ينطبق على:
Microsoft NET Framework 35, Microsoft.NET Framework 4.5.2 Microsoft.NET Framework 4، 6, Microsoft.NET Framework 4.6.1 Microsoft.NET Framework 4.6.2, Microsoft.NET Framework 4، 7, Microsoft.NET Framework 4.7.1، Microsoft.NET Framework 4.7.2
الملخص
هذا التحديث الأمني على حل ثغرات أمنية في Microsoft.NET Framework مما قد يسمح بما يلي:
-
مشكلة عدم حصانة "تنفيذ تعليمات برمجية عن بعد" في برنامج.NET Framework في حالة لا يتحقق البرنامج ترميز ملف المصدر. يمكن لمهاجم الذي نجح في استغلال مشكلة عدم الحصانة يمكن تشغيل تعليمات برمجية إجبارية في سياق المستخدم الحالي. إذا ما الدخول المستخدم الحالي باستخدام حقوق مستخدم إداري، مهاجم السيطرة النظام المتأثر. يمكن لمهاجم عندئذ تثبيت البرامج؛ عرض أو تغيير أو حذف البيانات؛ أو إنشاء حسابات جديدة لها حقوق مستخدم كاملة. يمكن أن يكون المستخدمون الذين تم تكوين حساباتهم يكون لها حقوق مستخدم أقل على النظام أقل تأثرا من المستخدمين الذين لديهم حقوق المسؤول.
يتطلب استغلال مشكلة عدم الحصانة لمستخدم بفتح ملف مكون خصيصا تم إصدار من.NET Framework. في سيناريو هجوم البريد إلكتروني، يمكن لمهاجم استغلال مشكلة عدم الحصانة عن طريق إرسال ملف معد بشكل خاص للمستخدم وإقناع المستخدم بفتح الملف.
يعالج هذا التحديث الأمني بتصحيح كيف يتحقق.NET Framework ترميز ملف المصدر. لمزيد من المعلومات حول هذه الثغرة الأمنية، راجع التعرض CVE 2019 0613 ونقاط الضعف المشتركة ل Microsoft.
-
وجود ثغرة أمنية في بعض.NET Framework APIs التي تحليل محددات مواقع المعلومات. يمكن لمهاجم الذي يستغل مشكلة عدم الحصانة هذه بنجاح يمكن استخدامه لتجاوز منطق الأمن قد تهدف إلى التأكد من أن محدد موقع معلومات المتوفرة من قبل المستخدم ينتمي إلى مجال فرعي لذلك اسم المضيف أو اسم مضيف معين. هذا يمكن أن يؤدي الاتصال المميز إجراء لخدمة غير موثوق بها كما لو كانت خدمة موثوق بها.
لاستغلال مشكلة عدم الحصانة، يجب توفير مهاجم سلسلة URL لتطبيق الذي يحاول التحقق من أن URL خاص باسم مضيف معين أو مجال فرعي لذلك اسم المضيف. التطبيق يجب ثم إجراء طلب HTTP URL المهاجم شرط أما مباشرة أو عن طريق إرسال إصدار معالجة محدد موقع المعلومات المتوفرة من قبل المهاجم إلى مستعرض ويب. لمزيد من المعلومات حول هذه الثغرة الأمنية، راجع التعرض CVE 2019 0657 ونقاط الضعف المشتركة ل Microsoft.
هام
-
تتطلب كافة التحديثات على.NET Framework 4.6، 4.6.1، 4.6.2، 4-7، 4.7.1 و 4.7.2 في تثبيت التحديث d3dcompiler_47.dll. نوصي بتثبيت التحديث d3dcompiler_47.dll تضمين قبل تطبيق هذا التحديث. لمزيد من المعلومات حول d3dcompiler_47.dll، راجع 4019990 كيلو بايت.
-
إذا قمت بتثبيت حزمة لغة بعد تثبيت هذا التحديث، يجب إعادة تثبيت هذا التحديث. ولذلك، نوصي أن تقوم بتثبيت أي لغة حزم تحتاج قبل تثبيت هذا التحديث. لمزيد من المعلومات، راجع إضافة حزم اللغات ل Windows.
الحصول على معلومات إضافية حول هذا التحديث
تحتوي المقالات التالية على معلومات إضافية حول هذا التحديث فيما يتعلق بإصدارات المنتجات الفردية.
-
4483456 وصف الأمان ونوعية الإظهار ل.NET Framework 3.5 لملقم Windows 2012 (ك. ب 4483456)
-
4483454 وصف الأمان ونوعية الإظهار ل.NET Framework 4.5.2 ل Windows Server 2012 (KB 4483454)
-
4483449 وصف الأمان ونوعية الإظهار ل.NET Framework 4-6، 4.6.1، 4.6.2، 4.7، 4.7.1 و 4.7.2 ل Windows Server 2012 (KB 4483449)
معلومات حول الحماية والأمان
-
حماية نفسك على الإنترنت: دعم أمان Windows
-
التعرف على كيفية علينا الحذر من التهديدات السيبرانية: أمان Microsoft