.NET Framework のリモートでコードが実行される脆弱性
リリース日: 2020年1月14日
最終更新日: 2020年6月25日
- Assigning CNA
- Microsoft
- CVE.org link
- MitreCVE-2020-0605
概要
.NET ソフトウェアがファイルのソース マークアップをチェックできない場合に、リモートでコードが実行される脆弱性が存在します。 この脆弱性の悪用に成功した攻撃者は、現在のユーザーのコンテキストで任意のコードを実行する可能性があります。現在のユーザーが管理者ユーザー権限でログオンしている場合、攻撃者が影響を受けるコンピューターを制御する可能性があります。攻撃者は、その後、プログラムのインストール、データの表示、変更、削除などを行ったり、完全なユーザー権限を持つ新たなアカウントを作成したりする可能性があります。コンピューターでのユーザー権限が低い設定のアカウントを持つユーザーは、管理者特権で実行しているユーザーよりもこの脆弱性による影響が少ないと考えられます。
この脆弱性が悪用されるには、ユーザーが影響を受けるバージョンの .NET で、特別に細工されたファイルを開くことが攻撃者にとっての必要条件となります。電子メールの攻撃シナリオでは、攻撃者は特別に細工したファイルをユーザーに送信し、ユーザーにそのファイルを開くよう誘導することにより、この脆弱性を悪用する可能性があります。
このセキュリティ更新プログラムは、.NET がファイルのソース マークアップをチェックする方法を修正することにより、この脆弱性を解決します。
悪用可能性
次の表は、最初の公開時点でのこの脆弱性の悪用可能性評価をまとめたものです。
- Publicly disclosed
- なし
- Exploited
- なし
- Exploitability assessment
- 悪用される可能性は低い
謝辞
- Soroush Dalili (@irsdl)
セキュリティ更新プログラム
お使いのソフトウェアのサポート ライフサイクルを確認するには、Microsoft サポート ライフサイクルの Web サイトを参照してください。
- -
- -
- -
- -
- -
- -
- -
- -
- -
- -
- -
- -
- -
- -
- -
- -
- -
- -
- -
- -
- -
- -
- -
- -
- -
- -
- -
- -
- -
- -
- -
- -
- -
- -
- -
- -
- -
- -
- -
- -
- -
- -
- -
- -
- -
- -
- -
- -
- -
- Monthly Rollup
- -
- -
- -
- -
- -
- -
- -
- -
- -
- -
- -
- -
- -
- -
- -
- -
- -
- -
免責
更新履歴
「セキュリティ更新プログラム」一覧のダウンロードと資料のリンクを修正しました。これは情報のみの変更です。
CVE-2020-0605 を包括的に解決するために、マイクロソフトは、一部の例外を除き、すべてのバージョンの Microsoft .NET 用に 2020 年 5 月のセキュリティ更新プログラムをリリースしました。例外のバージョンはMicrosoft .NET Framework 3.0 Service Pack 2、Microsoft .NET Framework 3.5、および Microsoft .NET Framework 3.5.1 です。その他のバージョンの Microsoft .NET Framework を実行しているお客様は、この脆弱性から保護するために、2020 年 5 月のセキュリティ更新プログラムをインストールすることをお勧めします。
「セキュリティ更新プログラム」一覧の Windows 10 for 32-bit Systems および Windows 10 for x64-based Systems にインストールされている Microsoft .NET のバージョンを修正しました。これは情報のみの変更です。
プレビュー バージョンの PowerShell 7.0 でこの脆弱性が対処されるため、PowerShell 7.0 を含めるためにセキュリティ更新プログラムの表を修正しました。詳細については、https://github.com/PowerShell/Announcements-Internal/issues/19 を参照してください。