概要
Microsoftは2026年4月14日、.NETおよび.NET Frameworkを対象とした2026年4月度のセキュリティアップデートをリリースした。今回の更新では合計6件のCVEが修正されており、リモートコード実行(RCE)、サービス妨害(DoS)、セキュリティ機能のバイパスといった深刻な脆弱性が対象となっている。現行サポート中のすべての.NETバージョン(8.0・9.0・10.0)と.NET Frameworkの複数バージョンが影響を受けるため、早急な適用が推奨される。
修正されたCVEの詳細
今回のアップデートで修正された6件のCVEは以下の通り。
| CVE ID | 脆弱性の種類 | 影響を受けるバージョン |
|---|---|---|
| CVE-2026-23666 | サービス妨害(DoS) | .NET Framework 3.0、4.6.2〜4.8.1 |
| CVE-2026-26171 | セキュリティ機能バイパス | .NET 10.0・9.0・8.0、.NET Framework 2.0、4.6.2〜4.8.1 |
| CVE-2026-32178 | リモートコード実行(RCE) | .NET 10.0・9.0・8.0、.NET Framework 2.0、4.6.2〜4.8.1 |
| CVE-2026-32203 | サービス妨害(DoS) | .NET 10.0・9.0・8.0、.NET Framework 2.0、4.6.2〜4.8.1 |
| CVE-2026-32226 | サービス妨害(DoS) | .NET Framework 2.0、4.6.2〜4.8.1 |
| CVE-2026-33116 | リモートコード実行(RCE) | .NET 10.0・9.0・8.0 |
RCEに分類されるCVE-2026-32178とCVE-2026-33116は特に影響範囲が広く、悪用された場合に攻撃者が任意のコードを実行できる可能性がある。CVE-2026-26171はセキュリティ機能バイパスの脆弱性で、.NETおよび.NET Frameworkの幅広いバージョンが影響を受ける。
バージョンアップ内容
各.NETバージョンは今回のアップデートで以下のリビジョンへ更新される。
- .NET 10.0 → バージョン 10.0.6
- .NET 9.0 → バージョン 9.0.15
- .NET 8.0 → バージョン 8.0.26
リリースノート、インストーラー、コンテナイメージ、Linuxパッケージは公式.NETダウンロードサイトおよびGitHubリポジトリから入手可能。Windows Updateを通じた自動適用のほか、手動でのダウンロードにも対応している。