Kehtib:
Microsoft .NET Framework 2.0 Service Pack 2, Microsoft .NET Framework 3.0 Service Pack 2, Microsoft .NET Frameworki 4.5.2, Microsoft .NET Frameworki 4.6
Kokkuvõte
See värskendus lahendab haavatavused Microsoft .NET Framework, mis võib lubada järgmist:
-
.NET Frameworki tarkvara kui tarkvara Kontrollige faili allikas märgistuse koodi kaugkäivitamist haavatavust. Ründaja, kes kasutab edukalt haavatavus võib käivitada suvalise koodi praeguse kasutaja kontekstis. Kui praegune kasutaja on sisse loginud administraatoriõigustega kasutaja õigused, võib sissetungijal kahjustatud süsteemi oma kontrolli alla võtta. Ründaja võib installige programmid; Saate vaadata, muuta või kustutada andmeid; või luua uusi täielike kasutajaõigustega kontosid. Kasutajad, kelle konto on konfigureeritud on vähem kasutaja õigusi süsteemi võiks vähem mõjutatud kui kasutajatele, kes on administraatoriõigused.
Ärakasutamine haavatavus nõuab kasutaja spetsiaalselt formuleeritud fail, mis on .NET Framework mõjutatud versioonis avada. E-posti rünnaku stsenaariumi puhul ründaja võib kasutada haavatavust saates spetsiaalselt formuleeritud fail kasutajale ja veenda kasutaja faili avada.
See värskendus kõrvaldab haavatavuse, parandades kuidas .NET Frameworki kontrollib faili allikas märgistust. Lisateabe saamiseks selle haavatavuse, vt Microsofti levinud nõrkused ja riskid CVE-2019-0613.
-
Haavatavus teatud .NET raamistiku API-d sõeluda URL-id. Ründaja, kes kasutab edukalt selle haavatavuse võiks seda kasutada jätma security loogikat, mis on ette nähtud veendumaks, et kasutaja esitatud URL kuulunud teatud hostinimi või alamdomeen selle hosti nime. See võib põhjustada õigustega side ebausaldusväärne teenuse teha nii, nagu see oleks usaldusväärne teenus kasutada.
Haavatavuse kasutada ründaja tuleb esitada rakenduse, mis püüab kontrollida URL-i kuulub teatud hostinimi või selle hosti nime alamdomeeni URL-string. Rakendus peab tehke HTTP-taotluse ründaja edastatud URL otse või saadab ründaja edastatud URL töödeldud versiooni veebibrauseris. Lisateabe saamiseks selle haavatavuse, vt Microsofti levinud nõrkused ja riskid CVE-2019-0657.
NB!
-
.NET Frameworki 4.6 Windows Server 2008 hoolduspaketi Service Pack 2 (SP2) kõik värskendused nõuavad d3dcompiler_47.dll värskenduse installimist. Soovitame lisada d3dcompiler_47.dll värskenduse installimist enne selle värskenduse installimist. D3dcompiler_47.dll värskenduse kohta lisateabe saamiseks vaadake KB 4019478.
-
Keelepaketi installimisel pärast selle värskenduse installimist peate selle värskenduse uuesti installima. Seetõttu soovitame teil installida mis tahes keeles see enne selle värskenduse installimist. Lisateabe saamiseks lugege Keelepakettide lisamine Windowsi.
Lisateabe saamiseks selle värskenduse kohta
Järgmised artiklid sisaldavad täiendavat teavet selle värskenduse kohta, mis puudutab üksiktoodete versioonid.
-
4483457 kirjeldus turvalisuse ja kvaliteedi värskenduskomplekti 3.0 hoolduspaketi SP2 ja .NET Framework 2.0 SP2 Windows Server 2008 hoolduspaketi 2 (KB 4483457)
-
4483455 kirjeldus turvalisuse ja kvaliteedi värskenduskomplekti .NET Frameworki 4.5.2 Windows 7 SP1, Server 2008 R2 hoolduspaketi SP1 ja Server 2008 hoolduspaketi 2 (KB 4483455)
-
4483451 kirjeldus turvalisuse ja kvaliteedi värskenduskomplekti .NET Frameworki 4.6, 4.6.1, 4.6.2, 4.7, 4.7.1 ja 4.7.2 Windows 7 SP1 ja Server 2008 R2 hoolduspaketi SP1 ja .NET Frameworki 4.6 Server 2008 SP2 (KB 4483451)
Lisateavet turvalisuse ja kaitse
-
Kaitske end Internetis: Windows Security toetab
-
Vaadake, kuidas me kaitsta küberohtude: Microsoft Security
