9 de julio de 2024: paquete acumulativo de actualizaciones de seguridad y calidad de .NET Framework 2.0, 3.0, 3.5 SP1, 4.6.2 para Windows Server 2008 SP2 (KB5041024)

Detalles de cambios importantes

La actualización de mantenimiento de .NET Framework publicada en el Paquete acumulativo de seguridad y calidad de julio de 2024: .NET Framework contiene una corrección de seguridad que aborda una vulnerabilidad de elevación de privilegios detallada en CVE 2024-38081. La corrección ha cambiado el valor de devolución del método System.IO.Path.GetTempPath. Si la versión de Windows expone la API GetTempPath2 Win32, este método invoca esa API y devuelve la ruta de acceso resuelta. Consulte la sección Observaciones de la documentación de GetTempPath2 para obtener más información sobre cómo se realiza esta resolución, incluyendo cómo controlar el valor de devolución mediante el uso de variables de entorno. Es posible que la API GetTempPath2 no esté disponible en todas las versiones de Windows.

Una diferencia observable entre las API de GetTempPath y GetTempPath2 Win32 es que devuelven valores diferentes para los procesos SYSTEM y los que no son del SISTEMA. Al llamar a esta función desde un proceso que se ejecuta como SISTEMA, devolverá la ruta %WINDIR%\SystemTemp, que no es accesible a los procesos que no son del SISTEMA. Este valor devuelto para procesos SYSTEM no se puede invalidar por variables de entorno. Para procesos que no son del SISTEMA, GetTempPath2 se comportará del mismo modo que GetTempPath, respetando las mismas variables de entorno para invalidar el valor devuelto.

En algunos escenarios puede ser posible redirigir la carpeta Temp a una carpeta diferente usando variables de entorno u otros medios. Consulte la documentación oficial de la API GetTempPath2 Win32 para obtener la información más actualizada sobre este comportamiento.

Para más información, consulte la API System.IO.Path.GetTempPath.

Solución temporal

⚠️ Advertencia: El rechazo deshabilitará la corrección de seguridad para la vulnerabilidad de elevación de privilegios detallada en CVE 2024-38081. El rechazo es solo para una solución alternativa temporal si está seguro de que el software funciona en entornos seguros. Microsoft no recomienda aplicar esta solución temporal.

• Opción n.º 1: rechazo en una ventana de comando estableciendo la variable de entorno

  • COMPlus_Disable_GetTempPath2=true

• Opción n.º 2: rechazo global en la máquina creando una variable de entorno para todo el sistema y reiniciando para garantizar que todos los procesos observan el cambio.​​​​​​​​​​​​​​

  • Las variables de entorno de todo el sistema pueden establecerse ejecutando "sysdm.cpl" desde una ventana de comandos y después navegando hasta "Avanzado -> Variables de entorno -> Variables del sistema -> Nuevo". 

Solución

El cambio de comportamiento de la API es por diseño para abordar la vulnerabilidad de elevación de privilegios. Se espera que cualquier software o aplicación afectada realice un cambio de código para adaptarse a este nuevo cambio de diseño.

Canal de publicación

Disponible

Siguiente paso

Windows Update y Microsoft Update

Sí

Ninguna. Esta actualización se descargará e instalará automáticamente desde Windows Update.

Catálogo de Microsoft Update

Sí

Para obtener el paquete independiente de esta actualización, vaya al sitio web del Catálogo de Microsoft Update.

Windows Server Update Services (WSUS)

Sí

Esta actualización del sistema operativo ofrecerá e instalará actualizaciones de productos individuales de .NET Framework, según corresponda. Para obtener más información sobre las actualizaciones de productos individuales de .NET Framework, consulte la sección Información adicional sobre esta actualización.

Esta actualización se sincronizará automáticamente con WSUS si configura de la siguiente manera:

                Producto: Windows Server 2008 Service Pack 2

            Clasificación: actualizaciones de seguridad