Applies To.NET

Veröffentlichungsdatum:13. Oktober 2020

Version: .NET Framework 4.8

Zusammenfassung

Sicherheitsverbesserungen

Es besteht eine Sicherheitsanfälligkeit bezüglich der Veröffentlichung von Informationen, wenn das .NET Framework Objekte im Arbeitsspeicher nicht ordnungsgemäß verarbeitet. Ein Angreifer, der die Sicherheitsanfälligkeit erfolgreich ausnutzt, könnte den Inhalt des Arbeitsspeichers eines betroffenen Systems offenlegen. Um diese Sicherheitsanfälligkeit auszunutzen, muss ein authentifizierter Angreifer eine speziell gestaltete Anwendung ausführen. Das Update behebt die Sicherheitsanfälligkeit, indem korrigiert wird, wie .NET Framework Objekte im Speicher verarbeitet.

Weitere Informationen zu den Sicherheitsanfälligkeiten finden Sie in den folgenden CVEs (Common Vulnerabilities and Exposures).

Verbesserungen der Qualität und Zuverlässigkeit

WCF1

– Behebt ein Problem, dass WCF-Dienste manchmal nicht starten, wenn mehrere Dienste gleichzeitig gestartet werden.

WinForms

– Behebt eine Regression in .NET Framework 4.8, bei der die Eigenschaften Control.AccessibleName, Control.AccessibleRole und Control.AccessibleDescription für die folgenden Steuerelemente nicht mehr funktionieren: Label, GroupBox, ToolStrip, ToolStripItems, StatusStrip, StatusStripItems, PropertyGrid, ProgressBar, ComboBox, MenuStrip, MenuItems, DataGridView.

– Behebt eine Regression im zugänglichen Namen für Kombinationsfeld-Elemente für datengebundene Kombinationsfelder. .NET Framework 4.8 hat begonnen, den Typnamen anstelle des Wertes der DisplayMember-Eigenschaft als zugänglichen Namen zu verwenden. Mit dieser Verbesserung wird wieder der DisplayMember-Name verwendet.

ASP.NET

– Die Wiederverwendung von AppPathModifier in der ASP.Net-Steuerungsausgabe wurde deaktiviert.

– HttpCookie-Objekte im ASP.Net-Anforderungskontext werden mit konfigurierten Standardeinstellungen für Cookie-Flags anstelle von einfachen Standardeinstellungen im .NET-Stil erstellt, um dem Verhalten von „new HttpCookie(name)“ zu entsprechen.

SQL

– Behebt einen Fehler, der manchmal aufgetreten ist, wenn ein Benutzer eine Verbindung zu einer Azure SQL-Datenbank herstellt, eine Enklave-Operation durchführt und dann eine Verbindung zu einer anderen Datenbank unter demselben Server mit derselben Nachweis-URL herstellt und eine Enklave-Operation auf dem zweiten Server durchführt.

CLR2

– Es wurde eine CLR-Konfigurationsvariable Thread_AssignCpuGroups (standardmäßig 1) hinzugefügt, die auf 0 gesetzt werden kann, um die automatische Zuweisung von CPU-Gruppen durch die CLR für neue Threads, die von Thread.Start() erstellt werden, und Thread-Pool-Threads zu deaktivieren, sodass eine Anwendung ihre eigene Thread-Verbreitung durchführen kann.

– Behebt eine seltene Korrumpierung von Daten, die bei der Verwendung neuer APIs wie z. B. Unsafe.ByteOffset<T> auftreten kann, die häufig mit den neuen Span-Typen verwendet werden. Die Korruption könnte auftreten, wenn eine GC-Operation ausgeführt wird, während ein Thread aus einer Schleife heraus Unsafe.ByteOffset<T> aufruft.

– Behebt ein Problem im Zusammenhang mit Timern, bei denen sehr lange Ablaufzeiten viel früher als erwartet ablaufen, wenn der AppContext-Schalter „Switch.System.Threading.UseNetCoreTimer“ aktiviert ist.

1 Windows Communication Foundation (WCF)2 Common Language Runtime (CLR)

Bekannte Probleme bei diesem Update

ASP.Net-Anwendungen schlagen bei der Vorkompilierung mit einer Fehlermeldung fehl

Problembeschreibung Nachdem Sie dieses Sicherheits- und Qualitätsrollup für .NET Framework 4.8 vom 13. Oktober 2020 angewendet haben, treten bei einigen ASP.Net-Anwendungen während der Vorkompilierung Fehler auf. Die Fehlermeldung, die Sie erhalten, wird wahrscheinlich die Worte „Error ASPCONFIG“ enthalten.Ursache Ein ungültiger Konfigurationsstatus entweder in den Abschnitten „sessionState“, „anonymouseIdentification“ oder „authentication/forms“ der „System.web“-Konfiguration. Dies kann während der Erstellungs- und Veröffentlichungsroutinen auftreten, wenn Konfigurationstransformationen die Datei „Web.config“ in einem Zwischenzustand zur Vorkompilierung belassen.Problemumgehung Kunden, die neue unerwartete Fehler oder Funktionsprobleme feststellen, können eine Anwendungseinstellung implementieren, indem sie den folgenden Code zur Anwendungskonfigurationsdatei hinzufügen (oder damit zusammenführen). Sie können das Problem vermeiden, indem Sie diesen Wert entweder auf „wahr“ oder „falsch“ setzen. Wir empfehlen Ihnen jedoch, diesen Wert für Websites, die nicht mit cookielosen Features arbeiten, auf „wahr“ zu setzen.

<?xml version="1.0" encoding="utf-8" ?>
<configuration>
      <appSettings>
          <add key=”aspnet:DisableAppPathModifier” value=”true” />
     </appSettings>
</configuration>

ASP.Net-Anwendungen übermitteln möglicherweise keine cookieless-Token im URI

Problembeschreibung Nachdem Sie dieses Sicherheits- und Qualitäts-Rollup vom 1. Oktober 2020 für .NET Framework 4.8 angewendet haben, liefern einige ASP.Net-Anwendungen möglicherweise keine cookieless-Token im URI, was zu 302-Redirect-Schleifen oder zum Verlust oder Fehlen des Sitzungsstatus führen kann.Ursache Die ASP.Net-Features für Sitzungsstatus, Anonyme Identifikation und Formularauthentifizierung basieren alle auf der Ausgabe von Token an einen Webclient und ermöglichen alle die Option, dass diese Token in einem Cookie oder in den URI eingebettet werden, für Clients, die keine Cookies unterstützen. Die URI-Einbettung gilt seit langem als unsichere und nicht zu empfehlende Praxis. Mit diesem KB wird die Ausgabe von Token im URI stillschweigend deaktiviert, es sei denn, eines dieser drei Features fordert in der Konfiguration explizit einen Cookie-Modus von „UseUri“ an. Konfigurationen, die „AutoDetect“ oder „UseDeviceProfile“ vorgeben, können versehentlich zu einer versuchten und fehlgeschlagenen Einbettung dieser Token in den URI führen.

Problemumgehung Kunden, die ein neues, unerwartetes Verhalten beobachten, wird empfohlen, wenn möglich alle drei cookieless-Einstellungen auf „UseCookies“ zu ändern.

<?xml version="1.0" encoding="utf-8" ?>
<configuration>
     <system.web>
          <anonymousidentification cookieless="UseCookies" />
          <sessionState cookieless="UseCookies" />
          <authentication>
               <forms cookieless="UseCookies" />
          </authentication>
     </system.web>
</configuation>

Wenn eine Anwendung unbedingt weiterhin URI-eingebettete Token verwenden muss und dies auch sicher tun kann, dann können diese mit dem folgenden „appSetting“ wieder aktiviert werden. Aber auch hier wird dringend empfohlen, keine Token mehr in URIs einzubetten.

<?xml version="1.0" encoding="utf-8" ?>
<configuration>
     <appSettings>
          <add key="aspnet:DisableAppPathModifier" value="false" />
     </appSettings>
</configuation>

 

Beziehen dieses Updates

Installieren dieses Updates

Veröffentlichungskanal

Verfügbar

Nächster Schritt

Windows Update und Microsoft Update

Ja

Keiner. Dieses Update wird von Windows Update automatisch heruntergeladen und installiert.

Microsoft Update-Katalog

Ja

Das eigenständige Paket für dieses Update finden Sie auf der Microsoft Update-Katalog-Website.

Windows Server Update Services (WSUS)

Ja

Dieses Update wird automatisch mit WSUS synchronisiert, wenn Sie Produkte und Klassifizierungen wie folgt konfigurieren:

Produkt: Windows 10, Version 1803

Klassifizierung: Sicherheitsupdates

Dateiinformationen

Eine Liste der Dateien, die in diesem Update bereitgestellt werden, finden Sie im Dokument mit Dateiinformationen für das kumulative Update.

Informationen zum Schutz und zur Sicherheit

Benötigen Sie weitere Hilfe?

Möchten Sie weitere Optionen?

Erkunden Sie die Abonnementvorteile, durchsuchen Sie Trainingskurse, erfahren Sie, wie Sie Ihr Gerät schützen und vieles mehr.

In den Communities können Sie Fragen stellen und beantworten, Feedback geben und von Experten mit umfassendem Wissen hören.