Microsoft .NET 0-Day Vulnerability Enables Denial-of-Service Attacks
2026/03/11 CyberSecurityNews — .NET の脆弱性 CVE-2026-26127 (CVSS:7.5:Important) は、2026年3月の Patch Tuesday でゼロデイとして公開されたものである。この脆弱性を悪用する未認証のリモート攻撃者は、ネットワーク経由で Denial-of-Service (DoS) 状態を引き起こせる。Windows/macOS/Linux 上の複数の .NET バージョンが影響を受けるため、管理者は公式パッチを速やかに適用する必要がある。
この脆弱性の根本原因は、境界外読み込みの不備であり、CWE-125 に分類される。ソフトウェア開発における境界外読み込みとは、本来のバッファ範囲外 (終端以降または先頭以前) をプログラムが読み取る状態を指す。
このメモリ処理の不備により、.NET を用いるアプリケーションがクラッシュし、正規ユーザーに対するサービス提供が停止する可能性がある。さらに深刻なのは、この攻撃がネットワーク経由で実行可能であり、昇格権限やユーザー操作を必要としない点である。
脆弱な .NET アプリケーションへ向けて、細工されたネットワーク・リクエストを送信する攻撃者が境界外読み込みを引き起こし、システム・クラッシュが生じる恐れがある。
Microsoft による、現時点での評価において悪用可能性は “Exploitation Unlikely” とされているが、脆弱性指標によると攻撃の複雑性は低い。さらに、匿名の研究者が詳細を公開しているため、管理者は警戒を高める必要がある。
現時点において、積極的な悪用や地下フォーラムでのエクスプロイト流通は確認されていない。ただし、詳細が公開されたことで、脅威アクターたちによる実用的なエクスプロイトのリバース・エンジニアリングが活性化する可能性が高まっている。
影響を受けるソフトウェアおよびシステム
この DoS 脆弱性は、複数 OS 上の .NET 本体と特定のメモリ・パッケージに影響する。影響対象は以下である。
- .NET 9.0(Windows/macOS/Linux)
- .NET 10.0(Windows/macOS/Linux)
- Microsoft.Bcl.Memory 9.0
- Microsoft.Bcl.Memory 10.0
すでに Microsoft は、この境界外読み込みを修正するセキュリティ・アップデートを公開している。影響を受けるシステムを保護するため、ユーザー側での対応が必要である。
管理者および開発者は、直ちに以下を実施する必要がある。
- .NET 9.0 環境の更新:すべての .NET 9.0 をビルド 9.0.14 へ更新する (Windows/macOS/Linux 対象)。
- .NET 10.0 環境の更新:すべての .NET 10.0 をビルド 10.0.4 へ更新する。
- NuGet パッケージの更新:Microsoft.Bcl.Memory を利用している場合に、パッケージ・マネージャ経由で 9.0.14 または 10.0.4 へ更新する。
- システムログの確認:現時点での悪用可能性は低いが、DoS 試行を示唆する異常クラッシュや不審なネットワーク・リクエストを監視することが望ましい。
これら公式修正を適用することで、ユーザーは .NET インフラをサービス停止リスクから保護し、重要アプリケーションの可用性を維持できる。
Microsoft は2026年3月10日に、.NET に存在する深刻なゼロデイ脆弱性 CVE-2026-26127 (CVSS:7.5) を公開しました。この問題の原因は、メモリ処理における境界外読み取り (CWE-125) にあります。この脆弱性を悪用する未認証のリモート攻撃者は、ネットワーク経由で細工したリクエストを送信するだけで、アプリケーションを強制終了させ、サービス停止 (DoS) 状態に追い込めます。攻撃において、特別な権限やユーザーの操作は必要とされません。WindowsだけでなくmacOS/Linux 上の.NET環境や、特定のメモリ関連パッケージ (Microsoft.Bcl.Memory) も影響を受けるため、広範囲なシステムで可用性が損なわれるリスクがあります。ご利用のチームは、ご注意ください。よろしければ、Microsoft .NET での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.