Ισχύει για:
Microsoft .NET Framework 2.0 Service Pack 2, Microsoft .NET Framework 3.0 Service Pack 2
Σύνοψη
Αυτή η ενημερωμένη έκδοση ασφαλείας επιλύει θέματα ευπάθειας στο Microsoft .NET Framework που θα μπορούσε να επιτρέψει το ακόλουθο κείμενο:
-
Ένα θέμα ευπάθειας απομακρυσμένης εκτέλεσης κώδικα στο λογισμικό του .NET Framework εάν το λογισμικό δεν ελέγχει τη σήμανση της προέλευσης ενός αρχείου. Ένας εισβολέας που εκμεταλλεύεται με επιτυχία την ευπάθεια θα μπορούσε να εκτελέσει αυθαίρετο κώδικα στο περιβάλλον του τρέχοντος χρήστη. Αν ο τρέχων χρήστης είναι συνδεδεμένος με δικαιώματα διαχειριστή, ένας εισβολέας θα μπορούσε να αποκτήσει τον έλεγχο του συστήματος που έχει επηρεαστεί. Ένας εισβολέας θα μπορούσε να στη συνέχεια εγκαταστήστε προγράμματα. προβάλετε, να αλλάξετε ή να διαγράψετε δεδομένα. ή, μπορείτε να δημιουργήσετε νέους λογαριασμούς που έχουν πλήρη δικαιώματα χρήστη. Οι χρήστες των οποίων οι λογαριασμοί έχουν ρυθμιστεί ώστε να διαθέτουν λιγότερα δικαιώματα χρήστη στο σύστημα ενδέχεται να επηρεαστούν λιγότερο από τους χρήστες που έχουν δικαιώματα διαχειριστή.
Εκμετάλλευση της ευπάθειας απαιτεί από το χρήστη να ανοίξει ένα ειδικά δημιουργημένο αρχείο που έχει μια επηρεαζόμενη έκδοση του .NET Framework. Σε ένα σενάριο επίθεσης ηλεκτρονικού ταχυδρομείου, ο εισβολέας μπορεί να εκμεταλλευτεί την ευπάθεια στέλνοντας το ειδικά δημιουργημένο αρχείο στο χρήστη και πειστικές το χρήστη να ανοίξει το αρχείο.
Αυτή η ενημερωμένη έκδοση ασφαλείας αντιμετωπίζει την ευπάθεια διορθώνοντας πώς .NET Framework ελέγχει τη σήμανση της προέλευσης ενός αρχείου. Για να μάθετε περισσότερα σχετικά με αυτό το θέμα ευπάθειας, ανατρέξτε στο θέμα κοινά θέματα ευπάθειας του Microsoft και χρηματοδοτικά ανοίγματα CVE-2019-0613.
-
Ένα θέμα ευπάθειας στα ορισμένων API του .NET Framework που ανάλυση διευθύνσεων URL. Ένας εισβολέας που εκμεταλλεύεται με επιτυχία αυτή την ευπάθεια θα μπορούσε να την χρησιμοποιήσετε για να παρακάμψετε τη λογική της ασφάλειας που έχει κατασκευαστεί για να βεβαιωθείτε ότι μια διεύθυνση URL που παρέχεται από τη χρήστη ανήκε σε ένα συγκεκριμένο όνομα κεντρικού υπολογιστή ή ένα δευτερεύων τομέας αυτό το όνομα κεντρικού υπολογιστή. Αυτό μπορεί να χρησιμοποιηθεί για να παρεμποδίσει την επικοινωνία με δικαιώματα που πρέπει να γίνουν σε μια αξιόπιστη υπηρεσία, σαν να ήταν μια αξιόπιστη υπηρεσία.
Για να εκμεταλλευτεί την ευπάθεια, ένας εισβολέας πρέπει να δώσετε μια συμβολοσειρά URL σε μια εφαρμογή που προσπαθεί να επιβεβαιώσει ότι η διεύθυνση URL ανήκει σε ένα συγκεκριμένο όνομα κεντρικού υπολογιστή ή σε ένα δευτερεύων τομέας αυτό το όνομα κεντρικού υπολογιστή. Η εφαρμογή, στη συνέχεια, πρέπει να κάνετε μια αίτηση HTTP στη διεύθυνση URL που παρέχεται από εισβολέα είτε απευθείας είτε στέλνοντας μια έκδοση επεξεργασία της διεύθυνσης URL που παρέχεται από εισβολέα σε ένα πρόγραμμα περιήγησης web. Για να μάθετε περισσότερα σχετικά με αυτό το θέμα ευπάθειας, ανατρέξτε στο θέμα κοινά θέματα ευπάθειας του Microsoft και χρηματοδοτικά ανοίγματα CVE-2019-0657.
Σημαντικό
-
Όλες οι ενημερωμένες εκδόσεις για το .NET Framework 4.6 για Windows Server 2008 Service Pack 2 (SP2) απαιτούν ότι έχει εγκατασταθεί η ενημερωμένη έκδοση d3dcompiler_47.dll. Συνιστούμε να εγκαταστήσετε την ενημερωμένη έκδοση περιλαμβάνονται d3dcompiler_47.dll πριν να εφαρμόσετε αυτήν την ενημερωμένη έκδοση. Για περισσότερες πληροφορίες σχετικά με την ενημερωμένη έκδοση d3dcompiler_47.dll, ανατρέξτε στο θέμα KB 4019478.
-
Εάν εγκαταστήσετε ένα πακέτο γλώσσας μετά την εγκατάσταση αυτής της ενημερωμένης έκδοσης, θα πρέπει να επανεγκαταστήσετε αυτήν την ενημερωμένη έκδοση. Επομένως, συνιστούμε να εγκαταστήσετε οποιαδήποτε πακέτα γλωσσας χρειάζεστε, πριν να εγκαταστήσετε αυτήν την ενημερωμένη έκδοση. Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα Προσθήκη πακέτων γλωσσών στα Windows
Πρόσθετες πληροφορίες σχετικά με αυτήν την ενημερωμένη έκδοση
Τα ακόλουθα άρθρα περιέχουν πρόσθετες πληροφορίες σχετικά με αυτήν την ενημερωμένη έκδοση που αφορά εκδόσεις κάθε προϊόντος.
-
4483482 περιγραφή της ενημέρωσης ασφαλείας μόνο για το .NET Framework 2.0 SP2 και 3.0 SP2 για Windows Server 2008 SP2 (KB 4483482)
-
4483474 περιγραφή της ασφαλείας μόνο ενημερωμένη έκδοση για το .NET Framework 4.5.2 για Windows 7 SP1 Server 2008 R2 SP1 και Server 2008 SP2 (KB 4483474)
-
4483470 περιγραφή της εγγύησης μόνο την ενημερωμένη έκδοση για το .NET Framework 4.6, 4.6.1, 4.6.2, 4.7, βλέπε 4.7.1 και 4.7.2 για Windows 7 SP1 και Server 2008 R2 SP1 και για το .NET Framework 4.6, για το Server 2008 SP2 (KB 4483470)
Πληροφορίες σχετικά με την προστασία και την ασφάλεια
-
Προσωπική προστασία στο δίκτυο: υποστήριξη ασφαλείας των Windows
-
Μάθετε πώς σας προστασία από τις απειλές του κυβερνοχώρου: Ασφαλείας της Microsoft