最新の .NET アップデートで Visual Studio のリモート コード実行の脆弱性が修正されました

Microsoft は、. NET および Visual Studio のリモート コード実行の重要な脆弱性としてリストされている CVE-2024-21409 に対処するために、. NET 6、. NET 7、および . NET 8 の更新プログラムを発行しました。

リモート コード実行 (RCE) 攻撃により、攻撃者は組織のコンピューターまたはネットワーク上で悪意のあるコードを実行できます。攻撃者が制御するコードを実行するこの機能は、さらなるマルウェアのインストールや機密情報の漏洩など、複数の目的に使用できます。

RCE 攻撃は、今日では攻撃者がデータを盗み、政府や組織のシステムに侵入するための非常に一般的な手段です。

セキュリティの問題を回避するために .NET にパッチを適用するにはどうすればよいですか?

ただし、Windows パッケージ マネージャー CLI (winget) コマンドを使用してインストールすることもできます。

• .NET 8 ランタイムをインストールするには:winget install dotnet-runtime-8
• .NET 8 SDK をインストールするには:winget install dotnet-sdk-8
• 既存のインストールを更新するには:winget upgrade

Microsoft は、信頼されていないドキュメントを表示するだけで特権の昇格につながる可能性がある WPF の解放後使用の脆弱性についても警告しています。これらのセキュリティ問題を回避するために、できるだけ早く .NET を更新することをお勧めします。

また、.NET 7 のサポートはまもなく終了することにも注意してください。アプリは引き続き実行できますが、Microsoft はアップグレードを推奨しています。

アップデートで何か問題が発生しましたか? 下のコメント欄でお知らせください。