12. Mai 2020 – Kumulatives Update KB4552927 für .NET Framework 4.8 für Windows 10, Version 1703
Veröffentlichungsdatum:
12. Mai 2020
Version:
.NET Framework 4.8
Zusammenfassung
Im .NET Framework besteht eine Sicherheitsanfälligkeit bezüglich Remotecodeausführung, wenn die Software das Quellmarkup einer Datei nicht prüft. Ein Angreifer, der die Sicherheitsanfälligkeit erfolgreich ausnutzt, kann beliebigen Code im Kontext des aktuellen Benutzers ausführen. Wenn der aktuelle Benutzer mit Administratorrechten angemeldet ist, kann ein Angreifer Kontrolle über das betroffene System erlangen. Ein Angreifer könnte dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit uneingeschränkten Benutzerrechten erstellen. Benutzer mit Konten, die über weniger Systemrechte verfügen, sind davon möglicherweise weniger betroffen als Benutzer mit Administratorrechten. Die Ausnutzung der Sicherheitsanfälligkeit erfordert, dass ein Benutzer eine speziell gestaltete Datei mit einer betroffenen Version von .NET Framework öffnet. In einem E-Mail-Angriffsszenario kann ein Angreifer diese Sicherheitsanfälligkeit ausnutzen, indem er einem Benutzer eine speziell gestaltete Datei sendet und ihn dazu verleitet, die Datei zu öffnen. Das Sicherheitsupdate behebt die Sicherheitsanfälligkeit, indem korrigiert wird, wie .NET Framework das Quellmarkup einer Datei prüft.
Weitere Informationen zu den Sicherheitsanfälligkeiten finden Sie in den folgenden CVEs (Common Vulnerabilities and Exposures).
Es besteht eine Sicherheitsanfälligkeit bezüglich Denial-of-Service, wenn .NET Framework Webanforderungen nicht ordnungsgemäß verarbeitet. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann einen Denial-of-Service-Fehler in einer .NET Framework-Webanwendung verursachen. Die Sicherheitsanfälligkeit kann remote ohne Authentifizierung ausgenutzt werden. Ein nicht authentifizierter Remoteangreifer kann diese Sicherheitsanfälligkeit ausnutzen, indem er speziell gestaltete Anforderungen für die .NET Framework-Anwendung ausstellt. Das Update behebt diese Sicherheitsanfälligkeit, indem korrigiert wird, wie die .NET Framework-Webanwendung Webanforderungen verarbeitet.
Weitere Informationen zu den Sicherheitsanfälligkeiten finden Sie in den folgenden CVEs (Common Vulnerabilities and Exposures).
Verbesserungen der Qualität und Zuverlässigkeit
WinForms |
– Behebt ein Problem mit der Neuinitialisierung des WinForms-ComboBox-Steuerelements in der AD FS-MMC-Benutzeroberfläche. – Behebt ein Problem beim Abrufen von zugänglichen Objekten für PropertyGridView ComboBox-Eigenschaftselemente – Hinzufügen der Überprüfung auf Existenz und Gültigkeit von Elementen. – Behebt ein Problem mit der Interaktion zwischen WPF-Benutzersteuerung und Hosting der WinForms-App bei der Verarbeitung von Tastatureingaben. |
Workflow |
– Behebt ein Problem mit der Barrierefreiheit, bei dem Text in einem Windows Workflow Foundation Visual Basic Editor in kontrastreichen Designs die falschen Farben verwenden würde. |
CLR1 |
– Behebt die seltenen Abstürze, die auftreten können, wenn die Server-GC aktiviert ist und eine GC stattfindet, während ein anderer Thread NGen'ed-Code ausführt, der den ersten Aufruf in NGen'ed-Code in einem 2. Modul vornimmt, wobei ein oder mehrere Parametertypen Werttypen beinhalten, die in einem 3. Modul definiert sind. – Behebt Abstürze, die in bestimmten Szenarien auftreten können, die Hot-Added-CPUs und/oder Mehrgruppen-Computer betreffen, bei denen die Anzahl der CPUs pro Gruppe nicht über alle Gruppen hinweg konsistent ist – Behebt die seltenen Abstürze oder Deadlocks, die auftreten können, wenn eine GC stattfindet, während ein anderer Thread NGen'ed-Code ausführt, der den anfänglichen Aufruf in eine statische Methode innerhalb desselben Moduls vornimmt, wobei ein oder mehrere Parametertypen typweitergeleitete Werttypen beinhalten. – Behebt die seltenen Abstürze, die beim ersten Aufruf auftreten können, den nativer Code in den verwalteten Teil einer gemischten DLL-Datei vornimmt. |
1 Common Language Runtime (CLR)
Bekannte Probleme bei diesem Update
Microsoft sind zurzeit keine Probleme mit diesem Update bekannt.
Beziehen dieses Updates
Installieren dieses Updates
Dieses Update wird von Windows Update automatisch heruntergeladen und installiert.
Das eigenständige Paket für dieses Update finden Sie auf der Microsoft Update-Katalog-Website.
Dateiinformationen
Eine Liste der Dateien, die in diesem Update bereitgestellt werden, finden Sie im Dokument mit Dateiinformationen für das kumulative Update.
Informationen zum Schutz und zur Sicherheit
-
Onlinesicherheit: Support für Windows-Sicherheit
-
Informationen zum Schutz vor Cyberbedrohungen: Microsoft Security