Zusammenfassung
Dieses Sicherheitsupdate für Microsoft .NET Framework behebt eine Sicherheitsanfälligkeit bezüglich der Umgehung von Sicherheitsfunktionen, wenn Komponenten von .NET Framework (und .NET Core) Zertifikate nicht vollständig überprüfen können. Weitere Informationen zu diesem Sicherheitsrisiko finden Sie unter Bekannte Sicherheitsrisiken und Risiken CVE-2017-0248.
Dieses Update enthält auch sicherheitsrelevante Korrekturen für die Fähigkeit der Windows Presentation Framework PackageDigitalSignatureManager-Komponente, Pakete mit dem SHA256-Hash-Algorithmus zu signieren.
Wichtig
-
Wenn Sie nach der Installation dieses Updates ein Language Pack installieren, müssen Sie dieses Update erneut installieren. Daher wird empfohlen, alle benötigen Language Packs vor diesem Update zu installieren. Weitere Informationen finden Sie unter Hinzufügen von Language Packs zu Windows.
Zusätzliche Informationen zu diesem Sicherheitsupdate
Warnung
Die unsachgemäße Verwendung des Registrierungs-Editors oder einer anderen Methode kann schwerwiegende Probleme verursachen. Diese Probleme können eine Neuinstallation des Betriebssystems erforderlich machen. Microsoft kann nicht garantieren, dass Probleme, die von einer falschen Verwendung des Registrierungs-Editors herrühren, behoben werden können. Änderungen in der Registrierung geschehen auf eigene Verantwortung.
-
Erweiterte Schlüsselverwendung (EKU) wird in RFC 5280 in Abschnitt 4.2.1.12 beschrieben: Diese Erweiterung zeigt einen oder mehrere Verwendungszwecke des zertifizierten öffentlichen Schlüssels neben den beziehungsweise anstatt der grundlegenden Verwendungszwecke, die in der Schlüsselverwendungserweiterung angegeben sind. Beispielsweise muss ein Zertifikat, das für die Authentifizierung eines Clients gegenüber einem Server verwendet wird, für die Clientauthentifizierung konfiguriert sein. In ähnlicher Weise muss ein Zertifikat, das für die Authentifizierung eines Servers verwendet wird, für die Serverauthentifizierung konfiguriert sein.
Wenn Zertifikate zur Authentifizierung verwendet werden, überprüft der Authentikator das Clientzertifikat und sucht in Anwendungsrichtlinienerweiterungen nach dem richtigen Objektbezeichner für den Zweck. Der Objektbezeichner für „Clientauthentifizierung“ beispielsweise lautet „1.3.6.1.5.5.7.3.2“. Wenn ein Zertifikat für die Clientauthentifizierung verwendet wird, muss dieser Objektbezeichner in den EKU-Erweiterungen des Zertifikats vorhanden sein. Andernfalls schlägt die Authentifizierung fehl. Bei Zertifikaten ohne EKU-Erweiterung erfolgt die Authentifizierung weiterhin korrekt.
Sollten Sie auf erneut ausgestellte Zertifikate vorübergehend nicht korrekt zugreifen können, können Sie die Sicherheitsänderung für alle Computervorgänge aktivieren oder deaktivieren, um eine Beeinträchtigung der Konnektivität zu vermeiden. Geben Sie dazu je nachdem, auf welche .NET Framework-Version die Anwendung abzielt, die folgenden Registrierungsschlüsseleinstellungen an.
Methode 1: Aktualisieren des Registrierungsschlüssels (verfügbar für alle Versionen)
Hinweis Dieser Registrierungseintrag muss einen DWord-Eintrag enthalten.-
Für 32-Bit-Prozesse auf 32-Bit-Systemen und 64-Bit-Prozesse auf 64-Bit-Systemen:
HKEY_LOCAL_MACHINE\Software\Microsoft\.NETFramework\v4.0.30319@RequireCertificateEKUs=0
-
Für 32-Bit-Prozesse auf 64-Bit-Systemen:
HKEY_LOCAL_MACHINE \Software\Wow6432Node\Microsoft\.NETFramework\v4.0.30319@RequireCertificateEKUs=0
Sie können die Deaktivierung auch für einzelne Anwendungen vornehmen. Die folgenden Optionen stehen Ihnen zur Deaktivierung dieser Änderung zur Verfügung, damit die entsprechende Anwendungskompatibilität beibehalten wird.
Methode 2: Deaktivieren der Richtlinie für einzelne Anwendungen
Hinweis Dieser Registrierungseintrag muss einen DWord-Eintrag enthalten. Gültig ist nur der Wert 0. Jeder andere Wert wird ignoriert.-
Für 32-Bit-Prozesse auf 32-Bit-Systemen und 64-Bit-Prozesse auf 64-Bit-Systemen:
HKEY_LOCAL_MACHINE\Software\Microsoft\.NETFramework\v4.0.30319@System.Net.ServicePointManager.RequireCertificateEKUs
S:\Prj\console_pg\console_pg45\bin\Release\console_pg45.exe=0
C:\MyApp\MyApp.exe=0 -
Für 32-Bit-Prozesse auf 64-Bit-Systemen:
HKEY_LOCAL_MACHINE \Software\Wow6432Node\Microsoft\.NETFramework\v4.0.30319@System.Net.ServicePointManager.RequireCertificateEKUs
S:\Prj\console_pg\console_pg45\bin\Release\console_pg45.exe=0
C:\MyApp\MyApp.exe=0
Methode 3: Verwenden der Konfigurations-API (verfügbar für .NET Framework 4.6 und höhere Versionen)
Ab .NET Framework 4.6 können Sie die Konfiguration auf Anwendungsebene durch Code, eine Anwendungskonfiguration oder Registrierungsänderungen ändern.
Konfigurieren der Option in .NET Framework 4.6
Hinweis In den folgenden Beispielen wird die Sicherheitsfunktion deaktiviert.-
Programmgesteuert
Zunächst sollte die Anwendung den folgenden Code ausführen, weil der Dienststellen-Manager nur einmal initialisiert wird.
private const string DisableCachingName = @"TestSwitch.LocalAppContext.DisableCaching"; private const string DontCheckCertificateEKUsName= @"Switch.System.Net.DontCheckCertificateEKUs"; AppContext.SetSwitch(DisableCachingName, true); AppContext.SetSwitch(DontCheckCertificateEKUsName, true); -
Anwendungskonfiguration
Um die Anwendungskonfiguration zu ändern, fügen Sie den folgenden Eintrag hinzu:
<runtime> <AppContextSwitchOverrides value="Switch.System.Net.DontCheckCertificateEKUsName=true"/> </runtime> -
Registrierungsschlüssel (computerübergreifend):
Registrierungspfad: HKEY_LOCAL_MACHINE\Software\[Wow6432Node\]Microsoft\.NETFramework\AppContext\Switch.System.Net.DontCheckCertificateEKUsName
Typ: Zeichenfolge
Wert: „true“
Hinweis Standardmäßig gilt Switch.System.Net.DontCheckCertificateEKUsName = True für alle .NET Framework 4.x-Anwendungen, die in .NET Framework 4.6 und höheren Versionen ausgeführt werden.
-
-
Weitere Informationen zu diesem Sicherheitsupdate für Windows 7 Service Pack 1 und Windows Server 2008 R2 Service Pack 1 finden Sie in folgendem Artikel der Microsoft Knowledge Base:
4019108 Reines Sicherheitsupdate für .NET Framework 3.5.1, 4.5.2, 4.6, 4.6.1 und 4.6.2 für Windows 7 Service Pack 1 und Windows Server 2008 R2 Service Pack 1: 9. Mai 2017
Bezug und Installation des Updates
Methode 1: Microsoft Update-Katalog
Um das eigenständige Paket für dieses Update zu erhalten, besuchen Sie den Microsoft Update-Katalog.
Methode 2: Windows Server Update Services (WSUS)
Gehen Sie auf dem WSUS-Server folgendermaßen vor:
-
Klicken Sie auf Start, auf Verwaltung und anschließend auf Microsoft Windows Server Update Services 3.0.
-
Erweitern Sie Computername, und klicken Sie dann auf Aktion.
-
Klicken Sie auf Updates importieren.
-
WSUS öffnet ein Browserfenster, in dem Sie möglicherweise aufgefordert werden, ein ActiveX-Steuerelement zu installieren. Sie müssen das ActiveX-Steuerelement installieren, um fortzufahren.
-
Nach der Installation des Steuerelements sehen Sie den Bildschirm Microsoft Update-Katalog. Geben Sie 4019108 in das Feld Suchen ein, und klicken Sie dann auf Suchen.
-
Suchen Sie die passenden .NET Framework-Pakete für die Betriebssysteme, Sprachen und Prozessoren in Ihrer Umgebung. Klicken Sie auf Hinzufügen, um die Updates zum Warenkorb hinzuzufügen.
-
Wählen Sie alle benötigten Pakete aus, und klicken Sie auf Warenkorb anzeigen.
-
Klicken Sie auf Importieren, um die Pakete in Ihren WSUS-Server zu importieren.
-
Wenn die Pakete importiert wurden, klicken Sie auf Schließen, um zu WSUS zurückzukehren.
Anschließend können die Updates über WSUS installiert werden.
Hinweise zur Bereitstellung
Informationen zur Bereitstellung dieses Sicherheitsupdates finden Sie in folgendem Artikel der Microsoft Knowledge Base:
20170509 Informationen zur Bereitstellung von Sicherheitsupdates: 9. Mai 2017
Informationen zur Deinstallation des Updates
Hinweis Microsoft rät davon ab, Sicherheitsupdates zu entfernen.
Verwenden Sie das Dienstprogramm Programme und Funktionen in der Systemsteuerung, um dieses Update zu entfernen.
Aktualisieren von Informationen zum Neustart
Nach der Installation dieses Updates ist nur dann ein Systemneustart erforderlich, wenn die zu aktualisierenden Dateien gesperrt oder in Gebrauch sind.
Ersetzte Updates
Das Update ersetzt kein zuvor veröffentlichtes Update.
Dateiinformationen
|
Paketname |
Pakethash SHA 1 |
Pakethash SHA 2 |
|---|---|---|
|
NDP46-KB4014588-x64.exe |
924A413D7B285B2E5FE24FA80429D9746DC09045 |
28B59CC1347C9841EDDA7A94CDC9D3F995A02D38628E11B86ECEFBD24A995A82 |
|
NDP46-KB4014588-x86.exe |
5E386600CDC784A0A05187ADC160C6FB0FC12571 |
62A62E005004F5F91D5F4CF1E9FF4595D315267B8A52047147A5C5DB44417C78 |
Die englische Version (USA) dieses Hotfixes installiert Dateien mit den in den folgenden Tabellen aufgelisteten Attributen. Datums- und Uhrzeitangaben für diese Dateien sind in der koordinierten Weltzeit (UTC) angegeben. Die Datums- und Uhrzeitangaben für diese Dateien werden auf Ihrem lokalen Computer in Ihrer Ortszeit und unter Berücksichtigung der Sommerzeit angegeben. Außerdem können sich die Datums- und Uhrzeitangaben ändern, wenn Sie bestimmte Operationen mit den Dateien ausführen.
Alle x86-basierten Systeme
|
Dateiname |
Dateiversion |
Dateigröße |
Datum |
Uhrzeit |
|---|---|---|---|---|
|
PenIMC.dll |
4.6.1647.0 |
81,560 |
29-Mar-2017 |
00:12 |
|
PresentationCore.dll |
4.6.1647.0 |
3,521,880 |
29-Mar-2017 |
00:12 |
|
PresentationFramework.dll |
4.6.1647.0 |
6,190,960 |
29-Mar-2017 |
00:12 |
|
PresentationHost_v0400.dll |
4.6.1647.0 |
197,848 |
29-Mar-2017 |
00:12 |
|
PresentationNative_v0400.dll |
4.6.1647.0 |
826,592 |
29-Mar-2017 |
00:12 |
|
System.Core.dll |
4.6.1647.0 |
1,349,280 |
29-Mar-2017 |
00:12 |
|
System.dll |
4.6.1647.0 |
3,506,824 |
29-Mar-2017 |
00:12 |
|
System.Windows.Controls.Ribbon.dll |
4.6.1647.0 |
742,808 |
29-Mar-2017 |
00:12 |
|
System.Xaml.dll |
4.6.1647.0 |
631,456 |
29-Mar-2017 |
00:12 |
|
WindowsBase.dll |
4.6.1647.0 |
1,277,768 |
29-Mar-2017 |
00:12 |
|
WPFFontCache_v0400.exe |
4.6.1647.0 |
25,720 |
29-Mar-2017 |
00:12 |
|
wpfgfx_v0400.dll |
4.6.1647.0 |
1,759,920 |
29-Mar-2017 |
00:12 |
|
VsVersion.dll |
14.6.1647.0 |
19,112 |
29-Mar-2017 |
00:12 |
Alle x64-basierten Systeme
|
Dateiname |
Dateiversion |
Dateigröße |
Datum |
Uhrzeit |
|---|---|---|---|---|
|
PenIMC.dll |
4.6.1647.0 |
97,432 |
29-Mar-2017 |
00:25 |
|
PenIMC.dll |
4.6.1647.0 |
81,560 |
29-Mar-2017 |
00:12 |
|
PresentationCore.dll |
4.6.1647.0 |
3,504,320 |
29-Mar-2017 |
00:25 |
|
PresentationCore.dll |
4.6.1647.0 |
3,521,880 |
29-Mar-2017 |
00:12 |
|
PresentationFramework.dll |
4.6.1647.0 |
6,190,960 |
29-Mar-2017 |
00:12 |
|
PresentationHost_v0400.dll |
4.6.1647.0 |
254,680 |
29-Mar-2017 |
00:25 |
|
PresentationHost_v0400.dll |
4.6.1647.0 |
197,848 |
29-Mar-2017 |
00:12 |
|
PresentationNative_v0400.dll |
4.6.1647.0 |
1,107,680 |
29-Mar-2017 |
00:25 |
|
PresentationNative_v0400.dll |
4.6.1647.0 |
826,592 |
29-Mar-2017 |
00:12 |
|
System.Core.dll |
4.6.1647.0 |
1,349,280 |
29-Mar-2017 |
00:12 |
|
System.dll |
4.6.1647.0 |
3,506,824 |
29-Mar-2017 |
00:12 |
|
System.Windows.Controls.Ribbon.dll |
4.6.1647.0 |
742,808 |
29-Mar-2017 |
00:12 |
|
System.Xaml.dll |
4.6.1647.0 |
631,456 |
29-Mar-2017 |
00:12 |
|
WindowsBase.dll |
4.6.1647.0 |
1,277,768 |
29-Mar-2017 |
00:12 |
|
WPFFontCache_v0400.exe |
4.6.1647.0 |
26,744 |
29-Mar-2017 |
02:09 |
|
WPFFontCache_v0400.exe |
4.6.1647.0 |
25,720 |
29-Mar-2017 |
00:12 |
|
wpfgfx_v0400.dll |
4.6.1647.0 |
2,262,712 |
29-Mar-2017 |
00:25 |
|
wpfgfx_v0400.dll |
4.6.1647.0 |
1,759,920 |
29-Mar-2017 |
00:12 |
|
VsVersion.dll |
14.6.1647.0 |
19,104 |
29-Mar-2017 |
00:25 |
|
VsVersion.dll |
14.6.1647.0 |
19,112 |
29-Mar-2017 |
00:12 |
Hilfe und Support zum Sicherheitsupdate
-
Hilfe bei der Installation von Updates: Windows Update-FAQ
-
Sicherheitslösungen für IT-Profis: TechNet Security – Problembehandlung und Support
-
Schützen Sie Ihre Windows-basierten Computer und Dienste vor Viren und Schadsoftware: Microsoft Secure
-
Lokaler Support entsprechend Ihrem Land: Internationaler Support
Die Informationen in diesem Artikel beziehen sich auf
Die Informationen in diesem Artikel beziehen sich auf:
-
Microsoft.NET Framework 4.6.2 bei Verwendung mit:
-
Windows Server 2008 R2 Service Pack 1
-
Windows 7 Service Pack 1
-
