Ισχύει για:
Το Microsoft.NET Framework 3.5, το Microsoft .NET Framework 4.5.2, Microsoft .NET Framework 4.6, Microsoft .NET Framework 4.6.1, Microsoft .NET Framework 4.6.2, 4.7, βλέπε 4.7.1, του Microsoft .NET Framework Microsoft .NET Framework 4.7.2 του Microsoft .NET Framework
Σύνοψη
Αυτή η ενημερωμένη έκδοση ασφαλείας επιλύει θέματα ευπάθειας στο Microsoft .NET Framework που θα μπορούσε να επιτρέψει το ακόλουθο κείμενο:
-
Ένα θέμα ευπάθειας απομακρυσμένης εκτέλεσης κώδικα στο λογισμικό του .NET Framework εάν το λογισμικό δεν ελέγχει τη σήμανση της προέλευσης ενός αρχείου. Ένας εισβολέας που εκμεταλλεύεται με επιτυχία την ευπάθεια θα μπορούσε να εκτελέσει αυθαίρετο κώδικα στο περιβάλλον του τρέχοντος χρήστη. Αν ο τρέχων χρήστης είναι συνδεδεμένος με δικαιώματα διαχειριστή, ένας εισβολέας θα μπορούσε να αποκτήσει τον έλεγχο του συστήματος που έχει επηρεαστεί. Ένας εισβολέας θα μπορούσε να στη συνέχεια εγκαταστήστε προγράμματα. προβάλετε, να αλλάξετε ή να διαγράψετε δεδομένα. ή, μπορείτε να δημιουργήσετε νέους λογαριασμούς που έχουν πλήρη δικαιώματα χρήστη. Οι χρήστες των οποίων οι λογαριασμοί έχουν ρυθμιστεί ώστε να διαθέτουν λιγότερα δικαιώματα χρήστη στο σύστημα ενδέχεται να επηρεαστούν λιγότερο από τους χρήστες που έχουν δικαιώματα διαχειριστή.
Εκμετάλλευση της ευπάθειας απαιτεί από το χρήστη να ανοίξει ένα ειδικά δημιουργημένο αρχείο που έχει μια επηρεαζόμενη έκδοση του .NET Framework. Σε ένα σενάριο επίθεσης ηλεκτρονικού ταχυδρομείου, ο εισβολέας μπορεί να εκμεταλλευτεί την ευπάθεια στέλνοντας το ειδικά δημιουργημένο αρχείο στο χρήστη και πειστικές το χρήστη να ανοίξει το αρχείο.
Αυτή η ενημερωμένη έκδοση ασφαλείας αντιμετωπίζει την ευπάθεια διορθώνοντας πώς .NET Framework ελέγχει τη σήμανση της προέλευσης ενός αρχείου. Για να μάθετε περισσότερα σχετικά με αυτό το θέμα ευπάθειας, ανατρέξτε στο θέμα κοινά θέματα ευπάθειας του Microsoft και χρηματοδοτικά ανοίγματα CVE-2019-0613.
-
Ένα θέμα ευπάθειας στα ορισμένων API του .NET Framework που ανάλυση διευθύνσεων URL. Ένας εισβολέας που εκμεταλλεύεται με επιτυχία αυτή την ευπάθεια θα μπορούσε να την χρησιμοποιήσετε για να παρακάμψετε τη λογική της ασφάλειας που έχει κατασκευαστεί για να βεβαιωθείτε ότι μια διεύθυνση URL που παρέχεται από τη χρήστη ανήκε σε ένα συγκεκριμένο όνομα κεντρικού υπολογιστή ή ένα δευτερεύων τομέας αυτό το όνομα κεντρικού υπολογιστή. Αυτό μπορεί να χρησιμοποιηθεί για να παρεμποδίσει την επικοινωνία με δικαιώματα που πρέπει να γίνουν σε μια αξιόπιστη υπηρεσία, σαν να ήταν μια αξιόπιστη υπηρεσία.
Για να εκμεταλλευτεί την ευπάθεια, ένας εισβολέας πρέπει να δώσετε μια συμβολοσειρά URL σε μια εφαρμογή που προσπαθεί να επιβεβαιώσει ότι η διεύθυνση URL ανήκει σε ένα συγκεκριμένο όνομα κεντρικού υπολογιστή ή σε ένα δευτερεύων τομέας αυτό το όνομα κεντρικού υπολογιστή. Η εφαρμογή, στη συνέχεια, πρέπει να κάνετε μια αίτηση HTTP στη διεύθυνση URL που παρέχεται από εισβολέα είτε απευθείας είτε στέλνοντας μια έκδοση επεξεργασία της διεύθυνσης URL που παρέχεται από εισβολέα σε ένα πρόγραμμα περιήγησης web. Για να μάθετε περισσότερα σχετικά με αυτό το θέμα ευπάθειας, ανατρέξτε στο θέμα κοινά θέματα ευπάθειας του Microsoft και χρηματοδοτικά ανοίγματα CVE-2019-0657.
Σημαντικό
-
Όλες οι ενημερωμένες εκδόσεις για το .NET Framework 4.6, 4.6.1, 4.6.2, 4.7, βλέπε 4.7.1 και 4.7.2 απαιτούν ότι έχει εγκατασταθεί η ενημερωμένη έκδοση d3dcompiler_47.dll. Συνιστούμε να εγκαταστήσετε την ενημερωμένη έκδοση περιλαμβάνονται d3dcompiler_47.dll πριν να εφαρμόσετε αυτήν την ενημερωμένη έκδοση. Για περισσότερες πληροφορίες σχετικά με το d3dcompiler_47.dll, ανατρέξτε στο θέμα KB 4019990.
-
Εάν εγκαταστήσετε ένα πακέτο γλώσσας μετά την εγκατάσταση αυτής της ενημερωμένης έκδοσης, θα πρέπει να επανεγκαταστήσετε αυτήν την ενημερωμένη έκδοση. Επομένως, συνιστούμε να εγκαταστήσετε οποιαδήποτε πακέτα γλωσσας χρειάζεστε, πριν να εγκαταστήσετε αυτήν την ενημερωμένη έκδοση. Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα Προσθήκη πακέτων γλωσσών στα Windows
Πρόσθετες πληροφορίες σχετικά με αυτήν την ενημερωμένη έκδοση
Τα ακόλουθα άρθρα περιέχουν πρόσθετες πληροφορίες σχετικά με αυτήν την ενημερωμένη έκδοση που αφορά εκδόσεις κάθε προϊόντος.
-
4483456 περιγραφή της ασφάλειας και της ποιότητας, τη συλλογή ενημερωμένων εκδόσεων για το .NET Framework 3.5 για τον Windows Server 2012 (KB 4483456)
-
4483454 περιγραφή της ασφάλειας και της ποιότητας, τη συλλογή ενημερωμένων εκδόσεων για το .NET Framework 4.5.2 για τον Windows Server 2012 (KB 4483454)
-
4483449 περιγραφή της ασφάλειας και της ποιότητας, τη συλλογή ενημερωμένων εκδόσεων για το .NET Framework 4.6, 4.6.1, 4.6.2, 4.7, βλέπε 4.7.1 και 4.7.2 για τον Windows Server 2012 (KB 4483449)
Πληροφορίες σχετικά με την προστασία και την ασφάλεια
-
Προσωπική προστασία στο δίκτυο: υποστήριξη ασφαλείας των Windows
-
Μάθετε πώς σας προστασία από τις απειλές του κυβερνοχώρου: Ασφαλείας της Microsoft
