Отнася се за:
Microsoft .NET Framework 2.0 Service Pack 2, Microsoft .NET Framework 3.0 Service Pack 2, Microsoft .NET Framework 4.5.2, Microsoft .NET Framework 4.6
Обобщена информация
Тази актуализация отстранява уязвимост в Microsoft .NET Framework, която може да позволи по-долу:
-
Отдалечено изпълнение на код уязвимост в .NET Framework софтуер, ако софтуерът не източник маркиране на файл. Хакер, които успешно използва уязвимостта може да изпълни произволна програма в рамките на текущия потребител. Ако текущият потребител е влезли с администраторски права, атакуващият може да вземе контрол на засегнатата система. Атакуващ хакер ще може да инсталира програми; преглежда, променя или изтрива данни; или да създадете нови акаунти, които имат пълни потребителски права. Потребители, чиито акаунти са конфигурирани да има по-малко потребителски права в системата може да бъде по-малко засегнати от потребители с административни права.
Използване на уязвимостта изисква потребителят да отворите специално изработени засегнатите версия на .NET Framework. В случай на атака имейл хакер може да използва уязвимост чрез изпращане на специално изработени файл на потребителя и убедителни потребителя да отвори файла.
Тази актуализация се отнася за уязвимостта като коригирате как .NET Framework проверява източник маркиране на файл. За да научите повече за тази уязвимост, вижте често уязвимости на Microsoft и експозиции CVE-2019-0613.
-
Уязвимост в определени .NET Framework API, анализира URL адреси. Нападател, който се възползва успешно тази уязвимост може да го използвате да заобиколят сигурност логика, чиято цел е да се уверите, че URL адрес, предоставен на потребителя принадлежи към конкретна хост име или поддомейн на това име на хост. Това може да се използва да предизвика привилегировани съобщение да се направи ненадежден услуга, като че ли надеждна услуга.
Да се използва уязвимостта, атакуващият трябва да предоставите URL низ приложение, което се опитва да се уверите, че URL принадлежи към конкретна хост име или поддомейн на това име на хост. Приложението трябва да се HTTP заявка нападател предоставен URL адрес директно или чрез изпращане на преработен вариант на URL адрес, предоставен нападател в уеб браузър. За да научите повече за тази уязвимост, вижте често уязвимости на Microsoft и експозиции CVE-2019-0657.
Важно
-
Всички актуализации за .NET Framework 4.6 за Windows Server 2008 Service Pack 2 (SP2) изисква, че d3dcompiler_47.dll актуализацията е инсталирана. Ние препоръчваме да инсталирате актуализация включва d3dcompiler_47.dll, преди да приложите тази актуализация. За повече информация относно актуализацията на d3dcompiler_47.dll вижте KB 4019478.
-
Ако инсталирате езиков пакет, след като инсталирате тази актуализация, трябва да преинсталирате тази актуализация. Препоръчва се да инсталирате всички езикови пакети, преди да инсталирате тази актуализация. За повече информация вижте Добавяне езикови пакети за Windows.
За допълнителна информация
Следните членове съдържат допълнителна информация относно тази актуализация на отделни версии.
-
4483457 описание на сигурността и качеството на сборния пакет за .NET Framework 2.0 SP2 и 3.0 SP2 за Windows Server 2008 SP2 (KB 4483457)
-
4483455 описание на сигурността и качеството на сборния пакет за .NET Framework 4.5.2 за Windows 7 SP1, Server 2008 R2 SP1 и Server 2008 SP2 (KB 4483455)
-
4483451 описание на сигурността и качеството на сборния пакет за .NET Framework 4.6 4.6.1, 4.6.2, 4.7, 4.7.1 и 4.7.2 за Windows 7 SP1 и Server 2008 R2 SP1 и .NET Framework 4.6 за Server 2008 SP2 (KB 4483451)
Информация за защита и сигурност
-
Защитете онлайн: поддръжка за защита на Windows
-
Научете как ние защита срещу заплахи за cyber: Сигурността на Microsoft