Applies To.NET

リリース日: 2020 年 10 月 13 日

バージョン:.NET Framework 4.8

概要

セキュリティの機能強化

.NET Framework がメモリ内のオブジェクトを適切に処理しない場合に情報漏えいの脆弱性が存在します。 この脆弱性の悪用に成功した攻撃者は、影響を受けるシステムのメモリの内容を開示する可能性があります。 この脆弱性を悪用するには、認証された攻撃者が特別に細工したアプリケーションを実行する必要があります。 .NET Framework がメモリ内のオブジェクトを処理する方法を修正することで脆弱性を修正しています。

脆弱性の詳細については、次の Common Vulnerabilities and Exposures (CVE) を参照してください。

品質と信頼性の強化

WCF1

- 複数のサービスを同時に開始すると、WCF サービスの開始に失敗することがある問題を修正しました。

Windows フォーム

- .NET Framework 4.8 では、Label、GroupBox、ToolStrip、ToolStripItems、StatusStrip、StatusStripItems、PropertyGrid、ProgressBar、ComboBox、MenuStrip、MenuItems、DataGridView のコントロールに対して Control.AccessibleName、Control.AccessibleRole、Control.AccessibleDescription の各プロパティが機能しなくなるという不具合がありました。この不具合を修正しました。

- データ バインド コンボ ボックスのコンボ ボックス項目のアクセス可能な名前に関する不具合を修正しました。 .NET Framework 4.8 では、DisplayMember プロパティの値ではなく型名をアクセス可能な名前として使用するようになりました。この機能強化には DisplayMember が再び使用されます。

ASP.NET

- ASP.Net コントロール出力での AppPathModifier の再使用を無効にしました。

- ASP.Net 要求コンテキストの HttpCookie オブジェクトは、'new HttpCookie(name)' の動作に合わせて、.NET スタイル プリミティブの既定値ではなく、Cookie フラグの既定値が構成された状態で作成されるようになります。

SQL

- ユーザーがある Azure SQL データベースに接続し、エンクレーブ ベースの操作を実行してから、同じ構成証明 URL を持つ同じサーバーで管理されている別のデータベースに接続し、2 つ目のサーバー上でエンクレーブ操作を実行した場合に発生することがあるエラーを解決しました。

CLR2

- CLR 構成変数 Thread_AssignCpuGroups (既定値は 1) を追加しました。この値を 0 に設定すると、Thread.Start() を使用して作成された新しいスレッドとスレッド プール スレッドに対して CLR によって実行される自動 CPU グループ割り当てが無効になり、アプリで独自のスレッド拡散を実行できるようになります。

- Unsafe.ByteOffset<T> など、新しい Span 型でよく使用される新しい API を使用するときに発生する可能性のあるまれなデータ破損に対処しました。 スレッドが Unsafe.ByteOffset を呼び出している間に GC 操作が実行され、T<ループ内から>が発生する可能性があります。

- 期限が非常に長いタイマーに関する問題に対処しました。AppContext スイッチが "Switch.System.Threading.UseNetCoreTimer" が有効になっています。

1 Windows Communication Foundation (WCF) 2 Common Language Runtime (CLR)

この更新プログラムの既知の問題

ASP.Net がエラー メッセージでプリコンパイル中に失敗する

現象 .NET Framework 4.8 用の 2020 年 10 月 13 日セキュリティおよび品質ロールアップを適用すると、一部の ASP.Net アプリケーションはプリコンパイル中に失敗します。 表示されるエラー メッセージには、"Error ASPCONFIG" という単語が含まれている可能性があります。 原因 "System.web" 構成の "sessionState"、"anonymouseIdentification"、または "authentication/forms" セクションの構成状態が無効です。 これは、構成変換がプリコンパイルの中間状態で Web.config ファイルを残している場合に、ビルド/発行ルーチン中に発生する可能性があります。回避策

この問題は KB4601051 で解決されました

ASP.Net アプリケーションは、URI で Cookie レス トークンを配信できない可能性があります

現象 .NET Framework 4.8 用のこの 2020 年 10 月 1 日のセキュリティおよび品質ロールアップを適用した後、一部の ASP.Net アプリケーションは URI で Cookie のないトークンを配信できない可能性があります。その結果、302 リダイレクト ループが発生したり、セッション状態が失われたり失われたりする可能性があります。原因 セッション状態、匿名識別、およびフォーム認証の ASP.Net 機能は、すべて Web クライアントにトークンを発行する方法に依存します。これらのトークンを Cookie に配信したり、Cookie をサポートしないクライアントの URI に埋め込むオプションを使用したりすることもできます。 URI の埋め込みは長い間、セキュリティで保護されていない、非通知のプラクティスであり、この KB は、これら 3 つの機能の 1 つが構成で Cookie モードの "UseUri" を明示的に要求しない限り、URI のトークンの発行を静かに無効にします。 "AutoDetect" または "UseDeviceProfile" を指定する構成では、誤ってこれらのトークンを URI に埋め込もうと失敗する可能性があります。

回避策 

この問題は KB4601051 で解決されました

この更新プログラムの入手方法

この更新プログラムのインストール

リリース チャネル

使用可能

次の手順

Windows Update および Microsoft Update

あり

なし。 この更新プログラムは、Windows Update から自動的にダウンロードおよびインストールされます。

Microsoft Update カタログ

あり

この更新プログラムのスタンドアロン パッケージを取得するには 、Microsoft Update Catalog Web サイトにアクセス してください。

Windows Server Update Services (WSUS)

あり

次のように [製品と分類] を構成すると、この更新プログラムは WSUS と自動的に同期されます。

製品:Windows 10 バージョン 1607 および Windows Server、バージョン 2016

            分類: セキュリティ更新プログラム

ファイル情報

この更新プログラムで提供されるファイルの一覧については、累積的な更新プログラムのファイル 情報をダウンロードしてください

保護とセキュリティに関する情報

ヘルプを表示

その他のオプションが必要ですか?

サブスクリプションの特典の参照、トレーニング コースの閲覧、デバイスのセキュリティ保護方法などについて説明します。

コミュニティは、質問をしたり質問の答えを得たり、フィードバックを提供したり、豊富な知識を持つ専門家の意見を聞いたりするのに役立ちます。