Kehtib:
Microsoft .NET Framework 3.5, Microsoft .NET Frameworki 4.5.2, Microsoft .NET Frameworki 4.6, Microsoft .NET Frameworki 4.6.1, Microsoft .NET Frameworki 4.6.2, 4.7, Microsoft .NET Frameworki 4.7.1, Microsoft .NET Frameworki 4.7.2 Microsoft .NET Framework
Lisateavet turvalisuse ja kaitse
-
Kaitske end Internetis: Windows Security toetab
-
Vaadake, kuidas me kaitsta küberohtude: Microsoft Security
Kokkuvõte
See värskendus lahendab haavatavused Microsoft .NET Framework, mis võib lubada järgmist:
-
.NET Frameworki tarkvara kui tarkvara Kontrollige faili allikas märgistuse koodi kaugkäivitamist haavatavust. Ründaja, kes kasutab edukalt haavatavus võib käivitada suvalise koodi praeguse kasutaja kontekstis. Kui praegune kasutaja on sisse loginud administraatoriõigustega kasutaja õigused, võib sissetungijal kahjustatud süsteemi oma kontrolli alla võtta. Ründaja võib installige programmid; Saate vaadata, muuta või kustutada andmeid; või luua uusi täielike kasutajaõigustega kontosid. Kasutajad, kelle konto on konfigureeritud on vähem kasutaja õigusi süsteemi võiks vähem mõjutatud kui kasutajatele, kes on administraatoriõigused.
Ärakasutamine haavatavus nõuab kasutaja spetsiaalselt formuleeritud fail, mis on .NET Framework mõjutatud versioonis avada. E-posti rünnaku stsenaariumi puhul ründaja võib kasutada haavatavust saates spetsiaalselt formuleeritud fail kasutajale ja veenda kasutaja faili avada.
See värskendus kõrvaldab haavatavuse, parandades kuidas .NET Frameworki kontrollib faili allikas märgistust. Lisateabe saamiseks selle haavatavuse, vt Microsofti levinud nõrkused ja riskid CVE-2019-0613.
-
Haavatavus teatud .NET raamistiku API-d sõeluda URL-id. Ründaja, kes kasutab edukalt selle haavatavuse võiks seda kasutada jätma security loogikat, mis on ette nähtud veendumaks, et kasutaja esitatud URL kuulunud teatud hostinimi või alamdomeen selle hosti nime. See võib põhjustada õigustega side ebausaldusväärne teenuse teha nii, nagu see oleks usaldusväärne teenus kasutada.
Haavatavuse kasutada ründaja tuleb esitada rakenduse, mis püüab kontrollida URL-i kuulub teatud hostinimi või selle hosti nime alamdomeeni URL-string. Rakendus peab tehke HTTP-taotluse ründaja edastatud URL otse või saadab ründaja edastatud URL töödeldud versiooni veebibrauseris. Lisateabe saamiseks selle haavatavuse, vt Microsofti levinud nõrkused ja riskid CVE-2019-0657.
NB!
-
Kõik värskendused Windows 8.1 ja Windows Server 2012 R2 nõuavad selle värskenduse 2919355 installitud. Soovitame installida värskendus 2919355 Windows 8.1 või Windows Server 2012 R2 põhisesse arvutisse, et saate tulevikus värskendusi.
-
Keelepaketi installimisel pärast selle värskenduse installimist peate selle värskenduse uuesti installima. Seetõttu soovitame teil installida mis tahes keeles see enne selle värskenduse installimist. Lisateabe saamiseks lugege Keelepakettide lisamine Windowsi.
Lisateabe saamiseks selle värskenduse kohta
Järgmised artiklid sisaldavad täiendavat teavet selle värskenduse kohta, mis puudutab üksiktoodete versioonid.
-
4483484 kirjeldus turvalisuse ainult värskendus .NET Framework 3.5 Windows 8.1 ja Server 2012 R2 (KB 4483484)
-
4483472 Security ainult värskenduse kirjeldus .NET Frameworki 4.5.2 Windows 8.1 ja Server 2012 R2 (KB 4483472)
-
Värskendus .NET Frameworki 4.6 4.6.1, 4.6.2, 4.7, Security ainult 4483469 kirjeldus 4.7.1,and 4.7.2 Windows 8.1 ja Server 2012 R2 (KB 4483469)