Updates für den Sicherheits- und Qualitätsrollup für .NET Framework 4.7.2, 4.7.1, 4.7, 4.6.2, 4.6.1, 4.6, 4.5.2 und 3.5.1 für Windows 7 SP1 und Windows Server 2008 R2 SP1 (KB 4487078)

Gilt für: .NET Framework

Zusammenfassung


Dieses Sicherheitsupdate behebt Sicherheitsrisiken in Microsoft .NET Framework, die Folgendes ermöglichen können:

  • In .NET Framework besteht ein Sicherheitsrisiko bezüglich Remotecodeausführung, wenn die Software das Quellmarkup einer Datei nicht überprüft. Ein Angreifer, der das Sicherheitsrisiko erfolgreich ausnutzt, kann beliebigen Code im Kontext des aktuellen Benutzers ausführen. Wenn der aktuelle Benutzer mit Administratorrechten angemeldet ist, kann ein Angreifer die Kontrolle über das betroffene System übernehmen. Ein Angreifer kann dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit uneingeschränkten Benutzerrechten erstellen. Benutzer mit Konten, die über weniger Systemrechte verfügen, sind davon möglicherweise weniger betroffen als Benutzer mit Administratorrechten.

    Die Ausnutzung des Sicherheitsrisikos erfordert, dass ein Benutzer eine speziell gestaltete Datei öffnet, die eine betroffene Version von .NET Framework enthält. In einem E-Mail-Angriffsszenario kann ein Angreifer das Sicherheitsrisiko ausnutzen, indem er einem Benutzer eine speziell gestaltete Datei sendet und ihn dazu verleitet, die Datei zu öffnen.

    Dieses Sicherheitsupdate behebt das Sicherheitsrisiko, indem korrigiert wird, wie .NET Framework das Quellmarkup einer Datei überprüft.

    Weitere Informationen zu diesem Sicherheitsrisiko finden Sie unter Microsoft Common Vulnerabilities and Exposures CVE-2019-0613.

  • Ein Sicherheitsrisiko in bestimmten .NET Framework-APIs, die URLs analysieren Ein Angreifer, der dieses Sicherheitsrisiko erfolgreich ausnutzt, kann es verwenden, um die Sicherheitslogik zu umgehen, die sicherstellen soll, dass eine vom Benutzer angegebene URL zu einem bestimmten Hostnamen oder einer Unterdomäne dieses Hostnamens gehört. Dies kann verwendet werden, um eine privilegierte Kommunikation mit einem nicht vertrauenswürdigen Dienst so zu veranlassen, als sei er vertrauenswürdig.

    Um das Sicherheitsrisiko auszunutzen, muss ein Angreifer einer Anwendung, die zu überprüfen versucht, ob die URL zu einem bestimmten Hostnamen oder zu einer Unterdomäne dieses Hostnamens gehört, eine URL-Zeichenfolge bereitstellen. Die Anwendung muss dann eine HTTP-Anforderung für die vom Angreifer bereitgestellte URL durchführen, und zwar entweder direkt oder durch Senden einer bearbeiteten Version der vom Angreifer bereitgestellten URL an einen Webbrowser.

    Weitere Informationen zu diesem Sicherheitsrisiko finden Sie unter Microsoft Common Vulnerabilities and Exposures CVE-2019-0657.

Wichtig

  • Alle Updates für .NET Framework 4.7.2, 4.7.1, 4.7, 4.6.2, 4.6.1 und 4.6 setzen voraus, dass das Update „d3dcompiler_47.dll“ installiert ist. Es wird empfohlen, das enthaltene Update „d3dcompiler_47.dll“ zu installieren, bevor Sie dieses Update anwenden. Weitere Informationen zu „d3dcompiler_47.dll“ finden Sie unter KB 4019990.
  • Wenn Sie nach der Installation dieses Updates ein Language Pack installieren, müssen Sie dieses Update erneut installieren. Daher wird empfohlen, alle benötigen Language Packs vor diesem Update zu installieren. Weitere Informationen finden Sie unter Hinzufügen von Language Packs zu Windows.

Zusätzliche Informationen zu diesem Update


Die folgenden Artikel enthalten zusätzliche Informationen zu diesem Update bezogen auf einzelne Produktversionen.
 
  • 4483458 Hinweise zum Sicherheits- und Qualitätsrollup für .NET Framework 3.5.1 für Windows 7 SP1 und Windows Server 2008 R2 SP1 (KB 4483458)
  • 4483455 Hinweise zum Sicherheits- und Qualitätsrollup für .NET Framework 4.5.2 für Windows 7 SP1, Windows Server 2008 R2 SP1 und Windows Server 2008 SP2 (KB 4483455)
  • 4483451 Hinweise zum Sicherheits- und Qualitätsrollup für .NET Framework 4.7.2, 4.7.1, 4.7, 4.6.2, 4.6.1 und 4.6 für Windows 7 SP1 und Windows Server 2008 R2 SP1 sowie für .NET Framework 4.6 für Windows Server 2008 SP2 (KB 4483451)

Informationen zu Schutz und Sicherheit