.NET Framework、SharePoint Server、Visual Studio のリモート コードが実行される脆弱性
リリース日: 2020年7月14日
最終更新日: 2020年10月13日
- Assigning CNA
- Microsoft
- CVE.org link
- CVE-2020-1147
概要
.NET Framework、Microsoft SharePoint、および Visual Studio が XML ファイル入力のソース マークアップをチェックできない場合に、リモートでコードが実行される脆弱性が存在します。攻撃者がこの脆弱性を悪用した場合、XML コンテンツのデシリアライゼーションを担当するプロセスのコンテキストで、任意のコードを実行する可能性があります。
この脆弱性を悪用するために、攻撃者は影響を受ける製品を利用して特別に細工されたドキュメントをサーバーにアップロードし、コンテンツを処理する可能性があります。
このセキュリティ更新プログラムは、.NET Framework、Microsoft SharePoint、および Visual Studio が XML コンテンツのソース マークアップを検証する方法を修正することにより、この脆弱性を解決します。
悪用可能性
次の表は、最初の公開時点でのこの脆弱性の悪用可能性評価をまとめたものです。
- Publicly disclosed
- なし
- Exploited
- なし
- Exploitability assessment
- 悪用される可能性が高い
よく寄せられる質問
Windows Server 2008、Windows 7、または Windows Server 2008 R2 を実行していますが、Microsoft .NET Framework の 4.X バージョンのマンスリー ロールアップまたはセキュリティのみの更新プログラムをインストールできません。システムをこの脆弱性から保護するにはどうすればよいですか。
Windows Server 2008、Windows 7、および Windows Server 2008 R2 にインストールされている .NET Framework の 4.X バージョンのマンスリー ロールアップおよびセキュリティのみの更新プログラムには既知の問題があります。この既知の問題の回避策については、「セキュリティ更新プログラム」一覧に記載されている、インストールする .NET Framework のバージョンに関する記事を参照してください。
この脆弱性はどこに現れますか。
この脆弱性は、データ セットの管理に使用される .NET コンポーネントである DataSet 型と DataTable 型で見られます。
DataSet 型または DataTable 型を安全に使用するための追加の開発者向けガイダンスはどこにありますか。
更新されたセキュリティ ガイダンスについては、MSDN の https://go.microsoft.com/fwlink/?linkid=2132227 を参照してください。
この脆弱性からシステムを完全に保護するには、どの更新プログラムをインストールする必要がありますか。
完全に保護するには、.NET Framework 更新プログラムのインストールと、この記事に記載されているその他の影響を受ける製品の更新プログラムのインストールが必要です。
謝辞
- Markus Wulftange (@mwulftange)
- Jonathan Birch of Microsoft Office Security Team
- Oleksandr Mirosh (@olekmirosh) from Micro Focus Fortify
セキュリティ更新プログラム
お使いのソフトウェアのサポート ライフサイクルを確認するには、Microsoft サポート ライフサイクルの Web サイトを参照してください。
- -
- -
- -
- -
- -
- -
- -
- -
- -
- -
- -
- -
- -
- -
- -
- -
- -
- -
- -
- -
- -
- -
- -
- -
- -
- -
- Monthly Rollup
- -
- -
- -
- -
- -
- -
- -
- -
- -
- -
- -
- -
- -
- -
- -
免責
更新履歴
CVE-2020-1147 に包括的に対処するために、マイクロソフトは以下をリリースしました。Windows 10 にインストールされている .NET Framework の影響を受けるすべてのバージョン用の 10 月のセキュリティ更新プログラム。Windows 8.1、Windows Server 2012 R2、Windows Server 2012、Windows 7、Windows Server 2008 R2、Windows Server 2008 にインストールされている .NET Framework の影響を受けるすべてのバージョン用の 2020 年 10 月のマンスリー ロールアップ更新プログラムおよび 2020 年 7 月リリースのセキュリティのみの更新プログラムの更新バージョン。マイクロソフトは、この脆弱性から完全に保護するために、この更新プログラムをインストールすることを強くお勧めします。このセキュリティのみの更新プログラムをインストールする場合は、10 月 14 日以降に更新プログラムを再インストールする必要があります。更新プログラムを自動的に受信するようにシステムが構成されている場合は、特別な措置を講じる必要はありません。