S’applique à :
Microsoft .NET Framework 2.0 Microsoft .NET Framework 3.0 Microsoft .NET Framework 4.5.2 Microsoft .NET Framework 4.6
IMPORTANT Vérifiez quevous avez installé les mises à jour requises répertoriées dans la section Comment obtenir cette mise à jouravant d’installer cette mise à jour.
IMPORTANT Les fichiers CAB d’analyse WSUS restent disponibles pour Windows Server 2008 SP2. Si vous avez un sous-ensemble d’appareils qui utilisent ce système d’exploitation sans ESU, ils risquent d’apparaître comme étant non conformes dans les outils de conformité et de gestion des correctifs.
IMPORTANT Les clients qui ont acheté la mise à jour de sécurité étendue (ESU) pour les versions locales de ce système d’exploitation doivent suivre les procédures décrites dans KB4522133 pour continuer à recevoir des mises à jour de sécurité après la fin du support étendu le 14 janvier 2020. Pour plus d’informations sur ESU et sur les éditions prises en charge, consultez KB4497181.
IMPORTANT Depuis août 2019, les mises à jour de .NET Framework 4.6 et versions ultérieures sous Windows Server 2008 SP2 nécessitent la prise en charge de la signature du code SHA-2. Pour éviter tout problème d’installation, veillez à avoir installé toutes les dernières mises à jour de Windows avant d’appliquer cette mise à jour. Pour plus d’informations sur les mises à jour de prise en charge de la signature de code SHA-2, consultez kb 4474419.
IMPORTANT Toutes les mises à jour pour .NET Framework 4.7.2, 4.7.1, 4.7, 4.6.2, 4.6.1 et 4.6 nécessitent l’installation de la mise à jour de d3dcompiler_47.dll. Il est recommandé d’installer la mise à jour incluse du composant d3dcompiler_47.dll avant d’appliquer cette mise à jour. Pour plus d’informations sur la d3dcompiler_47.dll, consultez 4019990 de la base de connaissances.
IMPORTANT Si vous installez un module linguistique après cette mise à jour, vous devez réinstaller cette mise à jour. Par conséquent, nous vous conseillons d’installer les modules linguistiques nécessaires avant cette mise à jour. Pour plus d’informations, consultez Ajouter des modules linguistiques à Windows.
Résumé
Il existe une vulnérabilité d’élévation de privilèges dans .NET Framework qui pourrait permettre à un attaquant d’élever son niveau de privilèges. Pour exploiter la vulnérabilité, un attaquant devrait d’abord pouvoir accéder à l’ordinateur local, puis exécuter un programme malveillant. Cette mise à jour corrige la vulnérabilité en modifiant la façon dont .NET Framework active les objets COM.
Pour en savoir plus sur cette vulnérabilité, consultez la page CVE (Common Vulnerabilities and Exposures) suivante :
Il existe une vulnérabilité d’exécution de code à distance dans le logiciel .NET Framework quand celui-ci ne parvient pas à vérifier le balisage source d’un fichier. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait exécuter du code arbitraire dans le contexte de l’utilisateur actuel. Si l’utilisateur actuel a ouvert une session avec des privilèges d’administrateur, un attaquant pourrait prendre le contrôle du système affecté. L’attaquant pourrait alors installer des programmes, afficher, modifier ou supprimer des données, ou créer des comptes dotés de tous les privilèges. Les utilisateurs dont les comptes sont configurés avec moins de droits sur le système pourraient être moins touchés que ceux qui disposent de privilèges d’administrateur. L’exploitation de cette vulnérabilité nécessite qu’un utilisateur ouvre un fichier spécialement conçu avec une version concernée de .NET Framework. Dans le cas d’une attaque par courrier électronique, un attaquant pourrait exploiter cette vulnérabilité en envoyant un fichier spécialement conçu à l’utilisateur et en persuadant celui-ci d’ouvrir le fichier. Cette mise à jour de sécurité corrige la vulnérabilité en modifiant la manière dont .NET Framework vérifie le balisage source d’un fichier.
Pour en savoir plus sur cette vulnérabilité, consultez la page CVE (Common Vulnerabilities and Exposures) suivante :
Il existe une vulnérabilité de déni de service quand .NET Framework traite de façon incorrecte les requêtes web. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait provoquer un déni de service sur une application web .NET Framework. La vulnérabilité peut être exploitée à distance sans authentification. Un attaquant authentifié à distance pourrait exploiter cette vulnérabilité en transmettant des requêtes spécialement conçues à l’application .NET Framework. Cette mise à jour corrige la vulnérabilité en modifiant la façon dont l’application web .NET Framework traite les requêtes web.
Pour en savoir plus sur cette vulnérabilité, consultez la page CVE (Common Vulnerabilities and Exposures) suivante :
Problèmes connus dans certaines parties de cette mise à jour
|
Symptôme |
Cette mise à jour ne s’installe pas et renvoie l’un ou l’autre des messages d’erreur suivants, ou les deux :
|
|
Solution de contournement |
Pour obtenir des instructions détaillées, consultez l’article sur la version produit individuelle de .NET Framework. |
Informations supplémentaires relatives à cette mise à jour
Les articles suivants contiennent des informations supplémentaires sur cette mise à jour, car elle concerne des versions de produits individuels.
-
4552939 Description du correctif cumulatif de sécurité et de qualité pour .NET Framework 2.0, 3.0 pour Windows Server 2008 SP2 (KB4552939)
-
4552920 Description du correctif cumulatif de sécurité et de qualité pour .NET Framework 4.5.2 pour Windows 7 SP1 et Windows Server 2008 R2 SP1 et Windows Server 2008 SP2 (KB4552920)
-
4552919 Description du correctif cumulatif de sécurité et de qualité pour .NET Framework 4.6 pour Windows 7 SP1 et Windows Server 2008 R2 SP1 et Windows Server 2008 SP2 (KB4552919)
Informations sur la protection et la sécurité
-
Protégez-vous en ligne : support Sécurité Windows
-
Découvrez comment nous vous prémunissons contre les cybermenaces : Microsoft Security
