Hinweise zum Sicherheits- und Qualitätsrollup für .NET Framework 4.6.2 für Windows Server 2012: Dienstag, 9. Mai 2017

Die Informationen in diesem Artikel beziehen sich auf:

Zusammenfassung

Dieses Sicherheitsupdate für Microsoft .NET Framework behebt eine Sicherheitsanfälligkeit bezüglich der Umgehung von Sicherheitsfunktionen, wenn Komponenten von .NET Framework (und .NET Core) Zertifikate nicht vollständig überprüfen können. Weitere Informationen zu diesem Sicherheitsrisiko finden Sie unter Bekannte Sicherheitsrisiken und Risiken CVE-2017-0248.

Dieses Update enthält auch sicherheitsrelevante Korrekturen für die Fähigkeit der Windows Presentation Framework PackageDigitalSignatureManager-Komponente, Pakete mit dem SHA256-Hash-Algorithmus zu signieren.

Wichtig

  • Wenn Sie nach der Installation dieses Updates ein Language Pack installieren, müssen Sie dieses Update erneut installieren. Daher wird empfohlen, alle benötigen Language Packs vor diesem Update zu installieren. Weitere Informationen finden Sie unter Hinzufügen von Language Packs zu Windows.

Zusätzliche Informationen zu diesem Sicherheitsupdate

Warnung

Die unsachgemäße Verwendung des Registrierungs-Editors oder einer anderen Methode kann schwerwiegende Probleme verursachen. Diese Probleme können eine Neuinstallation des Betriebssystems erforderlich machen. Microsoft kann nicht garantieren, dass Probleme, die von einer falschen Verwendung des Registrierungs-Editors herrühren, behoben werden können. Änderungen in der Registrierung geschehen auf eigene Verantwortung.

  • Erweiterte Schlüsselverwendung (EKU) wird in RFC 5280 in Abschnitt 4.2.1.12 beschrieben: Diese Erweiterung zeigt einen oder mehrere Verwendungszwecke des zertifizierten öffentlichen Schlüssels neben den beziehungsweise anstatt der grundlegenden Verwendungszwecke, die in der Schlüsselverwendungserweiterung angegeben sind. Beispielsweise muss ein Zertifikat, das für die Authentifizierung eines Clients gegenüber einem Server verwendet wird, für die Clientauthentifizierung konfiguriert sein. In ähnlicher Weise muss ein Zertifikat, das für die Authentifizierung eines Servers verwendet wird, für die Serverauthentifizierung konfiguriert sein.

    Wenn Zertifikate zur Authentifizierung verwendet werden, überprüft der Authentikator das Clientzertifikat und sucht in Anwendungsrichtlinienerweiterungen nach dem richtigen Objektbezeichner für den Zweck. Der Objektbezeichner für „Clientauthentifizierung“ beispielsweise lautet „1.3.6.1.5.5.7.3.2“. Wenn ein Zertifikat für die Clientauthentifizierung verwendet wird, muss dieser Objektbezeichner in den EKU-Erweiterungen des Zertifikats vorhanden sein. Andernfalls schlägt die Authentifizierung fehl. Bei Zertifikaten ohne EKU-Erweiterung erfolgt die Authentifizierung weiterhin korrekt.

    Sollten Sie auf erneut ausgestellte Zertifikate vorübergehend nicht korrekt zugreifen können, können Sie die Sicherheitsänderung für alle Computervorgänge aktivieren oder deaktivieren, um eine Beeinträchtigung der Konnektivität zu vermeiden. Geben Sie dazu je nachdem, auf welche .NET Framework-Version die Anwendung abzielt, die folgenden Registrierungsschlüsseleinstellungen an.

    Methode 1: Aktualisieren des Registrierungsschlüssels (verfügbar für alle Versionen)

    Hinweis Dieser Registrierungseintrag muss einen DWord-Eintrag enthalten.

    • Für 32-Bit-Prozesse auf 32-Bit-Systemen und 64-Bit-Prozesse auf 64-Bit-Systemen:

      HKEY_LOCAL_MACHINE\Software\Microsoft\.NETFramework\v4.0.30319@RequireCertificateEKUs=0

    • Für 32-Bit-Prozesse auf 64-Bit-Systemen:

      HKEY_LOCAL_MACHINE \Software\Wow6432Node\Microsoft\.NETFramework\v4.0.30319@RequireCertificateEKUs=0

    Sie können die Deaktivierung auch für einzelne Anwendungen vornehmen. Die folgenden Optionen stehen Ihnen zur Deaktivierung dieser Änderung zur Verfügung, damit die entsprechende Anwendungskompatibilität beibehalten wird.

    Methode 2: Deaktivieren der Richtlinie für einzelne Anwendungen

    Hinweis Dieser Registrierungseintrag muss einen DWord-Eintrag enthalten. Gültig ist nur der Wert 0. Jeder andere Wert wird ignoriert.

    • Für 32-Bit-Prozesse auf 32-Bit-Systemen und 64-Bit-Prozesse auf 64-Bit-Systemen:

      HKEY_LOCAL_MACHINE\Software\Microsoft\.NETFramework\v4.0.30319@System.Net.ServicePointManager.RequireCertificateEKUs
      S:\Prj\console_pg\console_pg45\bin\Release\console_pg45.exe=0
      C:\MyApp\MyApp.exe=0

    • Für 32-Bit-Prozesse auf 64-Bit-Systemen:

      HKEY_LOCAL_MACHINE \Software\Wow6432Node\Microsoft\.NETFramework\v4.0.30319@System.Net.ServicePointManager.RequireCertificateEKUs
      S:\Prj\console_pg\console_pg45\bin\Release\console_pg45.exe=0
      C:\MyApp\MyApp.exe=0

    Methode 3: Verwenden der Konfigurations-API (verfügbar für .NET Framework 4.6 und höhere Versionen)

    Ab .NET Framework 4.6 können Sie die Konfiguration auf Anwendungsebene durch Code, eine Anwendungskonfiguration oder Registrierungsänderungen ändern.

    Konfigurieren der Option in .NET Framework 4.6

    Hinweis In den folgenden Beispielen wird die Sicherheitsfunktion deaktiviert.

    • Programmgesteuert

      Zunächst sollte die Anwendung den folgenden Code ausführen, weil der Dienststellen-Manager nur einmal initialisiert wird.
        private const string DisableCachingName = @"TestSwitch.LocalAppContext.DisableCaching"; private const string DontCheckCertificateEKUsName= @"Switch.System.Net.DontCheckCertificateEKUs"; AppContext.SetSwitch(DisableCachingName, true); AppContext.SetSwitch(DontCheckCertificateEKUsName, true);

    • Anwendungskonfiguration

      Um die Anwendungskonfiguration zu ändern, fügen Sie den folgenden Eintrag hinzu:
        <runtime> <AppContextSwitchOverrides value="Switch.System.Net.DontCheckCertificateEKUsName=true"/> </runtime>

    • Registrierungsschlüssel (computerübergreifend):

      Registrierungspfad: HKEY_LOCAL_MACHINE\Software\[Wow6432Node\]Microsoft\.NETFramework\AppContext\Switch.System.Net.DontCheckCertificateEKUsName

      Typ: Zeichenfolge
      Wert: „true“

    Hinweis Standardmäßig gilt Switch.System.Net.DontCheckCertificateEKUsName = True für alle .NET Framework 4.x-Anwendungen, die in .NET Framework 4.6 und höheren Versionen ausgeführt werden.

  • Weitere Informationen zu diesem Sicherheitsupdate für Windows Server 2012 finden Sie im folgenden Artikel in der Microsoft Knowledge Base:

    4019113 Sicherheits- und Qualitätsrollup für .NET Framework 3.5 Service Pack 1, 4.5.2, 4.6, 4.6.1 und 4.6.2 für Windows Server 2012: 9. Mai 2017

Bezug und Installation des Updates

Methode 1: Windows Update

Dieses Update ist über Windows Update erhältlich. Wenn Sie die automatische Aktualisierung einschalten, wird das Update heruntergeladen und automatisch installiert. Weitere Informationen zum automatischen Abrufen von Sicherheitsupdates finden Sie unter Windows Update: FAQ.
 

Methode 2: Windows Server Update Services (WSUS)

Gehen Sie auf dem WSUS-Server folgendermaßen vor:

  1. Klicken Sie auf Start, auf Verwaltung und anschließend auf Microsoft Windows Server Update Services 3.0.

  2. Erweitern Sie Computername, und klicken Sie dann auf Aktion.

  3. Klicken Sie auf Updates importieren.

  4. WSUS öffnet ein Browserfenster, in dem Sie möglicherweise aufgefordert werden, ein ActiveX-Steuerelement zu installieren. Sie müssen das ActiveX-Steuerelement installieren, um fortzufahren.

  5. Nach der Installation des Steuerelements sehen Sie den Bildschirm Microsoft Update-Katalog. Geben Sie 4019113 in das Feld Suchen ein, und klicken Sie dann auf Suchen.

  6. Suchen Sie die passenden .NET Framework-Pakete für die Betriebssysteme, Sprachen und Prozessoren in Ihrer Umgebung. Klicken Sie auf Hinzufügen, um die Updates zum Warenkorb hinzuzufügen.

  7. Wählen Sie alle  benötigten Pakete aus, und klicken Sie auf Warenkorb anzeigen.

  8. Klicken Sie auf Importieren, um die Pakete in Ihren WSUS-Server zu importieren.

  9. Wenn die Pakete importiert wurden, klicken Sie auf Schließen, um zu WSUS zurückzukehren.

Anschließend können die Updates über WSUS installiert werden.

Hinweise zur Bereitstellung

Informationen zur Bereitstellung dieses Sicherheitsupdates finden Sie in folgendem Artikel der Microsoft Knowledge Base:

20170509 Informationen zur Bereitstellung von Sicherheitsupdates: 9. Mai 2017

Informationen zur Deinstallation des Updates

Hinweis Microsoft rät davon ab, Sicherheitsupdates zu entfernen.

Verwenden Sie das Dienstprogramm Programme und Funktionen in der Systemsteuerung, um dieses Update zu entfernen.

Aktualisieren von Informationen zum Neustart

Nach der Installation dieses Updates ist nur dann ein Systemneustart erforderlich, wenn die zu aktualisierenden Dateien gesperrt oder in Gebrauch sind.

Ersetzte Updates

Das Update ersetzt kein zuvor veröffentlichtes Update.

Dateiinformationen

Paketname

Pakethash SHA 1

Pakethash SHA 2

Windows8-RT-KB4014506-x64.msu

8A04C235576F908D31712C6B50D67C356D09F1A1

F74E36660A062B7D04DE0299B8C72D093DC4A374912979E3B636B4EDC6D8EBC7


Die englische Version (USA) dieses Hotfixes installiert Dateien mit den in den folgenden Tabellen aufgelisteten Attributen. Datums- und Uhrzeitangaben für diese Dateien sind in der koordinierten Weltzeit (UTC) angegeben. Die Datums- und Uhrzeitangaben für diese Dateien werden auf Ihrem lokalen Computer in Ihrer Ortszeit und unter Berücksichtigung der Sommerzeit angegeben. Außerdem können sich die Datums- und Uhrzeitangaben ändern, wenn Sie bestimmte Operationen mit den Dateien ausführen.

Alle x64-basierten Systeme

Dateiname

Dateiversion

Dateigröße

Datum

Uhrzeit

msvcp120_clr0400.dll

12.0.52512.0

690,016

09-Mar-2017

20:22

msvcr120_clr0400.dll

12.0.52512.0

993,632

09-Mar-2017

20:22

penimc.dll

4.6.1647.0

97,432

27-Mar-2017

04:01

presentationframework.dll

4.6.1647.0

6,190,960

27-Mar-2017

04:08

presentationhost_v0400.dll

4.6.1647.0

254,680

27-Mar-2017

04:01

presentationnative_v0400.dll

4.6.1647.0

1,107,680

27-Mar-2017

04:01

system.core.dll

4.6.1647.0

1,349,280

27-Mar-2017

04:08

system.management.dll

4.6.1646.0

415,424

20-Mar-2017

08:06

system.windows.controls.ribbon.dll

4.6.1647.0

742,808

27-Mar-2017

04:08

system.xaml.dll

4.6.1647.0

631,456

27-Mar-2017

04:08

system.dll

4.6.1647.0

3,506,824

27-Mar-2017

04:08

windowsbase.dll

4.6.1647.0

1,277,768

27-Mar-2017

04:08

wminet_utils.dll

4.6.1646.0

188,080

20-Mar-2017

08:01

wpfgfx_v0400.dll

4.6.1647.0

2,262,712

27-Mar-2017

04:01

presentationcore.dll

4.6.1647.0

3,504,320

27-Mar-2017

04:01

system.data.dll

4.6.1636.0

3,454,640

30-Nov-2016

06:43

presentationframework.dll

4.6.1647.0

6,190,960

27-Mar-2017

04:08

system.core.dll

4.6.1647.0

1,349,280

27-Mar-2017

04:08

system.management.dll

4.6.1646.0

415,424

20-Mar-2017

08:06

system.windows.controls.ribbon.dll

4.6.1647.0

742,808

27-Mar-2017

04:08

system.xaml.dll

4.6.1647.0

631,456

27-Mar-2017

04:08

system.dll

4.6.1647.0

3,506,824

27-Mar-2017

04:08

windowsbase.dll

4.6.1647.0

1,277,768

27-Mar-2017

04:08

msvcp120_clr0400.dll

12.0.52512.0

484,552

09-Mar-2017

20:22

msvcr120_clr0400.dll

12.0.52512.0

987,848

09-Mar-2017

20:22

penimc.dll

4.6.1647.0

81,560

27-Mar-2017

04:08

presentationhost_v0400.dll

4.6.1647.0

197,848

27-Mar-2017

04:08

presentationnative_v0400.dll

4.6.1647.0

826,592

27-Mar-2017

04:08

system.core.dll

4.6.1647.0

1,349,280

27-Mar-2017

04:08

wminet_utils.dll

4.6.1646.0

136,368

20-Mar-2017

08:06

wpfgfx_v0400.dll

4.6.1647.0

1,759,920

27-Mar-2017

04:08

presentationcore.dll

4.6.1647.0

3,521,880

27-Mar-2017

04:08

system.data.dll

4.6.1636.0

3,389,616

30-Nov-2016

06:49

 

Hilfe und Support zum Sicherheitsupdate

Die Informationen in diesem Artikel beziehen sich auf

Die Informationen in diesem Artikel beziehen sich auf:

  • Microsoft.NET Framework 4.6.2 bei Verwendung mit:

    • Windows Server 2012

Benötigen Sie weitere Hilfe?

Ihre Office-Fähigkeiten erweitern
Schulungen erkunden
Neue Funktionen als Erster erhalten
Microsoft Insider beitreten

War diese Information hilfreich?

Vielen Dank für Ihr Feedback!

Vielen Dank für Ihr Feedback. Es klingt, als ob es hilfreich sein könnte, Sie mit einem unserer Office-Supportmitarbeiter zu verbinden.

×