的に失われる可能性もあります。

この脆弱性を悪用して、攻撃者は暗号化が不適切なデータにアクセスし、容易に推測できるキーを使用してデータの暗号化を解除しようとする可能性があります。

このセキュリティ更新プログラムは、開発者の指定したキーを .NET Framework が処理する方法を修正することにより、この脆弱性を解決し、データを適切に保護します。

次の表には、Common Vulnerabilities and Exposures リストの各脆弱性の標準のエントリへのリンクが含まれています。

脆弱性のタイトル

CVE 番号

一般に公開

悪用

.NET Framework の情報漏えいの脆弱性

CVE-2016-7270

あり

なし

問題を緩和する要素

マイクロソフトは、この脆弱性の「問題を緩和する要素」を確認していません。

回避策

お客様の状況で、次の回避策が役立つ場合があります。

.Net framework 4.6.2 ドライバーの SqlConnection.ColumnEncryptionKeyCacheTtl プロパティを TimeSpan.Zero に設定すると、カラム キーの暗号化 (CEK) を無効にすることができます。詳細については、TimeSpan.Zero Field を参照してください。

セキュリティ更新プログラムの展開情報については、「概要」のこちらで言及されているマイクロソフト サポート技術情報を参照してください。

マイクロソフトでは、協調的な脆弱性の公開によるお客様の保護に際して、セキュリティ コミュニティの方々からいただいたご助力に感謝いたします。詳細については、「謝辞」を参照してください。

マイクロソフト サポート技術情報に含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation およびその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。Microsoft Corporation、その関連会社およびこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含むすべての損害に対して、状況のいかんを問わず一切責任を負いません。結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。

  • V1.0 (2016/12/14): このセキュリティ情報ページを公開しました。
  • V1.1 (2016/12/20): 以下の修正に伴い、このセキュリティ情報ページを更新しました。
    • Microsoft .NET Framework 2.0、3.5、3.5.1、4.5.2、 4.6、および 4.6.1 に適用する Microsoft .NET のセキュリティおよび品質ロールアップ更新プログラムの脆弱性の深刻度を「対象外」に変更しました。これらの .NET Framework のバージョンは、このセキュリティ情報で説明されている脆弱性の影響を受けません。
    • Windows RT はセキュリティのみのリリースのサポート対象外のため、影響を受けるソフトウェアの表のセキュリティのみのリリースから削除しました。
    • 影響を受けるソフトウェアの表の月例のロールアップのリリースの更新プログラム 3210142 の置き換えられる更新プログラムを訂正し、置き換えられる更新プログラム 3188736 を削除しました。
  • V2.0 (2016/12/20): このセキュリティ情報ページを更新し、セキュリティおよび品質ロールアップ更新プログラム 3210142 および 3205402 をリリースしたことをお知らせしました。これは、WSUS をご利用のお客様向けに検出の方法を変更し、これらの更新プログラムと以前リリースした 10 月のセキュリティのみの各更新プログラム 3188736 および 3188730 との置き換え関係を削除します。今回の更新は検出の変更のみです。更新プログラムのファイルへの変更はありません。既に正常に更新プログラムをインストールされたお客様は、特別な措置を講じる必要はありません。詳細については、対応するマイクロソフト サポート技術情報を参照してください。

    また、このセキュリティ情報ページを更新し、Windows Server 2008 for Itanium-based Systems Service Pack 2 用の更新プログラム 3210142、および Windows Server 2008 R2 for Itanium-based Systems Service Pack 1 用の更新プログラム 3205402 が利用可能になったことをお知らせしました。このセキュリティ情報で説明されている脆弱性から保護するには、適切な更新プログラムを適用する必要があります。大半のお客様は自動更新が有効になっており、この更新プログラムが自動的にダウンロードおよびインストールされるため、特別な措置を講じる必要はありません。


Page generated 2016-12-19 14:58-08:00.
表示: