KB 3148821 に関して


Platform SDK (Windows SDK) サポートチームです。
今回は、KB 3148821 に関する補足説明を以下にご案内させていただきます。

<現象>
マイクロソフト セキュリティ情報 MS16-035 にてご案内している修正モジュールをインストールすると、SignedXml クラスを利用するアプリケーションにてデタッチシグネチャの利用ができなくなります。この結果、アプリケーションの実装によりましては、署名処理に失敗する等の通常とは異なる動作になります。
KB 3148821 に記載の解決方法を適用する事で、SignedXml クラスの動作が元に戻るため、アプリケーションの動作も元に戻ります。

<背景>
XML 署名の方式のうちデタッチシグネチャにセキュリティの脆弱性が確認されました。この脆弱性に対する対応として、マイクロソフト セキュリティ情報 MS16-035 にて SignedXml クラスにデタッチシグネチャの利用を抑止するよう変更をしております。KB 3148821 に記載の解決方法を適用する事で、SignedXml クラスの動作を元に戻す事ができます。

<KB 3148821 に記載の回避策の補足>
KB 3148821 に記載の各シナリオの解決方法に記載のレジストリを設定しますと、「警告」欄に記載があるようにセキュリティの脆弱性が発生する可能性があります。
しかしながら、SignedXml クラスを利用するアプリケーションにて、XML ファイル、および reference URI 参照先のファイルが悪意のある第三者に操作されないように運用されている場合、該当のアプリケーションに関しては KB 3148821 のレジストリの修正によるセキュリティの脆弱性のリスクは低くなりますので、あわせてご検討ください。

<参考技術情報>
上記でご案内した MS16-035、SignedXml クラス、および KB 3148821 の詳細は以下をご参照ください。

マイクロソフト セキュリティ情報 MS16-035 – 重要
https://technet.microsoft.com/ja-jp/library/security/ms16-035.aspx

NET Framework アプリケーションの例外エラーまたは予期しないエラーが、セキュリティ更新プログラム 3141780 をインストールした後で SignedXml が含まれるファイルを処理しているときに発生する
https://support.microsoft.com/ja-jp/kb/3148821

SignedXml Class
https://msdn.microsoft.com/en-us/library/system.security.cryptography.xml.signedxml