Kumulatives Update vom 13. Oktober 2020 für .NET Framework 4.8 für Windows 10 Version 1709
Applies To
.NETVeröffentlichungsdatum:
13. Oktober 2020Version:
.NET Framework 4.8Zusammenfassung
Sicherheitsverbesserungen
Es besteht eine Sicherheitsanfälligkeit bezüglich der Veröffentlichung von Informationen, wenn das .NET Framework Objekte im Arbeitsspeicher nicht ordnungsgemäß verarbeitet. Ein Angreifer, der die Sicherheitsanfälligkeit erfolgreich ausnutzt, könnte den Inhalt des Arbeitsspeichers eines betroffenen Systems offenlegen. Um diese Sicherheitsanfälligkeit auszunutzen, muss ein authentifizierter Angreifer eine speziell gestaltete Anwendung ausführen. Das Update behebt die Sicherheitsanfälligkeit, indem korrigiert wird, wie .NET Framework Objekte im Speicher verarbeitet.
Weitere Informationen zu den Sicherheitsanfälligkeiten finden Sie in den folgenden CVEs (Common Vulnerabilities and Exposures).
Verbesserungen der Qualität und Zuverlässigkeit
WCF1 |
– Behebt ein Problem, dass WCF-Dienste manchmal nicht starten, wenn mehrere Dienste gleichzeitig gestartet werden. |
WinForms |
– Behebt eine Regression in .NET Framework 4.8, bei der die Eigenschaften Control.AccessibleName, Control.AccessibleRole und Control.AccessibleDescription für die folgenden Steuerelemente nicht mehr funktionieren: Label, GroupBox, ToolStrip, ToolStripItems, StatusStrip, StatusStripItems, PropertyGrid, ProgressBar, ComboBox, MenuStrip, MenuItems, DataGridView. – Behebt eine Regression im zugänglichen Namen für Kombinationsfeld-Elemente für datengebundene Kombinationsfelder. .NET Framework 4.8 hat begonnen, den Typnamen anstelle des Wertes der DisplayMember-Eigenschaft als zugänglichen Namen zu verwenden. Mit dieser Verbesserung wird wieder der DisplayMember-Name verwendet. |
ASP.NET |
– Die Wiederverwendung von AppPathModifier in der ASP.Net-Steuerungsausgabe wurde deaktiviert. – HttpCookie-Objekte im ASP.Net-Anforderungskontext werden mit konfigurierten Standardeinstellungen für Cookie-Flags anstelle von einfachen Standardeinstellungen im .NET-Stil erstellt, um dem Verhalten von „new HttpCookie(name)“ zu entsprechen. |
SQL |
– Behebt einen Fehler, der manchmal aufgetreten ist, wenn ein Benutzer eine Verbindung zu einer Azure SQL-Datenbank herstellt, eine Enklave-Operation durchführt und dann eine Verbindung zu einer anderen Datenbank unter demselben Server mit derselben Nachweis-URL herstellt und eine Enklave-Operation auf dem zweiten Server durchführt. |
CLR2 |
– Es wurde eine CLR-Konfigurationsvariable Thread_AssignCpuGroups (standardmäßig 1) hinzugefügt, die auf 0 gesetzt werden kann, um die automatische Zuweisung von CPU-Gruppen durch die CLR für neue Threads, die von Thread.Start() erstellt werden, und Thread-Pool-Threads zu deaktivieren, sodass eine Anwendung ihre eigene Thread-Verbreitung durchführen kann. – Behoben einer seltenen Datenbeschädigung, die bei Verwendung neuer API-Typen wie Unsafe.ByteOffset<T> auftreten kann, die häufig mit den neuen Span-Typen verwendet werden. Die Beschädigung kann auftreten, wenn ein GC-Vorgang ausgeführt wird, während ein Thread Unsafe.ByteOffset aufruft,<T> innerhalb einer Schleife. – Ein Problem im Zusammenhang mit Timern behoben, bei denen sehr lange Fälligkeitszeiten viel früher als erwartet abgehakt werden, wenn der AppContext-Schalter "Switch.System. Threading.UseNetCoreTimer" ist aktiviert. |
1 Windows Communication Foundation (WCF) 2 Common Language Runtime (CLR)
Bekannte Probleme bei diesem Update
ASP.Net-Anwendungen bei der Vorkompilierung mit Fehlermeldung fehlschlagen
Symptome
Nachdem Sie dieses Sicherheits- und Qualitätsrollup für .NET Framework 4.8 vom 13. Oktober 2020 angewendet haben, können einige ASP.Net-Anwendungen während der Vorkompilierung nicht mehr angewendet werden. Die fehlermeldung, die Sie erhalten, enthält wahrscheinlich die Wörter "Error ASPCONFIG". Ursache Ein ungültiger Konfigurationszustand in den Abschnitten "sessionState", "anonymouseIdentification" oder "authentication/forms" der Konfiguration "System.web". Dies kann während Build- und Veröffentlichungsroutinen auftreten, wenn Konfigurationstransformationen die Web.config-Datei für die Vorkompilierung in einem Zwischenzustand be lassen. Problemumgehung Kunden, die unerwartete oder funktionale Probleme feststellen, können eine Anwendungseinstellung implementieren, indem sie der Anwendungskonfigurationsdatei den folgenden Code hinzufügen (oder zusammenführen). Wenn Sie entweder "true" oder "false" festlegen, wird das Problem vermieden. Es wird jedoch empfohlen, diesen Wert für Websites, die nicht auf Cookieless-Features angewiesen sind, auf "true" zu setzen.
<?xml version="1.0" encoding="utf-8" ?>
<configuration>
<appSettings>
<add key=”aspnet:DisableAppPathModifier” value=”true” />
</appSettings>
</configuration>
ASP.Net-Anwendungen stellen möglicherweise keine cookielosen Token im URI
Symptome
Nachdem Sie dieses Sicherheits- und Qualitätsrollup für .NET Framework 4.8 vom 1. Oktober 2020 angewendet haben, bieten einige ASP.Net-Anwendungen möglicherweise keine cookieless-Token im URI, was möglicherweise zu 302-Umleitungsschleifen oder einem verlorenen oder fehlenden Sitzungszustand führt. Ursache Die ASP.Net-Features für den Sitzungszustand, die anonyme Identifikation und die Formularauthentifizierung verwenden alle das Ausgeben von Token in einem Webclient, und alle ermöglichen es, dass diese Token in einem Cookie übermittelt oder in den URI für Clients eingebettet werden, die Cookies nicht unterstützen. Die URI-Einbettung war schon lange eine unsichere und nicht empfehlenswerte Methode, und diese KB deaktiviert das Ausgeben von Token im -Objekt des URI automatisch, es sei denn, eines dieser drei Features fordert explizit den Cookiemodus "UseUri" in der Konfiguration an. Konfigurationen, die "AutoDetect" oder "UseDeviceProfile" angeben, können unabsichtlich dazu führen, dass diese Token in den URI einbetten.Problemumgehung
Kunden, die ein neues unerwartetes Verhalten beobachten, wird empfohlen, nach Möglichkeit alle drei Einstellungen ohne Cookie in "UseCookies" zu ändern.
<?xml version="1.0" encoding="utf-8" ?>
<configuration>
<system.web>
<anonymousidentification cookieless="UseCookies" />
<sessionState cookieless="UseCookies" />
<authentication>
<forms cookieless="UseCookies" />
</authentication>
</system.web>
</configuation>
Wenn eine Anwendung unbedingt weiterhin URI-eingebettete Token verwenden muss und dies sicher möglich ist, können sie mit der folgenden appSeting-Funktion erneut aktiviert werden. Es wird jedoch auch hier dringend empfohlen, diese Token nicht mehr in die -URI einzubetten.
<?xml version="1.0" encoding="utf-8" ?>
<configuration>
<appSettings>
<add key="aspnet:DisableAppPathModifier" value="false" />
</appSettings>
</configuation>
Beziehen dieses Updates
Installieren dieses Updates
Veröffentlichungskanal |
Verfügbar |
Nächster Schritt |
Windows Update und Microsoft Update |
Ja |
Keiner. Dieses Update wird von Windows Update automatisch heruntergeladen und installiert. |
Microsoft Update-Katalog |
Ja |
Um das eigenständige Paket für dieses Update zu erhalten, wechseln Sie zur Website des Microsoft Update-Katalogs. |
Windows Server Update Services (WSUS) |
Ja |
Dieses Update wird automatisch mit WSUS synchronisiert, wenn Sie Produkte und Klassifizierungen wie folgt konfigurieren: Produkt:Windows 10 Version 1709 Klassifizierung: Sicherheitsupdates |
Dateiinformationen
Eine Liste der Dateien, die in diesem Update bereitgestellt werden, finden Sie unter Dateiinformationen für kumulatives Update.
Informationen zum Schutz und zur Sicherheit
-
Schützen Sie sich online: Windows Security Support
-
Erfahren Sie, wie wir vor Cyberbedrohungen schützen: Microsoft-Sicherheit