Remarque
- Date de publication :
11 août 2020 - Version:
.NET Framework 3.5 et 4.8
Résumé
Il existe une vulnérabilité d’élévation de privilèges quand les applications web ASP.NET ou .NET Framework exécutées sur IIS autorisent de manière incorrecte l’accès aux fichiers mis en cache. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait accéder à des fichiers restreints. Pour exploiter cette vulnérabilité, un attaquant devrait envoyer une requête spécialement conçue à un serveur affecté. Cette mise à jour corrige la vulnérabilité en modifiant la manière dont ASP.NET et .NET Framework traitent les requêtes.
Pour en savoir plus sur cette vulnérabilité, consultez la page CVE (Common Vulnerabilities and Exposures) suivante :
Il existe une vulnérabilité d’exécution de code à distance lorsque Microsoft .NET Framework traite les entrées. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle d’un système affecté. Pour exploiter cette vulnérabilité, un attaquant devrait pouvoir télécharger un fichier spécialement conçu à une application web. La mise à jour de sécurité corrige la vulnérabilité en modifiant la manière dont .NET Framework traite les entrées.
Pour plus d’informations, consultez : https://go.microsoft.com/fwlink/?linkid=2138023
Pour en savoir plus sur cette vulnérabilité, consultez la page CVE (Common Vulnerabilities and Exposures) suivante :
Problèmes connus dans cette mise à jour
Les applications WPF (Windows Presentation Framework) qui utilisent au moins deux éléments HostVisual appartenant à un thread commun, où les deux éléments HostVisual sont invités à se déconnecter de leur cible visuelle à peu près en même temps. Le courrier échoue avec l’erreur suivante :
Type d’exception : System.COMException
Message : UCEERR_RENDERTHREADFAILURE (HRESULT 0x88980406)
Pile d’appels : le cadre supérieur est System.Windows.Media.Composition.DUCE+Channel.SyncFlush()
Solutions
Vous pouvez désactiver le correctif problématique en définissant le commutateur AppContext « Switch.System.Windows.Media.HostVisual.DisconnectsOnWrongThread » sur true, à l’aide de l’une des méthodes décrites ici. Cela expose votre application au bogue d’origine. Vous devez donc supprimer le commutateur une fois qu’un correctif est publié via une mise à jour à venir.
Solution de contournement 1
• Ajoutez l’entrée suivante au fichier app.config pour désactiver le correctif problématique dans une seule application.
<runtime>
<AppContextSwitchOverrides value="Switch.System.Windows.Media.HostVisual.DisconnectsOnWrongThread=true"/>
</runtime>
Notez que si votre configuration d’application a déjà une entrée pour <AppContextSwitchOverrides>, vous devez ajouter le nouveau paramètre dans cette entrée, séparé des autres commutateurs par un point-virgule :
<AppContextSwitchOverrides value="Switch.SomeOtherSwitch=true; Switch.System.Windows.Media.HostVisual.DisconnectsOnWrongThread=true"/>
Solution de contournement 2
• Appliquez la sous-clé de Registre suivante pour désactiver le correctif problématique pour toutes les applications WPF sur l’ordinateur.
Avertissement
Toute modification incorrecte du Registre à l’aide de l’Éditeur du Registre ou d’une autre méthode peut entraîner des problèmes sérieux. Ces problèmes peuvent nécessiter la réinstallation du système d’exploitation. Microsoft ne peut pas garantir que ces problèmes peuvent être résolus. Vous assumez l’ensemble des risques liés à la modification du Registre.
Emplacement : HKEY_LOCAL_MACHINE\Software\Microsoft\.NETFramework\AppContext\
Nom : Switch.System.Media.HostVisual.DisconnectsOnWrongThread
Type : Chaîne
Valeur : true
Notez que sur les systèmes d’exploitation 64 bits, vous devez également appliquer une sous-clé de Registre avec le même nom, le même type et la même valeur à l’emplacement : HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\.NETFramework\AppContext\
Solution
Nous travaillons sur une résolution et fournirons une mise à jour dans une prochaine version.
Comment obtenir cette mise à jour
Installer cette mise à jour
| Canal de publication | Disponible | Étape suivante |
|---|---|---|
| Windows Update et Microsoft Update | Oui | Aucune. Cette mise à jour sera téléchargée et installée automatiquement à partir de Windows Update. |
| Microsoft Update Catalog | Oui | Pour obtenir le package autonome pour cette mise à jour, accédez au site web Catalogue Microsoft Update. |
| Windows Server Update Services (WSUS) | Oui | Cette mise à jour sera automatiquement synchronisée avec WSUS si vous configurez Produits et classifications comme suit : Product :Windows 10 Version 2004 Classification : Mises à jour de sécurité |
Informations de fichier
Pour obtenir une liste des fichiers fournis dans cette mise à jour, téléchargez les informations de fichier relatives à la mise à jour cumulative.
Informations sur la protection et la sécurité
- Se protéger en ligne : Support sécurité Windows
- Découvrez comment nous vous protégeons des cybermenaces : Sécurité Microsoft