概要
Microsoftは2026年5月12日、.NETおよび.NET Frameworkの月次サービスアップデートをリリースした。今回のリリースでは、セキュリティ上の問題4件(CVE)が修正されており、対象となる.NETのバージョンは10.0.8、9.0.16、8.0.27の3つ。Entity Framework Core 10.0.8も同時に更新されている。また.NET Frameworkについても複数バージョンにまたがる修正が適用された。
修正されたセキュリティ脆弱性
今回のアップデートで対処された4件のCVEは以下のとおり。
- CVE-2026-32177(権限昇格): .NET 10.0/9.0/8.0、および.NET Framework 3.5・4.6.2・4.7・4.7.2・4.8・4.8.1が対象。.NET Frameworkを含む広範なバージョンに影響する。
- CVE-2026-35433(権限昇格): .NET 10.0/9.0/8.0が対象。
- CVE-2026-32175(改ざん): .NET 10.0/9.0/8.0が対象。
- CVE-2026-42899(サービス拒否): .NET 10.0/9.0/8.0が対象。
権限昇格が2件含まれており、攻撃者がシステムへの不正なアクセス権限を取得できる可能性があるため、早期の適用が推奨される。
対象バージョンとアップデート方法
今回リリースされたバージョンは.NET 10.0.8(最新のサービスパッチ)、.NET 9.0.16、.NET 8.0.27の3系統。各バージョンのリリースノート・インストーラー・コンテナイメージ・Linuxパッケージは、GitHubおよび.NET公式ダウンロードサイトから入手可能。開発者はNuGetパッケージの更新または.NETランタイムのアップデートを通じて修正を適用できる。なお、.NET 8はLTS(長期サポート)版であり、.NET 10もLTS版として引き続きサポートが提供される。