Kehtib:
Microsoft .NET Framework 3.5, Microsoft .NET Frameworki 4.5.2, Microsoft .NET Frameworki 4.6, Microsoft .NET Frameworki 4.6.1, Microsoft .NET Frameworki 4.6.2, 4.7, Microsoft .NET Frameworki 4.7.1, Microsoft .NET Frameworki 4.7.2 Microsoft .NET Framework
Kokkuvõte
See värskendus lahendab haavatavused Microsoft .NET Framework, mis võib lubada järgmist:
-
.NET Frameworki tarkvara kui tarkvara Kontrollige faili allikas märgistuse koodi kaugkäivitamist haavatavust. Ründaja, kes kasutab edukalt haavatavus võib käivitada suvalise koodi praeguse kasutaja kontekstis. Kui praegune kasutaja on sisse loginud administraatoriõigustega kasutaja õigused, võib sissetungijal kahjustatud süsteemi oma kontrolli alla võtta. Ründaja võib installige programmid; Saate vaadata, muuta või kustutada andmeid; või luua uusi täielike kasutajaõigustega kontosid. Kasutajad, kelle konto on konfigureeritud on vähem kasutaja õigusi süsteemi võiks vähem mõjutatud kui kasutajatele, kes on administraatoriõigused.
Ärakasutamine haavatavus nõuab kasutaja spetsiaalselt formuleeritud fail, mis on .NET Framework mõjutatud versioonis avada. E-posti rünnaku stsenaariumi puhul ründaja võib kasutada haavatavust saates spetsiaalselt formuleeritud fail kasutajale ja veenda kasutaja faili avada.
See värskendus kõrvaldab haavatavuse, parandades kuidas .NET Frameworki kontrollib faili allikas märgistust. Lisateabe saamiseks selle haavatavuse, vt Microsofti levinud nõrkused ja riskid CVE-2019-0613.
-
Haavatavus teatud .NET raamistiku API-d sõeluda URL-id. Ründaja, kes kasutab edukalt selle haavatavuse võiks seda kasutada jätma security loogikat, mis on ette nähtud veendumaks, et kasutaja esitatud URL kuulunud teatud hostinimi või alamdomeen selle hosti nime. See võib põhjustada õigustega side ebausaldusväärne teenuse teha nii, nagu see oleks usaldusväärne teenus kasutada.
Haavatavuse kasutada ründaja tuleb esitada rakenduse, mis püüab kontrollida URL-i kuulub teatud hostinimi või selle hosti nime alamdomeeni URL-string. Rakendus peab tehke HTTP-taotluse ründaja edastatud URL otse või saadab ründaja edastatud URL töödeldud versiooni veebibrauseris. Lisateabe saamiseks selle haavatavuse, vt Microsofti levinud nõrkused ja riskid CVE-2019-0657.
NB!
-
.NET Frameworki 4.6 4.6.1, 4.6.2, 4.7, 4.7.1 ja 4.7.2 kõik värskendused nõuavad d3dcompiler_47.dll värskenduse installimist. Soovitame lisada d3dcompiler_47.dll värskenduse installimist enne selle värskenduse installimist. Selle d3dcompiler_47.dll kohta lisateabe saamiseks vaadake KB 4019990.
-
Keelepaketi installimisel pärast selle värskenduse installimist peate selle värskenduse uuesti installima. Seetõttu soovitame teil installida mis tahes keeles see enne selle värskenduse installimist. Lisateabe saamiseks lugege Keelepakettide lisamine Windowsi.
Lisateabe saamiseks selle värskenduse kohta
Järgmised artiklid sisaldavad täiendavat teavet selle värskenduse kohta, mis puudutab üksiktoodete versioonid.
-
4483456 kirjeldus turvalisuse ja kvaliteedi värskenduskomplekti .NET Framework 3.5 Windows Server 2012 (KB 4483456)
-
4483454 kirjeldus turvalisuse ja kvaliteedi värskenduskomplekti .NET Frameworki 4.5.2 Windows Server 2012 (KB 4483454)
-
4483449 kirjeldus turvalisuse ja kvaliteedi värskenduskomplekti .NET Frameworki 4.6, 4.6.1, 4.6.2, 4.7, 4.7.1 ja 4.7.2 Windows Server 2012 (KB 4483449)
Lisateavet turvalisuse ja kaitse
-
Kaitske end Internetis: Windows Security toetab
-
Vaadake, kuidas me kaitsta küberohtude: Microsoft Security