Tabla de contenido
×

Fecha de lanzamiento:
13 de octubre de 2020

Versión:
.NET Framework 4.8

Resumen

Mejoras de seguridad

Existe una vulnerabilidad de divulgación de información cuando .NET Framework controla de manera incorrecta los objetos en la memoria. Un atacante que aprovechara esta vulnerabilidad podría divulgar el contenido de la memoria de un sistema afectado. Para aprovechar esta vulnerabilidad, un atacante tendría que ejecutar una aplicación especialmente diseñada. La actualización resuelve la vulnerabilidad al corregir cómo .NET Framework controla los objetos en la memoria.

Para obtener más información sobre las vulnerabilidades, consulte las siguientes vulnerabilidades y exposiciones comunes (CVE).

Mejoras de calidad y confiabilidad

WCF1

- Se solucionó un problema en el que los servicios de WCF a veces no se iniciaban al iniciar varios servicios de manera simultánea.

Winforms

- Se solucionó una regresión introducida en .NET Framework 4.8, en la que las propiedades Control.AccessibleName, Control.AccessibleRole y Control.AccessibleDescription dejaban de funcionar para los siguientes controles: Label, GroupBox, ToolStrip, ToolStripItems, StatusStrip, StatusStripItems, PropertyGrid, ProgressBar, ComboBox, MenuStrip, MenuItems, DataGridView.

- Se solucionó una regresión en el nombre accesible para los elementos de cuadro combinado de los cuadros combinados enlazados a datos. .NET Framework 4.8 comenzó a usar el nombre de tipo en lugar del valor de la propiedad DisplayMember como nombre accesible; esta mejora vuelve a usar la propiedad DisplayMember.

ASP.NET

- Se deshabilitó el uso de AppPathModifier en la salida de control de ASP.Net.

- Los objetos HttpCookie en el contexto de la solicitud de ASP.Net se crearán con valores predeterminados configurados para marcadores de cookie en lugar de los valores predeterminados primitivos de estilo .NET para que coincidan con el comportamiento del objeto "new HttpCookie(name)".

SQL

- Se solucionó un error que a veces se producía cuando un usuario se conecta a una base de datos SQL de Azure, realizaba una operación basada en enclave y luego se conectaba a otra base de datos bajo el mismo servidor que tiene la misma dirección URL de atestación y realizaba una operación de enclave en el segundo servidor.

CLR2

- Se agregó una variable Thread_AssignCpuGroups (1 de forma predeterminada) de configuración CLR que se puede establecer en 0 para deshabilitar la asignación de grupos de CPU que realiza CLR para nuevos procesos creados por Thread.Start() y procesos de grupos de procesos, de tal modo que una aplicación pueda realizar su propia distribución de procesos.

- Se solucionó un problema inhabitual de daño de datos que se puede producir al usar nuevas API, tal como Unsafe.ByteOffset<T> que con frecuencia se usan con los nuevos tipos de extensión. Los daños podían producirse cuando se realiza una operación GC mientras un proceso llama a Unsafe.ByteOffset<T> desde el interior de un bucle.

- Se solucionó un problema relacionado con los temporizadores en el que los tiempos de vencimiento muy largos presentan una cuenta atrás mucho antes que lo esperado cuando el modificador "Switch.System.Threading.UseNetCoreTimer" de AppContext está habilitado.


1 Windows Communication Foundation (WCF)
2 Common Language Runtime (CLR)

Problemas conocidos en esta actualización

Error en las aplicaciones de ASP.Net durante la precompilación con mensaje

Síntomas
Después de aplicar esta actualización acumulativa de seguridad y calidad del 13 de octubre de 2020 para .NET Framework 4.8, se produce un error en algunas aplicaciones ASP.Net durante la precompilación. Es probable que el mensaje de error que reciba contenga las palabras "Error ASPCONFIG".

Causa
Un estado de configuración no válido en las secciones "sessionState", "anonymouseIdentification" o "authentication/forms" de la configuración "System.web". Esto podría suceder durante las rutinas de compilación y publicación si las transformaciones de configuración dejan el archivo Web.config en un estado intermedio para la precompilación.

Solución
Los clientes que experimenten nuevos errores inesperados o problemas funcionales pueden implementar una configuración de aplicación al agregar o combinar el siguiente código en el archivo de configuración de la aplicación. Establecer cualquiera en "true" o "false" evitaría el problema. Sin embargo, recomendamos que establezca este valor en "true" para los sitios que no dependen de características sin cookies.

<?xml version="1.0" encoding="utf-8" ?>
<configuration>
      <appSettings>
          <add key=”aspnet:DisableAppPathModifier” value=”true” />
     </appSettings>
</configuration>

Es posible que las aplicaciones de ASP.Net no entreguen tokens sin cookies en el URI

Síntomas
Después de aplicar esta actualización acumulativa de seguridad y calidad del 1 de octubre de 2020 para .NET Framework 4.8, es posible que las aplicaciones de ASP.Net no entreguen tokens sin cookies en la URI, resultando posiblemente en bucles 302 de redireccionamiento o un estado de sesión perdida o faltante.

Causa
Las características de ASP.Net para el estado de sesión, identificación anónima y la autenticación mediante formularios dependen en la emisión de tokens a un cliente web y permiten la opción de elegir que esos tokens se entreguen en una cookie o de forma integrada en el URI para los clientes que no admiten cookies. El formato de integración en el URI ha sido desde hace mucho tiempo una práctica insegura y poco recomendada y este KB deshabilita de manera silenciosa la emisión de en URI, a menos que una de estas características solicite de manera explícita un modo de cookie de "UseUri" en la configuración. Las configuraciones que especifican "AutoDetect" o "UseDeviceProfile" podrían resultar inadvertidamente en una integración intentada y con error de estos tokens en el URI.

Solución alternativa
Se recomienda a los clientes que observan nuevo comportamiento que cambien las tres opciones de configuración sin cookies a "UseCookies", si fuera posible.

<?xml version="1.0" encoding="utf-8" ?>
<configuration>
     <system.web>
          <anonymousidentification cookieless="UseCookies" />
          <sessionState cookieless="UseCookies" />
          <authentication>
               <forms cookieless="UseCookies" />
          </authentication>
     </system.web>
</configuation>

Si una aplicación debe sí o sí seguir usando tokens integrados en el URI y pueden hacerlo de manera segura, se pueden volver a habilitar con el siguiente elemento appSeting. Sin embargo, recomendamos encarecidamente dejar de usar la integración de estos tokens en los URI.

<?xml version="1.0" encoding="utf-8" ?>
<configuration>
     <appSettings>
          <add key="aspnet:DisableAppPathModifier" value="false" />
     </appSettings>
</configuation>

 

Cómo obtener esta actualización

Instalar esta actualización

Canal de publicación

Disponible

Siguiente paso

Windows Update y Microsoft Update

Ninguna. Esta actualización se descargará e instalará automáticamente desde Windows Update.

Catálogo de Microsoft Update

Para obtener el paquete independiente de esta actualización, vaya al sitio web del Catálogo de Microsoft Update.

Windows Server Update Services (WSUS)

Esta actualización se sincronizará automáticamente con WSUS si configura Productos y clasificaciones del modo siguiente:

Producto: Windows 10 versión 1803

Clasificación: Actualizaciones de seguridad

Información del archivo

Para ver la lista de los archivos proporcionados en esta actualización, descargue la información sobre los archivos de la actualización acumulativa.

Información sobre protección y seguridad

¿Necesita más ayuda?

Ampliar sus conocimientos
Explorar los cursos
Obtener nuevas características primero
Unirse a Microsoft Insider

¿Le ha sido útil esta información?

¿Cómo de satisfecho está con la calidad de la traducción?
¿Qué ha afectado a tu experiencia?

¡Gracias por sus comentarios!

×