Gilt für:
Microsoft .NET Framework 2.0 Service Pack 2, Microsoft .NET Framework 3.0 Service Pack 2, Microsoft .NET Framework 4.5.2, Microsoft .NET Framework 4.6
Zusammenfassung
Dieses Sicherheitsupdate behebt Sicherheitsanfälligkeiten in Microsoft .NET Framework, die Folgendes ermöglichen können:
-
Eine Sicherheitsanfälligkeit bezüglich Remotecodeausführung in der .NET Framework-Software, wenn die Software das Quellmarkup einer Datei nicht prüft. Ein Angreifer, der die Sicherheitsanfälligkeit erfolgreich ausnutzt, kann beliebigen Code im Kontext des aktuellen Benutzers ausführen. Wenn der aktuelle Benutzer mit Administratorrechten angemeldet ist, kann ein Angreifer die Kontrolle über das betroffene System übernehmen. Ein Angreifer kann dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit uneingeschränkten Benutzerrechten erstellen. Benutzer mit Konten, die über weniger Systemrechte verfügen, sind davon möglicherweise weniger betroffen als Benutzer mit Administratorrechten.
Die Ausnutzung der Sicherheitsanfälligkeit erfordert, dass ein Benutzer eine speziell gestaltete Datei mit einer betroffenen Version von .NET Framework öffnet. In einem E-Mail-Angriffsszenario kann ein Angreifer diese Sicherheitsanfälligkeit ausnutzen, indem er einem Benutzer eine speziell gestaltete Datei sendet und ihn dazu verleitet, die Datei zu öffnen.
Dieses Sicherheitsupdate behebt die Sicherheitsanfälligkeit, indem korrigiert wird, wie .NET Framework das Quellmarkup einer Datei prüft.Microsoft Common Vulnerabilities and Exposures CVE-2019-0613.
Weitere Informationen zu dieser Sicherheitsanfälligkeit finden Sie unter -
Eine Sicherheitsanfälligkeit in bestimmten .NET Framework-APIs, die URLs analysieren. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann damit Sicherheitslogik umgehen, mit der sichergestellt werden soll, dass eine vom Benutzer bereitgestellte URL zu einem bestimmten Hostnamen oder zu einer Unterdomäne dieses Hostnamens gehört. Hiermit kann die privilegierte Kommunikation mit einem nicht vertrauenswürdigen Dienst erfolgen, so als ob es sich um einen vertrauenswürdigen Dienst handeln würde.
Um diese Sicherheitsanfälligkeit auszunutzen, muss ein Angreifer eine URL-Zeichenfolge für eine Anwendung bereitstellen, die zu überprüfen versucht, dass die URL zu einem bestimmten Hostnamen oder zu einer Unterdomäne dieses Hostnamens gehört. Die Anwendung muss dann eine HTTP-Anforderung für die vom Angreifer bereitgestellte URL durchführen, und zwar entweder direkt oder durch Senden einer bearbeiteten Version der vom Angreifer bereitgestellten URL an einen Webbrowser.Microsoft Common Vulnerabilities and Exposures CVE-2019-0657.
Weitere Informationen zu dieser Sicherheitsanfälligkeit finden Sie unter
Wichtig
-
Alle Updates für .NET Framework 4.6 für Windows Server 2008 Service Pack 2 (SP2) setzen voraus, dass das Update „d3dcompiler_47.dll“ installiert ist. Es wird empfohlen, das enthaltene Update „d3dcompiler_47.dll“ zu installieren, bevor Sie dieses Update anwenden. Weitere Informationen zum Update „d3dcompiler_47.dll“ finden Sie unter KB 4019478.
-
Wenn Sie nach der Installation dieses Updates ein Language Pack installieren, müssen Sie dieses Update erneut installieren. Daher wird empfohlen, alle benötigen Language Packs vor diesem Update zu installieren. Weitere Informationen finden Sie unter Hinzufügen von Language Packs zu Windows.
Zusätzliche Informationen zu diesem Update
Die folgenden Artikel enthalten weitere Informationen zu diesem Update hinsichtlich der einzelnen Produktversionen.
-
4483457 Hinweise zum Sicherheits- und Qualitätsrollup für .NET Framework 2.0 SP2 und 3.0 SP2 für Windows Server 2008 SP2 (KB 4483457)
-
4483455 Hinweise zum Sicherheits- und Qualitätsrollup für .NET Framework 4.5.2 für Windows 7 SP1, Windows Server 2008 R2 SP1 und Windows Server 2008 SP2 (KB 4483455)
-
4483451 Hinweise zum Sicherheits- und Qualitätsrollup für .NET Framework 4.6, 4.6.1, 4.6.2, 4.7, 4.7.1 und 4.7.2 für Windows 7 SP1 und Windows Server 2008 R2 SP1 sowie für .NET Framework 4.6 für Windows Server 2008 SP2 (KB 4483451)
Informationen zum Schutz und zur Sicherheit
-
Onlinesicherheit: Support für Windows-Sicherheit
-
Informationen zum Schutz vor Cyberbedrohungen: Microsoft Security