Reines Sicherheitsupdate für .NET Framework 3.5, 4.5.2, 4.6, 4.6.1, 4.6.2, 4.7, 4.7.1, 4.7.2, 4.8 für Windows Server 2012 (KB4566467)

Zusammenfassung

Es besteht eine Sicherheitsanfälligkeit bezüglich Remotecodeausführung im .NET Framework, wenn die Software das Quellmarkup der XML-Dateieingabe nicht prüft. Ein Angreifer, der die Sicherheitsanfälligkeit erfolgreich ausnutzt, könnte beliebigen Code im Kontext des Prozesses ausführen, der für die Deserialisierung des XML-Inhalts verantwortlich ist. Um diese Sicherheitsanfälligkeit auszunutzen, könnte ein Angreifer ein speziell gestaltetes Dokument auf einen Server hochladen und ein betroffenes Produkt zur Verarbeitung von Inhalten verwenden. Das Sicherheitsupdate behebt die Sicherheitsanfälligkeit, indem korrigiert wird, wie .NET Framework das Quellmarkup von XML-Inhalten validiert.

Dieses Sicherheitsupdate wirkt sich darauf aus, wie die .NET Framework-Typen „System.Data.DataTable“ und „System.Data.DataSet“ XML-serialisierte Daten lesen. Bei den meisten .NET Framework-Anwendungen treten nach der Installation des Updates keine Verhaltensänderungen auf. Weitere Informationen darüber, wie sich das Update auf .NET Framework auswirkt, einschließlich Beispielen für Szenarien, die betroffen sein könnten, finden Sie im „Leitfaden für DataSet und Datentabelle“ unter https://go.microsoft.com/fwlink/?linkid=2132227.

Weitere Informationen zu den Sicherheitsanfälligkeiten finden Sie in den folgenden CVEs (Common Vulnerabilities and Exposures).

• CVE-2020-1147

Wichtig

• Alle Updates für .NET Framework 4.6, 4.6.1, 4.6.2, 4.7, 4.7.1 und 4.7.2 setzen voraus, dass das Update „d3dcompiler_47.dll“ installiert ist. Es wird empfohlen, das enthaltene Update „d3dcompiler_47.dll“ zu installieren, bevor Sie dieses Update anwenden. Weitere Informationen zu „d3dcompiler_47.dll“ finden Sie unter KB 4019990.

• Wenn Sie nach der Installation dieses Updates ein Language Pack installieren, müssen Sie dieses Update erneut installieren. Daher wird empfohlen, alle benötigen Sprachpakete vor diesem Update zu installieren. Weitere Informationen finden Sie unter Add language packs to Windows.

Bekannte Probleme

Problembeschreibung:

Nachdem Sie dieses Update angewendet haben, tritt bei einigen Anwendungen eine  TypeInitializationException -Ausnahme auf, wenn sie versuchen, System.Data.DataSet- oder System.Data.DataTable-Instanzen aus dem XML innerhalb einer SQL-CLR-gespeicherten Prozedur zu deserialisieren. Die Stapelüberwachung für diese Ausnahme sieht wie folgt aus:

System.TypeInitializationException: Der Typinitialisierer für „Bereich“ hat eine Ausnahme ausgelöst. ---> System.IO.FileNotFoundException: Die Datei oder Assembly „System.Drawing, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b03f5f7f11d50a3a“ oder eine ihrer Abhängigkeiten konnte nicht geladen werden. Die angegebene Datei wurde nicht gefunden.
     unter System.Data.TypeLimiter.Scope.IsTypeUnconditionallyAllowed(Type type)
     unter System.Data.TypeLimiter.Scope.IsAllowedType(Type type)
     unter System.Data.TypeLimiter.EnsureTypeIsAllowed(Type type, TypeLimiter capturedLimiter)

Lösung:

Installieren Sie die aktuelle Version dieses Updates, die am 13. Oktober 2020 veröffentlicht wurde.

Zusätzliche Informationen zu diesem Update

Die folgenden Artikel enthalten zusätzliche Informationen zu diesem Update bezogen auf einzelne Produktversionen.

• 4565577 Hinweise zum reinen Sicherheitsupdate für .NET Framework 3.5 für Windows Server 2012 (KB4565577)

• 4565582 Hinweise zum reinen Sicherheitsupdate für .NET Framework 4.5.2 für Windows Server 2012 (KB4565582)

• 4565584 Hinweise zum reinen Sicherheitsupdate für .NET Framework 4.6, 4.6.1, 4.6.2, 4.7, 4.7.1, 4.7.2 für Windows Server 2012 (KB4565584)

• 4565587 Hinweise zum reinen Sicherheitsupdate für .NET Framework 4.8 für Windows Server 2012 (KB4565587)

Informationen zum Schutz und zur Sicherheit

• Onlinesicherheit: Support für Windows-Sicherheit

• Informationen zum Schutz vor Cyberbedrohungen: Microsoft Security