Logige sisse Microsofti kontoga
Logige sisse või looge konto.
Tere!
Valige mõni muu konto.
Teil on mitu kontot
Valige konto, millega soovite sisse logida.

Kokkuvõte

Koodi käivitumise haavatavuse eksisteerib Microsoft Visual Studio 2019 ja Visual Studio 2017 kui XOML (Extensible objekti Markup Language) faili viitab teatud tüüpi ja põhjustab juhuslik koodi käivitumise faili avamisel rakenduses Visual Studio.

Nüüd on piirangu tüüpi lubatud .xoml faile kasutada. .Xoml fail, mis sisaldab ühte äsja volitamata avamisel kuvatakse tõrketeade, mis ütleb, et tüüp on volitamata.

To lisateabe saamiseks selle haavatavuse, jätkake CVE-2019-1113.

Lahendus

Kui avatud .xoml faili ei põhjusta turbeprobleemid, saate keelata volitamata tüübid kontrollimise protsess. Selleks lisada võti on<appSettings>osa devenv.exe.config faili järgmiselt:

...
<appSettings>
<add key="microsoft:WorkflowComponentModel:DisableXOMLSerializerTypeChecking" value="true"/>
</appSettings>
...

Selle appSetting väärtus täielikult keelab tüüp kontroll serializer XOML (Extensible objekti Markup Language). Kui väärtuseks on seatud tõene, see ülimuslik järgmine uue appSetting väärtus lubades ainult teatud tüüpi.

Kui soovite ainult mõne teatud tüüpi keelama, peate tegema järgmised muudatused devenv.exe.config faili:

...
<appSettings>
<add key="microsoft:WorkflowComponentModel:DisableXOMLSerializerDefaultUnauthorizedTypes" value="true"/>
</appSettings>
...

See muudatus võimaldab kõik failitüübid vaikimisi loata. Teatud tüüpi kui volitamata märkimiseks peate ka faili devenv.exe.config järgmised muudatused:

...
<configuration>
...
<configSections>
<sectionGroup name="System.Workflow.ComponentModel.WorkflowCompiler" type="System.Workflow.ComponentModel.Compiler.WorkflowCompilerConfigurationSectionGroup, System.Workflow.ComponentModel, Version=4.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35">
<section name="authorizedTypes" type="System.Workflow.ComponentModel.Compiler.AuthorizedTypesSectionHandler, System.Workflow.ComponentModel, Version=4.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35"/>
</sectionGroup>
</configSections>
...
<System.Workflow.ComponentModel.WorkflowCompiler>
<authorizedTypes>
<foo version="v4.0">
<authorizedType Assembly="System.Activities.Presentation, Version=4.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35" Namespace="System.Activities.Presentation" TypeName="WorkflowDesigner" Authorized="false"/>
</foo>
</authorizedTypes>
</System.Workflow.ComponentModel.WorkflowCompiler>
...
</configuration>
...

Need muudatused tähistada ainult WorkflowDesigner tüüpi System.Activities.Presentation komplekti volitamata, nagu järgmiselt:

  • Versioon: 4.0.0.0

  • Culture: neutral

  • PublicKeyToken: 31bf3856ad364e35

Muude kui volitamata märkimiseks saate nende puhul sarnased kirjeid lisada.

Facebook LinkedIn Meil
TELLIGE RSS-KANALID

Kas vajate veel abi?

Kas soovite rohkem valikuvariante?

Tutvustus Kogukonnafoorum

Siin saate tutvuda tellimusega kaasnevate eelistega, sirvida koolituskursusi, õppida seadet kaitsma ja teha veel palju muud.

Microsoft 365 tellimuse eelised

Microsoft 365 koolitus

Microsofti turbeteenus

Hõlbustuskeskus

Kogukonnad aitavad teil küsimusi esitada ja neile vastuseid saada, anda tagasisidet ja saada nõu rikkalike teadmistega asjatundjatelt.

Nõu küsimine Microsofti kogukonnafoorumis

Microsofti spetsialistide kogukonnafoorum

Windows Insideri programmis osalejad

Microsoft 365 Insideri programmis osalejad

Kas sellest teabest oli abi?

Kui rahul te keelekvaliteediga olete?
Mis mõjutas teie hinnangut?
Kui klõpsate nuppu Edasta, kasutatakse teie tagasisidet Microsofti toodete ja teenuste täiustamiseks. IT-administraator saab neid andmeid koguda. Privaatsusavaldus.

Täname tagasiside eest!

×