Reines Sicherheitsupdate für .NET Framework 3.5.1, 4.5.2, 4.6, 4.6.1, 4.6.2, 4.7, 4.7.1, 4.7.2 und 4.8 für Windows 7 SP1 und Windows Server 2008 R2 SP1 (KB4556403)

Gilt für: .NET Framework

Zusammenfassung


In .NET Framework besteht eine Sicherheitsanfälligkeit bezüglich Rechteerweiterungen, durch die ein Angreifer seine Berechtigungsstufe erhöhen könnte. Um diese Sicherheitsanfälligkeit auszunutzen, muss ein Angreifer zunächst auf den lokalen Computer zugreifen und anschließend ein Schadprogramm ausführen. Das Update behebt die Sicherheitsanfälligkeit, indem korrigiert wird, wie .NET Framework COM-Objekte aktiviert.

Weitere Informationen zu den Sicherheitsanfälligkeiten finden Sie in den folgenden CVEs (Common Vulnerabilities and Exposures).

Im .NET Framework besteht eine Sicherheitsanfälligkeit bezüglich Remotecodeausführung, wenn die Software das Quellmarkup einer Datei nicht prüft. Ein Angreifer, der die Sicherheitsanfälligkeit erfolgreich ausnutzt, kann beliebigen Code im Kontext des aktuellen Benutzers ausführen. Wenn der aktuelle Benutzer mit Administratorrechten angemeldet ist, kann ein Angreifer Kontrolle über das betroffene System erlangen. Ein Angreifer könnte dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit uneingeschränkten Benutzerrechten erstellen. Benutzer mit Konten, die über weniger Systemrechte verfügen, sind davon möglicherweise weniger betroffen als Benutzer mit Administratorrechten. Die Ausnutzung der Sicherheitsanfälligkeit erfordert, dass ein Benutzer eine speziell gestaltete Datei mit einer betroffenen Version von .NET Framework öffnet. In einem E-Mail-Angriffsszenario kann ein Angreifer diese Sicherheitsanfälligkeit ausnutzen, indem er einem Benutzer eine speziell gestaltete Datei sendet und ihn dazu verleitet, die Datei zu öffnen. Das Sicherheitsupdate behebt die Sicherheitsanfälligkeit, indem korrigiert wird, wie .NET Framework das Quellmarkup einer Datei prüft.

Weitere Informationen zu den Sicherheitsanfälligkeiten finden Sie in den folgenden CVEs (Common Vulnerabilities and Exposures).

Es besteht eine Sicherheitsanfälligkeit bezüglich Denial-of-Service, wenn .NET Framework Webanforderungen nicht ordnungsgemäß verarbeitet. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann einen Denial-of-Service-Fehler in einer .NET Framework-Webanwendung verursachen. Die Sicherheitsanfälligkeit kann remote ohne Authentifizierung ausgenutzt werden. Ein nicht authentifizierter Remoteangreifer kann diese Sicherheitsanfälligkeit ausnutzen, indem er speziell gestaltete Anforderungen für die .NET Framework-Anwendung ausstellt. Das Update behebt diese Sicherheitsanfälligkeit, indem korrigiert wird, wie die .NET Framework-Webanwendung Webanforderungen verarbeitet.

Weitere Informationen zu den Sicherheitsanfälligkeiten finden Sie in den folgenden CVEs (Common Vulnerabilities and Exposures).

Zusätzliche Informationen zu diesem Update


Die folgenden Artikel enthalten zusätzliche Informationen zu diesem Update bezogen auf einzelne Produktversionen.
  • 4552965 Hinweise zum reinen Sicherheitsupdate für .NET Framework 3.5.1 für Windows 7 SP1 und Windows Server 2008 R2 SP1 (KB4552965)
  • 4552952 Hinweise zum Sicherheitsupdate für .NET Framework 4.5.2 für Windows 7 SP1, Windows Server 2008 R2 SP1 und Windows Server 2008 SP2 (KB4552952)
  • 4552951 Hinweise zum reinen Sicherheitsupdate für .NET Framework 4.6, 4.6.1, 4.6.2, 4.7, 4.7.1 und 4.7.2 für Windows 7 SP1, Windows Server 2008 R2 SP1 und Windows Server 2008 SP2 (KB4552951)
  • 4552953 Hinweise zum reinen Sicherheitsupdate für .NET Framework 4.8 für Windows 7 SP1 und Windows Server 2008 R2 SP1 (KB4552953)

Informationen zum Schutz und zur Sicherheit